DOCUMENTO DE SEGURIDAD

DOCUMENTO DE SEGURIDAD
COMPANY

REVISADO Nombre y apellidos

APROBADO Nombre y apellidos

Fecha:

Fecha:

FECHA 07/12/2004

PGINA 1 DE 38

COMPANY, S.L.

DOCUMENTO DE SEGURIDAD
CONTENIDO
CAPTULO 1: INTRODUCCIN...................................................................................................4 1INTRODUCCIN..............................................................................................................................4 2MBITO DE APLICACIN................................................................................................................4 2.1mbito subjetivo..................................................................................................................4 2.2mbito material...................................................................................................................5 CAPTULO 2: FUNCIONES Y OBLIGACIONES DEL PERSONAL..............................................6 3RESPONSABLE DEL FICHERO.......................................................................................................7 4RESPONSABLE INTERNO DEL FICHERO......................................................................................8 5RESPONSABLE DE SEGURIDAD....................................................................................................9 6USUARIOS CON ACCESO A DATOS PERSONALES....................................................................10 CAPTULO 3: MEDIDAS, NORMAS Y PROCEDIMIENTOS DE SEGURIDAD...........................13 7RGIMEN DE TRABAJO FUERA DE LOS LOCALES DE UBICACIN DEL FICHERO..................13 8FICHEROS TEMPORALES............................................................................................................14 9IDENTIFICACIN Y AUTENTICACIN DE USUARIOS, CONTROL DE ACCESO LGICO..........14 9.1Nivel bsico.......................................................................................................................14 9.2Nivel medio.......................................................................................................................15 10GESTIN DE CONTRASEAS....................................................................................................15 10.1Nivel bsico.....................................................................................................................15 11GESTIN DE SOPORTES...........................................................................................................15 11.1Nivel bsico.....................................................................................................................15 11.2Nivel medio.....................................................................................................................16 11.3Nivel alto.........................................................................................................................16 12 GESTIN DE INCIDENCIAS.......................................................................................................17 12.1Nivel bsico.....................................................................................................................17 12.2Nivel medio.....................................................................................................................17 13COPIAS DE RESPALDO Y RECUPERACIN DE DATOS...........................................................18 13.1Nivel bsico.....................................................................................................................18 13.2Nivel alto.........................................................................................................................18

FECHA 07/12/2004

PGINA 2 DE 38

COMPANY, S.L.

DOCUMENTO DE SEGURIDAD
14CONTROL DE ACCESO FSICO..................................................................................................18 14.1Nivel medio.....................................................................................................................18 15PRUEBAS CON DATOS REALES................................................................................................18 15.1Nivel medio.....................................................................................................................18 16REGISTRO DE ACCESOS...........................................................................................................19 16.1Nivel alto.........................................................................................................................19 17TRANSMISIN DE DATOS A TRAVS DE REDES DE COMUNICACIONES..............................19 17.1Nivel alto.........................................................................................................................19 CAPTULO 4: ESTRUCTURA DE LOS FICHEROS Y DESCRIPCIN DE LOS SISTEMAS DE INFORMACIN QUE LOS TRATAN..........................................................................................20 CAPTULO 5: CONTROLES PERIDICOS PARA VERIFICAR EL CUMPLIMIENTO Y LA VIGENCIA DEL DOCUMENTO....................................................................................................................21 18CONTROLES PERIDICOS.........................................................................................................21 19AUDITORAS................................................................................................................................21 20ACTUALIZACIN Y REVISIN DEL DOCUMENTO.....................................................................22 CAPTULO 6: ANEXOS..............................................................................................................23 21ANEXO A: RESUMEN DEL REGLAMENTO DE MEDIDAS DE SEGURIDAD...............................24 22ANEXO B: MBITO DE APLICACIN MATERIAL .......................................................................26 23ANEXO C: ASIGNACIN DE FUNCIONES Y OBLIGACIONES....................................................27 24ANEXO D: AUTORIZACIN PARA LA EJECUCIN DE TRATAMIENTOS DE DATOS FUERA DE LOS LOCALES DE UBICACIN DEL FICHERO / AUTORIZACIN PARA LA SALIDA DE SOPORTES......................................................................................................................................28 25ANEXO E: RELACIN DE USUARIOS CON ACCESO A DATOS PERSONALES.......................30 26ANEXO F: MODELO DE REGISTRO DE ENTRADA Y SALIDA DE SOPORTES.........................31 27ANEXO G: CATLOGO DE INCIDENCIAS DE SEGURIDAD LOPD.............................................32 28ANEXO H: MODELO DE COMUNICACIN DE INCIDENCIAS.....................................................34 29ANEXO I: MODELO DE REGISTRO DE INCIDENCIAS................................................................35 30ANEXO J: RELACIN DE USUARIOS AUTORIZADOS PARA ACCEDER A LOS LOCALES DE UBICACIN DEL FICHERO.............................................................................................................36 31ANEXO K: ESTRUCTURA DE LOS FICHEROS / DESCRIPCIN DEL SISTEMA DE INFORMACIN................................................................................................................................37 32ANEXO L: INVENTARIO DE EQUIPOS QUE TRATAN LOS FICHEROS......................................38

FECHA 07/12/2004

PGINA 3 DE 38

COMPANY, S.L.

DOCUMENTO DE SEGURIDAD

Captulo 1: Introduccin
1 INTRODUCCIN

El Documento de Seguridad surge como una exigencia de la normativa sobre proteccin de datos de carcter personal, en particular del Artculo 8 del Reglamento de Medidas de Seguridad de los ficheros automatizados que contengan datos de carcter personal 1. El Documento de Seguridad se trata de un documento de obligado cumplimiento para todo el personal con acceso a los datos de carcter personal y a los sistemas de informacin, que recoge la normativa de seguridad en lo que respecta al tratamiento de datos de carcter personal, plasmando los principios tcnicos y organizativos seguidos por COMPANY en la implantacin de las medidas de seguridad que afectan a los ficheros que contienen datos personales. El presente Documento se articula como un cuerpo general, desarrollado por anexos que conteniendo aquella informacin de contenido de carcter cambiante o dinmico, facilitando de esta forma la actualizacin del Documento, tal y como exige la normativa. Para la mejor comprensin del Documento, se adjunta un cuadro resumen del Reglamento de Medidas de Seguridad y de las medidas de seguridad que ste obliga a implementar en el ANEXO A.

MBITO DE APLICACIN

El presente documento constituye el Documento de Seguridad de COMPANY, S.L..

