Documentos de Académico
Documentos de Profesional
Documentos de Cultura
DOCUMENTO DE SEGURIDAD
Servicio de Informática
Documento de Seguridad
HOJA DE CONTROL
FECHA DE CREACIÓN
VERSIÓN 1.0 2 3 4 5 6 7 8 9
FECHA 30/03/2009
FECHA DE MODIFICACIÓN
VERSIÓN FECHA ELABORADO REVISADO APROBADO
1.0 30/03/2009
1.1 30/11/2009
1.2 10/12/2010
2
Servicio de Informática
Documento de Seguridad
Índice de contenido
1. INTRODUCCIÓN................................................................................................................6
2. ORGANIZACIÓN DEL DOCUMENTO....................................................................................8
3. ÁMBITO DE APLICACIÓN DEL DOCUMENTO......................................................................8
3.1 FICHEROS.........................................................................................................................................9
3.2 RECURSOS PROTEGIDOS................................................................................................................10
3.2.1 CENTROS DE TRATAMIENTO Y LOCALES..................................................................................10
3.2.1.1 CPD.................................................................................................................................11
3.2.2. ENTORNO TECNOLÓGICO.......................................................................................................11
3.2.2.1 SERVICIOS.......................................................................................................................12
3.2.2.2. SERVIDORES Y SOFTWARE BASE....................................................................................14
3.2.2.3 RED DE COMUNICACIONES.............................................................................................15
4. MEDIDAS, NORMAS, PROCEDIMIENTOS, REGLAS Y ESTÁNDARES ENCAMINADOS A
GARANTIZAR LOS NIVELES DE SEGURIDAD EXIGIDOS EN EL DOCUMENTO.........................17
4.1 IDENTIFICACIÓN Y AUTENTICACIÓN................................................................................................17
4.1.1 GESTIÓN DE CONTRASEÑAS....................................................................................................17
4.2 CONTROL DE ACCESO....................................................................................................................18
4.2.1. CONTROL DE ACCESO FÍSICO................................................................................................20
4.2.1.1. NORMATIVA DE CONTROL DE ACCESO FÍSICO................................................................20
4.2.1.2. PROCEDIMIENTO DE CONTROL DE ACCESO FÍSICO........................................................21
4.2.1.3. MEDIDAS DE CONTROL DE ACCESO FÍSICO....................................................................21
4.2.2. REGISTRO DE ACCESOS.........................................................................................................21
4.3. GESTIÓN DE SOPORTES Y DOCUMENTOS......................................................................................22
4.3.1. REGISTRO DE ENTRADA Y SALIDA DE SOPORTES...................................................................23
4.3.1.1. PROCEDIMIENTO DE RECEPCIÓN DE SOPORTES............................................................24
4.3.1.2. PROCEDIMIENTO DE EMISIÓN DE SOPORTES.................................................................24
4.3.1.3. PROCEDIMIENTO DE TRASLADO DE SOPORTES DE RESPALDO A OTRO EDIFICIO...........25
4.3.2. GESTIÓN Y DISTRIBUCIÓN DE SOPORTES..............................................................................26
4.3.3. CRITERIOS DE ARCHIVO.........................................................................................................26
4.3.4. ALMACENAMIENTO DE LA INFORMACIÓN..............................................................................27
4.3.5. CUSTODIA DE SOPORTES......................................................................................................27
4.4 ACCESO A DATOS A TRAVÉS DE REDES DE COMUNICACIONES.......................................................27
4.5. RÉGIMEN DE TRABAJO FUERA DE LOS LOCALES DE LA UBICACIÓN DEL FICHERO........................28
4.6. TRASLADO DE DOCUMENTACIÓN..................................................................................................28
4.7. FICHEROS TEMPORALES................................................................................................................29
4.7.1. NORMATIVA PARA EL TRATAMIENTO DE FICHEROS TEMPORALES...........................................29
4.8. COPIA O REPRODUCCIÓN..............................................................................................................30
4.9. COPIAS DE SEGURIDAD.................................................................................................................30
3
Servicio de Informática
Documento de Seguridad
4
Servicio de Informática
Documento de Seguridad
5
Servicio de Informática
Documento de Seguridad
1. INTRODUCCIÓN
El Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley
Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (RLOPD), especifica que
se puede disponer de un solo documento que incluya todos los ficheros y tratamientos con datos personales
de los que una persona física o jurídica sea responsable, un documento por cada fichero o tratamiento, o los
que determine el responsable atendiendo a los criterios organizativos que haya establecido. Cualquiera de las
opciones puede ser válida. En este caso se ha optado por el primer tipo, organizando el “documento de
seguridad” en dos partes: en la primera se recogen las medidas que afectan a todos los sistemas de
información de forma común con independencia del sistema de tratamiento sobre el que se organizan:
informatizado, manual o mixto, y en la segunda se incluye un anexo por cada fichero o tratamiento, con las
medidas que le afecten de forma concreta. Además, se ha especificado aquellas medidas que afectan sólo a
ficheros automatizados y las que afectan a los no automatizados de forma exclusiva.
El Servicio de Informática, responsable directo del mantenimiento y explotación de REDIUS, tiene la siguiente
estructura organizativa:
● Jefatura de Servicio:
○ Jefe de Servicio.
6
Servicio de Informática
Documento de Seguridad
○ Secretaría.
○ Asesor de seguridad
● Departamento de Sistemas.
● Departamento de Desarrollo.
● Departamento de Explotación.
● Departamento de Planificación.
Cada provincia cuenta con una Unidad Informática Provincial responsable de la asistencia informática in situ
de las diversas Sedes Judiciales.
En el ámbito de las Sedes Judiciales, la coordinación funcional superior de estas unidades es ejercida por la
Jefatura del Servicio de Informática de DGIS.
7
Servicio de Informática
Documento de Seguridad
NIVEL MEDIO: con esta marca se señalarán las medidas que sólo son obligatorias en los ficheros que
tengan que adoptar un nivel de seguridad medio.
NIVEL ALTO: Con esta marca se señalarán las medidas que sólo son obligatorias en los ficheros que tengan
que adoptar un nivel de seguridad alto.
AUTOMATIZADOS: Con esta marca se señalarán las medidas específicas para aplicar exclusivamente a
ficheros informatizados o automatizados.
MANUALES: Con esta marca se señalarán las medidas específicas para aplicar exclusivamente a ficheros
manuales o no automatizados.
Las medidas que no van precedidas de ninguna de estas marcas deben aplicarse con carácter general, tanto
a ficheros o tratamientos automatizados como no automatizados y con independencia del nivel de seguridad
correspondiente.
El presente documento será de aplicación a los ficheros que contienen datos de carácter personal que se
hallan bajo la responsabilidad de la DIRECCIÓN GENERAL DE INFRAESTRUCTURAS Y SISTEMAS,
incluyendo los sistemas de información, soportes y equipos empleados para el tratamiento de datos de
carácter personal, que deban ser protegidos de acuerdo a lo dispuesto en normativa vigente, las personas que
intervienen en el tratamiento y los locales en los que se ubican.
Las medidas de seguridad se clasifican en tres niveles acumulativos (básico, medio y alto) atendiendo a la
naturaleza de la información tratada, en relación con la menor o mayor necesidad de garantizar la
confidencialidad y la integridad de la información.
Nivel básico: Se aplicarán a cualquier fichero que contenga datos de carácter personal. También aquellos
ficheros que contengan datos de ideología, afiliación sindical, religión, creencias, salud, origen racial o vida
sexual, cuando:
● los datos se utilicen con la única finalidad de realizar una transferencia dineraria a entidades de las
que los afectados sean asociados o miembros;
8
Servicio de Informática
Documento de Seguridad
● en los ficheros o tratamientos que contengan datos de salud, que se refieran exclusivamente al grado
o condición de discapacidad o la simple declaración de invalidez, con motivo del cumplimiento de
deberes públicos.
● que se rijan por el artículo 29 de la LOPD (prestación de servicios de solvencia patrimonial y crédito);
● de entidades financieras para las finalidades relacionadas con la prestación de servicios financieros;
● de Entidades Gestoras y Servicios Comunes de Seguridad Social, que se relacionen con el ejercicio de
sus competencias;
● de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual y respecto de los
que no se prevea la posibilidad de adoptar el nivel básico;
3.1 FICHEROS
En concreto, los ficheros sujetos a las medidas de seguridad establecidas en este documento, con indicación
del nivel de seguridad correspondiente, son los siguientes:
9
Servicio de Informática
Documento de Seguridad
En el Anexo I se describen detalladamente cada uno de los ficheros o tratamientos, junto con los aspectos que
les afecten de manera particular.
La protección de los datos del Fichero frente a accesos no autorizados se realiza mediante el control de todos
los recursos que, bien por medio directo o indirecto nos permita acceder al Fichero. Estos recursos protegidos
son:
Los ficheros que contienen DCPs y los servidores que realizan los tratamientos se encuentran ubicados en el
CPD del edificio situado en la calle Muñoz Torrero, 1, Sevilla.
10
Servicio de Informática
Documento de Seguridad
En el Anexo II se relacionan las personas con acceso a los lugares donde se hallan instalados los equipos
físicos que dan soporte a los sistemas de información.
