Story Transcript
LBS/Pre-[II]: REQUISITOS DE SEGURIDAD PARA EL TRATAMIENTO DE DATOS DE PERSONAL
Conselleria de Sanitat - Misser Mascó, 31 y 33 • 46010 VALÈNCIA • Tel. 96 386 66 00 • Fax 96 386 66 07
Estado actual Nombre Código LBS/Pre-[II] : Requisitos de seguridad para el tratamiento de datos de personal SI-LBS/Pre-[II] Contenido Línea base de seguridad genérico para un sistema de información de gestión de personal con tratamiento mixto (informatizado y en papel). Estado Publicado
Ver. 2.0
Modificación 14/01/2015
Autor OSI
Ubicación/URL http://colabora.san.gva.es/SISAN/LBS
Autor OSI OSI
Descripción de la versión/Cambios realizados Versión inicial Actualización legislación
Historia del documento Estado Obsoleto Publicado
Ver. 1.0 2.0
Fecha 21/07/2011 14/01/2015
Difusión Para Organización de la seguridad
Rol Responsables de seguridad/funcionales/técnicos/accesos
Documentos relacionados Título Política de seguridad
Relación Marco global
Índice LBS/PRE-[II]........................................................................................................................3 CONTROLES DE SEGURIDAD DE LA LBS/PRE-[II] ........................................................4 FICHA TÉCNICA...............................................................................................................71
Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15
Página 2 de 72 Autor: OSI
LBS/Pre-[II] Este documento contiene una preselección de controles de seguridad técnicos y organizativos exigibles para el tratamiento de datos de personal, tanto informatizado como en papel. La selección se ha realizado atendiendo a las características genéricas de un sistema de gestión de personal o nóminas. En este sentido, la LBS/Pre-[II] puede servir como una buena aproximación inicial a la implantación de controles de seguridad en dichos sistemas de información. Las características técnicas de la preselección pueden encontrarse en el anexo Ficha Técnica. Asimismo, la información que se entrega en este documento se encuentra actualizada en formato hoja de cálculo, de forma que permita su ordenación y filtrado según necesidades específicas. La ubicación de esta hoja de cálculo es la siguiente: http://colabora.san.gva.es/SISAN/LBS
Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15
Página 3 de 72 Autor: OSI
CONTROLES DE SEGURIDAD DE LA LBS/Pre-[II] CÓDIGO
TÍTULO
FUNDAMENTO LEGAL
DESCRIPCIÓN
QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)
FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA
FASE EN QUE DEBE SER VÁLIDO
Definición y aprobación de la Política de seguridad de la información
ENS art. 11; II.org.1 PSI-GV
Se debe tener en cuenta la Política de Seguridad de la Información de la Responsable Generalitat Valenciana, decreto 66/2012, de 27 de abril, del Consell, en tanto que de seguridad supone un marco legal para los sistemas de información de la Conselleria de Sanitat.
Estructural
Estructural
Creación de la estructura organizativa central de la seguridad de la información
ORSI-CS art. 5, III Se debe tener en cuenta la estructura organizativa central de la seguridad y asignar las responsabilidades y funciones, conforme a lo estipulado en la Orden 8/2011 del Conseller de Sanitat por la que se establece la organización de la seguridad de la información en la Conselleria de Sanitat [ORSI-CS].
Responsable de seguridad
Estructural
Estructural
Creación de la estructura organizativa periférica de la seguridad de la información
ORSI-CS art. 6
Se debe tener en cuenta la estructura organizativa periférica de la seguridad Responsable (esto es, en departamentos y direcciones territoriales) y asignar las de seguridad responsabilidades y funciones, conforme a lo estipulado en la Orden 8/2011 del Conseller de Sanitat por la que se establece la organización de la seguridad de la información en la Conselleria de Sanitat [ORSI-CS].
Estructural
Estructural
Pertinencia de los datos
LOPD art. 4.1 RLOPD art. 8.2
Se deben recoger y tratar los datos sólo si son adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.
Análisis
Implantación
ORGANIZATIVOS POLÍTICA DE SEGURIDAD 1.1.1.1
ESTRUCTURA ORGANIZATIVA DE LA SEGURIDAD 1.2.1.1
1.2.1.2
CALIDAD DE LOS DATOS 1.3.1.1
Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15
Responsable funcional
Página 4 de 72 Autor: OSI
CÓDIGO
TÍTULO
FUNDAMENTO LEGAL
DESCRIPCIÓN
QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)
FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA
FASE EN QUE DEBE SER VÁLIDO
1.3.1.2
Uso de los datos para los fines autorizados
LOPD art. 4.1 RLOPD art. 8.2, 9.1
No se deben usar los datos para finalidades incompatibles con aquellas para las que hayan sido recogidos. Esto no es incompatible con el tratamiento para fines históricos, estadísticos o científicos, según lo especificado en sus propias disposiciones legales.
Responsable funcional
Análisis
Implantación
1.3.1.3
Exactitud de los datos
LOPD art. 4.2, 4.3 Se deben mantener los datos exactos y puestos al día. Se deben cancelar y RLOPD art. 8.5 sustituir de oficio los datos que resulten inexactos en el plazo de diez días desde el conocimiento de la inexactitud, y completar los que estén incompletos.
Responsable funcional
Análisis
Implantación
Se debe notificar a los posibles cesionarios la rectificación o cancelación de datos efectuada, en el plazo de diez días, indicándoles que disponen a su vez de diez días para efectuar la rectificación o cancelación en su fichero.
1.3.1.4
Cancelación de datos innecesarios
LOPD art. 4.5 RLOPD art. 8.6
Se deben cancelar los datos cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados. El anexo I recoge los plazos de conservación de datos sanitarios.
Responsable funcional
Análisis
Implantación
1.3.1.5
Conservación de los datos estrictamente necesaria
LOPD art. 4.5 RLOPD art. 8.6
No se deben conservar los datos en forma que permita la identificación del interesado durante un período superior al necesario para los fines en base a los cuales hubieran sido recabados o registrados. El anexo I recoge los plazos para la conservación de datos en el ámbito sanitario.
Responsable funcional
Análisis
Implantación
1.3.1.6
Almacenamiento de los datos que garantice los derechos de acceso
LOPD art. 4.6 RLOPD art. 8.7
Se deben almacenar los datos de forma que permitan el ejercicio del derecho de acceso, salvo que sean legalmente cancelados.
Responsable funcional
Análisis
Explotación
IDENTIFICACIÓN Y CLASIFICACIÓN DE LA INFORMACIÓN IDENTIFICACIÓN Y CLASIFICACIÓN Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15
Página 5 de 72 Autor: OSI
CÓDIGO
TÍTULO
FUNDAMENTO LEGAL
DESCRIPCIÓN
1.4.1.1
Identificación de la información de carácter personal
OFJ-CS
Se debe identificar la información sensible de carácter personal que maneja el Responsable sistema, principalmente los datos especialmente protegidos (a saber, datos sobre funcional ideología, afiliación sindical, religión, creencias, origen racial o étnico, salud y vida sexual) y los relativos a la comisión de infracciones penales o administrativas.
1.4.1.2
Asignación del nivel de seguridad aplicable
RLOPD arts. 80, Se debe determinar el nivel de las medidas de seguridad a aplicar a cada fichero 81 y sistema de información, según la clasificación y los criterios establecidos en el ENS I; II.mp.info.2 RLOPD y el ENS. Se atenderá para ello a la naturaleza de los datos, el tipo de tratamiento y el impacto que su pérdida ocasionaría a la organización.
Responsable funcional
Estudio de viabilidad Análisis
Correspondencia con los ficheros inscritos en la AEPD
LOPD art. 20; RLOPD arts. 5264 OFJ-CS
La información de carácter personal que maneja el sistema debe quedar completamente integrada en la declaración general de ficheros jurídicos de la Conselleria de Sanitat ante la Agencia española de protección de datos (AEPD), la cual fue definida en la Orden 11/2011, de 21 de octubre [OFJ-CS]. Asimismo, se debe identificar qué ficheros jurídicos de la declaración general quedan afectados por el sistema o fichero físico. Esta correspondencia se registrará en el Documento de Seguridad (DS). La OSI Oficina de Seguridad de la Información proporcionará ayuda para la concordancia del fichero físico o sistema con los ficheros jurídicos inscritos, y posibles gestiones que se deban realizar.
Responsable funcional
Estudio de viabilidad Explotación
Origen y procedencia de los datos, y posibles cesiones
OFJ-CS
Se debe identificar el origen y la procedencia de datos, y su posible cesión a terceros.
Responsable funcional
Estudio de viabilidad Explotación
VINCULACIÓN A LA ESTRUCTURA GENERAL DE FICHEROS DE LA CS/AVS 1.4.2.1
1.4.2.2
QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)
FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA
FASE EN QUE DEBE SER VÁLIDO
Estudio de viabilidad Análisis
DOCUMENTO DE SEGURIDAD
Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15
Página 6 de 72 Autor: OSI
CÓDIGO
DESCRIPCIÓN
QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)
FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA
FASE EN QUE DEBE SER VÁLIDO
Existencia del documento RLOPD art.88.1 de seguridad
Debe definirse un documento de seguridad DS (asociado al fichero declarado ante la AEPD), que sea de carácter interno y que recoja las medidas de índole técnica y organizativa de obligado cumplimiento para el personal con acceso al sistema de información.
Responsable de seguridad
Estructural
Estructural
1.5.1.2
Inclusión en el DS del detalle de las funciones y obligaciones del personal
RLOPD art.88.3
El DS debe recoger las funciones y obligaciones del personal vinculado al sistema.
Responsable de seguridad
Estructural
Estructural
1.5.1.3
Inventario de activos (contenido mínimo)
RLOPD art.88.3 PSI-GV art. 5
El DS, en su sección "ámbito de aplicación", debe detallar los recursos protegidos de mi sistema, directamente o mediante referencia al inventario de activos.
Responsable de seguridad
Estructural
Estructural
CONTENIDO DEL DOCUMENTO DE SEGURIDAD 1.5.1.1
TÍTULO
FUNDAMENTO LEGAL
El DS debe recoger una descripción del sistema de información, incluidos los ficheros que contienen datos personales, directamente o mediante referencia al inventario de activos.
Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15
Página 7 de 72 Autor: OSI
CÓDIGO
TÍTULO
FUNDAMENTO LEGAL
DESCRIPCIÓN
QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)
FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA
FASE EN QUE DEBE SER VÁLIDO
1.5.1.4
Inventario de activos (contenido completo)
ENS II.op.exp.1, II.op.pl.2; IV
Debe existir un inventario de activos actualizado, que contenga todos los elementos del sistema, detalle su naturaleza e identifique a su propietario; es decir, la persona que es responsable de las decisiones relativas al mismo (responsable funcional de aplicaciones y servicios).
Responsable de seguridad
Estructural
Estructural
En el inventario de activos se debe detallar: la estructura de la información, los servicios, las aplicaciones (software), equipos (hardware), las comunicaciones, los recursos administrativos, recursos físicos y recursos humanos. De forma especial debe incluir los ficheros y aplicaciones que traten datos de carácter personal. Debe asimismo incluir la documentación de la arquitectura de seguridad, consistente en: a) Documentación de las instalaciones: Áreas; Puntos de acceso. b) Documentación del sistema: Equipos; Redes internas y conexiones al exterior; Puntos de acceso al sistema (puestos de trabajo y consolas de administración). c) Esquema de líneas de defensa: Puntos de interconexión a otros sistemas o a otras redes, en especial si se trata de Internet; Cortafuegos, DMZ, etc.; Utilización de tecnologías diferentes para prevenir vulnerabilidades que pudieran perforar simultáneamente varias líneas de defensa. d) Sistema de identificación y autenticación de usuarios: Uso de claves concertadas, contraseñas, tarjetas de identificación, biometría, u otras de naturaleza análoga; Uso de ficheros o directorios para autenticar al usuario y determinar sus derechos de acceso. e) Controles técnicos internos: Validación de datos de entrada, salida y datos intermedios. f) Sistema de gestión con actualización y aprobación periódica.
Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15
Página 8 de 72 Autor: OSI
CÓDIGO
TÍTULO
FUNDAMENTO LEGAL
DESCRIPCIÓN
1.5.1.5
Inclusión en el DS de procedimientos de seguridad
RLOPD art.88.3 ENS II.mp.info.2
1.5.1.6
Inclusión en el DS de la identificación del responsable de seguridad
1.5.1.7
FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA
FASE EN QUE DEBE SER VÁLIDO
Responsable El DS debe recoger normas, procedimientos de actuación, reglas y estándares de seguridad adecuados a la seguridad del sistema. Concretamente los siguientes: - Procedimientos de notificación, gestión y respuesta ante incidencias. - Procedimientos de copias de respaldo y recuperación de ficheros automatizado. - Las medidas a aplicar para el transporte de soportes y documentos. - Las medidas a aplicar en el caso de la destrucción y/o reutilización de soportes y documentos. - Procedimientos y medidas de control de acceso a la información. - Procedimientos y medidas de seguridad para el almacenamiento de la información - Procedimiento de etiquetado de soportes. - Procedimientos y medidas de seguridad en la transmisión telemática de la información. - Cualquier otra actividad relacionada con la información.
Estructural
Estructural
RLOPD art.88.4; RLOPD art.95
El DS debe identificar a los responsables de seguridad y sobre qué ficheros o tratamientos ejercen su función.
Responsable de seguridad
Estructural
Estructural
Delegación de autorizaciones en el DS
RLOPD art.84
Las autorizaciones relativas a los controles que se atribuyen al responsable del Responsable fichero o tratamiento podrán ser delegadas en las personas designadas al efecto. de seguridad En el DS deberán constar las personas habilitadas para otorgar estas autorizaciones así como aquellas en las que recae dicha delegación. En ningún caso esta designación supone una delegación de la responsabilidad que corresponde al responsable del fichero.
Estructural
Estructural
1.5.1.8
Indicación en el DS de los controles de cumplimiento de las medidas
RLOPD art.88.4
El DS debe señalar las revisiones periódicas que permitan validar el cumplimiento de las medidas indicadas en el mismo DS.
Responsable de seguridad
Estructural
Estructural
1.5.1.9
Indicación en el DS de los terceros encargados de tratamiento
RLOPD art.88.5
El DS debe referenciar cualquier tratamiento por terceros, indicando en tal caso: los ficheros o tratamientos afectados, los documentos o contratos que regulen dicho encargo, el período de vigencia del encargo, así como la identificación de los responsables del encargo.
Responsable de seguridad
Estudio de viabilidad Explotación
Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15
QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)
Página 9 de 72 Autor: OSI
CÓDIGO
TÍTULO
FUNDAMENTO LEGAL
DESCRIPCIÓN
QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)
FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA
FASE EN QUE DEBE SER VÁLIDO
1.5.1.10
Indicación en el DS del acceso de los encargados de tratamiento a los datos
RLOPD art. 82.1
El DS debe recoger la circunstancia, si esta se da, de que el personal del encargado de tratamiento está autorizado a acceder a los datos, a los soportes que los contienen o al sistema de información que los trata; e indica si el acceso se hace de forma local o remota. Véase el apartado correspondiente a la figura del encargado de tratamiento.
Responsable de seguridad
Análisis
Explotación
Actualización del DS
RLOPD art.88.7
Se debe actualizar en el DS cualquier cambio relevante en el sistema de información, en la organización (esto es, que pueda repercutir a las medidas de seguridad implantadas), o a resultas de cambios en la legislación vigente (esto es, que exija la adopción de nuevas medidas de seguridad).
Responsable de seguridad
Estructural
Estructural
Términos de los que informar al interesado en la recogida de datos
LOPD arts. 5.1-3, 24 ORSI-CS art.11
Se debe informar a los interesados a los que se solicitan datos personales: - De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información. - De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición. - De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.
Responsable de seguridad
Análisis
Explotación
ACTUALIZACIÓN DEL DOCUMENTO DE SEGURIDAD 1.5.2.1
EJERCICIO DE DERECHOS DERECHO DE INFORMACIÓN 1.6.1.1
Se debe incluir en los formularios de recogida de datos (en caso de haberlos), de forma claramente legible, la información indicada anteriormente. La Conselleria proporcionará el texto modelo de referencia.
Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15
Página 10 de 72 Autor: OSI
CÓDIGO
TÍTULO
FUNDAMENTO LEGAL
DESCRIPCIÓN
QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)
FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA
FASE EN QUE DEBE SER VÁLIDO
1.6.1.2
Información al interesado en caso de recogida indirecta de datos
LOPD art. 5.4-5
Cuando los datos de carácter personal no hayan sido recabados del interesado, se le debe informar de los términos anteriores, de forma expresa, precisa e inequívoca, dentro de los tres meses siguientes al momento del registro de los datos, salvo que ya hubiera sido informado con anterioridad o cuando expresamente una Ley lo prevea, cuando el tratamiento tenga fines históricos, estadísticos o científicos, o cuando la información al interesado resulte imposible o exija esfuerzos desproporcionados, a criterio de la Agencia de Protección de Datos.
Responsable de seguridad
Análisis
Explotación
1.6.1.3
Acreditación del cumplimiento del deber de información
RLOPD art.18
Se debe acreditar el cumplimiento del deber de información y conservar el medio utilizado para ello.
Responsable de seguridad
Análisis
Explotación
Garantía del derecho de acceso
LOPD arts. 15, 17; RLOPD arts. 27, 28, 29.3
Se debe garantizar al interesado su derecho a solicitar y obtener gratuitamente información de sus datos de carácter personal sometidos a tratamiento, el origen de dichos datos así como las comunicaciones realizadas o que se prevén hacer de los mismos, en forma legible e inteligible, sin utilizar claves o códigos que requieran el uso de dispositivos mecánicos específicos.
Responsable de seguridad
Análisis
Explotación
1.6.2.2
Procedimiento y gratuidad de la consulta
LOPD art. 17; RLOPD art. 28
Se debe establecer un sistema de consulta del fichero para el interesado y que asegura la comunicación escrita si éste lo exige. No se exigirá contraprestación alguna por el ejercicio de este derecho.
