Marco normativo para el establecimiento de las medidas de seguridad Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal Referencia Medidas de Seguridad en el tratamiento de datos personales Creación 20 de febrero de 2008 Autor(es) Web Ángel Juan Cano http://www.firma-e.com Página 1 de 8
ÍNDICE 1. Contenidos mínimos para la definición de medidas, normas, procedimientos de actuación, reglas y estándares... 3 Controles periódicos de verificación de medidas ( / )... 3 Información al personal ( / )... 3 Criterios de archivo ()... 3 Asignación, distribución y almacenamiento de contraseñas ()... 3 Notificación y gestión de incidencias ( / )... 4 Identificación de soportes y documentos ( / )... 4 Transporte de soportes y documentos ( / )... 4 Destrucción de soportes ( / )... 4 Reutilización de soportes ( / )... 4 Realización de copias de respaldo ()... 5 Recuperación de datos ()... 5 #nivel medio# Control y registro de entrada de soportes ()... 5 #nivel medio# Control y registro de salida de soportes ()... 5 #nivel medio# Plan de auditorías ( / )... 6 #nivel alto# Distribución de soportes y documentos ( / )... 6 #nivel alto# Tratamiento de datos en dispositivos portátiles ()... 6 2. Contenidos mínimos de los... 7 Registro de incidencias ( / )... 7 #nivel medio# Registro de entrada de soportes ()... 7 #nivel medio# Registro de salida de soportes ()... 7 #nivel alto# Registro de acceso a documentos no automatizados ()... 7 #nivel alto# Registro de acceso a datos ()... 8 Página 2 de 8
1. Contenidos mínimos para la definición de medidas, normas, procedimientos de actuación, reglas y estándares Controles periódicos de verificación de medidas ( / ) El procedimiento de control y verificación de las medidas reflejadas en el documento de seguridad deberá contener los siguientes datos: Periodicidad de la verificación Responsable de ejecución Definición de los pasos de realización del proceso Evidencias de realización del proceso Información al personal ( / ) El procedimiento de información al personal deberá contener los siguientes datos: Responsable de ejecución Definición del proceso de información al personal Evidencias de la ejecución del proceso Criterios de archivo () Los criterios de archivo de la documentación no automatizada deben contestar las siguientes puntos: Como organizar la documentación según su contenido Como etiquetar la documentación según su contenido Dónde almacenar la documentación Asignación, distribución y almacenamiento de contraseñas () Este procedimiento únicamente se deberá realizar en los sistemas que basen en contraseñas la identificación y autenticación de los usuarios. El procedimiento deberá contener los siguientes datos: Personal autorizado para la solicitud de la contraseña (Persona/s o grupos de usuarios que pueden solicitar la asignación o modificación de una contraseña) Responsable de la asignación de la/s contraseña/s Mecanismos para garantizar la confidencialidad de la contraseña suministrada (Obligación del usuario a cambiar la contraseña en su primer inicio, entrega en sobre cerrado ) Periodo máximo de validez de las contraseñas Mecanismo de almacenamiento de las contraseñas (cifradas) Los sistemas basados en contraseñas deben cumplir con las siguientes medidas, que quedarán reflejadas en la descripción del sistema de información: Requisitos mínimos de las contraseñas (No permitir contraseñas en blanco) Medidas de caducidad de las contraseñas (máximo un año) #nivel medio# Medidas para impedir el intento de acceso no autorizado de manera reiterada (Bloqueo de cuentas tras x intentos fallidos) Página 3 de 8
Notificación y gestión de incidencias ( / ) El procedimiento de notificación y gestión de incidencias deberá contener los siguientes datos: Mecanismo/s de notificación de incidencias por los usuarios (teléfono, mail, aplicación ) Responsable/s de la gestión de las incidencias Definición del proceso de gestión de las incidencias Responsable/s de la resolución de las incidencias Mecanismo/s para el registro de las incidencias #nivel medio# Para las recuperaciones de datos de nivel medio también se deberá definir (): () #nivel medio# Responsable de la autorización para la recuperación de datos () #nivel medio# Responsable de la recuperación de datos Identificación de soportes y documentos ( / ) Los mecanismos para la identificación de soportes deben contener: Método/s de etiquetado de soportes Método/s de clasificación de soportes por nivel de seguridad que permitan su identificación #nivel alto# Método/s de clasificación de soportes por nivel de seguridad que dificulten la identificación por parte de personal no autorizado Transporte de soportes y documentos ( / ) Las normas para el transporte de soportes y documentos, automatizados o no, deben definir las medidas a aplicar para impedir la sustracción, perdida y acceso indebido a la información. #nivel alto# Para la distribución de soportes se deberán definir el método de cifrado o mecanismos de protección de la información que se deberá aplicar para su transporte. Destrucción de soportes ( / ) Las normas para la destrucción de soportes y documentos deben definir el/los mecanismos de destrucción de los soportes con datos implantados en la organización, que eviten la recuperación posterior de la información. Reutilización de soportes ( / ) Las normas para la reutilización de soportes y documentos deben definir el/los mecanismos de borrado de datos implantados en la organización, que eviten la recuperación posterior de la información. Página 4 de 8
