Seguridad y Alta Disponibilidad

Legislacin y normas sobre seguridad

Carlos Villarrubia Jimnez

Escuela Superior de Informtica
Universidad de Castilla-La Mancha

Organismos relacionados con

Contenidos
la seguridad informtica
Organismos relacionados con la seguridad Agencia Espaola de Proteccin de Datos:
informtica www.agpd.es
Normas sobre gestin de seguridad de la SANS Institute: www.sans.org
informacin Centros de respuesta a incidentes:
Legislacin sobre los servicios de la sociedad de CERT: www.cert.org
la informacin y correo electrnico FIRST: www.first.org
Legislacin sobre proteccin de datos Centro Nacional de Inteligencia: www.ccn-cert.cni.es
Inteco: cert.inteco.es
IRIS-CERT: www.rediris.es/cert

http://www.esi.uclm.es 2

Normas ISO sobre gestin de Normas ISO sobre gestin de

seguridad de la informacin
ISO 27001:2005: Sistemas de Gestin de la
Seguridad de la Informacin (SGSI). Requisitos
ISO 27002:2005: Cdigo de buenas prcticas para
la gestin de la seguridad de la informacin
seguridad de la informacin
ISO TR 13335:1996 Gua para la gestin de la
seguridad de TI.
Parte 1: Conceptos y modelos para la seguridad de TI
Parte 2: Gestin y planificacin de la seguridad de TI
Parte 3: Tcnicas para la gestin de la seguridad de TI
ISO 7498-2:Interconexin de sistemas abiertos
Modelo de referencia bsico. Parte 2: Arquitectura
de seguridad
 Legislacin sobre los servicios de la
sociedad de la informacin y correo
electrnico
Ley 34/2002, de Servicios de Sociedad de la
Informacin y de Comercio Electrnico
Identificacin de la empresa
Precios de los productos/servicios y
totalidad de gastos
Acuse de recibo en los pedidos
Publicidad electrnica identificada con
publicidad o publi y el emisor
Ejemplos de ficheros con
datos
1.Curso Seguridad: Nombre y apellidos
2.Curso Seguridad: NIF
3.Curso Seguridad: Nombre, apellidos y huella
dactilar
4.Curso Seguridad: Nombre, apellidos y nota del
curso
5.Curso Seguridad: Direccin IP del cliente, pgina
accedida y fecha
6.Multas de trfico: Matrcula e importe de multa
Ejemplos de ficheros con
datos
11.Biblioteca: DNI y libros prestados
12.Accidentes: DNI, accidente sufrido y fecha
13.Clientes bancarios: DNI y saldo en la cuenta
14.Asociaciones: Nombre asociacin, direccin,
nombre y apellidos del representante
15.Directorio: Nombre, apellidos, correo electrnico
y extensin telefnica
Legislacin sobre proteccin
de datos
Contexto legislativo
Concepto de dato de carcter personal
Obligaciones
Derechos de las personas
Infracciones y sanciones
Legislacin vigente
Constitucin Espaola. Artculo 18.4: La ley
limitar el uso de la informtica para garantizar el
honor y la intimidad personal y familiar de los
ciudadanos y el pleno ejercicio de sus derechos
Ley Orgnica 15/1999 de Proteccin de Datos de
Carcter Personal (LOPD)
Real Decreto 1720/2007 por el que se aprueba el
Reglamento de Desarrollo de la LOPD (RLOPD)
Ejemplos de ficheros con
datos
6.Acceso al edificio: Nombre, apellidos, DNI y sexo
7.Acceso al edificio: Nombre, apellidos, DNI, sexo y
raza
8.Nomina: Nombre, apellidos y salario
9.Recursos Humanos: Nombre, apellidos, salario,
retencin fscal y descuento por n de hijos
10.Recursos Humanos: Nombre, apellidos, salario,
retencin fiscal, descuento por n de hijos,
descuento por grado de discapacidad y abono por
afiliacin sindical
Concepto de dato de carcter
personal
Es toda informacin de cualquier clase (numrica,
alfabtica, grfica, fotogrfica, acstica, etc.)
concerniente a personas fsicas identificadas o
identificables
Ejemplos: Nombre, domicilio postal y/o
electrnico, DNI, telfono, nota de una examen,
fotografa, n de zapato, etc
 Tipos de datos segn la
seguridad requerida
Nivel Bsico: Todos los datos personales que no
sean de nivel medio o alto. Nivel por defecto
Nivel Medio: Datos ms sensibles
Nivel Alto: Datos especialmente protegidos
Nivel Bsico
Identificativos, caractersticas personales,
circunstancias sociales, acadmicos y
profesionales, empleo y puestos de trabajo,
informacin comercial, econmica, etc...

