Pre-[II]: REQUISITOS DE SEGURIDAD PARA EL TRATAMIENTO DE DATOS DE PERSONAL

LBS/Pre-[II]: REQUISITOS DE SEGURIDAD PARA EL TRATAMIENTO DE DATOS DE PERSONAL Conselleria de Sanitat - Misser Mascó, 31 y 33 • 46010 VALÈNCIA • Tel.

0 downloads 76 Views 1MB Size

Recommend Stories


Requisitos de seguridad para proveedores de BT
Requisitos de seguridad para proveedores de BT Índice 1. Introducción y ámbito de aplicación ........................................................

Cercas de Seguridad Personal
Cercas de Seguridad Personal Por Nancy Leigh DeMoss Mantente vigilante A medida que he estudiado la Biblia, observado las vidas de otros, y echado una

POLITICAS Y PROCEDIMIENTOS PARA EL TRATAMIENTO DE DATOS PERSONALES
POLITICAS Y PROCEDIMIENTOS PARA EL TRATAMIENTO DE DATOS PERSONALES MANUAL INTERNO DE POLITICAS Y PROCEDIMIENTOS PARA EL TRATAMIENTO DE DATOS PERSONAL

EL SEÑOR MINISTRO DE SEGURIDAD COMUNICA PARA CONOCIMIENTO DEL PERSONAL
BOLETIN INFORMATIVO ______________________________________________________________________________________________ Nº 52 LA PLATA, viernes 14 de nov

Requisitos Para el Registro
Requisitos Para el Registro Necesita lo Siguente para el Registro: *Completar el paquete de registro para cada alumno (Incluyendo los Translados Cambi

Transporte S.A. REQUISITOS DE SEGURIDAD PARA CONTRATISTAS. Aprobacien. ElaboraciOn
COPIA NO CONTROLADA Transporte S.A. REQUISITOS DE SEGURIDAD PARA CONTRATISTAS ElaboraciOn Aprobacien Nombre: alter Nogales Cargo : Subgerente de S

Story Transcript

LBS/Pre-[II]: REQUISITOS DE SEGURIDAD PARA EL TRATAMIENTO DE DATOS DE PERSONAL

Conselleria de Sanitat - Misser Mascó, 31 y 33 • 46010 VALÈNCIA • Tel. 96 386 66 00 • Fax 96 386 66 07

Estado actual Nombre Código LBS/Pre-[II] : Requisitos de seguridad para el tratamiento de datos de personal SI-LBS/Pre-[II] Contenido Línea base de seguridad genérico para un sistema de información de gestión de personal con tratamiento mixto (informatizado y en papel). Estado Publicado

Ver. 2.0

Modificación 14/01/2015

Autor OSI

Ubicación/URL http://colabora.san.gva.es/SISAN/LBS

Autor OSI OSI

Descripción de la versión/Cambios realizados Versión inicial Actualización legislación

Historia del documento Estado Obsoleto Publicado

Ver. 1.0 2.0

Fecha 21/07/2011 14/01/2015

Difusión Para Organización de la seguridad

Rol Responsables de seguridad/funcionales/técnicos/accesos

Documentos relacionados Título Política de seguridad

Relación Marco global

Índice LBS/PRE-[II]........................................................................................................................3 CONTROLES DE SEGURIDAD DE LA LBS/PRE-[II] ........................................................4 FICHA TÉCNICA...............................................................................................................71

Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15

Página 2 de 72 Autor: OSI

LBS/Pre-[II] Este documento contiene una preselección de controles de seguridad técnicos y organizativos exigibles para el tratamiento de datos de personal, tanto informatizado como en papel. La selección se ha realizado atendiendo a las características genéricas de un sistema de gestión de personal o nóminas. En este sentido, la LBS/Pre-[II] puede servir como una buena aproximación inicial a la implantación de controles de seguridad en dichos sistemas de información. Las características técnicas de la preselección pueden encontrarse en el anexo Ficha Técnica. Asimismo, la información que se entrega en este documento se encuentra actualizada en formato hoja de cálculo, de forma que permita su ordenación y filtrado según necesidades específicas. La ubicación de esta hoja de cálculo es la siguiente: http://colabora.san.gva.es/SISAN/LBS

Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15

Página 3 de 72 Autor: OSI

CONTROLES DE SEGURIDAD DE LA LBS/Pre-[II] CÓDIGO

TÍTULO

FUNDAMENTO LEGAL

DESCRIPCIÓN

QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)

FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA

FASE EN QUE DEBE SER VÁLIDO

Definición y aprobación de la Política de seguridad de la información

ENS art. 11; II.org.1 PSI-GV

Se debe tener en cuenta la Política de Seguridad de la Información de la Responsable Generalitat Valenciana, decreto 66/2012, de 27 de abril, del Consell, en tanto que de seguridad supone un marco legal para los sistemas de información de la Conselleria de Sanitat.

Estructural

Estructural

Creación de la estructura organizativa central de la seguridad de la información

ORSI-CS art. 5, III Se debe tener en cuenta la estructura organizativa central de la seguridad y asignar las responsabilidades y funciones, conforme a lo estipulado en la Orden 8/2011 del Conseller de Sanitat por la que se establece la organización de la seguridad de la información en la Conselleria de Sanitat [ORSI-CS].

Responsable de seguridad

Estructural

Estructural

Creación de la estructura organizativa periférica de la seguridad de la información

ORSI-CS art. 6

Se debe tener en cuenta la estructura organizativa periférica de la seguridad Responsable (esto es, en departamentos y direcciones territoriales) y asignar las de seguridad responsabilidades y funciones, conforme a lo estipulado en la Orden 8/2011 del Conseller de Sanitat por la que se establece la organización de la seguridad de la información en la Conselleria de Sanitat [ORSI-CS].

Estructural

Estructural

Pertinencia de los datos

LOPD art. 4.1 RLOPD art. 8.2

Se deben recoger y tratar los datos sólo si son adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.

Análisis

Implantación

ORGANIZATIVOS POLÍTICA DE SEGURIDAD 1.1.1.1

ESTRUCTURA ORGANIZATIVA DE LA SEGURIDAD 1.2.1.1

1.2.1.2

CALIDAD DE LOS DATOS 1.3.1.1

Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15

Responsable funcional

Página 4 de 72 Autor: OSI

CÓDIGO

TÍTULO

FUNDAMENTO LEGAL

DESCRIPCIÓN

QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)

FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA

FASE EN QUE DEBE SER VÁLIDO

1.3.1.2

Uso de los datos para los fines autorizados

LOPD art. 4.1 RLOPD art. 8.2, 9.1

No se deben usar los datos para finalidades incompatibles con aquellas para las que hayan sido recogidos. Esto no es incompatible con el tratamiento para fines históricos, estadísticos o científicos, según lo especificado en sus propias disposiciones legales.

Responsable funcional

Análisis

Implantación

1.3.1.3

Exactitud de los datos

LOPD art. 4.2, 4.3 Se deben mantener los datos exactos y puestos al día. Se deben cancelar y RLOPD art. 8.5 sustituir de oficio los datos que resulten inexactos en el plazo de diez días desde el conocimiento de la inexactitud, y completar los que estén incompletos.

Responsable funcional

Análisis

Implantación

Se debe notificar a los posibles cesionarios la rectificación o cancelación de datos efectuada, en el plazo de diez días, indicándoles que disponen a su vez de diez días para efectuar la rectificación o cancelación en su fichero.

1.3.1.4

Cancelación de datos innecesarios

LOPD art. 4.5 RLOPD art. 8.6

Se deben cancelar los datos cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados. El anexo I recoge los plazos de conservación de datos sanitarios.

Responsable funcional

Análisis

Implantación

1.3.1.5

Conservación de los datos estrictamente necesaria

LOPD art. 4.5 RLOPD art. 8.6

No se deben conservar los datos en forma que permita la identificación del interesado durante un período superior al necesario para los fines en base a los cuales hubieran sido recabados o registrados. El anexo I recoge los plazos para la conservación de datos en el ámbito sanitario.

Responsable funcional

Análisis

Implantación

1.3.1.6

Almacenamiento de los datos que garantice los derechos de acceso

LOPD art. 4.6 RLOPD art. 8.7

Se deben almacenar los datos de forma que permitan el ejercicio del derecho de acceso, salvo que sean legalmente cancelados.

Responsable funcional

Análisis

Explotación

IDENTIFICACIÓN Y CLASIFICACIÓN DE LA INFORMACIÓN IDENTIFICACIÓN Y CLASIFICACIÓN Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15

Página 5 de 72 Autor: OSI

CÓDIGO

TÍTULO

FUNDAMENTO LEGAL

DESCRIPCIÓN

1.4.1.1

Identificación de la información de carácter personal

OFJ-CS

Se debe identificar la información sensible de carácter personal que maneja el Responsable sistema, principalmente los datos especialmente protegidos (a saber, datos sobre funcional ideología, afiliación sindical, religión, creencias, origen racial o étnico, salud y vida sexual) y los relativos a la comisión de infracciones penales o administrativas.

1.4.1.2

Asignación del nivel de seguridad aplicable

RLOPD arts. 80, Se debe determinar el nivel de las medidas de seguridad a aplicar a cada fichero 81 y sistema de información, según la clasificación y los criterios establecidos en el ENS I; II.mp.info.2 RLOPD y el ENS. Se atenderá para ello a la naturaleza de los datos, el tipo de tratamiento y el impacto que su pérdida ocasionaría a la organización.

Responsable funcional

Estudio de viabilidad Análisis

Correspondencia con los ficheros inscritos en la AEPD

LOPD art. 20; RLOPD arts. 5264 OFJ-CS

La información de carácter personal que maneja el sistema debe quedar completamente integrada en la declaración general de ficheros jurídicos de la Conselleria de Sanitat ante la Agencia española de protección de datos (AEPD), la cual fue definida en la Orden 11/2011, de 21 de octubre [OFJ-CS]. Asimismo, se debe identificar qué ficheros jurídicos de la declaración general quedan afectados por el sistema o fichero físico. Esta correspondencia se registrará en el Documento de Seguridad (DS). La OSI Oficina de Seguridad de la Información proporcionará ayuda para la concordancia del fichero físico o sistema con los ficheros jurídicos inscritos, y posibles gestiones que se deban realizar.

Responsable funcional

Estudio de viabilidad Explotación

Origen y procedencia de los datos, y posibles cesiones

OFJ-CS

Se debe identificar el origen y la procedencia de datos, y su posible cesión a terceros.

Responsable funcional

Estudio de viabilidad Explotación

VINCULACIÓN A LA ESTRUCTURA GENERAL DE FICHEROS DE LA CS/AVS 1.4.2.1

1.4.2.2

QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)

FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA

FASE EN QUE DEBE SER VÁLIDO

Estudio de viabilidad Análisis

DOCUMENTO DE SEGURIDAD

Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15

Página 6 de 72 Autor: OSI

CÓDIGO

DESCRIPCIÓN

QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)

FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA

FASE EN QUE DEBE SER VÁLIDO

Existencia del documento RLOPD art.88.1 de seguridad

Debe definirse un documento de seguridad DS (asociado al fichero declarado ante la AEPD), que sea de carácter interno y que recoja las medidas de índole técnica y organizativa de obligado cumplimiento para el personal con acceso al sistema de información.

Responsable de seguridad

Estructural

Estructural

1.5.1.2

Inclusión en el DS del detalle de las funciones y obligaciones del personal

RLOPD art.88.3

El DS debe recoger las funciones y obligaciones del personal vinculado al sistema.

Responsable de seguridad

Estructural

Estructural

1.5.1.3

Inventario de activos (contenido mínimo)

RLOPD art.88.3 PSI-GV art. 5

El DS, en su sección "ámbito de aplicación", debe detallar los recursos protegidos de mi sistema, directamente o mediante referencia al inventario de activos.

Responsable de seguridad

Estructural

Estructural

CONTENIDO DEL DOCUMENTO DE SEGURIDAD 1.5.1.1

TÍTULO

FUNDAMENTO LEGAL

El DS debe recoger una descripción del sistema de información, incluidos los ficheros que contienen datos personales, directamente o mediante referencia al inventario de activos.

Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15

Página 7 de 72 Autor: OSI

CÓDIGO

TÍTULO

FUNDAMENTO LEGAL

DESCRIPCIÓN

QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)

FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA

FASE EN QUE DEBE SER VÁLIDO

1.5.1.4

Inventario de activos (contenido completo)

ENS II.op.exp.1, II.op.pl.2; IV

Debe existir un inventario de activos actualizado, que contenga todos los elementos del sistema, detalle su naturaleza e identifique a su propietario; es decir, la persona que es responsable de las decisiones relativas al mismo (responsable funcional de aplicaciones y servicios).

Responsable de seguridad

Estructural

Estructural

En el inventario de activos se debe detallar: la estructura de la información, los servicios, las aplicaciones (software), equipos (hardware), las comunicaciones, los recursos administrativos, recursos físicos y recursos humanos. De forma especial debe incluir los ficheros y aplicaciones que traten datos de carácter personal. Debe asimismo incluir la documentación de la arquitectura de seguridad, consistente en: a) Documentación de las instalaciones: Áreas; Puntos de acceso. b) Documentación del sistema: Equipos; Redes internas y conexiones al exterior; Puntos de acceso al sistema (puestos de trabajo y consolas de administración). c) Esquema de líneas de defensa: Puntos de interconexión a otros sistemas o a otras redes, en especial si se trata de Internet; Cortafuegos, DMZ, etc.; Utilización de tecnologías diferentes para prevenir vulnerabilidades que pudieran perforar simultáneamente varias líneas de defensa. d) Sistema de identificación y autenticación de usuarios: Uso de claves concertadas, contraseñas, tarjetas de identificación, biometría, u otras de naturaleza análoga; Uso de ficheros o directorios para autenticar al usuario y determinar sus derechos de acceso. e) Controles técnicos internos: Validación de datos de entrada, salida y datos intermedios. f) Sistema de gestión con actualización y aprobación periódica.

Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15

Página 8 de 72 Autor: OSI

CÓDIGO

TÍTULO

FUNDAMENTO LEGAL

DESCRIPCIÓN

1.5.1.5

Inclusión en el DS de procedimientos de seguridad

RLOPD art.88.3 ENS II.mp.info.2

1.5.1.6

Inclusión en el DS de la identificación del responsable de seguridad

1.5.1.7

FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA

FASE EN QUE DEBE SER VÁLIDO

Responsable El DS debe recoger normas, procedimientos de actuación, reglas y estándares de seguridad adecuados a la seguridad del sistema. Concretamente los siguientes: - Procedimientos de notificación, gestión y respuesta ante incidencias. - Procedimientos de copias de respaldo y recuperación de ficheros automatizado. - Las medidas a aplicar para el transporte de soportes y documentos. - Las medidas a aplicar en el caso de la destrucción y/o reutilización de soportes y documentos. - Procedimientos y medidas de control de acceso a la información. - Procedimientos y medidas de seguridad para el almacenamiento de la información - Procedimiento de etiquetado de soportes. - Procedimientos y medidas de seguridad en la transmisión telemática de la información. - Cualquier otra actividad relacionada con la información.

Estructural

Estructural

RLOPD art.88.4; RLOPD art.95

El DS debe identificar a los responsables de seguridad y sobre qué ficheros o tratamientos ejercen su función.

Responsable de seguridad

Estructural

Estructural

Delegación de autorizaciones en el DS

RLOPD art.84

Las autorizaciones relativas a los controles que se atribuyen al responsable del Responsable fichero o tratamiento podrán ser delegadas en las personas designadas al efecto. de seguridad En el DS deberán constar las personas habilitadas para otorgar estas autorizaciones así como aquellas en las que recae dicha delegación. En ningún caso esta designación supone una delegación de la responsabilidad que corresponde al responsable del fichero.

Estructural

Estructural

1.5.1.8

Indicación en el DS de los controles de cumplimiento de las medidas

RLOPD art.88.4

El DS debe señalar las revisiones periódicas que permitan validar el cumplimiento de las medidas indicadas en el mismo DS.

Responsable de seguridad

Estructural

Estructural

1.5.1.9

Indicación en el DS de los terceros encargados de tratamiento

RLOPD art.88.5

El DS debe referenciar cualquier tratamiento por terceros, indicando en tal caso: los ficheros o tratamientos afectados, los documentos o contratos que regulen dicho encargo, el período de vigencia del encargo, así como la identificación de los responsables del encargo.

