Tipos de Seguridad
Short Description
seguridad informatica...
Description
Índice 1. 2. 3. 4. 5. 6.
Medidas de Seguridad. Seguridad. Tipos de Seguridad. Seguridad. Niveles de Seguridad. Seguridad.
Definición de Documento de Seguridad. Seguridad. Finalidad del Documento de Seguridad. Seguridad. Elaboración del Documento de Seguridad. Seguridad.
Medidas de Seguridad
Medidas de Seguridad
Articulo 13 de la Ley de Protección de Datos Personales para el Distrito Federal :
Los entes públicos establecerán las medidas de seguridad técnica y organizativa organizativa para garan aranti tiza zarr la con onfi fide denc ncia iali lida dad d e int integralidad de cada sistema de datos personales que que pose posean an,, con con la fina finalilida dad d de preserva rvar el pleno ejercicio de los derechos tutelados en tutelados en la presente Ley, frente a su alteración, pérdida, transmisión y acceso no autorizado, de conformidad al tipo de datos contenidos en dichos sistemas.
Dichas medidas serán adoptadas en relación con el menor o mayor grado de protección que ameriten los datos personales, deberán constar por escrito y ser comunicadas al Instituto para su registro.
Numeral Numeral 15 de de los los Lineamientos para la Protección de Datos Personales en el Distrito Federal : 15. 15. Las Las medi medida dass de segu seguri rida dad d apli aplica cabl bles es a los los sist sistem emas as de dato datoss per persona sonale less responderán a los niveles establecidos en la Ley para cada tipo de datos. Dichas medidas deberán tomar en consideración las recomendaciones, que en su caso, emita el Instituto para este fin, con el objeto de garan aranti tiza zarr la conf confid iden enci cial alid idad ad,, integridad y disp dispon onib ibil ilid idad ad de los los da dato toss pers person onal ales es du dura rant nte e su trat tratam amie ient nto o.
Tipos de Seguridad
Tipos de Seguridad
I. Física.Física.- Se Se refiere a toda medida orientada a la protección de instalaciones, equipos, soportes o sistemas de datos para la prevención de riesgos por caso fortuito o causas de fuerza mayor; II. Lógica.- Se refiere a las medidas de protección que permiten la identificación y autentificación de las personas o usuarios autorizados para el tratamiento de los datos personales de acuerdo con su función;
(Art. 14 apartado A de la LPDPDF)
Tipos de Seguridad
III. De de desa sarr rrol ollo lo y ap apli lica caci cion ones es..- Corresponde Corresponde a las autorizaciones con las que deberá cont contar ar la crea creaci ción ón o trat tratam amie ien nto de sis sistemas emas de dato datoss per persona sonale les, s, segú según n su importancia, para garantizar el adecuado desarrollo y uso de los datos, previendo la participación de usuarios, la separación de entornos, la metodología a seguir, ciclos de vida y gestión, así como las consideraciones especiales respecto de aplicaciones y pruebas;
IV. IV. De ci cifr frad ado. o.-- Consiste en la implementación de algoritmos, claves, contraseñas, así como como disp dispos osit itiv ivos os concr oncreeto toss de prot protec ecci ción ón que que gar garanti antice cen n la int integr egralid alidad ad y confidencialidad de la información; y (Art. 14 apartado A de la LPDPDF)
V. De comunicaciones y redes.- Se redes.- Se refiere a las restricciones preventivas y/o de riesgos que deberán observar los usuarios de datos o sistemas de datos personales para acceder a dominios o cargar programas autorizados, así como para el manejo de telecomunicaciones.
(Art. 14 apartado A de la LPDPDF)
Niveles de Seguridad
Niveles de Seguridad
1. Básico 2. Medio 3. Alto
(Art. 14 apartado B de la LPDPDF)
Niveles de Seguridad Datos identificativos. Datos electrónicos. Datos laborales
• Documento de seguridad • Funciones y Obligaciones de las
personas que intervienen en el tratamiento de datos personales. • Registro de incidencias. • Identificación y autentificación. • Control de acceso. • Gestión de Soportes. • Copias de respaldo.
Básico
Medio • Responsable
de
seguridad • Auditoría • Control Control de acceso físico. • Pruebas con datos reales.
Datos de tránsito y movimientos migratorios. Datos académicos. Datos sobre procedimientos administrativos y/o jurisdiccionales. Datos patrimoniale patrimoniales. s.
Datos sobre la salud. Datos biométricos. Datos especialmente protegidos (sensibles) • Distribución
de soportes • Registro de acceso • Telecomunicaciones. • Notificación del nivel de seguridad.
Alto
¿Qué es el Documento de Seguridad?
¿Qué es el Documento de Seguridad? Conforme al numeral 3, fracción VI, de los Lineamientos para la Protección de Datos Personales en el Distrito Federal :
Documento de Seguridad:
“…Instrumento
que
establece
las
medidas
y
procedimientos administrativos, físicos y técnicos de seguridad aplicables a los sistemas de datos personales necesarios para garantizar la protección, confid confidenc encial ialida idad, d, integ integrid ridad ad y dispon disponibi ibilid lidad ad de los datos contenidos en dichos sistemas; …”
Documento de Seguridad El responsable elaborará, difundirá e implementará la normativa de seguridad mediante el documento de seguridad que será de
observa rvancia obli lig gatoria para todos dos los los servido idores públic licos del ente público, así como para toda aquella persona que debido a la prestación de un servicio tenga acceso a los sistemas de datos personales y/o al sitio donde se ubican los mismos, tomando en cuenta lo dispuesto en la Ley y en los presentes Lineamientos tos.
