Tipos de Seguridad

April 21, 2018 | Author: William Villa | Category: Authentication, Information Privacy, Backup, Password, Computer File
Share Embed Donate


Short Description

seguridad informatica...

Description

Índice 1. 2. 3. 4. 5. 6.

Medidas de Seguridad. Seguridad. Tipos de Seguridad. Seguridad. Niveles de Seguridad. Seguridad.

Definición de Documento de Seguridad. Seguridad. Finalidad del Documento de Seguridad. Seguridad. Elaboración del Documento de Seguridad. Seguridad.

Medidas de Seguridad

Medidas de Seguridad

Articulo 13 de la  Ley de Protección de Datos Personales para el Distrito Federal :

Los entes públicos establecerán las medidas de seguridad técnica y organizativa organizativa para garan aranti tiza zarr la con onfi fide denc ncia iali lida dad d e int integralidad de cada sistema de datos personales que que pose posean an,, con con la fina finalilida dad d de preserva rvar el pleno ejercicio de los derechos tutelados en tutelados en la presente Ley, frente a su alteración, pérdida, transmisión y acceso no autorizado, de conformidad al tipo de datos contenidos en dichos sistemas.

Dichas medidas serán adoptadas en relación con el menor o mayor grado de protección que ameriten los datos personales, deberán constar por escrito  y ser comunicadas al Instituto para su registro.

Numeral Numeral 15 de de los los  Lineamientos para la Protección de Datos Personales en el Distrito Federal : 15. 15. Las Las medi medida dass de segu seguri rida dad d apli aplica cabl bles es a los los sist sistem emas as de dato datoss per persona sonale less responderán a los niveles establecidos en la Ley para cada tipo de datos. Dichas medidas deberán tomar en consideración las recomendaciones, que en su caso, emita el Instituto para este fin, con el objeto de garan aranti tiza zarr la conf confid iden enci cial alid idad ad,, integridad y disp dispon onib ibil ilid idad ad de los los da dato toss pers person onal ales es du dura rant nte e su trat tratam amie ient nto o.

Tipos de Seguridad

Tipos de Seguridad

I. Física.Física.- Se  Se refiere a toda medida orientada a la protección de instalaciones, equipos, soportes o sistemas de datos para la prevención de riesgos por caso fortuito o causas de fuerza mayor; II. Lógica.-  Se refiere a las medidas de protección que permiten la identificación y autentificación de las personas o usuarios autorizados para el tratamiento de los datos personales de acuerdo con su función;

(Art. 14 apartado A de la LPDPDF)

Tipos de Seguridad

III. De de desa sarr rrol ollo lo y ap apli lica caci cion ones es..- Corresponde  Corresponde a las autorizaciones con las que deberá cont contar ar la crea creaci ción ón o trat tratam amie ien nto de sis sistemas emas de dato datoss per persona sonale les, s, segú según n su importancia, para garantizar el adecuado desarrollo y uso de los datos, previendo la participación de usuarios, la separación de entornos, la metodología a seguir, ciclos de vida y gestión, así como las consideraciones especiales respecto de aplicaciones y pruebas;

IV. IV. De ci cifr frad ado. o.--  Consiste en la implementación de algoritmos, claves, contraseñas, así  como como disp dispos osit itiv ivos os concr oncreeto toss de prot protec ecci ción ón que que gar garanti antice cen n la int integr egralid alidad ad y confidencialidad de la información; y (Art. 14 apartado A de la LPDPDF)

V. De comunicaciones y redes.- Se redes.-  Se refiere a las restricciones preventivas y/o de riesgos que deberán observar los usuarios de datos o sistemas de datos personales para acceder a dominios o cargar programas autorizados, así como para el manejo de telecomunicaciones.

(Art. 14 apartado A de la LPDPDF)

Niveles de Seguridad

Niveles de Seguridad

1. Básico 2. Medio 3.  Alto

(Art. 14 apartado B de la LPDPDF)

Niveles de Seguridad Datos identificativos. Datos electrónicos. Datos laborales

• Documento de seguridad • Funciones y Obligaciones de las

personas que intervienen en el tratamiento de datos personales. • Registro de incidencias. • Identificación y autentificación. • Control de acceso. • Gestión de Soportes. • Copias de respaldo.

Básico

Medio • Responsable

de

seguridad • Auditoría • Control Control de acceso físico. • Pruebas con datos reales.

Datos de tránsito y movimientos migratorios. Datos académicos. Datos sobre procedimientos administrativos y/o  jurisdiccionales. Datos patrimoniale patrimoniales. s.

Datos sobre la salud. Datos biométricos. Datos especialmente protegidos (sensibles) • Distribución

de soportes • Registro de acceso • Telecomunicaciones. • Notificación del nivel de seguridad.

Alto

¿Qué es el Documento de Seguridad?

¿Qué es el Documento de Seguridad? Conforme al numeral 3, fracción VI, de los Lineamientos para la Protección de Datos Personales en el Distrito Federal :

Documento de Seguridad:

“…Instrumento

que

establece

las

medidas

y

procedimientos administrativos, físicos y técnicos de seguridad aplicables a los sistemas de datos personales necesarios para garantizar la protección, confid confidenc encial ialida idad, d, integ integrid ridad ad y dispon disponibi ibilid lidad ad de los datos contenidos en dichos sistemas; …”

Documento de Seguridad El responsable elaborará, difundirá e implementará la normativa de seguridad mediante el documento de seguridad que será de

observa rvancia obli lig gatoria para todos dos los los servido idores públic licos del ente público, así como para toda aquella persona que debido a la prestación de un servicio tenga acceso a los sistemas de datos personales y/o al sitio donde se ubican los mismos, tomando en cuenta lo dispuesto en la Ley y en los presentes Lineamientos tos.

Numeral 16 ,I, a) de los Lineamientos para la Protección de Datos Personales en el Distrito Federal

¿Qué deberá contener el Documento de Seguridad ? Seguridad  ? DOCUMENTO DE SEGURIDAD SEGURIDAD como mínimo deberá contener:

Nombre del Sistema de Datos Personales Cargo y adscripción del responsable Ámbito de aplicación

Estr Estruc uctu turra y desc descri ripc pció ión n del del Sist Sistem emaa de Dato Datoss Personales Especificación detallada de la categoría de datos personales contenidos en el Sistema Numeral 16 ,I, a) de los Lineamientos

¿Qué deberá contener el Documento Document o de Seguridad ? Funciones y obligaciones del personal que intervenga en el tratamiento de los sistemas de datos personales Medid didas, normas, procedimientos y criterios enfocados a garantizar el nivel de seguridad exigido por el artículo 14 de la Ley y los Lineamientos Procedimientos de notificación, gestión y respuesta ante incidencias Proc Proced edim imie ient ntos os par para la realiz alizac ació ión n de copi copias as de respa espald ldo o y recup ecuper eraación ción de los los dat datos, os, par para los los sistemas de datos personales automatizados Procedimientos Procedimientos para la realización realización de auditorias Numeral 16 ,I, a) de los Lineamientos

Actualización del Documento de Seguridad

Actualización del documento de seguridad

Anual

Cada que se modifique el tratamiento tratamiento de los datos personales

Numeral 16 ,I, a) de los Lineamientos

Finalidad del Documento de Seguridad

Finalidad del Documento de Seguridad Finalidad

del documento de Seguridad va dirigida a que el tratamiento tratamiento delos datos personales contenidos en el Sistema de Datos Personales sean tratados de conformidad con los principios establecidos en el artículo 5 de la LPDPDF. LPDPDF.

Temporalidad Disponibilidad Seguridad Confidencialidad Calidad de datos Consentimiento Licitud

Principio de confidencialidad El pri princi ncipio pio de co conf nfide idenci nciali alida dad d, señala que solo el interesado, el responsable o el usuario pueden acceder al sistema. Su objeto es garantizar que solo se utilicen para los propósitos para los que fueron obtenidos. Al responsable y al usuario les impone el deber de secrecía el cual puede ceder por : Una resolución judicial pública  Por motivos de seguridad pública  Seguridad nacional y   Salud pública 

Art. 5 de la LPDPDF

Principio de Seguridad El pr prin inci cipi pio o de seguridad seguridad,, se refiere a garantizar que el tratamiento de los datos personales sea llevado a cabo solo por quién está autorizado. El docu docume ment nto o de segu seguri rida dad d es la herr herram amie ient ntaa par para gar garanti antizzar lo tutelado por el principio de seguridad.

(Art. 5 de la LPDPDF)

Elaboración Elaboración del Documento de Seguridad

CARATULA

LOGO DEL ENTE PUBLICO

NOMBRE DEL SISTEMA DE DATOS PERSONALES (debe coincidir con el publicado en la Gaceta Oficial y el inscrito en el Registro Electrónico de Sistemas de Datos Personales) Numero de folio de registro del Sistema en el RESDP Fecha de la última actualización realizada en el RESDP Responsable de la elaboración del documento Fecha de elaboración del documento Fecha de la última actualización Aprobado por: Fecha de Aprobación

Estructura del documento de seguridad No existe una estructura rígida u obligatoria del documento, sin embargo con el objetivo de permitir un mejor cumplimiento de las disposiciones de la LPDPDF y sus Lineamientos se sugiere que el

documento en el que constan las medidas de seguridad sea estructurado de acuerdo a lo señalado en el numeral 16 de los Lineamientos para la Protección de Datos Personales en el Distrito

Fede ederal ral (Lin (Linea eam mient iento os), s), mismo ismo que que señ señala ala los los eleme lement nto os míni ínimos mos que que debe debe cont conten ener er el docu docume ment nto o de segu seguri rid dad. ad.

GUIA DE CONTENIDO

Logo del Ente Público

ENTE PUBLICO GUIA DE CONTENIDO

(REFERENCIA) ELABORADO POR

FECHA

0 1

 

APROBADO POR

VERSION FECHA

Guía del contenido  

Introducción

2

Identificación del responsable

3

Ambito de aplicación

4

Estruc Estructur turaa y descri descripci pción ón del sistem sistemaa de datos datos person personale aless

5

Catego Categorí ríaa de datos datos person personale aless conten contenido idoss en el sistem sistemaa

6

Funciones y obligaciones del personal que intervenga en el tratamiento de los sistemas de datos personales

7

Medida Medidass y Norma Normass para para garant garantiza izarr el nivel nivel de seguri seguridad dad

8

Proced Procedimi imient entos os y criter criterio ioss para para garant garantiz izar ar el nivel nivel de segur segurida idad d

9

Procedimientos Procedimientos de notificacion, gestion y respuesta ante incidencias

10

Procedimientos Procedimientos para la realización de copias de respaldo y recuperación de los datos, para los sistemas de datos personales automatizados

11

Proc Proced edim imie ient ntos os para para Audi Audito torí rías as..