3.2.1.1 CPD
En el CPD se encuentran ubicados los servidores de aplicaciones, los de bases de datos y los servidores de
ficheros. Estos son los equipos donde se realizan los tratamientos y donde se almacenan los ficheros con
DCPs.
El CPD es una dependencia del edificio habilitada especialmente para esta función y en la que se han
dispuesto las siguientes medidas de disponibilidad y seguridad:
● Aire acondicionado
● Falso suelo
● Falso techo
● Armario ignífugo para almacenar las cintas que contienen las copias de respaldo de los SS.II.
El Servicio de Informática actúa como nodo central de un sistema distribuido. Existe conexión con todas las
sedes judiciales, para tareas administrativas, a través de la red corporativa de la Junta de Andalucía.
La antigua Consejería de Justicia y Administración Pública culminó a finales de 2001 la ejecución del
denominado “Plan Adriano”, de informatización integral de los Órganos Judiciales de la Comunidad Autónoma
de Andalucía. Este proyecto se centró en dos grandes objetivos:
El mantenimiento y explotación de REDIUS exigió la creación del Centro de Gestión y Explotación de la Red
Judicial de Andalucía, CEIURIS, una unidad de gestión centralizada ubicada en Sevilla.
En la actualidad REDIUS consta de 160 Sedes Judiciales dispersas por toda Andalucía, con un número
cercano a los 11.200 puestos de usuario.
11
Servicio de Informática
Documento de Seguridad
● Sedes Judiciales (160). En ellas se ubican los usuarios y prestan sus servicios las distintas unidades
judiciales.
● Nodos Provinciales (8). Existe uno por provincia, ubicado en la Delegación Provincial de la Consejería.
Punto de intercambio de información entre las Sedes Judiciales de su provincia, presta además
diversos servicios informáticos de carácter provincial.
● Nodo Central (1). En él se ubica el Centro de Explotación de REDIUS, y desde él se prestan los
servicios informáticos de carácter centralizado para toda la Red Judicial. Se encuentra en Sevilla, y
corresponde a la Sede del Servicio de Informática de la Dirección General de Infraestructuras y
Sistemas, en adelante DGIS.
3.2.2.1 SERVICIOS
Bajo el nombre ADRIANO se identifica el grupo de aplicativos dedicados a la gestión procesal (uno por cada
jurisdicción). Su arquitectura es cliente-servidor y se encuentran desarrollados en Visual Basic.
Las bases de datos procesales se encuentran distribuidas, es decir, cada Sede Judicial alberga una.
El intercambio de asuntos judiciales (itineraciones, recursos, etc.) se realiza a través de los Nodos Provinciales
a través de la herramienta Nautius.
Existen diversos servicios, de carácter centralizado, entre los que cabe destacar:
○ Portales web.
○ Agendas de señalamientos.
12
Servicio de Informática
Documento de Seguridad
○ SAVA
○ Web Mercantil
○ Protocolo de adicciones
● Servicios de soporte
○ Notario Electrónico.
Proporciona un servicio de sellado de tiempo (TSA) para otras aplicaciones. Éstas envían al
Notario un hash md5 al que se asigna un sello de tiempo. No se guarda el documento pero sí el
sello de tiempo. Emite, además, acuses de recibo.
Este servicio es prestado no solo a REDIUS, sino a toda la Junta de Andalucía y a diversos
organismos externos.
○ Gestión de inventarios
● Correo.
● Acceso a Internet
13
Servicio de Informática
Documento de Seguridad
El SGBD más extendido es Oracle 10g, actualmente se está ejecutando un proceso de migración a la versión
10.2 de dicho SGBD. También es utilizado el producto Microsoft SQL Server, pero solamente para bases de
datos de gestión en el Nodo Central.
● Servidores HP Integrity (IT2) con HPUX v11 y software de cluster ServiceGuard. Presentes solamente
en el Nodo Central, asumen la función de servidores de base de datos de producción.
● Servidores Intel Xeon con Suse Linux ES10. Presentes solamente en el Nodo Central, proporcionan
diversos servicios de red (proxy-caché, etc.) y de aplicación basado en Java (Tomcat, Jboss e IBM
Websphere), para los entornos de Producción, Preproducción, Desarrollo y Formación.
● Servidor IBM P-SERIES 570 con Suse Linux ES10. Presente solamente en el Nodo Central, es un
servidor de virtualización AIX/Linux que contiene diversos servidores que suministran servicios de red
(DNS, LDAP, etc.) y de aplicación basado en Java (Tomcat, Jboss e IBM Websphere), para los
entornos de Producción, Preproducción, Desarrollo y Formación.
● Servidores Intel Xeon con Microsoft Windows 2003. Se encuentran presentes en todas las Sedes de
REDIUS. En el ámbito de las Sedes Judiciales asumen dos papeles principales: servidores de base de
datos y de ficheros. En el Nodo Central sus papeles son diversos, predominando el servicio de
aplicación (Microsoft Internet Aplication Server).
● Servidores Intel Xeon con VMWare para la virtualización de diversos servidores Windows 2003 y Linux
ES10, además de entornos de formación con PC's virtuales Windows XP.
● BMC Patrol.
● Nagios.
● HP Insight Manager.
● IBM Director.
● En las Sedes Judiciales y Nodos Provinciales se utiliza el producto Veritas Backup Exec 10.
14
Servicio de Informática
Documento de Seguridad
La gestión de incidencias se basa en el producto BMC Remedy. Existen interfaces de integración con Patrol y
con diversos inventarios: de Sedes, de servidores, de líneas, etc.
3.2.2.3 RED DE COMUNICACIONES
Las sedes de REDIUS se encuentran conectadas entre sí a través del servicio de transporte IP proporcionado
por la Red Corporativa de la Junta de Andalucía, RCJA. Los encaminadores son administrados por RCJA.
No existe una conexión directa de REDIUS con el exterior. Las comunicaciones con el exterior se fundamentan
en los servicios proporcionados por el nodo de interconexión, seguridad y acceso, NIX, nodo de acceso
perteneciente a la RCJA.
El ancho de banda WAN mínimo, aplicable a las sedes pequeñas, es actualmente de 2 Mbps de bajada
asegurados, y 640 Kbps de subida (tecnologías ADSL). También existen sedes con conexión LMDS de 1Mbps
full-duplex.
La Red Corporativa está compuesta por una red troncal principal, y mediante nodos en cabeceras de
provincias proporciona la interconexión de las distintas Redes de Área Local (LANs) de las Delegaciones
Provinciales con la Red de Área Local (LAN) que alberga los Servicios Centrales, en Sevilla, de la Consejería.
La implantación de las medidas de seguridad en los accesos a la red desde Internet son responsabilidad de la
Red Corporativa que mantiene la configuración de los equipos y da soporte.
Aún así y debido a la complejidad de la Red Judicial, se ha instalado una Red Privada Virtual (VPN) que
engloba a todos los Órganos Judiciales y edificios de la Consejería (se incluye CEIURIS) que imposibilita la
conexión a los Servidores de Justicia desde cualquier otro organismo de la Red Corporativa y también
imposibilita las conexiones externas a la Red Corporativa.
15
Servicio de Informática
Documento de Seguridad
Toda la red Judicial se puede considerar red interna, los servidores considerados públicos (servidor web,
pasarela de correo web) están fuera de ella. El firewall se encuentra en el NIX de la Red Corporativa donde es
gestionado y la salida a Internet así como el correo web va vía NIX a través de dicho firewall.
Para acrecentar la seguridad de la red interna se ha instalado en CEIURIS un firewall que permite implantar
una zona desmilitarizada, DMZ, donde se han colocado los servidores de acceso externo (Servidor de
Notarización, servidor intranet, etc.). Además, se ha creado otra zona desmilitarizada apartada tanto de la Red
Interna como de la DMZ para los servicios que se suministran para los usuarios que se encuentren en
Internet (fuera de RCJA).
Dos cortafuegos en alta disponibilidad, Nokia IP 530 y 350 con software Check Point FireWall-1, protegen las
diversas VLAN que conforman el Nodo Central.
En las Sedes Judiciales y Nodos Provinciales la función cortafuegos es asumida por los equipos Lucent FW
Brick 150.
En el Nodo Central existe un sistema de detección de intrusiones basado en la plataforma Nokia IP 330 con
software Real Secure de ISS.
El acceso a Internet se realiza a través de “Proxy-caché” basados en el producto Open Source Squid, sobre
plataforma Linux.
El tráfico de acceso a la WWW, así como los mensajes de correo que entran y salen de REDIUS, son filtrados
por tres appliances de seguridad perimetral Panda Gate Defender Performa.
Las comunicaciones entre las diversas sedes de REDIUS son cifradas mediante su encapsulamiento en
túneles IPSec. La VPN así definida se fundamenta en los equipos Brick 150 y Brick 350 de Lucent
Technologies.
A nivel de red, las sedes son monitorizadas mediante los productos IBM Tivoli Netview y 3com Network
Supervisor.
16
Servicio de Informática
Documento de Seguridad
Esta normativa recoge las reglas a aplicar en la gestión de usuarios con acceso a los SS.II., con objeto de
establecer mecanismos que eviten el acceso incontrolado a los recursos de información presentes en los
sistemas.
1. Todos los usuarios con acceso a un sistema de información, dispondrán de una autorización de
acceso compuesta de identificador de usuario y contraseña.