Responsable de seguridad
Análisis
Explotación
1.6.2.3
Plazo de resolución de las solicitudes
RLOPD art. 29.1
Se debe resolver sobre la solicitud de acceso en el plazo máximo de un mes a contar desde la recepción de la solicitud
Responsable de seguridad
Análisis
Explotación
1.6.2.4
Plazo de ejecución del derecho de acceso e información al interesado
RLOPD art. 29.2, 30
Si la solicitud ha sido estimada, se debe hacer efectivo el acceso durante los diez Responsable días siguientes a la resolución de la solicitud de acceso. de seguridad En caso de denegar el acceso, se debe informar al interesado de su derecho a recabar la tutela de la Agencia Española de Protección de Datos o, en su caso, de las autoridades de control de las comunidades autónomas, conforme a lo dispuesto en el artículo 18 de la Ley Orgánica
Análisis
Explotación
DERECHO DE ACCESO 1.6.2.1
Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15
Página 11 de 72 Autor: OSI
CÓDIGO
TÍTULO
FUNDAMENTO LEGAL
DESCRIPCIÓN
QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)
FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA
FASE EN QUE DEBE SER VÁLIDO
1.6.3.1
Plazo de ejecución de derechos de rectificación, cancelación y oposición
LOPD art. 16.1-2; RLOPD art. 32.2; art. 35
Se debe resolver sobre la solicitud de rectificación, cancelación u oposición del interesado en el plazo de diez días. Se deben rectificar o cancelar, en su caso, los datos de carácter personal cuyo tratamiento no se ajuste a lo dispuesto en la LOPD y, en particular, cuando tales datos resulten inexactos o incompletos.
Responsable de seguridad
Análisis
Explotación
1.6.3.2
Gratuidad de la rectificación, cancelación u oposición
LOPD art. 17
No se exigirá contraprestación alguna por el ejercicio de los derechos de oposición, rectificación o cancelación.
Responsable de seguridad
Análisis
Explotación
1.6.3.3
Bloqueo de los datos
LOPD art. 16.3, art. 16.5
Se deben bloquear los datos objeto de cancelación. Se deben conservar únicamente a disposición de las Administraciones Públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento, durante el plazo de prescripción de éstas. Los datos deben conservarse durante los plazos previstos en las disposiciones aplicables o, en su caso, en las relaciones contractuales entre la persona o entidad responsable del tratamiento y el interesado. Se debe proceder a su supresión cumplido el citado plazo. El anexo I recoge los plazos para la conservación de datos en el ámbito sanitario.
Responsable de seguridad
Análisis
Explotación
1.6.3.4
Notificación a posibles cesionarios
LOPD art. 16.4; RLOPD art. 32.3
Se debe notificar la rectificación o cancelación efectuada a quien se hayan comunicado, en un plazo máximo de diez días.
Responsable de seguridad
Análisis
Explotación
1.6.3.5
Notificación al interesado
LOPD art. 23, art. 18; RLOPD art. 33.3
Ante la denegación de los derechos de rectificación y cancelación, se debe informar al interesado de su derecho a recabar la tutela de la Agencia Española de Protección de Datos o, en su caso, de las autoridades de control de las Comunidades Autónomas, conforme a lo dispuesto en el artículo 18 de la LOPD.
Responsable de seguridad
Análisis
Explotación
DERECHOS DE RECTIFICACIÓN, CANCELACIÓN Y OPOSICIÓN
CONSENTIMIEN TO PARA EL TRATAMIENTO
Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15
Página 12 de 72 Autor: OSI
CÓDIGO
TÍTULO
FUNDAMENTO LEGAL
DESCRIPCIÓN
QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)
FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA
FASE EN QUE DEBE SER VÁLIDO
1.6.4.1
Consentimiento para el tratamiento
LOPD art. 6, 7, 8; RLOPD art. 10
Se debe recabar el consentimiento del interesado para aquellos tratamientos de datos que no correspondan al ejercicio de las funciones propias de la Conselleria de Sanitat en el ámbito de sus competencias.
Responsable de seguridad
Análisis
Explotación
Responsable de seguridad
Análisis
Explotación
La Oficina de Seguridad de la Información OSI proporcionará asesoramiento ante escenarios en los que haya dudas sobre la necesidad del consentimiento del interesado.
CONSENTIMIEN TO PARA LA CESIÓN 1.6.5.1
Legitimidad de la cesión y necesidad de consentimiento
GESTIÓN DE PERSONAL DEFINICIÓN DE LAS FUNCIONES Y OBLIGACIONES DEL PERSONAL 1.7.1.1 Definición de las funciones y obligaciones del personal 1.7.1.2
Definición de autorizaciones delegadas
LOPD arts. 11,12, 21.3-4; RLOPD arts. 10, 12, 13, 14, 15, 16, 17
Debe considerarse la legitimidad y la posible necesidad de recabar el consentimiento del interesado, en escenarios en los que se vaya a producir una cesión de datos de carácter personal.
RLOPD art. 89
Las funciones y obligaciones de cada uno de los usuarios o perfiles de usuarios con acceso a los datos de carácter personal y a los sistemas de información deben estar claramente definidas.
Responsable funcional
Análisis
Explotación
RLOPD art. 84, art.89.1
Se deben definir y documentar las funciones de control o autorizaciones delegadas por el responsable del tratamiento. En el DS debe constar tanto las autorizaciones como las personas habilitadas para otorgarlas.
Responsable funcional
Análisis
Explotación
La Oficina de Seguridad de la Información proporcionará asesoramiento cuando existan dudas al respecto.
Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15
Página 13 de 72 Autor: OSI
CÓDIGO
TÍTULO
FUNDAMENTO LEGAL
DESCRIPCIÓN
QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)
FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA
FASE EN QUE DEBE SER VÁLIDO
1.7.1.3
Procedimientos de seguridad
ENS II.org.3
Se deben definir una serie de procedimientos que detallen de forma clara y precisa: a) Cómo llevar a cabo las tareas habituales. b) Quién debe hacer cada tarea. c) Cómo identificar y reportar comportamientos anómalos.
Responsable funcional
Análisis
Explotación
Conocimiento de las normas
RLOPD art.89.2 ENS II.mp.per.2
Se deben adoptar las medidas necesarias para que el personal conozca de una forma comprensible las normas de seguridad que afecten al desarrollo de sus funciones así como las consecuencias en que pudiera incurrir en caso de incumplimiento.
Responsable de seguridad
Análisis
Explotación
Verificación del conocimiento y cumplimiento
ENS art. 14.1 RTMS art. 41.2, 34
Se debe comprobar de un modo objetivo que el usuario conoce las medidas de seguridad y verifica que sigue los procedimientos establecidos.
Responsable de seguridad
Análisis
Explotación
ENS art. 14.1; II.mp.per.3-4 PSI-GV art.3.1 RTMS art. 41.1; LAE D.Adic. 2ª
Se debe diseñar y aplicar un Plan de formación y concienciación de usuarios que incluya aspectos de seguridad informática, deberes y obligaciones, tanto generales como específicos del sistema de información. El plan debe incorporar canales de información y participación adecuados que hagan efectiva la colaboración del personal en la prevención, detección y control de los riesgos derivados de actuaciones negligentes, ignorancia de las normas, fallos técnicos, de organización o de coordinación, o instrucciones inadecuadas. El plan debe desarrollarse en un período aceptable de tiempo y de forma regular.
Responsable de seguridad
Análisis
Implantación
DIVULGACIÓN DE LAS FUNCIONES Y OBLIGACIONES 1.7.2.1
1.7.2.2
FORMACIÓN Y CONCIENCIACIÓ N DEL PERSONAL 1.7.3.4 Plan de formación y concienciación de usuarios
AUTORIZACIÓN Y CREDENCIALES
Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15
Página 14 de 72 Autor: OSI
CÓDIGO
TÍTULO
FUNDAMENTO LEGAL
DESCRIPCIÓN
1.7.4.1
Proceso de autorización
ENS II.org.4
Debe existir un proceso formal de autorizaciones que cubran todos los elementos Responsable de seguridad del sistema de información: a) Utilización de instalaciones, habituales y alternativas. b) Entrada de equipos en producción, en particular, equipos que involucren criptografía. c) Entrada de aplicaciones en producción. d) Establecimiento de enlaces de comunicaciones con otros sistemas. e) Utilización de medios de comunicación, habituales y alternativos. f) Utilización de soportes de información. g) Utilización de equipos móviles (ordenadores portátiles, PDA, u otros de naturaleza análoga).
1.7.4.2
Aprobación de la credencial
ORSI-CS art. 11.4 El responsable funcional de aplicaciones y servicios debe aprobar la credencial de acceso (la estándar u otra con cláusulas adicionales específicas) para el acceso al sistema de información.
Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15
QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)
Responsable de accesos
FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA
FASE EN QUE DEBE SER VÁLIDO
Estructural
Estructural
Análisis
Explotación
Página 15 de 72 Autor: OSI
CÓDIGO
TÍTULO
FUNDAMENTO LEGAL
DESCRIPCIÓN
QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)
FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA
FASE EN QUE DEBE SER VÁLIDO
1.7.4.3
Estructura de la credencial
LOPD art. 10 ENS II.op.acc.4 RTMS art. 34, 40.2
La credencial debe ser comprensible y contener los siguientes aspectos:
Responsable funcional
Análisis
Explotación
1. Obligaciones generales; entre las cuales están: a) Responsabilidad en el mantenimiento de las claves de acceso. El usuario tiene el deber de secreto con relación a las mismas. b) Notificar al responsable de seguridad cuando el secreto de su contraseña se haya visto comprometido. c) Obligación de cerrar la aplicación cuando se abandone el puesto de trabajo. d) Obligación de comunicación de las incidencias de seguridad al responsable de seguridad. e) Obligación de secreto profesional respecto a los datos de carácter personal, obligación que subsistirá aun después de finalizar sus relaciones con el responsable de la información. 2. Normas particulares de seguridad de la aplicación. 3. A qué se necesita acceder, con qué derechos y bajo qué autorización.
1.7.4.4
Obligatoriedad de la credencial
RTMS art. 40.2
Todo usuario debe firmar y aceptar la credencial de seguridad para formalizar su acceso a la aplicación.
Responsable de accesos
Análisis
Explotación
1.7.4.5
Cambio de credencial ante cambio de privilegios
RTMS .art.40.4
Cualquier cambio en las autorizaciones debe conllevar una nueva credencial
Responsable de accesos
Análisis
Explotación
Profesionalidad
ENS art. 15.1
La seguridad de los sistemas debe ser atendida, revisada y auditada por personal cualificado, dedicado e instruido en todas las fases de su ciclo de vida: instalación, mantenimiento, gestión de incidencias y desmantelamiento.
Responsable técnico
Estudio de viabilidad Explotación
PROFESIONALE S DE LOS SISTEMAS DE INFORMACIÓN 1.7.5.1
Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15
Página 16 de 72 Autor: OSI
CÓDIGO
TÍTULO
FUNDAMENTO LEGAL
DESCRIPCIÓN
QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)
FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA
FASE EN QUE DEBE SER VÁLIDO
1.7.5.2
Formación
ENS art. 15.2
El personal debe recibir la formación específica necesaria para garantizar la seguridad de las tecnologías de la información aplicables a los sistemas y servicios.
Responsable funcional
Estudio de viabilidad Explotación
Incorporación de clásulas de seguridad en los contratos
LOPD art. 12, 22; RLOPD art. 21 PSI-GV art. 4.7
Se deben incluir las cláusulas de seguridad establecidas por la Conselleria en todos los contratos con proveedores de servicios.
Responsable funcional
Estudio de viabilidad El momento en que tenga vigencia el contrato
DISPONIBILIDAD DE PERSONAL SERVICIOS EXTERNOS REGULACIÓN DE LOS SERVICIOS 1.8.1.1
Se deben tener en cuenta los niveles mínimos de calidad o seguridad que hayan sido determinados por los órganos competentes de la Generalitat para la contratación de empresas, productos o servicios. 1.8.1.2
Deberes y obligaciones
LOPD art. 12, 22
Para el personal contratado a través de un tercero, se deben establecer los deberes y obligaciones de ambas partes y definir el procedimiento de resolución de incidentes relacionados con el incumplimiento de obligaciones.
Responsable funcional
Estudio de viabilidad El momento en que tenga vigencia el contrato
1.8.1.3
Profesionalidad del personal ajeno de seguridad
ENS art. 15.3
Se debe exigir, de manera objetiva y no discriminatoria, que las organizaciones y empresas que prestan servicios de seguridad cuentan con unos niveles idóneos de gestión y madurez en los servicios prestados.
Responsable funcional
Estudio de viabilidad El momento en que tenga vigencia el contrato
1.8.1.4
Acuerdos de nivel de servicio
ENS II.op.ext.1
Previa a la utilización de recursos externos se deben establecer contractualmente los acuerdos de nivel de servicio.
Responsable funcional
1.8.1.5
Control del nivel de servicio y coordinación del trabajo
ENS II.op.ext.2
Para la gestión diaria, se deben establecer mecanismos de control de cumplimiento de nivel de servicio, y de coordinación de tareas e incidencias.
Responsable funcional
Estudio de viabilidad El momento en que tenga vigencia el contrato Estudio de viabilidad El momento en que tenga vigencia el contrato
1.8.1.7
Nombramiento del responsable de seguridad de la empresa
Las empresas de servicios, organizaciones y entidades con acceso a información Responsable situada bajo la responsabilidad de la Generalitat deberán nombrar un funcional responsable de seguridad que actúe como interlocutor válido a los efectos de la coordinación en esa materia.
Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15
Estudio de viabilidad El momento en que tenga vigencia el contrato Página 17 de 72 Autor: OSI
CÓDIGO
TÍTULO
FUNDAMENTO LEGAL
DESCRIPCIÓN
QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)
FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA
Condiciones de acceso de los encargados de tratamiento a los datos
RLOPD art. 79, 82.1, 82.3
El personal del encargado de tratamiento que esté autorizado a acceder a los datos, a los soportes que los contienen o a los sistemas de información que los tratan, bien de forma local o de forma remota, se debe comprometer a implantar y cumplir las medidas de seguridad previstas en el documento de seguridad.
Responsable funcional
Estudio de viabilidad El momento en que tenga vigencia el contrato
1.8.2.2
Condiciones del servicio del encargado de tratamiento en sus propios locales
RLOPD art. 82.2
El encargado de tratamiento que presta sus servicios en locales propios, ajenos a los del responsable de la información, debe disponer de un documento de seguridad en el que ha identificado el fichero o tratamiento y a su responsable. Debe indicar igualmente las medidas de seguridad a implantar en relación con dicho tratamiento.
Responsable de seguridad
Estudio de viabilidad El momento en que tenga vigencia el contrato
1.8.2.3
Indicación en el DS del acceso de los encargados de tratamiento a los datos
RLOPD art. 82.1
En el documento de seguridad debe constar el acceso a los datos por parte de un encargado de tratamiento.
Responsable funcional
Estudio de viabilidad El momento en que tenga vigencia el contrato
1.8.2.4
Subcontratación de los servicios
RLOPD art. 21
El encargado del tratamiento no podrá subcontratar con un tercero la realización de ningún tratamiento que le hubiera encomendado el responsable del tratamiento, salvo que hubiera obtenido de éste autorización para ello. En este caso, la contratación se efectuará siempre en nombre y por cuenta del responsable del tratamiento. No obstante lo dispuesto en el apartado anterior, será posible la subcontratación sin necesidad de autorización siempre y cuando se cumplan los siguientes requisitos: a) Que se especifiquen en el contrato los servicios que puedan ser objeto de subcontratación y, si ello fuera posible, la empresa con la que se vaya a subcontratar. Cuando no se identificase en el contrato la empresa con la que se vaya a subcontratar, será preciso que el encargado del tratamiento comunique al responsable los datos que la identifiquen antes de proceder a la subcontratación. b) Que el tratamiento de datos de carácter personal por parte del subcontratista se ajuste a las instrucciones del responsable del fichero. c) Que el encargado del tratamiento y la empresa subcontratista formalicen el contrato, en los términos previstos en el artículo anterior. En este caso, el subcontratista será considerado encargado del tratamiento. Si durante la prestación del servicio resultase necesario subcontratar una parte
Responsable funcional
Estudio de viabilidad El momento en que tenga vigencia el contrato
ENCARGADOS DE TRATAMIENTO DE DATOS 1.8.2.1
Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15
FASE EN QUE DEBE SER VÁLIDO
Página 18 de 72 Autor: OSI
CÓDIGO
TÍTULO
FUNDAMENTO LEGAL
DESCRIPCIÓN
QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)
FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA
FASE EN QUE DEBE SER VÁLIDO
del mismo y dicha circunstancia no hubiera sido prevista en el contrato, deberán someterse al responsable del tratamiento los extremos señalados en el apartado anterior.
1.8.2.5
Ejercicio de derechos ante un encargado
RLOPD art. 26
Cuando los afectados ejercitasen sus derechos ante un encargado del Responsable funcional tratamiento y solicitasen el ejercicio de su derecho ante el mismo, el encargado deberá dar traslado de la solicitud al responsable, a fin de que por el mismo se resuelva, a menos que en la relación existente con el responsable del tratamiento se prevea precisamente que el encargado atenderá, por cuenta del responsable, las solicitudes de ejercicio por los afectados de sus derechos de acceso, rectificación, cancelación u oposición.
Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15
Estudio de viabilidad El momento en que tenga vigencia el contrato
Página 19 de 72 Autor: OSI
CÓDIGO
TÍTULO
FUNDAMENTO LEGAL
DESCRIPCIÓN
1.8.2.6
Conservación de los datos por el encargado del tratamiento
RLOPD art. 22
Responsable Una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al responsable del tratamiento o al encargado funcional que éste hubiese designado, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento. No procederá la destrucción de los datos cuando exista una previsión legal que exija su conservación (véase anexo I), en cuyo caso deberá procederse a la devolución de los mismos garantizando el responsable del fichero dicha conservación. El encargado del tratamiento conservará, debidamente bloqueados, los datos en tanto pudieran derivarse responsabilidades de su relación con el responsable del tratamiento.
Estudio de viabilidad El momento en que tenga vigencia el contrato
Prestación de servicios sin acceso a datos
RLOPD art. 83
Se deben adoptar las medidas adecuadas para limitar el acceso del personal a datos personales, a los soportes que los contengan o a los recursos del sistema de información, para la realización de trabajos que no impliquen el tratamiento de datos personales.
Responsable funcional
Análisis
Cláusulas de contratos de servicios que no requieren acceso a datos
RLOPD art. 83 PSI-GV art. 10
Se debe recoger expresamente en el contrato de prestación de servicios que no requieren el acceso a datos, la prohibición de acceder a los datos personales y la obligación de secreto respecto a los datos que el personal hubiera podido conocer con motivo de la prestación del servicio.