INTRODUCCIÓN

Logo del Ente Público

(REFERENCIA) ELABORADO P OR OR

ENTE PUBLICO INTRODUCCION FECHA

 

VERSION

APROBA DO DO POR FECHA

Estructura propuesta: Nombre re del del sist sistem ema; a; I. Nomb Cargo o y adsc adscri ripc pció ión n del del resp respon onsa sabl ble; e; II. Carg

III. Ámbito de aplicación; Estruc uctu tura ra y desc descri ripc pció ión n del del sist sistem ema a de dato datoss pers person onal ales es;; IV.. Estr IV Especi cififica caci ción ón deta detallllad ada a de la cate catego gorí ría a de dato datoss pers person onal ales es cont conten enid idos os en el sist sistem ema; a; V. Espe Funcio ione ness y oblig bligac acio ion nes del del pers perso onal nal que que inte interv rve enga nga en el trat trata amien miento to de los los sist siste emas mas VI. Func de dato datoss perso persona nale les; s;

VII. Medidas, normas, procedimientos y criterios enfocados a garantizar el nivel de segu seguri rida dad d exig exigid ido o por el artí artícu culo lo 14 de la Ley Ley y los los prese resen ntes tes Line Lineam amie ien ntos; tos; Proced edimi imien ento toss de noti notific ficac ació ión, n, gest gestió ión n y resp respue uest sta a ante ante incid inciden encia cias; s; VIII. Proc Proced edim imie ient nto os para ara la rea realiza lizaci ción ón de cop copias ias de resp respal ald do y recu recupe pera raci ción ón de los los dat datos, os, IX. Proc para para los los sist sistem emas as de dato datoss pers person onal ales es auto automa matitiza zado dos; s; y Proced edim imie ient ntos os para para la real realiz izac ació ión n de audi audito torí rías as,, en su caso caso.. X. Proc

CARGO Y ADSCRIPCIÓN DEL RESPONSABLE

Logo del Ente Público

ENTE PUBLICO (REFERENCIA) ELABORADO POR

FUNCION: NOMBRE Y APELLIDOS: CATEGORÍA: DIVISIÓN O DEPARTAMENTO: DIRECCIÓN: TELEFONO: CORREO ELECTRONICO:

IDENTIFICACIÓN DEL RESPONSABLE   VERSION DE SEGURIDAD FECHA

APROBADO POR

FECHA

AMBITO DE APLICACIÓN

Logo del Ente Público

(REFERENCIA) ELABORADO POR

ENTE PUBLICO AMBITO DE APLICACIÓN FECHA

 

APROBADO POR

VERSION FECHA

Las medidas de seguridad regogidas en el presente Documento de Seguridad son de aplicación

ESTRUCTURA Y DESCRIPCIÓN DEL SISTEMA DE DATOS PERSONALES Logo del Ente Público

Logo del Ente Público

ENTE PUBLICO

(REFERENCIA)

ELABORADO POR

ENTE PUBLICO

ESTRUCTURA Y DESCRIPCION DEL   VERSION SISTEMA DE DATOS PERSONALES FECHA

APROBADO POR

F EC ECHA

(REFERENCIA)

ELA BO BORADO POR

ESTRUCTURA Y DESCRIPCION DEL   VERSION SISTEMA DE DATOS PERSONALES FECHA

DATOS DEL SISTEMA:

ORGIEN DE LOS DATOS

UNIDAD ADMINISTRATIVA RESPONSABLE:

CESION DE DATOS:

ENCARGADOS:

UNIDAD ADMINISTRATIVA RESPONSABLE:

USUARIOS:

NIVEL DE SEGURIDAD:

ORIGEN: DESTINO: INTERRELACION: TIEMPO DE CONSERVACION: CONSERVACION: NORMATIVIDAD APLICABLE:

APROBA DO DO POR

FE FECHA

ESPECIFICACION DETALLADA DE LA CATEGORIA DE DATOS PERSONALES CONTENIDOS EN EL SISTEMA DE DATOS DA TOS PERSONALES Logo del Ente Público

ENTE PUBLICO

(REFERENCIA)

ELABORADO POR

CATEGORIA DE DATOS PERSONALES CONTENIDOS EN EL VERSION SISTEMA DE DATOS PERSONALES FECHA

AP RO ROBADO POR

FE FECHA

FUNCIONES Y OBLIGACIONES DEL PERSONAL QUE INTERVENGA EN EL TRATAMIENTO DE LOS SISTEMAS DE DATOS DA TOS PRESONALES Logo del Ente Público ENTE PUBLICO (REFERENCIA) ELAB ELABOR ORAD ADO O POR POR

ATRIBUCIONES DEL   VERSION RESPONSABLE DEL SISTEMA FECH FECHA A

ATRIBUCIONES DEL RESPONSABLE DE SEGURIDAD

APRO APROBA BADO DO POR POR FECH FECHA A

ATRIBUCIONESS DE LOS ATRIBUCIONE USUARIOS

ATRIBUCIONES DE----- todos aquellos que tengan acceso al sistema de datos personales

MEDIDAS Y NORMAS PARA PARA GARANTIZAR EL NIVEL DE SEGURIDAD Logo del Ente Público

ENTE PUBLICO

(REFERENCIA)

EL AB ABORADO POR

MEDIDAS Y NORMAS PARA GARANTIZAR EL NIVEL DE SEGURIDAD

VERSION

FECHA

FE FECHA

A PR PROBADO POR

PROCEDIMIENTOS Y CRITERIOS PARA GARANTIZAR EL NIVEL DE SEGURIDAD

Logo del Ente Público

ENTE PUBLICO (REFERENCIA)

ELABORADO POR

PROCEDIMIENTO PARA GARANTIZAR EL NIVEL DE SEGURIDAD FECHA

 

APROBADO   POR

VERSION

FECHA

NIVEL BÁSICO Se entenderá como tal, el relativo a las medidas generales de seguridad cuya aplicación es obli ob liga gato tori ria a pa para ra to todo doss lo loss si sisste tema mass de da dattos  personales. Dichas medidas corresponden a los siguientess aspectos: siguiente

NIVEL BÁSICO Es el do docu cume ment nto o qu que e contiene las medidas de

seguri seg rid dad ap apllic icab able less al Sis isttema ma,, par araa garan anttiz izar ar la segu se guri rida dad d de la in info form rmac ació ión n

El documento de seguridad debe señalar de manera clara y específic íficaa la lass funciones y obligaciones del personal que intervenga en el tratamiento de los datos.

Nivel básico

I. Nombre del sistema: Como ya se indicó, de conformidad con el artículo artíc ulo 2 de la LPDPDF un Sistema de Datos Personales es “todo conjunto organizado de archivos, registros, ficheros, bases

o banco de datos personales de los entes públicos, cualquiera que sea la forma o modalidad de su creación, almacenamiento, organización y acceso”;

 Al asignar nombre al sistema es importante que éste guarde guarde relación con la finalidad del sistema, considerando como finalidad del sistema el motivo de creación del mismo.  Además, el nombre debe coincidir con el nombre del del sistema con el que fue publicado en la Gaceta Oficial del Distrito Federal o, en su caso, con el nombre con el que fue inscrito en el Registro Electrónico de Sistemas de Datos Personales (RESDP). (Ejemplo: SISTEMA DE DATOS DATOS PERSONALES DE LOS RECURSOS HUMANOS DEL INSTITUTO DE ACCESO A LA INFORMACIÓN PÚBLICA DEL DISTRITO FEDERAL)

Nivel básico II. Nombre, cargo y adscripción del responsable De conformidad con lo señalado en el artículo 2 de la LPDPDF el responsable del Sistema de Datos Personales es la Persona física que decida sobre la protección y tratamiento de datos  personales, así como el contenido y finalidad de los mismos, mismos , es decir, el responsable decide la finalidad, contenido y uso del sistema y no es la persona que los trata o maneja. Además, el titular de la unidad administrativa que tiene bajo la guarda y custodia material de los documentos. El cargo y área de adscripción del responsable es el mismo con c on el que fue publicado en la GODF y/o el que fue inscrito en el RESDP. Es importante que el responsable tenga el nivel jerárquico adecuado para emitir actos de autoridad, pues de acuerdo a lo establecido en el artículo 32 de la LPDPDF es el responsable quien debe atender las solicitudes de acceso, rectificación, cancelación y oposición de datos personales (solicitudes ARCO). (Ejemplo: Nombre ______  Cargo del responsable: Directora de Administración y Finanzas  Adscripción del responsable: Dirección de de Administración Administración y Finanzas.)

Nivel básico III. Ámbito de aplicación: En este rubro debe especificarse a qué sistema o sistemas de datos personales se aplicarán las medidas de seguridad contenidas en el documento, (recordemos que se puede realizar un documento de seguridad por cada sistema o uno para un grupo de sistemas que se encuentren bajo el resguardo de un sólo responsable y a los cuales se aplique el mismo nivel de protección) Señalando el tipo de sistema o sistemas de datos Personales que contiene (Automatizados y/o manuales) y el nivel de seguridad (básico medio o alto). Y debe abarcar las siguientes áreas:

Espacial: Todas las áreas del Ente Público donde se encuentran física o informáticamente los sistemas. Personal: Los funcionarios que tienen acceso a los sistemas. De contenidos : Bases de datos, soportes, programas, aplicaciones, redes, computadoras con acceso etc.

Nivel básico IV. Estructura, descripción del sistema de datos personales La estructura del sistema de datos personales debe incluir una descripción precisa de las características del sistema de datos personales, entre los aspectos que se recomienda incluir se encu encuen entr tran an los los sigu siguie ient ntes es:: •Fi nal nalidad idad y us o previs to •Nor mativ mativii dad dad aplic aplica able • Orig Or ig en de de los los dato datoss •P rocedimiento roc edimiento de obtenci obtención ón

P ubl ublic ica aci ción ón de C rea reaci ción ón en G acet ceta a Oficia Ofic iall del del Di Diss tri ritto Federal

datos

Se recomienda agregar como un anexo los formatos utilizados para la recolección de los datos personales.

Nivel básico V. Especificación detallada de la categoría de datos personales contenidos en el sistema Señalar el tipo de datos que contiene el sistema y dividirlos de conformidad con su cate ategoría y los tipos de datos. Categorías: De conformidad con el numeral 5 de los Lineamientos las categorías son identificativos, electrónicos laborales, patrimoniales, académicos, de tránsito y movimientos migratorios, sobre la salud, biométricos, especialmente protegidos y personales de naturaleza pública. Recordar que estas categorías y los datos contenidos en ellas son enunciativas y no limitativas, por lo que en caso de detectar algún dato personal que no esté enlistado en ninguna de las señaladas, deberá especificarlo, recordar que en el caso de los datos facultativos, al momento de recabarlos se debe señalar claramente cuáles son facu facultltat ativ ivos os y cuál cuáles es obli obliga gato tori rios os..