2. No se permitirá, con carácter general, el acceso a los sistemas a través de usuarios genéricos.
3. No se permite el acceso a los sistemas de información con un identificador que no sea el propio, así
como comunicarlo y /o cederlo a cualquier otra persona.
4. Los sistemas permitirán asociar períodos de validez a los identificadores de usuario de forma que
fuera de ese rango de fechas el sistema prevenga la autenticación a través de dicho identificador.
5. Cada 90 días se desactivan las cuentas que tienen un periodo de inactividad superior a 60 días.
1. La asignación de contraseña inicial será aleatoria y comunicadas a los usuarios de forma que se
garantice la confidencialidad e integridad de las mismas.
3. Las contraseñas deberán tener al menos 8 caracteres y estar compuestas por letras (mayúsculas y/o
17
Servicio de Informática
Documento de Seguridad
• No contener el nombre de cuenta del usuario o partes del nombre completo del
usuario en más de dos caracteres consecutivos
• Mayúsculas (de la A a la Z)
• Minúsculas (de la a a la z)
• Dígitos (del 0 al 9)
4. El sistema obligará al cambio de las contraseñas iniciales al autenticarse por primera vez en el
sistema.
5.
AUTOMATIZADOS
NIVEL MEDIO
El sistema inhabilitará, aquel puesto que intente conectarse de forma consecutiva mediante identificadores
y/o contraseñas incorrectas. El número máximo de intentos permitidos será de 5.
El personal sólo accederá a aquellos datos y recursos que precise para el desarrollo de sus funciones. El
18
Servicio de Informática
Documento de Seguridad
responsable del fichero establecerá los siguientes mecanismos para evitar que un usuario pueda acceder a
recursos con derechos distintos de los autorizados:
1. Segmentación de los accesos para cada uno de los SS.II. mediante la definición de perfiles de
usuarios, donde se especificarán el tipo de acceso autorizado (consulta, actualización, administración,
etc.).
2. Cada uno de los usuarios estará asignado a un perfil por cada sistema al que tenga acceso, de
manera que exclusivamente tenga acceso autorizado a los recursos que precisa para desempeñar su
función.
3. Cada acceso autorizado a los SS.II. deberá estar identificado unívocamente con el usuario
correspondiente.
4. La generación de altas y bajas de usuario, así como la modificación de derechos de acceso de los
usuarios, se tramitarán exclusivamente a través del medio establecido y siguiendo el procedimiento de
gestión de usuarios.
Deberá existir un registro actualizado de los usuarios con acceso autorizado para cada sistema de
información.
● Nombre de usuario.
● Puesto de trabajo.
● Identificador de usuario.
● Perfil de usuario
El procedimiento definido a continuación es de obligado cumplimiento para todas aquellas unidades técnicas
implicadas en la gestión de las credenciales de acceso a la red:
➢ El Departamento de Sistemas elaborará cada vez una lista de usuarios de red desactivados que será
proporcionada a las diversas unidades técnicas interesadas. Se pretende con ello que también las restantes
credenciales de acceso del usuario puedan ser desactivadas.
➢Las cuentas desactivadas podrán ser vueltas a activar siguiendo el correspondiente Procedimiento de
Gestión de Credenciales. Mientras este procedimiento no se encuentre definido, se actuará de forma análoga
a las altas.
19
Servicio de Informática
Documento de Seguridad
➢El Departamento de Sistemas elaborará una lista de usuarios dados de baja que será proporcionada a las
diversas unidades técnicas interesadas. Se pretende con ello que también las restantes credenciales de
acceso del usuario puedan ser dadas de baja o desactivadas permanentemente.
➢En las bajas definitivas, el contenido de las carpetas de red del usuario será puesto a disposición del
responsable de la unidad a la que pertenece el usuario.
➢Tanto las bajas temporales (desactivaciones) como las permanentes pueden ser solicitadas de forma
explícita por los responsables de usuarios a través de CAU. En realidad debe fomentarse este hecho.
➢El alta de un usuario podría ser definida como temporal, es decir, tener asignado una fecha de caducidad
para su desactivación / baja automática.
Exclusivamente el personal relacionado en el punto 10.2 del Anexo II está autorizado para conceder, alterar o
anular el acceso autorizado sobre los datos y los recursos, conforme a los criterios establecidos por el
responsable del fichero.
De existir personal ajeno al responsable del fichero con acceso a los recursos deberá estar sometido a las
mismas condiciones y obligaciones de seguridad que el personal propio.
AUTOMATIZADOS
NIVEL MEDIO
Exclusivamente el personal relacionado en el punto 10.3. del Anexo II, podrá tener acceso a los locales donde
se encuentren ubicados los sistemas de información correspondientes al Servicio de Informática de la
Secretaría General para la Justicia.
4.2.1.1. NORMATIVA DE CONTROL DE ACCESO FÍSICO
1. Sólo al personal autorizado le está permitido acceder y permanecer de forma continua en las
dependencias donde se ubican ficheros con DCPs.
3. Las autorizaciones tendrán carácter individual y se concederán a aquellas personas que por razón de
su trabajo necesiten acceder al CPD, bien sea de forma permanente o durante un periodo de tiempo
20
Servicio de Informática
Documento de Seguridad
1. Las visitas de corta duración tienen carácter excepcional y no requieren autorización formal (por
escrito). Sin embargo, habrán de comunicarse y justificarse previamente al responsable de conceder
autorizaciones o persona en quien delegue.
2. Las personas a quien corresponde autorizar los accesos mantendrán actualizado el correspondiente
registro de personas autorizadas.
4.2.1.2. PROCEDIMIENTO DE CONTROL DE ACCESO FÍSICO
El acceso al CPD está estrictamente restringido al personal autorizado y dispone de los siguientes
mecanismos de control de acceso:
● Registro de acceso
AUTOMATIZADOS
NIVEL ALTO
En los accesos a los datos de los ficheros de nivel alto, se registrará por cada acceso la identificación del
usuario, la fecha y hora en que se realizó, el fichero accedido, el tipo de acceso y si ha sido autorizado o
denegado. Si el acceso fue autorizado, se almacenará también la información que permita identificar el
registro accedido.
Los datos del registro de accesos se conservarán durante 2 años. Los datos podrán almacenarse en copias de
respaldo.
El responsable de seguridad revisará al menos una vez al mes la información de control registrada y elaborará
21
Servicio de Informática
Documento de Seguridad
No será necesario el registro de accesos cuando concurran las siguientes circunstancias y se hagan constar
expresamente en el documento de seguridad:
● el responsable del fichero garantice que sólo él tiene acceso y trata los datos personales.
Los soportes que contengan datos de carácter personal deberán permitir identificar el tipo de información que
contienen, ser inventariados y serán almacenados en el CPD, lugar de acceso restringido al que solo tendrán
acceso las personas con autorización que se relacionan en el punto 10.4 del Anexo II.
Cualquier soporte magnético que sea susceptible de contener DCPs y que vaya a ser utilizado deberá ser
debidamente etiquetado.
En la etiqueta de cada soporte generado deberá aparecer el Código Identificativo del mismo, compuesto por:
Los soportes que contengan DCPs serán inventariados y almacenados en un lugar con acceso restringido al
personal autorizado.
En el CPD existirá un inventario de soportes, que facilite su control, almacenamiento y localización. En este
inventario se registrarán los siguientes datos:
22
Servicio de Informática
Documento de Seguridad
Reutilización de Soportes
Cuando un soporte se prepare para ser reutilizado, la información que contiene será eliminada. Además:
• Para soportes recibidos e inventariados (porque se han guardado para su tratamiento posterior), se
eliminarán del Inventario y se actualizará el Registro de entrada de Soportes marcándolos con el indicador
de “borrado”.
Desechado de soportes
Cuando un soporte vaya a ser desechado, se borrará la información contenida y se destruirá físicamente de
forma que no sea posible el acceso a la información contenida en ellos o su recuperación posterior. Además:
• Para soportes recibidos e inventariados (porque se han guardado para su tratamiento posterior), se
eliminarán del inventario y se actualizará el Registro de entrada de Soportes marcándolos con el
indicador de “desechado”.
Salida de soportes
La salida de soportes y documentos que contengan datos de carácter personal, incluidos los comprendidos en
correos electrónicos, fuera de los locales bajo el control del responsable del tratamiento, deberá ser autorizada
por el responsable del fichero o aquel en que se hubiera delegado.
En el traslado de la documentación se adoptarán las medidas necesarias para evitar la sustracción, pérdida o
acceso indebido a la información. Se utilizará el mecanismo de embalaje precintado adecuado, y se precisará
la constante supervisión del proceso de traslado por parte del personal técnico autorizado.
En el Anexo IV se incluirán los documentos de autorización relativos a la salida de soportes que contengan
datos personales.
AUTOMATIZADOS
NIVEL MEDIO
Las salidas y entradas de soportes correspondientes a los ficheros tratados por el Servicio de Informática
deberán ser registradas de acuerdo al siguiente procedimiento:
23
Servicio de Informática
Documento de Seguridad
Recepcionar soportes
2. La persona autorizada para gestionar los soportes asigna un código al juego de soportes recibido y
anota la recepción en el Registro de Entrada de soportes.