Responsable funcional
Estudio de viabilidad Análisis
TERCEROS SIN ACCESO A DATOS 1.8.3.1
1.8.3.2
QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)
FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA
FASE EN QUE DEBE SER VÁLIDO
Explotación
COMUNICACIÓN DE DATOS ENTRE AAPP
Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15
Página 20 de 72 Autor: OSI
CÓDIGO
TÍTULO
FUNDAMENTO LEGAL
DESCRIPCIÓN
QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)
1.8.4.1
Legitimidad de la comunicación
LOPD art. 21.1-2
Responsable Los datos de carácter personal recogidos o elaborados por las Administraciones funcional Públicas para el desempeño de sus atribuciones no serán comunicados a otras Administraciones Públicas para el ejercicio de competencias diferentes o de competencias que versen sobre materias distintas, salvo cuando la comunicación tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos.
FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA
FASE EN QUE DEBE SER VÁLIDO
Estudio de viabilidad Explotación
Podrán, en todo caso, ser objeto de comunicación los datos de carácter personal que una Administración Pública obtenga o elabore con destino a otra.
AUTOEVALUACI ONES PERIODICIDAD 1.9.1.1
1.9.1.2
Informe anual sobre el estado de la seguridad
Auditoría bienal o ante cambios importantes
RLOPD art.96.1, 110 ENS art. 34.1
Los responsables de seguridad de la información elaborarán un informe anual sobre el estado de la seguridad, los riesgos previsibles y los planes de actuación recomendados. Estos informes se elevarán a los responsables de la información y, en su caso, a los responsables de tratamiento, quienes fijarán el nivel de riesgo aceptable y ordenarán las actuaciones oportunas. La reducción de los niveles de riesgo se realizará mediante la aplicación de controles. La selección y aplicación de los controles ponderarán el valor de los activos con los niveles de riesgo y el coste de la seguridad. Los controles deberán ser eficaces antes, durante o después de que ocurra un incidente de seguridad.
Responsable de seguridad
Análisis
Mantenimiento
Se debe realizar una auditoría de los sistemas de información y de las instalaciones al menos cada dos años; o siempre que se modifique sustancialmente el sistema de información de forma que pueda repercutir en el cumplimiento de las medidas de seguridad implantadas.
Responsable de seguridad
Análisis
Mantenimiento
CONTENIDO DE LA AUDITORIA
Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15
Página 21 de 72 Autor: OSI
CÓDIGO
TÍTULO
FUNDAMENTO LEGAL
DESCRIPCIÓN
QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)
FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA
FASE EN QUE DEBE SER VÁLIDO
1.9.2.1
Mínima autoevaluación
ENS III.2
Los sistemas de información de categoría BÁSICA, o inferior, no necesitarán realizar una auditoría. Bastará una autoevaluación realizada por el mismo personal que administra el sistema de información, o en quien éste delegue. El resultado de la autoevaluación debe estar documentado, indicando si cada medida de seguridad está implantada y sujeta a revisión regular y las evidencias que sustentan la valoración anterior. Los informes de autoevaluación serán analizados por el responsable de seguridad competente, que elevará las conclusiones al responsable del sistema para que adopte las medidas correctoras adecuadas.
Responsable de seguridad
Análisis
Mantenimiento
1.9.2.2
Metodología de auditoría
RLOPD art.96.2 ENS art. 34.4; III.1
El informe de auditoria se debe basar en la evidencia de los datos, hechos y observaciones, atendiendo a: a) Documentación de los procedimientos. b) Registro de incidencias. c) Examen del personal afectado: conocimiento y praxis de las medidas que le afectan.
Responsable de seguridad
Análisis
Mantenimiento
En la realización de esta auditoría se deben utilizar los criterios, métodos de trabajo y de conducta generalmente reconocidos, así como la normalización nacional e internacional aplicables a este tipo de auditorías de sistemas de información.
Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15
Página 22 de 72 Autor: OSI
CÓDIGO
TÍTULO
FUNDAMENTO LEGAL
DESCRIPCIÓN
QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)
FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA
FASE EN QUE DEBE SER VÁLIDO
1.9.2.3
Objeto de la auditoría
ENS III.1 PSI-GV art. 6
La seguridad de los sistemas de información de una organización será auditada en los siguientes términos: a) Que la política de seguridad define los roles y funciones de los responsables de la información, los servicios, los activos y la seguridad del sistema de información. b) Que existen procedimientos para resolución de conflictos entre dichos responsables. c) Que se han designado personas para dichos roles a la luz del principio de «separación de funciones». d) Que se ha realizado un análisis de riesgos, con revisión y aprobación anual. e) Que se cumplen los controles o medidas de seguridad, en función de las condiciones de aplicación en cada caso. f) Que existe un sistema de gestión de la seguridad de la información, documentado y con un proceso regular de aprobación por la dirección.
Responsable de seguridad
Análisis
Mantenimiento
1.9.2.4
Contenido del informe de auditoría
RLOPD art.96.2 ENS art. 5; III.2
El informe de auditoría debe dictaminar sobre el grado de cumplimiento, debe identificar sus deficiencias y sugerir las posibles medidas correctoras o complementarias necesarias, así como las recomendaciones que se consideren oportunas.
Responsable de seguridad
Análisis
Mantenimiento
Igualmente, debe incluir los criterios metodológicos de auditoría utilizados, el alcance y el objetivo de la auditoría, y los datos, hechos y observaciones en que se basen las conclusiones formuladas. 1.9.2.5
Elevación de los resultados de la auditoría
RLOPD art.96.3 ENS art. 34.6
El responsable de seguridad debe elevar las conclusiones del informe al responsable del fichero o tratamiento.
Responsable de seguridad
Análisis
Mantenimiento
1.9.2.6
Acciones correctoras
PSI-GV art. 7 ORSI-CS art. 8
Se deben llevar a cabo, en un plazo razonable, las acciones necesarias para corregir las deficiencias encontradas como resultado de la auditoría.
Responsable de seguridad
Análisis
Mantenimiento
Proceso de mejora continua
ENS art. 26 PSI-GV art. 3.3
El proceso integral de seguridad implantado se debe actualizar y mejorar de forma continua. Para ello, se debe aplicar los criterios y métodos reconocidos en la práctica nacional e internacional relativos a gestión de las tecnologías de la información.
Responsable de seguridad
Estructural
Estructural
MEJORA CONTINUA 1.9.3.1
Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15
Página 23 de 72 Autor: OSI
CÓDIGO
TÍTULO
FUNDAMENTO LEGAL
DESCRIPCIÓN
QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)
FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA
FASE EN QUE DEBE SER VÁLIDO
Contenidos mínimos del análisis de riesgos para cualquier sistema
ENS II.op.pl.1
Se debe realizar un análisis que describa los siguientes contenidos: a) Identificación de los activos más valiosos del sistema. b) Identificación de las amenazas más probables. c) Identificación de las salvaguardas que protegen de dichas amenazas. d) Identificación de los principales riesgos residuales.
Responsable de seguridad
Estudio de viabilidad Análisis
Contenidos mínimos del análisis de riesgos de un sistema de categoría media
ENS II.op.pl.1
Además del punto anterior, se debe el análisis realizar usando un lenguaje específico, con un catálogo básico de amenazas y una semántica definida. Adicionalmente, el análisis debe contemplar los siguientes contenidos: e) Valoración de los activos más valiosos del sistema. f) Cuantificación de las amenazas más probables. g) Valoración de las salvaguardas que protegen de dichas amenazas. h) Valoración de los principales riesgos residuales.
Responsable de seguridad
Estudio de viabilidad Análisis
Asunción de la gestión de ENS art. 13.1-2 riesgos PSI-GV art. 4
Se debe haber asumido la propia gestión de riesgos, la cual se debe realizar por Responsable medio de un análisis y tratamiento de los riesgos a los que esté expuesto el de seguridad sistema mediante alguna metodología reconocida internacionalmente (en nuestro caso: MAGERIT) asistida mediante alguna herramienta (en nuestro caso: PILAR).
Estudio de viabilidad Análisis
Equilibrio entre medidas y riesgos
Las medidas adoptadas para mitigar o suprimir los riesgos deberán estar justificadas y, en todo caso, deberá existir una proporcionalidad entre ellas y los riesgos.
Estudio de viabilidad Análisis
TÉCNICOS ANÁLISIS Y GESTIÓN DE RIESGOS ANÁLISIS DE RIESGOS 2.1.1.1
2.1.1.2
GESTIÓN DE RIESGOS 2.1.2.1
2.1.2.2
ENS art. 13.3 PSI-GV art. 4.3
Responsable de seguridad
CONTROL DE ACCESOS IDENTIFICACIÓN , AUTENTICACIÓ NY Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15
Página 24 de 72 Autor: OSI
CÓDIGO
TÍTULO
FUNDAMENTO LEGAL
DESCRIPCIÓN
QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)
FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA
FASE EN QUE DEBE SER VÁLIDO
AUTORIZACIÓN
2.2.1.1
Prohibición de acceso sin RLOPD art. 113.1 autorización expresa ENS II.op.acc.0
Se debe prohibir cualquier acceso que no tenga concesión expresa.
Responsable de accesos
Análisis
Implantación
2.2.1.2
Singularidad de la identificación
RLOPD art.93.2 ENS art.14.4; II.op.acc.1 RTMS art.6.1
La entidad, usuario o proceso que accede al sistema debe identificarse personal y singularmente, de tal forma que sea posible saber, por una parte, a quién y qué derechos derechos de acceso se otorgan y, por otra parte, quién ha hecho algo y qué ha hecho.
Responsable de accesos
Análisis
Implantación
2.2.1.3
Suficiencia de la identificación
RLOPD art.93.1 ENS II.op.acc.5
La identidad de la entidad, usuario o proceso que accede debe quedar suficientemente autentificada. Los usuarios deben estar inequívocamente identificados.
Responsable de accesos
Análisis
Implantación
2.2.1.4
Mecanismos de limitación RLOPD art.91.3, de acceso no autorizado 93.2 ENS art. 14.4, II.op.acc.1,2
Debe establecerse mecanismos o procedimientos que verifique que todo aquel usuario, entidad o proceso que intente acceder al sistema de información o a sus recursos se encuentre adecuadamente autorizado, y que impida su acceso cuando no la tenga.
Responsable de accesos
Análisis
Implantación
2.2.1.5
Mecanismos de limitación RLOPD art.98 de accesos reiterados ENS II.op.acc.6
Debe existir un mecanismo que limite la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de información. Se debe bloquear la oportunidad de acceso una vez efectuados un cierto número de fallos consecutivos.
Responsable de accesos
Análisis
Implantación
2.2.1.6
Segregación de funciones
ENS II.op.acc.3 PSI-GV art. 6
Deben ser diferentes las personas que autorizan el acceso, las que acceden, y las que controlan el acceso a la información y el uso que se hace de ella.
Responsable de seguridad
Estructural
Estructural
2.2.1.7
Identificación en diferentes dominos de seguridad
ENS II.op.ext
Cuando se interconecten diferentes sistemas, deberán existir acuerdos de colaboración que delimiten los mecanismos y procedimientos para la atribución y ejercicio efectivos de las responsabilidades de cada sistema. En concreto, estos acuerdos deben realizarse cuando la identificación, autenticación y autorización de usuarios tengan lugar en diferentes dominios de seguridad, bajo distintas responsabilidades, en donde existan medidas de seguridad locales (por ejemplo, sobre acceso y uso).
Responsable de seguridad
Análisis
Implantación
Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15
Página 25 de 72 Autor: OSI
CÓDIGO
TÍTULO
FUNDAMENTO LEGAL
DESCRIPCIÓN
QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)
FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA
FASE EN QUE DEBE SER VÁLIDO
2.2.1.8
Inhabilitación de cuentas
ENS II.op.acc.1
Las cuentas deben ser inhabilitadas en los siguientes casos: cuando el usuario deja la organización; cuando el usuario cesa en la función para la cual se requería la cuenta de usuario; o cuando la persona que la autorizó da orden en sentido contrario.
Responsable de accesos
Análisis
Explotación
2.2.1.9
Detección de cuentas sin uso
RTMS art.6.3
El sistema o aplicación debe detectar aquellos códigos de usuario que no han sido utilizados en el plazo máximo de tres meses para así proceder a su eventual eliminación.
Responsable de accesos
Análisis
Explotación
2.2.1.10
Período de retención de cuentas
ENS II.op.acc.1
Se debe definir un período de retención de las cuentas suficiente para atender a las necesidades de trazabilidad de los registros de acceso y actividad asociados a las mismas.
Responsable de accesos
Análisis
Explotación
Mecanismos de autenticación
Ens II.op.acc.5
Los mecanismos de autenticación (clave concertada, token o biometría) deben adecuarse a la categoría del sistema, del siguiente modo: (i) Para sistemas de CATEGORÍA BÁSICA: Se admiten claves concertadas, tokens e identificadores biométricos. (ii) Para sistemas de CATEGORÍA MEDIA: Se deben usar tokens o identificadores biométricos. En el caso de emplear claves concertadas, éstas deben ser administradas con cautela. (iii) Para sistemas de CATEGORÍA ALTA: Únicamente deben utilizarse tokens criptográficos o identificadores biométricos con doble factor; en ningún caso claves concertadas.
Responsable de seguridad
Estudio de viabilidad Análisis
2.2.2.2
Recepción del autenticador
ENS II.op.acc.5
El usuario debe firmar el documento de recepción del autenticador en el momento que se le entregue. En el documento de recepción, el usuario debe reconocer que conoce y acepta las obligaciones que implica la tenencia del autenticador, en particular el deber de custodia diligente, protección de su confidencialidad e información inmediata en caso de pérdida.
Responsable de accesos
Análisis
Explotación
2.2.2.3
Activación del autenticador posterior a la recepción
ENS II.op.acc.5
Los autenticadores deben activarse exclusivamente una vez estén bajo el control de los usuarios.
Responsable de accesos
Análisis
Explotación
AUTENTICADOR ES 2.2.2.1
Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15
Página 26 de 72 Autor: OSI
CÓDIGO
TÍTULO
FUNDAMENTO LEGAL
DESCRIPCIÓN
QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)
FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA
FASE EN QUE DEBE SER VÁLIDO
2.2.2.4
Caducidad y renovación de autenticadores
ENS II.op.acc.5
Los autenticadores se deben cambiar con una periodicidad marcada por la política de la organización, la cual deberá distinguir la categoría del sistema al que se accede.
Responsable de accesos
Análisis
Explotación
2.2.2.5
Retiro y deshabilitación de autenticadores
ENS II.op.acc.5
Se debe retirar y deshabilitar los autenticadores cuando la entidad (persona, equipo o proceso) que autentican termina su relación con el sistema.
Responsable de accesos
Análisis
Explotación
Necesidad de la contraseña
RTMS art.4.1
Cuando el autenticador sea la contraseña, ésta deberá introducirse o teclearse Responsable necesariamente para el uso del sistema o aplicación, sin perjuicio de la utilización funcional de otros mecanismos adicionales de autenticación que incrementen el nivel de seguridad de la aplicación.
Análisis
Explotación
2.2.3.3
Caducidad de contraseñas
RLOPD art.93.4 ENS II.op.acc.5
Se debe garantizar que las contraseñas son cambiadas como máximo en un año. Responsable Cuanto mayor sea la categoría del sistema, mayor debe ser la frecuencia de funcional cambio.
Análisis
Explotación
2.2.3.4
Aviso de caducidad de claves
RTMS art.6.4
En aquellas aplicaciones en que el usuario pueda cambiar libremente su contraseña, el sistema debe avisar de aquellas claves de acceso que se encuentren vencidas.
Responsable funcional
Análisis
Explotación
2.2.3.5
Protección de las contraseñas (i)
RLOPD art.93.3-4 Se deben asignar, distribuir y almacenar las contraseñas mediante un RTMS art.7.2 procedimiento que garantice su confidencialidad e integridad. Mientras estén vigentes, se deben almacenar de forma ininteligible (mediante algoritmos de cifrado).
Responsable funcional
Análisis
Explotación
2.2.3.6
Protección de las contraseñas (ii)
RTMS art.7.2
El sistema o aplicación no debe contener el algoritmo de descifrado de las contraseñas.
Responsable funcional
Análisis
Explotación
2.2.3.7
Protección de las contraseñas (iii)
RTMS art.7.2
Los archivos donde se guardan las contraseñas deben ser distintos de los que contienen datos.
Responsable funcional
Análisis
Explotación
2.2.3.8
Ocultación de contraseña RTMS art.7.1
El sistema o aplicación no debe mostrar la contraseña cuando se está tecleando .
Responsable funcional
Análisis
Explotación
CONTRASEÑAS 2.2.3.2
Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15
Página 27 de 72 Autor: OSI
CÓDIGO
TÍTULO
FUNDAMENTO LEGAL
DESCRIPCIÓN
QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)
FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA
FASE EN QUE DEBE SER VÁLIDO
2.2.3.9
Calidad de las contraseñas
ENS II.op.acc.5 RTMS art.7.3
Cuando se permita al usuario elegir su propia contraseña, se deben realizar los siguientes controles: a) Las contraseñas deben poseer una longitud mínima de ocho caracteres así como la inclusión del algún tipo de carácter distinto del alfabético. b) Los usuarios deben cambiar sus contraseñas cada tres meses como máximo. c) La contraseña proporcionada inicialmente al usuario debe ser provisional. En la primera conexión, el usuario debe cambiarla. d) Debe impedirse la repetición de contraseñas. En todo caso, los criterios de calidad serán más exigentes cuanto mayor sea la categoría del sistema.
Responsable funcional
Análisis
Explotación
2.2.3.10
Protección de claves criptográficas (i)
ENS II.op.exp.11
Las claves criptográficas deben ser protegidas durante todas las etapas de su ciclo de vida: (1) Generación: Los medios de generación estarán aislados de los medios de explotación. (2) Transporte al punto de explotación, (3) Custodia durante la explotación, (4) Archivo posterior a su retirada de explotación activa: Las claves retiradas de operación que deban ser archivadas, deben serlo en medios aislados de los de explotación. (5) Destrucción final.
Responsable funcional
Análisis
Explotación
2.2.3.11
Protección de claves criptográficas (ii)
ENS II.op.exp.11
Deben usarse programas evaluados o dispositivos criptográficos certificados. Asimismo, deben emplearse algoritmos acreditados por el Centro Criptológico Nacional.