Realización de copias de respaldo () El procedimiento de realización de copias de respaldo deberá contener los siguientes datos: Mecanismos para la realización de las copias Responsable/s de la realización de las copias Soporte/s utilizado/s Periodicidad de realización de las copias (máximo semanal) Medidas de seguridad para proteger las copias Lugar de almacenamiento de las copias Periodicidad de verificación de las copias (máximo semestral) Responsable/s de la verificación de las copias Evidencias de la ejecución del procedimiento Recuperación de datos () El procedimiento de recuperación de datos deberá contener los siguientes datos: Responsable/s de la recuperación de datos Soporte/s para la recuperación #nivel medio# Responsable de la autorización para la recuperación de datos Definición del proceso de recuperación automatizada de los datos Definición del proceso de recuperación manual de los datos Periodicidad de verificación de los procedimientos de recuperación (máximo semestral) Responsable/s de la verificación de los procedimientos de recuperación #nivel medio# Control y registro de entrada de soportes () El procedimiento de control y registro de entrada de soportes deberá contener los siguientes datos: Personal autorizado para la recepción de soportes Definición del proceso de recogida y tratamiento de los soportes Mecanismo/s de registro de entrada de los soportes #nivel medio# Control y registro de salida de soportes () El procedimiento de control y registro de salida de soportes deberá contener los siguientes datos: Personal autorizado para el envío de soportes Medidas de seguridad a aplicar en los soportes para su envío Definición del proceso de envío de soportes Mecanismo/s de registro de salida de los soportes Página 5 de 8
#nivel medio# Plan de auditorías ( / ) El plan de auditorías deberá contener los siguientes datos: Ámbito de las auditorías (adecuación de medidas y controles de la Ley Orgánica 15/1999, de 13 de diciembre y su desarrollo reglamentario) Periodicidad de las auditorias (máximo cada dos años) Responsable/s de la realización de las auditorías (interna / externa) Contenidos mínimos del informe de auditoría (Sistemas auditados, deficiencias detectadas, datos, hechos y observaciones, medidas correctoras o complementarias, recomendaciones ) Responsable/s de la revisión de las auditorías (Responsable/s de Seguridad) Proceso de informe de conclusiones y comunicación al Responsable del Fichero. #nivel alto# Distribución de soportes y documentos ( / ) Definir las normas para la distribución de soportes y documentos fuera de las instalaciones de la organización (incluyendo el envío de correos electrónicos (): () La distribución de soportes automatizados debe realizarse cifrando los datos o utilizando un mecanismo que garantice la no accesibilidad ni manipulación de la información por terceros no autorizados. También se deben definir las normas para el traslado de documentos no automatizados fuera de las instalaciones de la organización (): () El traslado físico de documentación deberá protegerse con medidas que impidan el acceso o manipulación de terceros no autorizados. #nivel alto# Tratamiento de datos en dispositivos portátiles () Las normas para el tratamiento de datos en dispositivos portátiles deben contener las medidas de cifrado de la información contenida, y la prohibición del uso de dispositivos que no permitan adoptar dichas medidas. Página 6 de 8
2. Contenidos mínimos de los Registro de incidencias ( / ) El registro de incidencias deberá contener los siguientes datos: Tipo de incidencia Fecha y hora en el que se ha producido (o detectado) Usuario que notifica A quien se comunica Efectos derivados de la incidencia Medidas correctoras aplicadas #nivel medio# Persona que autoriza la recuperación de datos #nivel medio# Datos restaurados desde las copias de respaldo #nivel medio# Persona encargada de la restauración de los datos #nivel medio# Datos restaurados manualmente #nivel medio# Registro de entrada de soportes () El registro de entrada de soportes deberá contener los siguientes datos: Tipo de documento o soporte (PC, Disco duro externo, CD, DVD, Lápiz de memoria ) Fecha y hora de la recepción Emisor Número de documentos o soportes recibidos Información contenida en los documentos o soportes Forma en la que se ha recibido Persona que ha realizado la recepción #nivel medio# Registro de salida de soportes () El registro de entrada de soportes deberá contener los siguientes datos: Tipo de documento o soporte (PC, Disco duro externo, CD, DVD, Lápiz de memoria ) Fecha y hora del envío Destinatario Número de documentos o soportes enviados Información contenida en los documentos o soportes Forma de envío Persona que ha realizado el envío #nivel alto# Registro de acceso a documentos no automatizados () El registro de entrada de soportes deberá contener los siguientes datos: Tipo de documento o soporte (PC, Disco duro externo, CD, DVD, Lápiz de memoria ) Página 7 de 8
#nivel alto# Registro de acceso a datos () El registro de acceso a datos deberá almacenar como mínimo lo siguiente: Identificación de usuario que intenta acceder Fecha y hora Fichero al que se intenta acceder Tipo de acceso Acceso autorizado o denegado Registro accedido (siempre que haya sido autorizado) Página 8 de 8