1. La persona, debidamente autorizada, ejecuta el proceso para obtener los soportes con DCPs que van
a salir de la unidad.
El resto de las actividades del procedimiento puede realizarlas esta persona o bien cualquier otra de
la misma unidad autorizada a gestionar soportes con DCPs.
24
Servicio de Informática
Documento de Seguridad
2. Dependiendo del contenido de los soportes a entregar y de la ubicación del destino de los mismos,
se elige y se habilita el medio de transporte adecuado (recursos de la unidad, servicios generales,
mensajería, etc.), que ofrezca garantía de mantener la seguridad requerida hasta su destino.
3. Al hacer entrega de los soportes a la persona encargada de su transporte se anota la salida de los
mismos en el Registro de Salida de soportes con DCPs.
Confirmar entrega
4. La persona que registró la salida de los soportes se pone posteriormente en contacto con la entidad /
unidad destinataria para confirmar que la entrega se ha realizado satisfactoriamente.
2. Se selecciona el persnal adecuado para realizar el transporte y, una vez en el edificio de destino, se
almacenan y se retiran los soportes que corresponden según lo establecido en la planificación de
copias de respaldo.
3. Una vez de vuelta, se procede a anotar en el Registro de Entrada de soportes, aquellos juegos de
soportes de respaldo que han sido traídos del edificio donde estaban almacenados temporalmente
25
Servicio de Informática
Documento de Seguridad
4. Finalmente se actualiza en el Inventario de soportes con DCP la nueva ubicación de los juegos de
soportes de respaldo: juegos que fueron llevados al otro edificio y juegos que han sido traídos.
5. Si los juegos traídos del otro edificio ya no van a ser almacenados, se procede a su eliminación y a su
baja en el Inventario.
El registro de entrada y salida de soportes se gestionará mediante fichero ofimático y en el que deberán
constar en el caso de las entradas, el tipo de documento o soporte, la fecha y hora, el emisor, el número de
documentos o soportes incluidos en el envío, el tipo de información que contienen, la forma de envío y la
persona autorizada responsable de la recepción; y en el caso de las salidas, el tipo de documento o soporte,
la fecha y hora, el destinatario, el número de documentos o soportes incluidos en el envío, el tipo de
información que contienen, la forma de envío y la persona autorizada responsable de la entrega.
AUTOMATIZADO
NIVEL ALTO
Los soportes relacionados con Historiales clínica forense IML, Gestión de expedientes equipos técnicos para
menores y Fiscalías asuntos penales, serán identificados mediante un sistema de etiquetado que resulte
comprensible y con significado para los usuarios con acceso autorizados, permitiéndoles identificar su
contenido y dificultando la identificación para el resto de personas.
La distribución y salida de soportes que contengan datos de carácter personal de los ficheros anteriormente
mencionados se realizará cifrando los datos mediante un mecanismo que garantice que dicha información no
sea inteligible ni manipulada durante su transporte. Actualmente se utiliza la herramienta Oubliette para el
proceso de cifrado. Igualmente se cifrarán los datos que contengan los dispositivos portátiles cuando se
encuentren fuera de las instalaciones que están bajo control del responsable.
MANUALES
El archivo de los soportes o documentos del fichero CURSOS RECIBIDOS PERSONAL JUSTICIA se realiza de
acuerdo con los criterios de año en el que se realizó el curso, provincia y municipio. Dentro del nivel de capital
de provincia, se subdivide en los distintos órdenes jurisdiccionales, ya sea Civil, Penal, Contencioso, Mercantil,
Fiscalia, etc... Esta división también podrá establecerse para algunos grandes municipios que no son capital
de provincia.
26
Servicio de Informática
Documento de Seguridad
MANUALES
Los documentos del fichero CURSOS RECIBIDOS PERSONAL JUSTICIA se guardan bajo llave dentro de un
armario situado en la sala B10, también cerrada con llave, que se encuentra en la planta baja.
Los siguientes dispositivos serán utilizados para guardar los documentos con datos personales:
•Armarios protegidos con cerradura y llave. La llave deberá ser custodiada por el personal de vigilancia del
edificio correspondiente.
MANUALES
En tanto los documentos con datos personales no se encuentre archivada en los dispositivos de
almacenamientos indicados en el punto anterior, por estar en proceso de tramitación, las personas que se
encuentren al cargo de los mismos deberán custodiarlos e impedir en todo momento que pueda ser accedida
por personas no autorizadas.
Se considera que un acceso a través de una red de comunicaciones se da cuando la información atraviesa un
medio que no se encuentra controlado en su totalidad por la Administración de Justicia, como por ejemplo
Internet o Intranets compartidas con otros organismos.
En este sentido, no se permite el acceso a datos a través de redes de comunicaciones que no se encuentren
descritas de forma explícita en el presente Documento de Seguridad.
Cualquier acceso a través de red de comunicaciones deberá garantizar que se cumplen las medidas de
seguridad establecidas por el nivel de los datos accedidos según el presente Documento de Seguridad.
La red en la que se ubiquen sistemas y a las que accedan los usuarios de los sistemas de información al
servicio de la Administración de Justicia estará protegida de accesos no autorizados.
El acceso a otras redes estará protegido a través de cortafuegos (firewalls) u otro tipo de mecanismos que
aseguren en las comunicaciones a través de las redes locales un nivel de protección suficiente frente a las
amenazas de terceros.
También incluye la existencia y actualización periódica de mecanismos de protección frente a virus u otros
27
Servicio de Informática
Documento de Seguridad
códigos maliciosos. Los dispositivos de red (como encaminadores –routers -) también estarán adecuadamente
securizados y protegidos.
La conectividad remota (“teletrabajo”) a través de redes públicas de datos estará adecuadamente protegida,
en línea con las soluciones tecnológicas de seguridad existentes en cada momento.
Igualmente, la conectividad a través de redes inalámbricas requerirá la configuración (con los mecanismos
actualmente disponibles o los que puedan existir en el futuro) segura de la misma.
La administración de forma remota de los equipos y servidores en caso de ser necesaria se realizará mediante
canales seguros.
Las medidas de seguridad exigibles a los accesos a los datos de carácter personal a través de redes de
comunicaciones, sean o no públicas, deberán garantizar un nivel de seguridad equivalente al correspondiente
a los accesos en modo local.
NIVEL ALTO
Los datos personales correspondientes a los ficheros de nivel alto que se transmitan a través de redes
públicas o inalámbricas de comunicaciones electrónicas se realizará cifrando previamente estos datos.
Se pueden llevar a cabo los siguientes tratamientos de datos personales fuera de los locales del Servicio de
Informática:
Consultar el documento anexo “Medidas de seguridad del Centro de Respaldo” para conocer los
procedimientos y normas adoptadas por el Centro de Respaldo para garantizar la seguridad de la información.
MANUALES
Siempre que se proceda al traslado físico de la documentación contenida en un fichero, deberán adoptarse las
medidas necesarias orientadas a impedir el acceso o manipulación de la información objeto de traslado, cajas
precintadas y custodiadas por personal técnico cualificado, control de entradas y salidas con identificación del
personal encargado del traslado...
28
Servicio de Informática
Documento de Seguridad
Los ficheros temporales o copias de documentos creados exclusivamente para trabajos temporales o
auxiliares, deberán cumplir el nivel de seguridad que les corresponda con arreglo a los criterios expresados en
el Reglamento de medidas de seguridad, y serán borrados o destruidos una vez que hayan dejado de ser
necesarios para los fines que motivaron su creación.
1. Sólo se permitirá la creación de ficheros temporales que contengan datos de carácter personal en dos
situaciones:
1. Los Usuarios únicamente podrán generar ficheros temporales cuando éstos sean para su uso
exclusivo en procesos específicos y relacionados con el trabajo de la unidad.
○ Estos ficheros nunca deben ser ubicados en unidades locales de PCs, siendo los servidores de
ficheros el lugar para ubicar temporalmente este tipo de ficheros.
○ No se permitirá la salida de estos ficheros fuera de la Unidad Usuaria. Por tanto los ficheros
temporales no podrán ser copiados en soportes informáticos. Tampoco podrán ser copiados en
soportes para ser almacenados.
○ Una vez estos Ficheros hayan dejado de ser útiles para la finalidad con la que se crearon, serán
borrados por el usuario que lo creó.
○ Estos Ficheros son generados automáticamente en procesos internos de las aplicaciones, cuya
ejecución puede estar programada periódicamente o realizarse con carácter esporádico. Tanto en
un caso como en otro, los procesos deben estar diseñados para que los Ficheros temporales
creados durante su ejecución se eliminen a la finalización del mismo.
○ Si por causas accidentales, el proceso falla durante su ejecución, los ficheros temporales
permanecerán creados hasta que se analice y conozca la causa que motivó el fallo.
Posteriormente se procederá al borrado de los Ficheros temporales existentes.
MANUALES
NIVEL ALTO
29
Servicio de Informática
Documento de Seguridad
La realización de copias o reproducción de los documentos con datos personales sólo se podrán realizar bajo
el control de personal autorizado.
Las copias desechadas deberán ser destruidas imposibilitando el posterior acceso a la información contenida
en las mismas utilizando los medios adecuados, herramientas destructoras de papel ...
AUTOMATIZADOS
Se realizarán copias de respaldo, salvo que no se hubiese producido ninguna actualización de los datos
diariamente.