Responsable funcional
Análisis
Explotación
Limitación de los derechos de acceso
ENS II.op.acc.4 PSI-GV art. 8.1, 12
Los derechos de acceso de usuario deben limitarse atendiendo a los principios de mínimo privilegio, necesidad de conocer y capacidad de autorizar.
Responsable de accesos
Análisis
Explotación
GESTIÓN DE LOS DERECHOS DE ACCESO 2.2.4.1
Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15
Página 28 de 72 Autor: OSI
CÓDIGO
TÍTULO
FUNDAMENTO LEGAL
DESCRIPCIÓN
QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)
FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA
FASE EN QUE DEBE SER VÁLIDO
2.2.4.2
Adecuación del acceso a las funciones del usuario
RLOPD art.91.1 ENS art. 16; II.op.acc.2 PSI-GV art. 8.1 OFI art. 16.1
Los usuarios únicamente deben acceder a aquellos recursos, documentos o sistemas a los que han sido autorizados, de acuerdo al desarrollo de sus funciones.
Responsable de accesos
Análisis
Explotación
2.2.4.3
Existencia del RIE (Registro de Identidades Electrónicas)
RLOPD art.91.2 RTMS art. 36.1-4
Debe existir una relación actualizada de usuarios y perfiles de usuarios, y de los accesos autorizados para cada uno de ellos: Registro de Identidades Electrónicas RIE (o Registro de códigos de usuario). Este registro debe contener el historial de códigos y ser mantenido por el responsable de seguridad.
Responsable de seguridad
Estructural
Estructural
2.2.4.4
Actualización del RIE
RTMS art. 36.2
Cualquier alta o modificación de los derechos de acceso de un usuario debe actualizarse en el Registro de Identidades Electrónicas.
Responsable de accesos
Análisis
Explotación
2.2.4.5
Iniciativa de la actualización del RIE
RMTS art. 36.3.a; art. 40.1
Es el responsable de la aplicación (funcional) el que transmite al responsable de seguridad las altas, bajas y modificaciones para que se guarden en el Registro de códigos y se lleven a cabo.
Responsable funcional
Análisis
Explotación
2.2.4.6
Validación de los usuarios
RTMS art. 36.3.c, 36.5
El responsable de aplicación colabora con el responsable de seguridad en la validación de los usuarios de la aplicación definidos así como sus niveles de acceso. Con una periodicidad trimestral, el responsable de seguridad somete a revisión exhaustiva todos los permisos con privilegios existentes en la aplicación.
Responsable funcional
Análisis
Mantenimiento
2.2.4.7
Definición del personal que autorice los accesos
RLOPD art.91.4 ENS II.op.acc.2 PSI-GV art. 8.2
Sólo el personal autorizado en el DS como responsable de accesos debe poder conceder, alterar o anular el acceso autorizado sobre los recursos, conforme a los criterios o normas establecidos por el responsable del fichero.
Responsable de seguridad
Análisis
Explotación
2.2.4.8
Segregación de funciones y tareas del control de acceso (i)
ENS II.op.acc.3
El sistema de control de acceso debe organizarse de forma que se exija la concurrencia de dos o más personas para realizar tareas críticas, anulando la posibilidad de que un solo individuo autorizado pueda abusar de sus derechos para cometer alguna acción ilícita.
Responsable de seguridad
Estructural
Estructural
2.2.4.9
Segregación de funciones y tareas del control de acceso (ii)
ENS II.op.acc.3
En el control de acceso, se deben separar al menos las siguientes funciones: Desarrollo de operación; Configuración y mantenimiento del sistema de operación; y Auditoría o supervisión de cualquier otra función.
Responsable de seguridad
Estructural
Estructural
Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15
Página 29 de 72 Autor: OSI
CÓDIGO
TÍTULO
FUNDAMENTO LEGAL
DESCRIPCIÓN
QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)
FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA
FASE EN QUE DEBE SER VÁLIDO
2.2.4.10
Control del acceso a la configuración del sistema
ENS II.op.acc.2
Se debe limitar y controlar el acceso a los componentes del sistema y a sus ficheros o registros de configuración.
Responsable de accesos
Análisis
Implantación
2.2.4.11
Medidas de acceso del personal ajeno
RLOPD art.91.5
El personal ajeno a la organización, cuando lo haya, debe acceder a los recursos en las mismas condiciones y obligaciones de seguridad que el personal propio.
Responsable de accesos
Estructural
Estructural
2.2.4.12
Acceso al área de servidores y equipos informáticos del CPD
RLOPD art.99
Exclusivamente el personal autorizado en el DS debe tener acceso a los lugares e instalaciones donde se hallen instalados los equipos físicos que den soporte a los sistemas de información.
Responsable de accesos
Estructural
Estructural
RLOPD art. 103, 113 ENS art. 14.4, 23, II.op.acc.6 PSI-GV art. 9
Se deben registrar los accesos con éxito y los fallidos en entornos locales (accesos realizados desde puestos de trabajo dentro de las propias instalaciones de la organización). Asimismo, se deben registrar las actividades de los usuarios, de forma que se retenga la información necesaria para monitorizar, analizar, investigar y documentar actividades indebidas o no autorizadas, y los fallos accidentales o deliberados, permitiendo identificar en cada momento quién ha realizado determinada actividad.
Responsable de seguridad
Estructural
Estructural
RLOPD art.103.1- El RACAT debe guardar, como mínimo, para cada intento de acceso: 2 a) la identificación del usuario, RTMS art. 16 b) la fecha y hora en que se realizó, c) el fichero accedido, el tipo de acceso y d) si ha sido autorizado o denegado. En el caso de que el acceso haya sido autorizado, debe guardarse la información que permita identificar el registro accedido, fecha, hora y tipo de proceso.
Responsable de seguridad
Estructural
Estructural
MONITORIZACIÓ N TRAZABILIDAD 2.2.6.1 Creación del Registro de Accesos y de Actividad para la Trazabilidad RACAT
2.2.6.2
Contenido del RACAT (i)
CONTROL DE ACCESOS LOCALES
Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15
Página 30 de 72 Autor: OSI
CÓDIGO
TÍTULO
FUNDAMENTO LEGAL
DESCRIPCIÓN
QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)
FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA
FASE EN QUE DEBE SER VÁLIDO
2.2.7.1
Información suministrada antes del acceso
ENS II.op.acc.6
Se debe prevenir ataques que puedan revelar información del sistema sin llegar a acceder al mismo. Asimismo, la información revelada a quien intenta acceder, debe ser la mínima imprescindible (los diálogos de acceso deben proporcionar solamente la información indispensable).
Responsable funcional
Análisis
Explotación
2.2.7.2
Información al usuario en ENS II.op.acc.6 el momento del acceso (i)
El sistema debe informar al usuario de sus obligaciones inmediatamente después Responsable de obtener el acceso. funcional
Análisis
Explotación
2.2.7.3
Información al usuario en el momento del acceso (ii)
Se debe informar al usuario del último acceso efectuado con su identidad.
Responsable funcional
Análisis
Explotación
2.2.7.5
Revisión del registro de acceso
Cada intento de acceso deberá quedar registrado con el suficiente nivel de detalle. Los responsables de los accesos revisarán e informarán estos registros.
Responsable de accesos
Análisis
Explotación
CONTROL DE ACCESOS REMOTOS 2.2.8.1
2.2.8.2
GESTIÓN DE INCIDENCIAS 2.3.1.1 2.3.1.2
ENS II.op.acc.6
Protección de accesos remotos
ENS II.op.acc.7
En los accesos desde equipos externos a la organización deben protegerse tanto el acceso en sí mismo (de la misma forma que los accesos locales), como el canal de acceso remoto.
Responsable funcional
Análisis
Explotación
Política de uso de accesos remotos
ENS II.op.acc.7
Debe establecerse y aprobarse una Política de Uso de los Accesos Remotos. Se debe requerir una autorización positiva para estos accesos.
Responsable de seguridad
Estructural
Estructural
Existencia de gestión de las incidencias
RLOPD art.90
Debe existir un procedimiento de notificación (atención a usuarios) y gestión de las incidencias.
Responsable de seguridad
Estructural
Estructural
Contenido del Registro de Incidencias RIN
RLOPD art.90 ENS art. 24.2 RTMS art. 38.1
Debe existir un Registro de incidencias RIN en el que conste: el tipo de incidencia, el momento en que se ha producido, o en su caso, detectado, la persona que realiza la notificación, a quién se le comunica, los efectos que se hubieran derivado de la misma y las medidas correctoras aplicadas.
Responsable de seguridad
Estructural
Estructural
Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15
Página 31 de 72 Autor: OSI
CÓDIGO
TÍTULO
FUNDAMENTO LEGAL
DESCRIPCIÓN
QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)
FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA
FASE EN QUE DEBE SER VÁLIDO
2.3.1.3
Contenido adicional del RIN para sistemas de categoría media
ENS II.op.exp.9.a-b
El RIN debe guardar el reporte inicial, las actuaciones de emergencia y las modificaciones del sistema derivadas del incidente. Asimismo, debe registrar aquella evidencia que pueda, posteriormente, sustentar una demanda judicial, o hacer frente a ella, cuando el incidente pueda llevar a actuaciones disciplinarias sobre el personal interno, sobre proveedores externos o a la persecución de delitos. En la determinación de la composición y detalle de estas evidencias, se debe recurrir a asesoramiento legal especializado.
Responsable de seguridad
Estructural
Estructural
2.3.1.4
Responsabilidad de la gestión de incidencias
RTMS art. 38.3
El responsable de seguridad debe mantener actualizado el RIN y notificar estas incidencias de seguridad a la autoridad autentificadora.
Responsable de seguridad
Estructural
Estructural
2.3.1.5
Periodicidad de revisión de incidencias
RTMS art.39.1
Mensualmente el responsable de seguridad debe analizar las incidencias.
Responsable de seguridad
Estructural
Estructural
2.3.1.6
Resultados del análisis
ENS II.op.exp.9.c RTMS art.39.1
El responsable de seguridad debe transmitir este análisis de incidencias al responsable del sistema o aplicación o, en su caso, a la autoridad de autentificación de las incidencias que le correspondan. Como consecuencia del análisis de las incidencias, se debe revisar la determinación de los eventos auditables.
Responsable de seguridad
Estructural
Estructural
2.3.1.7
Periodicidad de revisión de los resultados
RTMS art.39.2
La autoridad de autentificación debe revisar este análisis al menos trimestralmente.
Responsable funcional
Estructural
Estructural
2.3.1.8
Utilidad del registro de incidencias
ENS art. 24.2
Los registros de las incidencias de seguridad detectadas deben emplearse para la mejora continua de la seguridad del sistema.
Responsable de seguridad
Estructural
Estructural
2.3.1.9
Registro de las recuperaciones de datos
RLOPD art.100.1
Cuando se realiza alguna recuperación de los datos, debe indicarse en el RIN la persona que ejecutó el proceso, los datos restaurados y, en su caso, qué datos ha sido necesario grabar manualmente en el proceso de recuperación.
Responsable de accesos
Análisis
Mantenimiento
Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15
Página 32 de 72 Autor: OSI
CÓDIGO
TÍTULO
FUNDAMENTO LEGAL
DESCRIPCIÓN
QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)
FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA
FASE EN QUE DEBE SER VÁLIDO
2.3.1.10
Proceso integral de gestión de incidencias
ENS II.op.exp.7
Debe disponerse de un proceso integral para hacer frente a los incidentes que puedan tener un impacto en la seguridad del sistema, incluyendo: a) Procedimiento de reporte de incidentes reales o sospechosos, detallando el escalado de la notificación. b) Procedimiento de toma de medidas urgentes, incluyendo la detención de servicios, el aislamiento del sistema afectado, la recogida de evidencias y protección de los registros, según convenga al caso. c) Procedimiento de asignación de recursos para investigar las causas, analizar las consecuencias y resolver el incidente. d) Procedimientos para informar a las partes interesadas, internas y externas. e) Procedimientos para: (1) Prevenir que se repita el incidente; (2) Incluir en los procedimientos de usuario la identificación y forma de tratar el incidente; y (3) Actualizar, extender, mejorar u optimizar los procedimientos de resolución de incidencias.
Responsable de seguridad
Estructural
Estructural
2.4.1.1
Garantía de continuidad
ENS art. 25
El sistema debe disponer los mecanismos necesarios para garantizar la continuidad de las operaciones, en caso de pérdida de los medios habituales de trabajo.
Responsable funcional
Estudio de viabilidad Explotación
2.4.1.8
Accesibilidad del Plan de Continuidad
RTMS art. 45.1
Cada usuario debe disponer de una copia del Plan de Continuidad, en aquellos aspectos que le afecten, en un lugar accesible.
Responsable funcional
Análisis
Idoneidad de la tecnología
OFI art. 14.2, 18.5 La tecnología utilizada debe garantizar la autenticidad, confidencialidad, integridad, disponibilidad y conservación de la información. Asimismo, debe salvaguardar la información a través de la evolución tecnológica.
Responsable funcional
Estudio de viabilidad Análisis
DISPONIBILIDAD , CONTINUIDAD E INTEGRIDAD DEL SISTEMA CONTINUIDAD DEL SERVICIO
INTEGRIDAD FÍSICA DEL NEGOCIO 2.4.2.1
Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15
Explotación
Página 33 de 72 Autor: OSI
CÓDIGO
TÍTULO
FUNDAMENTO LEGAL
DESCRIPCIÓN
QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)
FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA
2.4.2.2
Tolerancia a fallos (i)
RTMS art. 12
Los sistemas o aplicaciones que ejecutan transacciones o procesos donde se producen múltiples actualizaciones de datos, y que se encuentran relacionados entre sí, deben poseer herramientas o mecanismos que aseguran la integridad de estos datos relacionados en el caso de que se produzca un fallo de proceso y no se pueda completar la transacción.
Responsable funcional
Estudio de viabilidad Análisis
2.4.2.3
Tolerancia a fallos (ii)
RTMS art. 15.2
Los sistemas y equipos que soportan procesos especialmente críticos deben ser equipos de alta disponibilidad y poseer mecanismos tolerantes a fallos.
Responsable funcional
Estudio de viabilidad Análisis
2.4.2.4
Cifrado en el almacenamiento de la información
RTMS art. 13
El sistema o aplicación debe cifrar sobre el soporte de almacenamiento la información confidencial o altamente sensible (como, por ejemplo, datos de salud) en los casos en que no está suficientemente protegida mediante el control de accesos.
Responsable funcional
Análisis
Explotación
2.4.2.5
Garantía de suministro eléctrico y luces de emergencia
ENS II.mp.if.4
Los locales donde se ubiquen los sistemas de información y sus componentes deben disponer de la energía eléctrica, y sus tomas correspondientes, necesaria para su funcionamiento, de forma que en los mismos: a) Se garantizará el suministro de potencia eléctrica. b) Se garantizará el correcto funcionamiento de las luces de emergencia.
Responsable técnico
Análisis
Implantación
2.4.2.6
Sistemas de Alimentación Ininterrumpida
ENS mp.if.4 RTMS art. 15.1
Los sistemas y equipos deben estar protegidos contra fallos de suministro eléctrico mediante sistemas de alimentación ininterrumpida para evitar alteración o pérdida de datos o documentos administrativos en casos de interrupción accidental. En todo caso, debe garantizarse el tiempo suficiente para una terminación ordenada de los procesos, salvaguardando la información.
Responsable técnico
Análisis
Implantación
2.4.2.7
Cumplimiento de especificaciones técnicas
ENS II.op.exp.4.a PSI-GV art. 11.3 RTMS art. 15.3
Los sistemas y equipos deben mantenerse de acuerdo con las especificaciones de los suministradores de servicio, en cuanto a instalación y mantenimiento.
Responsable técnico
Análisis
Implantación
Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15
FASE EN QUE DEBE SER VÁLIDO
Página 34 de 72 Autor: OSI
CÓDIGO
TÍTULO
FUNDAMENTO LEGAL
DESCRIPCIÓN
QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)
FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA
FASE EN QUE DEBE SER VÁLIDO
2.4.2.8
Actualizaciones y parcheado
ENS II.op.exp.4.b-c
Para mantener el equipamiento físico y lógico que constituye el sistema, se debe efectuar un seguimiento continuo de los anuncios de defectos. Al mismo tiempo, se debe disponer de un procedimiento para analizar, priorizar y determinar cuándo aplicar las actualizaciones de seguridad, parches, mejoras y nuevas versiones. La priorización tendrá en cuenta la variación del riesgo en función de la aplicación o no de la actualización.
Responsable técnico
Análisis
Mantenimiento
2.4.2.9
Información sobre el estado de los sistemas
ENS art. 20.2
Se conoce en todo momento el estado de seguridad de los sistemas, en relación a las especificaciones de los fabricantes, a las vulnerabilidades y a las actualizaciones que les afecten.
Responsable técnico
Análisis
Explotación
2.4.2.10
Contrato de mantenimiento
RTMS art. 15.4
Debe existir un contrato de mantenimiento en vigor de los sistemas y equipos cuyo fallo pueda ocasionar como consecuencia una anulación o reducción significativa de la capacidad de la organización de atender a sus funciones.
Responsable técnico
Análisis
Implantación
2.4.2.11
Procedimiento de autorización de instalaciones
ENS art. 20.1
El responsable de seguridad debe autorizar previamente la instalación de elementos físicos.
Responsable de seguridad
Estructural
Estructural
2.4.2.12
Registro de entrada y salida de equipamiento
ENS art. II.mp.if.7
Se debe llevar un registro pormenorizado de toda entrada y salida de equipamiento, incluyendo la identificación de la persona que autoriza de movimiento.
Responsable técnico
Estructural
Estructural
2.4.2.13
Equipamiento en áreas separadas
PSI-GV art. 11.4 ENS art. 17; II.mp.if RTMS art. 46.1
Las ubicaciones físicas donde se encuentran los servidores de aplicaciones deben encontrarse en áreas separadas, cerradas o en áreas de seguridad.
Responsable técnico
Estructural
Estructural
2.4.2.14
Restricción de acceso a áreas de equipamiento
ENS art. 17; II.mp.if.1 RTMS art. 46.2-3
La puerta de acceso a esta área se encuentra permanentemente cerrada estableciéndose mecanismos para el control de accesos a la misma, que pueden basarse en llaves o códigos personales. Se controlarán los accesos a las áreas indicadas de forma que sólo se pueda acceder por las entradas previstas y vigiladas.
