El documento de seguridad (II). Nivel básico.

 

AMBITO DE APLICACION : Se aplica a todos los ficheros automatizados de datos de carácter personal, cualquiera que sea el tipo o la naturaleza de los datos incluidos en el fichero.

ESQUEMA DE UN DOCUMENTO DE SEGURIDAD DE NIVEL BASICO

1.- AMBITO DE APLICACION:  El Documento de Seguridad deberá expresar el ámbito de aplicación del mismo, con especificación detallada de los recursos protegidos. A modo de ejemplo, el Documento de Seguridad deberá contener las siguientes determinaciones:

  • Indicación de la empresa, entidad u organización de cualquier tipo a la que se aplica el Documento de Seguridad que se elabora.
  • Identificación del Responsable del Fichero y de la ubicación física del mismo.
  • Identificación de las personas a las que por tener acceso a los datos les sea de aplicación las medidas de seguridad establecidas en el documento.

2.- MEDIDAS, NORMAS Y PROCEDIMIENTOS DE SEGURIDAD: El Documento de Seguridad incluirá el conjunto de medidas, normas, procedimientos, reglas y estándares encaminados a garantizar el nivel de seguridad exigido en Reglamento de Medidas de Seguridad, de acuerdo con el nivel de seguridad aplicable.

  • Se describirán detalladamente el sistema informático a través del cual se accede a los ficheros de datos, indicando los equipos informáticos existentes, aislados o conectados en red, sus características técnicas, la existencia de conexiones remotas y el tipo de las mismas (módem analógico, ADSL, RDSI, cable, etc), el sistema operativo utilizado, los sistemas de protección existentes como antivirus o firewalls y las características técnicas de los mismos.
  • Se expresarán las medidas de seguridad existentes, tanto las medidas de seguridad físicas del local en el que se ubiquen los ficheros como las medidas de seguridad con que cuente el sistema informático.

3.- FUNCIONES Y OBLIGACIONES DEL PERSONAL: En relación al personal deben indicarse los siguientes extremos:

  • Se mencionarán las funciones y obligaciones de cada uno de los usuarios.
  • Se definirán las funciones de control o autorizaciones delegadas por el responsable del fichero.
  • Se adoptarán las medidas necesarias para que el personal conozca las normas de seguridad que afecten al desarrollo de sus funciones y las consecuencias de su incumplimiento.

4.- ESTRUCTURA DE LOS FICHEROS: El Documento de Seguridad debe expresar la estructura de los ficheros y la descripción de los sistemas de información que los tratan.

  • Se describirá la estructura de los ficheros que contienen los datos de carácter personal, sus características y la finalidad de los mismos.
  • Se describirán los programas informáticos utilizados para el tratamiento de los datos.

5.- PROCEDIMIENTO DE INCIDENCIAS:  Ha de contemplar un procedimiento de notificación, gestión y respuesta ante las incidencias, que implica contar con un Registro de Incidencias en el que se anotará lo siguiente:

  • Las incidencias que se produzcan que afecten a la seguridad de los datos.
  • El momento en que se han producido.
  • La persona que ha notificado la existencia de la incidencia y la persona a la que se comunica la incidencia.
  • El procedimiento seguido y las medidas adoptadas como consecuencia de la incidencia producida.

6.- COPIAS DE RESPALDO: Ha de contemplar un procedimiento de copias de respaldo y de recuperación de los datos.

  • Se expresará el procedimiento para la realización de copias de respaldo (copias de seguridad), así como el procedimiento para la recuperación de los datos, indicando los medios técnicos o programas que se utilizan para esas tareas.
  • Tales procedimientos deberán garantizar la reconstrucción de los datos en el estado en que se encontraban al tiempo de su pérdida o destrucción.
  • Se indicará la periodicidad con que se realicen las copias de respaldo o de seguridad, que deberá ser al menos de una copia por semana.

7.- GESTION DE SOPORTES: Medidas que deban adoptarse para el transporte de soportes y documentos, su reutilización o su destrucción. Los soportes informáticos que contengan datos de carácter personal deben cumplir los siguientes requisitos:

  • Deben estar etiquetados de forma que permitan conocer la información que contienen.
  • Deben ser inventariados.
  • Deben ser accesibles únicamente por el personal autorizado para ello en el propio Documento de Seguridad.

8.- IDENTIFICACION Y AUTENTICACION: El responsable del fichero deberá adoptar las medidas que garanticen la correcta identificación y autenticación de los usuarios.Debe preverse lo siguiente:

  • El Responsable del Fichero establecerá un mecanismo que permita identificar de forma inequívoca a todo usuario así como verificar que está autorizado para acceder a los datos.
  • Cuando la autenticación de los usuarios se base en la existencia de contraseñas, deberá existir un procedimiento de asignación, distribución y almacenamiento de las mismas que garantice su confidencialidad e integridad, y deberán ser cambiadas periódicamente al menos una vez al año.

 

Anuncios


Categorías:Nuevas Tecnologías

Etiquetas:

A %d blogueros les gusta esto: