La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Auditoría Informática

Presentaciones similares


Presentación del tema: "Auditoría Informática"— Transcripción de la presentación:

1 Auditoría Informática
Reglamento de Medidas de Seguridad Salir Continuar

2 Índice Introducción Niveles de Seguridad Documento de Seguridad
El Responsable de Seguridad Sanciones Salir

3 Introducción Objetivo: Establecer las medidas de índole técnica y organizativas necesarias para garantizar la seguridad que deben reunir: Los ficheros automatizados Los centros de tratamientos locales Equipos Sistemas Programas Personas que intervienen en el proceso

4 Introducción Antecedentes Internacionales:
La Declaración Universal de los Derechos Humanos adoptada y proclamada por la ONU el 10 de diciembre de 1948. El Convenio Europeo para la Protección de los Derechos Humanos y Libertades Fundamentales de 4 de noviembre de 1950. La Resolución 721/80. Informática y protección de los derechos del hombre. La Recomendación 890/80. Protección de datos de carácter personal.

5 Introducción Antecedentes en España:
En la Constitución Española: Artículo 18. Derecho al honor, a la intimidad y a la propia imagen Se garantiza el derecho al honor, a la intimidad personal y familiar y a la propia imagen. La Ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos.

6 Introducción Principios reguladores de la protección de datos:
Solo podrán recogerse aquellos datos de carácter personal que sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido. Dichos datos no podrán usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos. Los datos deben ser exactos y el responsable del fichero deberá actualizarlos de oficio en caso de ser inexactos. Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados.

7 Introducción Derechos de los particulares:
Derecho a la información: consentimiento del afectado. Derecho de acceso: Derecho a obtener información de los datos de carácter personal sometido a tratamiento. Derecho de rectificación. Derecho de cancelación. Deber de secreto.

8 Índice Introducción  Niveles de Seguridad Documento de Seguridad
El Responsable de Seguridad Sanciones Salir

9 Niveles de Seguridad Los niveles de seguridad son los siguientes:
Nivel Básico Nivel Medio Nivel Alto

10 Niveles de Seguridad Existen Medidas de Seguridad a tomar según la clasificación de nivel de seguridad anterior: Medidas de Seguridad de nivel básico: Sistema de Registro de incidencias. Relación actualizada usuarios/recursos autorizados (art y art RMS). Existencia de mecanismos de identificación y autenticación de los accesos autorizados (art. 11 RMS).

11 Niveles de Seguridad Restricción solo a los datos necesarios para cumplir cada función (art. 12 RMS). Gestión de soportes informáticos con datos de carácter personal (art RMS). Inventariados. Con acceso restringido. Copias de seguridad semanalmente.

12 Niveles de Seguridad Medidas de seguridad de nivel medio, además de lo estipulado para el nivel bajo: Designación de uno o varios responsables de seguridad (art. 16 RMS). Auditoría al menos una vez cada dos años. Mecanismos para identificación inequívoca y personalizada de los usuarios (art. 18 RMS). Limitación de los intentos de acceso no autorizados (art RMS). Medidas de control de acceso físico a los locales (art. 19 RMS).

13 Niveles de Seguridad Establecimiento de un registro de entradas y salidas de soportes informáticos (art. 20 y 21 RMS). Establecimiento de medidas para impedir la recuperación indebida de información contenida en soportes desechados o ubicados fuera de su lugar habitual (art y 4 RMS). Consignación en el registro de incidencias de las operaciones de recuperación de datos, que deberán ser autorizados por escrito por el responsable del fichero (art. 21 RMS).

14 Niveles de Seguridad Medidas de seguridad de nivel alto, además de lo indicado para el nivel medio: Los soportes para distribución deberán tener la información cifrada (art. 23 RMS). Registro de accesos autorizados y denegados (art. 24 RMS). Guardar estos registros durante 2 años. Copias de seguridad guardadas en sitios diferentes (art. 25 RMS). Transmisiones cifradas (art. 26 RMS).

15 Niveles de Seguridad Otras medidas de seguridad exigibles a todos los ficheros: Los accesos por red están sujetos a las mismas medidas de seguridad exigibles del nivel de seguridad en modo local (art. 5 RMS). El tratamiento de los datos fuera del local será autorizado expresamente por el responsable del fichero. Los ficheros temporales se borrarán una vez usados, también se les aplicará el nivel de seguridad pertinente. El responsable del fichero elaborará el documento de seguridad (art. 8.1 RMS). Las pruebas con datos reales seguirán las medidas de seguridad pertinentes (art. 22 RMS).

16 Índice Introducción  Niveles de Seguridad  Documento de Seguridad
El Responsable de Seguridad Sanciones Salir

17 Documento de Seguridad
Introducción: En el Reglamento no se indica la forma sino el contenido. Está destinado al personal con acceso a los datos automatizados. Redactado por el responsable del fichero. Es un documento dinámico.

18 Documento de Seguridad
Contenido del documento: Ámbito de aplicación del documento, con especificación detallada de los recursos protegidos. Medidas, normas, procedimientos, reglas y estándares encaminados a garantizar el nivel de seguridad exigido en el Reglamento. Funciones y obligaciones del personal. Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información que los tratan. Procedimiento de notificación, gestión y respuesta ante las incidencias.

