tuGuíaLegal.com

 Inicio  |  Vivienda  |  Empresa  |  Consumidores  |  Familia y Herencia  |  Tecnología  |  En un minuto
   

TUGUIALEGAL

Presentación

Mapa del web

Sugerencias

Contactar

SERVICIOS

Consultas

Formularios

Directorio web

Guía Notarial

Lo + útil

Legislación Euskadi

DIRECTO A...

B.O. Unión Europea

B.O.E.

B.O. País Vasco

B.O. Guipúzcoa

Otros boletines

Rtro. Mercantil Central

R.M. Provinciales

Entidades Religiosas

Catastro de Navarra

Catastro de Gipuzkoa

SITNA

O.E.P.M.

Infotel

Bormenet

Marcanet

Camerdata

Derecho de las Nuevas Tecnologías - Documento de Seguridad. [2/4]

2).- Contenido del Documento de Seguridad de nivel básico.
 
 

AMBITO DE APLICACION

 
Se aplica a todos los ficheros automatizados de datos de carácter personal, cualquiera que sea el tipo o la naturaleza de los datos incluidos en el fichero.
  

 

CONTENIDO DEL DOCUMENTO DE SEGURIDAD (Nivel Básico)

 
1.- El ámbito de aplicación del Documento de Seguridad.
2.- Las medidas, normas y procedimientos encaminados a garantizar el nivel de seguridad exigido en Reglamento de Medidas de Seguridad.
3.- Las funciones y obligaciones del personal que tiene acceso a los datos.
4.- La estructura de los ficheros y la descripción de los sistemas de información que los tratan.
5.- El procedimiento de notificación, gestión y respuesta ante las incidencias.
6.- Los procedimientos de realización de copias de respaldo y de recuperación de los datos.
  

 

ESQUEMA DE UN DOCUMENTO DE SEGURIDAD DE NIVEL BASICO

1.- AMBITO DE APLICACION:  El Documento de Seguridad deberá expresar el ámbito de aplicación del mismo, con especificación detallada de los recursos protegidos. A modo de ejemplo, el Documento de Seguridad deberá contener las siguientes determinaciones:
  • Indicación de la empresa, entidad u organización de cualquier tipo a la que se aplica el Documento de Seguridad que se elabora.
  • Identificación del Responsable del Fichero y de la ubicación física del mismo.
  • Identificación de las personas a las que por tener acceso a los datos les sea de aplicación las medidas de seguridad establecidas en el documento. 

2.- MEDIDAS, NORMAS Y PROCEDIMIENTOS DE SEGURIDAD: El Documento de Seguridad incluirá el conjunto de medidas, normas, procedimientos, reglas y estándares encaminados a garantizar el nivel de seguridad exigido en Reglamento de Medidas de Seguridad, de acuerdo con el nivel de seguridad aplicable.

  • Se describirán detalladamente el sistema informático a través del cual se accede a los ficheros de datos, indicando los equipos informáticos existentes, aislados o conectados en red, sus características técnicas, la existencia de conexiones remotas y el tipo de las mismas (módem analógico, ADSL, RDSI, cable, etc), el sistema operativo utilizado, los sistemas de protección existentes como antivirus o firewalls y las características técnicas de los mismos.
  • Se expresarán las medidas de seguridad existentes, tanto las medidas de seguridad físicas del local en el que se ubiquen los ficheros como las medidas de seguridad con que cuente el sistema informático. 
3.- FUNCIONES Y OBLIGACIONES DEL PERSONAL: En relación al personal deben indicarse los siguientes extremos:
  • Se mencionarán todas y cada una de las personas que tengan acceso a los datos incluidos en el fichero, con indicación de las funciones, obligaciones y prerrogativas de acceso de cada uno de ellos en relación con los datos.
  • Igualmente se mencionarán cualesquiera personas o empresas ajenas a la organización de que se trate que tengan acceso a los datos por razón de servicios que presten a la organización (por ejemplo, empresas de mantenimiento del hardware o del software).

4.- ESTRUCTURA DE LOS FICHEROS: El Documento de Seguridad debe expresar la estructura de los ficheros y la descripción de los sistemas de información que los tratan.

  • Se describirá la estructura de los ficheros que contienen los datos de carácter personal, sus características y la finalidad de los mismos.
  • Se describirán los programas informáticos utilizados para el tratamiento de los datos.

 5.- PROCEDIMIENTO DE INCIDENCIAS:  Ha de contemplar un procedimiento de notificación, gestión y respuesta ante las incidencias, que implica contar con un Registro de Incidencias en el que se anotará lo siguiente:

  • Las incidencias que se produzcan que afecten a la seguridad de los datos.
  • El momento en que se han producido.
  • La persona que ha notificado la existencia de la incidencia y la persona a la que se comunica la incidencia.
  • El procedimiento seguido y las medidas adoptadas como consecuencia de la incidencia producida.

6.- COPIAS DE RESPALDO: Ha de contemplar un procedimiento de copias de respaldo y de recuperación de los datos.

  • Se expresará el procedimiento para la realización de copias de respaldo (copias de seguridad), así como el procedimiento para la recuperación de los datos, indicando los medios técnicos o programas que se utilizan para esas tareas.
  • Tales procedimientos deberán garantizar la reconstrucción de los datos en el estado en que se encontraban al tiempo de su pérdida o destrucción.
  • Se indicará la periodicidad con que se realicen las copias de respaldo o de seguridad, que deberá ser al menos de una copia por semana.
7.- GESTION DE SOPORTES: Los soportes informáticos que contengan datos de carácter personal deben cumplir los siguientes requisitos:
  • Deben estar etiquetados de forma que permitan conocer la información que contienen. 
  • Deben ser inventariados.
  • Deben almacenarse en un lugar al que sólo tenga acceso el personal autorizado para ello en el propio Documento de Seguridad.  
8.- IDENTIFICACION Y AUTENTICACION: En orden a la identificación y autenticación de los usuarios debe preverse lo siguiente:
  • El Responsable del Fichero mantendrá una relación actualizada de usuarios con derecho de acceso al sistema de información que contenga los datos personales
  • Establecerá igualmente un sistema de identificación (reconocimiento de la identidad) y autenticación (comprobación de la identidad) de tales usuarios
  • Cuando la autenticación de los usuarios se base en la existencia de contraseñas, éstas deberán cumplir los siguientes requisitos:

  • Se establecerá un sistema de asignación, distribución y almacenamiento de las mismas que garantice su integridad y confidencialidad.

  • Las contraseñas se almacenarán de forma ininteligible.

  • Las contraseñas se cambiarán con la periodicidad que señale el Documento de Seguridad.

Cada usuario podrá acceder únicamente a los datos que sean necesarios para el desarrollo de la función que tiene encomendada.

 

  
  
  

Copyright © 2000-2002, tuGuíaLegal.com  info@tuguialegal.com
Se ve mejor con Internet Explorer 5.0
 Aviso Legal