LOPD: aplicación práctica en entornos Windows. (IV) El Documento de Seguridad

3 05 2008

Siguiente parte: vamos a ver un poco más en detalle qué tiene que contener el Documento de Seguridad, obligatorio para todo fichero que contenga datos de carácter personal.

En primer lugar, lo más práctico que es que nos descarguemos un Modelo de Documento de Seguridad que pone a nuestra disposición la Agencia Española de Protección de Datos, y que se puede consultar o descargar desde aquí (y así poder usarlo como plantilla y cumplimentarlo si se quiere):

https://www.agpd.es/upload/Informa%20AEPD/modelo_doc_seguridad_v1.pdf

Consultar el modelo vendrá bien para utilizar el lenguaje y los formalismos (ininteligibles, por otra parte) que conviene que lleven este tipo de documentos. Como ya se ha comentado, el Documento de Seguridad es un documento elaborado por el Responsable de Seguridad y de obligado cumplimiento para todo el personal con acceso a los datos

Aquí explicaremos un poco más en detalle los datos que tenemos que incluir en nuestro Documento de Seguridad. Dependiendo del nivel de seguridad de los ficheros, como ya se ha explicado antes, el documento debe incluir lo siguiente:

Nivel Básico

  • Plan de seguridad. Es decir, ámbito de aplicación y especificación detallada de los recursos que se protegen. Por ejemplo especificaremos las bases de datos a las que se refiere el Documento.
  • Políticas que se establecen para garantizar el nivel de seguridad exigido. Por ejemplo, detallaremos los sistemas de contraseña y su cambio periódico, la protección física de los accesos a los servidores, etc.
  • Funciones y obligaciones del personal. Por ejemplo, explicaremos las limitaciones de un usuario para acceder a la base de datos.
  • Estructura de los ficheros y descripción de los Sistemas de Información que los tratan. Por ejemplo, el tipo de datos que contiene la base de datos y la descripción de los programas que usan para acceder a ella.
  • Detallar los procedimientos de notificación, gestión y respuesta ante incidencias. Por ejemplo habrá un procedimiento donde se detalle cómo proceder ante una incidencia detectada en la base de datos. Como ya se ha comentado, es necesario mantener un registro de incidencias, que deberá contener:
      • Tipo de incidencia
      • Momento en que se ha producido
      • Persona que realiza la notificación
      • A quién se le comunica
      • Efectos derivados de la incidencia
  • Detallar procedimiento de copias de seguridad y de recuperación de la misma en caso de ser necesario.

Nivel Medio

Además de los contenidos del documento para el nivel básico, para el nivel medio deberá también incluir:

  • Identificación del Responsable o Responsables de Seguridad
  • Plan de auditoría bianual
  • Medidas a adoptar cuando un soporte sea desechado o reutilizado.

Recordemos que para el nivel medio se nos exige un control de entrada/salida de los soportes. Este registro debe incluir:

  • Tipo de soporte
  • Fecha y hora
  • Emisor y destinatario
  • Número de soportes
  • Tipo de información que contienen
  • Forma de envío
  • Persona autorizada responsable de la recepción y entrega, respectivamente.

Nivel alto

El Documento de Seguridad para los ficheros de nivel alto deberá contener los mismos campos que para los niveles básico y medio, aunque evidentemente con las particularidades respecto a la protección de ficheros de este nivel.

Una de las obligaciones sobre los ficheros de nivel alto, es la auditoría y el registro de los accesos a estos ficheros. Este registro debe ser conservado al menos durante 2 años, y contendrá los siguientes campos:

  • Quién es el usuario
  • Fecha y hora del acceso
  • A qué fichero accedió
  • Tipo de acceso
  • Resultado del intento (permitido-denegado)

Básicamente hasta aquí llega la teoría. En posteriores artículos iremos más específicamente a cómo aplicar estas obligaciones y medidas de protección a la red, los servidores y los Sistemas de Información, es decir, a cómo debe proceder un Administrador de Sistemas para poder adecuarlos a la LOPD.

ARTÍCULOS RELACIONADOS:

LOPD: aplicación práctica en entornos Windows. (I) Introducción a la LOPD

LOPD: aplicación práctica en entornos Windows. (II) Recogida de datos, titulares de los ficheros, deberes y derechos

LOPD: aplicación práctica en entornos Windows. (III) Reglamento de medidas de seguridad

LOPD: aplicación práctica en entornos Windows. (IV) El Documento de Seguridad


Acciones

Information

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s




A %d blogueros les gusta esto: