Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria

Contenidos Organismos relacionados con la seguridad informática

Anuncio 
Seguridad y Alta Disponibilidad
Legislación y normas sobre seguridad
Carlos Villarrubia Jiménez
Escuela Superior de Informática
Universidad de Castilla-La Mancha
Contenidos
●
●
●
●
Organismos relacionados con la seguridad
informática
Normas sobre gestión de seguridad de la
información
Legislación sobre los servicios de la sociedad de
la información y correo electrónico
Legislación sobre protección de datos
http://www.esi.uclm.es
Organismos relacionados con
la seguridad informática
●
Agencia Española de Protección de Datos:
www.agpd.es
●
SANS Institute: www.sans.org
●
Centros de respuesta a incidentes:
●
CERT: www.cert.org
●
FIRST: www.first.org
●
Centro Nacional de Inteligencia: www.ccn-cert.cni.es
●
Inteco: cert.inteco.es
●
IRIS-CERT: www.rediris.es/cert
2
Normas ISO sobre gestión de
seguridad de la información
●
●
ISO 27001:2005: Sistemas de Gestión de la
Seguridad de la Información (SGSI). Requisitos
ISO 27002:2005: Código de buenas prácticas para
la gestión de la seguridad de la información
Normas ISO sobre gestión de
seguridad de la información
●
●
ISO TR 13335:1996 Guía para la gestión de la
seguridad de TI.
●
Parte 1: Conceptos y modelos para la seguridad de TI
●
Parte 2: Gestión y planificación de la seguridad de TI
●
Parte 3: Técnicas para la gestión de la seguridad de TI
ISO 7498-2:Interconexión de sistemas abiertos –
Modelo de referencia básico. Parte 2: Arquitectura
de seguridad
Legislación sobre los servicios de la
sociedad de la información y correo
electrónico
●
Ley 34/2002, de Servicios de Sociedad de la
Información y de Comercio Electrónico
●
●
●
●
Identificación de la empresa
Precios de los productos/servicios y
totalidad de gastos
Acuse de recibo en los pedidos
Publicidad electrónica identificada con
“publicidad” o “publi” y el emisor
Legislación sobre protección
de datos
●
Contexto legislativo
●
Concepto de dato de carácter personal
●
Obligaciones
●
Derechos de las personas
●
Infracciones y sanciones
Legislación vigente
●
●
●
Constitución Española. Artículo 18.4: La ley
limitará el uso de la informática para garantizar el
honor y la intimidad personal y familiar de los
ciudadanos y el pleno ejercicio de sus derechos
Ley Orgánica 15/1999 de Protección de Datos de
Carácter Personal (LOPD)
Real Decreto 1720/2007 por el que se aprueba el
Reglamento de Desarrollo de la LOPD (RLOPD)
Ejemplos de ficheros con
datos
1.Curso Seguridad: Nombre y apellidos
2.Curso Seguridad: NIF
3.Curso Seguridad: Nombre, apellidos y huella
dactilar
4.Curso Seguridad: Nombre, apellidos y nota del
curso
5.Curso Seguridad: Dirección IP del cliente, página
accedida y fecha
6.Multas de tráfico: Matrícula e importe de multa
Ejemplos de ficheros con
datos
6.Acceso al edificio: Nombre, apellidos, DNI y sexo
7.Acceso al edificio: Nombre, apellidos, DNI, sexo y
raza
8.Nomina: Nombre, apellidos y salario
9.Recursos Humanos: Nombre, apellidos, salario,
retención físcal y descuento por nº de hijos
10.Recursos Humanos: Nombre, apellidos, salario,
retención fiscal, descuento por nº de hijos,
descuento por grado de discapacidad y abono por
afiliación sindical
Ejemplos de ficheros con
datos
11.Biblioteca: DNI y libros prestados
12.Accidentes: DNI, accidente sufrido y fecha
13.Clientes bancarios: DNI y saldo en la cuenta
14.Asociaciones: Nombre asociación, dirección,
nombre y apellidos del representante
15.Directorio: Nombre, apellidos, correo electrónico
y extensión telefónica
Concepto de dato de carácter
personal
●
●
Es toda información de cualquier clase (numérica,
alfabética, gráfica, fotográfica, acústica, etc.)
concerniente a personas físicas identificadas o
identificables
Ejemplos: Nombre, domicilio postal y/o
electrónico, DNI, teléfono, nota de una examen,
fotografía, nº de zapato, etc
Tipos de datos según la
seguridad requerida
●
Nivel Básico: Todos los datos personales que no
sean de nivel medio o alto. Nivel por defecto
●
Nivel Medio: Datos más sensibles
●
Nivel Alto: Datos especialmente protegidos
Nivel Básico
●
Identificativos, características personales,
circunstancias sociales, académicos y
profesionales, empleo y puestos de trabajo,
información comercial, económica, etc...
