Documento de Seguridad Risk Consultin Technology Risk Consulting ÁMBITO DEL INFORME Marzo de 2005
HOJA DE CONTROL TÍTULO DEL DOCUMENTO DOCUMENTO DE SEGURIDAD GESTIÓN PROCESAL CREACIÓN CÓDIGO FECHA DE CREACIÓN 18/12/2003 CREADO POR DELOITTE FECHA DE APROBACIÓN APROBADO POR Red Informática Judicial de Andalucía (REDIUS) Página 2
MODIFICACIÓN FECHA DE MODIFICACIÓN MODIFICADO POR CONTROL DE CAMBIOS FECHA DE MODIFICACIÓN MODIFICADO POR CONTROL DE CAMBIOS FECHA DE MODIFICACIÓN MODIFICADO POR CONTROL DE CAMBIOS FECHA DE MODIFICACIÓN MODIFICADO POR CONTROL DE CAMBIOS FECHA DE MARZO DE 2005 APROBACIÓN APROBADO JUAN JOSÉ CAZALLA POR ACTUALIZACIÓN FECHA DE OCTUBRE 2006 APROBACIÓN APROBADO JUAN JOSÉ CAZALLA POR ACTUALIZACIÓN FECHA DE DICIEMBRE 2007 APROBACIÓN APROBADO JUAN JOSÉ CAZALLA POR INCORPORACIÓN CRITERIOS GENERALES DE SEGURIDAD FECHA DE APROBACIÓN APROBADO POR Red Informática Judicial de Andalucía (REDIUS) Página 3
HOJA DE DISTRIBUCIÓN DISTRIBUIDO A UNIDADES DE INFORMÁTICA DE LAS DELEGACIONES PROVINCIALES Red Informática Judicial de Andalucía (REDIUS) Página 4
ÍNDICE 1 INTRODUCCIÓN...7 2 ÁMBITO DE APLICACIÓN...8 2.1 UNIDADES LÓGICAS...8 2.2 ESTRUCTURA LÓGICA...8 2.3 ESTRUCTURA FÍSICA...8 2.4 CONTROL DEL ÁMBITO DE APLICACIÓN...9 2.5 EXTERNALIZACIÓN...9 3 GESTIÓN DE USUARIOS...10 3.1 FUNCIONES Y OBLIGACIONES DEL PERSONAL...10 3.2 FORMACIÓN Y CONCIENCIACIÓN DE USUARIOS...11 3.3 IDENTIFICACIÓN Y AUTENTICACIÓN...11 3.4 GESTIÓN DE CONTRASEÑAS...13 3.5 CONTROL DE ACCESO LÓGICO...14 3.6 ALTAS, MODIFICACIONES Y BAJAS...15 3.7 REGISTRO DE ACCESOS...15 3.8 SEGUIMIENTO DE ACCESOS...15 3.9 PERSONAL CON PRIVILEGIOS ESPECIALES...16 4 GESTIÓN DE COPIAS DE RESPALDO Y RECUPERACIÓN...17 4.1 COPIAS DE RESPALDO...17 4.2 RECUPERACIÓN DE COPIAS DE RESPALDO...17 5 GESTIÓN DE SOPORTES...19 5.1 CREACIÓN DE SOPORTES...19 5.2 INVENTARIADO Y ETIQUETADO...19 5.3 ALMACENAMIENTO...19 5.4 PROTECCIÓN DE LA DISTRIBUCIÓN...19 5.5 ENTRADA Y SALIDA...20 5.6 DESTRUCCIÓN...20 5.7 PERSONAL CON PRIVILEGIOS ESPECIALES...20 6 GESTIÓN DE INCIDENCIAS...21 6.1 NOTIFICACIÓN Y REGISTRO...21 6.2 CIERRE DE INCIDENCIAS...21 7 PRUEBAS CON DATOS REALES...22 Red Informática Judicial de Andalucía (REDIUS) Página 5
8 CONTROL DE ACCESO FÍSICO...23 8.1 ACCESO A LAS INSTALACIONES...23 8.2 ACCESO AL CPD...23 8.3 PROTECCIÓN DEL ENTORNO...23 8.4 PERSONAL CON PRIVILEGIOS ESPECIALES...24 9 REDES Y COMUNICACIONES...25 10 DISPOSICIONES GENERALES...26 10.1 FICHEROS TEMPORALES...26 10.2 TRABAJO FUERA DE LOS LOCALES DE UBICACIÓN...26 10.3 ACCESO A TRAVÉS DE REDES DE COMUNICACIONES...27 11 OTROS ASPECTOS...28 11.1 CONTROLES DE APLICACIÓN DE LAS MEDIDAS...28 11.2 AUDITORÍA...28 11.3 ACTUALIZACIÓN DEL DOCUMENTO...29 11.4 PRESTACIONES DE TERCEROS...29 11.5 CONFIGURACIÓN DE INFRAESTRUCTURA TECNOLÓGICA...29 11.6 OPERACIÓN DE LOS SISTEMAS DE GESTIÓN PROCESAL...30 Red Informática Judicial de Andalucía (REDIUS) Página 6
1 INTRODUCCIÓN El día 26 de junio de 1999, entró en vigor el Reglamento de Medidas de Seguridad de los ficheros automatizados de datos de carácter personal, correspondiente al desarrollo del artículo 9 de la Ley Orgánica de Protección de Datos Personales. En dicho Reglamento, se establecen las medidas de seguridad, tanto técnicas como organizativas, que deben garantizar la seguridad de los datos de carácter personal y evitar su alteración, pérdida, tratamiento o acceso no autorizado. Estas medidas deben ser recogidas en virtud de lo estipulado en los artículos 8 y 15 en un Documento de Seguridad que sea de obligado cumplimiento por parte del personal con acceso a datos automatizados de carácter personal. De esta forma, el objetivo del presente Documento de Seguridad es describir las medidas de índole técnica y organizativas existentes en la Administración de Justicia diseñadas por el Responsable del Fichero con el objetivo de garantizar la seguridad de los datos de carácter personal existentes en la organización. Para ello se recogen todas las normas, procedimientos y medidas adoptados por la Administración de Justicia, encaminados a garantizar el nivel de seguridad exigido por el Reglamento, así como una relación de los datos de carácter personal, descripción de los sistemas de información que los tratan e identificación de las funciones y obligaciones del personal con acceso a los mismos. Se han incluido todas las medidas recogidas en el documento Criterios generales de seguridad en los sistemas de información al servicio de la Administración de Justicia, Acuerdo del Pleno del Consejo General del Poder Judicial de 13 de septiembre de 2007. Estas medidas se han formateado en el texto con un tipo de letra distinto para distinguirlas de las medidas exigidas en el Reglamento de Medidas de Seguridad y se hace referencia a pie de página del apartado de los Criterios Generales de Seguridad de donde se han extraído. Con el objetivo de facilitar la consulta y aplicación de los aspectos contemplados en el Documento de Seguridad, se ha considerado dividirlo en dos bloques estructurales: Un cuerpo principal normativo que recoge todas las normas de obligado cumplimiento por el personal de la Administración de Justicia que tenga acceso a los datos de carácter personal y, Una serie de anexos que describen los procedimientos y medidas que han sido adoptadas para garantizar la protección adecuada de los datos de carácter personal. Las normas de Seguridad contenidas en este documento afectan a todas las estructuras organizativas de la Administración de Justicia, y deben ser cumplidas y observadas por todo el personal con acceso a los datos de carácter personal y a los de la Administración de Justicia. Red Informática Judicial de Andalucía (REDIUS) Página 7
2 ÁMBITO DE APLICACIÓN Las normas que se describen en este apartado se encuentran desarrolladas por procedimientos y medidas en el anexo Modelo de Información a excepción de los controles de validación, que se pueden encontrar en el anexo Controles de validación del cumplimiento del Documento de Seguridad. 2.1 UNIDADES LÓGICAS Se considera que un dato de carácter personal es cualquier información concerniente a personas físicas identificadas o identificables. Se deberán indicar de forma detallada en el presente Documento de Seguridad los recursos con datos de carácter personal protegidos por la Administración de Justicia. 2.2 ESTRUCTURA LÓGICA Se deberá recoger de forma detallada las aplicaciones, bases de datos y sistemas operativos que dan soporte a las unidades lógicas que forman los recursos protegidos por la Administración de Justicia en el presente Documento de Seguridad. Las únicas excepciones admitidas y contempladas serán aquellas aplicaciones, bases de datos y sistemas operativos que son gestionados por compañías externas a la Administración de Justicia. 2.3 ESTRUCTURA FÍSICA Se considera que un equipo informático es cualquier dispositivo hardware que trate de alguna forma datos de carácter personal, lo que incluye servidores, estaciones de trabajo, portátiles, equipos de realización de copias de seguridad, routers, etc. Las únicas excepciones admitidas y contempladas serán aquellos equipos físicos que sean gestionados por compañías externas a la Administración de Justicia. Se deberá recoger de forma detallada en el presente Documento de Seguridad los equipos informáticos físicos que dan soporte a la estructura lógica protegida por la Administración de Justicia, incluyendo las conexiones a través de redes de comunicaciones que haya entre ellos. Red Informática Judicial de Andalucía (REDIUS) Página 8
2.4 CONTROL DEL ÁMBITO DE APLICACIÓN Cualquier modificación, adición o anulación en los elementos que forman la estructura lógica o la física de los recursos protegidos por la Administración de Justicia deberá ser puesta en conocimiento del Responsable del Fichero y convenientemente actualizada en el presente Documento de Seguridad 2.5 EXTERNALIZACIÓN Se deberá indicar en el Documento de Seguridad qué unidades lógicas y elementos de la estructura lógica y física de las mismas se encuentran bajo responsabilidad de compañías terceras. Red Informática Judicial de Andalucía (REDIUS) Página 9
3 GESTIÓN DE USUARIOS Las normas que se describen en este apartado se encuentran desarrolladas por procedimientos y medidas en el anexo Gestión de usuarios, los controles se desarrollan en el anexo Controles de validación del cumplimiento del Documento de Seguridad y la circular de comunicación a los usuarios se detalla en el anexo Circular de concienciación. 3.1 FUNCIONES Y OBLIGACIONES DEL PERSONAL Las funciones del personal deberán estar reflejadas de forma actualizada en el Documento de Seguridad, de manera que sea posible determinar las necesidades de acceso a datos de carácter personal de cada empleado de la Administración de Justicia. Las obligaciones respecto a los datos de carácter personal de cada empleado que tenga acceso a los, deberán estar reflejadas en el presente Documento de Seguridad Las anteriores funciones y obligaciones del personal deberán ser puestas en conocimiento de los empleados de la Administración de Justicia que traten datos de carácter personal y encontrarse a disposición de cualquiera que desee consultarlas. 1 Las funciones y responsabilidades asociadas a la administración y explotación de los sistemas y, en particular, a la gestión de la seguridad de la información estarán formalmente aprobadas y asignadas a personas concretas. Estas funciones pueden incluir, sin limitarse a: Mantenimiento y actualización del marco normativo. Instalación y configuración segura de sistemas. Elaboración de informes asociados al análisis de logs. Monitorización y resolución de incidencias. Formación y concienciación de usuarios Seguimiento de accesos en sistemas operativos y gestores de bases de datos y, en términos generales, accesos en tareas de administración de sistemas. 1 CGS 2.1.6. Organización de la seguridad Red Informática Judicial de Andalucía (REDIUS) Página 10
Seguimiento de los servicios contratados en lo que afecte a la administración y explotación de sistemas de gestión procesal. Realización de copias de respaldo 3.2 FORMACIÓN Y CONCIENCIACIÓN DE USUARIOS 2 Se desarrollarán mecanismos de formación y concienciación específicamente orientados a la seguridad de la información (complementarios a los que el Consejo General del Poder Judicial pudiera arbitrar). Habitualmente estarán basados en cursos presenciales y/o a través de e-learning, y tendrán carácter periódico. Entre las áreas que pueden incluir figuran: Conocimiento del marco normativo en lo que sea relevante a la operativa de los diferentes usuarios. Funciones y responsabilidades de los usuarios. Confidencialidad y privacidad de las contraseñas (u otros mecanismos de autenticación). Criterios de conservación y almacenamiento de los ficheros generados por los usuarios (incluyendo la eliminación de los ficheros temporales). Políticas de bloqueo de pantalla y puesto de trabajo despejado de papeles y soportes con información sensible. Condiciones de trabajo fuera de las oficinas habituales. 3.3 IDENTIFICACIÓN Y AUTENTICACIÓN Cualquier acceso a los se realizará utilizando un código de usuario o identificador que es personal e intransferible. No se permite el acceso a los sistemas de información con un identificador que no sea el propio, así como comunicarlo y /o cederlo a cualquier otra persona perteneciente o no a la empresa. Cualquier excepción a esta norma, deberá estar autorizada de forma expresa por el Responsable de Seguridad. 2 CGS 2.1.8. Formación y concienciación de usuarios Red Informática Judicial de Andalucía (REDIUS) Página 11