2.1

MBITO SUBJETIVO

Todas las personas, sea cual sea la relacin que les une a COMPANY (personal laboral, personal externo, personal de otras empresas del Grupo...), que tengan acceso a los datos personales, bien a travs del sistema informtico habilitado para acceder a los mismos, o bien a travs de cualquier otro medio automatizado de acceso a los mismos (en adelante usuarios), se encuentran obligadas a cumplir con lo establecido en este Documento y en los procedimientos que lo desarrollan (en la medida en que les sean aplicables), estando sujetas a las consecuencias en que pudieran incurrir en caso de incumplimiento. Una copia en papel del Apartado 7, referente a sus funciones y obligaciones de este Documento, ser entregada para su conocimiento a cada persona autorizada a acceder a datos de carcter personal, siendo requisito obligatorio para poder acceder a esos datos el haber recibido la misma. Asimismo, los usuarios con acceso a datos personales son informados de la existencia del Documento de Seguridad, su finalidad y contenido.

Real Decreto 994/1999 de 11 de junio (en adelante, Reglamento de Medidas de Seguridad). FECHA 07/12/2004 PGINA 4 DE 38

COMPANY, S.L.

DOCUMENTO DE SEGURIDAD
2.2 MBITO MATERIAL

El mbito material viene dado por los ficheros y/o aplicaciones que tratan datos personales, abarcando los sistemas que de alguna forma participan en el almacenamiento o tratamiento de dichos ficheros. Asimismo, para proteger los mismos es necesario atender a aquellos recursos que pueden servir de medio directo o indirecto para acceder a dichos ficheros. Sistemas informticos o aplicaciones que los tratan. Los servidores y el entorno de sistema operativo y de comunicaciones en el que se encuentran ubicados los ficheros. Centros de almacenamiento y locales donde se encuentren ubicados los ficheros o se almacenen los soportes que los contengan. Puestos de trabajo, bien locales o remotos, desde los que se pueda tener acceso a ficheros que contengan datos de carcter personal.

La lista de los ficheros automatizados se encuentra recogida en una tabla en el ANEXO B. Dicha tabla recoge el nombre del fichero, la descripcin de la finalidad del mismo y el nivel de seguridad asignado atendiendo al tipo de datos tratados.

FECHA 07/12/2004

PGINA 5 DE 38

COMPANY, S.L.

DOCUMENTO DE SEGURIDAD

Captulo 2: Funciones y obligaciones del personal

En este Captulo se detallan los distintos roles que intervienen en el tratamiento de datos personales indicando sus funciones y obligaciones, as como las funciones y obligaciones que debe cumplir todo el personal con acceso a datos personales. No todo el personal de la organizacin tiene las mismas funciones y obligaciones en el tratamiento de este tipo de informacin, stas dependen del rol que cada persona tenga asignado en relacin con los ficheros que contengan datos de carcter personal. El listado de personas a las que han sido asignadas las funciones y obligaciones recogidas en el presente Captulo y, por tanto, con responsabilidad en el tratamiento de datos personales se encuentra recogido en una tabla en el ANEXO C. Dicha tabla recoge el cdigo interno de identificacin del fichero, el nombre del fichero, as como la identificacin del Responsable del Fichero, del Responsable Interno del Fichero y del Responsable de Seguridad. Estas figuras son las recogidas a continuacin: Responsable del Fichero: es la persona fsica o jurdica, de naturaleza pblica o privada, u rgano administrativo que decide sobre la finalidad, contenido y uso del tratamiento. Responsable Interno del Fichero: es la persona que asume a nivel interno algunas de las obligaciones que la normativa impone al Responsable del Fichero. El Responsable del Fichero seguir siendo el responsable del cumplimiento de las obligaciones a efectos legales. Responsable de Seguridad: es la persona encargada de coordinar y controlar las medidas definidas en el Documento de Seguridad y los procedimientos de seguridad.

Los usuarios con acceso a datos personales debern conocer a qu personas les han sido asignadas dichas responsabilidades, en relacin a los ficheros a los que acceden para el desarrollo de sus funciones.

FECHA 07/12/2004

PGINA 6 DE 38

COMPANY, S.L.

DOCUMENTO DE SEGURIDAD
3 RESPONSABLE DEL FICHERO

Como se ha indicado, el Responsable del Fichero es la persona fsica o jurdica, de naturaleza pblica o privada, u rgano administrativo que decide sobre la finalidad, contenido y uso del tratamiento. El Responsable del Fichero ser el responsable ltimo que responda del cumplimiento de las obligaciones que figuran a continuacin. Esto ser sin perjuicio de que algunas de estas obligaciones sean delegadas en los Responsables Internos de los Ficheros con la correspondiente responsabilidad, en su caso, a nivel interno. El Responsable del Fichero deber cumplir con las obligaciones que le impone la LOPD y resto de normativa aplicable. Asimismo, y en lo que a la seguridad de datos respecta, deber cumplir con las siguientes obligaciones: 1. Autorizar la ejecucin del tratamiento de datos personales fuera de los locales de la ubicacin del fichero. 2. Elaborar e implantar el Documento de Seguridad. 3. Adoptar las medidas necesarias para que el personal conozca las normas de seguridad que afecten al desarrollo de sus funciones as como las consecuencias en que pudiera incurrir en caso de incumplimiento. 4. Mantener una relacin actualizada de usuarios que tengan acceso autorizado al sistema de informacin y establecer procedimientos de identificacin y autenticacin para dicho acceso. 5. Establecer mecanismos para evitar que un usuario pueda acceder a datos o recursos con derechos distintos de los autorizados. 6. Determinar los criterios para conceder, alterar o anular el acceso autorizado sobre datos y recursos. 7. Autorizar la salida de soportes informticos que contengan datos personales fuera de los locales en los que est ubicado el fichero. 8. Verificar la correcta aplicacin y definicin de los procedimientos de copias de respaldo y recuperacin de datos. 9. Designar a uno o varios Responsables de Seguridad. 10. Adoptar las medidas correctoras adecuadas consecuencia del informe de la auditora bienal.. 11. Establecer mecanismos que permitan la identificacin de forma inequvoca y personalizada de todo aquel usuario que intente acceder al sistema de informacin y la verificacin de que est autorizado. 12. Autorizar por escrito la realizacin de los procedimientos de recuperacin de los datos. FECHA 07/12/2004 PGINA 7 DE 38

COMPANY, S.L.