Numeral 16 ,I, a) de los Lineamientos para la Protección de Datos Personales en el Distrito Federal
¿Qué deberá contener el Documento de Seguridad ? Seguridad ? DOCUMENTO DE SEGURIDAD SEGURIDAD como mínimo deberá contener:
Nombre del Sistema de Datos Personales Cargo y adscripción del responsable Ámbito de aplicación
Estr Estruc uctu turra y desc descri ripc pció ión n del del Sist Sistem emaa de Dato Datoss Personales Especificación detallada de la categoría de datos personales contenidos en el Sistema Numeral 16 ,I, a) de los Lineamientos
¿Qué deberá contener el Documento Document o de Seguridad ? Funciones y obligaciones del personal que intervenga en el tratamiento de los sistemas de datos personales Medid didas, normas, procedimientos y criterios enfocados a garantizar el nivel de seguridad exigido por el artículo 14 de la Ley y los Lineamientos Procedimientos de notificación, gestión y respuesta ante incidencias Proc Proced edim imie ient ntos os par para la realiz alizac ació ión n de copi copias as de respa espald ldo o y recup ecuper eraación ción de los los dat datos, os, par para los los sistemas de datos personales automatizados Procedimientos Procedimientos para la realización realización de auditorias Numeral 16 ,I, a) de los Lineamientos
Actualización del Documento de Seguridad
Actualización del documento de seguridad
Anual
Cada que se modifique el tratamiento tratamiento de los datos personales
Numeral 16 ,I, a) de los Lineamientos
Finalidad del Documento de Seguridad
Finalidad del Documento de Seguridad Finalidad
del documento de Seguridad va dirigida a que el tratamiento tratamiento delos datos personales contenidos en el Sistema de Datos Personales sean tratados de conformidad con los principios establecidos en el artículo 5 de la LPDPDF. LPDPDF.
Temporalidad Disponibilidad Seguridad Confidencialidad Calidad de datos Consentimiento Licitud
Principio de confidencialidad El pri princi ncipio pio de co conf nfide idenci nciali alida dad d, señala que solo el interesado, el responsable o el usuario pueden acceder al sistema. Su objeto es garantizar que solo se utilicen para los propósitos para los que fueron obtenidos. Al responsable y al usuario les impone el deber de secrecía el cual puede ceder por : Una resolución judicial pública Por motivos de seguridad pública Seguridad nacional y Salud pública
Art. 5 de la LPDPDF
Principio de Seguridad El pr prin inci cipi pio o de seguridad seguridad,, se refiere a garantizar que el tratamiento de los datos personales sea llevado a cabo solo por quién está autorizado. El docu docume ment nto o de segu seguri rida dad d es la herr herram amie ient ntaa par para gar garanti antizzar lo tutelado por el principio de seguridad.
(Art. 5 de la LPDPDF)
Elaboración Elaboración del Documento de Seguridad
CARATULA
LOGO DEL ENTE PUBLICO
NOMBRE DEL SISTEMA DE DATOS PERSONALES (debe coincidir con el publicado en la Gaceta Oficial y el inscrito en el Registro Electrónico de Sistemas de Datos Personales) Numero de folio de registro del Sistema en el RESDP Fecha de la última actualización realizada en el RESDP Responsable de la elaboración del documento Fecha de elaboración del documento Fecha de la última actualización Aprobado por: Fecha de Aprobación
Estructura del documento de seguridad No existe una estructura rígida u obligatoria del documento, sin embargo con el objetivo de permitir un mejor cumplimiento de las disposiciones de la LPDPDF y sus Lineamientos se sugiere que el
documento en el que constan las medidas de seguridad sea estructurado de acuerdo a lo señalado en el numeral 16 de los Lineamientos para la Protección de Datos Personales en el Distrito
Fede ederal ral (Lin (Linea eam mient iento os), s), mismo ismo que que señ señala ala los los eleme lement nto os míni ínimos mos que que debe debe cont conten ener er el docu docume ment nto o de segu seguri rid dad. ad.
GUIA DE CONTENIDO
Logo del Ente Público
ENTE PUBLICO GUIA DE CONTENIDO
(REFERENCIA) ELABORADO POR
FECHA
0 1
APROBADO POR
VERSION FECHA
Guía del contenido
Introducción
2
Identificación del responsable
3
Ambito de aplicación
4
Estruc Estructur turaa y descri descripci pción ón del sistem sistemaa de datos datos person personale aless
5
Catego Categorí ríaa de datos datos person personale aless conten contenido idoss en el sistem sistemaa
6
Funciones y obligaciones del personal que intervenga en el tratamiento de los sistemas de datos personales
7
Medida Medidass y Norma Normass para para garant garantiza izarr el nivel nivel de seguri seguridad dad
8
Proced Procedimi imient entos os y criter criterio ioss para para garant garantiz izar ar el nivel nivel de segur segurida idad d
9
Procedimientos Procedimientos de notificacion, gestion y respuesta ante incidencias
10
Procedimientos Procedimientos para la realización de copias de respaldo y recuperación de los datos, para los sistemas de datos personales automatizados
11
Proc Proced edim imie ient ntos os para para Audi Audito torí rías as..