Los que traten datos de carácter personal deberán disponer de mecanismos de identificación que permitan representar a los empleados que deban hacer uso de los mismos. Estos identificadores deben ser confidenciales y conocidos únicamente por el empleado al que pertenecen y por los administradores de los sistemas. Se deberá disponer de un listado o de un procedimiento que permita la obtención de los identificadores válidos en cada uno de los sistemas que se encuentran bajo la responsabilidad de la Administración de Justicia. Estos listados deberán incluir, al menos, el identificador y una descripción que permita identificar al empleado al que pertenece. No se permite la existencia en los sistemas de información que traten datos de carácter personal clasificados como de nivel medio en el presente Documento de Seguridad de identificadores que no puedan ser relacionados de forma unívoca con un usuario en concreto de dichos sistemas. 3 Los sistemas de información (y software de base) dispondrán de mecanismos de identificación y autenticación que prevengan los accesos no autorizados basados en la existencia de un identificador unívoco de usuario y contraseña, o mediante la utilización de certificado digital o algún otro mecanismo de protección suficientemente probado, dado el estado de la tecnología en cada momento y las características de la información a proteger. En el caso de sistemas de identificación basados en usuario y contraseña, la creación de un nuevo usuario se realizará atendiendo al procedimiento establecido y previa autorización del responsable competente. La asignación de contraseña inicial será aleatoria y, en cualquier caso, pre-expirada. Los sistemas permitirán asociar períodos de validez a los identificadores de usuario de forma que fuera de ese rango de fechas el sistema prevenga la autenticación a través de dicho identificador. En el caso de sistemas basados en identificación digital, solo se podrán utilizar certificados digitales autorizados por la Administración competente. Las aplicaciones deberán consultar las listas de certificados revocados correspondientes antes de permitir el acceso. Igualmente podrán ser utilizados sistemas biométricos como método de identificación y autentificación. Los sistemas de gestión procesal y la infraestructura tecnológica soporte dispondrán de mecanismos de bloqueo de los usuarios. En particular, considerarán al menos las siguientes casuísticas: Bloqueo automático por intentos reiterados de acceso fallidos (por ejemplo: 6 intentos). 3 CGS 2.1.2. Identificación y autenticación Red Informática Judicial de Andalucía (REDIUS) Página 12
Bloqueo automático asociado a intentos de acceso fuera del intervalo de fechas de validez de un identificador de usuario. Bloqueo manual por parte del Administrador. Se recomienda el bloqueo automático por no acceso en un determinado periodo de tiempo (por ejemplo: tres meses) con objeto de regularizar las cuentas activas en el órgano judicial). El desbloqueo de un determinado identificador se realizará, con carácter general, de forma manual por parte del personal autorizado al efecto. No se permitirá, con carácter general, el acceso a los sistemas a través de usuarios genéricos. Esto incluye, sin limitarse a, aquellos que, por defecto, son creados en el proceso de instalación de los sistemas y aplicaciones. En cualquier caso, deberá asignarse un responsable de aquellos usuarios genéricos que se estimen necesarios. 3.4 GESTIÓN DE CONTRASEÑAS Las contraseñas de los sistemas de información serán asignadas y comunicadas a los usuarios de forma que se garantice la confidencialidad e integridad de las mismas de forma que sólo sean conocidas por el usuario al que pertenecen. El usuario deberá cambiar la contraseña en el primer acceso a los sistemas que realice. Los sistemas que empleen contraseñas deberán disponer de mecanismos que fuercen a la realización de cambios periódicos de la misma según la periodicidad que se establezca en este Documento de Seguridad. Las contraseñas asociadas a cada identificador son personales e intransferibles, encontrándose bajo la directa responsabilidad del empleado al que pertenezcan. No se permite comunicar ni facilitar las contraseñas de acceso a los sistemas a otras personas, incluyendo otros empleados de la Administración de Justicia ya sean internos o externos. 4 Las contraseñas de los usuarios generales (es decir, sin privilegios especiales asociados a tareas de administración) deberán satisfacer, al menos, los siguientes criterios: Calidad. La contraseña tendrá, al menos, una longitud mínima. Adicionalmente, deberá evaluarse la posibilidad de exigir reglas adicionales de complejidad en base al grado de madurez de los controles de seguridad implantados. Cambio periódico. Los usuarios deberán cambiar periódicamente sus contraseñas (por ejemplo, cada tres meses). Existirá un histórico de contraseñas que prevenga la re-utilización de la contraseña anterior. En cualquier caso, los 4 CGS 2.1.2. Identificación y autenticación Red Informática Judicial de Andalucía (REDIUS) Página 13
