Seguridad y Alta Disponibilidad Legislación y normas sobre seguridad Carlos Villarrubia Jiménez Escuela Superior de Informática Universidad de Castilla-La Mancha Contenidos Organismos relacionados con la seguridad informática Normas sobre gestión de seguridad de la información Legislación sobre los servicios de la sociedad de la información y correo electrónico Legislación sobre protección de datos http://www.esi.uclm.es 2 Organismos relacionados con la seguridad informática Agencia Española de Protección de Datos: www.agpd.es SANS Institute: www.sans.org Centros de respuesta a incidentes: CERT: www.cert.org FIRST: www.first.org Centro Nacional de Inteligencia: www.ccn-cert.cni.es Inteco: cert.inteco.es IRIS-CERT: www.rediris.es/cert
Normas ISO sobre gestión de seguridad de la información ISO 27001:2005: Sistemas de Gestión de la Seguridad de la Información (SGSI). Requisitos ISO 27002:2005: Código de buenas prácticas para la gestión de la seguridad de la información Normas ISO sobre gestión de seguridad de la información ISO TR 13335:1996 Guía para la gestión de la seguridad de TI. Parte 1: Conceptos y modelos para la seguridad de TI Parte 2: Gestión y planificación de la seguridad de TI Parte 3: Técnicas para la gestión de la seguridad de TI ISO 7498-2:Interconexión de sistemas abiertos Modelo de referencia básico. Parte 2: Arquitectura de seguridad Legislación sobre los servicios de la sociedad de la información y correo electrónico Ley 34/2002, de Servicios de Sociedad de la Información y de Comercio Electrónico Identificación de la empresa Precios de los productos/servicios y totalidad de gastos Acuse de recibo en los pedidos Publicidad electrónica identificada con publicidad o publi y el emisor
Legislación sobre protección de datos Contexto legislativo Concepto de dato de carácter personal Obligaciones Derechos de las personas Infracciones y sanciones Legislación vigente Constitución Española. Artículo 18.4: La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (LOPD) Real Decreto 1720/2007 por el que se aprueba el Reglamento de Desarrollo de la LOPD (RLOPD)
Ejemplos de ficheros con datos 1.Curso Seguridad: Nombre y apellidos 2.Curso Seguridad: NIF 3.Curso Seguridad: Nombre, apellidos y huella dactilar 4.Curso Seguridad: Nombre, apellidos y nota del curso 5.Curso Seguridad: Dirección IP del cliente, página accedida y fecha 6.Multas de tráfico: Matrícula e importe de multa Ejemplos de ficheros con datos 6.Acceso al edificio: Nombre, apellidos, DNI y sexo 7.Acceso al edificio: Nombre, apellidos, DNI, sexo y raza 8.Nomina: Nombre, apellidos y salario 9.Recursos Humanos: Nombre, apellidos, salario, retención físcal y descuento por nº de hijos 10.Recursos Humanos: Nombre, apellidos, salario, retención fiscal, descuento por nº de hijos, descuento por grado de discapacidad y abono por afiliación sindical Ejemplos de ficheros con datos 11.Biblioteca: DNI y libros prestados 12.Accidentes: DNI, accidente sufrido y fecha 13.Clientes bancarios: DNI y saldo en la cuenta 14.Asociaciones: Nombre asociación, dirección, nombre y apellidos del representante 15.Directorio: Nombre, apellidos, correo electrónico y extensión telefónica
Concepto de dato de carácter personal Es toda información de cualquier clase (numérica, alfabética, gráfica, fotográfica, acústica, etc.) concerniente a personas físicas identificadas o identificables Ejemplos: Nombre, domicilio postal y/o electrónico, DNI, teléfono, nota de una examen, fotografía, nº de zapato, etc Tipos de datos según la seguridad requerida Nivel Básico: Todos los datos personales que no sean de nivel medio o alto. Nivel por defecto Nivel Medio: Datos más sensibles Nivel Alto: Datos especialmente protegidos Nivel Básico Identificativos, características personales, circunstancias sociales, académicos y profesionales, empleo y puestos de trabajo, información comercial, económica, etc...
Nivel Medio Infracciones administrativas o penales, ficheros de solvencia patrimonial y crédito, administración tributaria, prestación de servicios financieros, seguridad social, mutuas de accidentes y los que permiten evaluar la personalidad Nivel Alto Salud Vida sexual Origen racial Ideología y creencias Afiliación sindical Religión Violencia de género Datos recabados para fines policiales sin consentimiento Excepciones Un fichero tiene el nivel del dato con mayor nivel excepto: Datos de nivel alto con la única finalidad de realizar una transferencia dineraria a las entidades de las que los afectados sean miembros Datos de salud relativos al grado de discapacidad con motivo de cumplimiento de deberes públicos
Ejemplos de ficheros con datos 1.Curso Seguridad: Nombre y apellidos 2.Curso Seguridad: NIF 3.Curso Seguridad: Nombre, apellidos y huella dactilar 4.Curso Seguridad: Nombre, apellidos y nota del curso 5.Curso Seguridad: Dirección IP del cliente, página accedida y fecha 6.Multas de tráfico: Matrícula e importe de multa Ejemplos de ficheros con datos 6.Acceso al edificio: Nombre, apellidos, DNI y sexo 7.Acceso al edificio: Nombre, apellidos, DNI, sexo y raza 8.Nomina: Nombre, apellidos y salario 9.Recursos Humanos: Nombre, apellidos, salario, retención físcal y descuento por nº de hijos 10.Recursos Humanos: Nombre, apellidos, salario, retención fiscal, descuento por nº de hijos, descuento por grado de discapacidad y abono por afiliación sindical Ejemplos de ficheros con datos 11.Biblioteca: DNI y libros prestados 12.Accidentes: DNI, accidente sufrido y fecha 13.Clientes bancarios: DNI y saldo en la cuenta 14.Asociaciones: Nombre asociación, dirección, nombre y apellidos del representante 15.Directorio: Nombre, apellidos, correo electrónico y extensión telefónica
Obligaciones básicas Con carácter previo a la recogida de los datos Durante el tratamiento de los datos Una vez finalizado el tratamiento Obligaciones antes de la recogida Creación y notificación de ficheros Calidad de los datos Información al interesado Consentimiento del interesado
Obligaciones durante el tratamiento de los datos Calidad de los datos Deber de secreto Cesión de los datos Acceso a datos por cuenta de terceros Modificación de ficheros Transferencias internacionales de datos Seguridad de los datos Seguridad de los datos 1.Documento de seguridad 2.Responsable de seguridad 3.Auditoría 4.Personal 5.Identificación y autentificación 6.Control y registro de accesos 7.Gestión y distribución de soportes y documentos 8.Copias de respaldo y recuperación 9.Registro de incidencias 10.Telecomunicaciones 1 Documento de seguridad Normativa con el ámbito, medidas, normas y procedimientos Nivel medio: Identifica a los responsables de seguridad Establece los controles periódicos de cumplimiento del documento de seguridad
2 Responsable de seguridad Nivel medio: Encargado de coordinar y controlar las medidas de seguridad No es una delegación de responsabilidad del responsable del fichero 3 Auditoría Nivel medio: Interna o externa al menos cada 2 años Informe de adecuación a las medidas, deficiencias identificadas y propone medidas correctoras Analizado por el responsable de seguridad A disposición de la AGPD 4 Personal Funciones y obligaciones de todo el personal con acceso a los datos Difusión entre el personal de las normas que les afecten y las consecuencias por incumplimiento
5 Identificación y autenticación Existencia de medidas de identificación y autenticación de usuarios Identificación unívoca a cada usuario Si se utilizan contraseñas existirá un procedimiento de asignación, distribución y almacenamiento que garantice su confidencialidad e integridad Renovación mínima anual de contraseñas y almacenamiento cifrado 5 Identificación y autenticación Nivel medio: Mecanismo que limite el nº de intentos reiterados de acceso no autorizado 6 Control y registro de accesos Cada usuario accede únicamente a los datos y recursos necesarios para el desarrollo de sus funciones Existe una relación actualizada de usuarios, perfiles y accesos autorizados Existen mecanismos para controlar los derechos con que se accede a los recursos Existen mecanismos que gestionen la concesión de permisos de acceso sólo por personal autorizado en el documento de seguridad
6 Control y registro de accesos Nivel medio: Control de acceso físico a los locales donde se encuentre los equipos Nivel alto: Se registran los intentos de acceso y los accesos auotirzados El registro se conserva durante 2 años bajo control del responsable de seguridad que realiza un informe mensual Excepción: persona física como responsable y acceso unipersonal 7 Gestión y distribución de soportes y documentos Identificación del tipo de información contenida Se mantiene un inventario Se almacenan con acceso restringido Se debe autorizar la salida de soportes y adoptar medidas de seguridad para evitar la sustracción, pérdida o acceso indebido Se adoptan medidas en caso de desecho de soportes 7 Gestión y distribución de soportes y documentos Nivel medio: Registro de entrada y salida de soportes Nivel alto: Sistema de etiquetado sólo comprensible para los usuarios autorizados Se cifran los datos en la distribución de soportes y en los dispositivos portátiles
8 Copias de respaldo y recuperación Debe existir un procedimiento de copias de respaldo y recuperación de datos El procedimiento garantiza la reconstrucción de los datos en el estado original Se realiza una copia de respaldo semanal Comprobación cada seis del sistema de copias de respaldo y recuperación Las pruebas no se realizarán con datos reales salvo con medidas de seguridad y se ha hecho una copia de respaldo previamente 8 Copias de respaldo y recuperación Nivel alto: Debe existir una copia de respaldo y de los procedimientos de recuperación en lugar diferente del que se encuentren los equipos 9 Registro de incidencias Se debe registrar las incidencias Nivel medio: Registro de realización de procedimiento de recuperación y persona que lo ejecuta, datos restaurados y grabados manualmente Autorización expresa de la ejecución de los procedimientos de recuperación de datos
10 Telecomunicaciones Nivel alto: La transmisión de datos a través de redes públicas o de redes inalámbricas debe ser cifrada Obligaciones finalizado el tratamiento de los datos Cancelación y bloque de los datos Supresión de ficheros Derechos de las personas Impugnación de valoraciones Derecho de consulta al Registro General de Protección de Datos Derecho de indemnización Derechos ARCO: Acceso Rectificación Cancelación Oposición
Infracciones y sanciones Leves: De 601 a 60.000 Graves: De 60.001 a 300.000 Muy graves: De 300.001 a 600.000 Documentación Sitios web de los organismos indicados anteriormente La protección de datos personas versión 2.0. Soluciones en entornos Microsoft