INTRODUCCIÓN
Logo del Ente Público
(REFERENCIA) ELABORADO P OR OR
ENTE PUBLICO INTRODUCCION FECHA
VERSION
APROBA DO DO POR FECHA
Estructura propuesta: Nombre re del del sist sistem ema; a; I. Nomb Cargo o y adsc adscri ripc pció ión n del del resp respon onsa sabl ble; e; II. Carg
III. Ámbito de aplicación; Estruc uctu tura ra y desc descri ripc pció ión n del del sist sistem ema a de dato datoss pers person onal ales es;; IV.. Estr IV Especi cififica caci ción ón deta detallllad ada a de la cate catego gorí ría a de dato datoss pers person onal ales es cont conten enid idos os en el sist sistem ema; a; V. Espe Funcio ione ness y oblig bligac acio ion nes del del pers perso onal nal que que inte interv rve enga nga en el trat trata amien miento to de los los sist siste emas mas VI. Func de dato datoss perso persona nale les; s;
VII. Medidas, normas, procedimientos y criterios enfocados a garantizar el nivel de segu seguri rida dad d exig exigid ido o por el artí artícu culo lo 14 de la Ley Ley y los los prese resen ntes tes Line Lineam amie ien ntos; tos; Proced edimi imien ento toss de noti notific ficac ació ión, n, gest gestió ión n y resp respue uest sta a ante ante incid inciden encia cias; s; VIII. Proc Proced edim imie ient nto os para ara la rea realiza lizaci ción ón de cop copias ias de resp respal ald do y recu recupe pera raci ción ón de los los dat datos, os, IX. Proc para para los los sist sistem emas as de dato datoss pers person onal ales es auto automa matitiza zado dos; s; y Proced edim imie ient ntos os para para la real realiz izac ació ión n de audi audito torí rías as,, en su caso caso.. X. Proc
CARGO Y ADSCRIPCIÓN DEL RESPONSABLE
Logo del Ente Público
ENTE PUBLICO (REFERENCIA) ELABORADO POR
FUNCION: NOMBRE Y APELLIDOS: CATEGORÍA: DIVISIÓN O DEPARTAMENTO: DIRECCIÓN: TELEFONO: CORREO ELECTRONICO:
IDENTIFICACIÓN DEL RESPONSABLE VERSION DE SEGURIDAD FECHA
APROBADO POR
FECHA
AMBITO DE APLICACIÓN
Logo del Ente Público
(REFERENCIA) ELABORADO POR
ENTE PUBLICO AMBITO DE APLICACIÓN FECHA
APROBADO POR
VERSION FECHA
Las medidas de seguridad regogidas en el presente Documento de Seguridad son de aplicación
ESTRUCTURA Y DESCRIPCIÓN DEL SISTEMA DE DATOS PERSONALES Logo del Ente Público
Logo del Ente Público
ENTE PUBLICO
(REFERENCIA)
ELABORADO POR
ENTE PUBLICO
ESTRUCTURA Y DESCRIPCION DEL VERSION SISTEMA DE DATOS PERSONALES FECHA
APROBADO POR
F EC ECHA
(REFERENCIA)
ELA BO BORADO POR
ESTRUCTURA Y DESCRIPCION DEL VERSION SISTEMA DE DATOS PERSONALES FECHA
DATOS DEL SISTEMA:
ORGIEN DE LOS DATOS
UNIDAD ADMINISTRATIVA RESPONSABLE:
CESION DE DATOS:
ENCARGADOS:
UNIDAD ADMINISTRATIVA RESPONSABLE:
USUARIOS:
NIVEL DE SEGURIDAD:
ORIGEN: DESTINO: INTERRELACION: TIEMPO DE CONSERVACION: CONSERVACION: NORMATIVIDAD APLICABLE:
APROBA DO DO POR
FE FECHA
ESPECIFICACION DETALLADA DE LA CATEGORIA DE DATOS PERSONALES CONTENIDOS EN EL SISTEMA DE DATOS DA TOS PERSONALES Logo del Ente Público
ENTE PUBLICO
(REFERENCIA)
ELABORADO POR
CATEGORIA DE DATOS PERSONALES CONTENIDOS EN EL VERSION SISTEMA DE DATOS PERSONALES FECHA
AP RO ROBADO POR
FE FECHA
FUNCIONES Y OBLIGACIONES DEL PERSONAL QUE INTERVENGA EN EL TRATAMIENTO DE LOS SISTEMAS DE DATOS DA TOS PRESONALES Logo del Ente Público ENTE PUBLICO (REFERENCIA) ELAB ELABOR ORAD ADO O POR POR
ATRIBUCIONES DEL VERSION RESPONSABLE DEL SISTEMA FECH FECHA A
ATRIBUCIONES DEL RESPONSABLE DE SEGURIDAD
APRO APROBA BADO DO POR POR FECH FECHA A
ATRIBUCIONESS DE LOS ATRIBUCIONE USUARIOS
ATRIBUCIONES DE----- todos aquellos que tengan acceso al sistema de datos personales
MEDIDAS Y NORMAS PARA PARA GARANTIZAR EL NIVEL DE SEGURIDAD Logo del Ente Público
ENTE PUBLICO
(REFERENCIA)
EL AB ABORADO POR
MEDIDAS Y NORMAS PARA GARANTIZAR EL NIVEL DE SEGURIDAD
VERSION
FECHA
FE FECHA
A PR PROBADO POR
PROCEDIMIENTOS Y CRITERIOS PARA GARANTIZAR EL NIVEL DE SEGURIDAD
Logo del Ente Público
ENTE PUBLICO (REFERENCIA)
ELABORADO POR
PROCEDIMIENTO PARA GARANTIZAR EL NIVEL DE SEGURIDAD FECHA
APROBADO POR
VERSION
FECHA
NIVEL BÁSICO Se entenderá como tal, el relativo a las medidas generales de seguridad cuya aplicación es obli ob liga gato tori ria a pa para ra to todo doss lo loss si sisste tema mass de da dattos personales. Dichas medidas corresponden a los siguientess aspectos: siguiente
NIVEL BÁSICO Es el do docu cume ment nto o qu que e contiene las medidas de
seguri seg rid dad ap apllic icab able less al Sis isttema ma,, par araa garan anttiz izar ar la segu se guri rida dad d de la in info form rmac ació ión n
El documento de seguridad debe señalar de manera clara y específic íficaa la lass funciones y obligaciones del personal que intervenga en el tratamiento de los datos.
Nivel básico
I. Nombre del sistema: Como ya se indicó, de conformidad con el artículo artíc ulo 2 de la LPDPDF un Sistema de Datos Personales es “todo conjunto organizado de archivos, registros, ficheros, bases
o banco de datos personales de los entes públicos, cualquiera que sea la forma o modalidad de su creación, almacenamiento, organización y acceso”;
Al asignar nombre al sistema es importante que éste guarde guarde relación con la finalidad del sistema, considerando como finalidad del sistema el motivo de creación del mismo. Además, el nombre debe coincidir con el nombre del del sistema con el que fue publicado en la Gaceta Oficial del Distrito Federal o, en su caso, con el nombre con el que fue inscrito en el Registro Electrónico de Sistemas de Datos Personales (RESDP). (Ejemplo: SISTEMA DE DATOS DATOS PERSONALES DE LOS RECURSOS HUMANOS DEL INSTITUTO DE ACCESO A LA INFORMACIÓN PÚBLICA DEL DISTRITO FEDERAL)
Nivel básico II. Nombre, cargo y adscripción del responsable De conformidad con lo señalado en el artículo 2 de la LPDPDF el responsable del Sistema de Datos Personales es la Persona física que decida sobre la protección y tratamiento de datos personales, así como el contenido y finalidad de los mismos, mismos , es decir, el responsable decide la finalidad, contenido y uso del sistema y no es la persona que los trata o maneja. Además, el titular de la unidad administrativa que tiene bajo la guarda y custodia material de los documentos. El cargo y área de adscripción del responsable es el mismo con c on el que fue publicado en la GODF y/o el que fue inscrito en el RESDP. Es importante que el responsable tenga el nivel jerárquico adecuado para emitir actos de autoridad, pues de acuerdo a lo establecido en el artículo 32 de la LPDPDF es el responsable quien debe atender las solicitudes de acceso, rectificación, cancelación y oposición de datos personales (solicitudes ARCO). (Ejemplo: Nombre ______ Cargo del responsable: Directora de Administración y Finanzas Adscripción del responsable: Dirección de de Administración Administración y Finanzas.)
Nivel básico III. Ámbito de aplicación: En este rubro debe especificarse a qué sistema o sistemas de datos personales se aplicarán las medidas de seguridad contenidas en el documento, (recordemos que se puede realizar un documento de seguridad por cada sistema o uno para un grupo de sistemas que se encuentren bajo el resguardo de un sólo responsable y a los cuales se aplique el mismo nivel de protección) Señalando el tipo de sistema o sistemas de datos Personales que contiene (Automatizados y/o manuales) y el nivel de seguridad (básico medio o alto). Y debe abarcar las siguientes áreas:
Espacial: Todas las áreas del Ente Público donde se encuentran física o informáticamente los sistemas. Personal: Los funcionarios que tienen acceso a los sistemas. De contenidos : Bases de datos, soportes, programas, aplicaciones, redes, computadoras con acceso etc.
Nivel básico IV. Estructura, descripción del sistema de datos personales La estructura del sistema de datos personales debe incluir una descripción precisa de las características del sistema de datos personales, entre los aspectos que se recomienda incluir se encu encuen entr tran an los los sigu siguie ient ntes es:: •Fi nal nalidad idad y us o previs to •Nor mativ mativii dad dad aplic aplica able • Orig Or ig en de de los los dato datoss •P rocedimiento roc edimiento de obtenci obtención ón
P ubl ublic ica aci ción ón de C rea reaci ción ón en G acet ceta a Oficia Ofic iall del del Di Diss tri ritto Federal
datos
Se recomienda agregar como un anexo los formatos utilizados para la recolección de los datos personales.
Nivel básico V. Especificación detallada de la categoría de datos personales contenidos en el sistema Señalar el tipo de datos que contiene el sistema y dividirlos de conformidad con su cate ategoría y los tipos de datos. Categorías: De conformidad con el numeral 5 de los Lineamientos las categorías son identificativos, electrónicos laborales, patrimoniales, académicos, de tránsito y movimientos migratorios, sobre la salud, biométricos, especialmente protegidos y personales de naturaleza pública. Recordar que estas categorías y los datos contenidos en ellas son enunciativas y no limitativas, por lo que en caso de detectar algún dato personal que no esté enlistado en ninguna de las señaladas, deberá especificarlo, recordar que en el caso de los datos facultativos, al momento de recabarlos se debe señalar claramente cuáles son facu facultltat ativ ivos os y cuál cuáles es obli obliga gato tori rios os..