Nivel básico V. Especificación detallada de la categoría de datos personales contenidos en el sistema Por lo que el Ente Público debe:     

Detectar los datos personales, Determinar a qué categoría pertenecen, Hacer un listado En caso de no encontrarse en la lista buscar el tipo en el que encu encuad adra ran ny En caso de no detectar a que categoría pertenecen, debe señalarlo.

Una vez establecido lo anterior, debe señalar cuáles datos son obligatorios y cuáles facultativos.

Nivel básico

V. Especificación detallada de la categoría de datos personales contenidos en el sistema En el caso de que los datos sean facultativos, debe especificarlo también en el formato mediante el cual recabó la información. Ejemplo: E s tructura bás bás ica ic a del del sis s is tema ema de da datos tos pers pers onal onales. es . D atos espe es peci cia alment lmente e proteg proteg idos : Información médica, huellas digitales y tipo

de sangre. Datos identificativos: nombre, Clave del Registro Federal de Contribuyentes

(RFC), Clave Única de Registro de Población (CURP), domicilio, edad, estado civil, fecha de nacimiento, matrícula de servicio militar nacional (si aplica), nacionalidad, nombre de familiares dependientes y beneficiarios, número de  pasaporte (si aplica), aplica), teléfono celular, celular, teléfono particular 

Nivel básico

V. Especificación detallada de la categoría de datos personales cont conten enid idos os en el si sist stem emaa Datos Datos labora laboralles : hoja hoja de serv servic icio io,, inci incide denc ncia ia,, nomb nombra rami mien ento to,, soli solici citu tud d de empl empleo eo.. cuentass bancar bancarias, ias, inform informaci ación ón fiscal. fiscal. Datos Datos pat patrim ri monial oniales: es : cuenta Dat Datos s obre la s alud: ud: incapacidad incapacidades es médicas. médicas. Dat Datos biom biométricos : huellas huellas digita digitales. les. físico o y auto automa matiz tizad ado. o.  Modo de tratamiento tratamiento utilizado: utili zado: físic Dat Datos ide identifica ntificattivos ivos de cará caráct cte er obl oblig atorio: orio: nombre, Clave del registro Federal de

con contribuyentes (RF (RFC), Clave Única de Regist istro de Poblac lación ión (CURP), domic omiciilio, edad, estado civil, fecha de nacimiento, matrícula de servicio militar nacional (si aplica), naci nacion ona alidad idad,, nom nombre bre de fam familia iliarres depe depend ndie ien ntes tes y benef enefic icia iari rio os, núm número ero de pasa pasapo port rte e (si aplica), teléfono celular, teléfono particular, hoja de servicio, incidencia, nomb nombra rami mien ento, to, solic solicititud ud de empl empleo eo,, cuen cuenta tass banc bancar aria ias, s, info inform rmac ació ión n fisca fiscal,l, inca incapa paci cida dade dess médicas médicas,, huella huellass digita digitales les.. Datos Datos de cará carácte cterr facul faculttativo: dire direcci cción ón de corr correo eo elec electr trón ónic ico. o.

VI. Funciones y obligaciones del personal que intervenga en el tratamiento de los sistemas de datos personales. Los elementos a incluir en esta sección del documento que haga constar las medidas de seguridad, dependerán del nivel de seguridad que les l es resulte aplicable, de acuerdo a lo establecido en el artículo 14 de la LPDPDF y el numeral 16 de los Lineamientos.

Nivel de Aspectos a incluir seguridad Básico a) Func Funcio ione ness y obli obliggacio acione ness del del resp respon onsa sabl ble, e, encargado y de toda persona que intervenga en el tratamiento de los sistemas de datos personales Medio b) Responsable de seguridad

VI. Funciones y obligaciones del personal que intervenga en el tratamiento de los sistemas de datos personales. a) Las funciones y las obligaciones de todos los que intervienen en el tratamiento tratamiento de datos personales deben estar claramente definidas en el documento de seguridad o como se señaló, preferentemente de manera anexa para facilitar la modificación de las mismas, sin que sea obligación publicarlas en la GODF, sin embargo, también es pertinente señalar que, en caso de que el documento contenga las funciones de manera anexa, y se realicen modificaciones, se deben conservar ambos anexos, anexos, (el inicial y los documentos que contengan las diversas modificaciones). Las funciones deben ser congruentes con el Reglamento interior y/o con el manual de organización del Ente Público o normatividad que resulte aplicable. El responsable del sistema debe asegurarse de que el personal con acceso físico o automatizado conozca: las normas de seguridad que deben observarse; sus atribuciones respecto a los sistemas de datos personales; las responsabilidades que tienen; las consecuencias en caso de incumplimiento incumplimiento de las atribuciones en materia de protección de datos personales.

•  Recomendaciones 





La información información de este apartado apartado puede desarrollarse desarrollarse o mediante mediante uno o varios anexos, señalando de manera clara y específica, facultades y respo espons nsab abililid idade adess de cada cada una una de las las per persona sonass que que tien tienen en acce acceso so a la totalidad o una parte del sistema. Se debe considerar también a la gente que realiza limpieza y/o mantenimiento. Es posible que el Ente Público transfiera o intercambie intercambie información para para dar cumplimiento a la finalidad del sistema de datos personales, lo anterior debe estar PLENAMENTE justificado. Se recomienda establecer clausulas clausula s tipo para los contratos contratos a realizar con los usuarios, personal contratado por honorarios, etc. e incluirlas como anexo del documento.