Responsable de seguridad

Estudio de viabilidad Explotación

Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15

QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)

Página 9 de 72 Autor: OSI

CÓDIGO

TÍTULO

FUNDAMENTO LEGAL

DESCRIPCIÓN

QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)

FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA

FASE EN QUE DEBE SER VÁLIDO

1.5.1.10

Indicación en el DS del acceso de los encargados de tratamiento a los datos

RLOPD art. 82.1

El DS debe recoger la circunstancia, si esta se da, de que el personal del encargado de tratamiento está autorizado a acceder a los datos, a los soportes que los contienen o al sistema de información que los trata; e indica si el acceso se hace de forma local o remota. Véase el apartado correspondiente a la figura del encargado de tratamiento.

Responsable de seguridad

Análisis

Explotación

Actualización del DS

RLOPD art.88.7

Se debe actualizar en el DS cualquier cambio relevante en el sistema de información, en la organización (esto es, que pueda repercutir a las medidas de seguridad implantadas), o a resultas de cambios en la legislación vigente (esto es, que exija la adopción de nuevas medidas de seguridad).

Responsable de seguridad

Estructural

Estructural

Términos de los que informar al interesado en la recogida de datos

LOPD arts. 5.1-3, 24 ORSI-CS art.11

Se debe informar a los interesados a los que se solicitan datos personales: - De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información. - De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición. - De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.

Responsable de seguridad

Análisis

Explotación

ACTUALIZACIÓN DEL DOCUMENTO DE SEGURIDAD 1.5.2.1

EJERCICIO DE DERECHOS DERECHO DE INFORMACIÓN 1.6.1.1

Se debe incluir en los formularios de recogida de datos (en caso de haberlos), de forma claramente legible, la información indicada anteriormente. La Conselleria proporcionará el texto modelo de referencia.

Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15

Página 10 de 72 Autor: OSI

CÓDIGO

TÍTULO

FUNDAMENTO LEGAL

DESCRIPCIÓN

QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)

FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA

FASE EN QUE DEBE SER VÁLIDO

1.6.1.2

Información al interesado en caso de recogida indirecta de datos

LOPD art. 5.4-5

Cuando los datos de carácter personal no hayan sido recabados del interesado, se le debe informar de los términos anteriores, de forma expresa, precisa e inequívoca, dentro de los tres meses siguientes al momento del registro de los datos, salvo que ya hubiera sido informado con anterioridad o cuando expresamente una Ley lo prevea, cuando el tratamiento tenga fines históricos, estadísticos o científicos, o cuando la información al interesado resulte imposible o exija esfuerzos desproporcionados, a criterio de la Agencia de Protección de Datos.

Responsable de seguridad

Análisis

Explotación

1.6.1.3

Acreditación del cumplimiento del deber de información

RLOPD art.18

Se debe acreditar el cumplimiento del deber de información y conservar el medio utilizado para ello.

Responsable de seguridad

Análisis

Explotación

Garantía del derecho de acceso

LOPD arts. 15, 17; RLOPD arts. 27, 28, 29.3

Se debe garantizar al interesado su derecho a solicitar y obtener gratuitamente información de sus datos de carácter personal sometidos a tratamiento, el origen de dichos datos así como las comunicaciones realizadas o que se prevén hacer de los mismos, en forma legible e inteligible, sin utilizar claves o códigos que requieran el uso de dispositivos mecánicos específicos.

Responsable de seguridad

Análisis

Explotación

1.6.2.2

Procedimiento y gratuidad de la consulta

LOPD art. 17; RLOPD art. 28

Se debe establecer un sistema de consulta del fichero para el interesado y que asegura la comunicación escrita si éste lo exige. No se exigirá contraprestación alguna por el ejercicio de este derecho.

Responsable de seguridad

Análisis

Explotación

1.6.2.3

Plazo de resolución de las solicitudes

RLOPD art. 29.1

Se debe resolver sobre la solicitud de acceso en el plazo máximo de un mes a contar desde la recepción de la solicitud

Responsable de seguridad

Análisis

Explotación

1.6.2.4

Plazo de ejecución del derecho de acceso e información al interesado

RLOPD art. 29.2, 30

Si la solicitud ha sido estimada, se debe hacer efectivo el acceso durante los diez Responsable días siguientes a la resolución de la solicitud de acceso. de seguridad En caso de denegar el acceso, se debe informar al interesado de su derecho a recabar la tutela de la Agencia Española de Protección de Datos o, en su caso, de las autoridades de control de las comunidades autónomas, conforme a lo dispuesto en el artículo 18 de la Ley Orgánica

Análisis

Explotación

DERECHO DE ACCESO 1.6.2.1

Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15

Página 11 de 72 Autor: OSI

CÓDIGO

TÍTULO

FUNDAMENTO LEGAL

DESCRIPCIÓN

QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)

FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA

FASE EN QUE DEBE SER VÁLIDO

1.6.3.1

Plazo de ejecución de derechos de rectificación, cancelación y oposición

LOPD art. 16.1-2; RLOPD art. 32.2; art. 35

Se debe resolver sobre la solicitud de rectificación, cancelación u oposición del interesado en el plazo de diez días. Se deben rectificar o cancelar, en su caso, los datos de carácter personal cuyo tratamiento no se ajuste a lo dispuesto en la LOPD y, en particular, cuando tales datos resulten inexactos o incompletos.

Responsable de seguridad

Análisis

Explotación

1.6.3.2

Gratuidad de la rectificación, cancelación u oposición

LOPD art. 17

No se exigirá contraprestación alguna por el ejercicio de los derechos de oposición, rectificación o cancelación.

Responsable de seguridad

Análisis

Explotación

1.6.3.3

Bloqueo de los datos

LOPD art. 16.3, art. 16.5

Se deben bloquear los datos objeto de cancelación. Se deben conservar únicamente a disposición de las Administraciones Públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento, durante el plazo de prescripción de éstas. Los datos deben conservarse durante los plazos previstos en las disposiciones aplicables o, en su caso, en las relaciones contractuales entre la persona o entidad responsable del tratamiento y el interesado. Se debe proceder a su supresión cumplido el citado plazo. El anexo I recoge los plazos para la conservación de datos en el ámbito sanitario.

Responsable de seguridad

Análisis

Explotación

1.6.3.4

Notificación a posibles cesionarios

LOPD art. 16.4; RLOPD art. 32.3

Se debe notificar la rectificación o cancelación efectuada a quien se hayan comunicado, en un plazo máximo de diez días.

Responsable de seguridad

Análisis

Explotación

1.6.3.5

Notificación al interesado

LOPD art. 23, art. 18; RLOPD art. 33.3

Ante la denegación de los derechos de rectificación y cancelación, se debe informar al interesado de su derecho a recabar la tutela de la Agencia Española de Protección de Datos o, en su caso, de las autoridades de control de las Comunidades Autónomas, conforme a lo dispuesto en el artículo 18 de la LOPD.

Responsable de seguridad

Análisis

Explotación

DERECHOS DE RECTIFICACIÓN, CANCELACIÓN Y OPOSICIÓN

CONSENTIMIEN TO PARA EL TRATAMIENTO

Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15

Página 12 de 72 Autor: OSI

CÓDIGO

TÍTULO

FUNDAMENTO LEGAL

DESCRIPCIÓN

QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)

FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA

FASE EN QUE DEBE SER VÁLIDO

1.6.4.1

Consentimiento para el tratamiento

LOPD art. 6, 7, 8; RLOPD art. 10

Se debe recabar el consentimiento del interesado para aquellos tratamientos de datos que no correspondan al ejercicio de las funciones propias de la Conselleria de Sanitat en el ámbito de sus competencias.

Responsable de seguridad

Análisis

Explotación

Responsable de seguridad

Análisis

Explotación

La Oficina de Seguridad de la Información OSI proporcionará asesoramiento ante escenarios en los que haya dudas sobre la necesidad del consentimiento del interesado.

CONSENTIMIEN TO PARA LA CESIÓN 1.6.5.1

Legitimidad de la cesión y necesidad de consentimiento

GESTIÓN DE PERSONAL DEFINICIÓN DE LAS FUNCIONES Y OBLIGACIONES DEL PERSONAL 1.7.1.1 Definición de las funciones y obligaciones del personal 1.7.1.2

Definición de autorizaciones delegadas

LOPD arts. 11,12, 21.3-4; RLOPD arts. 10, 12, 13, 14, 15, 16, 17

Debe considerarse la legitimidad y la posible necesidad de recabar el consentimiento del interesado, en escenarios en los que se vaya a producir una cesión de datos de carácter personal.

RLOPD art. 89

Las funciones y obligaciones de cada uno de los usuarios o perfiles de usuarios con acceso a los datos de carácter personal y a los sistemas de información deben estar claramente definidas.

Responsable funcional

Análisis

Explotación

RLOPD art. 84, art.89.1

Se deben definir y documentar las funciones de control o autorizaciones delegadas por el responsable del tratamiento. En el DS debe constar tanto las autorizaciones como las personas habilitadas para otorgarlas.

Responsable funcional

Análisis

Explotación

La Oficina de Seguridad de la Información proporcionará asesoramiento cuando existan dudas al respecto.

Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15

Página 13 de 72 Autor: OSI

CÓDIGO

TÍTULO

FUNDAMENTO LEGAL

DESCRIPCIÓN

QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)

FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA

FASE EN QUE DEBE SER VÁLIDO

1.7.1.3

Procedimientos de seguridad

ENS II.org.3

Se deben definir una serie de procedimientos que detallen de forma clara y precisa: a) Cómo llevar a cabo las tareas habituales. b) Quién debe hacer cada tarea. c) Cómo identificar y reportar comportamientos anómalos.

Responsable funcional

Análisis

Explotación

Conocimiento de las normas

RLOPD art.89.2 ENS II.mp.per.2

Se deben adoptar las medidas necesarias para que el personal conozca de una forma comprensible las normas de seguridad que afecten al desarrollo de sus funciones así como las consecuencias en que pudiera incurrir en caso de incumplimiento.

Responsable de seguridad

Análisis

Explotación

Verificación del conocimiento y cumplimiento

ENS art. 14.1 RTMS art. 41.2, 34

Se debe comprobar de un modo objetivo que el usuario conoce las medidas de seguridad y verifica que sigue los procedimientos establecidos.

Responsable de seguridad

Análisis

Explotación

ENS art. 14.1; II.mp.per.3-4 PSI-GV art.3.1 RTMS art. 41.1; LAE D.Adic. 2ª

Se debe diseñar y aplicar un Plan de formación y concienciación de usuarios que incluya aspectos de seguridad informática, deberes y obligaciones, tanto generales como específicos del sistema de información. El plan debe incorporar canales de información y participación adecuados que hagan efectiva la colaboración del personal en la prevención, detección y control de los riesgos derivados de actuaciones negligentes, ignorancia de las normas, fallos técnicos, de organización o de coordinación, o instrucciones inadecuadas. El plan debe desarrollarse en un período aceptable de tiempo y de forma regular.

Responsable de seguridad

Análisis

Implantación

DIVULGACIÓN DE LAS FUNCIONES Y OBLIGACIONES 1.7.2.1

1.7.2.2

FORMACIÓN Y CONCIENCIACIÓ N DEL PERSONAL 1.7.3.4 Plan de formación y concienciación de usuarios

AUTORIZACIÓN Y CREDENCIALES

Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15

Página 14 de 72 Autor: OSI

CÓDIGO

TÍTULO

FUNDAMENTO LEGAL

DESCRIPCIÓN

1.7.4.1

Proceso de autorización

ENS II.org.4

Debe existir un proceso formal de autorizaciones que cubran todos los elementos Responsable de seguridad del sistema de información: a) Utilización de instalaciones, habituales y alternativas. b) Entrada de equipos en producción, en particular, equipos que involucren criptografía. c) Entrada de aplicaciones en producción. d) Establecimiento de enlaces de comunicaciones con otros sistemas. e) Utilización de medios de comunicación, habituales y alternativos. f) Utilización de soportes de información. g) Utilización de equipos móviles (ordenadores portátiles, PDA, u otros de naturaleza análoga).

1.7.4.2

Aprobación de la credencial

ORSI-CS art. 11.4 El responsable funcional de aplicaciones y servicios debe aprobar la credencial de acceso (la estándar u otra con cláusulas adicionales específicas) para el acceso al sistema de información.

Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15

QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)

Responsable de accesos

FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA

FASE EN QUE DEBE SER VÁLIDO

Estructural

Estructural

Análisis

Explotación

Página 15 de 72 Autor: OSI

CÓDIGO

TÍTULO

FUNDAMENTO LEGAL

DESCRIPCIÓN

QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)

FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA

FASE EN QUE DEBE SER VÁLIDO

1.7.4.3

Estructura de la credencial

LOPD art. 10 ENS II.op.acc.4 RTMS art. 34, 40.2

La credencial debe ser comprensible y contener los siguientes aspectos:

Responsable funcional

Análisis

Explotación

1. Obligaciones generales; entre las cuales están: a) Responsabilidad en el mantenimiento de las claves de acceso. El usuario tiene el deber de secreto con relación a las mismas. b) Notificar al responsable de seguridad cuando el secreto de su contraseña se haya visto comprometido. c) Obligación de cerrar la aplicación cuando se abandone el puesto de trabajo. d) Obligación de comunicación de las incidencias de seguridad al responsable de seguridad. e) Obligación de secreto profesional respecto a los datos de carácter personal, obligación que subsistirá aun después de finalizar sus relaciones con el responsable de la información. 2. Normas particulares de seguridad de la aplicación. 3. A qué se necesita acceder, con qué derechos y bajo qué autorización.

1.7.4.4

Obligatoriedad de la credencial

RTMS art. 40.2

Todo usuario debe firmar y aceptar la credencial de seguridad para formalizar su acceso a la aplicación.

Responsable de accesos

Análisis

Explotación

1.7.4.5

Cambio de credencial ante cambio de privilegios

RTMS .art.40.4

Cualquier cambio en las autorizaciones debe conllevar una nueva credencial

Responsable de accesos

Análisis

Explotación

Profesionalidad

ENS art. 15.1

La seguridad de los sistemas debe ser atendida, revisada y auditada por personal cualificado, dedicado e instruido en todas las fases de su ciclo de vida: instalación, mantenimiento, gestión de incidencias y desmantelamiento.

Responsable técnico

Estudio de viabilidad Explotación

PROFESIONALE S DE LOS SISTEMAS DE INFORMACIÓN 1.7.5.1

Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15

Página 16 de 72 Autor: OSI

CÓDIGO

TÍTULO

FUNDAMENTO LEGAL

DESCRIPCIÓN

QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)

FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA

FASE EN QUE DEBE SER VÁLIDO

1.7.5.2

Formación

ENS art. 15.2

El personal debe recibir la formación específica necesaria para garantizar la seguridad de las tecnologías de la información aplicables a los sistemas y servicios.

Responsable funcional

Estudio de viabilidad Explotación

Incorporación de clásulas de seguridad en los contratos

LOPD art. 12, 22; RLOPD art. 21 PSI-GV art. 4.7

Se deben incluir las cláusulas de seguridad establecidas por la Conselleria en todos los contratos con proveedores de servicios.

Responsable funcional

Estudio de viabilidad El momento en que tenga vigencia el contrato

DISPONIBILIDAD DE PERSONAL SERVICIOS EXTERNOS REGULACIÓN DE LOS SERVICIOS 1.8.1.1

Se deben tener en cuenta los niveles mínimos de calidad o seguridad que hayan sido determinados por los órganos competentes de la Generalitat para la contratación de empresas, productos o servicios. 1.8.1.2

Deberes y obligaciones

LOPD art. 12, 22

Para el personal contratado a través de un tercero, se deben establecer los deberes y obligaciones de ambas partes y definir el procedimiento de resolución de incidentes relacionados con el incumplimiento de obligaciones.

Responsable funcional

Estudio de viabilidad El momento en que tenga vigencia el contrato

1.8.1.3

Profesionalidad del personal ajeno de seguridad

ENS art. 15.3

Se debe exigir, de manera objetiva y no discriminatoria, que las organizaciones y empresas que prestan servicios de seguridad cuentan con unos niveles idóneos de gestión y madurez en los servicios prestados.

Responsable funcional

Estudio de viabilidad El momento en que tenga vigencia el contrato

1.8.1.4

Acuerdos de nivel de servicio

ENS II.op.ext.1

Previa a la utilización de recursos externos se deben establecer contractualmente los acuerdos de nivel de servicio.

Responsable funcional

1.8.1.5

Control del nivel de servicio y coordinación del trabajo

ENS II.op.ext.2

Para la gestión diaria, se deben establecer mecanismos de control de cumplimiento de nivel de servicio, y de coordinación de tareas e incidencias.