DOCUMENTO DE SEGURIDAD

RESPONSABLE INTERNO DEL FICHERO

El Responsable Interno del Fichero es una figura que asume a nivel interno algunas de las obligaciones que la normativa impone al Responsable del Fichero y que por tanto de no ser asignadas a una persona fsica, de difcil realizacin o cumplimiento. El Responsable del Fichero, tal y como se ha indicado, seguir siendo el responsable del cumplimiento de las obligaciones a efectos legales. Cada fichero puede tener asignado uno o varios Responsables Internos, el cual debe asumir en relacin con los datos de los que son responsables, las funciones detalladas a continuacin. Algunas de esas funciones son desarrolladas conjuntamente por el Responsable Interno y por el Responsable de Seguridad, para lo cual debern coordinarse. Cabe destacar que no todas las funciones que la normativa asigna al Responsable del Fichero, pueden ser asumidas por los Responsables Internos. 1. Autorizar la ejecucin del tratamiento de datos personales fuera de los locales de la ubicacin del fichero. 2. Colaborar con el Responsable de Seguridad en la elaboracin, actualizacin y revisin del Documento de Seguridad, en la parte que concierne a los ficheros de su responsabilidad. 3. Adoptar las medidas necesarias para que el personal a su cargo conozca las normas de seguridad que afectan al desarrollo de sus funciones as como las consecuencias en que pudiera incurrir en caso de incumplimiento. 4. Mantener una relacin actualizada de usuarios que tengan acceso autorizado al sistema de informacin y establecer procedimientos de identificacin y autenticacin para dicho acceso. Para ello ser necesaria la colaboracin del Responsable de Seguridad. 5. Establecer mecanismos para evitar que un usuario pueda acceder a datos o recursos con derechos distintos de los autorizados. Para ello ser necesaria la colaboracin del Responsable de Seguridad. 6. Determinar los criterios para conceder, alterar o anular el acceso autorizado sobre datos y recursos de su responsabilidad. 7. Autorizar o denegar el acceso a la informacin por parte de los usuarios, de acuerdo a los criterios de acceso definidos, con el fin de evitar que un usuario pueda acceder a datos o recursos con derechos distintos de los autorizados. 8. Autorizar la salida de soportes informticos que contengan datos personales fuera de los locales en los que est ubicado el fichero, en los supuestos de salidas de soportes puntuales o que no respondan a la prestacin peridica de un servicio de carcter informtico.

FECHA 07/12/2004

PGINA 8 DE 38

COMPANY, S.L.

DOCUMENTO DE SEGURIDAD
9. Verificar la correcta aplicacin y definicin de los procedimientos de copias de respaldo y recuperacin de datos. Para ello ser necesaria la colaboracin del Responsable de Seguridad. 10. Coordinarse con el/los Responsable/s de Seguridad para el desarrollo de sus funciones, participando, si procede, en su designacin. 11. Adoptar las medidas correctoras adecuadas que le sean comunicadas consecuencia del informe de la auditora bianual de las medidas de seguridad del Reglamento. Para ello ser necesaria la colaboracin del Responsable de Seguridad. 12. Establecer mecanismos que permitan la identificacin de forma inequvoca y personalizada de todo aquel usuario que intente acceder al sistema de informacin y la verificacin de que est autorizado. Para ello ser necesaria la colaboracin del Responsable de Seguridad. 13. Autorizar por escrito la realizacin de los procedimientos de recuperacin de los datos. 14. Asegurarse, en el caso de prestaciones de servicios que impliquen el tratamiento de datos por parte de empresas externas, de que se ha celebrado un contrato de prestacin de servicios en los trminos del Artculo 12 de la LOPD o comunicar al rea competente dicha circunstancia para que tome las medidas oportunas. 15. Clasificar la informacin de acuerdo a su sensibilidad y aprobar los niveles de proteccin de la misma. Esta clasificacin inicial ayudar a definir y delimitar las medidas de seguridad a implantar. 16. Todas otras aquellas impuestas por los procedimientos o normas de seguridad que sean aplicables.

RESPONSABLE DE SEGURIDAD

La figura del Responsable de Seguridad es exigible nicamente para aquellos ficheros clasificados como nivel medio y alto, ahora bien, su designacin es conveniente en todo caso para una eficaz aplicacin de la normativa. Ser el encargado de coordinar y controlar las medidas definidas en el Documento de Seguridad y los procedimientos de seguridad. El Responsable de Seguridad es la/s persona/s a las que el Responsable del Fichero ha asignado formalmente la funcin de coordinar y controlar las medidas de seguridad aplicables. El Responsable de Seguridad deber coordinarse con los Responsables Internos para un eficaz cumplimiento de la normativa. En particular, el Responsable de Seguridad tiene como funciones: 1. Analizar los informes de la auditora bienal de las medidas de seguridad del Reglamento, elevando las conclusiones al rgano o cargo competente.

FECHA 07/12/2004

PGINA 9 DE 38

COMPANY, S.L.

DOCUMENTO DE SEGURIDAD
2. Comunicar a los Responsables Internos las medidas correctoras adecuadas consecuencia del informe de la auditora bienal que stos deban implantar, colaborando si es necesario en la implantacin de las mismas. 3. Para los ficheros de nivel alto, controlar los mecanismos que permitan el registro de accesos, revisar peridicamente la informacin de control registrada y elaborar un informe de las revisiones realizadas y los problemas detectados al menos una vez al mes. 4. Elaborar e implantar el Documento de Seguridad con la colaboracin los Responsables Internos de Ficheros, en lo referente a los contenidos relativos a los ficheros de su responsabilidad. 5. Adoptar las medidas necesarias para que el personal a su cargo conozca las normas de seguridad que afecten al desarrollo de sus funciones as como las consecuencias en que pudiera incurrir en caso de incumplimiento. 6. Determinar los criterios para conceder, alterar o anular el acceso autorizado sobre datos y recursos de su responsabilidad. 7. Colaborar con el Responsable Interno del Fichero en el mantenimiento de una relacin actualizada de usuarios que tengan acceso autorizado al sistema de informacin y establecer procedimientos de identificacin y autenticacin para dicho acceso. 8. Mantener una relacin actualizada de usuarios que tengan acceso autorizado al sistema de informacin y establecer procedimientos de identificacin y autenticacin para dicho acceso en aquellos ficheros o sistemas de su responsabilidad. 9. Colaborar con el Responsable Interno del Fichero en el establecimiento de mecanismos para evitar que un usuario pueda acceder a datos o recursos con derechos distintos de los autorizados. 10. Colaborar con el Responsable Interno del fichero en el establecimiento de mecanismos que permitan la identificacin de forma inequvoca y personalizada de todo aquel usuario que intente acceder al sistema de informacin y la verificacin de que est autorizado. 17. Autorizar la salida de soportes informticos que contengan datos personales fuera de los locales en los que est ubicado el fichero, en los supuestos de salidas de soportes que respondan a la prestacin peridica de un servicio de carcter informtico. 11. Todas otras aquellas impuestas por los procedimientos o normas de seguridad que sean aplicables.

USUARIOS CON ACCESO A DATOS PERSONALES

A continuacin se recogen las funciones y obligaciones para todo el personal con acceso a datos personales. Dichas funciones y obligaciones son entregadas por escrito a todo el personal (tanto interno como externo), en el momento de solicitar su acceso a datos personales, para su lectura y comprensin. FECHA 07/12/2004 PGINA 10 DE 38

COMPANY, S.L.