Nivel Medio
●
Infracciones administrativas o penales, ficheros de
solvencia patrimonial y crédito, administración
tributaria, prestación de servicios financieros,
seguridad social, mutuas de accidentes y los que
permiten evaluar la personalidad
Nivel Alto
●
Salud
●
Vida sexual
●
Origen racial
●
Ideología y creencias
●
Afiliación sindical
●
Religión
●
Violencia de género
●
Datos recabados para fines policiales sin
consentimiento
Excepciones
●
Un fichero tiene el nivel del dato con mayor nivel
excepto:
●
●
Datos de nivel alto con la única finalidad de realizar
una transferencia dineraria a las entidades de las que
los afectados sean miembros
Datos de salud relativos al grado de discapacidad con
motivo de cumplimiento de deberes públicos
Ejemplos de ficheros con
datos
1.Curso Seguridad: Nombre y apellidos
2.Curso Seguridad: NIF
3.Curso Seguridad: Nombre, apellidos y huella
dactilar
4.Curso Seguridad: Nombre, apellidos y nota del
curso
5.Curso Seguridad: Dirección IP del cliente, página
accedida y fecha
6.Multas de tráfico: Matrícula e importe de multa
Ejemplos de ficheros con
datos
6.Acceso al edificio: Nombre, apellidos, DNI y sexo
7.Acceso al edificio: Nombre, apellidos, DNI, sexo y
raza
8.Nomina: Nombre, apellidos y salario
9.Recursos Humanos: Nombre, apellidos, salario,
retención físcal y descuento por nº de hijos
10.Recursos Humanos: Nombre, apellidos, salario,
retención fiscal, descuento por nº de hijos,
descuento por grado de discapacidad y abono por
afiliación sindical
Ejemplos de ficheros con
datos
11.Biblioteca: DNI y libros prestados
12.Accidentes: DNI, accidente sufrido y fecha
13.Clientes bancarios: DNI y saldo en la cuenta
14.Asociaciones: Nombre asociación, dirección,
nombre y apellidos del representante
15.Directorio: Nombre, apellidos, correo electrónico
y extensión telefónica
Obligaciones básicas
●
●
Con carácter previo a la recogida de los datos
●
Durante el tratamiento de los datos
●
Una vez finalizado el tratamiento
Obligaciones antes de la
recogida
●
Creación y notificación de ficheros
●
Calidad de los datos
●
Información al interesado
●
Consentimiento del interesado
Obligaciones durante el
tratamiento de los datos
●
Calidad de los datos
●
Deber de secreto
●
Cesión de los datos
●
Acceso a datos por cuenta de terceros
●
Modificación de ficheros
●
Transferencias internacionales de datos
●
Seguridad de los datos
Seguridad de los datos
1.Documento de
seguridad
2.Responsable de
seguridad
7.Gestión y distribución
de soportes y
documentos
3.Auditoría
8.Copias de respaldo y
recuperación
4.Personal
9.Registro de incidencias
5.Identificación y
autentificación
10.Telecomunicaciones
6.Control y registro de
accesos
●
1 Documento de seguridad
●
●
Normativa con el ámbito, medidas, normas y
procedimientos
Nivel medio:
●
●
Identifica a los responsables de seguridad
Establece los controles periódicos de cumplimiento del
documento de seguridad
2 Responsable de seguridad
●
Nivel medio:
●
●
Encargado de coordinar y controlar las medidas de
seguridad
No es una delegación de responsabilidad del
responsable del fichero
3 Auditoría
●
Nivel medio:
●
●
Interna o externa al menos cada 2 años
Informe de adecuación a las medidas, deficiencias
identificadas y propone medidas correctoras
●
Analizado por el responsable de seguridad
●
A disposición de la AGPD
4 Personal
●
●
Funciones y obligaciones de todo el personal con
acceso a los datos
Difusión entre el personal de las normas que les
afecten y las consecuencias por incumplimiento
5 Identificación y autenticación
●
●
●
●
Existencia de medidas de identificación y
autenticación de usuarios
Identificación unívoca a cada usuario
Si se utilizan contraseñas existirá un
procedimiento de asignación, distribución y
almacenamiento que garantice su confidencialidad
e integridad
Renovación mínima anual de contraseñas y
almacenamiento cifrado