sistemas permitirán el cambio autónomo de contraseña por parte de los usuarios aún cuando no sea como consecuencia del cambio periódico previsto. En cualquier caso, las contraseñas se almacenarán en las aplicaciones y sistemas, de forma cifrada. Los usuarios con privilegios de administración considerarán mecanismos adicionales de seguridad y protección, en relación a las claves, para prevenir accesos no autorizados a través de sus identificadores. 3.5 CONTROL DE ACCESO LÓGICO Los sistemas que traten datos de carácter personal deberán disponer de mecanismos que permitan discriminar el acceso a la información a los usuarios de los mismos en función de las necesidades de acceso de cada uno y siempre según el criterio de mínimo privilegio. Se deberán complementar la lista de usuarios descrita en el apartado de identificación y autenticación con los accesos concedidos en los sistemas a los usuarios listados. Los usuarios de los sistemas de información tienen prohibido el acceso a datos que no sean imprescindibles para la realización de sus funciones. 5 Perfiles y roles. El acceso a los sistemas de información de gestión procesal estará basado, habitualmente, en perfiles y roles. Estos mecanismos determinarán, en base a las necesidades autorizadas de los usuarios, dos aspectos fundamentales: Las funcionalidades (de las previstas por el sistema de información) a las que podrán acceder (con frecuencia basado en puntos de menú) Los datos a los que deberán tener acceso. Para ello permitirá, sin perjuicio de las capacidades de búsqueda y explotación de la información, segmentar los usuarios en base a criterios organizativos como los órganos judiciales, secciones, etc. a las que están adscritos. Será posible aplicar mecanismos adicionales de protección basados en expedientes o asuntos concretos (por ejemplo, a través de listas de control de acceso) Con relación a las sustituciones, los sistemas de información tenderán a considerar el principio de herencia. En particular, se pretende que sea posible asociar (y revocar) a un sustituto los asuntos en los que participara el sustituido. Bloqueo por inactividad. Tras un período de inactividad (por ejemplo: 30 minutos) se activará un mecanismo de bloqueo que evite la suplantación del usuario en momentos en los que su equipo no esté atendido. 5 CGS 2.1.3. Control de acceso Red Informática Judicial de Andalucía (REDIUS) Página 14
Con carácter general, los privilegios de administración en los propios equipos de los usuarios estarán restringidos. Es decir, se prevendrá la instalación de software no autorizado en los equipos de los usuarios por parte de los mismos. 3.6 ALTAS, MODIFICACIONES Y BAJAS Existirá un procedimiento actualizado de altas, modificaciones y bajas de usuarios en los sistemas de información que garantice el cumplimiento de las normas anteriores relativas a la gestión de usuarios Las bajas de empleados en la Administración de Justicia deberán ser comunicadas y hacerse efectivas en los sistemas de información de forma inmediata. 3.7 REGISTRO DE ACCESOS Los sistemas de información que traten datos de carácter personal clasificados como de nivel alto en el presente Documento de Seguridad deberán disponer de mecanismos que permitan registrar los accesos a la información contenida en ellos. Si el acceso fue autorizado se guardará información que permita identificar el registro accedido. Los mecanismos de registro de acceso se encontrarán directamente bajo control del Responsable de Seguridad y no se permitirá la desconexión de los mismos bajo ninguna circunstancia. Los registros de acceso a los sistemas de información clasificados como de nivel alto en el presente Documento de Seguridad, serán revisados por el Responsable de Seguridad con una periodicidad mensual. 6 Los accesos a los expedientes o asuntos mantendrán un registro que incluya, al menos, la identificación del usuario, la fecha y hora en la que se realizó el acceso, el tipo de acceso y si ha sido autorizado o denegado. Se definirán pistas de auditoría y seguimiento de actividad en los sistemas operativos y gestores de bases de datos. El seguimiento estará, especialmente, orientado a las tareas de administración del sistema. La configuración del sistema prevendrá la eliminación y/o desactivación de estos logs. 3.8 SEGUIMIENTO DE ACCESOS 7 Revisiones periódicas de usuarios autorizados. Periódicamente (por ejemplo, cada tres meses) se realizará, por parte de los usuarios competentes, una revisión de los usuarios autorizados para identificar usuarios con acceso indebido potencial a los sistemas. A tal 6 CGS 2.1.4. Registro de accesos 7 CGS 2.1.9. Seguimiento de accesos Red Informática Judicial de Andalucía (REDIUS) Página 15
efecto, los sistemas permitirán obtener los usuarios activos en los sistemas para poder contrastar dicha lista con los usuarios autorizados e identificar excepciones. Registro de usuarios con privilegios de administración. Existirá un registro de usuarios con privilegios de administración (asociados a tareas habituales de mantenimiento y explotación de sistemas o como consecuencia de accesos de emergencia de usuarios de desarrollo a producción). Este registro incluirá el identificador autorizado, el período de validez, el responsable de la autorización y las tareas a realizar por el mismo. Este registro podrá servir como fuente de contraste con el log de los sistemas. El Consejo General del Poder Judicial considera este apartado especialmente relevante por los riesgos de seguridad inherentes a la función de administración de sistemas y por la constatación que, en ocasiones, estas tareas son realizadas por personal externo (por ejemplo, adscrito a empresas privadas con las que la Administración Pública tiene suscrito un contrato) en el que el índice de rotación puede ser elevado. El mantenimiento actualizado de este registro (conjuntamente con la trazabilidad de las acciones realizadas por estos usuarios) debería permitir un seguimiento más efectivo de las tareas que se realizan. El registro de usuarios con privilegios de administración estará a disposición de la Comisión de Informática Judicial. 3.9 PERSONAL CON PRIVILEGIOS ESPECIALES Se deberá disponer de una lista en el presente Documento de Seguridad con los usuarios que dispongan de privilegios de administración en los Sistemas de Gestión Procesal de la Administración de Justicia. Red Informática Judicial de Andalucía (REDIUS) Página 16