Los procedimientos establecidos para las copias de respaldo y para su recuperación garantizarán su
reconstrucción en el estado en que se encontraban al tiempo de producirse la pérdida o destrucción.
El responsable del fichero verificará semestralmente los procedimientos de copias de respaldo y recuperación
de los datos.
Las pruebas anteriores a la implantación o modificación de sistemas de información se realizarán con datos
personales previa copia de seguridad, y garantizando el nivel correspondiente al tratamiento realizado.
El procedimiento para la obtención de copias de respaldo se basa en la ejecución de los planes establecidos
para cada entorno de explotación. Actualmente los entornos de explotación existentes son: desarrollo,
preproducción, producción y formación
4.9.1.1. OBTENER COPIAS DE RESPALDO
1. Finalizada la jornada laboral y cuando los SS.II. no están operativos, se ejecutan los procesos de
copias de respaldo los cuales están previamente programados según una planificación establecida.
1. Una vez obtenidas las copias de respaldo, se actualizará el registro de soportes aplicando la
normativa habilitada de Identificación de Soportes.
30
Servicio de Informática
Documento de Seguridad
1. Finalmente el personal de autorizado al efecto almacena los soportes que contienen las copias de
respaldo. Consultar el documento “Almacén y custodia de soportes”.
Este procedimiento contempla la recuperación de ficheros con DCPs desde copias de respaldo ante una
incidencia cuya resolución requiere dicha recuperación.
4.9.2.1. COMUNICAR NECESIDAD DE RECUPERACIÓN DE DATOS
1. Ante una necesidad de recuperación de datos, el usuario la comunica al Responsable del Fichero.
3. También el Encargado del Tratamiento puede detectar necesidad de recuperar datos, como resultado
de incidencias de otro tipo reportadas por los usuarios o detectadas por ellos mismos.
4.9.2.2. ANALIZAR NECESIDAD DE RECUPERACIÓN DE DATOS
1. Responsable del Fichero y los usuarios afectados, analizan la necesidad de recuperación y deciden, si
es preciso, qué Ficheros y datos se recuperan, en qué momento, a partir de qué copias de respaldo y
si es necesario grabar datos manualmente, para garantizar la reconstrucción del estado de los
sistemas al momento en el que se produjo la incidencia que ocasionó la pérdida o inconsistencia de
los datos.
4.9.2.3. AUTORIZAR RECUPERACIÓN DE DATOS
Responsables de Ficheros
1. En su caso, los Responsables de Ficheros o personas en quien delegue autorizan formalmente (por
escrito u otro medio en el que quede constancia de la autorización) la ejecución de los procesos de
recuperación de ficheros.
4.9.2.4. RECUPERAR DATOS
1. El personal Encargado del Tratamiento recupera físicamente los Ficheros requeridos, utilizando para
ello los mecanismos que <Indicar> tenga habilitados para estos casos.
31
Servicio de Informática
Documento de Seguridad
1. Una vez recuperados los datos correspondientes, el Responsable de Fichero registra las acciones
asociadas a la incidencia de seguridad (acciones de recuperación y los datos que han sido
recuperados) y posteriormente cierra la incidencia.
NIVEL ALTO: En los ficheros Historiales clínica forense IML, Gestión de expedientes equipos técnicos para
menores y Fiscalías asuntos penales se conservará una copia de respaldo y de los procedimientos de
recuperación de los datos en el Centro de respaldo de la Junta de Andalucía, esta cumple las medidas de
seguridad, y utiliza elementos que garantizan la integridad y recuperación de la información.
El Centro de Respaldo y Hospedaje de la Junta de Andalucía surge como una solución de carácter general y
como servicio de aplicación horizontal en el ámbito de la infraestructura, aplicaciones y servicios propios o
relacionados con las Tecnologías de la Información y las Comunicaciones de la Junta de Andalucía.
Dentro de este marco global, los objetivos específicos que delimitan la funcionalidad de este centro son:
•Hospedaje.
El papel crucial que la seguridad desempeña en el campo de las Tecnologías de la Información exige una
labor estratégica de coordinación de las políticas de seguridad que permita incorporar y adaptar los estándares
internacionales, europeos y nacionales a las necesidades de los sistemas y servicios de información de la
Junta de Andalucía.
Para aplicaciones y servicios críticos es necesario establecer estrategias de copias remotas en disco a
intervalos preestablecidos (frecuencia diaria, horaria, etc.). Además, para aplicaciones altamente críticas se
abordarán soluciones de recuperación ante desastres, lo que implica fundamentalmente el diseño e
implantación de estrategias de alta disponibilidad y continuidad informática.
32
Servicio de Informática
Documento de Seguridad
Estado actual de ficheros de nivel alto con respecto a su custodia en el Centro de Respaldo:
FICHERO ESTADO
NIVEL MEDIO
Se designa como responsable de seguridad a el/la Jefe/a de Servicio y Responsable del Departamento de
Sistemas, que con carácter general se encargará de coordinar y controlar las medidas definidas en este
documento de seguridad.
En ningún caso, la designación supone una exoneración de la responsabilidad que corresponde a el/la titular
de la Secretaría General para la Justicia como responsable del fichero de acuerdo con el Reglamento de
desarrollo de la LOPD.
El responsable de seguridad desempeñará las funciones encomendadas durante el periodo de ocupación del
cargo.
33
Servicio de Informática
Documento de Seguridad
Para asegurar que todas las personas conocen las normas de seguridad que afectan al desarrollo de sus
funciones, así como las consecuencias del incumplimiento de las mismas, serán informadas de las normas
que debe cumplir y de las consecuencias de no hacerlo.
Todo el personal que acceda a los datos de carácter personal está obligado a conocer y observar las medidas,
normas, procedimientos, reglas y estándares que afecten a las funciones que desarrolla.
Constituye una obligación del personal notificar al Responsable de seguridad las incidencias de seguridad de
las que tengan conocimiento respecto a los recursos protegidos, según los procedimientos establecidos en
este Documento.
Todas las personas deberán guardar el debido secreto y confidencialidad sobre los datos personales que
conozcan en el desarrollo de su trabajo.
La definición y cumplimiento de las funciones y obligaciones de obligado cumplimiento para el personal con
acceso a los DCPs y a los SS.II. tienen como objeto:
● Proteger los SS.II. y Redes de Comunicaciones propiedad de la Secretaría General para la Justicia o
bajo su supervisión, contra acceso o uso no autorizado, alteración indebida de operaciones,
destrucción, mal uso o robo.
34
Servicio de Informática
Documento de Seguridad
Las siguientes normas afectan a todas aquellas personas que tienen acceso autorizado a los SS.II.:
● Se deberá guardar, por tiempo indefinido, la máxima reserva en cuanto a los datos, documentos,
metodologías, claves, análisis, programas y demás información a la que se tenga acceso.
La seguridad de los datos es una tarea de equipo en la que todo el personal, como usuario de SS.II., juega un
papel fundamental. Por ello, los usuarios son responsables de asegurar que las aplicaciones, recursos
informáticos y los datos propios o bajo su supervisión, sean usados únicamente para el desarrollo de la
operativa propia para la que fueron creados e implantados.
Los usuarios de los SS.II., están sujetos a las siguientes normas de actuación:
● Los usuarios precisan disponer de un único acceso autorizado (identificador de usuario y contraseña)
y son responsables de toda actividad relacionada con el uso de su acceso autorizado.
● Los usuarios no deben revelar bajo ningún concepto su identificador y/o contraseña a otra persona,
ni mantenerla por escrito a la vista o al alcance de terceros.
● Los usuarios no deben utilizar ningún acceso autorizado de otro usuario, aunque dispongan de la
autorización del propietario.
● Los usuarios deben conocer y cumplir las normas definidas en la Política de contraseñas. Ésta se
recoge en la normativa de identificación y autenticación de usuarios del presente Documento.
35
Servicio de Informática
Documento de Seguridad
● Los usuarios sólo accederán a aquellos datos y recursos que precisen para el desarrollo de sus
funciones.
● Proteger, en la medida de sus posibilidades, los DCPs a los que tienen acceso, contra revelaciones no
autorizadas o accidentales, modificación, destrucción o mal uso, cualquiera que sea el soporte en
que se encuentren contenidos los datos.
● Utilizar el menor número de informes en formato papel que contengan DCPs y mantener los mismos
en lugar seguro y fuera del alcance de terceros.
● Los usuarios autorizados a manejar soportes que contengan DCPs deben guardar los mismos en un
lugar seguro cuando éstos no sean usados, especialmente fuera de la jornada laboral.
● Los usuarios autorizados a manejar soportes que contengan DCPs deben inventariar aquellos que
tengan guardados y mantener siempre actualizado este inventario.
● En las agendas de contactos de las herramientas ofimáticas (por ejemplo en Outlook) los usuarios
únicamente introducirán datos identificativos y direcciones o teléfonos de personas. En ningún caso
introducirán datos o valoraciones de personas físicas relativos a ideología, religión, creencias, origen
racial, salud o vida sexual. En caso de incumplimiento de esta norma, las posibles responsabilidades
recaerán en el usuario que introdujo los datos.
Estas normas son de aplicación a todo el personal con acceso a los SS.II..