Responsable funcional

Estudio de viabilidad El momento en que tenga vigencia el contrato Estudio de viabilidad El momento en que tenga vigencia el contrato

1.8.1.7

Nombramiento del responsable de seguridad de la empresa

Las empresas de servicios, organizaciones y entidades con acceso a información Responsable situada bajo la responsabilidad de la Generalitat deberán nombrar un funcional responsable de seguridad que actúe como interlocutor válido a los efectos de la coordinación en esa materia.

Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15

Estudio de viabilidad El momento en que tenga vigencia el contrato Página 17 de 72 Autor: OSI

CÓDIGO

TÍTULO

FUNDAMENTO LEGAL

DESCRIPCIÓN

QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)

FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA

Condiciones de acceso de los encargados de tratamiento a los datos

RLOPD art. 79, 82.1, 82.3

El personal del encargado de tratamiento que esté autorizado a acceder a los datos, a los soportes que los contienen o a los sistemas de información que los tratan, bien de forma local o de forma remota, se debe comprometer a implantar y cumplir las medidas de seguridad previstas en el documento de seguridad.

Responsable funcional

Estudio de viabilidad El momento en que tenga vigencia el contrato

1.8.2.2

Condiciones del servicio del encargado de tratamiento en sus propios locales

RLOPD art. 82.2

El encargado de tratamiento que presta sus servicios en locales propios, ajenos a los del responsable de la información, debe disponer de un documento de seguridad en el que ha identificado el fichero o tratamiento y a su responsable. Debe indicar igualmente las medidas de seguridad a implantar en relación con dicho tratamiento.

Responsable de seguridad

Estudio de viabilidad El momento en que tenga vigencia el contrato

1.8.2.3

Indicación en el DS del acceso de los encargados de tratamiento a los datos

RLOPD art. 82.1

En el documento de seguridad debe constar el acceso a los datos por parte de un encargado de tratamiento.

Responsable funcional

Estudio de viabilidad El momento en que tenga vigencia el contrato

1.8.2.4

Subcontratación de los servicios

RLOPD art. 21

El encargado del tratamiento no podrá subcontratar con un tercero la realización de ningún tratamiento que le hubiera encomendado el responsable del tratamiento, salvo que hubiera obtenido de éste autorización para ello. En este caso, la contratación se efectuará siempre en nombre y por cuenta del responsable del tratamiento. No obstante lo dispuesto en el apartado anterior, será posible la subcontratación sin necesidad de autorización siempre y cuando se cumplan los siguientes requisitos: a) Que se especifiquen en el contrato los servicios que puedan ser objeto de subcontratación y, si ello fuera posible, la empresa con la que se vaya a subcontratar. Cuando no se identificase en el contrato la empresa con la que se vaya a subcontratar, será preciso que el encargado del tratamiento comunique al responsable los datos que la identifiquen antes de proceder a la subcontratación. b) Que el tratamiento de datos de carácter personal por parte del subcontratista se ajuste a las instrucciones del responsable del fichero. c) Que el encargado del tratamiento y la empresa subcontratista formalicen el contrato, en los términos previstos en el artículo anterior. En este caso, el subcontratista será considerado encargado del tratamiento. Si durante la prestación del servicio resultase necesario subcontratar una parte

Responsable funcional

Estudio de viabilidad El momento en que tenga vigencia el contrato

ENCARGADOS DE TRATAMIENTO DE DATOS 1.8.2.1

Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15

FASE EN QUE DEBE SER VÁLIDO

Página 18 de 72 Autor: OSI

CÓDIGO

TÍTULO

FUNDAMENTO LEGAL

DESCRIPCIÓN

QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)

FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA

FASE EN QUE DEBE SER VÁLIDO

del mismo y dicha circunstancia no hubiera sido prevista en el contrato, deberán someterse al responsable del tratamiento los extremos señalados en el apartado anterior.

1.8.2.5

Ejercicio de derechos ante un encargado

RLOPD art. 26

Cuando los afectados ejercitasen sus derechos ante un encargado del Responsable funcional tratamiento y solicitasen el ejercicio de su derecho ante el mismo, el encargado deberá dar traslado de la solicitud al responsable, a fin de que por el mismo se resuelva, a menos que en la relación existente con el responsable del tratamiento se prevea precisamente que el encargado atenderá, por cuenta del responsable, las solicitudes de ejercicio por los afectados de sus derechos de acceso, rectificación, cancelación u oposición.

Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15

Estudio de viabilidad El momento en que tenga vigencia el contrato

Página 19 de 72 Autor: OSI

CÓDIGO

TÍTULO

FUNDAMENTO LEGAL

DESCRIPCIÓN

1.8.2.6

Conservación de los datos por el encargado del tratamiento

RLOPD art. 22

Responsable Una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al responsable del tratamiento o al encargado funcional que éste hubiese designado, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento. No procederá la destrucción de los datos cuando exista una previsión legal que exija su conservación (véase anexo I), en cuyo caso deberá procederse a la devolución de los mismos garantizando el responsable del fichero dicha conservación. El encargado del tratamiento conservará, debidamente bloqueados, los datos en tanto pudieran derivarse responsabilidades de su relación con el responsable del tratamiento.

Estudio de viabilidad El momento en que tenga vigencia el contrato

Prestación de servicios sin acceso a datos

RLOPD art. 83

Se deben adoptar las medidas adecuadas para limitar el acceso del personal a datos personales, a los soportes que los contengan o a los recursos del sistema de información, para la realización de trabajos que no impliquen el tratamiento de datos personales.

Responsable funcional

Análisis

Cláusulas de contratos de servicios que no requieren acceso a datos

RLOPD art. 83 PSI-GV art. 10

Se debe recoger expresamente en el contrato de prestación de servicios que no requieren el acceso a datos, la prohibición de acceder a los datos personales y la obligación de secreto respecto a los datos que el personal hubiera podido conocer con motivo de la prestación del servicio.

Responsable funcional

Estudio de viabilidad Análisis

TERCEROS SIN ACCESO A DATOS 1.8.3.1

1.8.3.2

QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)

FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA

FASE EN QUE DEBE SER VÁLIDO

Explotación

COMUNICACIÓN DE DATOS ENTRE AAPP

Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15

Página 20 de 72 Autor: OSI

CÓDIGO

TÍTULO

FUNDAMENTO LEGAL

DESCRIPCIÓN

QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)

1.8.4.1

Legitimidad de la comunicación

LOPD art. 21.1-2

Responsable Los datos de carácter personal recogidos o elaborados por las Administraciones funcional Públicas para el desempeño de sus atribuciones no serán comunicados a otras Administraciones Públicas para el ejercicio de competencias diferentes o de competencias que versen sobre materias distintas, salvo cuando la comunicación tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos.

FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA

FASE EN QUE DEBE SER VÁLIDO

Estudio de viabilidad Explotación

Podrán, en todo caso, ser objeto de comunicación los datos de carácter personal que una Administración Pública obtenga o elabore con destino a otra.

AUTOEVALUACI ONES PERIODICIDAD 1.9.1.1

1.9.1.2

Informe anual sobre el estado de la seguridad

Auditoría bienal o ante cambios importantes

RLOPD art.96.1, 110 ENS art. 34.1

Los responsables de seguridad de la información elaborarán un informe anual sobre el estado de la seguridad, los riesgos previsibles y los planes de actuación recomendados. Estos informes se elevarán a los responsables de la información y, en su caso, a los responsables de tratamiento, quienes fijarán el nivel de riesgo aceptable y ordenarán las actuaciones oportunas. La reducción de los niveles de riesgo se realizará mediante la aplicación de controles. La selección y aplicación de los controles ponderarán el valor de los activos con los niveles de riesgo y el coste de la seguridad. Los controles deberán ser eficaces antes, durante o después de que ocurra un incidente de seguridad.

Responsable de seguridad

Análisis

Mantenimiento

Se debe realizar una auditoría de los sistemas de información y de las instalaciones al menos cada dos años; o siempre que se modifique sustancialmente el sistema de información de forma que pueda repercutir en el cumplimiento de las medidas de seguridad implantadas.

Responsable de seguridad

Análisis

Mantenimiento

CONTENIDO DE LA AUDITORIA

Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15

Página 21 de 72 Autor: OSI

CÓDIGO

TÍTULO

FUNDAMENTO LEGAL

DESCRIPCIÓN

QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)

FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA

FASE EN QUE DEBE SER VÁLIDO

1.9.2.1

Mínima autoevaluación

ENS III.2

Los sistemas de información de categoría BÁSICA, o inferior, no necesitarán realizar una auditoría. Bastará una autoevaluación realizada por el mismo personal que administra el sistema de información, o en quien éste delegue. El resultado de la autoevaluación debe estar documentado, indicando si cada medida de seguridad está implantada y sujeta a revisión regular y las evidencias que sustentan la valoración anterior. Los informes de autoevaluación serán analizados por el responsable de seguridad competente, que elevará las conclusiones al responsable del sistema para que adopte las medidas correctoras adecuadas.

Responsable de seguridad

Análisis

Mantenimiento

1.9.2.2

Metodología de auditoría

RLOPD art.96.2 ENS art. 34.4; III.1

El informe de auditoria se debe basar en la evidencia de los datos, hechos y observaciones, atendiendo a: a) Documentación de los procedimientos. b) Registro de incidencias. c) Examen del personal afectado: conocimiento y praxis de las medidas que le afectan.

Responsable de seguridad

Análisis

Mantenimiento

En la realización de esta auditoría se deben utilizar los criterios, métodos de trabajo y de conducta generalmente reconocidos, así como la normalización nacional e internacional aplicables a este tipo de auditorías de sistemas de información.

Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15

Página 22 de 72 Autor: OSI

CÓDIGO

TÍTULO

FUNDAMENTO LEGAL

DESCRIPCIÓN

QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)

FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA

FASE EN QUE DEBE SER VÁLIDO

1.9.2.3

Objeto de la auditoría

ENS III.1 PSI-GV art. 6

La seguridad de los sistemas de información de una organización será auditada en los siguientes términos: a) Que la política de seguridad define los roles y funciones de los responsables de la información, los servicios, los activos y la seguridad del sistema de información. b) Que existen procedimientos para resolución de conflictos entre dichos responsables. c) Que se han designado personas para dichos roles a la luz del principio de «separación de funciones». d) Que se ha realizado un análisis de riesgos, con revisión y aprobación anual. e) Que se cumplen los controles o medidas de seguridad, en función de las condiciones de aplicación en cada caso. f) Que existe un sistema de gestión de la seguridad de la información, documentado y con un proceso regular de aprobación por la dirección.

Responsable de seguridad

Análisis

Mantenimiento

1.9.2.4

Contenido del informe de auditoría

RLOPD art.96.2 ENS art. 5; III.2

El informe de auditoría debe dictaminar sobre el grado de cumplimiento, debe identificar sus deficiencias y sugerir las posibles medidas correctoras o complementarias necesarias, así como las recomendaciones que se consideren oportunas.

Responsable de seguridad

Análisis

Mantenimiento

Igualmente, debe incluir los criterios metodológicos de auditoría utilizados, el alcance y el objetivo de la auditoría, y los datos, hechos y observaciones en que se basen las conclusiones formuladas. 1.9.2.5

Elevación de los resultados de la auditoría

RLOPD art.96.3 ENS art. 34.6

El responsable de seguridad debe elevar las conclusiones del informe al responsable del fichero o tratamiento.

Responsable de seguridad

Análisis

Mantenimiento

1.9.2.6

Acciones correctoras

PSI-GV art. 7 ORSI-CS art. 8

Se deben llevar a cabo, en un plazo razonable, las acciones necesarias para corregir las deficiencias encontradas como resultado de la auditoría.

Responsable de seguridad

Análisis

Mantenimiento

Proceso de mejora continua

ENS art. 26 PSI-GV art. 3.3

El proceso integral de seguridad implantado se debe actualizar y mejorar de forma continua. Para ello, se debe aplicar los criterios y métodos reconocidos en la práctica nacional e internacional relativos a gestión de las tecnologías de la información.

Responsable de seguridad

Estructural

Estructural

MEJORA CONTINUA 1.9.3.1

Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15

Página 23 de 72 Autor: OSI

CÓDIGO

TÍTULO

FUNDAMENTO LEGAL

DESCRIPCIÓN

QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)

FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA

FASE EN QUE DEBE SER VÁLIDO

Contenidos mínimos del análisis de riesgos para cualquier sistema

ENS II.op.pl.1

Se debe realizar un análisis que describa los siguientes contenidos: a) Identificación de los activos más valiosos del sistema. b) Identificación de las amenazas más probables. c) Identificación de las salvaguardas que protegen de dichas amenazas. d) Identificación de los principales riesgos residuales.

Responsable de seguridad

Estudio de viabilidad Análisis

Contenidos mínimos del análisis de riesgos de un sistema de categoría media

ENS II.op.pl.1

Además del punto anterior, se debe el análisis realizar usando un lenguaje específico, con un catálogo básico de amenazas y una semántica definida. Adicionalmente, el análisis debe contemplar los siguientes contenidos: e) Valoración de los activos más valiosos del sistema. f) Cuantificación de las amenazas más probables. g) Valoración de las salvaguardas que protegen de dichas amenazas. h) Valoración de los principales riesgos residuales.

Responsable de seguridad

Estudio de viabilidad Análisis

Asunción de la gestión de ENS art. 13.1-2 riesgos PSI-GV art. 4

Se debe haber asumido la propia gestión de riesgos, la cual se debe realizar por Responsable medio de un análisis y tratamiento de los riesgos a los que esté expuesto el de seguridad sistema mediante alguna metodología reconocida internacionalmente (en nuestro caso: MAGERIT) asistida mediante alguna herramienta (en nuestro caso: PILAR).

Estudio de viabilidad Análisis

Equilibrio entre medidas y riesgos

Las medidas adoptadas para mitigar o suprimir los riesgos deberán estar justificadas y, en todo caso, deberá existir una proporcionalidad entre ellas y los riesgos.

Estudio de viabilidad Análisis

TÉCNICOS ANÁLISIS Y GESTIÓN DE RIESGOS ANÁLISIS DE RIESGOS 2.1.1.1

2.1.1.2

GESTIÓN DE RIESGOS 2.1.2.1

2.1.2.2

ENS art. 13.3 PSI-GV art. 4.3

Responsable de seguridad

CONTROL DE ACCESOS IDENTIFICACIÓN , AUTENTICACIÓ NY Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15

Página 24 de 72 Autor: OSI

CÓDIGO

TÍTULO

FUNDAMENTO LEGAL

DESCRIPCIÓN

QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)

FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA

FASE EN QUE DEBE SER VÁLIDO

AUTORIZACIÓN

2.2.1.1

Prohibición de acceso sin RLOPD art. 113.1 autorización expresa ENS II.op.acc.0

Se debe prohibir cualquier acceso que no tenga concesión expresa.

Responsable de accesos

Análisis

Implantación

2.2.1.2

Singularidad de la identificación

RLOPD art.93.2 ENS art.14.4; II.op.acc.1 RTMS art.6.1

La entidad, usuario o proceso que accede al sistema debe identificarse personal y singularmente, de tal forma que sea posible saber, por una parte, a quién y qué derechos derechos de acceso se otorgan y, por otra parte, quién ha hecho algo y qué ha hecho.

Responsable de accesos

Análisis

Implantación

2.2.1.3

Suficiencia de la identificación

RLOPD art.93.1 ENS II.op.acc.5

La identidad de la entidad, usuario o proceso que accede debe quedar suficientemente autentificada. Los usuarios deben estar inequívocamente identificados.

Responsable de accesos

Análisis

Implantación

2.2.1.4

Mecanismos de limitación RLOPD art.91.3, de acceso no autorizado 93.2 ENS art. 14.4, II.op.acc.1,2

Debe establecerse mecanismos o procedimientos que verifique que todo aquel usuario, entidad o proceso que intente acceder al sistema de información o a sus recursos se encuentre adecuadamente autorizado, y que impida su acceso cuando no la tenga.

Responsable de accesos

Análisis

Implantación

2.2.1.5

Mecanismos de limitación RLOPD art.98 de accesos reiterados ENS II.op.acc.6

Debe existir un mecanismo que limite la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de información. Se debe bloquear la oportunidad de acceso una vez efectuados un cierto número de fallos consecutivos.