DOCUMENTO DE SEGURIDAD
Dichos deberes y responsabilidades se extienden a todo tipo de datos de carcter personal registrados en cualquier tipo de soporte fsico que los haga susceptibles de tratamiento (incluyendo soporte papel), en la medida en que sean aplicables. SECRETO PROFESIONAL 1. El usuario est obligado a guardar el secreto profesional respecto a los datos personales que conozca en el desempeo de sus funciones incluso despus de finalizar sus relaciones con COMPANY . RESPONSABILIDAD POR EL USO DE IDENTIFICADORES Y CONTRASEAS 2. El usuario es responsable de la custodia de forma diligente de su clave de acceso, para evitar que otras personas puedan suplantar su identidad accediendo de forma no autorizada a datos personales. Las contraseas elegidas debern contener trminos fcilmente memorizables por los usuarios. En la medida de lo posible para formar una contrasea se buscarn palabras que contengan letras que estn a ambos lados del teclado para mejorar la rapidez de tecleo, evitar fallos y dificultar la visin de la contrasea por alguna persona.

3.

4. A la hora de elegir contraseas no debern elegirse trminos relacionados con el usuario, tales como nombre, apellidos, DNI, datos familiares, puesto o departamento, etc. COMUNICACIN DE LAS INCIDENCIAS DE SEGURIDAD 5. El usuario tiene obligacin de comunicar inmediatamente cualquier anomala que pudiera afectar a la seguridad de los datos personales. Para la comunicacin de las incidencias de seguridad, se contactar por telfono o por correo electrnico con el Responsable de Seguridad. En los supuestos en que sea necesario recuperar datos de algn fichero de nivel medio o alto, la recuperacin de datos se tramitar como una incidencia de seguridad, debiendo ser comunicada asimismo al Responsable de Seguridad por telfono o por correo electrnico.

6.

RESPONSABILIDAD POR EL USO DE DATOS PERSONALES 7. El usuario acceder slo a los datos personales necesarios para el ejercicio de sus funciones y limitarse a realizar con dichos datos las funciones propias de su puesto. Los usuarios sern responsables de la utilizacin lcita de los datos personales a los que tengan acceso, actuando conforme a las instrucciones del Responsable del Fichero. En caso de tener duda sobre la correccin de algn tratamiento o actuacin, debern consultarlo previamente con el Responsable Interno del Fichero, quien trasladaran dicha consulta, si lo estima necesario, al Responsable de Seguridad. Los usuarios salvarn la informacin que contenga datos personales en los discos de red y no en sus puestos de trabajo. Se prohbe el almacenamiento de datos personales en discos locales.

8.

9.

FECHA 07/12/2004

PGINA 11 DE 38

COMPANY, S.L.

DOCUMENTO DE SEGURIDAD
10. Los usuarios no realizarn extracciones de datos personales a no ser que sea estrictamente necesario para la operativa de sus funciones. En el caso de que necesiten realizar extracciones de datos para la realizacin de sus tareas, solicitarn una autorizacin por correo electrnico al Responsable Interno del Fichero, quien les indicar si es procedente y el directorio de destino, en su caso. 11. En el caso de que sea necesario la creacin de ficheros temporales que contengan datos personales debern ser borrados una vez hayan dejado de ser tiles para la finalidad que fueron creados. 12. Slo se almacenarn datos personales en soportes en aquellos casos en los que sea estrictamente necesario para el desarrollo de las funciones. En el caso de que sea necesario, solicitarn una autorizacin por correo electrnico al Responsable Interno del Fichero, quien les indicar si es procedente.

CONFIDENCIALIDAD DE LA INFORMACIN 13. Se dirigirn a impresoras protegidas los listados que contengan datos de carcter personal que requieran proteccin, y sern recogidos con celeridad para evitar su difusin, copia o sustraccin. 14. Las pantallas, as como las impresoras u otro tipo de dispositivos conectados al puesto de trabajo, debern estar fsicamente ubicados en lugares que garanticen la confidencialidad. 15. Cuando el responsable de un puesto de trabajo lo abandone temporalmente, deber dejarlo en un estado que impida la visualizacin de los datos protegidos. Esto podr realizarse mediante la utilizacin de un protector de pantalla que impida la visualizacin de los datos. La reanudacin del trabajo implicar la desactivacin del protector de pantalla mediante la introduccin de una contrasea. 16. Los usuarios no intentarn transgredir ningn control de proteccin establecido. 17. No est permitido sacar equipos o soportes de las instalaciones sin la autorizacin necesaria. 18. Salvo autorizacin expresa del Responsable de Seguridad, queda expresamente prohibida la conexin a redes o sistemas exteriores de los puestos de trabajo desde los que se realiza el acceso al fichero. Asimismo, queda prohibida la conexin de equipos porttiles a los sistemas de COMPANY , salvo autorizacin expresa.

FECHA 07/12/2004

PGINA 12 DE 38

COMPANY, S.L.

DOCUMENTO DE SEGURIDAD

Captulo 3: Medidas, normas y procedimientos de seguridad

En este Captulo se describen las medidas, normas y procedimientos de seguridad que se deben cumplir con el fin de garantizar los niveles de seguridad exigidos por el Reglamento de Medidas de Seguridad. Cada una de las medidas se subdivide un funcin del nivel de seguridad del fichero en cuestin, tratndose de medidas acumulativas. Es decir, los ficheros de nivel alto debern cumplir las medidas de nivel bsico, medio y alto; los ficheros de nivel medio debern cumplir las medidas de seguridad de nivel bsico y medio; y para finalizar, los ficheros de nivel bsico debern cumplir las medidas de nivel bsico. Se trata de principios generales, que todos los usuarios con acceso a datos de carcter personal deben cumplir en el acceso, tratamiento y uso de los mismos.

7 RGIMEN DE TRABAJO FUERA DE LOS LOCALES DE UBICACIN DEL FICHERO

La ejecucin de tratamientos de datos fuera de los locales de ubicacin del fichero deber ser autorizada expresamente por el Responsable del Fichero y, en todo caso, deber garantizarse el nivel de seguridad correspondiente al tipo de fichero tratado. Esta funcin asignada al Responsable del Fichero, es delegada internamente en el Responsable Interno del Fichero y Responsable de Seguridad. Se consideran tratamiento de datos fuera de los locales de los locales de ubicacin del fichero las siguientes situaciones: 1. Envos de datos e informacin a empresas que prestan servicios a COMPANY para la prestacin de un servicio por cuenta de COMPANY (supuesto de prestacin de servicios por un encargado del tratamiento). 2. Envo de informacin a terceras empresas o administraciones pblicas, a las que se les ceden datos (supuesto de cesin de datos a un cesionario). Envo de copias de seguridad para el almacenamiento fuera de los locales de ubicacin del fichero y/o para realizar recuperaciones de datos en un centro alternativo (supuesto de prestacin de servicios por un encargado del tratamiento). Supuestos puntuales que puedan producirse (a estudiar cada supuesto concreto).