Nivel básico V. Especificación detallada de la categoría de datos personales contenidos en el sistema Por lo que el Ente Público debe:
Detectar los datos personales, Determinar a qué categoría pertenecen, Hacer un listado En caso de no encontrarse en la lista buscar el tipo en el que encu encuad adra ran ny En caso de no detectar a que categoría pertenecen, debe señalarlo.
Una vez establecido lo anterior, debe señalar cuáles datos son obligatorios y cuáles facultativos.
Nivel básico
V. Especificación detallada de la categoría de datos personales contenidos en el sistema En el caso de que los datos sean facultativos, debe especificarlo también en el formato mediante el cual recabó la información. Ejemplo: E s tructura bás bás ica ic a del del sis s is tema ema de da datos tos pers pers onal onales. es . D atos espe es peci cia alment lmente e proteg proteg idos : Información médica, huellas digitales y tipo
de sangre. Datos identificativos: nombre, Clave del Registro Federal de Contribuyentes
(RFC), Clave Única de Registro de Población (CURP), domicilio, edad, estado civil, fecha de nacimiento, matrícula de servicio militar nacional (si aplica), nacionalidad, nombre de familiares dependientes y beneficiarios, número de pasaporte (si aplica), aplica), teléfono celular, celular, teléfono particular
Nivel básico
V. Especificación detallada de la categoría de datos personales cont conten enid idos os en el si sist stem emaa Datos Datos labora laboralles : hoja hoja de serv servic icio io,, inci incide denc ncia ia,, nomb nombra rami mien ento to,, soli solici citu tud d de empl empleo eo.. cuentass bancar bancarias, ias, inform informaci ación ón fiscal. fiscal. Datos Datos pat patrim ri monial oniales: es : cuenta Dat Datos s obre la s alud: ud: incapacidad incapacidades es médicas. médicas. Dat Datos biom biométricos : huellas huellas digita digitales. les. físico o y auto automa matiz tizad ado. o. Modo de tratamiento tratamiento utilizado: utili zado: físic Dat Datos ide identifica ntificattivos ivos de cará caráct cte er obl oblig atorio: orio: nombre, Clave del registro Federal de
con contribuyentes (RF (RFC), Clave Única de Regist istro de Poblac lación ión (CURP), domic omiciilio, edad, estado civil, fecha de nacimiento, matrícula de servicio militar nacional (si aplica), naci nacion ona alidad idad,, nom nombre bre de fam familia iliarres depe depend ndie ien ntes tes y benef enefic icia iari rio os, núm número ero de pasa pasapo port rte e (si aplica), teléfono celular, teléfono particular, hoja de servicio, incidencia, nomb nombra rami mien ento, to, solic solicititud ud de empl empleo eo,, cuen cuenta tass banc bancar aria ias, s, info inform rmac ació ión n fisca fiscal,l, inca incapa paci cida dade dess médicas médicas,, huella huellass digita digitales les.. Datos Datos de cará carácte cterr facul faculttativo: dire direcci cción ón de corr correo eo elec electr trón ónic ico. o.
VI. Funciones y obligaciones del personal que intervenga en el tratamiento de los sistemas de datos personales. Los elementos a incluir en esta sección del documento que haga constar las medidas de seguridad, dependerán del nivel de seguridad que les l es resulte aplicable, de acuerdo a lo establecido en el artículo 14 de la LPDPDF y el numeral 16 de los Lineamientos.
Nivel de Aspectos a incluir seguridad Básico a) Func Funcio ione ness y obli obliggacio acione ness del del resp respon onsa sabl ble, e, encargado y de toda persona que intervenga en el tratamiento de los sistemas de datos personales Medio b) Responsable de seguridad
VI. Funciones y obligaciones del personal que intervenga en el tratamiento de los sistemas de datos personales. a) Las funciones y las obligaciones de todos los que intervienen en el tratamiento tratamiento de datos personales deben estar claramente definidas en el documento de seguridad o como se señaló, preferentemente de manera anexa para facilitar la modificación de las mismas, sin que sea obligación publicarlas en la GODF, sin embargo, también es pertinente señalar que, en caso de que el documento contenga las funciones de manera anexa, y se realicen modificaciones, se deben conservar ambos anexos, anexos, (el inicial y los documentos que contengan las diversas modificaciones). Las funciones deben ser congruentes con el Reglamento interior y/o con el manual de organización del Ente Público o normatividad que resulte aplicable. El responsable del sistema debe asegurarse de que el personal con acceso físico o automatizado conozca: las normas de seguridad que deben observarse; sus atribuciones respecto a los sistemas de datos personales; las responsabilidades que tienen; las consecuencias en caso de incumplimiento incumplimiento de las atribuciones en materia de protección de datos personales.
• Recomendaciones
La información información de este apartado apartado puede desarrollarse desarrollarse o mediante mediante uno o varios anexos, señalando de manera clara y específica, facultades y respo espons nsab abililid idade adess de cada cada una una de las las per persona sonass que que tien tienen en acce acceso so a la totalidad o una parte del sistema. Se debe considerar también a la gente que realiza limpieza y/o mantenimiento. Es posible que el Ente Público transfiera o intercambie intercambie información para para dar cumplimiento a la finalidad del sistema de datos personales, lo anterior debe estar PLENAMENTE justificado. Se recomienda establecer clausulas clausula s tipo para los contratos contratos a realizar con los usuarios, personal contratado por honorarios, etc. e incluirlas como anexo del documento.