Responsable de accesos

Análisis

Implantación

2.2.1.6

Segregación de funciones

ENS II.op.acc.3 PSI-GV art. 6

Deben ser diferentes las personas que autorizan el acceso, las que acceden, y las que controlan el acceso a la información y el uso que se hace de ella.

Responsable de seguridad

Estructural

Estructural

2.2.1.7

Identificación en diferentes dominos de seguridad

ENS II.op.ext

Cuando se interconecten diferentes sistemas, deberán existir acuerdos de colaboración que delimiten los mecanismos y procedimientos para la atribución y ejercicio efectivos de las responsabilidades de cada sistema. En concreto, estos acuerdos deben realizarse cuando la identificación, autenticación y autorización de usuarios tengan lugar en diferentes dominios de seguridad, bajo distintas responsabilidades, en donde existan medidas de seguridad locales (por ejemplo, sobre acceso y uso).

Responsable de seguridad

Análisis

Implantación

Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15

Página 25 de 72 Autor: OSI

CÓDIGO

TÍTULO

FUNDAMENTO LEGAL

DESCRIPCIÓN

QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)

FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA

FASE EN QUE DEBE SER VÁLIDO

2.2.1.8

Inhabilitación de cuentas

ENS II.op.acc.1

Las cuentas deben ser inhabilitadas en los siguientes casos: cuando el usuario deja la organización; cuando el usuario cesa en la función para la cual se requería la cuenta de usuario; o cuando la persona que la autorizó da orden en sentido contrario.

Responsable de accesos

Análisis

Explotación

2.2.1.9

Detección de cuentas sin uso

RTMS art.6.3

El sistema o aplicación debe detectar aquellos códigos de usuario que no han sido utilizados en el plazo máximo de tres meses para así proceder a su eventual eliminación.

Responsable de accesos

Análisis

Explotación

2.2.1.10

Período de retención de cuentas

ENS II.op.acc.1

Se debe definir un período de retención de las cuentas suficiente para atender a las necesidades de trazabilidad de los registros de acceso y actividad asociados a las mismas.

Responsable de accesos

Análisis

Explotación

Mecanismos de autenticación

Ens II.op.acc.5

Los mecanismos de autenticación (clave concertada, token o biometría) deben adecuarse a la categoría del sistema, del siguiente modo: (i) Para sistemas de CATEGORÍA BÁSICA: Se admiten claves concertadas, tokens e identificadores biométricos. (ii) Para sistemas de CATEGORÍA MEDIA: Se deben usar tokens o identificadores biométricos. En el caso de emplear claves concertadas, éstas deben ser administradas con cautela. (iii) Para sistemas de CATEGORÍA ALTA: Únicamente deben utilizarse tokens criptográficos o identificadores biométricos con doble factor; en ningún caso claves concertadas.

Responsable de seguridad

Estudio de viabilidad Análisis

2.2.2.2

Recepción del autenticador

ENS II.op.acc.5

El usuario debe firmar el documento de recepción del autenticador en el momento que se le entregue. En el documento de recepción, el usuario debe reconocer que conoce y acepta las obligaciones que implica la tenencia del autenticador, en particular el deber de custodia diligente, protección de su confidencialidad e información inmediata en caso de pérdida.

Responsable de accesos

Análisis

Explotación

2.2.2.3

Activación del autenticador posterior a la recepción

ENS II.op.acc.5

Los autenticadores deben activarse exclusivamente una vez estén bajo el control de los usuarios.

Responsable de accesos

Análisis

Explotación

AUTENTICADOR ES 2.2.2.1

Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15

Página 26 de 72 Autor: OSI

CÓDIGO

TÍTULO

FUNDAMENTO LEGAL

DESCRIPCIÓN

QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)

FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA

FASE EN QUE DEBE SER VÁLIDO

2.2.2.4

Caducidad y renovación de autenticadores

ENS II.op.acc.5

Los autenticadores se deben cambiar con una periodicidad marcada por la política de la organización, la cual deberá distinguir la categoría del sistema al que se accede.

Responsable de accesos

Análisis

Explotación

2.2.2.5

Retiro y deshabilitación de autenticadores

ENS II.op.acc.5

Se debe retirar y deshabilitar los autenticadores cuando la entidad (persona, equipo o proceso) que autentican termina su relación con el sistema.

Responsable de accesos

Análisis

Explotación

Necesidad de la contraseña

RTMS art.4.1

Cuando el autenticador sea la contraseña, ésta deberá introducirse o teclearse Responsable necesariamente para el uso del sistema o aplicación, sin perjuicio de la utilización funcional de otros mecanismos adicionales de autenticación que incrementen el nivel de seguridad de la aplicación.

Análisis

Explotación

2.2.3.3

Caducidad de contraseñas

RLOPD art.93.4 ENS II.op.acc.5

Se debe garantizar que las contraseñas son cambiadas como máximo en un año. Responsable Cuanto mayor sea la categoría del sistema, mayor debe ser la frecuencia de funcional cambio.

Análisis

Explotación

2.2.3.4

Aviso de caducidad de claves

RTMS art.6.4

En aquellas aplicaciones en que el usuario pueda cambiar libremente su contraseña, el sistema debe avisar de aquellas claves de acceso que se encuentren vencidas.

Responsable funcional

Análisis

Explotación

2.2.3.5

Protección de las contraseñas (i)

RLOPD art.93.3-4 Se deben asignar, distribuir y almacenar las contraseñas mediante un RTMS art.7.2 procedimiento que garantice su confidencialidad e integridad. Mientras estén vigentes, se deben almacenar de forma ininteligible (mediante algoritmos de cifrado).

Responsable funcional

Análisis

Explotación

2.2.3.6

Protección de las contraseñas (ii)

RTMS art.7.2

El sistema o aplicación no debe contener el algoritmo de descifrado de las contraseñas.

Responsable funcional

Análisis

Explotación

2.2.3.7

Protección de las contraseñas (iii)

RTMS art.7.2

Los archivos donde se guardan las contraseñas deben ser distintos de los que contienen datos.

Responsable funcional

Análisis

Explotación

2.2.3.8

Ocultación de contraseña RTMS art.7.1

El sistema o aplicación no debe mostrar la contraseña cuando se está tecleando .

Responsable funcional

Análisis

Explotación

CONTRASEÑAS 2.2.3.2

Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15

Página 27 de 72 Autor: OSI

CÓDIGO

TÍTULO

FUNDAMENTO LEGAL

DESCRIPCIÓN

QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)

FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA

FASE EN QUE DEBE SER VÁLIDO

2.2.3.9

Calidad de las contraseñas

ENS II.op.acc.5 RTMS art.7.3

Cuando se permita al usuario elegir su propia contraseña, se deben realizar los siguientes controles: a) Las contraseñas deben poseer una longitud mínima de ocho caracteres así como la inclusión del algún tipo de carácter distinto del alfabético. b) Los usuarios deben cambiar sus contraseñas cada tres meses como máximo. c) La contraseña proporcionada inicialmente al usuario debe ser provisional. En la primera conexión, el usuario debe cambiarla. d) Debe impedirse la repetición de contraseñas. En todo caso, los criterios de calidad serán más exigentes cuanto mayor sea la categoría del sistema.

Responsable funcional

Análisis

Explotación

2.2.3.10

Protección de claves criptográficas (i)

ENS II.op.exp.11

Las claves criptográficas deben ser protegidas durante todas las etapas de su ciclo de vida: (1) Generación: Los medios de generación estarán aislados de los medios de explotación. (2) Transporte al punto de explotación, (3) Custodia durante la explotación, (4) Archivo posterior a su retirada de explotación activa: Las claves retiradas de operación que deban ser archivadas, deben serlo en medios aislados de los de explotación. (5) Destrucción final.

Responsable funcional

Análisis

Explotación

2.2.3.11

Protección de claves criptográficas (ii)

ENS II.op.exp.11

Deben usarse programas evaluados o dispositivos criptográficos certificados. Asimismo, deben emplearse algoritmos acreditados por el Centro Criptológico Nacional.

Responsable funcional

Análisis

Explotación

Limitación de los derechos de acceso

ENS II.op.acc.4 PSI-GV art. 8.1, 12

Los derechos de acceso de usuario deben limitarse atendiendo a los principios de mínimo privilegio, necesidad de conocer y capacidad de autorizar.

Responsable de accesos

Análisis

Explotación

GESTIÓN DE LOS DERECHOS DE ACCESO 2.2.4.1

Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15

Página 28 de 72 Autor: OSI

CÓDIGO

TÍTULO

FUNDAMENTO LEGAL

DESCRIPCIÓN

QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)

FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA

FASE EN QUE DEBE SER VÁLIDO

2.2.4.2

Adecuación del acceso a las funciones del usuario

RLOPD art.91.1 ENS art. 16; II.op.acc.2 PSI-GV art. 8.1 OFI art. 16.1

Los usuarios únicamente deben acceder a aquellos recursos, documentos o sistemas a los que han sido autorizados, de acuerdo al desarrollo de sus funciones.

Responsable de accesos

Análisis

Explotación

2.2.4.3

Existencia del RIE (Registro de Identidades Electrónicas)

RLOPD art.91.2 RTMS art. 36.1-4

Debe existir una relación actualizada de usuarios y perfiles de usuarios, y de los accesos autorizados para cada uno de ellos: Registro de Identidades Electrónicas RIE (o Registro de códigos de usuario). Este registro debe contener el historial de códigos y ser mantenido por el responsable de seguridad.

Responsable de seguridad

Estructural

Estructural

2.2.4.4

Actualización del RIE

RTMS art. 36.2

Cualquier alta o modificación de los derechos de acceso de un usuario debe actualizarse en el Registro de Identidades Electrónicas.

Responsable de accesos

Análisis

Explotación

2.2.4.5

Iniciativa de la actualización del RIE

RMTS art. 36.3.a; art. 40.1

Es el responsable de la aplicación (funcional) el que transmite al responsable de seguridad las altas, bajas y modificaciones para que se guarden en el Registro de códigos y se lleven a cabo.

Responsable funcional

Análisis

Explotación

2.2.4.6

Validación de los usuarios

RTMS art. 36.3.c, 36.5

El responsable de aplicación colabora con el responsable de seguridad en la validación de los usuarios de la aplicación definidos así como sus niveles de acceso. Con una periodicidad trimestral, el responsable de seguridad somete a revisión exhaustiva todos los permisos con privilegios existentes en la aplicación.

Responsable funcional

Análisis

Mantenimiento

2.2.4.7

Definición del personal que autorice los accesos

RLOPD art.91.4 ENS II.op.acc.2 PSI-GV art. 8.2

Sólo el personal autorizado en el DS como responsable de accesos debe poder conceder, alterar o anular el acceso autorizado sobre los recursos, conforme a los criterios o normas establecidos por el responsable del fichero.

Responsable de seguridad

Análisis

Explotación

2.2.4.8

Segregación de funciones y tareas del control de acceso (i)

ENS II.op.acc.3

El sistema de control de acceso debe organizarse de forma que se exija la concurrencia de dos o más personas para realizar tareas críticas, anulando la posibilidad de que un solo individuo autorizado pueda abusar de sus derechos para cometer alguna acción ilícita.

Responsable de seguridad

Estructural

Estructural

2.2.4.9

Segregación de funciones y tareas del control de acceso (ii)

ENS II.op.acc.3

En el control de acceso, se deben separar al menos las siguientes funciones: Desarrollo de operación; Configuración y mantenimiento del sistema de operación; y Auditoría o supervisión de cualquier otra función.

Responsable de seguridad

Estructural

Estructural

Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15

Página 29 de 72 Autor: OSI

CÓDIGO

TÍTULO

FUNDAMENTO LEGAL

DESCRIPCIÓN

QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)

FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA

FASE EN QUE DEBE SER VÁLIDO

2.2.4.10

Control del acceso a la configuración del sistema

ENS II.op.acc.2

Se debe limitar y controlar el acceso a los componentes del sistema y a sus ficheros o registros de configuración.

Responsable de accesos

Análisis

Implantación

2.2.4.11

Medidas de acceso del personal ajeno

RLOPD art.91.5

El personal ajeno a la organización, cuando lo haya, debe acceder a los recursos en las mismas condiciones y obligaciones de seguridad que el personal propio.

Responsable de accesos

Estructural

Estructural

2.2.4.12

Acceso al área de servidores y equipos informáticos del CPD

RLOPD art.99

Exclusivamente el personal autorizado en el DS debe tener acceso a los lugares e instalaciones donde se hallen instalados los equipos físicos que den soporte a los sistemas de información.

Responsable de accesos

Estructural

Estructural

RLOPD art. 103, 113 ENS art. 14.4, 23, II.op.acc.6 PSI-GV art. 9

Se deben registrar los accesos con éxito y los fallidos en entornos locales (accesos realizados desde puestos de trabajo dentro de las propias instalaciones de la organización). Asimismo, se deben registrar las actividades de los usuarios, de forma que se retenga la información necesaria para monitorizar, analizar, investigar y documentar actividades indebidas o no autorizadas, y los fallos accidentales o deliberados, permitiendo identificar en cada momento quién ha realizado determinada actividad.

Responsable de seguridad

Estructural

Estructural

RLOPD art.103.1- El RACAT debe guardar, como mínimo, para cada intento de acceso: 2 a) la identificación del usuario, RTMS art. 16 b) la fecha y hora en que se realizó, c) el fichero accedido, el tipo de acceso y d) si ha sido autorizado o denegado. En el caso de que el acceso haya sido autorizado, debe guardarse la información que permita identificar el registro accedido, fecha, hora y tipo de proceso.

Responsable de seguridad

Estructural

Estructural

MONITORIZACIÓ N TRAZABILIDAD 2.2.6.1 Creación del Registro de Accesos y de Actividad para la Trazabilidad RACAT

2.2.6.2

Contenido del RACAT (i)

CONTROL DE ACCESOS LOCALES

Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15

Página 30 de 72 Autor: OSI

CÓDIGO

TÍTULO

FUNDAMENTO LEGAL

DESCRIPCIÓN

QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)

FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA

FASE EN QUE DEBE SER VÁLIDO

2.2.7.1

Información suministrada antes del acceso

ENS II.op.acc.6

Se debe prevenir ataques que puedan revelar información del sistema sin llegar a acceder al mismo. Asimismo, la información revelada a quien intenta acceder, debe ser la mínima imprescindible (los diálogos de acceso deben proporcionar solamente la información indispensable).

Responsable funcional

Análisis

Explotación

2.2.7.2

Información al usuario en ENS II.op.acc.6 el momento del acceso (i)

El sistema debe informar al usuario de sus obligaciones inmediatamente después Responsable de obtener el acceso. funcional

Análisis

Explotación

2.2.7.3

Información al usuario en el momento del acceso (ii)

Se debe informar al usuario del último acceso efectuado con su identidad.

Responsable funcional

Análisis

Explotación

2.2.7.5

Revisión del registro de acceso

Cada intento de acceso deberá quedar registrado con el suficiente nivel de detalle. Los responsables de los accesos revisarán e informarán estos registros.

Responsable de accesos

Análisis

Explotación

CONTROL DE ACCESOS REMOTOS 2.2.8.1

2.2.8.2

GESTIÓN DE INCIDENCIAS 2.3.1.1 2.3.1.2

ENS II.op.acc.6

Protección de accesos remotos

ENS II.op.acc.7

En los accesos desde equipos externos a la organización deben protegerse tanto el acceso en sí mismo (de la misma forma que los accesos locales), como el canal de acceso remoto.

Responsable funcional

Análisis

Explotación

Política de uso de accesos remotos

ENS II.op.acc.7

Debe establecerse y aprobarse una Política de Uso de los Accesos Remotos. Se debe requerir una autorización positiva para estos accesos.

Responsable de seguridad

Estructural

Estructural

Existencia de gestión de las incidencias

RLOPD art.90

Debe existir un procedimiento de notificación (atención a usuarios) y gestión de las incidencias.

Responsable de seguridad

Estructural

Estructural

Contenido del Registro de Incidencias RIN

RLOPD art.90 ENS art. 24.2 RTMS art. 38.1

Debe existir un Registro de incidencias RIN en el que conste: el tipo de incidencia, el momento en que se ha producido, o en su caso, detectado, la persona que realiza la notificación, a quién se le comunica, los efectos que se hubieran derivado de la misma y las medidas correctoras aplicadas.

Responsable de seguridad

Estructural

Estructural

Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15

Página 31 de 72 Autor: OSI

CÓDIGO

TÍTULO

FUNDAMENTO LEGAL

DESCRIPCIÓN

QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)

FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA

FASE EN QUE DEBE SER VÁLIDO

2.3.1.3

Contenido adicional del RIN para sistemas de categoría media

ENS II.op.exp.9.a-b

El RIN debe guardar el reporte inicial, las actuaciones de emergencia y las modificaciones del sistema derivadas del incidente. Asimismo, debe registrar aquella evidencia que pueda, posteriormente, sustentar una demanda judicial, o hacer frente a ella, cuando el incidente pueda llevar a actuaciones disciplinarias sobre el personal interno, sobre proveedores externos o a la persecución de delitos. En la determinación de la composición y detalle de estas evidencias, se debe recurrir a asesoramiento legal especializado.

Responsable de seguridad

Estructural

Estructural

2.3.1.4

Responsabilidad de la gestión de incidencias

RTMS art. 38.3

El responsable de seguridad debe mantener actualizado el RIN y notificar estas incidencias de seguridad a la autoridad autentificadora.

Responsable de seguridad

Estructural

Estructural

2.3.1.5

Periodicidad de revisión de incidencias

RTMS art.39.1

Mensualmente el responsable de seguridad debe analizar las incidencias.

Responsable de seguridad

Estructural

Estructural

2.3.1.6

Resultados del análisis

ENS II.op.exp.9.c RTMS art.39.1

El responsable de seguridad debe transmitir este análisis de incidencias al responsable del sistema o aplicación o, en su caso, a la autoridad de autentificación de las incidencias que le correspondan. Como consecuencia del análisis de las incidencias, se debe revisar la determinación de los eventos auditables.

Responsable de seguridad

Estructural

Estructural

2.3.1.7

Periodicidad de revisión de los resultados

RTMS art.39.2

La autoridad de autentificación debe revisar este análisis al menos trimestralmente.

Responsable funcional

Estructural

Estructural

2.3.1.8

Utilidad del registro de incidencias

ENS art. 24.2

Los registros de las incidencias de seguridad detectadas deben emplearse para la mejora continua de la seguridad del sistema.

Responsable de seguridad

Estructural

Estructural

2.3.1.9

Registro de las recuperaciones de datos

RLOPD art.100.1

Cuando se realiza alguna recuperación de los datos, debe indicarse en el RIN la persona que ejecutó el proceso, los datos restaurados y, en su caso, qué datos ha sido necesario grabar manualmente en el proceso de recuperación.

Responsable de accesos

Análisis

Mantenimiento

Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15

Página 32 de 72 Autor: OSI

CÓDIGO

TÍTULO

FUNDAMENTO LEGAL

DESCRIPCIÓN

QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)

FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA

FASE EN QUE DEBE SER VÁLIDO

2.3.1.10

Proceso integral de gestión de incidencias

ENS II.op.exp.7

Debe disponerse de un proceso integral para hacer frente a los incidentes que puedan tener un impacto en la seguridad del sistema, incluyendo: a) Procedimiento de reporte de incidentes reales o sospechosos, detallando el escalado de la notificación. b) Procedimiento de toma de medidas urgentes, incluyendo la detención de servicios, el aislamiento del sistema afectado, la recogida de evidencias y protección de los registros, según convenga al caso. c) Procedimiento de asignación de recursos para investigar las causas, analizar las consecuencias y resolver el incidente. d) Procedimientos para informar a las partes interesadas, internas y externas. e) Procedimientos para: (1) Prevenir que se repita el incidente; (2) Incluir en los procedimientos de usuario la identificación y forma de tratar el incidente; y (3) Actualizar, extender, mejorar u optimizar los procedimientos de resolución de incidencias.

Responsable de seguridad

Estructural

Estructural

2.4.1.1

Garantía de continuidad

ENS art. 25

El sistema debe disponer los mecanismos necesarios para garantizar la continuidad de las operaciones, en caso de pérdida de los medios habituales de trabajo.

Responsable funcional

Estudio de viabilidad Explotación

2.4.1.8

Accesibilidad del Plan de Continuidad

RTMS art. 45.1

Cada usuario debe disponer de una copia del Plan de Continuidad, en aquellos aspectos que le afecten, en un lugar accesible.

Responsable funcional

Análisis

Idoneidad de la tecnología

OFI art. 14.2, 18.5 La tecnología utilizada debe garantizar la autenticidad, confidencialidad, integridad, disponibilidad y conservación de la información. Asimismo, debe salvaguardar la información a través de la evolución tecnológica.

Responsable funcional

Estudio de viabilidad Análisis

DISPONIBILIDAD , CONTINUIDAD E INTEGRIDAD DEL SISTEMA CONTINUIDAD DEL SERVICIO

INTEGRIDAD FÍSICA DEL NEGOCIO 2.4.2.1

Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15

Explotación

Página 33 de 72 Autor: OSI

CÓDIGO

TÍTULO

FUNDAMENTO LEGAL

DESCRIPCIÓN

QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)

FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA

2.4.2.2

Tolerancia a fallos (i)

RTMS art. 12

Los sistemas o aplicaciones que ejecutan transacciones o procesos donde se producen múltiples actualizaciones de datos, y que se encuentran relacionados entre sí, deben poseer herramientas o mecanismos que aseguran la integridad de estos datos relacionados en el caso de que se produzca un fallo de proceso y no se pueda completar la transacción.

Responsable funcional

Estudio de viabilidad Análisis

2.4.2.3

Tolerancia a fallos (ii)

RTMS art. 15.2

Los sistemas y equipos que soportan procesos especialmente críticos deben ser equipos de alta disponibilidad y poseer mecanismos tolerantes a fallos.

Responsable funcional

Estudio de viabilidad Análisis

2.4.2.4

Cifrado en el almacenamiento de la información

RTMS art. 13

El sistema o aplicación debe cifrar sobre el soporte de almacenamiento la información confidencial o altamente sensible (como, por ejemplo, datos de salud) en los casos en que no está suficientemente protegida mediante el control de accesos.

Responsable funcional

Análisis

Explotación

2.4.2.5

Garantía de suministro eléctrico y luces de emergencia

ENS II.mp.if.4

Los locales donde se ubiquen los sistemas de información y sus componentes deben disponer de la energía eléctrica, y sus tomas correspondientes, necesaria para su funcionamiento, de forma que en los mismos: a) Se garantizará el suministro de potencia eléctrica. b) Se garantizará el correcto funcionamiento de las luces de emergencia.

Responsable técnico

Análisis

Implantación

2.4.2.6

Sistemas de Alimentación Ininterrumpida

ENS mp.if.4 RTMS art. 15.1

Los sistemas y equipos deben estar protegidos contra fallos de suministro eléctrico mediante sistemas de alimentación ininterrumpida para evitar alteración o pérdida de datos o documentos administrativos en casos de interrupción accidental. En todo caso, debe garantizarse el tiempo suficiente para una terminación ordenada de los procesos, salvaguardando la información.

Responsable técnico

Análisis

Implantación

2.4.2.7

Cumplimiento de especificaciones técnicas

ENS II.op.exp.4.a PSI-GV art. 11.3 RTMS art. 15.3

Los sistemas y equipos deben mantenerse de acuerdo con las especificaciones de los suministradores de servicio, en cuanto a instalación y mantenimiento.

Responsable técnico

Análisis

Implantación

Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15

FASE EN QUE DEBE SER VÁLIDO

Página 34 de 72 Autor: OSI

CÓDIGO

TÍTULO

FUNDAMENTO LEGAL

DESCRIPCIÓN

QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)

FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA

FASE EN QUE DEBE SER VÁLIDO

2.4.2.8

Actualizaciones y parcheado

ENS II.op.exp.4.b-c

Para mantener el equipamiento físico y lógico que constituye el sistema, se debe efectuar un seguimiento continuo de los anuncios de defectos. Al mismo tiempo, se debe disponer de un procedimiento para analizar, priorizar y determinar cuándo aplicar las actualizaciones de seguridad, parches, mejoras y nuevas versiones. La priorización tendrá en cuenta la variación del riesgo en función de la aplicación o no de la actualización.

Responsable técnico

Análisis

Mantenimiento

2.4.2.9

Información sobre el estado de los sistemas

ENS art. 20.2

Se conoce en todo momento el estado de seguridad de los sistemas, en relación a las especificaciones de los fabricantes, a las vulnerabilidades y a las actualizaciones que les afecten.

Responsable técnico

Análisis

Explotación

2.4.2.10

Contrato de mantenimiento

RTMS art. 15.4

Debe existir un contrato de mantenimiento en vigor de los sistemas y equipos cuyo fallo pueda ocasionar como consecuencia una anulación o reducción significativa de la capacidad de la organización de atender a sus funciones.

Responsable técnico

Análisis

Implantación

2.4.2.11

Procedimiento de autorización de instalaciones

ENS art. 20.1

El responsable de seguridad debe autorizar previamente la instalación de elementos físicos.

Responsable de seguridad

Estructural

Estructural

2.4.2.12

Registro de entrada y salida de equipamiento

ENS art. II.mp.if.7

Se debe llevar un registro pormenorizado de toda entrada y salida de equipamiento, incluyendo la identificación de la persona que autoriza de movimiento.

Responsable técnico

Estructural

Estructural

2.4.2.13

Equipamiento en áreas separadas

PSI-GV art. 11.4 ENS art. 17; II.mp.if RTMS art. 46.1

Las ubicaciones físicas donde se encuentran los servidores de aplicaciones deben encontrarse en áreas separadas, cerradas o en áreas de seguridad.

Responsable técnico

Estructural

Estructural

2.4.2.14

Restricción de acceso a áreas de equipamiento

ENS art. 17; II.mp.if.1 RTMS art. 46.2-3

La puerta de acceso a esta área se encuentra permanentemente cerrada estableciéndose mecanismos para el control de accesos a la misma, que pueden basarse en llaves o códigos personales. Se controlarán los accesos a las áreas indicadas de forma que sólo se pueda acceder por las entradas previstas y vigiladas.

Responsable técnico

Estructural

Estructural

2.4.2.15

Identificación de las personas en el acceso a áreas

ENS II.mp.if.2

El mecanismo de control de acceso debe atender a lo que se dispone a continuación: a) Se identificará a todas las personas que accedan a los locales donde hay equipamiento que forme parte del sistema de información. b) Se registrarán las entradas y salidas de personas.

Responsable técnico

Estructural

Estructural

Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15

Página 35 de 72 Autor: OSI

CÓDIGO

TÍTULO

FUNDAMENTO LEGAL

DESCRIPCIÓN

QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)

FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA

FASE EN QUE DEBE SER VÁLIDO

2.4.2.16

Identificación del personal externo en el acceso a áreas

RTMS art.46.7

El personal externo que deba efectuar trabajos en el interior del área de seguridad debe estar debidamente autorizado e identificado. El responsable del área debe extender una acreditación a favor de este personal.

Responsable técnico

Estructural

Estructural

2.4.2.17

Restricciones al personal externo en el acceso a las áreas

RTMS art.46.8

El personal externo no acreditado nunca debe permaner a solas en el interior del área de sistemas sin la presencia de al menos una persona habilitada para esta área.

Responsable técnico

Estructural

Estructural

2.4.2.18

Acondicionamiento de las ENS II.mp.if.6 áreas (i) RTMS art.15.5

Las áreas físicas donde se encuentran situados los equipos deben estar Responsable convenientemente aseguradas frente a riesgos derivados de accesos indeseados técnico así como amenazas de entorno, tales como fuegos, humos, agua, etc.

Estructural

Estructural

2.4.2.19

Acondicionamiento de las RTMS art.46.4 áreas (ii)

Los materiales peligrosos y/o combustibles, si los hay, deben ser almacenados en el exterior del área y a una distancia de seguridad de la sala de ordenadores.

Responsable técnico

Estructural

Estructural

2.4.2.20

Acondicionamiento de las ENS II.mp.if.3 áreas (iii)

Los locales donde se ubiquen los sistemas de información y sus componentes, deben disponer de elementos adecuados para el eficaz funcionamiento del equipamiento allí instalado. Y, en especial: a) Condiciones de temperatura y humedad. b) Protección frente a las amenazas identificadas en el análisis de riesgos. c) Protección del cableado frente a incidentes fortuitos o deliberados.

Responsable técnico

Estructural

Estructural

2.4.2.21

Acondicionamiento de las ENS II.mp.if.6 áreas (iv) RTMS art.46.6

Se debe instalar un equipamiento adecuado de seguridad tales como sistemas de extinción, detectores de humos, etc. Al menos se debe aplicar la normativa vigente.

Responsable técnico

Estructural

Estructural

2.4.2.22

Revisión de los controles

El responsable de seguridad debe revisar la aplicación de estas medidas de acondicionamiento y acceso al CPD

Responsable de seguridad

Estructural

Estructural

PSI-GV art. 4 RTMS art.47

GESTIÓN DE LA CONFIGURACIÓ N

Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15

Página 36 de 72 Autor: OSI

CÓDIGO

TÍTULO

FUNDAMENTO LEGAL

DESCRIPCIÓN

QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)

FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA

FASE EN QUE DEBE SER VÁLIDO

2.4.3.1

Configuración de seguridad previa al paso a explotación

ENS II.op.exp.2 PSI-GV art. 12

Se debe configurar la seguridad de los equipos antes de su entrada en operación: (1) Se retiran las cuentas y contraseñas estándar. (2) Se aplica la "regla de mínima funcionalidad". (3) Se aplica la "regla de seguridad por defecto".

Responsable técnico

Estructural

Estructural

2.4.3.2

Continuidad de la "Regla de funcionalidad mínima"

ENS II.op.exp.3.a; Se debe gestionar de forma continua la configuración de los componentes del art. 19.a-c sistema de forma que se mantenga en todo momento la «regla de funcionalidad mínima»

Responsable técnico

Estructural

Estructural

2.4.3.3

Continuidad de la "Regla ENS II.op.exp.3.b; Se debe gestionar de forma continua la configuración de los componentes del de seguridad por defecto" art. 19.d sistema de forma que se mantenga en todo momento la «regla de seguridad por defecto»

Responsable técnico

Estructural

Estructural

2.4.3.4

Continuidad de la "Adaptabilidad"

ENS II.op.exp.3.c

Se debe gestionar de forma continua la configuración de los componentes del sistema de forma que se adapte a las nuevas necesidades, previamente autorizadas.

Responsable técnico

Estructural

Estructural

2.4.3.5

Continuidad de la "Reactividad"

ENS II.op.exp.3.d-e

Se debe gestionar de forma continua la configuración de los componentes del sistema de forma que reacciona a vunerabilidades reportadas y a incidencias.

Responsable técnico

Estructural

Estructural

Existencia de sistema antivirus

ENS art. 24; II.op.exp.6

Debe existir un sistema de prevención, detección y reacción frente a código dañino (virus, gusanos, troyanos, programas espías, conocidos en terminología inglesa como «spyware», y en general, todo lo conocido como «malware»).

Responsable técnico

Estructural

Estructural

2.4.4.2

Aplicación del sistema antivirus

RTMS art. 14.1-2

Los sistemas, servidores y equipos cliente deben estar protegidos por software antivirus.

Responsable técnico

Estructural

Estructural

2.4.4.3

Documentación del sistema antivirus

RTMS art. 14.3

En la documentación técnica, guías de procedimiento (manual técnico) y buen uso (manual de usuarios) debe documentarse lo que corresponda al software antivirus existente.

Responsable funcional

Análisis

Implantación

ANTIVIRUS 2.4.4.1

PROTECCIÓN DE LOS EQUIPOS

Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15

Página 37 de 72 Autor: OSI

CÓDIGO

TÍTULO

FUNDAMENTO LEGAL

DESCRIPCIÓN

QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)

FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA

FASE EN QUE DEBE SER VÁLIDO

2.4.5.1

Puesto de trabajo despejado

ENS II.mp.eq.1

Debe exigirse a los usuarios que los puestos de trabajo permanezcan despejados; sin más material encima de la mesa que el requerido para la actividad que se está realizando en cada momento.

Responsable técnico

Análisis

Explotación

2.4.5.2

Custodia del material de trabajo

ENS II.mp.eq.1

Debe exigirse a los usuarios que el material de trabajo se guarde en un lugar cerrado cuando no se está utilizando.

Responsable técnico

Análisis

Explotación

2.4.5.3

Bloqueo del puesto de trabajo

ENS II.mp.eq.2

El puesto de trabajo debe bloquearse tras un tiempo prudencial de inactividad. Se debe requerir una nueva autenticación del usuario para reanudar la actividad en curso.