4 GESTIÓN DE COPIAS DE RESPALDO Y RECUPERACIÓN Las normas que se describen en este apartado se encuentran desarrolladas por procedimientos y medidas en el anexo Manual de Administración de copias de seguridad de los sistemas informáticos judiciales y los controles se desarrollan en el anexo Controles de validación del cumplimiento del Documento de Seguridad. 4.1 COPIAS DE RESPALDO Se deberán diseñar y aplicar mecanismos de realización de copias de respaldo sobre los Sistema de Gestión Procesal que traten datos de carácter personal de manera que se garantice la reconstrucción de los mismos en caso de pérdida o destrucción. Los mecanismos de copias de respaldo deberán ser aplicados, al menos, semanalmente, excepto si en este tiempo no se ha producido ningún cambio en los sistemas de información. Los usuarios de los son responsables de la definición y aplicación de los procedimientos de copia de seguridad sobre los datos de carácter personal que mantengan fuera de la estructura corporativa. A este respecto, se considera que la estructura corporativa la forman los servidores centrales de aplicaciones y los directorios del entorno de red. 8 Se realizarán copias de respaldo, en base a los procedimientos formalizados y de acuerdo a un calendario previsto, que aseguren, en caso de ser necesario, la recuperación de la información en el momento anterior a producirse la incidencia. El calendario determinará el período de retención y los controles asociados a la rotación de los soportes. Deberá conservarse una copia de respaldo y de los procedimientos de recuperación de los datos en un lugar diferente de aquel en el que se encuentren los equipos y servidores (con medidas de restricción de acceso suficientes). El traslado se realizará preservando la confidencialidad de la información. 4.2 RECUPERACIÓN DE COPIAS DE RESPALDO Se deberán diseñar y aplicar mecanismos para la realización de recuperaciones de los datos de carácter personal previamente salvaguardados. Estos mecanismos deberán garantizar la reconstrucción de los sistemas de información al estado anterior a la perdida o destrucción de los datos. 8 CGS 2.1.10. Copias de respaldo Red Informática Judicial de Andalucía (REDIUS) Página 17
Deberá almacenarse una copia de los mecanismos de recuperación junto a las copias de seguridad de los datos de carácter personal clasificados como de nivel alto según el presente Documento de Seguridad. Red Informática Judicial de Andalucía (REDIUS) Página 18
5 GESTIÓN DE SOPORTES Las normas que se describen en este apartado se encuentran desarrolladas por procedimientos y medidas en el anexo Manual de Administración de copias de seguridad de los sistemas informáticos judiciales y los controles se desarrollan en el anexo Controles de validación del cumplimiento del Documento de Seguridad. 5.1 CREACIÓN DE SOPORTES No se permite la creación de soportes con datos de carácter personal que no se encuentren debidamente autorizados por el Responsable del Fichero. Se considera que un soporte es un objeto físico susceptible de ser tratado en un sistema de información y sobre el cual se pueden grabar o recuperar datos. 5.2 INVENTARIADO Y ETIQUETADO Los soportes con datos de carácter personal que se generen o traten en la Administración de Justicia deberán estar adecuadamente etiquetados e inventariados, de forma que sea posible determinar el tipo de información que contienen y donde se encuentran. 5.3 ALMACENAMIENTO Los soportes con datos de carácter personal deberán ser almacenados en lugares que permitan restringir el acceso a personal autorizado y que garanticen un almacenamiento óptimo de los mismos. Se debe almacenar al menos una copia de respaldo de los datos de carácter personal clasificados como de nivel alto en el presente Documento de Seguridad fuera de los lugares de tratamiento de los mismos. 5.4 PROTECCIÓN DE LA DISTRIBUCIÓN Los soportes con datos de carácter personal clasificados como de nivel medio según el presente Documento de Seguridad y que vayan a salir de las instalaciones de la Administración de Justicia deberán estar protegidos de forma que se garantice la imposibilidad de acceder a la información contenida en los mismos. Los soportes con datos de carácter personal clasificados como de nivel alto según el presente Documento de Seguridad y que vayan a salir de las instalaciones de Red Informática Judicial de Andalucía (REDIUS) Página 19
tratamiento de los mismos deberán estar protegidos por mecanismos que garanticen que la información no es inteligible durante su transporte. 5.5 ENTRADA Y SALIDA Las salidas de soportes con datos de carácter personal deberán estar autorizadas de forma expresa por el Responsable del Fichero Las personas encargadas de recibir o entregar a personal externo a la Administración de Justicia soportes con datos de carácter personal clasificados como de nivel medio según el presente Documento de Seguridad, deberán estar autorizadas de forma expresa por el Responsable del Fichero. Se deberá establecer un registro de entrada de soportes con datos de carácter personal clasificados como de nivel medio según el presente Documento de Seguridad que permita conocer, de forma directa o indirecta el tipo de soporte, la fecha y hora de recepción, el emisor, el número de soportes, el tipo de información que contienen, la forma de envío y la persona encargada de la recepción de los mismos. Del mismo modo, se deberá establecer un registro de salida de soportes que permita conocer de forma directa o indirecta el tipo de soporte, la fecha y hora de emisión, el receptor, el número de soportes, el tipo de información que contienen, la forma de envío y la persona encargada de la entrega de los mismos. 