NIVEL MEDIO
NIVEL MEDIO El niv nivel de segu seguri rid dad medi medio o es apli apliccable able a personales relativos relativos a:
los los sis sistemas mas de dat datos
La comisión de infracciones infracciones administrativas administrativas o penales, Hacienda pública, Servicios financieros, Datos patrimoniales, Datos que permitan obtener una evaluación de la personalidad del individuo.
Nivel medio
b) Responsable de seguridad El resp respon onsa sabl ble e del del sist sistem emaa designa uno o varios responsables de seguridad para uno o todos los sistemas de datos en posesión del ente público. Lo que depende de los métodos de organización y tratamiento tratamiento de los sistemas.
Not Nota: La desi design gnac ació ión n no supo supone ne la dele deleggació ación n de las las facul aculttades ades y atri atribu buci cion ones es que que corresponden corresponden al responsable del sistema de datos personales.
Numeral 16, II. A) de los Lineamientos
Nivel medio
b) Responsable de seguridad Puede haber un responsable de seguridad física y otro de electrónica.
Los cuales deben ser Directores de Área o en caso de que los sistemas se encuen encuentr tren en en dif diferen erente tess Unida Unidade dess Admi Adminis nistr trat ativ ivas as puede puede reca recaer er en Subdirectores
Nivel medio b) Responsable de seguridad
El responsable de seguridad del sistema debe coordinar y cont ontrolar las medidas definida nidass en el docu ocument ento de seguridad.
VII. VI I. Me Medi dida dass, no norm rmas as,, pr proc oced edim imie ient ntos os y cri ritter erio ioss en enffoc ocaado doss a ga gara rant ntiz izar ar el nivel de seguridad exigido por el artículo 14 de la ley de protección de datos personales para el distrito federal y los lineamientos; Los elementos a incluir en esta sección del documento que haga constar las medidas de seguridad, dependerán del nivel de seguridad que les l es resulte aplicable, de acuerdo a lo establecido en el artículo 14 de la LPDPDF y el numeral 16 de los Lineamientos.
Nivel de Aspectos a incluir seguridad a) Mecanismos de identificación y autenticación; Básico b) Mecanismos de control control de acceso; Medio c) Mecanismos Mecanismos de control control de acceso acceso físico físico d) Registros Registros de acceso; acceso; Alto e) Telecomunic elecomunicacione aciones. s.
Nivel básico a) Id Iden enti tifi fica caci ción ón y au aute tent ntif ific icac ació ión n El resp respon onssable able de segu seguri rida dad d del del sist sistem ema a debe debe::
Ela Elabora borarr una rel relación ción de ser servido vidore ress púb público licoss con con acc acceso eso auto utoriza rizado do al sistema Establecer procedimientos que permitan la correcta identificación y aute autent ntic icac ació ión n para para el acce acceso so.. Establecer un mecanismo que permita la identificación, las personas que intenten acceder al sistema de datos personales y verificar que está está autori autorizad zada. a.
NIVEL BÁSICO a) Id Iden enti tifi fica caci ción ón y au aute tent ntif ific icac ació ión n El responsable de seguridad del sistema debe:
Establecer el periodo para el cambio de las contraseñas, las cuales deben conservarse conservarse cifradas. Establecerá un procedimiento de creación y modificación de contraseñas que señala longitud, formato y contenido. Definir el proceso de notificación o políticas de bajas de personal para proceder a la inactivación inactivación de cuentas.
NIVEL BÁSICO
b) Control de acceso El responsable del sistema de datos personales debe:
Señalar el listado de encargados y usuarios con acceso autorizado.
Actualizar
las listas de personas que pueden acceder al sistema de datos
personales
NIVEL BÁSICO
b) Control de acceso Las listas de control de acceso deben contener:
La relación del personal
Actividad
o facultad por el que tienen acceso a los datos
Una bitácora de acceso
Solamente el responsable del sistema sis tema de datos personales podrá conceder, conceder, alterar o anular la autorización para el acceso a los sistemas sis temas de datos personales.
Nivel medio
c) Control de acceso físico Sólo
quienes
estén
expresamente
autorizados en el documento de seguridad pueden entrar a las instalaciones donde se encuentren
los
sistemas
de
datos
personales, ya sea en soporte físico o electrónico.
NIVEL MEDIO
c) Control de acceso físico El ente público debe establecer el procedimiento para que únicamente tengan acceso físico al lugar en el que se encuentra el sistema de datos personales los que están autorizados para ello. Por ejemplo con un policía.
BITACORA BIT ACORA DE CONTROL CO NTROL DE ACCESO
Logo del Ente Público ENTE PUBLICO (REFERENCIA) ELABORADO POR
BITACORA DE CONTROL DE ACCESO VERSION FECHA
APROBADO POR
F EC ECHA
Nivel Alto
Nivel Alto Se entenderá como tal, el relativo a las medidas generales de seguridad cuya aplicación es obligatoria para los sistemas de datos personales que contengan datos relativos a la ideología, religión, creencias, afiliación política, origen racial o étnico, salud, biométricos, genéticos o vida sexual, así como los que teng te ngan an da dato toss rec recab abad ados os pa para ra fin fines es po polic licial iales, es, de seg segur urida idad, d, pr prev evenc enció ión, n, investigación y persecución de delitos, entre otros. Conocidos también como datos sensibles.