NIVEL MEDIO

NIVEL MEDIO El niv nivel de segu seguri rid dad medi medio o es apli apliccable able a personales relativos relativos a:

los los sis sistemas mas de dat datos

La comisión de infracciones infracciones administrativas administrativas o penales,   Hacienda pública,   Servicios financieros,   Datos patrimoniales,   Datos que permitan obtener una evaluación de la personalidad del individuo. 

Nivel medio

b) Responsable de seguridad El resp respon onsa sabl ble e del del sist sistem emaa  designa uno o varios responsables de seguridad para uno o todos los sistemas de datos en posesión del ente público. Lo que depende de los métodos de organización y tratamiento tratamiento de los sistemas.

Not Nota: La desi design gnac ació ión n no supo supone ne la dele deleggació ación n de las las facul aculttades ades y atri atribu buci cion ones es que que corresponden corresponden al responsable del sistema de datos personales.

Numeral 16, II. A) de los Lineamientos

Nivel medio

b) Responsable de seguridad Puede haber un responsable de seguridad física y otro de electrónica.

Los cuales deben ser Directores de Área o en caso de que los sistemas se encuen encuentr tren en en dif diferen erente tess Unida Unidade dess Admi Adminis nistr trat ativ ivas as puede puede reca recaer er en Subdirectores

Nivel medio b) Responsable de seguridad

El responsable de seguridad del sistema debe coordinar y cont ontrolar las medidas definida nidass en el docu ocument ento de seguridad.

VII. VI I. Me Medi dida dass, no norm rmas as,, pr proc oced edim imie ient ntos os y cri ritter erio ioss en enffoc ocaado doss a ga gara rant ntiz izar  ar  el nivel de seguridad exigido por el artículo 14 de la ley de protección de datos personales para el distrito federal y los lineamientos; Los elementos a incluir en esta sección del documento que haga constar las medidas de seguridad, dependerán del nivel de seguridad que les l es resulte aplicable, de acuerdo a lo establecido en el artículo 14 de la LPDPDF y el numeral 16 de los Lineamientos.

Nivel de Aspectos a incluir seguridad a) Mecanismos de identificación y autenticación; Básico b) Mecanismos de control control de acceso; Medio c) Mecanismos Mecanismos de control control de acceso acceso físico físico d) Registros Registros de acceso; acceso; Alto e) Telecomunic elecomunicacione aciones. s.

Nivel básico a) Id Iden enti tifi fica caci ción ón y au aute tent ntif ific icac ació ión n El resp respon onssable able de segu seguri rida dad d del del sist sistem ema a debe debe:: 

 

Ela Elabora borarr una rel relación ción de ser servido vidore ress púb público licoss con con acc acceso eso auto utoriza rizado do al  sistema Establecer procedimientos que permitan la correcta identificación y  aute autent ntic icac ació ión n para para el acce acceso so.. Establecer un mecanismo que permita la identificación, las personas que intenten acceder al sistema de datos personales y verificar que está está autori autorizad zada. a.

NIVEL BÁSICO a) Id Iden enti tifi fica caci ción ón y au aute tent ntif ific icac ació ión n El responsable de seguridad del sistema debe:  



Establecer el periodo para el cambio de las contraseñas, las cuales deben conservarse conservarse cifradas. Establecerá un procedimiento de creación y modificación de contraseñas que señala longitud, formato y contenido. Definir el proceso de notificación o políticas de bajas de personal para  proceder a la inactivación inactivación de cuentas.

NIVEL BÁSICO

b) Control de acceso El responsable del sistema de datos personales debe:



Señalar el listado de encargados y usuarios con acceso autorizado.

  Actualizar

las listas de personas que pueden acceder al sistema de datos

personales

NIVEL BÁSICO

b) Control de acceso Las listas de control de acceso deben contener: 

La relación del personal

  Actividad

o facultad por el que tienen acceso a los datos



Una bitácora de acceso



Solamente el responsable del sistema sis tema de datos personales podrá conceder, conceder, alterar o anular la autorización para el acceso a los sistemas sis temas de datos personales.

Nivel medio

c) Control de acceso físico Sólo

quienes

estén

expresamente

autorizados en el documento de seguridad pueden entrar a las instalaciones donde se encuentren

los

sistemas

de

datos

personales, ya sea en soporte físico o electrónico.

NIVEL MEDIO

c) Control de acceso físico El ente público debe establecer el procedimiento para que únicamente tengan acceso físico al lugar en el que se encuentra el sistema de datos personales los que están autorizados para ello. Por ejemplo con un policía.

BITACORA BIT ACORA DE CONTROL CO NTROL DE ACCESO

Logo del Ente Público ENTE PUBLICO (REFERENCIA) ELABORADO POR

BITACORA DE CONTROL DE ACCESO   VERSION FECHA

APROBADO POR

F EC ECHA

Nivel Alto

Nivel Alto Se entenderá como tal, el relativo a las medidas generales de seguridad cuya aplicación es obligatoria para los sistemas de datos personales que contengan datos relativos a la ideología, religión, creencias, afiliación política, origen racial o étnico, salud, biométricos, genéticos o vida sexual, así como los que teng te ngan an da dato toss rec recab abad ados os pa para ra fin fines es po polic licial iales, es, de seg segur urida idad, d, pr prev evenc enció ión, n, investigación y persecución de delitos, entre otros. Conocidos también como datos sensibles.