5.6 DESTRUCCIÓN Los soportes con datos de carácter personal que vayan a ser desechados o reutilizados deberán seguir un procedimiento de destrucción que asegure que la información de carácter personal contenida en ellos no sea recuperable una vez se proceda a la destrucción del mismo. Únicamente el responsable de control de soportes está autorizado para la destrucción de soportes con datos de carácter personal. En el siguiente documento se describe el Procedimiento para la renovación de ordenadores personales. 5.7 PERSONAL CON PRIVILEGIOS ESPECIALES Se deberá mantener un listado actualizado en el presente Documento de Seguridad del personal de la Administración de Justicia con acceso permitido a los lugares de almacenamiento de los soportes con datos de carácter personal. Este listado debe incluir a la persona designada para responsabilizarse de los soportes. Red Informática Judicial de Andalucía (REDIUS) Página 20
6 GESTIÓN DE INCIDENCIAS Las normas que se describen en este apartado se encuentran desarrolladas por procedimientos y medidas en el anexo DE_CU_PR_GESTION DE INCIDENTES_1_2 y los controles se desarrollan en el anexo Controles de validación del cumplimiento del Documento de Seguridad. 6.1 NOTIFICACIÓN Y REGISTRO Se considera que una incidencia es cualquier anomalía que afecte o pueda afectar a la seguridad de los datos de carácter personal. Se deberá comunicar al responsable de gestión de incidencias cualquier incidencia detectada sobre los sistemas de información que traten datos de carácter personal. Deberá existir un procedimiento de notificación de incidencias que permita mantener un registro de las mismas donde se especifique el tipo de incidencia, el momento en que se ha producido, la persona que realiza la notificación, a quién se le comunica y los efectos que se hubieran derivado de la misma. 6.2 CIERRE DE INCIDENCIAS En el caso de que una incidencia requiera de una recuperación de datos de carácter personal clasificados como de nivel medio según el presente Documento de Seguridad, se deberá indicar en el registro de la incidencia los procedimientos realizados para la recuperación de datos, la persona que ejecuto el proceso, los datos restaurados y, en su caso, que datos necesitaron ser restaurados de forma manual. Será necesaria la autorización por escrito del Responsable del Fichero antes de proceder a realizar una recuperación de los datos como consecuencia de una incidencia. Red Informática Judicial de Andalucía (REDIUS) Página 21
7 PRUEBAS CON DATOS REALES Están permitidas las pruebas con datos reales si se garantiza el nivel de seguridad correspondiente al tipo de fichero. Red Informática Judicial de Andalucía (REDIUS) Página 22
8 CONTROL DE ACCESO FÍSICO Las normas que se describen en este apartado se encuentran desarrolladas por procedimientos y medidas en el anexo Control de acceso físico y los controles se desarrollan en el anexo Controles de validación del cumplimiento del Documento de Seguridad. 8.1 ACCESO A LAS INSTALACIONES Se deberá controlar el acceso a las instalaciones desde donde sea posible acceder a los sistemas de información que contengan datos clasificados como, al menos, de nivel medio según el presente Documento de Seguridad de forma que sólo pueda acceder el personal cuyas funciones establezcan la necesidad de emplear este tipo de información. 9 Como orientación general y en la medida que resulte posible, los equipos de los usuarios no estarán ubicados en zonas de paso o distribución. 8.2 ACCESO AL CPD El acceso a la sala del CPD, donde se encuentran los servidores centrales de la Administración de Justicia estará físicamente restringido al personal con privilegios para ello. Cualquier otro acceso se realizará siempre bajo la supervisión del personal con privilegios especiales de acceso. 10 La ubicación física de los servidores y dispositivos de comunicaciones (electrónica de red, firewalls, ) prevendrá el acceso no autorizado y se realizará atendiendo a un análisis de riesgos. En particular, el acceso estará restringido de forma efectiva (por ejemplo, a través de puertas cerradas con llave) a personal autorizado. Existirá, por lo tanto, un registro de estos accesos. 8.3 PROTECCIÓN DEL ENTORNO 11 Medidas de protección medioambiental. Las salas en las que se ubiquen los servidores tendrán sistemas de detección y extinción de incendios. La temperatura de la sala estará 9 CGS 2.1.7. Ubicación física de los servidores y equipos 10 CGS 2.1.7. Ubicación física de los servidores y equipos 11 CGS 2.1.7. Ubicación física de los servidores y equipos Red Informática Judicial de Andalucía (REDIUS) Página 23
en los rangos de operación definidos por los fabricantes (habitualmente a través de sistemas de aire acondicionado). Por último, en caso de riesgo de daños por agua (tuberías, instalaciones aéreas de aire acondicionado refrigeradas por agua, ) existirán sistemas que mitiguen o prevengan los daños en los equipos y servidores. Garantía de suministro eléctrico. Existirán mecanismos que aseguren el suministro eléctrico no sólo a los servidores en los que se ubiquen los sistemas de gestión procesal sino también a los diferentes elementos necesarios para asegurar la conectividad de los usuarios a los servicios críticos. 8.4 PERSONAL CON PRIVILEGIOS ESPECIALES El personal con permisos de acceso privilegiados a las instalaciones físicas del CPD de la Administración de Justicia se encontrará listado en el presente Documento de Seguridad. Red Informática Judicial de Andalucía (REDIUS) Página 24
9 REDES Y COMUNICACIONES La transmisión de datos de carácter personal a través de redes de telecomunicaciones se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros. 12 La red en la que se ubiquen sistemas y a la que accedan los usuarios de los sistemas de información al servicio de la Administración de Justicia estará protegida de accesos no autorizados. El acceso a otras redes estará protegido a través de cortafuegos (firewalls) u otro tipo de mecanismos que aseguren en las comunicaciones a través de las redes locales un nivel de protección suficiente frente a las amenazas de terceros. Este apartado también incluye la existencia y actualización periódica de mecanismos de protección frente a virus u otros códigos maliciosos. Los dispositivos de red (como encaminadores routers -) también estarán adecuadamente securizados y protegidos. La conectividad remota ( teletrabajo ) a través de redes públicas de datos estará adecuadamente protegida, en línea con las soluciones tecnológicas de seguridad existentes en cada momento. Igualmente, la conectividad a través de redes inalámbricas requerirá la configuración (con los mecanismos actualmente disponibles o los que puedan existir en el futuro) segura de la misma. La Administración de forma remota de los equipos y servidores, en caso de ser necesaria, se realizará mediante canales seguros. 12 CGS 2.1.5 Redes y comunicaciones Red Informática Judicial de Andalucía (REDIUS) Página 25
10 DISPOSICIONES GENERALES Las normas que se describen en este apartado se encuentran desarrolladas por procedimientos y medidas en el anexo Disposiciones generales y los controles se desarrollan en el anexo Controles de validación del cumplimiento del Documento de Seguridad. 10.1 FICHEROS TEMPORALES Se considera que un fichero temporal es todo aquel fichero que se crea a partir de la información existente en los sistemas y aplicaciones centrales de la Administración de Justicia con el objetivo de cubrir un objetivo determinado y finito en el tiempo, como por ejemplo un estudio de expedientes. No se permite la creación de ficheros temporales sin autorización expresa del Responsable del Fichero. Los ficheros temporales que se creen en los deberán localizarse en los directorios de red existentes y estar protegidos con unas medidas de seguridad equivalentes a las establecidas en el presente Documento de Seguridad en función del nivel en que se clasifiquen los datos. Los ficheros que se creen de forma temporal en los deberán ser eliminados una vez termine la finalidad para la que fueron creados. La responsabilidad de la eliminación de los ficheros de carácter temporal recaerá en el usuario que creó dicho fichero. 10.2 TRABAJO FUERA DE LOS LOCALES DE UBICACIÓN No se permite el trabajo con datos fuera de los lugares de ubicación de la Administración de Justicia a menos que este trabajo se encuentre autorizado de forma explicita por el Responsable del Fichero. Se considera como trabajo fuera de los lugares de ubicación a cualquier tratamiento de la información con datos de carácter personal fuera de las instalaciones donde residen los servidores centrales de los datos. Cualquier copia de la información de los sistemas centrales que se realice para hacer un tratamiento fuera de los locales de ubicación se protegerá con las medidas de seguridad establecidas en este Documento de Seguridad en función del nivel de los ficheros. Red Informática Judicial de Andalucía (REDIUS) Página 26
Todos los PCs de los usuarios tienen deshabilitada las disquetera (el equipo que la posea) y puertos serie y USB, excepto los equipos de Jueces, Magistrados y Secretarios. 10.3 ACCESO A TRAVÉS DE REDES DE COMUNICACIONES Se considera que un acceso a través de una red de comunicaciones se da cuando la información atraviesa un medio que no se encuentra controlado en su totalidad por la Administración de Justicia, como por ejemplo Internet o intranets compartidas con otros organismos. En este sentido, no se permite el acceso a datos a través de redes de comunicaciones que no se encuentren descritas de forma explicita en el presente Documento de Seguridad. Cualquier acceso a través de redes de comunicaciones deberá garantizar que se cumplen las medidas de seguridad establecidas por el nivel de los datos accedidos según el presente Documento de Seguridad. Los accesos a datos a través de redes de comunicaciones que sean considerados como de nivel alto según el presente Documento de Seguridad se realizaran cifrando las comunicaciones. Red Informática Judicial de Andalucía (REDIUS) Página 27
11 OTROS ASPECTOS 11.1 CONTROLES DE APLICACIÓN DE LAS MEDIDAS Se deberán diseñar y aplicar controles que permitan evaluar el grado de cumplimiento de la Administración de Justicia del Reglamento de Medidas de Seguridad En el anexo Controles de validación del Documento de Seguridad se describen los controles establecidos por la Administración de Justicia para el seguimiento y estudio de las medidas de seguridad establecidas en el presente Documento de Seguridad. 11.2 AUDITORÍA Para los ficheros de nivel medio y alto, los sistemas de información e instalaciones de tratamiento de datos se someterán a una auditoria, interna o externa, encargada de verificar el cumplimiento del Reglamento de Seguridad y de los procedimientos e instrucciones vigentes en materia de seguridad de los datos. La periodicidad de estas auditorias nunca será superior a dos años. Los informes de auditoria resultado de las revisiones realizadas por los auditores, dictaminarán sobre la adecuación al Reglamento de Seguridad de las medidas y controles existentes en la Administración de Justicia, identificando sus deficiencias y proponiendo las medidas correctoras o complementarias necesarias. Dichos informes aportarán la evidencia necesaria (datos, hechos, observaciones, etc.) que soporte los dictámenes alcanzados y las recomendaciones propuestas. Adicionalmente, serán analizados por el Responsable de Seguridad competente, que elevará las conclusiones para que la Administración de Justicia adopte las medidas correctoras adecuadas. Estos informes quedan a disposición de la Agencia de Protección de Datos. 