Responsable técnico

Análisis

Explotación

Limpieza de documentos

ENS II. mp.info.6

En el proceso de limpieza de documentos, debe retirarse de éstos toda la información adicional contenida en campos ocultos, meta-datos, comentarios o revisiones anteriores, salvo cuando dicha información sea pertinente para el receptor del documento. Esta medida es especialmente relevante cuando el documento se difunde ampliamente, como ocurre cuando se ofrece al público en un servidor web u otro tipo de repositorio de información.

Responsable funcional

Análisis

Explotación

Autorización de almacenaje de datos en dispositivos portátiles

RLOPD art. 86

El almacenamiento de los datos personales en dispositivos portátiles debe haber sido previamente autorizado por el responsable del fichero o tratamiento. Esta autorización deberá constar en el DS y tener un período de validez.

Responsable funcional

Análisis

Explotación

ALMACENAMIEN TO DE INFORMACIÓN PROTECCIÓN DE LA INFORMACIÓN 2.5.1.3

RÉGIMEN DE TRABAJO FUERA DE LOS LOCALES DEL RESPONSABLE DE LA INFORMACIÓN 2.5.2.1

Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15

Página 38 de 72 Autor: OSI

CÓDIGO

TÍTULO

FUNDAMENTO LEGAL

DESCRIPCIÓN

QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)

FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA

FASE EN QUE DEBE SER VÁLIDO

2.5.2.2

Autorización de tratamiento de datos fuera de los locales del responsable de la información

RLOPD art. 86

El tratamiento de los datos personales fuera de los locales del responsable de la información o del encargado del tratamiento debe haber sido previamente autorizado por el responsable de la información. Esta autorización deberá constar en el DS y tener un período de validez.

Responsable funcional

Análisis

Explotación

2.5.2.3

Compromiso de garantía de cumplimiento de las medidas de seguridad

RLOPD art. 86

Debe haberse obtenido el compromiso de garantía de cumplimiento del nivel de seguridad correspondiente al tipo de información, para el tratamiento de datos fuera de los locales del responsable de la información.

Responsable funcional

Análisis

Explotación

2.5.2.4

Protección básica de equipos móviles

ENS II.mp.eq.3 PSI-GV art. 13

Los equipos que abandonen las instalaciones de la organización y no puedan beneficiarse de la protección física correspondiente, con un riesgo manifiesto de pérdida o robo, deben estar protegidos adecuadamente. Sin perjuicio de las medidas generales que les afecten, se deben adoptar las siguientes medidas específicas: a) Se llevará un inventario de equipos portátiles junto con una identificación de la persona responsable del mismo y un control regular de que está positivamente bajo su control. b) Se establecerá un canal de comunicación para informar, al servicio de gestión de incidencias, de pérdidas o sustracciones. c) Se establecerá un sistema de protección perimetral que minimice la visibilidad exterior y controle las opciones de acceso al interior cuando el equipo se conecte a redes, en particular si el equipo se conecta a redes públicas. d) Se evitará, en la medida de lo posible, que el equipo contenga claves de acceso remoto a la organización. Se considerarán claves de acceso remoto aquellas que sean capaces de habilitar un acceso a otros equipos de la organización, u otras de naturaleza análoga.

Responsable funcional

Análisis

Explotación

2.5.2.5

Protección de información sensible en equipos móviles

ENS II.mp.eq.3.a PSI-GV art. 13

Se deberá dotar a los equipos móviles de detectores de violación que permitan saber si el equipo ha sido manipulado y activen los procedimientos previstos de gestión del incidente.

Responsable técnico

Análisis

Explotación

Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15

Página 39 de 72 Autor: OSI

CÓDIGO

TÍTULO

FUNDAMENTO LEGAL

DESCRIPCIÓN

2.5.2.6

Cifrado de información sensible en equipos móviles

RLOPD art.101.23 ENS art. 21.1; II.mp.eq.3.b PSI-GV art. 13

Medidas de seguridad de los ficheros temporales y copias de trabajo

FICHEROS TEMPORALES O COPIAS DE TRABAJO DE DOCUMENTOS 2.5.3.1

2.5.3.2

GESTIÓN DE SOPORTES 2.5.4.1

2.5.4.3

FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA

FASE EN QUE DEBE SER VÁLIDO

Los datos tratados y almacenados en dispositivos portátiles tales como portátiles, Responsable técnico asistentes personales (PDA), periféricos o soportes de información deben cifrarse cuando abandonen las instalaciones de la Conselleria de Sanitat (información en tránsito). Si los portátiles no pueden cifrar la información y es estrictamente necesario su uso, se deberá reflejar en el DS y se deberá adoptar medidas que tengan en cuenta los riesgos de realizar tratamientos en entornos desprotegidos.

Análisis

Explotación

RLOPD art. 87

Se deben aplicar las medidas de protección necesarias a los ficheros temporales o copias de documentos para garantizar el nivel de seguridad que les corresponde.

Responsable funcional

Análisis

Desarrollo

Borrado o destrucción de ficheros temporales y copias de trabajo

RLOPD art. 87

Se deben borrar o destruir los ficheros temporales o copias de trabajo una vez dejan de ser necesarios para el fin por el que se crearon.

Responsable funcional

Análisis

Desarrollo

Identificación restringida de soportes

RLOPD art.92.1 ENS II.mp.si.1

Los soportes y documentos que contienen datos de carácter personal deben permitir la identificación del tipo de información que contienen (pero no su contenido), ser inventariados y sólo ser accesibles por el personal autorizado para ello en el DS. Los usuarios autorizados están capacitados para entender el significado de la etiquetas, bien mediante simple inspección, bien mediante el acceso a un repositorio que lo explique.

Responsable técnico

Análisis

Explotación

Autorización de la salida de información

RLOPD art.92.2

La salida de soportes y documentos con datos de carácter personal (incluidos los comprendidos y/o anejos a un correo electrónico) fuera de los locales bajo el control del responsable del fichero o tratamiento debe estar autorizada por el responsable del fichero o estar recogida en el DS.

Responsable de seguridad

Análisis

Explotación

Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15

QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)

Página 40 de 72 Autor: OSI

CÓDIGO

TÍTULO

FUNDAMENTO LEGAL

DESCRIPCIÓN

QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)

FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA

FASE EN QUE DEBE SER VÁLIDO

2.5.4.4

Prevención de la sustracción, pérdida o acceso indebido

RLOPD art.92.3

Deben existir medidas para evitar la sustracción, pérdida o acceso indebido a la información durante su transporte

Responsable técnico

Análisis

Explotación

2.5.4.5

Prevención en el borrado o eliminación de soportes

RLOPD art.92.4

Deben existir medidas para evitar el acceso a la información de documentos o soportes que son desechados, destruidos o borrados.

Responsable técnico

Análisis

Explotación

2.5.4.6

Borrado y destrucción de soportes

ENS II. mp.si.5

a) Los soportes que vayan a ser reutilizados para otra información o liberados a otra organización deben ser objeto de un borrado seguro de su anterior contenido. b) Se destruyen de forma segura los soportes, en los siguientes casos: 1.º Cuando la naturaleza del soporte no permita un borrado seguro. 2.º Cuando así lo requiera el procedimiento asociado al tipo de la información contenida,. c) Se emplean, preferentemente, productos certificados.

Responsable técnico

Análisis

Explotación

2.5.4.7

Identificación de copia

OFI art.16.2

Las copias expedidas de los documentos en formatos electrónico, informático o telemático deben poseer una leyenda, como parte integrante de la información de la copia, donde se indica expresamente la condición de copia de un documento original, así como el número de orden de la misma. Asimismo, en el momento en que la copia sea expedida, los documentos electrónicos originales serán marcados indicando el número de copia y la fecha en que fue expedida.

Responsable técnico

Análisis

Explotación

2.5.4.8

Registro de entrada/salida de soportes

RLOPD art.97 ENS II.mp.si.4

Debe existir un sistema de Registro de entrada/salida de soportes que permite, Responsable directa o indirectamente, conocer el tipo de documento o soporte, la fecha y hora, de seguridad el emisor/destinatario, transportista, el número de documentos o soportes incluidos en el envío, el tipo de información que contienen, la forma de envío y la persona responsable de la recepción/entrega que deberá debidamente autorizada.

Estructural

Estructural

Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15

Página 41 de 72 Autor: OSI

CÓDIGO

TÍTULO

FUNDAMENTO LEGAL

DESCRIPCIÓN

QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)

FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA

FASE EN QUE DEBE SER VÁLIDO

2.5.4.9

Garantía de protección

ENS II.mp.si.2-4

El responsable de sistemas debe garantizar que los dispositivos permanezcan bajo control y que satisfagan sus requisitos de seguridad mientras están siendo desplazados de un lugar a otro. Para ello: 1) se debe guardar el transportista del envío en el Registro de entrada/salida de soportes. 2) Se dispone de un procedimiento rutinario que coteje las salidas con las llegadas y levante las alarmas pertinentes cuando se detecte algún incidente. 3) Se utiliza los medios de protección criptográfica (cifrado) correspondientes al nivel de calificación de la información contenida de mayor nivel (nivel MEDIO: cifrado; nivel ALTO: algoritmos de cifrado acreditados por El Centro Criptológico Nacional y que empleen preferentemente productos certificados). 4) Se gestionan las claves manteniendo su protección durante todo su ciclo de vida. 5) Se garantiza el control de acceso a los soportes, mediante medidas físicas o lógicas. 6) Se respetan las exigencias de mantenimiento de los soportes del fabricante (temperatura, humedad, etc.).

Responsable técnico

Análisis

Explotación

2.5.4.10

Cifrado de información sensible en distribución de soportes

RLOPD art.101.2 ENS II.mp.si.4

En la distribución de los soportes se debe, o bien, cifrar los datos de carácter personal que contienen, o bien, utilizar otros mecanismos que garanticen que dicha información no sea accesible o manipulada durante su transporte.

Responsable técnico

Análisis

Explotación

2.5.4.11

Protección de la documentación no electrónica generada a partir de la electrónica

ENS art. 21.3

La información en soporte no electrónico que haya sido causa o consecuencia directa de la información electrónica debe protegerse con el mismo grado de seguridad que esta última. Para ello deben aplicarse las medidas que correspondan a la naturaleza del soporte en que se encuentren, de conformidad con las normas de aplicación a la seguridad de los mismos.

Responsable técnico

Análisis

Explotación

ARCHIVO Y ALMACENAMIEN TO DE INFORMACIÓN MANUAL O MIXTA Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15

Página 42 de 72 Autor: OSI

CÓDIGO

TÍTULO

FUNDAMENTO LEGAL

DESCRIPCIÓN

QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)

FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA

FASE EN QUE DEBE SER VÁLIDO

2.5.5.1

Criterios de archivo

RLOPD art.106

El archivo de los soportes o documentos (por ejemplo, los historiales clínicos) se realiza de acuerdo a su respectiva legislación. Si no existe norma aplicable, el responsable del fichero ha establecido unos criterios y procedimientos de actuación propios.

Responsable funcional

Análisis

Explotación

2.5.5.2

Correcta conservación

RLOPD art.106 ENS II.mp.si.3

El almacenamiento de la información debe garantizar la correcta conservación de Responsable técnico los documentos, la localización y consulta de la información y debe permitir el ejercicio de los derechos de oposición al tratamiento, acceso, rectificación y cancelación. Asimismo, debe respetarse las exigencias de mantenimiento de los soportes del fabricante (temperatura, humedad, etc.).

Estructural

Estructural

2.5.5.3

Obstaculización del acceso no autorizado

RLOPD art.107

El acceso a los documentos que contienen datos de carácter personal deberán disponer de mecanismos en los dispositivos de almacenamiento que obstaculicen su apertura. Cuando las características físicas de aquéllo no permitan adoptar esta medida, el responsable del fichero o tratamiento debe adoptar medidas que impidan el acceso de personas no autorizadas.

Responsable funcional

Análisis

Explotación

Mientras la documentación con datos de carácter personal no se encuentre archivada en los mencionados dispositivos de almacenamiento, por estar en proceso de revisión o tramitación, ya sea previo o posterior a su archivo, la persona que se encuentre al cargo de la misma debe custodiar e impedir en todo momento que pueda ser accedida por personas no autorizada.

Responsable de seguridad

Estructural

Estructural

Deben existir procedimientos que aseguren que al menos se realice una copia de Responsable respaldo semanal, salvo que en dicho período no se hubiera producido ninguna técnico actualización de los datos.

Estructural

Estructural

Deben existir procedimientos de recuperación de datos a partir de las copias de respaldo. Estos procedimientos garantizan en todo momento la reconstrucción de los datos en el estado en que se encontraban al tiempo de producirse la pérdida o destrucción.

Estructural

Estructural

ENS II.mp.si.3

2.5.5.4

Custodia de soportes

RLOPD art.108

COPIAS DE RESPALDO Y RECUPERACIÓN 2.5.6.3 Mínimo intervalo de copia RLOPD art.94.1 de seguridad ENS art. 25 RTMS art. 22.2-3 2.5.6.4

Definición del procedimiento de recuperación

RLOPD art.94.2 RTMS art. 22.4

Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15

Responsable técnico

Página 43 de 72 Autor: OSI

CÓDIGO

TÍTULO

FUNDAMENTO LEGAL

DESCRIPCIÓN

QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)

FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA

FASE EN QUE DEBE SER VÁLIDO

2.5.6.5

Grabación manual para ficheros mixtos

RLOPD art.94.2

En el caso específico de que la pérdida o destrucción afectase a ficheros o tratamientos parcialmente automatizados, y siempre que la existencia de documentación permita alcanzar el objetivo de reconstruir los datos en el estado en que se encontraban al tiempo de producirse la pérdida o destrucción, se deberá proceder a grabar manualmente los datos quedando constancia motivada de este hecho en el documento de seguridad. Esta circunstancia deberá constar en el DS.

Responsable técnico

Estructural

Estructural

2.5.6.6

Verificación de los procedimientos de respaldo y recuperación

RLOPD art.94.3

El responsable del fichero se debe encargar de verificar cada seis meses la correcta definición, funcionamiento y aplicación de los procedimientos de realización de copias de respaldo y de recuperación de los datos.

Responsable técnico

Estructural

Estructural

2.5.6.7

Prueba de recuperación de datos

RTMS art.22.5

Con una periodicidad mínima anual se debe efectuar un procedimiento de recuperación de información salvada con la finalidad de verificar que el proceso de salvado se está efectuando correctamente.

Responsable técnico

Estructural

Estructural

2.5.6.8

Restricción de pruebas con datos reales

RLOPD art.94.4

Las pruebas para la implantación o modificación de los sistemas de información que traten ficheros con datos de carácter personal no deben realizarse con datos reales, salvo que se asegure el nivel de seguridad correspondiente al tratamiento realizado y se anote su realización en el DS. Si está previsto realizar pruebas con datos reales, previamente deberá haberse realizado una copia de seguridad.

Responsable funcional

Análisis

Implantación

2.5.6.11

Condiciones de la conservación de la copia de respaldo (ii)

RTMS art. 46.5

Los dispositivos de salvados de datos deben almacenarse en armarios ignífugos, preferentemente en otros locales diferentes a las áreas de seguridad. Estos armarios deben estar cerrados de forma segura.

Responsable técnico

Estructural

Estructural

2.5.6.14

Procedimiento integral de RTMS art. 35.3 copia, recuperación y eliminación

Los procedimientos de copia, recuperación, eliminación y archivo deben Responsable especificar, como mínimo, una relación de tareas a ejecutar y procesos de seguridad implicados, resultado de cada tarea y proceso, el responsable de cada una de las tareas, periodicidad y documentación a cumplimentar en cada operación.

Estructural

Estructural

2.5.6.15

Guarda de los procedimientos de recuperación y conservación

Los procedimientos que aseguren la recuperación y conservación a largo plazo de los documentos electrónicos forman parte de la seguridad de la información (esto es, deben constar en el DS).

Estructural

Estructural

ENS art. 21.2

Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15

Responsable técnico

Página 44 de 72 Autor: OSI

CÓDIGO

TÍTULO

FUNDAMENTO LEGAL

DESCRIPCIÓN

QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)

FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA

FASE EN QUE DEBE SER VÁLIDO

2.5.6.16

Autorización de la recuperación

RLOPD art.100.2

Debe solicitarse la autorización del responsable del fichero antes de ejecutar cualquier procedimiento de recuperación de los datos.