Responsable técnico
Estructural
Estructural
2.4.2.15
Identificación de las personas en el acceso a áreas
ENS II.mp.if.2
El mecanismo de control de acceso debe atender a lo que se dispone a continuación: a) Se identificará a todas las personas que accedan a los locales donde hay equipamiento que forme parte del sistema de información. b) Se registrarán las entradas y salidas de personas.
Responsable técnico
Estructural
Estructural
Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15
Página 35 de 72 Autor: OSI
CÓDIGO
TÍTULO
FUNDAMENTO LEGAL
DESCRIPCIÓN
QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)
FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA
FASE EN QUE DEBE SER VÁLIDO
2.4.2.16
Identificación del personal externo en el acceso a áreas
RTMS art.46.7
El personal externo que deba efectuar trabajos en el interior del área de seguridad debe estar debidamente autorizado e identificado. El responsable del área debe extender una acreditación a favor de este personal.
Responsable técnico
Estructural
Estructural
2.4.2.17
Restricciones al personal externo en el acceso a las áreas
RTMS art.46.8
El personal externo no acreditado nunca debe permaner a solas en el interior del área de sistemas sin la presencia de al menos una persona habilitada para esta área.
Responsable técnico
Estructural
Estructural
2.4.2.18
Acondicionamiento de las ENS II.mp.if.6 áreas (i) RTMS art.15.5
Las áreas físicas donde se encuentran situados los equipos deben estar Responsable convenientemente aseguradas frente a riesgos derivados de accesos indeseados técnico así como amenazas de entorno, tales como fuegos, humos, agua, etc.
Estructural
Estructural
2.4.2.19
Acondicionamiento de las RTMS art.46.4 áreas (ii)
Los materiales peligrosos y/o combustibles, si los hay, deben ser almacenados en el exterior del área y a una distancia de seguridad de la sala de ordenadores.
Responsable técnico
Estructural
Estructural
2.4.2.20
Acondicionamiento de las ENS II.mp.if.3 áreas (iii)
Los locales donde se ubiquen los sistemas de información y sus componentes, deben disponer de elementos adecuados para el eficaz funcionamiento del equipamiento allí instalado. Y, en especial: a) Condiciones de temperatura y humedad. b) Protección frente a las amenazas identificadas en el análisis de riesgos. c) Protección del cableado frente a incidentes fortuitos o deliberados.
Responsable técnico
Estructural
Estructural
2.4.2.21
Acondicionamiento de las ENS II.mp.if.6 áreas (iv) RTMS art.46.6
Se debe instalar un equipamiento adecuado de seguridad tales como sistemas de extinción, detectores de humos, etc. Al menos se debe aplicar la normativa vigente.
Responsable técnico
Estructural
Estructural
2.4.2.22
Revisión de los controles
El responsable de seguridad debe revisar la aplicación de estas medidas de acondicionamiento y acceso al CPD
Responsable de seguridad
Estructural
Estructural
PSI-GV art. 4 RTMS art.47
GESTIÓN DE LA CONFIGURACIÓ N
Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15
Página 36 de 72 Autor: OSI
CÓDIGO
TÍTULO
FUNDAMENTO LEGAL
DESCRIPCIÓN
QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)
FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA
FASE EN QUE DEBE SER VÁLIDO
2.4.3.1
Configuración de seguridad previa al paso a explotación
ENS II.op.exp.2 PSI-GV art. 12
Se debe configurar la seguridad de los equipos antes de su entrada en operación: (1) Se retiran las cuentas y contraseñas estándar. (2) Se aplica la "regla de mínima funcionalidad". (3) Se aplica la "regla de seguridad por defecto".
Responsable técnico
Estructural
Estructural
2.4.3.2
Continuidad de la "Regla de funcionalidad mínima"
ENS II.op.exp.3.a; Se debe gestionar de forma continua la configuración de los componentes del art. 19.a-c sistema de forma que se mantenga en todo momento la «regla de funcionalidad mínima»
Responsable técnico
Estructural
Estructural
2.4.3.3
Continuidad de la "Regla ENS II.op.exp.3.b; Se debe gestionar de forma continua la configuración de los componentes del de seguridad por defecto" art. 19.d sistema de forma que se mantenga en todo momento la «regla de seguridad por defecto»
Responsable técnico
Estructural
Estructural
2.4.3.4
Continuidad de la "Adaptabilidad"
ENS II.op.exp.3.c
Se debe gestionar de forma continua la configuración de los componentes del sistema de forma que se adapte a las nuevas necesidades, previamente autorizadas.
Responsable técnico
Estructural
Estructural
2.4.3.5
Continuidad de la "Reactividad"
ENS II.op.exp.3.d-e
Se debe gestionar de forma continua la configuración de los componentes del sistema de forma que reacciona a vunerabilidades reportadas y a incidencias.
Responsable técnico
Estructural
Estructural
Existencia de sistema antivirus
ENS art. 24; II.op.exp.6
Debe existir un sistema de prevención, detección y reacción frente a código dañino (virus, gusanos, troyanos, programas espías, conocidos en terminología inglesa como «spyware», y en general, todo lo conocido como «malware»).
Responsable técnico
Estructural
Estructural
2.4.4.2
Aplicación del sistema antivirus
RTMS art. 14.1-2
Los sistemas, servidores y equipos cliente deben estar protegidos por software antivirus.
Responsable técnico
Estructural
Estructural
2.4.4.3
Documentación del sistema antivirus
RTMS art. 14.3
En la documentación técnica, guías de procedimiento (manual técnico) y buen uso (manual de usuarios) debe documentarse lo que corresponda al software antivirus existente.
Responsable funcional
Análisis
Implantación
ANTIVIRUS 2.4.4.1
PROTECCIÓN DE LOS EQUIPOS
Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15
Página 37 de 72 Autor: OSI
CÓDIGO
TÍTULO
FUNDAMENTO LEGAL
DESCRIPCIÓN
QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)
FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA
FASE EN QUE DEBE SER VÁLIDO
2.4.5.1
Puesto de trabajo despejado
ENS II.mp.eq.1
Debe exigirse a los usuarios que los puestos de trabajo permanezcan despejados; sin más material encima de la mesa que el requerido para la actividad que se está realizando en cada momento.
Responsable técnico
Análisis
Explotación
2.4.5.2
Custodia del material de trabajo
ENS II.mp.eq.1
Debe exigirse a los usuarios que el material de trabajo se guarde en un lugar cerrado cuando no se está utilizando.
Responsable técnico
Análisis
Explotación
2.4.5.3
Bloqueo del puesto de trabajo
ENS II.mp.eq.2
El puesto de trabajo debe bloquearse tras un tiempo prudencial de inactividad. Se debe requerir una nueva autenticación del usuario para reanudar la actividad en curso.
Responsable técnico
Análisis
Explotación
Limpieza de documentos
ENS II. mp.info.6
En el proceso de limpieza de documentos, debe retirarse de éstos toda la información adicional contenida en campos ocultos, meta-datos, comentarios o revisiones anteriores, salvo cuando dicha información sea pertinente para el receptor del documento. Esta medida es especialmente relevante cuando el documento se difunde ampliamente, como ocurre cuando se ofrece al público en un servidor web u otro tipo de repositorio de información.
Responsable funcional
Análisis
Explotación
Autorización de almacenaje de datos en dispositivos portátiles
RLOPD art. 86
El almacenamiento de los datos personales en dispositivos portátiles debe haber sido previamente autorizado por el responsable del fichero o tratamiento. Esta autorización deberá constar en el DS y tener un período de validez.
Responsable funcional
Análisis
Explotación
ALMACENAMIEN TO DE INFORMACIÓN PROTECCIÓN DE LA INFORMACIÓN 2.5.1.3
RÉGIMEN DE TRABAJO FUERA DE LOS LOCALES DEL RESPONSABLE DE LA INFORMACIÓN 2.5.2.1
Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15
Página 38 de 72 Autor: OSI
CÓDIGO
TÍTULO
FUNDAMENTO LEGAL
DESCRIPCIÓN
QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)
FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA
FASE EN QUE DEBE SER VÁLIDO
2.5.2.2
Autorización de tratamiento de datos fuera de los locales del responsable de la información
RLOPD art. 86
El tratamiento de los datos personales fuera de los locales del responsable de la información o del encargado del tratamiento debe haber sido previamente autorizado por el responsable de la información. Esta autorización deberá constar en el DS y tener un período de validez.
Responsable funcional
Análisis
Explotación
2.5.2.3
Compromiso de garantía de cumplimiento de las medidas de seguridad
RLOPD art. 86
Debe haberse obtenido el compromiso de garantía de cumplimiento del nivel de seguridad correspondiente al tipo de información, para el tratamiento de datos fuera de los locales del responsable de la información.
Responsable funcional
Análisis
Explotación
2.5.2.4
Protección básica de equipos móviles
ENS II.mp.eq.3 PSI-GV art. 13
Los equipos que abandonen las instalaciones de la organización y no puedan beneficiarse de la protección física correspondiente, con un riesgo manifiesto de pérdida o robo, deben estar protegidos adecuadamente. Sin perjuicio de las medidas generales que les afecten, se deben adoptar las siguientes medidas específicas: a) Se llevará un inventario de equipos portátiles junto con una identificación de la persona responsable del mismo y un control regular de que está positivamente bajo su control. b) Se establecerá un canal de comunicación para informar, al servicio de gestión de incidencias, de pérdidas o sustracciones. c) Se establecerá un sistema de protección perimetral que minimice la visibilidad exterior y controle las opciones de acceso al interior cuando el equipo se conecte a redes, en particular si el equipo se conecta a redes públicas. d) Se evitará, en la medida de lo posible, que el equipo contenga claves de acceso remoto a la organización. Se considerarán claves de acceso remoto aquellas que sean capaces de habilitar un acceso a otros equipos de la organización, u otras de naturaleza análoga.
Responsable funcional
Análisis
Explotación
2.5.2.5
Protección de información sensible en equipos móviles
ENS II.mp.eq.3.a PSI-GV art. 13
Se deberá dotar a los equipos móviles de detectores de violación que permitan saber si el equipo ha sido manipulado y activen los procedimientos previstos de gestión del incidente.
Responsable técnico
Análisis
Explotación
Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15
Página 39 de 72 Autor: OSI
CÓDIGO
TÍTULO
FUNDAMENTO LEGAL
DESCRIPCIÓN
2.5.2.6
Cifrado de información sensible en equipos móviles
RLOPD art.101.23 ENS art. 21.1; II.mp.eq.3.b PSI-GV art. 13
Medidas de seguridad de los ficheros temporales y copias de trabajo
FICHEROS TEMPORALES O COPIAS DE TRABAJO DE DOCUMENTOS 2.5.3.1
2.5.3.2
GESTIÓN DE SOPORTES 2.5.4.1
2.5.4.3
FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA
FASE EN QUE DEBE SER VÁLIDO
Los datos tratados y almacenados en dispositivos portátiles tales como portátiles, Responsable técnico asistentes personales (PDA), periféricos o soportes de información deben cifrarse cuando abandonen las instalaciones de la Conselleria de Sanitat (información en tránsito). Si los portátiles no pueden cifrar la información y es estrictamente necesario su uso, se deberá reflejar en el DS y se deberá adoptar medidas que tengan en cuenta los riesgos de realizar tratamientos en entornos desprotegidos.
Análisis
Explotación
RLOPD art. 87
Se deben aplicar las medidas de protección necesarias a los ficheros temporales o copias de documentos para garantizar el nivel de seguridad que les corresponde.
Responsable funcional
Análisis
Desarrollo
Borrado o destrucción de ficheros temporales y copias de trabajo
RLOPD art. 87
Se deben borrar o destruir los ficheros temporales o copias de trabajo una vez dejan de ser necesarios para el fin por el que se crearon.
Responsable funcional
Análisis
Desarrollo
Identificación restringida de soportes
RLOPD art.92.1 ENS II.mp.si.1
Los soportes y documentos que contienen datos de carácter personal deben permitir la identificación del tipo de información que contienen (pero no su contenido), ser inventariados y sólo ser accesibles por el personal autorizado para ello en el DS. Los usuarios autorizados están capacitados para entender el significado de la etiquetas, bien mediante simple inspección, bien mediante el acceso a un repositorio que lo explique.
Responsable técnico
Análisis
Explotación
Autorización de la salida de información
RLOPD art.92.2
La salida de soportes y documentos con datos de carácter personal (incluidos los comprendidos y/o anejos a un correo electrónico) fuera de los locales bajo el control del responsable del fichero o tratamiento debe estar autorizada por el responsable del fichero o estar recogida en el DS.
Responsable de seguridad
Análisis
Explotación
Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15
QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)
Página 40 de 72 Autor: OSI
CÓDIGO
TÍTULO
FUNDAMENTO LEGAL
DESCRIPCIÓN
QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)
FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA
FASE EN QUE DEBE SER VÁLIDO
2.5.4.4
Prevención de la sustracción, pérdida o acceso indebido
RLOPD art.92.3
Deben existir medidas para evitar la sustracción, pérdida o acceso indebido a la información durante su transporte
Responsable técnico
Análisis
Explotación
2.5.4.5
Prevención en el borrado o eliminación de soportes
RLOPD art.92.4
Deben existir medidas para evitar el acceso a la información de documentos o soportes que son desechados, destruidos o borrados.
Responsable técnico
Análisis
Explotación
2.5.4.6
Borrado y destrucción de soportes
ENS II. mp.si.5
a) Los soportes que vayan a ser reutilizados para otra información o liberados a otra organización deben ser objeto de un borrado seguro de su anterior contenido. b) Se destruyen de forma segura los soportes, en los siguientes casos: 1.º Cuando la naturaleza del soporte no permita un borrado seguro. 2.º Cuando así lo requiera el procedimiento asociado al tipo de la información contenida,. c) Se emplean, preferentemente, productos certificados.
Responsable técnico
Análisis
Explotación
2.5.4.7
Identificación de copia
OFI art.16.2
Las copias expedidas de los documentos en formatos electrónico, informático o telemático deben poseer una leyenda, como parte integrante de la información de la copia, donde se indica expresamente la condición de copia de un documento original, así como el número de orden de la misma. Asimismo, en el momento en que la copia sea expedida, los documentos electrónicos originales serán marcados indicando el número de copia y la fecha en que fue expedida.
Responsable técnico
Análisis
Explotación
2.5.4.8
Registro de entrada/salida de soportes
RLOPD art.97 ENS II.mp.si.4
Debe existir un sistema de Registro de entrada/salida de soportes que permite, Responsable directa o indirectamente, conocer el tipo de documento o soporte, la fecha y hora, de seguridad el emisor/destinatario, transportista, el número de documentos o soportes incluidos en el envío, el tipo de información que contienen, la forma de envío y la persona responsable de la recepción/entrega que deberá debidamente autorizada.
Estructural
Estructural
Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15
Página 41 de 72 Autor: OSI
CÓDIGO
TÍTULO
FUNDAMENTO LEGAL
DESCRIPCIÓN
QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)
FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA
FASE EN QUE DEBE SER VÁLIDO
2.5.4.9
Garantía de protección
ENS II.mp.si.2-4
El responsable de sistemas debe garantizar que los dispositivos permanezcan bajo control y que satisfagan sus requisitos de seguridad mientras están siendo desplazados de un lugar a otro. Para ello: 1) se debe guardar el transportista del envío en el Registro de entrada/salida de soportes. 2) Se dispone de un procedimiento rutinario que coteje las salidas con las llegadas y levante las alarmas pertinentes cuando se detecte algún incidente. 3) Se utiliza los medios de protección criptográfica (cifrado) correspondientes al nivel de calificación de la información contenida de mayor nivel (nivel MEDIO: cifrado; nivel ALTO: algoritmos de cifrado acreditados por El Centro Criptológico Nacional y que empleen preferentemente productos certificados). 4) Se gestionan las claves manteniendo su protección durante todo su ciclo de vida. 5) Se garantiza el control de acceso a los soportes, mediante medidas físicas o lógicas. 6) Se respetan las exigencias de mantenimiento de los soportes del fabricante (temperatura, humedad, etc.).
Responsable técnico
Análisis
Explotación
2.5.4.10
Cifrado de información sensible en distribución de soportes
RLOPD art.101.2 ENS II.mp.si.4
En la distribución de los soportes se debe, o bien, cifrar los datos de carácter personal que contienen, o bien, utilizar otros mecanismos que garanticen que dicha información no sea accesible o manipulada durante su transporte.
Responsable técnico
Análisis
Explotación
2.5.4.11
Protección de la documentación no electrónica generada a partir de la electrónica
ENS art. 21.3
La información en soporte no electrónico que haya sido causa o consecuencia directa de la información electrónica debe protegerse con el mismo grado de seguridad que esta última. Para ello deben aplicarse las medidas que correspondan a la naturaleza del soporte en que se encuentren, de conformidad con las normas de aplicación a la seguridad de los mismos.
Responsable técnico
Análisis
Explotación
ARCHIVO Y ALMACENAMIEN TO DE INFORMACIÓN MANUAL O MIXTA Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15
Página 42 de 72 Autor: OSI
CÓDIGO
TÍTULO
FUNDAMENTO LEGAL
DESCRIPCIÓN
QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)
FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA
FASE EN QUE DEBE SER VÁLIDO
2.5.5.1
Criterios de archivo
RLOPD art.106
El archivo de los soportes o documentos (por ejemplo, los historiales clínicos) se realiza de acuerdo a su respectiva legislación. Si no existe norma aplicable, el responsable del fichero ha establecido unos criterios y procedimientos de actuación propios.
Responsable funcional
Análisis
Explotación
2.5.5.2
Correcta conservación
RLOPD art.106 ENS II.mp.si.3
El almacenamiento de la información debe garantizar la correcta conservación de Responsable técnico los documentos, la localización y consulta de la información y debe permitir el ejercicio de los derechos de oposición al tratamiento, acceso, rectificación y cancelación. Asimismo, debe respetarse las exigencias de mantenimiento de los soportes del fabricante (temperatura, humedad, etc.).
Estructural
Estructural
2.5.5.3
Obstaculización del acceso no autorizado
RLOPD art.107
El acceso a los documentos que contienen datos de carácter personal deberán disponer de mecanismos en los dispositivos de almacenamiento que obstaculicen su apertura. Cuando las características físicas de aquéllo no permitan adoptar esta medida, el responsable del fichero o tratamiento debe adoptar medidas que impidan el acceso de personas no autorizadas.