Nivel Alto El Documento de Seguridad de Nivel Alto además de las medidas de seguridad previstas para el nivel básico y medio, deberá comprender: comprender: a) Distribución de soportes

b) Registro de acceso

c) Telecomunicaciones

Nivel Alto

d) Registro de acceso • El acceso a los sistemas de datos personales se limitará exclusivamente al personal autorizado, estableciendo además mecanismos que permitan identificar los accesos utilizados por múltiples personas autorizados. • Los mecanismos que permiten el registro de accesos

estarán bajo el control directo del responsable de seguridad correspondiente, sin que permita la desactivación o manipulación de los mismos.

Nivel Alto

El responsable de seguridad del sistema debe conservar una relación de

servidores públicos con al menos lo siguiente: • La identificación del usuario y del sistema de datos personales • La fecha y la hora en que se utilizó el sistema. • El tipo de acceso. • La verificación si esté fue autorizado o denegado.

El periodo de conservación de los datos previstos en el registro de acceso será al menos de 2 años.

Nivel Alto

e) Telecomunicaciones La transmisión de datos de carácter personal a través de redes públicas o redes inalámbricas de comunicaciones electrónicas se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que

garantice que la información no sea intangible ni manipulada por terceros.

VIII. Procedimientos Procedimientos de notificación, gestión y respuestaa ante incidencias respuest a) Registro Registro de incidencias incid encias

NIVEL BÁSICO

Registro de incidencias Una Una inci incide denc ncia ia pued puede e ser: ser: 

Cualquier incumplimiento de las normas desarrolladas en el docu docume ment nto o de Segu Seguri rida dad d



Cualquier ier anomalía que afecte cte o pueda afectar a la seg seguridad de los datos de carácte cter person sonal en el sistem tema.

Las incidencias deben ser documentadas para delimitar   resp respon onsa sabi bililida dade des, s, esta establ blec ecie iend ndo o proc proced edim imie ient ntos os que que cuen cuente ten n con con un regi registr stro. o. Numeral 16, I, c) de los Lineamientos

NIVEL BÁSICO

Registro de incidencias

Numeral 16, I, c) de los Lineamientos

PROCEDIMIENTOS DE NOTIFICACION, GESTION Y RESPUESTA ANTE INCIDENCIAS Logo del Ente Público

ENTE PUBLICO

(REFERENCIA)

ELABORA DO DO P OR OR

PROCEDIMIENTO PARA   INCIDENCIAS FECHA

A PR PROBADO POR

VERSION

FE FECHA

IX. Procedimientos para la realización de copias de respaldo y recuperación de los datos, para los sistemas de datos personales automatizados Los elementos a incluir en esta sección del documento que haga constar las medidas de seguridad, dependerán del nivel de seguridad que les resulte aplicable, de acuerdo a lo establecido en el artículo 14 de la LPDPDF y el numeral 16 de los Lineamientos.

Nivel de seguridad Básico Medio Alto

Elementos a incluir a) Gestión de soportes b) Copias de respaldo y recuperación. c) Pruebas con datos reales d) Distribución de soportes

Nivel Básico a) Gestión de soportes Los soportes físicos y electrónicos almacenados almacenados deben estar: • Etiquetados para permitir identificar el tipo de información que contienen, • Invent Inventari ariado adoss y  •Sólo el personal autorizado podrá acceder a ellos. •Para que puedan salir de las instalaciones u oficinas el responsable debe autorizarlo. •Para su traslado deben adoptarse medidas que eviten la sustracción,  pérdida o acceso indebido indebido a la información. Para Para dese desech char ar cual cualqu quie ierr sopo soport rte e que que cont conten enga ga dato datoss de cará caráct cter er pers person onal  al  deberá destruirse o borrarse, adoptando medidas dirigidas a evitar el  acceso a la información contenida en el mismo o su recuperación  posterior.  posterior.

Nivel Básico b) Copias de respaldo y recuperación. El responsable debe: •Establecer el procedimiento para realizar las de copias de respaldo periodo en que que se realizarán realizarán y su periodicidad. periodicidad. •Establecer el periodo •En caso de que los datos personales se encuentren en soporte físico, se

procurará que el respaldo se efectúe mediante la digitalización de los documentos. •Para soportes electrónicos establecer procedimientos para recuperar los datos erificar, al menos, cada seis meses la correcta definición, •Verificar, funcionamiento y aplicación de los procedimientos de realización de copias, asícomo los de recuperación.

PROCEDIMIENTO PARA LAS COPIAS DE RESPALDO PARA LOS SISTEMAS DE DATOS PERSONALES AUTOMATIZADOS

Logo del Ente Público

ENTE PUBLICO (REFERENCIA) ELABORADO POR

PROCEDIMIENTO PARA COPIAS   VERSION DE RESPALDO FECHA

APROBADO POR FECHA

PROCEDIMIENTO PARA LA RECUPERACION DE LOS DATOS PARA LOS SISTEMAS DE DATOS PERSONALES AUTOMATIZADOS Logo del Ente Público ENTE PUBLICO (REFERENCIA) ELABORADO POR

PROCEDIMIENTO PARA RECUPERACIÓN DE DATOS FECHA

 

APROBADO POR

VERSION F EC ECHA

Nivel medio

c) Pruebas con datos reales Se realizan para verificar la correcta aplicación y funcionamiento de los procedimientos para obtener copias de respaldo y de recuperación de los datos.

Los sistemas informáticos informáticos que traten sistemas de datos personales, personales, no se realizarán con datos reales, salvo que se asegure el nivel de seguridad correspondiente correspondiente al tipo de datos tratados.