Responsable técnico

Estructural

Estructural

Protección del correo electrónico

ENS II.mp.s.1

El correo electrónico debe protegerse frente a las amenazas que le son propias, actuando del siguiente modo: a) La información distribuida por medio de correo electrónico, debe protegerse, tanto en el cuerpo de los mensajes, como en los anexos. b) Debe protegerse la información de encaminamiento de mensajes y establecimiento de conexiones. c) Debe protegerse a la organización frente a problemas que se materializan por medio del correo electrónico, en concreto: 1.º Correo no solicitado, en su expresión inglesa «spam». 2.º Programas dañinos, constituidos por virus, gusanos, troyanos, espías, u otros de naturaleza análoga. 3.º Código móvil de tipo «applet». d) Deben establecerse normas de uso del correo electrónico por parte del personal determinado. Estas normas de uso deberán contener: 1.º Limitaciones al uso como soporte de comunicaciones privadas. 2.º Actividades de concienciación y formación relativas al uso del correo electrónico.

Responsable técnico

Estructural

Estructural

PROTECCIÓN DE LOS SERVICIOS 2.5.7.1

Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15

Página 45 de 72 Autor: OSI

CÓDIGO

TÍTULO

FUNDAMENTO LEGAL

DESCRIPCIÓN

QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)

2.5.7.2

Protección de servicios y aplicaciones web

ENS II.mp.s.2

Los subsistemas dedicados a la publicación de la información deben ser Responsable protegidos frente a las amenazas que les son propias. técnico a) Cuando la información tenga algún tipo de control de acceso, debe garantizarse la imposibilidad de acceder a la información obviando la autenticación, en particular tomando medidas en los siguientes aspectos: 1.º Debe evitarse que el servidor ofrezca acceso a los documentos por vías alternativas al protocolo determinado. 2.º Debe prevenirse ataques de manipulación de URL. 3.º Debe prevenirse ataques de manipulación de fragmentos de información que se almacena en el disco duro del visitante de una página web a través de su navegador, a petición del servidor de la página, conocido en terminología inglesa como «cookies». 4.º Debe prevenirse ataques de inyección de código. b) Debe prevenirse intentos de escalado de privilegios. c) Debe prevenirse ataques de «cross site scripting». d) Debe prevenirse ataques de manipulación de programas o dispositivos que realizan una acción en representación de otros, conocidos en terminología inglesa como «proxies» y, sistemas especiales de almacenamiento de alta velocidad, conocidos en terminología inglesa como «cachés».

FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA

FASE EN QUE DEBE SER VÁLIDO

Estructural

Estructural

APLICACIONES INFORMÁTICAS DESARROLLO DE APLICACIONES

Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15

Página 46 de 72 Autor: OSI

CÓDIGO

TÍTULO

FUNDAMENTO LEGAL

DESCRIPCIÓN

QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)

FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA

FASE EN QUE DEBE SER VÁLIDO

2.6.1.1

Criterios y metodologías de desarrollo

ENS II.mp.sw.1 PSI-GV art. 4.5-6

a) El desarrollo de aplicaciones debe realizarse sobre un sistema diferente y separado del de producción, no debiendo existir herramientas o datos de desarrollo en el entorno de producción. b) Se debe aplicar una metodología de desarrollo reconocida que: 1.º Tome en consideración los aspectos de seguridad a lo largo de todo el ciclo de vida. 2.º Trate específicamente los datos usados en pruebas. 3.º Permita la inspección del código fuente. c) Los siguientes elementos deben ser parte integral del diseño del sistema: 1.º Los mecanismos de identificación y autenticación. 2.º Los mecanismos de protección de la información tratada. 3.º La generación y tratamiento de pistas de auditoría. d) Las pruebas anteriores a la implantación o modificación de los sistemas de información no deben realizarse con datos reales, salvo que se asegure el nivel de seguridad correspondiente.

Responsable funcional

Estudio de viabilidad Análisis

2.6.1.2

Reutilización de aplicaciones y transferencia de tecnología

LAE art. 45-6

Las administraciones titulares de los derechos de propiedad intelectual de aplicaciones, desarrolladas por sus servicios o cuyo desarrollo haya sido objeto de contratación, podrán ponerlas a disposición de cualquier Administración sin contraprestación y sin necesidad de convenio.

Responsable funcional

Estudio de viabilidad Análisis

Las aplicaciones a las que se refiere el apartado anterior podrán ser declaradas como de fuentes abiertas, cuando de ello se derive una mayor transparencia en el funcionamiento de la Administración Pública o se fomente la incorporación de los ciudadanos a la Sociedad de la información. Se deberá mantener directorios actualizados de aplicaciones para su libre reutilización, especialmente en aquellos campos de especial interés para el desarrollo de la administración electrónica y de conformidad con lo que al respecto se establezca en el Esquema Nacional de Interoperabilidad. Se actualizará y recurrirá a un directorio general de aplicaciones de la Administración General del Estado.

Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15

Página 47 de 72 Autor: OSI

CÓDIGO

ACEPTACIÓN Y PUESTA EN SERVICIO 2.6.2.1

2.6.2.2

GESTIÓN DE CAMBIOS 2.6.3.1

2.6.3.2

TÍTULO

FUNDAMENTO LEGAL

DESCRIPCIÓN

QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)

FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA

FASE EN QUE DEBE SER VÁLIDO

Comprobación previa del funcionamiento

ENS II.mp.sw.2

Antes de pasar a producción se debe comprobar el correcto funcionamiento de la aplicación. a) En particular, se debe comprobar que: 1. Se cumplen los criterios de aceptación en materia de seguridad. 2. No se deteriora la seguridad de otros componentes del servicio. b) Las pruebas deben realizarse en un entorno aislado (pre-producción). c) Las pruebas de aceptación no deben realizarse con datos reales, salvo que se asegure el nivel de seguridad correspondiente.

Responsable funcional

Análisis

Implantación

Detección de vulnerabilidades

ENS II.mp.sw.2

Deben realizarse las siguientes inspecciones previas a la entrada en servicio: a) Análisis de vulnerabilidades. b) Pruebas de penetración.

Responsable funcional

Análisis

Implantación

Procedimiento de autorización de cambios

ENS art. 20.1 RTMS art. 44

El responsable de seguridad debe autorizar previamente la instalación de elementos lógicos (especialmente cuando impliquen alteración de la funcionalidad de la aplicación). A su vez, debe aprobar los informes del cambio, relativos al motivo del cambio, realización de pruebas, permanencia de las medidas de seguridad y responsable de cambio. A la vez, debe registrar todas las sustituciones de programas.

Responsable funcional

Análisis

Implantación

Proceso formal de adquisición de nuevos componentes

ENS II.op.pl.3

Debe establecerse un proceso formal para planificar la adquisición de nuevos componentes del sistema, proceso que incluye una valoración explícita de que la adquisición: a) Atiende a las conclusiones del análisis de riesgos. b) Es acorde a la arquitectura de seguridad escogida. c) Contempla las necesidades técnicas, de formación y de financiación de forma conjunta.

Responsable funcional

Análisis

Implantación

Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15

Página 48 de 72 Autor: OSI

CÓDIGO

TÍTULO

FUNDAMENTO LEGAL

DESCRIPCIÓN

QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)

FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA

FASE EN QUE DEBE SER VÁLIDO

2.6.3.4

Control continuo de cambios realizados

ENS II.op.exp.5

Debe mantenerse un control continuo de cambios realizados en el sistema de la siguiente forma: a) Todos los cambios anunciados por el fabricante o proveedor debe analizarse para determinar su conveniencia para ser incorporados, o no. b) Antes de poner en producción una nueva versión o una versión parcheada, debe comprobarse en un equipo que no esté en producción, que la nueva instalación funciona correctamente y no disminuye la eficacia de las funciones necesarias para el trabajo diario. El equipo de pruebas será equivalente al de producción en los aspectos que se comprueban. c) Los cambios deben planificarse para reducir el impacto sobre la prestación de los servicios afectados. d) Mediante análisis de riesgos debe determinarse si los cambios son relevantes para la seguridad del sistema. Aquellos cambios que impliquen una situación de riesgo de nivel alto deben ser aprobados explícitamente de forma previa a su implantación.

Responsable funcional

Análisis

Implantación

Transmisión cifrada

RLOPD art.104 ENS art. 21.1 RTMS art.17, 19

La transmisión de datos de carácter personal especialmente protegidos (como, por ejemplo, los datos de salud) a través de redes públicas o redes inalámbricas de comunicaciones electrónicas debe realizarse, bien cifrando dichos datos, bien utilizando otras medias de protección de la información que eviten el acceso o manipulación por terceros.

Responsable técnico

Estructural

Estructural

2.7.1.2

Cifrado de la transmisión de la contraseña

RTMS art. 18

La transmisión de contraseñas debe realizarse de forma totalmente cifrada.

Responsable técnico

Estructural

Estructural

2.7.1.3

Uso de redes privadas virtuales (i)

ENS II.mp.com.2, II.mp.com.3

Deben emplearse redes privadas virtuales para comunicaciones que discurran por redes fuera del propio dominio de seguridad, con algoritmos acreditados por el Centro Criptológico Nacional.

Responsable técnico

Estructural

Estructural

2.7.1.5

Acceso a través de redes de comunicaciones

RLOPD art.85

Cuando se acceden a datos personales, los accesos a través de redes de comunicaciones, sean o no públicas, deben satisfacer un nivel de seguridad equivalente a los accesos en modo local.

Responsable técnico

Estructural

Estructural

TELECOMUNICA CIONES 2.7.1.1

Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15

Página 49 de 72 Autor: OSI

CÓDIGO

TÍTULO

FUNDAMENTO LEGAL

DESCRIPCIÓN

QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)

FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA

FASE EN QUE DEBE SER VÁLIDO

2.7.1.6

Perímetro de seguridad y conexión a red pública

ENS art. 22

El sistema debe proteger el perímetro de seguridad de la información, en particular, si se conecta a redes públicas.

Responsable técnico

Estructural

Estructural

2.7.1.7

Análisis de la interconexión del sistema

ENS art. 22

Deben analizarse los riesgos derivados de la interconexión del sistema, a través de redes, con otros sistemas, y controlarse su punto de unión.

Responsable técnico

Estructural

Estructural

2.7.1.8

Trazabilidad de la comunicación

OFI art. 17.2

En cada transmisión/recepción de datos debe existir constancia de sus fechas y del contenido íntegro de las comunicaciones, identificación del remitente y destinatario, generación de una diligencia que contenga los códigos o señales que garanticen que se ha producido la transmisión telemática.

Responsable técnico

Estructural

Estructural

2.7.1.9

Autorización del acceso

ORSI-CS art. 11.4 El responsable de accesos debe aprobar las condiciones para acceso desde fuera de los locales de la Conselleria de Sanitat.

Responsable de accesos

Análisis

Explotación

2.7.1.10

Cortafuegos (i)

ENS II.mp.com.1 RTMS art. 9.1

Todo el tráfico entre la red interna y el exterior debe atravesar un sistema de cortafuegos. Este sistema sólo debe dejar pasar los accesos estrictamente necesarios y previamente autorizados.

Responsable técnico

Estructural

Estructural

2.7.1.11

Cortafuegos (ii)

RTMS art. 9.2

En ningún caso los sistemas cortafuegos se ubican en las mismas máquinas donde residen los datos o las aplicaciones.

Responsable técnico

Estructural

Estructural

2.7.1.12

Cortafuegos (iii)

ENS II.mp.com.1

El sistema cortafuegos debe constar de dos o más equipos de diferentes fabricantes, dispuestos en cascada. Deben existir sistemas reduntantes.

Responsable técnico

Estructural

Estructural

2.7.1.13

Autenticidad en la comunicación

ENS II.mp.com.3 RTMS art.20.1

Debe asegurarse la autenticidad del otro extermo de un canal de comunicación antes de intercambiar cualquier información. El sistema, aplicación, o los medios o soportes empleados en la transmisión, debe ser capaz de proveer de certificados de autenticidad, emitidos por la autoridad autentificadora, para todas aquellas comunicaciones en que el receptor necesite garantías de la identidad de la otra parte y de que la transmisión no ha sido alterada.

Responsable técnico

Estructural

Estructural

2.7.1.14

Prevención de ataques

ENS II.mp.com.3

Debe prevenirse ataques activos, garantizando al menos su detección, y activarse los procedimientos previstos de tratamiento del incidente.

Responsable técnico

Estructural

Estructural

Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15

Página 50 de 72 Autor: OSI

CÓDIGO

TÍTULO

FUNDAMENTO LEGAL

DESCRIPCIÓN

QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)

FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA

FASE EN QUE DEBE SER VÁLIDO

2.7.1.15

Garantía de no repudio

RTMS art.20.2

Para aquellas aplicaciones que requieren la garantía adicional del no repudio, la aplicación, o bien los medios o soportes empleados en la transmisión, debe incorporar mecanismos que aseguren la irrenunciabilidad de la participación del transmisor y del receptor cuando se produzcan comunicaciones.

Responsable técnico

Estructural

Estructural

2.7.1.16

Gestión de la certificación RTMS art. 21

Los sistemas o aplicaciones, o bien los medios o soportes empleados en la transmisión, gestionan la asignación de claves públicas, claves privadas y los servicios de certificación a través de los medios y soportes dispuestos por la Autoridad Autentificadora para estos fines.

Responsable técnico

Estructural

Estructural

2.7.1.20

Algoritmos de cifrado (i)

RTMS art.4.1-2

Los algoritmos de cifrado empleados deben basarse en normas establecidas por AENOR, por alguno de los organismos reconocidos por este organismo nacional. Cuando no pueda emplearse una normativa establecida por AENOR, o por alguno de los organismos reconocidos por este organismo nacional, debe atenderse a lo que apruebe la autoridad autentificadora.

Responsable técnico

Estructural

Estructural

2.7.1.21

Algoritmos de cifrado (ii)

RTMS art.4.3

Los algoritmos de cifrado utilizados deben publicarse junto con las características Responsable del sistema técnico

Estructural

Estructural

2.7.1.22

Adquisición de productos de seguridad

ENS art. 18

Todo producto de seguridad debe cumplir con las normas y estándares de mayor reconocimiento internacional en el ámbito de la seguridad funcional o, alternativamente, estar certificado por el Organismo de Certificación del ENECSTI (Esquema Nacional de Evaluación y Certificación de Seguridad de las Tecnologías de la Información).

Responsable técnico

Estructural

Estructural

2.7.1.24

Cláusula en contratos

ENS V

Debe incluirse una cláusula en los correspondientes contratos para garantizar la calidad del software contratado en materia de seguridad.

Responsable funcional

Estudio de viabilidad Estudio de viabilidad

Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15

Página 51 de 72 Autor: OSI

CÓDIGO

TÍTULO

FUNDAMENTO LEGAL

DESCRIPCIÓN

QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)

FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA

FASE EN QUE DEBE SER VÁLIDO

2.7.1.25

Intercambio electrónico de datos en entornos cerrados de comunicación

LAE art. 20

Cuando los participantes en las comunicaciones pertenezcan a la GV (aplicable también a la comunicación dentro de la Conselleria de Sanitat), ésta determinará las condiciones y garantías por las que se regirá que, al menos, comprenderá la relación de emisores y receptores autorizados y la naturaleza de los datos a intercambiar.

Responsable de seguridad

Estructural

Estructural

Cuando los participantes pertenezcan a distintas administraciones, las condiciones y garantías citadas en el apartado anterior se establecerán mediante convenio. En todo caso deberá garantizarse la seguridad del entorno cerrado de comunicaciones y la protección de los datos que se transmitan.

2.7.1.26

Interoperabilidad de los sistemas de información en el intercambio electrónico de datos con otras AAPP

LAE art. 41

La Conselleria de Sanitat debe utilizar las tecnologías de la información en sus relaciones con las demás administraciones y con los ciudadanos, aplicando medidas informáticas, tecnológicas, organizativas, y de seguridad, que garanticen un adecuado nivel de interoperabilidad técnica, semántica y organizativa y eviten discriminación a los ciudadanos por razón de su elección tecnológica.

Responsable de seguridad

Estructural

Estructural

2.7.1.27

Interconexión de redes con otras AAPP

LAE art. 43

La Administración General del Estado, las Administraciones Autonómicas y las entidades que integran la Administración Local, así como los consorcios u otras entidades de cooperación constituidos a tales efectos por éstas, deberán adoptar las medidas necesarias e incorporar en sus respectivos ámbitos las tecnologías precisas para posibilitar la interconexión de sus redes con el fin de crear una red de comunicaciones que interconecte los sistemas de información de las Administraciones Públicas españolas y permita el intercambio de información y servicios entre las mismas, así como la interconexión con las redes de las Instituciones de la Unión Europea y de otros Estados Miembros.