5 Identificación y autenticación
●
Nivel medio:
●
Mecanismo que limite el nº de intentos reiterados de
acceso no autorizado
6 Control y registro de
accesos
●
●
●
●
Cada usuario accede únicamente a los datos y
recursos necesarios para el desarrollo de sus
funciones
Existe una relación actualizada de usuarios,
perfiles y accesos autorizados
Existen mecanismos para controlar los derechos
con que se accede a los recursos
Existen mecanismos que gestionen la concesión
de permisos de acceso sólo por personal
autorizado en el documento de seguridad
6 Control y registro de
accesos
●
Nivel medio:
●
●
Control de acceso físico a los locales donde se
encuentre los equipos
Nivel alto:
●
●
●
Se registran los intentos de acceso y los accesos
auotirzados
El registro se conserva durante 2 años bajo control del
responsable de seguridad que realiza un informe
mensual
Excepción: persona física como responsable y acceso
unipersonal
7 Gestión y distribución de
soportes y documentos
●
Identificación del tipo de información contenida
●
Se mantiene un inventario
●
Se almacenan con acceso restringido
●
●
Se debe autorizar la salida de soportes y adoptar
medidas de seguridad para evitar la sustracción,
pérdida o acceso indebido
Se adoptan medidas en caso de desecho de
soportes
7 Gestión y distribución de
soportes y documentos
●
Nivel medio:
●
●
Registro de entrada y salida de soportes
Nivel alto:
●
●
Sistema de etiquetado sólo comprensible para los
usuarios autorizados
Se cifran los datos en la distribución de soportes y en
los dispositivos portátiles
8 Copias de respaldo y
recuperación
●
●
●
●
●
Debe existir un procedimiento de copias de
respaldo y recuperación de datos
El procedimiento garantiza la reconstrucción de
los datos en el estado original
Se realiza una copia de respaldo semanal
Comprobación cada seis del sistema de copias de
respaldo y recuperación
Las pruebas no se realizarán con datos reales
salvo con medidas de seguridad y se ha hecho
una copia de respaldo previamente
8 Copias de respaldo y
recuperación
●
Nivel alto:
●
Debe existir una copia de respaldo y de los
procedimientos de recuperación en lugar diferente del
que se encuentren los equipos
9 Registro de incidencias
●
Se debe registrar las incidencias
●
Nivel medio:
●
●
Registro de realización de procedimiento de
recuperación y persona que lo ejecuta, datos
restaurados y grabados manualmente
Autorización expresa de la ejecución de los
procedimientos de recuperación de datos
10 Telecomunicaciones
●
Nivel alto:
●
La transmisión de datos a través de redes públicas o
de redes inalámbricas debe ser cifrada
Obligaciones finalizado el
tratamiento de los datos
●
Cancelación y bloque de los datos
●
Supresión de ficheros
Derechos de las personas
●
●
Impugnación de valoraciones
Derecho de consulta al Registro General de
Protección de Datos
●
Derecho de indemnización
●
Derechos ARCO:
●
Acceso
●
Rectificación
●
Cancelación
●
Oposición
Infracciones y sanciones
●
Leves: De 601€ a 60.000€
●
Graves: De 60.001 a 300.000€
●
Muy graves: De 300.001€ a 600.000€
Documentación
●
●
Sitios web de los organismos indicados
anteriormente
La protección de datos personas versión 2.0.
Soluciones en entornos Microsoft
Documentos relacionados
Examen mensual de personal social
Examen mensual de personal social
justificación ausencia entrenadores
justificación ausencia entrenadores
2da HOJA DE TRABAJO (3)
2da HOJA DE TRABAJO (3)
Grado de Educación Social
Grado de Educación Social
http://www.cifuentesnet.com/cofradia/HojaInscripcion.doc
http://www.cifuentesnet.com/cofradia/HojaInscripcion.doc
FORMULARIO DE CONSULTA AL CONTENIDO DEL REGISTRO
FORMULARIO DE CONSULTA AL CONTENIDO DEL REGISTRO
IdentCandidatas
IdentCandidatas
ficha de datos generales de agrupacion
ficha de datos generales de agrupacion
certificado modelo
certificado modelo
Descargar
Anuncio
Anuncio