Nivel Medio Nivel Alto

Infracciones administrativas o penales, ficheros de Salud

solvencia patrimonial y crdito, administracin Vida sexual
tributaria, prestacin de servicios financieros,
seguridad social, mutuas de accidentes y los que Origen racial
permiten evaluar la personalidad Ideologa y creencias
Afiliacin sindical
Religin
Violencia de gnero
Datos recabados para fines policiales sin
consentimiento

Ejemplos de ficheros con

Excepciones
Un fichero tiene el nivel del dato con mayor nivel
excepto:
Datos de nivel alto con la nica finalidad de realizar
una transferencia dineraria a las entidades de las que
los afectados sean miembros
Datos de salud relativos al grado de discapacidad con
motivo de cumplimiento de deberes pblicos
datos
1.Curso Seguridad: Nombre y apellidos
2.Curso Seguridad: NIF
3.Curso Seguridad: Nombre, apellidos y huella
dactilar
4.Curso Seguridad: Nombre, apellidos y nota del
curso
5.Curso Seguridad: Direccin IP del cliente, pgina
accedida y fecha
6.Multas de trfico: Matrcula e importe de multa

Ejemplos de ficheros con Ejemplos de ficheros con

datos
6.Acceso al edificio: Nombre, apellidos, DNI y sexo
7.Acceso al edificio: Nombre, apellidos, DNI, sexo y
raza
8.Nomina: Nombre, apellidos y salario
9.Recursos Humanos: Nombre, apellidos, salario,
retencin fscal y descuento por n de hijos
10.Recursos Humanos: Nombre, apellidos, salario,
retencin fiscal, descuento por n de hijos,
descuento por grado de discapacidad y abono por
afiliacin sindical
datos
11.Biblioteca: DNI y libros prestados
12.Accidentes: DNI, accidente sufrido y fecha
13.Clientes bancarios: DNI y saldo en la cuenta
14.Asociaciones: Nombre asociacin, direccin,
nombre y apellidos del representante
15.Directorio: Nombre, apellidos, correo electrnico
y extensin telefnica
 Obligaciones bsicas

Con carcter previo a la recogida de los datos

Durante el tratamiento de los datos
Una vez finalizado el tratamiento

Obligaciones antes de la Obligaciones durante el

recogida tratamiento de los datos
Creacin y notificacin de ficheros Calidad de los datos
Calidad de los datos Deber de secreto
Informacin al interesado Cesin de los datos
Consentimiento del interesado Acceso a datos por cuenta de terceros
Modificacin de ficheros
Transferencias internacionales de datos
Seguridad de los datos

Seguridad de los datos 1 Documento de seguridad

1.Documento de 7.Gestin y distribucin Normativa con el mbito, medidas, normas y

seguridad de soportes y procedimientos
2.Responsable de documentos Nivel medio:
seguridad 8.Copias de respaldo y Identifica a los responsables de seguridad
3.Auditora recuperacin Establece los controles peridicos de cumplimiento del
4.Personal 9.Registro de incidencias documento de seguridad

5.Identificacin y 10.Telecomunicaciones
autentificacin
6.Control y registro de
accesos

2 Responsable de seguridad 3 Auditora

Nivel medio: Nivel medio:

Encargado de coordinar y controlar las medidas de
seguridad
No es una delegacin de responsabilidad del
responsable del fichero
Interna o externa al menos cada 2 aos
Informe de adecuacin a las medidas, deficiencias
identificadas y propone medidas correctoras
Analizado por el responsable de seguridad
A disposicin de la AGPD
 4 Personal 5 Identificacin y autenticacin

Funciones y obligaciones de todo el personal con Existencia de medidas de identificacin y

acceso a los datos
Difusin entre el personal de las normas que les
afecten y las consecuencias por incumplimiento
autenticacin de usuarios
Identificacin unvoca a cada usuario
Si se utilizan contraseas existir un
procedimiento de asignacin, distribucin y
almacenamiento que garantice su confidencialidad
e integridad
Renovacin mnima anual de contraseas y
almacenamiento cifrado

6 Control y registro de
5 Identificacin y autenticacin
accesos
Nivel medio: Cada usuario accede nicamente a los datos y
Mecanismo que limite el n de intentos reiterados de recursos necesarios para el desarrollo de sus
acceso no autorizado funciones
Existe una relacin actualizada de usuarios,
perfiles y accesos autorizados
Existen mecanismos para controlar los derechos
con que se accede a los recursos
Existen mecanismos que gestionen la concesin
de permisos de acceso slo por personal
autorizado en el documento de seguridad

6 Control y registro de 7 Gestin y distribucin de

accesos soportes y documentos
Nivel medio: Identificacin del tipo de informacin contenida
Control de acceso fsico a los locales donde se Se mantiene un inventario
encuentre los equipos
Se almacenan con acceso restringido
Nivel alto:
Se debe autorizar la salida de soportes y adoptar
Se registran los intentos de acceso y los accesos
auotirzados
medidas de seguridad para evitar la sustraccin,
prdida o acceso indebido
El registro se conserva durante 2 aos bajo control del
responsable de seguridad que realiza un informe Se adoptan medidas en caso de desecho de
mensual soportes
Excepcin: persona fsica como responsable y acceso
unipersonal

7 Gestin y distribucin de 8 Copias de respaldo y

soportes y documentos recuperacin
Nivel medio: Debe existir un procedimiento de copias de
Registro de entrada y salida de soportes respaldo y recuperacin de datos
Nivel alto: El procedimiento garantiza la reconstruccin de
los datos en el estado original
Sistema de etiquetado slo comprensible para los
usuarios autorizados Se realiza una copia de respaldo semanal
Se cifran los datos en la distribucin de soportes y en Comprobacin cada seis del sistema de copias de
los dispositivos porttiles respaldo y recuperacin
Las pruebas no se realizarn con datos reales
salvo con medidas de seguridad y se ha hecho
una copia de respaldo previamente
 8 Copias de respaldo y
9 Registro de incidencias
recuperacin
Nivel alto: Se debe registrar las incidencias
Debe existir una copia de respaldo y de los Nivel medio:
procedimientos de recuperacin en lugar diferente del
que se encuentren los equipos
Registro de realizacin de procedimiento de
recuperacin y persona que lo ejecuta, datos
restaurados y grabados manualmente
Autorizacin expresa de la ejecucin de los
procedimientos de recuperacin de datos

Obligaciones finalizado el
10 Telecomunicaciones
tratamiento de los datos
Nivel alto: Cancelacin y bloque de los datos
La transmisin de datos a travs de redes pblicas o Supresin de ficheros
de redes inalmbricas debe ser cifrada

Derechos de las personas Infracciones y sanciones

Impugnacin de valoraciones Leves: De 601 a 60.000

Derecho de consulta al Registro General de Graves: De 60.001 a 300.000
Proteccin de Datos Muy graves: De 300.001 a 600.000
Derecho de indemnizacin
Derechos ARCO:
Acceso
Rectificacin
Cancelacin
Oposicin

Documentacin

Sitios web de los organismos indicados

anteriormente
La proteccin de datos personas versin 2.0.
Soluciones en entornos Microsoft