Responsable funcional
Análisis
Explotación
Mientras la documentación con datos de carácter personal no se encuentre archivada en los mencionados dispositivos de almacenamiento, por estar en proceso de revisión o tramitación, ya sea previo o posterior a su archivo, la persona que se encuentre al cargo de la misma debe custodiar e impedir en todo momento que pueda ser accedida por personas no autorizada.
Responsable de seguridad
Estructural
Estructural
Deben existir procedimientos que aseguren que al menos se realice una copia de Responsable respaldo semanal, salvo que en dicho período no se hubiera producido ninguna técnico actualización de los datos.
Estructural
Estructural
Deben existir procedimientos de recuperación de datos a partir de las copias de respaldo. Estos procedimientos garantizan en todo momento la reconstrucción de los datos en el estado en que se encontraban al tiempo de producirse la pérdida o destrucción.
Estructural
Estructural
ENS II.mp.si.3
2.5.5.4
Custodia de soportes
RLOPD art.108
COPIAS DE RESPALDO Y RECUPERACIÓN 2.5.6.3 Mínimo intervalo de copia RLOPD art.94.1 de seguridad ENS art. 25 RTMS art. 22.2-3 2.5.6.4
Definición del procedimiento de recuperación
RLOPD art.94.2 RTMS art. 22.4
Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15
Responsable técnico
Página 43 de 72 Autor: OSI
CÓDIGO
TÍTULO
FUNDAMENTO LEGAL
DESCRIPCIÓN
QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)
FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA
FASE EN QUE DEBE SER VÁLIDO
2.5.6.5
Grabación manual para ficheros mixtos
RLOPD art.94.2
En el caso específico de que la pérdida o destrucción afectase a ficheros o tratamientos parcialmente automatizados, y siempre que la existencia de documentación permita alcanzar el objetivo de reconstruir los datos en el estado en que se encontraban al tiempo de producirse la pérdida o destrucción, se deberá proceder a grabar manualmente los datos quedando constancia motivada de este hecho en el documento de seguridad. Esta circunstancia deberá constar en el DS.
Responsable técnico
Estructural
Estructural
2.5.6.6
Verificación de los procedimientos de respaldo y recuperación
RLOPD art.94.3
El responsable del fichero se debe encargar de verificar cada seis meses la correcta definición, funcionamiento y aplicación de los procedimientos de realización de copias de respaldo y de recuperación de los datos.
Responsable técnico
Estructural
Estructural
2.5.6.7
Prueba de recuperación de datos
RTMS art.22.5
Con una periodicidad mínima anual se debe efectuar un procedimiento de recuperación de información salvada con la finalidad de verificar que el proceso de salvado se está efectuando correctamente.
Responsable técnico
Estructural
Estructural
2.5.6.8
Restricción de pruebas con datos reales
RLOPD art.94.4
Las pruebas para la implantación o modificación de los sistemas de información que traten ficheros con datos de carácter personal no deben realizarse con datos reales, salvo que se asegure el nivel de seguridad correspondiente al tratamiento realizado y se anote su realización en el DS. Si está previsto realizar pruebas con datos reales, previamente deberá haberse realizado una copia de seguridad.
Responsable funcional
Análisis
Implantación
2.5.6.11
Condiciones de la conservación de la copia de respaldo (ii)
RTMS art. 46.5
Los dispositivos de salvados de datos deben almacenarse en armarios ignífugos, preferentemente en otros locales diferentes a las áreas de seguridad. Estos armarios deben estar cerrados de forma segura.
Responsable técnico
Estructural
Estructural
2.5.6.14
Procedimiento integral de RTMS art. 35.3 copia, recuperación y eliminación
Los procedimientos de copia, recuperación, eliminación y archivo deben Responsable especificar, como mínimo, una relación de tareas a ejecutar y procesos de seguridad implicados, resultado de cada tarea y proceso, el responsable de cada una de las tareas, periodicidad y documentación a cumplimentar en cada operación.
Estructural
Estructural
2.5.6.15
Guarda de los procedimientos de recuperación y conservación
Los procedimientos que aseguren la recuperación y conservación a largo plazo de los documentos electrónicos forman parte de la seguridad de la información (esto es, deben constar en el DS).
Estructural
Estructural
ENS art. 21.2
Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15
Responsable técnico
Página 44 de 72 Autor: OSI
CÓDIGO
TÍTULO
FUNDAMENTO LEGAL
DESCRIPCIÓN
QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)
FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA
FASE EN QUE DEBE SER VÁLIDO
2.5.6.16
Autorización de la recuperación
RLOPD art.100.2
Debe solicitarse la autorización del responsable del fichero antes de ejecutar cualquier procedimiento de recuperación de los datos.
Responsable técnico
Estructural
Estructural
Protección del correo electrónico
ENS II.mp.s.1
El correo electrónico debe protegerse frente a las amenazas que le son propias, actuando del siguiente modo: a) La información distribuida por medio de correo electrónico, debe protegerse, tanto en el cuerpo de los mensajes, como en los anexos. b) Debe protegerse la información de encaminamiento de mensajes y establecimiento de conexiones. c) Debe protegerse a la organización frente a problemas que se materializan por medio del correo electrónico, en concreto: 1.º Correo no solicitado, en su expresión inglesa «spam». 2.º Programas dañinos, constituidos por virus, gusanos, troyanos, espías, u otros de naturaleza análoga. 3.º Código móvil de tipo «applet». d) Deben establecerse normas de uso del correo electrónico por parte del personal determinado. Estas normas de uso deberán contener: 1.º Limitaciones al uso como soporte de comunicaciones privadas. 2.º Actividades de concienciación y formación relativas al uso del correo electrónico.
Responsable técnico
Estructural
Estructural
PROTECCIÓN DE LOS SERVICIOS 2.5.7.1
Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15
Página 45 de 72 Autor: OSI
CÓDIGO
TÍTULO
FUNDAMENTO LEGAL
DESCRIPCIÓN
QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)
2.5.7.2
Protección de servicios y aplicaciones web
ENS II.mp.s.2
Los subsistemas dedicados a la publicación de la información deben ser Responsable protegidos frente a las amenazas que les son propias. técnico a) Cuando la información tenga algún tipo de control de acceso, debe garantizarse la imposibilidad de acceder a la información obviando la autenticación, en particular tomando medidas en los siguientes aspectos: 1.º Debe evitarse que el servidor ofrezca acceso a los documentos por vías alternativas al protocolo determinado. 2.º Debe prevenirse ataques de manipulación de URL. 3.º Debe prevenirse ataques de manipulación de fragmentos de información que se almacena en el disco duro del visitante de una página web a través de su navegador, a petición del servidor de la página, conocido en terminología inglesa como «cookies». 4.º Debe prevenirse ataques de inyección de código. b) Debe prevenirse intentos de escalado de privilegios. c) Debe prevenirse ataques de «cross site scripting». d) Debe prevenirse ataques de manipulación de programas o dispositivos que realizan una acción en representación de otros, conocidos en terminología inglesa como «proxies» y, sistemas especiales de almacenamiento de alta velocidad, conocidos en terminología inglesa como «cachés».
FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA
FASE EN QUE DEBE SER VÁLIDO
Estructural
Estructural
APLICACIONES INFORMÁTICAS DESARROLLO DE APLICACIONES
Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15
Página 46 de 72 Autor: OSI
CÓDIGO
TÍTULO
FUNDAMENTO LEGAL
DESCRIPCIÓN
QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)
FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA
FASE EN QUE DEBE SER VÁLIDO
2.6.1.1
Criterios y metodologías de desarrollo
ENS II.mp.sw.1 PSI-GV art. 4.5-6
a) El desarrollo de aplicaciones debe realizarse sobre un sistema diferente y separado del de producción, no debiendo existir herramientas o datos de desarrollo en el entorno de producción. b) Se debe aplicar una metodología de desarrollo reconocida que: 1.º Tome en consideración los aspectos de seguridad a lo largo de todo el ciclo de vida. 2.º Trate específicamente los datos usados en pruebas. 3.º Permita la inspección del código fuente. c) Los siguientes elementos deben ser parte integral del diseño del sistema: 1.º Los mecanismos de identificación y autenticación. 2.º Los mecanismos de protección de la información tratada. 3.º La generación y tratamiento de pistas de auditoría. d) Las pruebas anteriores a la implantación o modificación de los sistemas de información no deben realizarse con datos reales, salvo que se asegure el nivel de seguridad correspondiente.
Responsable funcional
Estudio de viabilidad Análisis
2.6.1.2
Reutilización de aplicaciones y transferencia de tecnología
LAE art. 45-6
Las administraciones titulares de los derechos de propiedad intelectual de aplicaciones, desarrolladas por sus servicios o cuyo desarrollo haya sido objeto de contratación, podrán ponerlas a disposición de cualquier Administración sin contraprestación y sin necesidad de convenio.
Responsable funcional
Estudio de viabilidad Análisis
Las aplicaciones a las que se refiere el apartado anterior podrán ser declaradas como de fuentes abiertas, cuando de ello se derive una mayor transparencia en el funcionamiento de la Administración Pública o se fomente la incorporación de los ciudadanos a la Sociedad de la información. Se deberá mantener directorios actualizados de aplicaciones para su libre reutilización, especialmente en aquellos campos de especial interés para el desarrollo de la administración electrónica y de conformidad con lo que al respecto se establezca en el Esquema Nacional de Interoperabilidad. Se actualizará y recurrirá a un directorio general de aplicaciones de la Administración General del Estado.
Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15
Página 47 de 72 Autor: OSI
CÓDIGO
ACEPTACIÓN Y PUESTA EN SERVICIO 2.6.2.1
2.6.2.2
GESTIÓN DE CAMBIOS 2.6.3.1
2.6.3.2
TÍTULO
FUNDAMENTO LEGAL
DESCRIPCIÓN
QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)
FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA
FASE EN QUE DEBE SER VÁLIDO
Comprobación previa del funcionamiento
ENS II.mp.sw.2
Antes de pasar a producción se debe comprobar el correcto funcionamiento de la aplicación. a) En particular, se debe comprobar que: 1. Se cumplen los criterios de aceptación en materia de seguridad. 2. No se deteriora la seguridad de otros componentes del servicio. b) Las pruebas deben realizarse en un entorno aislado (pre-producción). c) Las pruebas de aceptación no deben realizarse con datos reales, salvo que se asegure el nivel de seguridad correspondiente.
Responsable funcional
Análisis
Implantación
Detección de vulnerabilidades
ENS II.mp.sw.2
Deben realizarse las siguientes inspecciones previas a la entrada en servicio: a) Análisis de vulnerabilidades. b) Pruebas de penetración.
Responsable funcional
Análisis
Implantación
Procedimiento de autorización de cambios
ENS art. 20.1 RTMS art. 44
El responsable de seguridad debe autorizar previamente la instalación de elementos lógicos (especialmente cuando impliquen alteración de la funcionalidad de la aplicación). A su vez, debe aprobar los informes del cambio, relativos al motivo del cambio, realización de pruebas, permanencia de las medidas de seguridad y responsable de cambio. A la vez, debe registrar todas las sustituciones de programas.
Responsable funcional
Análisis
Implantación
Proceso formal de adquisición de nuevos componentes
ENS II.op.pl.3
Debe establecerse un proceso formal para planificar la adquisición de nuevos componentes del sistema, proceso que incluye una valoración explícita de que la adquisición: a) Atiende a las conclusiones del análisis de riesgos. b) Es acorde a la arquitectura de seguridad escogida. c) Contempla las necesidades técnicas, de formación y de financiación de forma conjunta.
Responsable funcional
Análisis
Implantación
Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15
Página 48 de 72 Autor: OSI
CÓDIGO
TÍTULO
FUNDAMENTO LEGAL
DESCRIPCIÓN
QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)
FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA
FASE EN QUE DEBE SER VÁLIDO
2.6.3.4
Control continuo de cambios realizados
ENS II.op.exp.5
Debe mantenerse un control continuo de cambios realizados en el sistema de la siguiente forma: a) Todos los cambios anunciados por el fabricante o proveedor debe analizarse para determinar su conveniencia para ser incorporados, o no. b) Antes de poner en producción una nueva versión o una versión parcheada, debe comprobarse en un equipo que no esté en producción, que la nueva instalación funciona correctamente y no disminuye la eficacia de las funciones necesarias para el trabajo diario. El equipo de pruebas será equivalente al de producción en los aspectos que se comprueban. c) Los cambios deben planificarse para reducir el impacto sobre la prestación de los servicios afectados. d) Mediante análisis de riesgos debe determinarse si los cambios son relevantes para la seguridad del sistema. Aquellos cambios que impliquen una situación de riesgo de nivel alto deben ser aprobados explícitamente de forma previa a su implantación.
Responsable funcional
Análisis
Implantación
Transmisión cifrada
RLOPD art.104 ENS art. 21.1 RTMS art.17, 19
La transmisión de datos de carácter personal especialmente protegidos (como, por ejemplo, los datos de salud) a través de redes públicas o redes inalámbricas de comunicaciones electrónicas debe realizarse, bien cifrando dichos datos, bien utilizando otras medias de protección de la información que eviten el acceso o manipulación por terceros.
Responsable técnico
Estructural
Estructural
2.7.1.2
Cifrado de la transmisión de la contraseña
RTMS art. 18
La transmisión de contraseñas debe realizarse de forma totalmente cifrada.
Responsable técnico
Estructural
Estructural
2.7.1.3
Uso de redes privadas virtuales (i)
ENS II.mp.com.2, II.mp.com.3
Deben emplearse redes privadas virtuales para comunicaciones que discurran por redes fuera del propio dominio de seguridad, con algoritmos acreditados por el Centro Criptológico Nacional.
Responsable técnico
Estructural
Estructural
2.7.1.5
Acceso a través de redes de comunicaciones
RLOPD art.85
Cuando se acceden a datos personales, los accesos a través de redes de comunicaciones, sean o no públicas, deben satisfacer un nivel de seguridad equivalente a los accesos en modo local.
Responsable técnico
Estructural
Estructural
TELECOMUNICA CIONES 2.7.1.1
Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15
Página 49 de 72 Autor: OSI
CÓDIGO
TÍTULO
FUNDAMENTO LEGAL
DESCRIPCIÓN
QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)
FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA
FASE EN QUE DEBE SER VÁLIDO
2.7.1.6
Perímetro de seguridad y conexión a red pública
ENS art. 22
El sistema debe proteger el perímetro de seguridad de la información, en particular, si se conecta a redes públicas.
Responsable técnico
Estructural
Estructural
2.7.1.7
Análisis de la interconexión del sistema
ENS art. 22
Deben analizarse los riesgos derivados de la interconexión del sistema, a través de redes, con otros sistemas, y controlarse su punto de unión.
Responsable técnico
Estructural
Estructural
2.7.1.8
Trazabilidad de la comunicación
OFI art. 17.2
En cada transmisión/recepción de datos debe existir constancia de sus fechas y del contenido íntegro de las comunicaciones, identificación del remitente y destinatario, generación de una diligencia que contenga los códigos o señales que garanticen que se ha producido la transmisión telemática.
Responsable técnico
Estructural
Estructural
2.7.1.9
Autorización del acceso
ORSI-CS art. 11.4 El responsable de accesos debe aprobar las condiciones para acceso desde fuera de los locales de la Conselleria de Sanitat.
Responsable de accesos
Análisis
Explotación
2.7.1.10
Cortafuegos (i)
ENS II.mp.com.1 RTMS art. 9.1
Todo el tráfico entre la red interna y el exterior debe atravesar un sistema de cortafuegos. Este sistema sólo debe dejar pasar los accesos estrictamente necesarios y previamente autorizados.
Responsable técnico
Estructural
Estructural
2.7.1.11
Cortafuegos (ii)
RTMS art. 9.2
En ningún caso los sistemas cortafuegos se ubican en las mismas máquinas donde residen los datos o las aplicaciones.
Responsable técnico
Estructural
Estructural
2.7.1.12
Cortafuegos (iii)
ENS II.mp.com.1
El sistema cortafuegos debe constar de dos o más equipos de diferentes fabricantes, dispuestos en cascada. Deben existir sistemas reduntantes.
Responsable técnico
Estructural
Estructural
2.7.1.13
Autenticidad en la comunicación
ENS II.mp.com.3 RTMS art.20.1
Debe asegurarse la autenticidad del otro extermo de un canal de comunicación antes de intercambiar cualquier información. El sistema, aplicación, o los medios o soportes empleados en la transmisión, debe ser capaz de proveer de certificados de autenticidad, emitidos por la autoridad autentificadora, para todas aquellas comunicaciones en que el receptor necesite garantías de la identidad de la otra parte y de que la transmisión no ha sido alterada.
Responsable técnico
Estructural
Estructural
2.7.1.14
Prevención de ataques
ENS II.mp.com.3
Debe prevenirse ataques activos, garantizando al menos su detección, y activarse los procedimientos previstos de tratamiento del incidente.
Responsable técnico
Estructural
Estructural
Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15
Página 50 de 72 Autor: OSI
CÓDIGO
TÍTULO
FUNDAMENTO LEGAL
DESCRIPCIÓN
QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)
FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA
FASE EN QUE DEBE SER VÁLIDO
2.7.1.15
Garantía de no repudio
RTMS art.20.2
Para aquellas aplicaciones que requieren la garantía adicional del no repudio, la aplicación, o bien los medios o soportes empleados en la transmisión, debe incorporar mecanismos que aseguren la irrenunciabilidad de la participación del transmisor y del receptor cuando se produzcan comunicaciones.
Responsable técnico
Estructural
Estructural
2.7.1.16
Gestión de la certificación RTMS art. 21
Los sistemas o aplicaciones, o bien los medios o soportes empleados en la transmisión, gestionan la asignación de claves públicas, claves privadas y los servicios de certificación a través de los medios y soportes dispuestos por la Autoridad Autentificadora para estos fines.
Responsable técnico
Estructural
Estructural
2.7.1.20
Algoritmos de cifrado (i)
RTMS art.4.1-2
Los algoritmos de cifrado empleados deben basarse en normas establecidas por AENOR, por alguno de los organismos reconocidos por este organismo nacional. Cuando no pueda emplearse una normativa establecida por AENOR, o por alguno de los organismos reconocidos por este organismo nacional, debe atenderse a lo que apruebe la autoridad autentificadora.