19 Documento de Seguridad
Contenido del documento: Procedimientos de realización de copias de seguridad y recuperación de datos. Identificación del personal autorizado para conceder, alterar o anular el acceso a los datos (art RMS). Identificación del responsable o responsables de seguridad (art. 15 RMS). Procedimiento de eliminación de datos cuando un soporte vaya a ser desechado o reutilizado (art. 15 RMS). Identificación del personal con acceso a los locales donde se encuentran los sistemas de información (art. 19 RMS).

20 Documento de Seguridad
Medidas de índole técnica y organizativa: Las medidas de seguridad deben responder según el art. 17 de la Directiva 95/46/CE A los conocimientos técnicos existentes Al coste de su aplicación A los riesgos que presente el tratamiento de los datos A la naturaleza de estos En la transposición de la Directiva de la LOPD se omite la referencia al coste de la adopción.

21 Documento de Seguridad
Medidas de índole técnica y organizativa: Medidas técnicas Medidas organizativas Garantía de que los accesos a datos de carácter personal a través de redes de comunicaciones deberán garantizar un nivel de seguridad equivalente al correspondiente a los accesos en modo local (art. 5) La ejecución del tratamiento de datos de carácter personal fuera de la ubicación del fichero deberá ser autorizada expresamente por el responsable del fichero, y en todo caso, deberá garantizarse el nivel de seguridad correspondiente al tipo de fichero tratado (art. 6) Los ficheros temporales deberán cumplir el nivel de seguridad que le corresponda con arreglo a los criterios establecidos en el RMS (art. 7) Todo fichero temporal será borrado una vez que haya dejado de ser necesario para los fines que motivaron su creación (art. 7)

22 Documento de Seguridad
Medidas de índole técnica y organizativa: Medidas técnicas Medidas organizativas Cuando el mecanismo de autenticación se base en la existencia de contraseñas existirá un procedimiento de asignación, distribución y almacenamiento que garantice su confidencialidad e integridad. Las contraseñas se cambiarán con la periodicidad que se determine en el documento de seguridad y mientras estén vigentes se almacenarán de forma inteligible (encriptadas) (art. 11 y 18 NM) El procedimiento de notificación y gestión de incidencias contendrá necesariamente un registro en el que se haga constar el tipo de incidencia, el momento en que se ha producido, la persona que realiza la notificación, a quién se le comunica y los efectos que se hubieren derivado de la misma (art. 10). En el registro de incidencias se consignarán los procedimientos de recuperación de datos (art. 21 NM)

23 Documento de Seguridad
Medidas de índole técnica y organizativa: Medidas técnicas Medidas organizativas Gestión de soportes: identificación de la información que contienen. La salida de soportes informáticos fuera del lugar del tratamiento requerirá autorización del responsable del fichero (art. 13) Registro de entrada-salida de soportes (art. 20 NM). Borrado de datos en los soportes desechados o reutilizados (art. 20 NM). Medidas para evitar la recuperación indebida de los datos contenidos en soportes fuera de los locales de tratamiento (art. 20 NM)

24 Documento de Seguridad
Medidas de índole técnica y organizativa: Medidas técnicas Medidas organizativas Establecimiento del procedimiento de copias de seguridad (art. 14) Identificación del responsable de seguridad y calendario de auditorías en el documento de seguridad (art. 15 NM) Responsable de seguridad (art. 16 NM) Auditorías (art. 17 NM) Control de acceso físico (art. 19 NM)

25 Documento de Seguridad
Medidas de índole técnica y organizativa: Funciones y obligaciones del personal: Funciones de los usuarios: root Administrador Usuarios . . . Procedimiento de acceso.

26 Índice Introducción  Niveles de Seguridad  Documento de Seguridad 
El Responsable de Seguridad Sanciones Salir

27 El Responsable de Seguridad
Nivel Medio y Alto: Coordinar y controlar las medidas definidas en el documento de seguridad: Analizar los informes de auditoría Control de los mecanismos de acceso del art. 24 Informes de los registros No tiene las responsabilidades del responsable del fichero.

28 Índice Introducción  Niveles de Seguridad  Documento de Seguridad 
El Responsable de Seguridad  Sanciones Salir

29 Sanciones Responsabilidades:
Art. 9.2 ”El responsable del fichero adoptará las medidas necesarias para que el personal conozca las normas de seguridad que afecten al desarrollo de sus funciones así como las consecuencias en que pudiera incurrir en caso de incumplimiento”. Art. 16 “El responsable del fichero designará uno o varios responsables de seguridad encargados de coordinar y controlar las medidas definidas en el documento de seguridad. En ningún caso esta designación supone una delegación de la responsabilidad que corresponde al responsable del fichero de acuerdo con este Reglamento”.

30 Sanciones Sanciones aplicables: Sanciones en la LOPD
Leves: de 601,01 a ,21 € Graves: de ,21 a ,05 € Muy graves: de ,05 a ,10 € La cuantía de las sanciones se graduará atendiendo a la naturaleza de los derechos personales afectados, al volumen de los tratamientos efectuados , a los beneficios obtenidos, al grado de intencionalidad, a la reincidencia, a los daños y perjuicios causados a las personas interesadas y a terceras personas, y a cualquier otra circunstancia que sea relevante para determinar el grado de anti juridicidad y de culpabilidad presentes en la concreta actuación infractora.

31 Auditoría Informática
Gracias por su atención


Descargar ppt "Auditoría Informática"

Presentaciones similares


Anuncios Google