Todo el personal perteneciente a las áreas de diseño, desarrollo, operación o administración de sistemas y
redes, además de lo establecido en el punto anterior, es responsable de:
● Procurar que la información almacenada y tratada por los SS.II. sea salvaguardada mediante copias
de seguridad de una forma periódica.
● No acceder a los datos aprovechando sus privilegios de administración sin autorización del
Responsable del Fichero.
36
Servicio de Informática
Documento de Seguridad
● Custodiar con especial cuidado los identificadores y contraseñas que dan acceso a los sistemas con
privilegio de administrador.
● Notificar, mediante el procedimiento definido, las incidencias oportunas ante cualquier violación de las
normas de seguridad o vulnerabilidades detectadas en los sistemas.
● No revelar a terceros ninguna posible debilidad en materia de seguridad de los sistemas, sin previa
autorización del Responsable de Seguridad y con el propósito de su corrección.
Toda salida de información de DCPs (en soportes informáticos o por correo electrónico) deberá ser realizada
exclusivamente por personal autorizado, para ello será necesaria la autorización formal del Responsable del
Fichero del que provienen los datos.
En el caso de producirse salidas periódicas de DCPs, el Responsable del Fichero expedirá la autorización una
sola vez para todas ellas.
La salida de DCPs en un PC portátil, deberá ser autorizada por el Responsable del Fichero y se le dará el
mismo tratamiento que a una salida de soporte informático con DCPs, a efectos de registro de salida.
6.2.5. INCIDENCIAS
Es obligación de todo el personal con acceso a los SS.II. comunicar cualquier incidencia que se produzca y
esté relacionada con los SS.II. o con cualquier otro recurso informático.
Las actuaciones que se siguen en la comunicación y resolución de las incidencias, tanto por parte de los
usuarios como por parte de las unidades resolutorias, están recogidas en el Procedimiento de Notificación,
Gestión y respuesta ante las Incidencias del Documento de Seguridad.
Los Recursos Informáticos, Datos, Software, Red y Sistemas de Comunicación están disponibles
exclusivamente para cumplir las obligaciones laborales y propósito de la operativa para la que fueron
diseñados e implantados.
● El uso de equipos o aplicaciones que no estén directamente especificados como parte del software,
hardware o de los estándares de los recursos informáticos propios aceptados por los responsables de
los ficheros y de seguridad.
37
Servicio de Informática
Documento de Seguridad
● Introducir voluntariamente programas, virus, macros, o cualquier otro dispositivo lógico o secuencia
de caracteres que causen o sean susceptibles de causar cualquier tipo de alteración en los Recursos
Informáticos.
● Desactivar o inutilizar los programas antivirus y sus actualizaciones instaladas por el Servicio de
Informática.
● Intentar destruir, alterar, inutilizar o cualquier otra forma de dañar los Datos, Programas o
Documentos Electrónicos propios o que les sean confiados.
● Ubicar ficheros con DCPs en las unidades locales de disco de los puestos PC de usuario.
● Conectarse a la Red a través de otros medios que no sean los definidos y administrados por el
Responsable de seguridad.
● Intentar descifrar las claves, sistemas o algoritmos de cifrado y cualquier otro elemento de seguridad
que intervenga en los procesos telemáticos sin consentimiento del Responsable de seguridad.
6.2.7. SOFTWARE
● Los Usuarios deben utilizar únicamente las versiones de software facilitadas por el Responsable de
seguridad y seguir sus normas de utilización.
● Los Usuarios no deben instalar ni borrar ningún tipo de programa informático en su PC.
6.2.8. HARDWARE
● Los usuarios, en su actividad laboral, deben hacer uso únicamente del hardware proporicionado por
la Junta de Andalucía o cualquier Organismo autorizado.
● El usuario en ningún caso accederá físicamente al interior del PC que tiene asignado para su trabajo.
En caso necesario se comunicará la incidencia, según el procedimiento habilitado, y únicamente el
personal autorizado por el Responsable del Fichero podrá acceder al interior del PC para labores de
reparación, instalación o mantenimiento.
38
Servicio de Informática
Documento de Seguridad
● El acceso a Internet se realiza exclusivamente a través de la Red establecida y los medios facilitados
por el Servicio de Informática.
● El uso de Internet es un servicio corporativo que pone a disposición de su personal para uso
estrictamente profesional.
● La transferencia de datos a/desde Internet se realizará exclusivamente cuando las actividades propias
del trabajo desempeñado lo exija.
● Queda terminantemente prohibido intentar leer, borrar, copiar o modificar los mensajes de correo
electrónico de otros usuarios
● Los usuarios no deben enviar mensajes de correo electrónico de forma masiva o de tipo piramidal con
fines comerciales o publicitarios.
El personal que realice trabajos que no impliquen el tratamiento de datos personales tendrán limitado el
acceso a estos datos, a los soportes que los contengan, o a los recursos del sistema de información.
El responsable del Fichero es la persona física o jurídica encargada de decidir sobre la finalidad, contenido y
usos del Fichero. Adoptará e implantará las medidas necesarias que garanticen la seguridad de los DCP en los
términos establecidos en el Reglamento y que se describen en este documento.
39
Servicio de Informática
Documento de Seguridad
● Coordinar la elaboración del presente Documento de Seguridad que recoge las medidas, normas,
procedimientos y mecanismos de seguridad establecidos por CEIURIS para la protección de los DCP
del Fichero.
● Garantizar la difusión de este documento a usuarios y técnicos con acceso a este Sistema de
Información, para que conozcan las normas que afecten al desarrollo de sus funciones.
● Mantener este documento actualizado siempre que se produzcan cambios relevantes en el sistema de
información o en la organización del mismo.
● Adecuar en todo momento el contenido del documento a las disposiciones vigentes en materia de
seguridad de datos.
● Establecer mecanismos para evitar que un usuario pueda acceder a datos o recursos con derechos
distintos a los autorizados.
● Autorizar la entrada y salida de datos del Fichero que se efectúen mediante correo electrónico y
transferencia de ficheros por red.
● Autorizar la conexión a Internet y la descarga de datos del Fichero a las estaciones de trabajo en
situaciones excepcionales.
● Autorizar la salida de soportes informáticos que contengan datos de carácter personal fuera de los
locales en los que está ubicado el fichero.
● Verificar la definición y correcta aplicación de las copias de respaldo y recuperación de los datos.
● Garantizar la realización de una auditoria, al menos cada dos años, externa o interna, que dictamine
el correcto cumplimiento y la adecuación de las medidas del presente Documento de Seguridad a las
exigencias del Reglamento de seguridad.
● Adoptar las medidas correctoras propuestas, como resultado de las auditorias bianuales, cuyo
objetivo es verificar el correcto cumplimiento de lo expuesto en este Documento y la adecuación a la
normativa de seguridad vigente.
● Autorizar por escrito, la ejecución de los procedimientos de recuperación de datos del Fichero.
40
Servicio de Informática
Documento de Seguridad
● Guardar en lugar protegido los soportes de forma que ninguna persona no autorizada tenga acceso a
los mismos.
● Adoptar las medidas necesarias para que la distribución de los soportes que contengan datos
personales se realice cifrando dichos datos. (medida a implantar en estudio).
● Adoptar las medidas necesarias que impidan la recuperación posterior de la información almacenada
en soportes, cuando vaya a ser desechado o y previamente a su baja en el inventario.
● Adoptar las medidas necesarias que impidan la recuperación indebida de la información almacenada
en soportes, cuando estos vayan a salir fuera de los locales en que se encuentren ubicados los
ficheros como consecuencia de operaciones de mantenimiento.
● Controlar que los mecanismos que permiten el registro de accesos al Fichero están activados, sin que
se deba permitir en ningún caso la desactivación de los mismos.
● Adoptar las medidas necesarias para que la transmisión de datos personales de nivel alto a través de
las redes telemáticas, se realice cifrando dichos datos.
El Encargado del Tratamiento da soporte a la operativa de los SS.II.. Las principales funciones que tiene
encomendadas son:
NIVEL MEDIO
41
Servicio de Informática
Documento de Seguridad
● Estar informada de los cambios que puedan producirse en las disposiciones legales sobre el
tratamiento de DCPs, y proponer medidas de adecuación a dichos cambios.
● Supervisar que las unidades de administración de usuarios mantengan actualizados los registros de
usuarios con acceso autorizados a los SS.II..
● Elaborar un informe explicativo de aquellas incidencias que afecten de manera grave a los SS.II.
establecidos dentro del ámbito de la Secretaría General.
● Dictaminar medidas cuya aplicación aminoren y/o eliminen las incidencias acaecidas.
● Revisar periódicamente la información de control registrada sobre los accesos de los usuarios a los
SS.II. y elaborar periódicamente (al menos una vez al mes) un informe de las revisiones realizadas y
los problemas detectados, para aquellos ficheros declarados de nivel alto.
● Asesorar, en la definición de requisitos, sobre las medidas de seguridad que se deben adoptar y
validar la implantación de los requisitos de seguridad necesarios en el diseño e implantación de
aplicaciones informáticas.
● Controlar que la Auditoría de Seguridad LOPD se realice al menos, cada dos años.
● Analizar los informes de Auditoría y si lo considera necesario, elevar las medidas correctoras a
implantar al Responsable del fichero para su aprobación.