3.

4.

Cuando se vaya a producir un tratamiento de datos fuera del lugar de ubicacin del fichero y antes de firmar la correspondiente autorizacin, el Responsable Interno del Fichero debe valorar si se trata de una cesin o prestacin de servicios, y se garantice mediante contrato el nivel de seguridad de los datos correspondiente al tipo de datos tratados. FECHA 07/12/2004 PGINA 13 DE 38

COMPANY, S.L.

DOCUMENTO DE SEGURIDAD
Posteriormente el Responsable Interno del fichero cumplimenta y firma en formato papel la autorizacin, enviando dicha autorizacin al Responsable de Seguridad para que ste lo almacene en un lugar seguro. El ANEXO D, recoge el modelo de autorizacin a cumplimentar por el Responsable Interno del Fichero. En el caso de tratarse de envos de datos continuados podr firmarse una autorizacin genrica.

FICHEROS TEMPORALES

Los ficheros temporales debern cumplir el nivel de seguridad que les corresponda de acuerdo a los criterios establecidos en el Reglamento de Medidas de Seguridad. Todo fichero temporal ser borrado una vez haya dejado de ser necesario para los fines que motivaron su creacin.

9 IDENTIFICACIN Y AUTENTICACIN DE USUARIOS, CONTROL DE ACCESO LGICO

Con carcter general, el responsable de aquellos usuarios que pretenden acceder a los datos solicita su alta, verificando previamente que este acceso es acorde al desarrollo de sus funciones en la organizacin. Para ello requiere al Responsable Interno del Fichero que autorice el alta. nicamente los Responsables de los Ficheros pueden conceder, alterar o anular el acceso autorizado sobre los datos y recursos. La relacin de Responsables Internos de Ficheros, por tanto, las personas autorizadas para conceder, anular o alterar el acceso sobre los datos y recursos que son de su responsabilidad se encuentran listadas en el ANEXO C. El Responsable Interno del Fichero responde por la observancia del principio del mnimo privilegio, garantizando que los usuarios tienen acceso tan slo a los datos necesarios para el correcto desempeo de sus funciones.

9.1

NIVEL BSICO

El Responsable Interno del Fichero y el Responsable de Seguridad, de manera conjunta, se encargan de que exista una relacin actualizada de usuarios con acceso autorizado al sistema de informacin y de que existan procedimientos de identificacin y autenticacin para dicho acceso. Para cada uno de los ficheros que tratan datos personales, el ANEXO E indica la relacin de usuarios para cada uno de los ficheros.

FECHA 07/12/2004

PGINA 14 DE 38

COMPANY, S.L.

DOCUMENTO DE SEGURIDAD
9.2 NIVEL MEDIO

Se han implantado mecanismos que garantizan que los usuarios que acceden a los ficheros que tratan datos personales son identificados y autenticados de forma inequvoca y personalizada, evitando el empleo de usuarios genricos. Se limita la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de informacin.

10 GESTIN DE CONTRASEAS
10.1 NIVEL BSICO
En los casos en los que el mecanismo de autenticacin utilizado sea el uso de contraseas debern tenerse en cuenta los siguientes aspectos. Las contraseas tendrn una longitud mnima de 7 caracteres, sern alfanumricas y de fcil memorizacin de manera que no haya necesidad de consultar anotaciones. Asimismo quedan prohibidas las contraseas que se puedan deducir de datos conocidos tales como apodos, nombres de familiares, fechas de nacimiento, DNI... Las contraseas debern cambiarse con una periodicidad adecuada en funcin de los recursos a los que permita acceder. Con carcter general, las contraseas se cambiarn con una periodicidad de 90 das. Cualquier conocimiento o sospecha de que la confidencialidad de la contrasea se ha visto comprometida deber ser comunicada inmediatamente para que dicha clave sea inutilizada y asigne una nueva al usuario. Una vez creada la contrasea, sta deber comunicarse al usuario mediante un procedimiento que garantice la confidencialidad. Por ello quedan especialmente prohibidas las comunicaciones susceptibles de interceptacin, tales como fax o correo electrnico sin cifrar. Se recomienda la comunicacin de contraseas mediante correo cifrado. En su defecto, comunicacin personal o por telfono. Las contraseas se almacenan de forma ininteligible.

11 GESTIN DE SOPORTES
A efectos del presente Documento de Seguridad, se entiende por soporte cualquier objeto fsico susceptible de ser tratado en un sistema de informacin y sobre el cual se puedan grabar o recuperar datos.

11.1 NIVEL BSICO

FECHA 07/12/2004 PGINA 15 DE 38

COMPANY, S.L.

DOCUMENTO DE SEGURIDAD
Todos los soportes que contienen datos de carcter personal, permiten identificar externa o internamente el tipo de informacin que contienen, ser inventariados y almacenarse en un lugar con acceso restringido al personal autorizado para ello. Los soportes son almacenados en lugares seguros con acceso restringido a personal autorizado, siendo conservados en cmaras ignfugas. La salida de soportes informticos que contengan datos de carcter personal fuera de los locales de ubicacin del fichero slo puede ser autorizada por el Responsable Interno del Fichero del cual se vayan a sacar datos o por el Responsable de Seguridad. No se debe realizar la salida de soportes hasta que el Responsable Interno o el Responsable de Seguridad lo haya autorizado. El ANEXO D, recoge el modelo de autorizacin para la salida de soportes que contengan datos personales.

11.2 NIVEL MEDIO

Existe un registro de entrada y salida de soportes que permite conocer: 1. 2. 3. 4. 5. 6. 7. Tipo de soporte Fecha y hora de la entrada o salida Emisor o destinatario Nmero de soportes Tipo de informacin que contienen Forma de envo Persona responsable del envo o recepcin que deber estar debidamente autorizada

En el ANEXO F se recoge un modelo de registro de entrada o salida de soportes. Cuando un soporte vaya a ser desechado o reutilizado debern adoptarse las medidas necesarias para impedir cualquier recuperacin posterior de la informacin almacenada en l, antes de proceder a su baja en el inventario. Cuando un soporte va a ser desechado se formatea el mismo y se procede a su destruccin fsica. En el caso de que deban salir soportes fuera de los locales de ubicacin del fichero como consecuencia de operaciones de mantenimiento se adoptarn las medidas necesarias para impedir cualquier recuperacin indebida de la informacin almacenada en ellos.

11.3 NIVEL ALTO

Para aquellos ficheros clasificados como nivel alto, la distribucin de soportes que contengan datos personales clasificados como nivel alto se realiza cifrando dichos datos o utilizando cualquier otro FECHA 07/12/2004 PGINA 16 DE 38

COMPANY, S.L.