Responsable técnico
Estructural
Estructural
2.7.1.21
Algoritmos de cifrado (ii)
RTMS art.4.3
Los algoritmos de cifrado utilizados deben publicarse junto con las características Responsable del sistema técnico
Estructural
Estructural
2.7.1.22
Adquisición de productos de seguridad
ENS art. 18
Todo producto de seguridad debe cumplir con las normas y estándares de mayor reconocimiento internacional en el ámbito de la seguridad funcional o, alternativamente, estar certificado por el Organismo de Certificación del ENECSTI (Esquema Nacional de Evaluación y Certificación de Seguridad de las Tecnologías de la Información).
Responsable técnico
Estructural
Estructural
2.7.1.24
Cláusula en contratos
ENS V
Debe incluirse una cláusula en los correspondientes contratos para garantizar la calidad del software contratado en materia de seguridad.
Responsable funcional
Estudio de viabilidad Estudio de viabilidad
Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15
Página 51 de 72 Autor: OSI
CÓDIGO
TÍTULO
FUNDAMENTO LEGAL
DESCRIPCIÓN
QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)
FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA
FASE EN QUE DEBE SER VÁLIDO
2.7.1.25
Intercambio electrónico de datos en entornos cerrados de comunicación
LAE art. 20
Cuando los participantes en las comunicaciones pertenezcan a la GV (aplicable también a la comunicación dentro de la Conselleria de Sanitat), ésta determinará las condiciones y garantías por las que se regirá que, al menos, comprenderá la relación de emisores y receptores autorizados y la naturaleza de los datos a intercambiar.
Responsable de seguridad
Estructural
Estructural
Cuando los participantes pertenezcan a distintas administraciones, las condiciones y garantías citadas en el apartado anterior se establecerán mediante convenio. En todo caso deberá garantizarse la seguridad del entorno cerrado de comunicaciones y la protección de los datos que se transmitan.
2.7.1.26
Interoperabilidad de los sistemas de información en el intercambio electrónico de datos con otras AAPP
LAE art. 41
La Conselleria de Sanitat debe utilizar las tecnologías de la información en sus relaciones con las demás administraciones y con los ciudadanos, aplicando medidas informáticas, tecnológicas, organizativas, y de seguridad, que garanticen un adecuado nivel de interoperabilidad técnica, semántica y organizativa y eviten discriminación a los ciudadanos por razón de su elección tecnológica.
Responsable de seguridad
Estructural
Estructural
2.7.1.27
Interconexión de redes con otras AAPP
LAE art. 43
La Administración General del Estado, las Administraciones Autonómicas y las entidades que integran la Administración Local, así como los consorcios u otras entidades de cooperación constituidos a tales efectos por éstas, deberán adoptar las medidas necesarias e incorporar en sus respectivos ámbitos las tecnologías precisas para posibilitar la interconexión de sus redes con el fin de crear una red de comunicaciones que interconecte los sistemas de información de las Administraciones Públicas españolas y permita el intercambio de información y servicios entre las mismas, así como la interconexión con las redes de las Instituciones de la Unión Europea y de otros Estados Miembros.
Responsable de seguridad
Estructural
Estructural
ACCESO ELECTRÓNICO DE LA CIUDADANÍA
Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15
Página 52 de 72 Autor: OSI
CÓDIGO
DERECHOS DE ACCESO ELECTRÓNICO DE LA CIUDADANÍA 2.9.1.1
2.9.1.2
TÍTULO
FUNDAMENTO LEGAL
DESCRIPCIÓN
QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)
FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA
Requisitos de las notificaciones y publicaciones electrónicas
ENS art. 32
Las notificaciones y publicaciones electrónicas de resoluciones y actos administrativos deben realizarse de forma que cumplan que: a) se asegura la autenticidad del organismo que lo publica; se asegura la integridad de la información publicada; b) se deja constancia de la fecha y hora de la puesta a disposición del interesado de la resolución o acto objeto de publicación o notificación, así como del acceso a su contenido; y c) se asegura la autenticidad del destinatario de la publicación o notificación.
Responsable funcional
Estudio de viabilidad Explotación
Para que la notificación se practique utilizando algún medio electrónico se requerirá que el interesado haya señalado dicho medio como preferente o haya consentido su utilización. Tanto la indicación de la preferencia en el uso de medios electrónicos como el consentimiento citados anteriormente podrán emitirse y recabarse, en todo caso, por medios electrónicos.
Responsable funcional
Estudio de viabilidad Explotación
Práctica de la notificación LAE art. 27-8 por medios electrónicos
FASE EN QUE DEBE SER VÁLIDO
El sistema de notificación permitirá acreditar la fecha y hora en que se produzca la puesta a disposición del interesado del acto objeto de notificación, así como la de acceso a su contenido, momento a partir del cual la notificación se entenderá practicada a todos los efectos legales. Cuando, existiendo constancia de la puesta a disposición transcurrieran diez días naturales sin que se acceda a su contenido, se entenderá que la notificación ha sido rechazada con los efectos previstos en la correspondiente ley, salvo que de oficio o a instancia del destinatario se compruebe la imposibilidad técnica o material del acceso. Durante la tramitación del procedimiento el interesado podrá requerir al órgano correspondiente que las notificaciones sucesivas no se practiquen por medios electrónicos, utilizándose los demás medios admitidos en la correspondiente ley, excepto en los casos previstos (personas jurídicas o colectivos de personas físicas con suficientes medios tecnológicos). Producirá los efectos propios de la notificación por comparecencia el acceso electrónico por los interesados al contenido de las actuaciones administrativas correspondientes, siempre que quede constancia de dichos acceso. Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15
Página 53 de 72 Autor: OSI
CÓDIGO
TÍTULO
FUNDAMENTO LEGAL
DESCRIPCIÓN
QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)
FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA
FASE EN QUE DEBE SER VÁLIDO
Los requisitos de seguridad e integridad de las comunicaciones se deben establecer en cada caso de forma apropiada al carácter de los datos objeto de aquellas, de acuerdo con criterios de proporcionalidad, conforme a lo dispuesto en la legislación vigente en materia de protección de datos de carácter personal.
Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15
Página 54 de 72 Autor: OSI
CÓDIGO
TÍTULO
FUNDAMENTO LEGAL
DESCRIPCIÓN
QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)
FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA
FASE EN QUE DEBE SER VÁLIDO
2.9.1.3
Reconocimiento del derecho de acceso electrónico
LAE art.6.1, 27
Se deben disponer los medios para que el ciudadano pueda ejercer su derecho a relacionarse con la organización utilizando medios electrónicos; especialmente para obtener informaciones, realizar consultas y alegaciones, formular solicitudes, manifestar consentimiento, entablar pretensiones, efectuar pagos, realizar transacciones y oponerse a las resoluciones y actos administrativos.
Responsable funcional
Estudio de viabilidad Explotación
Se debe utilizar medios electrónicos en sus comunicaciones con los ciudadanos siempre que así lo hayan solicitado o consentido expresamente. La solicitud y el consentimiento podrán, en todo caso, emitirse y recabarse por medios electrónicos. Las comunicaciones a través de medios electrónicos serán válidas siempre que exista constancia de la transmisión y recepción, de sus fechas, del contenido íntegro de las comunicaciones y se identifique fidedignamente al remitente y al destinatario de las mismas.
Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15
Página 55 de 72 Autor: OSI
CÓDIGO
TÍTULO
FUNDAMENTO LEGAL
DESCRIPCIÓN
QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)
FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA
FASE EN QUE DEBE SER VÁLIDO
2.9.1.4
Derecho de elección del medio
LAE art.6.2.a, 27; OFI art.17.3
Se debe garantizar el derecho de los ciudadanos a elegir entre aquellos medios electrónicos (soporte o aplicación) que en cada momento se encuentren disponibles, el canal a través del cual relacionarse por medios electrónicos con la Conselleria de Sanitat.
Responsable funcional
Estudio de viabilidad Explotación
El ciudadano podrá optar, en cualquier momento, por un medio distinto del inicialmente elegido. Se deben publicar, en el correspondiente Diario Oficial y en la propia sede electrónica, aquellos medios electrónicos que los ciudadanos pueden utilizar en cada supuesto en el ejercicio de su derecho a comunicarse con ellas. Reglamentariamente, se podrá establecer la obligatoriedad de comunicarse con ellas utilizando sólo medios electrónicos, cuando los interesados se correspondan con personas jurídicas o colectivos de personas físicas que por razón de su capacidad económica o técnica, dedicación profesional u otros motivos acreditados tengan garantizado el acceso y disponibilidad de los medios tecnológicos precisos.
Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15
Página 56 de 72 Autor: OSI
CÓDIGO
TÍTULO
FUNDAMENTO LEGAL
DESCRIPCIÓN
QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)
2.9.1.5
Documentación no redundante
LAE arts.6.2.b, 9
Se debe garantizar el derecho de los ciudadanos a no aportar datos y Responsable documentos que obren en poder de las Administraciones Públicas. funcional La Conselleria de Sanitat debe utilizar medios electrónicos para recabar/transmitir dicha información siempre que, en el caso de datos de carácter personal, se cuente con el consentimiento de los interesados. El citado consentimiento podrá emitirse y recabarse por medios electrónicos.
FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA
FASE EN QUE DEBE SER VÁLIDO
Estudio de viabilidad Explotación
Cada administración deberá facilitar el acceso de las restantes Administraciones Públicas a los datos relativos a los interesados que obren en su poder y se encuentren en soporte electrónico, especificando las condiciones, protocolos y criterios funcionales o técnicos necesarios para acceder a dichos datos con las máximas garantías de seguridad, integridad y disponibilidad, de conformidad con la Ley Protección de Datos de Carácter Personal y su normativa de desarrollo. La disponibilidad de tales datos estará limitada estrictamente a aquellos que son requeridos a los ciudadanos por las restantes Administraciones para la tramitación y resolución de los procedimientos y actuaciones de su competencia de acuerdo con la normativa reguladora de los mismos. El acceso a los datos de carácter personal estará, además, condicionado al cumplimiento de las condiciones establecidas en el artículo 6.2.b) de la presente Ley.
2.9.1.6
Igualdad de acceso
LAE art.6.2.c
Se debe garantizar la igualdad en el acceso electrónico a los servicios.
Responsable funcional
Análisis
Explotación
2.9.1.7
Información sobre el estado de la tramitación
LAE art.6.2.d
Se debe garantizar el conocimiento por medios electrónicos del estado de tramitación de los procedimientos en los que el ciudadano sea interesado, salvo en los supuestos en que la normativa de aplicación establezca restricciones al acceso a la información sobre aquéllos.
Responsable funcional
Análisis
Explotación
2.9.1.8
Obtención de copias electrónicas de la documentación
LAE art.6.2.e
Se debe permitir que los ciudadanos obtengan copias electrónicas de los documentos electrónicos que formen parte de procedimientos en los que tengan la condición de interesado.
Responsable funcional
Análisis
Explotación
2.9.1.9
Conservación electrónica de documentos
LAE art.6.2.f
Se deben conservar en formato electrónico los documentos electrónicos que formen parte de un expediente.
Responsable funcional
Análisis
Explotación
Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15
Página 57 de 72 Autor: OSI
CÓDIGO
TÍTULO
2.9.1.10
DESCRIPCIÓN
QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)
FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA
FASE EN QUE DEBE SER VÁLIDO
Garantía de seguridad, LAE art.6.2.i-j confidencialidad y calidad
Se debe garantizar la seguridad y confidencialidad de los datos que figuren en los ficheros, sistemas y aplicaciones, así como la calidad de los servicios prestados por medios electrónicos.
Responsable funcional
Análisis
Explotación
2.9.1.11
Garantía del uso de estándares abiertos
LAE art.6.2.k
Se debe garantizar el derecho a elegir las aplicaciones o sistemas para relacionarse con la Conselleria de Sanitat siempre y cuando utilicen estándares abiertos o, en su caso, aquellos otros que sean de uso generalizado por los ciudadanos.
Responsable funcional
Análisis
Explotación
2.9.1.12
Garantía a la información sobre el tratamiento electrónico
LAE art.6.3
Se debe garantizar el el derecho de los ciudadanos a obtener la siguiente información a través de medios electrónicos: a) Los procedimientos y trámites necesarios para acceder a las actividades de servicio y para su ejercicio. b) Los datos de las autoridades competentes en las materias relacionadas con las actividades de servicios, así como de las asociaciones y organizaciones profesionales relacionadas con las mismas. c) Los medios y condiciones de acceso a los registros y bases de datos públicos relativos a prestadores de actividades de servicios y las vías de recurso en caso de litigio entre cualesquiera autoridades competentes, prestadores y destinatarios.
Responsable funcional
Análisis
Explotación
2.9.1.13
Diversidad de canales o medios
LAE art.8.1
Las Administraciones Públicas deberán habilitar diferentes canales o medios para la prestación de los servicios electrónicos, garantizando en todo caso el acceso a los mismos a todos los ciudadanos, con independencia de sus circunstancias personales, medios o conocimientos, en la forma que estimen adecuada.
Responsable funcional
Estudio de viabilidad Análisis
ENS II.mp.info.4
Debe existir una Política de Firma Electrónica y Certificados, aprobada por el órgano superior competente que corresponda.
Responsable de seguridad
Estructural
POLÍTICA DE FIRMA ELECTRÓNICA Y CERTIFICADOS 2.9.2.1 Existencia de la Política de Firma Electrónica y Certificados
FUNDAMENTO LEGAL
Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15
Estructural
Página 58 de 72 Autor: OSI
CÓDIGO
TÍTULO
FUNDAMENTO LEGAL
DESCRIPCIÓN
QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)
FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA
FASE EN QUE DEBE SER VÁLIDO
2.9.2.2
Contenido de la Política de Firma Electrónica y Certificados
ENS art. 33.2
La Política de Firma Electrónica y Certificados debe concretar los procesos de generación, validación y conservación de firmas electrónicas, así como las características y requisitos exigibles a los sistemas de firma electrónica, los certificados, los servicios de sellado de tiempo y otros elementos de soporte de las firmas.
Responsable de seguridad
Estructural
Estructural
2.9.2.3
Requerimientos firma electrónica (i)
ENS II.mp.info.4
Debe emplearse medios de firma electrónica que estén previstos en la legislación Responsable vigente. funcional
Estudio de viabilidad Explotación
2.9.2.4
Requerimientos firma electrónica (ii)
ENS II.mp.info.4
1. Los medios utilizados en la firma electrónica deben satisfacer los siguientes Responsable criterios: funcional a) Se deben emplear algoritmos acreditados por el Centro Criptológico Nacional. b) Se deben emplear, preferentemente, certificados reconocidos. c) Se deben emplear, preferentemente, dispositivos seguros de firma. 2. Asimismo, se debe garantizar la verificación y validación de la firma electrónica durante el tiempo requerido por la actividad administrativa que aquélla soporte, sin perjuicio de que se pueda ampliar este período de acuerdo con lo que establezca la política de firma electrónica y de certificados que sea de aplicación. Para tal fin: a) Se debe adjuntar a la firma, o referenciar, toda la información pertinente para su verificación y validación: 1.º Certificados. 2.º Datos de verificación y validación. b) Se debe proteger la firma y la información mencionada en el apartado anterior con un sello de tiempo. c) El organismo que recabe documentos firmados por el administrado debe verificar y validar la firma recibida en el momento de la recepción, anexando o referenciando sin ambigüedad la información descrita en los epígrafes a) y b). d) La firma electrónica de documentos por parte de la Administración debe anexar o referenciar sin ambigüedad la información descrita en los epígrafes a) y b).
Estudio de viabilidad Explotación
IDENTIFICACIÓN DE LA CIUDADANÍA Y AUTENTICACIÓ N DE SU ACTUACIÓN
Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15
Página 59 de 72 Autor: OSI
CÓDIGO
TÍTULO
FUNDAMENTO LEGAL
DESCRIPCIÓN
QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)
FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA
FASE EN QUE DEBE SER VÁLIDO
2.9.3.1
Garantía de que los medios de identificación electrónica
LAE art.6.2.g-h
Se debe garantizar que los ciudadanos obtengan los medios de identificación electrónica necesarios, pudiendo las personas físicas utilizar en todo caso los sistemas de firma electrónica del Documento Nacional de Identidad para cualquier trámite electrónico con cualquier Administración Pública. Asimismo, se debe garantizar la utilización de otros sistemas de firma electrónica admitidos en el ámbito de las Administraciones Públicas.
Responsable funcional
Análisis
Explotación
2.9.3.2
Posibilidades de firma electrónica de los ciudadanos
LAE art. 13.2
Los ciudadanos podrán utilizar los siguientes sistemas de firma electrónica para relacionarse con las Administraciones Públicas, de acuerdo con lo que cada Administración determine: a) En todo caso, los sistemas de firma electrónica incorporados al Documento Nacional de Identidad, para personas físicas. b) Sistemas de firma electrónica avanzada, incluyendo los basados en certificado electrónico reconocido, admitidos por las Administraciones Públicas. c) Otros sistemas de firma electrónica, como la utilización de claves concertadas en un registro previo como usuario, la aportación de información conocida por ambas partes u otros sistemas no criptográficos, en los términos y condiciones que en cada caso se determinen.
Responsable funcional
Análisis
Explotación
2.9.3.3
Posibilidades de firma electrónica de la Conselleria de Sanitat
LAE art. 13.3
Las Administraciones Públicas podrán utilizar los siguientes sistemas para su identificación electrónica y para la autenticación de los documentos electrónicos que produzcan: a) Sistemas de firma electrónica basados en la utilización de certificados de dispositivo seguro o medio equivalente que permita identificar la sede electrónica y el establecimiento con ella de comunicaciones seguras. b) Sistemas de firma electrónica para la actuación administrativa automatizada. c) Firma electrónica del personal al servicio de las Administraciones Públicas. d) Intercambio electrónico de datos en entornos cerrados de comunicación, conforme a lo específicamente acordado entre las partes.
Responsable funcional
Análisis
Explotación
Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15
Página 60 de 72 Autor: OSI
CÓDIGO
TÍTULO
FUNDAMENTO LEGAL
DESCRIPCIÓN
QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)
FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA
FASE EN QUE DEBE SER VÁLIDO
2.9.3.4
Utilización del DNI
LAE art. 14
Las personas físicas podrán, en todo caso y con carácter universal, utilizar los sistemas de firma electrónica incorporados al Documento Nacional de Identidad en su relación por medios electrónicos con las Administraciones Públicas. El régimen de utilización y efectos de dicho documento se regirá por su normativa reguladora.