Nivel Alto El Documento de Seguridad de Nivel Alto además de las medidas de seguridad previstas para el nivel básico y medio, deberá comprender: comprender: a) Distribución de soportes
b) Registro de acceso
c) Telecomunicaciones
Nivel Alto
d) Registro de acceso • El acceso a los sistemas de datos personales se limitará exclusivamente al personal autorizado, estableciendo además mecanismos que permitan identificar los accesos utilizados por múltiples personas autorizados. • Los mecanismos que permiten el registro de accesos
estarán bajo el control directo del responsable de seguridad correspondiente, sin que permita la desactivación o manipulación de los mismos.
Nivel Alto
El responsable de seguridad del sistema debe conservar una relación de
servidores públicos con al menos lo siguiente: • La identificación del usuario y del sistema de datos personales • La fecha y la hora en que se utilizó el sistema. • El tipo de acceso. • La verificación si esté fue autorizado o denegado.
El periodo de conservación de los datos previstos en el registro de acceso será al menos de 2 años.
Nivel Alto
e) Telecomunicaciones La transmisión de datos de carácter personal a través de redes públicas o redes inalámbricas de comunicaciones electrónicas se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que
garantice que la información no sea intangible ni manipulada por terceros.
VIII. Procedimientos Procedimientos de notificación, gestión y respuestaa ante incidencias respuest a) Registro Registro de incidencias incid encias
NIVEL BÁSICO
Registro de incidencias Una Una inci incide denc ncia ia pued puede e ser: ser:
Cualquier incumplimiento de las normas desarrolladas en el docu docume ment nto o de Segu Seguri rida dad d
Cualquier ier anomalía que afecte cte o pueda afectar a la seg seguridad de los datos de carácte cter person sonal en el sistem tema.
Las incidencias deben ser documentadas para delimitar resp respon onsa sabi bililida dade des, s, esta establ blec ecie iend ndo o proc proced edim imie ient ntos os que que cuen cuente ten n con con un regi registr stro. o. Numeral 16, I, c) de los Lineamientos
NIVEL BÁSICO
Registro de incidencias
Numeral 16, I, c) de los Lineamientos
PROCEDIMIENTOS DE NOTIFICACION, GESTION Y RESPUESTA ANTE INCIDENCIAS Logo del Ente Público
ENTE PUBLICO
(REFERENCIA)
ELABORA DO DO P OR OR
PROCEDIMIENTO PARA INCIDENCIAS FECHA
A PR PROBADO POR
VERSION
FE FECHA
IX. Procedimientos para la realización de copias de respaldo y recuperación de los datos, para los sistemas de datos personales automatizados Los elementos a incluir en esta sección del documento que haga constar las medidas de seguridad, dependerán del nivel de seguridad que les resulte aplicable, de acuerdo a lo establecido en el artículo 14 de la LPDPDF y el numeral 16 de los Lineamientos.
Nivel de seguridad Básico Medio Alto
Elementos a incluir a) Gestión de soportes b) Copias de respaldo y recuperación. c) Pruebas con datos reales d) Distribución de soportes
Nivel Básico a) Gestión de soportes Los soportes físicos y electrónicos almacenados almacenados deben estar: • Etiquetados para permitir identificar el tipo de información que contienen, • Invent Inventari ariado adoss y •Sólo el personal autorizado podrá acceder a ellos. •Para que puedan salir de las instalaciones u oficinas el responsable debe autorizarlo. •Para su traslado deben adoptarse medidas que eviten la sustracción, pérdida o acceso indebido indebido a la información. Para Para dese desech char ar cual cualqu quie ierr sopo soport rte e que que cont conten enga ga dato datoss de cará caráct cter er pers person onal al deberá destruirse o borrarse, adoptando medidas dirigidas a evitar el acceso a la información contenida en el mismo o su recuperación posterior. posterior.
Nivel Básico b) Copias de respaldo y recuperación. El responsable debe: •Establecer el procedimiento para realizar las de copias de respaldo periodo en que que se realizarán realizarán y su periodicidad. periodicidad. •Establecer el periodo •En caso de que los datos personales se encuentren en soporte físico, se
procurará que el respaldo se efectúe mediante la digitalización de los documentos. •Para soportes electrónicos establecer procedimientos para recuperar los datos erificar, al menos, cada seis meses la correcta definición, •Verificar, funcionamiento y aplicación de los procedimientos de realización de copias, asícomo los de recuperación.
PROCEDIMIENTO PARA LAS COPIAS DE RESPALDO PARA LOS SISTEMAS DE DATOS PERSONALES AUTOMATIZADOS
Logo del Ente Público
ENTE PUBLICO (REFERENCIA) ELABORADO POR
PROCEDIMIENTO PARA COPIAS VERSION DE RESPALDO FECHA
APROBADO POR FECHA
PROCEDIMIENTO PARA LA RECUPERACION DE LOS DATOS PARA LOS SISTEMAS DE DATOS PERSONALES AUTOMATIZADOS Logo del Ente Público ENTE PUBLICO (REFERENCIA) ELABORADO POR
PROCEDIMIENTO PARA RECUPERACIÓN DE DATOS FECHA
APROBADO POR
VERSION F EC ECHA
Nivel medio
c) Pruebas con datos reales Se realizan para verificar la correcta aplicación y funcionamiento de los procedimientos para obtener copias de respaldo y de recuperación de los datos.