Para realizar pruebas con datos reales primero debe elaborarse una copia de respaldo.

Nivel Alto

d) Distribución de soportes

•La distribución de los soportes que contengan datos de

carácter personal se realizará cifrando dichos datos, o bien, •La utilización de cualquier otro mecanismo que garantice

que la información personal no sea inteligible ni manipulada durante su traslado o transmisión.

Nivel Medio y Alto

X. Procedimientos para la realización de auditorías, en su caso

NIVEL MEDIO

Auditoría Auditoría Auditoría es el proces proceso o de revisió revisión n que se se lleve lleve a cabo con el fin de emitir una opinión acerca del cumplimiento de las disposiciones establecidas en la normatividad que regula, en este caso la materia de protección de datos personales

NIVEL MEDIO

Auditoría Las medidas de seguridad implementadas para la protección de los sistemas de datos personales se someterán, al menos cada dos años   a una auditoría auditoría la cual cual puede puede ser: ser:  Interna o  Externa

NIVEL MEDIO

Auditoría La finalidad de la auditoría es:   Verificar

el cumplimiento de las disposiciones establecidas en el documento de

seguridad para proteger los datos contenidos en el sistema. 

Identificar Identificar las deficiencias.

  Proponer    Revisar

las medidas preventivas, correctivas o complementarias necesarias.

que el documento de seguridad haya sido elaborado conforme a lo

establecido establecido en la Ley y los Lineamientos. Lineamientos.

NIVEL MEDIO

Auditoría El responsable del sistema debe: Comunicar

al Instituto el resultado de la auditoría, dentro

de los 20 días hábiles siguientes a su emisión. Informar

de la adopci pción de las med medidas correct ectivas

derivadas de la auditoría. Numeral 16, II. b) de los Lineamientos

NIVEL MEDIO

Auditoría El responsable del sistema debe:   Comunicar

al Instituto el resultado de la auditoría, dentro de los

20 días hábiles siguientes a su emisión.   Informar

de la adopción de las medidas correctivas derivadas de

la auditoría. Numeral 16, II. A) de los Lineamientos

NIVEL MEDIO

Auditoría Los Los 120 120 días días hábi hábile les, s, esta establ blec ecid idos os en el artí artícu culo lo cuar cuartto tran transi sito tori rio o de los los transcurrieron del 27 de octubre del 2009 al 11 de mayo de 2010. Lineamientos , transcurrieron

Es a partir de entonces que se considera que los entes obligados están en condiciones de cumplir con las medidas de seguridad exigidas por la Ley  de   de la materia, toda vez que ya tuvieron un término para poder reali alizar las adecuaciones pertinentes. Numeral 16, II. b) de los Lineamientos

NIVEL MEDIO

Auditoría A más tardar para el 11 de mayo del 2012, se debe de haber iniciado

con al menos una auditoría de las que se refiere el numeral 16, fracción II, II, inci inciso so b), b), de los los Line Lineam amie ien ntos, con la fina finalilida dad d de verif erifiicar el cumpl cumplim imie ient nto o de las las disp dispos osic icio iones nes cont conten enid idas as en el docum documen ento to de seguridad de los sistemas de datos personales que estén en su posesión, de acuerdo a las disposiciones aplicables. Numeral 16, II. b) de los Lineamientos

PROCEDIMIENTO PARA AUDITORIAS

Logo del Ente Público

ENTE PUBLICO (REFERENCIA) ELAB LABORA ORADO POR POR

PROCEDIMIENTO PARA   AUDITORIAS FECH FECHA A

VERSION

APRO APROBA BAD DO POR POR FECH FECHA A

NIVEL BÁSICO

Gestión de soportes Los soportes físicos y electrónicos almacenados deben estar: 

Etiquetados para permitir identificar el tipo de de información que contienen,



Invent Inventari ariado adoss y 



Sólo el personal autorizado podrá acceder a ellos.



Para que puedan salir de las instalaciones u oficinas el responsable r esponsable debe autorizarlo.



Para su traslado deben adoptarse medidas que eviten la sustracción, pérdida o acceso indebido a la información.

Para Para dese desech char ar cual cualqu quie ierr sopo soport rte e que que cont conten enga ga dato datoss de cará caráct cter er pers person onal al debe deberá rá dest destru ruir irse se o borra rrarse rse, adoptando medidas dirig rigidas a evita itar el acceso ceso a la inf informa rmación ión contenida en el  mism mismo o o su recu recupe pera raci ción ón post poster erio iorr.

NIVEL BÁSICO

Copias de respaldo y recuperación. El resp respon onsa sabl ble e debe debe::   

 

Esta Estab blece lecerr el proce roced dimie imien nto para reali ealiza zarr las las de cop copias ias de resp respa aldo ldo Esta stablecer cer el periodo en que se realizar zarán y su periodicidad. En caso de que los datos personales se encuentren en soporte físico, se procurará que el respaldo se efectúe mediante la digitalización de los docume documento ntos. s. Par Para sop soporte ortess ele electró ctróni nico coss esta establ ble ecer cer pro proced cedimie imient nto os par para recu ecupera perar  r  los los dato datoss Verificar, al menos, cada seis meses la correcta definición, funcionamiento y aplicación de los procedimientos de realización de cop copias, ias, así así como como los los de recu recup perac eració ión n.

GRACIAS POR SU ATENCIÓN 56 36 21 36

View more...

Comments

Copyright ©2017 KUPDF Inc.
SUPPORT KUPDF