DOCUMENTO DE SEGURIDAD
mecanismo que garantice que dicha informacin no sea inteligible ni manipulable por terceros durante su transporte.

12 GESTIN DE INCIDENCIAS
A efectos del presente Documento, se considera una incidencia cualquier anomala que afecte o pudiera afectar a la seguridad de los datos, entendida bajo sus tres vertientes: confidencialidad, integridad y disponibilidad. En el ANEXO G se recoge un catlogo de las incidencias consideradas como incidencias de seguridad LOPD.

12.1 NIVEL BSICO

Cualquier usuario que tenga conocimiento de una incidencia de seguridad es responsable de la comunicacin por Responsable de Seguridad o persona en quien ste delegue, mediante llamada telefnica al Servicio de Soporte de manera que se indiquen los trminos contenido en el modelo de notificacin de incidencias recogido en el ANEXO H. Dicha incidencia ser registrada en el registro de incidencias que debe existir, el cual contendr: 1. 2. 3. 4. 5. Tipo de incidencia Momento en que se ha producido Persona que la notifica A quin se le comunica Efectos de la misma

Se adjunta un modelo de registro de incidencias en el ANEXO I.

12.2 NIVEL MEDIO

Adems de lo consignado en el apartado anterior, para aquellos ficheros clasificados como nivel medio o alto, el registro de incidencias recoge cierta informacin sobre los procedimientos de recuperacin de datos, si es que se llegan a producir. Asimismo, es necesaria la autorizacin por escrito del Responsable Interno del fichero para la ejecucin de los procedimientos de recuperacin de datos. Los campos relativos a la recuperacin de datos que contiene el registro de incidencias son los siguientes: 1. 2. 3. Persona que ejecut el proceso Datos restaurados En su caso, datos que ha sido necesario grabar manualmente

FECHA 07/12/2004

PGINA 17 DE 38

COMPANY, S.L.

DOCUMENTO DE SEGURIDAD

13 COPIAS DE RESPALDO Y RECUPERACIN DE DATOS

A efectos del presente Documento, se entiende por copia de respaldo la copia de los datos de un fichero automatizado en un soporte que posibilite su recuperacin.

13.1 NIVEL BSICO

El Responsable de Seguridad se encarga de la verificar la correcta definicin y aplicacin de los procedimientos de realizacin de copias de respaldo y recuperacin de datos. Estos procedimientos deben garantizar la reconstruccin en el estado en que se encontraban al tiempo de producirse la prdida o destruccin. Las copias de respaldo se realizarn al menos semanalmente, salvo que en ese periodo no se produzca ninguna actualizacin de los datos.

13.2 NIVEL ALTO

Para aquellos ficheros clasificados como nivel alto, se conserva una copia de respaldo y de los procedimientos de recuperacin de datos en un lugar diferente de aquel en que se encuentren los equipos informticos que los tratan, cumpliendo en todo caso las medidas de seguridad correspondientes.

14 CONTROL DE ACCESO FSICO

14.1 NIVEL MEDIO
nicamente el personal autorizado tiene acceso a los locales donde se encuentran ubicados los sistemas de informacin con datos de carcter personal. La lista de personal autorizado para dicho acceso se encuentra recogida en el ANEXO J del presente documento.

15 PRUEBAS CON DATOS REALES

15.1 NIVEL MEDIO
Para aquellos ficheros clasificados como nivel medio y alto, las pruebas anteriores a la implantacin o modificacin de los sistemas de informacin no se realizan con datos reales, siendo realizadas o bien con datos ficticios o bien con datos a los que se ha aplicado previamente un procedimiento de disociacin. FECHA 07/12/2004 PGINA 18 DE 38

COMPANY, S.L.

DOCUMENTO DE SEGURIDAD
Existen controles en cuanto al volcado de datos reales procedentes de entornos de produccin a entornos de pruebas.

16 REGISTRO DE ACCESOS
16.1 NIVEL ALTO
Para aquellos ficheros clasificados como nivel alto, existe un registro de accesos en cual permite guardar de cada acceso: 1. 2. 3. 4. 5. Identificacin del usuario Fecha y hora en que se realiz Fichero accedido Tipo de acceso Si ha sido autorizado o denegado

El Responsable de Seguridad tiene control directo sobre dichos mecanismos, no estando permitida la desactivacin de los mismos. Asimismo, dicha informacin es revisada peridicamente y se elabora un informe de las revisiones realizadas y los problemas detectados con carcter mensual.

17 TRANSMISIN DE DATOS A TRAVS DE REDES DE COMUNICACIONES

17.1 NIVEL ALTO
Para aquellos ficheros clasificados como nivel alto, la transmisin de los datos a travs de redes de telecomunicaciones se realiza cifrando los datos o empleando mecanismos que garanticen que la informacin no es inteligible ni manipulada por terceros.

FECHA 07/12/2004

PGINA 19 DE 38

COMPANY, S.L.

DOCUMENTO DE SEGURIDAD

Captulo 4: Estructura de los ficheros y descripcin de los sistemas de informacin que los tratan
El presente Captulo recoge la estructura de datos de los ficheros que tratan datos personales objeto del presente Documento. A su vez contiene una remisin al entorno que los trata. El ANEXO K recoge la estructura de datos de los ficheros y una breve descripcin del sistema de informacin que los tratan. El ANEXO L recoge el inventario de equipos que tratan los ficheros.

FECHA 07/12/2004

PGINA 20 DE 38

COMPANY, S.L.

DOCUMENTO DE SEGURIDAD

Captulo 5: Controles peridicos para verificar el cumplimiento y la vigencia del Documento

18 CONTROLES PERIDICOS
COMPANY establece controles peridicos para verificar el cumplimiento del Documento de Seguridad. El Responsable de Seguridad comprobar, con una periodicidad al menos trimestral, que la relacin de usuarios se mantiene actualizada, revisando que las bajas y modificaciones de perfiles han sido comunicadas. Se comprobar tambin al menos con periodicidad trimestral, la existencia de copias de respaldo que permitan la recuperacin de los datos personales. El Responsable de Seguridad, verificar, con periodicidad al menos trimestral, el cumplimiento de lo previsto en relacin con las entradas y salidas de soportes. El Responsable de Seguridad, analizar con periodicidad al menos trimestral las incidencias de seguridad LOPD registradas para adoptar las medidas correctoras que limiten esas incidencias en el futuro. El Responsable de Seguridad se encargar de revisar peridicamente la informacin de control registrada, del registro de accesos para los ficheros de nivel alto y elaborar un informe de las revisiones realizadas y los problemas detectados al menos una vez al mes.