13 Al menos cada dos años se revisará el grado de implantación del modelo de seguridad sobre los sistemas de información e infraestructura tecnológica al servicio de la Administración de Justicia y el nivel de madurez de los controles. El análisis tendrá un alcance completo y, como consecuencia del mismo, se derivará además del diagnóstico, un seguimiento de las acciones previstas asociadas a la mejora continua en el nivel de seguridad y control. Además, cuando proceda, incluirá propuestas asociadas a la resolución de los aspectos susceptibles de mejora. 13 CGS 2.1.13 Revisiones periódicas Red Informática Judicial de Andalucía (REDIUS) Página 28
11.3 ACTUALIZACIÓN DEL DOCUMENTO El presente Documento de Seguridad deberá estar permanentemente actualizado, incluyendo los recursos protegidos, las medidas de seguridad que se establezcan así como la normativa de datos de carácter personal. 11.4 PRESTACIONES DE TERCEROS Las prestaciones realizadas por terceros al respecto de Sistemas de Gestión Procesal que traten datos de carácter personal deberán estar adecuadamente reflejadas en un contrato que cumpla el artículo 12 de la LOPD y que fuerce a la aplicación de las medidas establecidas en el Reglamento de Medidas de Seguridad. Las medidas de seguridad que diseñen y apliquen los terceros que realicen tratamiento de datos de carácter personal de la Administración de Justicia deberán ser revisadas periódicamente. 14 Las Administraciones Públicas competentes en la provisión de recursos y medios materiales mantendrán un registro actualizado de las organizaciones prestadoras de servicios que pudieran tener acceso a información de gestión procesal. En este sentido, estarán identificados para cada organización las funciones asociadas, las personas con acceso, Las Administraciones Públicas arbitrarán mecanismos de seguimiento y control de las empresas o entidades que prestan asistencias técnicas de forma que sea posible conseguir un nivel asimilable de control a la realización interna de las funciones. Los sistemas de seguimiento y control pueden estar basados en estándares, como por ejemplo ITIL. En cualquier caso, las cláusulas contractuales considerarán acuerdos de confidencialidad que prevalecerán aún cuando haya finalizado el contrato. 11.5 CONFIGURACIÓN DE INFRAESTRUCTURA TECNOLÓGICA 15 Los servidores en los que se ubiquen los sistemas de gestión procesal deberán prevenir riesgos asociados a accesos no autorizados derivados de la existencia de aplicaciones y/o sistemas no relacionados con aspectos jurisdiccionales (por ejemplo: sistemas de información soporte a las áreas, departamentos o consejerías de educación, agricultura, ). Para ello, implantarán las medidas y medios tecnológicos necesarios para garantizar la independencia, unicidad y protección de los datos. Las plataformas tecnológicas soporte a los sistemas de gestión procesal (lo que también incluye sistemas operativos y bases de datos y, cuando proceda, configuraciones en puestos clientes) estarán configuradas de acuerdo a guías y estándares de securización adecuadamente formalizadas y actualizadas. La posibilidad de realizar cambios sobre 14 CGS 2.1.11. Contratos de prestación de servicios 15 CGS 2.1.1. Configuración de infraestructura tecnológica Red Informática Judicial de Andalucía (REDIUS) Página 29
esta configuración estará restringida, previa aprobación, a un reducido número de usuarios (personal técnico especializado). Existirá un registro de cambios (que incluye la instalación de parches u otro tipo de soluciones facilitadas por el proveedor). Con carácter general, existirá una separación efectiva entre los entornos de desarrollo y producción. 11.6 OPERACIÓN DE LOS SISTEMAS DE GESTIÓN PROCESAL 16 Las Administraciones Públicas arbitrarán mecanismos que permitan el mantenimiento y actualización de las aplicaciones asociadas a la gestión procesal. Asimismo, existirán registros de incidencias o de solicitudes de mantenimientos evolutivos y se realizará un seguimiento de la resolución y/o cierre de las mismas. Por otra parte, se restringirán los privilegios de instalación de programas diferentes a los previstos en las maquetas de equipos ofimáticos definidas. Estas aplicaciones podrán ser instaladas exclusivamente por los administradores autorizados, que en todo momento seguirán las normas señaladas en el Documento de seguridad. Eventualmente, se realizará un seguimiento para identificar software no corporativo instalado en los equipos de usuario. Las excepciones que se identifiquen y el análisis de las mismas permitirán arbitrar las medidas de sensibilización y concienciación aplicables. En todo momento los datos gestionados con las herramientas ofimáticas o aplicaciones distintas a las previstas, seguirán los mismos criterios de seguridad, que los establecidos para las aplicaciones corporativas. En ningún caso se crearán ficheros de carácter personal distintos a los declarados atendiendo a los requerimientos de la Ley Orgánica de Protección de Datos. Los sistemas de gestión procesal dispondrán de mecanismos de seguimiento de la frecuencia de acceso de los diferentes identificadores de usuario al sistema. Es decir, permitirán identificar usuarios que no han accedido durante un determinado período de tiempo al sistema de gestión procesal. 16 CGS 2.1.12. Procesamiento paralelo por parte del usuario final Red Informática Judicial de Andalucía (REDIUS) Página 30