42
Servicio de Informática
Documento de Seguridad
Los Administradores de las áreas de Sistemas, Aplicaciones centrales y locales y Comunicaciones, son los
encargados de administrar o mantener el entorno operativo del Fichero.
● Implantar las medidas técnicas necesarias para proteger el acceso no autorizado a los datos.
● Controlar los intentos de acceso fraudulento al Fichero, limitando el número máximo de intentos
fallidos, y, cuando sea técnicamente posible, guardando en un fichero auxiliar la fecha, hora, código y
clave erróneas que se han introducido, así como otros datos relevantes que ayuden a descubrir la
autoría de esos intentos de acceso fraudulentos (obligatorio en los ficheros con nivel de seguridad
alto).
● Verificar el funcionamiento de los sistemas de protección frente incendios, grupos electrógenos y aire
acondicionado, SAI’s.
● Guardar en lugar protegido las copias de respaldo del Fichero de forma que ninguna persona no
autorizada tenga acceso a las mismas.
● Establecer y ejecutar los mecanismos que permitan obtener periódicamente una copia de seguridad
del Fichero, a efectos de respaldo y posible recuperación en caso de fallo.
● Suministrar al responsable de seguridad los listados actualizados de los usuarios dados de alta en los
SS.II. y sus correspondientes permisos de acceso, para su revisión semestral como mínimo.
● Comunicar al responsable de seguridad cualquier cambio que se produzca en los datos técnicos de
los anexos, como por ejemplo cambios en el software o hardware, sistema de comunicaciones, bases
de datos o aplicaciones de acceso al Fichero.
43
Servicio de Informática
Documento de Seguridad
● Ocuparse del tratamiento y resolución de las incidencias de seguridad que se produzcan en sus
áreas.
● Asegurarse de que los datos protegidos que pudieran encontrarse en ficheros temporales y ficheros
de log utilizados por la aplicación o cualquier otro medio en el que pudiesen ser grabados copias de
esos datos, no son accesibles posteriormente por personal no autorizado.
El personal que realice trabajos que no impliquen el tratamiento de datos personales tendrán limitado el
acceso a estos datos, a los soportes que los contengan, o a los recursos del sistema de información.
● Recuperación de DCPs.
La persona que detecta la incidencia está obligada a comunicarla al Responsable del Fichero.
El Responsable del Fichero es el encargado de atender en primera instancia las incidencias de seguridad que
le son comunicadas y mantener el Registro de Incidencias de Seguridad.
Las incidencias de seguridad se dividen en dos grupos, en función de si implican o no acciones resolutorias
técnicas:
44
Servicio de Informática
Documento de Seguridad
● Las incidencias que no implican una acción resolutoria técnica, pero que sí se deben reflejar en el
Registro de Incidencias de Seguridad para analizar posteriormente la necesidad de adoptar alguna
acción, son:
○ Sospechas de uso indebido de contraseña: utilización de la contraseña por otra persona distinta
del usuario titular de la misma.
○ Ataques a la red.
○ Recuperación de DCPs.
A la vista de la gravedad de determinadas incidencias de seguridad, el Responsable del Fichero podrá iniciar
las acciones extraordinarias que considere oportunas.
Comunicar incidencia
Usuario
Detectada la incidencia por el usuario, éste procede a su comunicación al Responsable del Fichero.
Resolver incidencia
El Encargado del Tratamiento podrá efectuar la resolución de las incidencias que le competen. Tras resolver la
incidencia se registran las acciones resolutorias realizadas.
Cerrar incidencia
El Responsable del Fichero, una vez registrada la resolución de la incidencia y las acciones realizadas para
ello, confirma con el usuario la resolución de la incidencia. Si el usuario corrobora la resolución, se procede a
45
Servicio de Informática
Documento de Seguridad
cerrar la incidencia.
En el caso de incidencias que no conllevan acciones resolutoras, el Responsable del Fichero únicamente
cierra la incidencia para que quede constancia de la misma en el Registro de Incidencias de Seguridad.
Cuando la incidencia conlleva recuperación de DCPs, el Responsable del Fichero registra las acciones
realizadas, los datos recuperados y cierra la incidencia.
Para ejecutar los procedimientos de recuperación de datos en los ficheros mencionados en el párrafo anterior,
será necesaria la autorización por escrito del responsable del fichero.
8. PROCEDIMIENTOS DE REVISIÓN
El control y verificación de la correcta aplicación de este procedimiento recae en el Responsable del Fichero.
La actualización del Documento de Seguridad viene motivada por las siguientes causas:
46
Servicio de Informática
Documento de Seguridad
● Cambios efectuados para adecuarse a las disposiciones legales en materia de seguridad de Datos de
Carácter Personal.
1. Una vez aprobada la propuesta de modificación del Documento de Seguridad, el Responsable del
Fichero realiza las modificaciones oportunas en el Documento.
2. Las actualizaciones de alta, baja o modificación de ficheros que contengan DCPs las realiza
igualmente el Responsable del Fichero.
3. El Responsable del Fichero se encarga de la emisión y difusión de la nueva versión del documento.
NIVEL MEDIO
47
Servicio de Informática
Documento de Seguridad
8.2 AUDITORÍA
Se ejecutarán auditorias internas o externas al menos cada dos años para verificar el cumplimiento del Título
VIII del RLOPD, referente a las medidas de seguridad, según lo indicado en sus artículos 96 y 110 respecto de
ficheros automatizados y no automatizados respectivamente. Las auditorias internas se realizarán con
recursos propios del Servicio de Informática, y las externas a través de servicios contratados al efecto.
AUTOMATIZADOS
Con carácter extraordinario deberá realizarse cuando se lleven a cabo modificaciones sustanciales en el
sistema de información que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas,
con el objeto de verificar la adaptación, adecuación y eficacia de las mismas. Esta auditoria inicia el cómputo
de dos años señalado.
Los informes de auditoria han de ser analizados por el responsable de seguridad competente, que elevará las
conclusiones al responsable del fichero para que adopte las medidas correctoras y quedará a disposición de la
Agencia Española de Protección de Datos, o en su caso de las autoridades de control de la Comunidad
autónoma.
NIVEL ALTO
Se realizará un informe mensual sobre el registro de accesos a los datos de nivel alto regulado por el artículo
24 del RLOPD.
48
Servicio de Informática
Documento de Seguridad
○ Identificador: 2033080296
● Leyes o regulaciones aplicables que afectan al fichero o tratamiento Ley 59/2003 de 19 de dic sobre
firma electrónica.
49
Servicio de Informática
Documento de Seguridad
○ Personas o colectivos sobre los que se pretenda obtener o que resulten obligados a suministrar
los datos personales: MAGISTRADOS, JUECES, SECRETARIOS JUDICIALES, FISCALES,
FORENSES, PERSONAL TÉCNICO QUE TRABAJA PARA ADMINISTRACIÓN DE
JUSTICIA EN ANDALUCÍA
○ Cesiones previstas: NO
○ Transferencias Internacionales: NO
● Servicio o Unidad ante el que puedan ejercitarse los derechos de acceso, rectificación, cancelación y
oposición: SERVICIO DE INFORMÁTICA
Aplicación Descripción
● Terceros que acceden a los datos para la prestación de un servicio: La empresa Steria presta
50
Servicio de Informática
Documento de Seguridad
servicios en el área de sistemas desde el 30 de diciembre del 2009, se ha renovado el contrato hasta
el 30 de diciembre del 2011.
○ Identificador: 2033080291
○ Personas o colectivos sobre los que se pretenda obtener o que resulten obligados a suministrar
los datos personales: PERSONAL AL SERVICIO DE LA ADMINISTRACIÓN DE JUSTICIA
51
Servicio de Informática
Documento de Seguridad
EN ANDALUCÍA.
○ Cesiones previstas: NO
○ Transferencias Internacionales: NO
● Servicio o Unidad ante el que puedan ejercitarse los derechos de acceso, rectificación, cancelación y
oposición: SERVICIO DE INFORMÁTICA
Aplicación Descripción
● Terceros que acceden a los datos para la prestación de un servicio: Servicio de IMPLANTACIÓN,
SOPORTE Y FORMACIÓN DE LOS SISTEMAS DIGITALES DE INFORMACIÓN JUDICIAL contratado el
29 de septiembre del 2009 y renovado hasta el 29 de septiembre del 2011.
○ Identificador: 2033080292
52
Servicio de Informática
Documento de Seguridad
○ Personas o colectivos sobre los que se pretenda obtener o que resulten obligados a suministrar
los datos personales: PERSONAL AL SERVICIO DE LA ADMINISTRACIÓN DE JUSTICIA
EN ANDALUCÍA.
○ Cesiones previstas: NO
○ Transferencias Internacionales: NO
● Servicio o Unidad ante el que puedan ejercitarse los derechos de acceso, rectificación, cancelación y
oposición: SERVICIO DE INFORMÁTICA
53
Servicio de Informática
Documento de Seguridad
Aplicación Descripción
● Terceros que acceden a los datos para la prestación de un servicio: Área de sistemas: Steria, área
procesal: Sadiel, área planificación: Steria, área de CSU: Addendia, área Adriano: Indra, área servicio
técnico Delegaciones Provinciales: Sadiel.