19 AUDITORAS
Con la finalidad de dar cumplimiento al Artculo 17 del Reglamento de Medidas de Seguridad y para aquellos ficheros considerados como nivel medio y alto, los sistemas de informacin e instalaciones de tratamiento de datos se sometern a una auditora que verifique el cumplimiento del Reglamento, al menos, con carcter bienal. Los informes de auditora sern analizados por el Responsable de Seguridad que elevar las conclusiones al Responsable del Fichero para que adopte las medidas correctoras adecuadas, quedando a disposicin de la Agencia de Proteccin de Datos.

FECHA 07/12/2004

PGINA 21 DE 38

DOCUMENTO DE SEGURIDAD
20 ACTUALIZACIN Y REVISIN DEL DOCUMENTO
El Reglamento de Medidas de Seguridad establece la obligacin de mantener el Documento actualizado en todo momento y revisarlo siempre que se produzcan cambios relevantes en el sistema de informacin o en la organizacin del mismo. Por ello, se debe verificar y actualizar peridicamente todo lo expuesto en el Documento para comprobar que efectivamente est siendo cumplimentado o actualizado despus de cada una de las nuevas implantaciones de sistemas o procesos de seguridad, o tras la realizacin de modificaciones en los ficheros y/o sistemas que requieran su actualizacin. En el caso de que se creen, modifiquen o supriman ficheros que contengan datos personales que sean (en el caso de la modificacin o supresin) o deban ser (en el caso de la creacin) objeto del presente Documento, se debern actualizar en consecuencia todos los Anexos. En particular se deber: Mantener actualizada la lista de ficheros que tratan datos de carcter personal, mediante la modificacin del ANEXO B (mbito de aplicacin material), en el caso de que se creen, modifiquen o supriman ficheros que tratan datos de carcter personal. Para la realizacin de esta actividad ser necesaria la colaboracin del Departamento Jurdico y del Responsable Interno del Fichero, o persona en quien este delegue, en el caso de que se produzcan modificaciones en los ficheros. Mantener actualizada la lista de asignacin de funciones y obligaciones contenida en el ANEXO C (en especial la lista de Responsables Internos de Ficheros). Esto ocurrir en el caso de que se produzca uno de los cambios mencionados en el apartado anterior, se produzcan cambios organizativos, o en el caso de que la persona que figure como responsable cambie de funciones o cause baja en la organizacin. Para la realizacin de esta actividad ser necesaria la colaboracin del Departamento Jurdico. Asimismo, mantener actualizada la estructura de ficheros del ANEXO K, anotando todos aquellos cambios realizados en los sistemas de informacin que pudieran suponer un cambio en la misma. Mantener actualizada la descripcin de los sistemas de informacin que los tratan / ruta de acceso a la relacin actualizada de usuarios, anotando todos aquellos cambios realizados en los sistemas de informacin que pudieran suponer un cambio en cualquiera de estos dos aspectos.

FECHA 07/12/2004

PGINA 22 DE 38

DOCUMENTO DE SEGURIDAD

Captulo 6: Anexos
A continuacin se recogen los Anexos al Documento de Seguridad, los cuales debern ser actualizados peridicamente. ANEXO A: Resumen del Reglamento de Medidas de Seguridad. ANEXO B: mbito de aplicacin material. ANEXO C: Asignacin de funciones y obligaciones. ANEXO D: Modelo de autorizacin para la ejecucin de tratamientos fuera de los locales de ubicacin del fichero / Autorizacin para la salida de soportes que contengan datos personales. ANEXO E: Relacin de usuarios con acceso a datos personales. ANEXO F: Modelo de registro de entrada y salida de soportes. ANEXO G: Catlogo de Incidencias de seguridad LOPD. ANEXO H: Modelo de comunicacin de incidencias. ANEXO I: Modelo de registro de incidencias. ANEXO J: Relacin de usuarios autorizados para acceder a los Centros de Proceso de Datos. ANEXO K: Estructura de los ficheros y descripcin de los sistemas de informacin que los tratan. ANEXO L: Inventario de equipos que tratan los ficheros.

FECHA 07/12/2004

PGINA 23 DE 38

DOCUMENTO DE SEGURIDAD

21 ANEXO A: RESUMEN DEL REGLAMENTO DE MEDIDAS DE SEGURIDAD

REGLAMENTO DE MEDIDAS DE SEGURIDAD

NIVELES DE SEGURIDAD Nivel bsico: afecta a todos los ficheros que contengan datos personales. Nivel medio: afecta a ficheros que contengan datos relativos a la comisin de infracciones administrativas o penales, Hacienda Pblica, servicios financieros y servicios sobre solvencia patrimonial y crdito. Nivel alto: afecta a los ficheros que contengan datos de ideologa, religin, creencias, origen racial, salud o vida sexual as como los datos recabados para fines policiales sin consentimiento de los afectados Acceso a datos a travs de redes de comunicaciones Rgimen de trabajo fuera de locales de ubicacin de fichero Tratamiento de ficheros temporales Documento de seguridad Funciones y obligaciones del personal Control de acceso Identificacin y autenticacin Gestin de soportes Registro de incidencias Copias de respaldo y recuperacin Medidas de seguridad de nivel bsico Documento de seguridad (contenido adicional) Identificacin y autenticacin (medidas adicionales) Gestin de soportes (medidas adicionales) Registro de incidencias (medidas adicionales) Medidas especficas nivel medio

MEDIDAS DE SEGURIDAD GENRICAS

MEDIDAS DE SEGURIDAD NIVEL BSICO

MEDIDAS DE SEGURIDAD NIVEL MEDIO

MEDIDAS DE SEGURIDAD NIVEL ALTO

Responsable de seguridad Auditora bianual Control de acceso fsico Pruebas con datos reales Medidas de seguridad de nivel bsico y medio Gestin de soportes (medidas adicionales) Copias de respaldo y recuperacin (medidas adicionales)

FECHA 07/12/2004

PGINA 24 DE 38

DOCUMENTO DE SEGURIDAD

Medidas especficas nivel alto

INFRACCIONES

Registro de accesos Telecomunicaciones La falta de aplicacin de las medidas de seguridad constituye una falta grave.

FECHA 07/12/2004

PGINA 25 DE 38

DOCUMENTO DE SEGURIDAD

22 ANEXO B: MBITO DE APLICACIN MATERIAL

N
1. 2. 3. 4. 5. 6.

FICHERO

DESCRIPCIN

NIVEL SEG.

FECHA 07/12/2004

PGINA 26 DE 38

DOCUMENTO DE SEGURIDAD

23 ANEXO C: OBLIGACIONES

ASIGNACIN

DE

FUNCIONES

N
1. 2. 3. 4. 5. 6.