Responsable funcional
Análisis
Explotación
2.9.3.5
Utilización de otros sistemas de firma electrónica avanzada
LAE art. 15
La relación de sistemas de firma electrónica avanzada admitidos, con carácter general, en el ámbito de cada Administración Pública, deberá ser pública y accesible por medios electrónicos. Dicha relación incluirá, al menos, información sobre los elementos de identificación utilizados así como, en su caso, las características de los certificados electrónicos admitidos, los prestadores que los expiden y las especificaciones de la firma electrónica que puede realizarse con dichos certificados.
Responsable funcional
Análisis
Explotación
Los certificados electrónicos expedidos a Entidades sin personalidad jurídica, previstos en la Ley 59/2003, de 19 de diciembre, de Firma Electrónica podrán ser admitidos por las Administraciones Públicas en los términos que estas determinen.
Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15
Página 61 de 72 Autor: OSI
CÓDIGO
TÍTULO
FUNDAMENTO LEGAL
DESCRIPCIÓN
QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)
2.9.3.6
Utilización de otros sistemas no criptográficos
LAE art. 16
Las Administraciones Públicas podrán determinar, teniendo en cuenta los datos e Responsable funcional intereses afectados, y siempre de forma justificada, los supuestos y condiciones de utilización por los ciudadanos de otros sistemas de firma electrónica, tales como claves concertadas en un registro previo, aportación de información conocida por ambas partes u otros sistemas no criptográficos.
FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA
FASE EN QUE DEBE SER VÁLIDO
Análisis
Explotación
En aquellos supuestos en los que se utilicen estos sistemas para confirmar información, propuestas o borradores remitidos o exhibidos por una Administración Pública, ésta deberá garantizar la integridad y el no repudio por ambas partes de los documentos electrónicos concernidos. Cuando resulte preciso, las Administraciones Públicas certificarán la existencia y contenido de las actuaciones de los ciudadanos en las que se hayan usado formas de identificación y autenticación a que se refiere este artículo.
Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15
Página 62 de 72 Autor: OSI
CÓDIGO
TÍTULO
FUNDAMENTO LEGAL
DESCRIPCIÓN
QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)
FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA
FASE EN QUE DEBE SER VÁLIDO
2.9.3.7
Interoperabilidad, acreditación y representación de la ciudadanía
LAE art. 21, 41
Los certificados electrónicos reconocidos emitidos por prestadores de servicios de certificación deben ser admitidos por las Administraciones Públicas como válidos para relacionarse con las mismas, siempre y cuando el prestador de servicios de certificación ponga a disposición de las Administraciones Públicas la información que sea precisa en condiciones que resulten tecnológicamente viables y sin que suponga coste alguno para aquellas.
Responsable funcional
Análisis
Explotación
Responsable funcional
Análisis
Explotación
Los sistemas de firma electrónica utilizados o admitidos por alguna Administración Pública distintos de los basados en los certificados a los que se refiere el apartado anterior deben ser asimismo admitidos por otras Administraciones, conforme a principios de reconocimiento mutuo y reciprocidad. Cada Administración Pública podrá disponer de los mecanismos necesarios para la verificación del estado de revocación y la firma con los certificados electrónicos admitidos en su ámbito de competencia. Podrá utilizarse la plataforma de verificación del estado de revocación de todos los certificados que la Administración General del Estado pone a disposición pública.
2.9.3.8
Identificación y acreditación de ciudadanos
LAE art. 22.1-2
En los supuestos en que para la realización de cualquier operación por medios electrónicos se requiera la identificación o autenticación del ciudadano, tal identificación o autenticación podrá ser validamente realizada por funcionarios públicos mediante el uso del sistema de firma electrónica del que estén dotados. Para la eficacia de lo dispuesto en el apartado anterior, el ciudadano deberá identificarse y prestar su consentimiento expreso, debiendo quedar constancia de ello para los casos de discrepancia o litigio.
SEDE ELECTRÓNICA Y AUTENTICACIÓ N DEL EJERCICIO DE LA CS/AVS Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15
Página 63 de 72 Autor: OSI
CÓDIGO
TÍTULO
FUNDAMENTO LEGAL
DESCRIPCIÓN
QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)
FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA
FASE EN QUE DEBE SER VÁLIDO
2.9.4.1
Constitución de la sede electrónica
LAE art.10
La sede electrónica debe garantizar la integridad, veracidad y actualización de la información y los servicios a los que pueda accederse a través de la misma. El titular de la sede (La Generalitat) debe determinar las condiciones e instrumentos de creación de las sedes electrónicas, con sujeción a los principios de publicidad oficial, responsabilidad, calidad, seguridad, disponibilidad, accesibilidad, neutralidad e interoperabilidad. En todo caso deberá garantizarse la identificación del titular de la sede, así como los medios disponibles para la formulación de sugerencias y quejas. Las sedes electrónicas debe disponer de sistemas que permitan el establecimiento de comunicaciones seguras siempre que sean necesarias. La publicación en las sedes electrónicas de informaciones, servicios y transacciones deben respetar los principios de accesibilidad y usabilidad de acuerdo con las normas establecidas al respecto, estándares abiertos y, en su caso, aquellos otros que sean de uso generalizado por los ciudadanos. La CS/AVS deberá considerar estos aspectos en tanto le corresponde la gestión, administración y los contenidos propios de su materia.
Responsable de seguridad
Estructural
Estructural
2.9.4.2
Identificación de la sede electrónica
LAE art.17
Las sedes electrónicas utilizarán, para identificarse y garantizar una comunicación segura con las mismas, sistemas de firma electrónica basados en certificados de dispositivo seguro o medio equivalente. La Conselleria de Sanitat deberá considerar estos aspectos en tanto le corresponde la gestión, administración y los contenidos propios de su materia.
Responsable de seguridad
Estructural
Estructural
Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15
Página 64 de 72 Autor: OSI
CÓDIGO
TÍTULO
FUNDAMENTO LEGAL
DESCRIPCIÓN
QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)
FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA
FASE EN QUE DEBE SER VÁLIDO
2.9.4.3
Sistemas de firma electrónica para la actuación administrativa automatizada
LAE art.18
Para la identificación y la autenticación del ejercicio de la competencia en la actuación administrativa automatizada, cada Administración Pública podrá determinar los supuestos de utilización de los siguientes sistemas de firma electrónica: a) Sello electrónico de Administración Pública, órgano o entidad de derecho público, basado en certificado electrónico que reúna los requisitos exigidos por la legislación de firma electrónica. b) Código seguro de verificación vinculado a la Administración Pública, órgano o entidad y, en su caso, a la persona firmante del documento, permitiéndose en todo caso la comprobación de la integridad del documento mediante el acceso a la sede electrónica correspondiente.
Responsable de seguridad
Estructural
Estructural
Cada Administración Pública podrá proveer a su personal de sistemas de firma Responsable electrónica, los cuales podrán identificar de forma conjunta al titular del puesto de de seguridad trabajo o cargo y a la Administración u órgano en la que presta sus servicios.
Estructural
Estructural
Estructural
Los certificados electrónicos a los que se hace referencia en el apartado 1.a) incluirán el número de identificación fiscal y la denominación correspondiente, pudiendo contener la identidad de la persona titular en el caso de los sellos electrónicos de órganos administrativos. La relación de sellos electrónicos utilizados por cada Administración Pública, incluyendo las características de los certificados electrónicos y los prestadores que los expiden, deberá ser pública y accesible por medios electrónicos. Además, cada Administración Pública adoptará las medidas adecuadas para facilitar la verificación de sus sellos electrónicos. 2.9.4.4
Sistemas de firma electrónica del personal al servicio de las AAPP
LAE art.18
La firma electrónica basada en el Documento Nacional de Identidad podrá utilizarse a los efectos de este artículo.
2.9.4.5
Registro de funcionarios habilitados
LAE art.22.3
La Conselleria de Sanitat mantendrá actualizado un registro de los funcionarios habilitados para la identificación o autenticación de los ciudadanos.
Responsable de seguridad
Estructural
2.9.4.6
Registros electrónicos
LAE art.24-6
Se tendrá en cuenta la existencia del registro electrónico a efectos de su consideración o interconexión con aplicaciones y servicios.
Responsable funcional
Estudio de viabilidad Explotación
GESTIÓN ADMINISTRATIV A ELECTRÓNICA
Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15
Página 65 de 72 Autor: OSI
CÓDIGO
DOCUMENTACI ÓN ADMINISTRATIV A 2.10.1.1
TÍTULO
FUNDAMENTO LEGAL
DESCRIPCIÓN
QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)
FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA
FASE EN QUE DEBE SER VÁLIDO
Generalización del archivo electrónico y garantía de integridad de documentos administrativos
LAE art.31
Debe poderse almacenar por medios electrónicos todos los documentos utilizados en las actuaciones administrativas.
Responsable funcional
Estudio de viabilidad Análisis
Los documentos electrónicos que contengan actos administrativos que afecten a derechos o intereses de los particulares deberán conservarse en soportes de esta naturaleza, ya sea en el mismo formato a partir del que se originó el documento o en otro cualquiera que asegure la identidad e integridad de la información necesaria para reproducirlo. Se asegurará en todo caso la posibilidad de trasladar los datos a otros formatos y soportes que garanticen el acceso desde diferentes aplicaciones. Los medios o soportes en que se almacenen documentos, deberán contar con medidas de seguridad que garanticen la integridad, autenticidad, confidencialidad, calidad, protección y conservación de los documentos almacenados. En particular, asegurarán la identificación de los usuarios y el control de accesos, así como el cumplimiento de las garantías previstas en la legislación de protección de datos. La OSI proporcionará información sobre la validez de las copias electrónicas de los documentos administrativos electrónicos.
Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15
Página 66 de 72 Autor: OSI
CÓDIGO
TÍTULO
FUNDAMENTO LEGAL
DESCRIPCIÓN
QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)
FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA
FASE EN QUE DEBE SER VÁLIDO
2.10.1.2
Regulación del expediente electrónico
LAE art.32
El foliado de los expedientes electrónicos debe llevarse a cabo mediante un índice electrónico, firmado por la Administración, órgano o entidad actuante, según proceda. Este índice debe garantizar la integridad del expediente electrónico y permitirá su recuperación siempre que sea preciso, siendo admisible que un mismo documento forme parte de distintos expedientes electrónicos.
Responsable funcional
Estudio de viabilidad Análisis
Responsable funcional
Estudio de viabilidad Análisis
La remisión de expedientes debe poder ser sustituida a todos los efectos legales por la puesta a disposición del expediente electrónico, teniendo el interesado derecho a obtener copia del mismo.
PROCEDIMIENT OS ADMINISTRATIV OS 2.10.2.1
Análisis y rediseño previo
LAE art.34
La aplicación de medios electrónicos a la gestión de los procedimientos, procesos y servicios irá siempre precedida de la realización de un análisis de rediseño funcional y simplificación del procedimiento, proceso o servicio, en el que se considerarán especialmente los siguientes aspectos: a) La supresión o reducción de la documentación requerida a los ciudadanos, mediante su sustitución por datos, transmisiones de datos o certificaciones, o la regulación de su aportación al finalizar la tramitación. b) La previsión de medios e instrumentos de participación, transparencia e información. c) La reducción de los plazos y tiempos de respuesta. d) La racionalización de la distribución de las cargas de trabajo y de las comunicaciones internas.
Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15
Página 67 de 72 Autor: OSI
CÓDIGO
TÍTULO
FUNDAMENTO LEGAL
DESCRIPCIÓN
QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)
FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA
FASE EN QUE DEBE SER VÁLIDO
2.10.2.2
Iniciación de un procedimiento por medios electrónicos
LAE art.35
Se deben disponer a los interesados los correspondientes modelos o sistemas electrónicos de solicitud en la sede electrónica que deberán ser accesibles sin otras restricciones tecnológicas que las estrictamente derivadas de la utilización de estándares atendiendo a neutralidad tecnológica, adaptabilidad al progreso tecnológico y a criterios de comunicación y seguridad aplicables de acuerdo con las normas y protocolos nacionales e internacionales.
Responsable funcional
Estudio de viabilidad Análisis
Responsable funcional
Estudio de viabilidad Análisis
Los interesados deben poder aportar al expediente copias digitalizadas de los documentos, cuya fidelidad con el original garantizarán mediante la utilización de firma electrónica avanzada. La Administración Pública debe poder solicitar del correspondiente archivo el cotejo del contenido de las copias aportadas. Ante la imposibilidad de este cotejo y con carácter excepcional, podrá requerir al particular la exhibición del documento o de la información original. La aportación de tales copias implica la autorización a la Administración para que acceda y trate la información personal contenida en tales documentos.
2.10.2.3
Instrucción de un procedimiento por medios electrónicos
Con objeto de facilitar y promover su uso, los sistemas normalizados de solicitud deberán poder incluir comprobaciones automáticas de la información aportada respecto de datos almacenados en sistemas propios o pertenecientes a otras administraciones e, incluso, ofrecer el formulario cumplimentado, en todo o en parte, con objeto de que el ciudadano verifique la información y, en su caso, la modifique y complete. LAE arts. 27-8, 36 Las aplicaciones y sistemas de información utilizados para la instrucción por medios electrónicos de los procedimientos deberán garantizar el control de los tiempos y plazos, la identificación de los órganos responsables de los procedimientos así como la tramitación ordenada de los expedientes y facilitar la simplificación y la publicidad de los procedimientos. Cuando se utilicen medios electrónicos para la participación de los interesados en la instrucción del procedimiento a los efectos del ejercicio de su derecho a presentar alegaciones en cualquier momento anterior a la propuesta de resolución o en la práctica del trámite de audiencia cuando proceda, se deben emplear los medios de comunicación y notificación establecidos legalmente (la OSI proporcionará información sobre estas condiciones).
Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15
Página 68 de 72 Autor: OSI
CÓDIGO
TÍTULO
FUNDAMENTO LEGAL
DESCRIPCIÓN
QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)
FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA
FASE EN QUE DEBE SER VÁLIDO
2.10.2.4
Condiciones del acceso de los interesados a la información sobre el estado de tramitación
LAE arts. 37
En los procedimientos administrativos gestionados en su totalidad electrónicamente, el órgano que tramita el procedimiento debe poner a disposición del interesado un servicio electrónico de acceso restringido donde éste pueda consultar, previa identificación, al menos la información sobre el estado de tramitación del procedimiento, salvo que la normativa aplicable establezca restricciones a dicha información.
Responsable funcional
Estudio de viabilidad Análisis
La resolución de un procedimiento utilizando medios electrónicos debe garantizar Responsable la identidad del órgano competente mediante el empleo de alguno de los funcional instrumentos de firma electrónica previstos.
Estudio de viabilidad Análisis
La información sobre el estado de tramitación del procedimiento comprenderá la relación de los actos de trámite realizados, con indicación sobre su contenido, así como la fecha en la que fueron dictados. En el resto de los procedimientos se deben habilitar igualmente servicios electrónicos de información del estado de la tramitación que comprendan, al menos, la fase en la que se encuentra el procedimiento y el órgano o unidad responsable.
2.10.2.5
Terminación de procedimiento por medios electrónicos
LAE arts. 38
Deberá poder adoptarse y notificarse resoluciones de forma automatizada en aquellos procedimientos en los que así esté previsto. 2.10.2.6
Condiciones de la actuación administrativa automatizada
LAE arts. 39
En caso de actuación automatizada deberá establecerse previamente el órgano u órganos competentes, según los casos, para la definición de las especificaciones, programación, mantenimiento, supervisión y control de calidad y, en su caso, auditoría del sistema de información y de su código fuente. Asimismo, se indicará el órgano que debe ser considerado responsable a efectos de impugnación.
Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15
Responsable funcional
Estudio de viabilidad Análisis
Página 69 de 72 Autor: OSI
Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15
Página 70 de 72 Autor: OSI
FICHA TÉCNICA La presente LBS/Pre (Línea Base de Seguridad/Preseleccionada) recoge un conjunto preconfigurado de controles técnicos y organizativos que pueden ser utilizados como punto de partida para aplicar las medidas de seguridad exigibles a un sistema de información. La preselección de estos controles atiende a un cierto nivel de protección, en función de la naturaleza del sistema de información. Se trata, por tanto, de una agrupación de controles de seguridad seleccionados bajo unos criterios genéricos y listos para llevar…y utilizar. La presente LBS/Pre-[II] corresponde a un sistema de información automatizado y/o en papel que trata datos de personal. En general, los datos personales poseen un nivel de criticidad medio puesto que puede incorporar datos de sanciones. Los datos de salud, como minusvalías, y los sindicales, al servir únicamente para propósitos de pagos (nóminas), no aumentan el nivel de la protección de estos datos. Esta LBS cubre las dimensiones de seguridad de la información en los siguientes niveles:
DIMENSIÓN DE SEGURIDAD
NIVEL DE PROTECCIÓN
DATOS PERSONALES
MEDIO
SISTEMA DE TRATAMIENTO
AUTOMATIZADO Y/O EN PAPEL
DISPONIBILIDAD
BAJO
AUTENTICIDAD
MEDIO
INTEGRIDAD
MEDIO
CONFIDENCIALIDAD
MEDIO
TRAZABILIDAD
MEDIO
Esta caracterización define un sistema de categoría alta según el ENS:
CATEGORÍA ENS:
MEDIA
Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15
Página 71 de 72 Autor: OSI
NORMATIVA [LOPD] [RLOPD]
[G-ENS] [ENS] [RTMS] [OFI]
[LAE] [PSI-GV] [ORSI-CS] [OFJ-CS]
Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal Guías CCN de implantación del ENS Real Decreto 3/2010, de 8 de enero, Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica ORDEN de 3 de diciembre de 1999, Reglamento Técnico de Medidas de Seguridad para la Aprobación y Homologación de Aplicaciones DECRETO 96/1998, de 6 de julio, Organización de la función informática, la utilización de los sistemas de información y el registro de de ficheros informatizados en el ámbito de la administración de la Generalitat Valenciana Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos DECRETO 66/2012, de 27 de abril, Política de Seguridad de la Información de la Generalitat Valenciana ORDEN 9/2012, de 10 de julio, Organización de Seguridad de la Información de la Conselleria de Sanitat ORDEN 11/2011, de 21 de octubre, Creación de ficheros jurídicos de la Conselleria de Sanitat
Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15