○ Identificador: 2033080293
54
Servicio de Informática
Documento de Seguridad
○ Personas o colectivos sobre los que se pretenda obtener o que resulten obligados a suministrar
los datos personales: PROCURADORES Y ABOGADOS DE LOS COLEGIOS
PROFESIONALES DE ANDALUCÍA.
○ Cesiones previstas: NO
○ Transferencias Internacionales: NO
● Servicio o Unidad ante el que puedan ejercitarse los derechos de acceso, rectificación, cancelación y
oposición: SERVICIO DE INFORMÁTICA
Aplicación Descripción
PRESENTACIÓN DE ESCRITOS
55
Servicio de Informática
Documento de Seguridad
● Terceros que acceden a los datos para la prestación de un servicio: Área de sistemas: Steria.
9.5. USUARIOS
○ Identificador: 2033080295
○ Nombre: USUARIOS
○ Personas o colectivos sobre los que se pretenda obtener o que resulten obligados a suministrar
los datos personales: PERSONAL DE LA ADMINISTRACION DE JUSTICIA DESTINADO
56
Servicio de Informática
Documento de Seguridad
○ Cesiones previstas: NO
○ Transferencias Internacionales: NO
● Servicio o Unidad ante el que puedan ejercitarse los derechos de acceso, rectificación, cancelación y
oposición: SERVICIO DE INFORMÁTICA
Aplicación Descripción
MANTENIMIENTO ARTEMIS
ESCRITORIO JUDICIAL
GESTIÓN INVENTARIO
REMEDY
HERMES
GESTIÓN DE CONSUMIBLES
● Terceros que acceden a los datos para la prestación de un servicio: Área de sistemas y planificación:
Steria.
57
Servicio de Informática
Documento de Seguridad
○ Identificador: 2040290061
● Estructura del fichero principal: PARA CADA HISTORIAL, D.N.I., NOMBRE, APELLIDOS,
DIRECCIÓN, TELÉFONO, FECHA DE NACIMIENTO, PROFESIÓN. PARA CADA EPISODIO
MÉDICO-FORENSE, REFERENCIA DEL ASUNTO JUDICIAL Y LOS DATOS MÉDICOS
ESPECÍFICOS APROBADOS EN LOS PROTOCOLOS MÉDICO-FORENSES DE ACUERDO AL
TIPO DE EPISODIO, ANTECEDENTES PROPIOS Y FAMILIARES, DATOS DEL HECHO EN
SU CASO, EXPLORACIONES MÉDICAS, DÍAS DE CURACIÓN, INCAPACIDAD Y
HOSPITALIZACIÓN Y SECUELAS. EN LOS EPISODIOS DE PATOLOGÍA FORENSE, DATOS
PROCEDENTES DE LAS AUTOPSIAS O RECONOCIMIENTOS SIN AUTOPSIA,
IGUALMENTE DE ACUERDO A LOS PROTOCOLOS ESPECÍFICOS VIGENTES PARA ESTE
TIPO DE EPISODIOS.
58
Servicio de Informática
Documento de Seguridad
○ Personas o colectivos sobre los que se pretenda obtener o que resulten obligados a suministrar
los datos personales: INTERVINIENTES EN CAUSAS JUDICIALES, DETENIDOS,
CADÁVERES PARA PERITACIÓN MÉDICA A PETICIÓN DE LOS CORRESPONDIENTES
ÓRGANOS JUDICIALES.
○ Cesiones previstas: NO
○ Transferencias Internacionales: NO
● Servicio o Unidad ante el que puedan ejercitarse los derechos de acceso, rectificación, cancelación y
oposición: SERVICIO DE INFORMÁTICA
Aplicación Descripción
ADMINISTRACIÓN IML
VERIS
● Terceros que acceden a los datos para la prestación de un servicio: Área de sistemas: Steria.
59
Servicio de Informática
Documento de Seguridad
○ Identificador: 2040290075
● Leyes o regulaciones aplicables que afectan al fichero o tratamiento LA LEY ORGÁNICA 5 /2000,
REGULADORA DE LA RESPONSABILIDAD PENAL DE LOS MENORES.
● Estructura del fichero principal: PARA LA FICHA DEL MENOR, D.N.I., NOMBRE, APELLIDOS,
ALIAS, DIRECCIÓN, TELÉFONO, FECHA DE NACIMIENTO, PROFESIÓN. LOS MISMOS
DATOS PARA SUS PADRES O TUTORES. PARA CADA EXPEDIENTE EN EL QUE ESTÉ
IMPUTADO, DATOS CORRESPONDIENTES A LA TRAMITACIÓN DE DICHO EXPEDIENTE,
CITACIONES, EXPLORACIONES, MEDIDAS CAUTELARES, MEDIDAS PROPUESTAS,
MEDIDAS APLICADAS JUDICIALES Y EXTRAJUDICIALES Y SEGUIMIENTO DE ESTAS
MEDIDAS HASTA SU FINALIZACIÓN.
○ Personas o colectivos sobre los que se pretenda obtener o que resulten obligados a suministrar
los datos personales: MENORES PARA LOS QUE LAS FISCALÍAS DE MENORES
SOLICITEN LA INTERVENCIÓN FACULTATIVA DE LOS EQUIPOS TÉCNICOS DE
MENORES.
○ Cesiones previstas: NO
○ Transferencias Internacionales: NO
60
Servicio de Informática
Documento de Seguridad
● Servicio o Unidad ante el que puedan ejercitarse los derechos de acceso, rectificación, cancelación y
oposición: SERVICIO DE INFORMÁTICA
Aplicación Descripción
GESTIÓN DE MENORES
● Terceros que acceden a los datos para la prestación de un servicio: Área de sistemas: Steria.
○ Identificador: 2040290062
● Estructura del fichero principal: PARA CADA CITACIÓN, D.N.I., NOMBRE, APELLIDOS,
61
Servicio de Informática
Documento de Seguridad
○ Personas o colectivos sobre los que se pretenda obtener o que resulten obligados a suministrar
los datos personales: INTERVINIENTES EN CAUSAS JUDICIALES Y DETENIDOS PARA
PERITACIÓN MÉDICA A PETICIÓN DE LOS CORRESPONDIENTES ÓRGANOS
JUDICIALES.
○ Cesiones previstas: NO
○ Transferencias Internacionales: NO
● Servicio o Unidad ante el que puedan ejercitarse los derechos de acceso, rectificación, cancelación y
oposición: SERVICIO DE INFORMÁTICA
Aplicación Descripción
ADMINISTRACIÓN IML
● Terceros que acceden a los datos para la prestación de un servicio: Área de sistemas: Steria.
62
Servicio de Informática
Documento de Seguridad
Actualizado a: 19/01/2009
○ Identificador: 2040290063
○ Personas o colectivos sobre los que se pretenda obtener o que resulten obligados a suministrar
los datos personales: FUNCIONARIOS DE LA ADMINISTRACIÓN DE JUSTICIA
ADSCRITOS A LA JUNTA DE ANDALUCÍA.
○ Cesiones previstas: NO
○ Transferencias Internacionales: NO
63
Servicio de Informática
Documento de Seguridad
● Servicio o Unidad ante el que puedan ejercitarse los derechos de acceso, rectificación, cancelación y
oposición: SERVICIO DE INFORMÁTICA
Aplicación Descripción
HERMES
● Terceros que acceden a los datos para la prestación de un servicio: Área de sistemas: Steria.
○ Identificador:
64
Servicio de Informática
Documento de Seguridad
● Administrador:
65
Servicio de Informática
Documento de Seguridad
○ Personas o colectivos sobre los que se pretenda obtener o que resulten obligados a suministrar
los datos personales: IMPLICADOS EN PROCEDIMIENTOS JUDICIALES, YA SEA COMO
PARTE (DENUNCIANTE O QUERELLANTE, DENUNCIADO O QUERELLADO,
PERJUDICADO, RESPONSABLE CIVIL); COMO TESTIGO O PERITO; O COMO
PROFESIONAL ENCARGADO DE LA DEFENSA Y REPRESENTACIÓN DE ALGUNA DE
ELLAS.
○ Cesiones previstas:
■ ÓRGANOS JUDICIALES
● Servicio o Unidad ante el que puedan ejercitarse los derechos de acceso, rectificación, cancelación y
oposición: FISCALÍAS TERRITORIALES.
Aplicación Descripción
66
Servicio de Informática
Documento de Seguridad
● Tecnología utilizada:
Desarrollada en J2EE. Desplegada en dos nodos con servidores de aplicaciones WebSphere 5.5 de
IBM. La base de datos es Oracle 10g.
Cada uno de los nodos WebSphere tiene 7 servidores de aplicaciones, uno por cada provincia,
excepto Granada y Almería que comparten uno. Cada par de servidores de aplicaciones, uno en cada
uno de los nodos, se configura como un cluster WebSphere.
En cada nodo hay un servidor web Apache con el conector que IBM dispone para WebSphere. Ambos
servidores web están en cluster mediante Linux Heartbeat para alta disponibilidad.
● Monitorización:
Integración Adriano-Fiscalía
○ Interfaz del Juzgado de guardia, con la funcionalidad de selección de los procedimientos a enviar
a la Fiscalía.
● Terceros que acceden a los datos para la prestación de un servicio: Área de sistemas: Steria.
67