FICHERO

RESPONSABLE DEL FICHERO

RESPONSABLE INTERNO

RESPONSABLE DE SEGURIDAD

FECHA 07/12/2004

PGINA 27 DE 38

DOCUMENTO DE SEGURIDAD

24 ANEXO D: AUTORIZACIN PARA LA EJECUCIN DE TRATAMIENTOS DE DATOS FUERA DE LOS LOCALES DE UBICACIN DEL FICHERO / AUTORIZACIN PARA LA SALIDA DE SOPORTES

DATOS DE CONTROL
Descripcin del tratamiento a realizar Cesin de datos Prestacin de servicios de carcter informtico

Categora

Custodia de soportes Destruccin de soportes Otros (Indicar)

Otras prestaciones de servicios (Indicar) Fecha del contrato Ubicacin del contrato

Si se trata de una prestacin de servicios Contenido de la informacin a tratar fuera de los locales de ubicacin del fichero Ficheros de procedencia de los datos a tratar Responsable de/los fichero/s de procedencia

FINALIDAD Y DESTINO
Finalidad del tratamiento Destino Destinatario

FORMA DE ENVO
Medio de envo Remitente

AUTORIZACIN
Persona/s que autoriza/n Cargo Tipo autorizacin Puntual Genrica

Indicar periodo de validez Indicar periodicidad de la salida

Observaciones Fecha

FECHA 07/12/2004

PGINA 28 DE 38

DOCUMENTO DE SEGURIDAD

Fdo.

FECHA 07/12/2004

PGINA 29 DE 38

DOCUMENTO DE SEGURIDAD

25 ANEXO E: RELACIN DE USUARIOS CON ACCESO A DATOS PERSONALES

N
1.

FICHERO

USUARIOS

DEPARTAMENTO

2.

3.

4.

5.

6.

FECHA 07/12/2004

PGINA 30 DE 38

DOCUMENTO DE SEGURIDAD

26 ANEXO F: MODELO DE REGISTRO DE ENTRADA Y SALIDA DE SOPORTES

REGISTRO DE ENTRADA Y SALIDA DE SOPORTES DATOS DE CONTROL

Accin (entrada o salida) Fecha y hora CPD del que sale o al que entra

SOPORTE
Cdigo del inventario Tipo de soporte Tipo de informacin que contiene

FORMA DE ENVO
Medio de envo

PERSONA RESPONSABLE DE LA RECEPCIN / ENTREGA

Nombre y apellidos Empresa / Cargo Observaciones

Fdo.

FECHA 07/12/2004

PGINA 31 DE 38

DOCUMENTO DE SEGURIDAD

27 ANEXO G: CATLOGO DE INCIDENCIAS DE SEGURIDAD LOPD

CATLOGO DE INCIDENCIAS
Fallos en la gestin / custodia de soportes Robo de equipos o soportes Prdida de equipos o soportes Salida no autorizada de soportes Salida no autorizada de equipos Distribucin de soportes con datos de nivel alto sin cifrar Recuperacin de datos de soportes desechados o destinados a ser reutilizados Uso de dispositivos de almacenamiento externo por personal no autorizado Otros (especificar) Fallos en controles de acceso fsico Acceso a CPD de personal no autorizado Bajas de personal de CPD o cambio de funciones no comunicadas Prdida de llaves o tarjetas de acceso Vulneracin de los controles de acceso fsico Otros (especificar) Fallos en los controles de administracin de usuarios Deteccin de bajas no comunicadas Deteccin de cambios de funciones o departamento no comunicados Deteccin de la utilizacin de usuarios genricos (nivel medio y alto) Deteccin de la creacin de usuarios sin autorizacin del Responsable Interno del Fichero Deteccin de violaciones del principio de mnimo privilegio Otros (especificar) Fallos en los controles de acceso lgico Cesin / comparticin de la clave de acceso Conocimiento de la clave de acceso por usuario no autorizado Violacin de los controles de acceso Robo de sesiones Otros (especificar)

FECHA 07/12/2004

PGINA 32 DE 38

DOCUMENTO DE SEGURIDAD

Manipulacin no autorizada de informacin

Revelacin de informacin Copia de informacin no autorizada Borrado de informacin accidental o no autorizado Modificacin de informacin no autorizada Otros (especificar)

Ficheros temporales Fallos en la realizacin de copias de respaldo

Permanencia o no borrado de ficheros temporales una vez finalizada su utilidad Error de dispositivo Error de soporte Recuperacin de datos fallida Otros (especificar)

FECHA 07/12/2004

PGINA 33 DE 38

DOCUMENTO DE SEGURIDAD

28 ANEXO H: INCIDENCIAS

MODELO

DE

COMUNICACIN

DE

COMUNICACIN DE INCIDENCIAS DATOS DE CONTROL

Nmero de incidencia* Fecha de notificacin Fecha y hora de la incidencia Persona que notifica Persona a quin se comunica

DESCRIPCIN DE LA INCIDENCIA

EFECTOS DERIVADOS DE LA MISMA

PROCEDIMIENTOS DE RECUPERACIN DE DATOS (NIVEL MEDIO Y ALTO)

Persona que ejecut el proceso Datos restaurados Datos que ha sido necesario grabar manualmente

FIRMA PERSONA QUE COMUNICA

FIRMA RECIB

Fdo.

Fdo.

FECHA 07/12/2004

PGINA 34 DE 38

DOCUMENTO DE SEGURIDAD

29 ANEXO I: MODELO DE REGISTRO DE INCIDENCIAS

REGISTRO DE INCIDENCIAS DATOS DE CONTROL

Nmero de incidencia Fecha de registro Fecha y hora de la incidencia Fichero/s afectado/s Puesto/s afectado/s

TIPO / DESCRIPCIN DE LA INCIDENCIA

EFECTOS

CAUSAS

PROCEDIMIENTOS DE SOLUCIN

Fdo.

FECHA 07/12/2004

PGINA 35 DE 38

DOCUMENTO DE SEGURIDAD

30 ANEXO J: RELACIN DE USUARIOS AUTORIZADOS PARA ACCEDER A LOS LOCALES DE UBICACIN DEL FICHERO
Incluir listado de personas con acceso autorizado a las instalaciones en las que se encuentran los ficheros.

FECHA 07/12/2004

PGINA 36 DE 38

DOCUMENTO DE SEGURIDAD

31 ANEXO K: ESTRUCTURA DE LOS FICHEROS DESCRIPCIN DEL SISTEMA DE INFORMACIN

FICHERO

ESTRUCTURA DE DATOS

SISTEMA DE INFORMACIN

FECHA 07/12/2004

PGINA 37 DE 38

DOCUMENTO DE SEGURIDAD

32 ANEXO L: INVENTARIO DE EQUIPOS QUE TRATAN LOS FICHEROS

FICHERO

SERVIDOR EN QUE EST ALOJADO Datos del servidor

EQUIPOS CLIENTE QUE ACCEDEN Datos de equipos cliente

FECHA 07/12/2004

PGINA 38 DE 38