Los sistemas informáticos informáticos que traten sistemas de datos personales, personales, no se realizarán con datos reales, salvo que se asegure el nivel de seguridad correspondiente correspondiente al tipo de datos tratados.
Para realizar pruebas con datos reales primero debe elaborarse una copia de respaldo.
Nivel Alto
d) Distribución de soportes
•La distribución de los soportes que contengan datos de
carácter personal se realizará cifrando dichos datos, o bien, •La utilización de cualquier otro mecanismo que garantice
que la información personal no sea inteligible ni manipulada durante su traslado o transmisión.
Nivel Medio y Alto
X. Procedimientos para la realización de auditorías, en su caso
NIVEL MEDIO
Auditoría Auditoría Auditoría es el proces proceso o de revisió revisión n que se se lleve lleve a cabo con el fin de emitir una opinión acerca del cumplimiento de las disposiciones establecidas en la normatividad que regula, en este caso la materia de protección de datos personales
NIVEL MEDIO
Auditoría Las medidas de seguridad implementadas para la protección de los sistemas de datos personales se someterán, al menos cada dos años a una auditoría auditoría la cual cual puede puede ser: ser: Interna o Externa
NIVEL MEDIO
Auditoría La finalidad de la auditoría es: Verificar
el cumplimiento de las disposiciones establecidas en el documento de
seguridad para proteger los datos contenidos en el sistema.
Identificar Identificar las deficiencias.
Proponer Revisar
las medidas preventivas, correctivas o complementarias necesarias.
que el documento de seguridad haya sido elaborado conforme a lo
establecido establecido en la Ley y los Lineamientos. Lineamientos.
NIVEL MEDIO
Auditoría El responsable del sistema debe: Comunicar
al Instituto el resultado de la auditoría, dentro
de los 20 días hábiles siguientes a su emisión. Informar
de la adopci pción de las med medidas correct ectivas
derivadas de la auditoría. Numeral 16, II. b) de los Lineamientos
NIVEL MEDIO
Auditoría El responsable del sistema debe: Comunicar
al Instituto el resultado de la auditoría, dentro de los
20 días hábiles siguientes a su emisión. Informar
de la adopción de las medidas correctivas derivadas de
la auditoría. Numeral 16, II. A) de los Lineamientos
NIVEL MEDIO
Auditoría Los Los 120 120 días días hábi hábile les, s, esta establ blec ecid idos os en el artí artícu culo lo cuar cuartto tran transi sito tori rio o de los los transcurrieron del 27 de octubre del 2009 al 11 de mayo de 2010. Lineamientos , transcurrieron
Es a partir de entonces que se considera que los entes obligados están en condiciones de cumplir con las medidas de seguridad exigidas por la Ley de de la materia, toda vez que ya tuvieron un término para poder reali alizar las adecuaciones pertinentes. Numeral 16, II. b) de los Lineamientos
NIVEL MEDIO
Auditoría A más tardar para el 11 de mayo del 2012, se debe de haber iniciado
con al menos una auditoría de las que se refiere el numeral 16, fracción II, II, inci inciso so b), b), de los los Line Lineam amie ien ntos, con la fina finalilida dad d de verif erifiicar el cumpl cumplim imie ient nto o de las las disp dispos osic icio iones nes cont conten enid idas as en el docum documen ento to de seguridad de los sistemas de datos personales que estén en su posesión, de acuerdo a las disposiciones aplicables. Numeral 16, II. b) de los Lineamientos
PROCEDIMIENTO PARA AUDITORIAS
Logo del Ente Público
ENTE PUBLICO (REFERENCIA) ELAB LABORA ORADO POR POR
PROCEDIMIENTO PARA AUDITORIAS FECH FECHA A
VERSION
APRO APROBA BAD DO POR POR FECH FECHA A
NIVEL BÁSICO
Gestión de soportes Los soportes físicos y electrónicos almacenados deben estar:
Etiquetados para permitir identificar el tipo de de información que contienen,
Invent Inventari ariado adoss y
Sólo el personal autorizado podrá acceder a ellos.
Para que puedan salir de las instalaciones u oficinas el responsable r esponsable debe autorizarlo.
Para su traslado deben adoptarse medidas que eviten la sustracción, pérdida o acceso indebido a la información.
Para Para dese desech char ar cual cualqu quie ierr sopo soport rte e que que cont conten enga ga dato datoss de cará caráct cter er pers person onal al debe deberá rá dest destru ruir irse se o borra rrarse rse, adoptando medidas dirig rigidas a evita itar el acceso ceso a la inf informa rmación ión contenida en el mism mismo o o su recu recupe pera raci ción ón post poster erio iorr.
NIVEL BÁSICO
Copias de respaldo y recuperación. El resp respon onsa sabl ble e debe debe::
Esta Estab blece lecerr el proce roced dimie imien nto para reali ealiza zarr las las de cop copias ias de resp respa aldo ldo Esta stablecer cer el periodo en que se realizar zarán y su periodicidad. En caso de que los datos personales se encuentren en soporte físico, se procurará que el respaldo se efectúe mediante la digitalización de los docume documento ntos. s. Par Para sop soporte ortess ele electró ctróni nico coss esta establ ble ecer cer pro proced cedimie imient nto os par para recu ecupera perar r los los dato datoss Verificar, al menos, cada seis meses la correcta definición, funcionamiento y aplicación de los procedimientos de realización de cop copias, ias, así así como como los los de recu recup perac eració ión n.
GRACIAS POR SU ATENCIÓN 56 36 21 36
View more...
Comments