Responsable de seguridad

Estructural

Estructural

ACCESO ELECTRÓNICO DE LA CIUDADANÍA

Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15

Página 52 de 72 Autor: OSI

CÓDIGO

DERECHOS DE ACCESO ELECTRÓNICO DE LA CIUDADANÍA 2.9.1.1

2.9.1.2

TÍTULO

FUNDAMENTO LEGAL

DESCRIPCIÓN

QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)

FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA

Requisitos de las notificaciones y publicaciones electrónicas

ENS art. 32

Las notificaciones y publicaciones electrónicas de resoluciones y actos administrativos deben realizarse de forma que cumplan que: a) se asegura la autenticidad del organismo que lo publica; se asegura la integridad de la información publicada; b) se deja constancia de la fecha y hora de la puesta a disposición del interesado de la resolución o acto objeto de publicación o notificación, así como del acceso a su contenido; y c) se asegura la autenticidad del destinatario de la publicación o notificación.

Responsable funcional

Estudio de viabilidad Explotación

Para que la notificación se practique utilizando algún medio electrónico se requerirá que el interesado haya señalado dicho medio como preferente o haya consentido su utilización. Tanto la indicación de la preferencia en el uso de medios electrónicos como el consentimiento citados anteriormente podrán emitirse y recabarse, en todo caso, por medios electrónicos.

Responsable funcional

Estudio de viabilidad Explotación

Práctica de la notificación LAE art. 27-8 por medios electrónicos

FASE EN QUE DEBE SER VÁLIDO

El sistema de notificación permitirá acreditar la fecha y hora en que se produzca la puesta a disposición del interesado del acto objeto de notificación, así como la de acceso a su contenido, momento a partir del cual la notificación se entenderá practicada a todos los efectos legales. Cuando, existiendo constancia de la puesta a disposición transcurrieran diez días naturales sin que se acceda a su contenido, se entenderá que la notificación ha sido rechazada con los efectos previstos en la correspondiente ley, salvo que de oficio o a instancia del destinatario se compruebe la imposibilidad técnica o material del acceso. Durante la tramitación del procedimiento el interesado podrá requerir al órgano correspondiente que las notificaciones sucesivas no se practiquen por medios electrónicos, utilizándose los demás medios admitidos en la correspondiente ley, excepto en los casos previstos (personas jurídicas o colectivos de personas físicas con suficientes medios tecnológicos). Producirá los efectos propios de la notificación por comparecencia el acceso electrónico por los interesados al contenido de las actuaciones administrativas correspondientes, siempre que quede constancia de dichos acceso. Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15

Página 53 de 72 Autor: OSI

CÓDIGO

TÍTULO

FUNDAMENTO LEGAL

DESCRIPCIÓN

QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)

FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA

FASE EN QUE DEBE SER VÁLIDO

Los requisitos de seguridad e integridad de las comunicaciones se deben establecer en cada caso de forma apropiada al carácter de los datos objeto de aquellas, de acuerdo con criterios de proporcionalidad, conforme a lo dispuesto en la legislación vigente en materia de protección de datos de carácter personal.

Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15

Página 54 de 72 Autor: OSI

CÓDIGO

TÍTULO

FUNDAMENTO LEGAL

DESCRIPCIÓN

QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)

FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA

FASE EN QUE DEBE SER VÁLIDO

2.9.1.3

Reconocimiento del derecho de acceso electrónico

LAE art.6.1, 27

Se deben disponer los medios para que el ciudadano pueda ejercer su derecho a relacionarse con la organización utilizando medios electrónicos; especialmente para obtener informaciones, realizar consultas y alegaciones, formular solicitudes, manifestar consentimiento, entablar pretensiones, efectuar pagos, realizar transacciones y oponerse a las resoluciones y actos administrativos.

Responsable funcional

Estudio de viabilidad Explotación

Se debe utilizar medios electrónicos en sus comunicaciones con los ciudadanos siempre que así lo hayan solicitado o consentido expresamente. La solicitud y el consentimiento podrán, en todo caso, emitirse y recabarse por medios electrónicos. Las comunicaciones a través de medios electrónicos serán válidas siempre que exista constancia de la transmisión y recepción, de sus fechas, del contenido íntegro de las comunicaciones y se identifique fidedignamente al remitente y al destinatario de las mismas.

Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15

Página 55 de 72 Autor: OSI

CÓDIGO

TÍTULO

FUNDAMENTO LEGAL

DESCRIPCIÓN

QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)

FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA

FASE EN QUE DEBE SER VÁLIDO

2.9.1.4

Derecho de elección del medio

LAE art.6.2.a, 27; OFI art.17.3

Se debe garantizar el derecho de los ciudadanos a elegir entre aquellos medios electrónicos (soporte o aplicación) que en cada momento se encuentren disponibles, el canal a través del cual relacionarse por medios electrónicos con la Conselleria de Sanitat.

Responsable funcional

Estudio de viabilidad Explotación

El ciudadano podrá optar, en cualquier momento, por un medio distinto del inicialmente elegido. Se deben publicar, en el correspondiente Diario Oficial y en la propia sede electrónica, aquellos medios electrónicos que los ciudadanos pueden utilizar en cada supuesto en el ejercicio de su derecho a comunicarse con ellas. Reglamentariamente, se podrá establecer la obligatoriedad de comunicarse con ellas utilizando sólo medios electrónicos, cuando los interesados se correspondan con personas jurídicas o colectivos de personas físicas que por razón de su capacidad económica o técnica, dedicación profesional u otros motivos acreditados tengan garantizado el acceso y disponibilidad de los medios tecnológicos precisos.

Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15

Página 56 de 72 Autor: OSI

CÓDIGO

TÍTULO

FUNDAMENTO LEGAL

DESCRIPCIÓN

QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)

2.9.1.5

Documentación no redundante

LAE arts.6.2.b, 9

Se debe garantizar el derecho de los ciudadanos a no aportar datos y Responsable documentos que obren en poder de las Administraciones Públicas. funcional La Conselleria de Sanitat debe utilizar medios electrónicos para recabar/transmitir dicha información siempre que, en el caso de datos de carácter personal, se cuente con el consentimiento de los interesados. El citado consentimiento podrá emitirse y recabarse por medios electrónicos.

FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA

FASE EN QUE DEBE SER VÁLIDO

Estudio de viabilidad Explotación

Cada administración deberá facilitar el acceso de las restantes Administraciones Públicas a los datos relativos a los interesados que obren en su poder y se encuentren en soporte electrónico, especificando las condiciones, protocolos y criterios funcionales o técnicos necesarios para acceder a dichos datos con las máximas garantías de seguridad, integridad y disponibilidad, de conformidad con la Ley Protección de Datos de Carácter Personal y su normativa de desarrollo. La disponibilidad de tales datos estará limitada estrictamente a aquellos que son requeridos a los ciudadanos por las restantes Administraciones para la tramitación y resolución de los procedimientos y actuaciones de su competencia de acuerdo con la normativa reguladora de los mismos. El acceso a los datos de carácter personal estará, además, condicionado al cumplimiento de las condiciones establecidas en el artículo 6.2.b) de la presente Ley.

2.9.1.6

Igualdad de acceso

LAE art.6.2.c

Se debe garantizar la igualdad en el acceso electrónico a los servicios.

Responsable funcional

Análisis

Explotación

2.9.1.7

Información sobre el estado de la tramitación

LAE art.6.2.d

Se debe garantizar el conocimiento por medios electrónicos del estado de tramitación de los procedimientos en los que el ciudadano sea interesado, salvo en los supuestos en que la normativa de aplicación establezca restricciones al acceso a la información sobre aquéllos.

Responsable funcional

Análisis

Explotación

2.9.1.8

Obtención de copias electrónicas de la documentación

LAE art.6.2.e

Se debe permitir que los ciudadanos obtengan copias electrónicas de los documentos electrónicos que formen parte de procedimientos en los que tengan la condición de interesado.

Responsable funcional

Análisis

Explotación

2.9.1.9

Conservación electrónica de documentos

LAE art.6.2.f

Se deben conservar en formato electrónico los documentos electrónicos que formen parte de un expediente.

Responsable funcional

Análisis

Explotación

Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15

Página 57 de 72 Autor: OSI

CÓDIGO

TÍTULO

2.9.1.10

DESCRIPCIÓN

QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)

FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA

FASE EN QUE DEBE SER VÁLIDO

Garantía de seguridad, LAE art.6.2.i-j confidencialidad y calidad

Se debe garantizar la seguridad y confidencialidad de los datos que figuren en los ficheros, sistemas y aplicaciones, así como la calidad de los servicios prestados por medios electrónicos.

Responsable funcional

Análisis

Explotación

2.9.1.11

Garantía del uso de estándares abiertos

LAE art.6.2.k

Se debe garantizar el derecho a elegir las aplicaciones o sistemas para relacionarse con la Conselleria de Sanitat siempre y cuando utilicen estándares abiertos o, en su caso, aquellos otros que sean de uso generalizado por los ciudadanos.

Responsable funcional

Análisis

Explotación

2.9.1.12

Garantía a la información sobre el tratamiento electrónico

LAE art.6.3

Se debe garantizar el el derecho de los ciudadanos a obtener la siguiente información a través de medios electrónicos: a) Los procedimientos y trámites necesarios para acceder a las actividades de servicio y para su ejercicio. b) Los datos de las autoridades competentes en las materias relacionadas con las actividades de servicios, así como de las asociaciones y organizaciones profesionales relacionadas con las mismas. c) Los medios y condiciones de acceso a los registros y bases de datos públicos relativos a prestadores de actividades de servicios y las vías de recurso en caso de litigio entre cualesquiera autoridades competentes, prestadores y destinatarios.

Responsable funcional

Análisis

Explotación

2.9.1.13

Diversidad de canales o medios

LAE art.8.1

Las Administraciones Públicas deberán habilitar diferentes canales o medios para la prestación de los servicios electrónicos, garantizando en todo caso el acceso a los mismos a todos los ciudadanos, con independencia de sus circunstancias personales, medios o conocimientos, en la forma que estimen adecuada.

Responsable funcional

Estudio de viabilidad Análisis

ENS II.mp.info.4

Debe existir una Política de Firma Electrónica y Certificados, aprobada por el órgano superior competente que corresponda.

Responsable de seguridad

Estructural

POLÍTICA DE FIRMA ELECTRÓNICA Y CERTIFICADOS 2.9.2.1 Existencia de la Política de Firma Electrónica y Certificados

FUNDAMENTO LEGAL

Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15

Estructural

Página 58 de 72 Autor: OSI

CÓDIGO

TÍTULO

FUNDAMENTO LEGAL

DESCRIPCIÓN

QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)

FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA

FASE EN QUE DEBE SER VÁLIDO

2.9.2.2

Contenido de la Política de Firma Electrónica y Certificados

ENS art. 33.2

La Política de Firma Electrónica y Certificados debe concretar los procesos de generación, validación y conservación de firmas electrónicas, así como las características y requisitos exigibles a los sistemas de firma electrónica, los certificados, los servicios de sellado de tiempo y otros elementos de soporte de las firmas.

Responsable de seguridad

Estructural

Estructural

2.9.2.3

Requerimientos firma electrónica (i)

ENS II.mp.info.4

Debe emplearse medios de firma electrónica que estén previstos en la legislación Responsable vigente. funcional

Estudio de viabilidad Explotación

2.9.2.4

Requerimientos firma electrónica (ii)

ENS II.mp.info.4

1. Los medios utilizados en la firma electrónica deben satisfacer los siguientes Responsable criterios: funcional a) Se deben emplear algoritmos acreditados por el Centro Criptológico Nacional. b) Se deben emplear, preferentemente, certificados reconocidos. c) Se deben emplear, preferentemente, dispositivos seguros de firma. 2. Asimismo, se debe garantizar la verificación y validación de la firma electrónica durante el tiempo requerido por la actividad administrativa que aquélla soporte, sin perjuicio de que se pueda ampliar este período de acuerdo con lo que establezca la política de firma electrónica y de certificados que sea de aplicación. Para tal fin: a) Se debe adjuntar a la firma, o referenciar, toda la información pertinente para su verificación y validación: 1.º Certificados. 2.º Datos de verificación y validación. b) Se debe proteger la firma y la información mencionada en el apartado anterior con un sello de tiempo. c) El organismo que recabe documentos firmados por el administrado debe verificar y validar la firma recibida en el momento de la recepción, anexando o referenciando sin ambigüedad la información descrita en los epígrafes a) y b). d) La firma electrónica de documentos por parte de la Administración debe anexar o referenciar sin ambigüedad la información descrita en los epígrafes a) y b).

Estudio de viabilidad Explotación

IDENTIFICACIÓN DE LA CIUDADANÍA Y AUTENTICACIÓ N DE SU ACTUACIÓN

Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15

Página 59 de 72 Autor: OSI

CÓDIGO

TÍTULO

FUNDAMENTO LEGAL

DESCRIPCIÓN

QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)

FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA

FASE EN QUE DEBE SER VÁLIDO

2.9.3.1

Garantía de que los medios de identificación electrónica

LAE art.6.2.g-h

Se debe garantizar que los ciudadanos obtengan los medios de identificación electrónica necesarios, pudiendo las personas físicas utilizar en todo caso los sistemas de firma electrónica del Documento Nacional de Identidad para cualquier trámite electrónico con cualquier Administración Pública. Asimismo, se debe garantizar la utilización de otros sistemas de firma electrónica admitidos en el ámbito de las Administraciones Públicas.

Responsable funcional

Análisis

Explotación

2.9.3.2

Posibilidades de firma electrónica de los ciudadanos

LAE art. 13.2

Los ciudadanos podrán utilizar los siguientes sistemas de firma electrónica para relacionarse con las Administraciones Públicas, de acuerdo con lo que cada Administración determine: a) En todo caso, los sistemas de firma electrónica incorporados al Documento Nacional de Identidad, para personas físicas. b) Sistemas de firma electrónica avanzada, incluyendo los basados en certificado electrónico reconocido, admitidos por las Administraciones Públicas. c) Otros sistemas de firma electrónica, como la utilización de claves concertadas en un registro previo como usuario, la aportación de información conocida por ambas partes u otros sistemas no criptográficos, en los términos y condiciones que en cada caso se determinen.

Responsable funcional

Análisis

Explotación

2.9.3.3

Posibilidades de firma electrónica de la Conselleria de Sanitat

LAE art. 13.3

Las Administraciones Públicas podrán utilizar los siguientes sistemas para su identificación electrónica y para la autenticación de los documentos electrónicos que produzcan: a) Sistemas de firma electrónica basados en la utilización de certificados de dispositivo seguro o medio equivalente que permita identificar la sede electrónica y el establecimiento con ella de comunicaciones seguras. b) Sistemas de firma electrónica para la actuación administrativa automatizada. c) Firma electrónica del personal al servicio de las Administraciones Públicas. d) Intercambio electrónico de datos en entornos cerrados de comunicación, conforme a lo específicamente acordado entre las partes.

Responsable funcional

Análisis

Explotación

Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15

Página 60 de 72 Autor: OSI

CÓDIGO

TÍTULO

FUNDAMENTO LEGAL

DESCRIPCIÓN

QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)

FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA

FASE EN QUE DEBE SER VÁLIDO

2.9.3.4

Utilización del DNI

LAE art. 14

Las personas físicas podrán, en todo caso y con carácter universal, utilizar los sistemas de firma electrónica incorporados al Documento Nacional de Identidad en su relación por medios electrónicos con las Administraciones Públicas. El régimen de utilización y efectos de dicho documento se regirá por su normativa reguladora.

Responsable funcional

Análisis

Explotación

2.9.3.5

Utilización de otros sistemas de firma electrónica avanzada

LAE art. 15

La relación de sistemas de firma electrónica avanzada admitidos, con carácter general, en el ámbito de cada Administración Pública, deberá ser pública y accesible por medios electrónicos. Dicha relación incluirá, al menos, información sobre los elementos de identificación utilizados así como, en su caso, las características de los certificados electrónicos admitidos, los prestadores que los expiden y las especificaciones de la firma electrónica que puede realizarse con dichos certificados.

Responsable funcional

Análisis

Explotación

Los certificados electrónicos expedidos a Entidades sin personalidad jurídica, previstos en la Ley 59/2003, de 19 de diciembre, de Firma Electrónica podrán ser admitidos por las Administraciones Públicas en los términos que estas determinen.

Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15

Página 61 de 72 Autor: OSI

CÓDIGO

TÍTULO

FUNDAMENTO LEGAL

DESCRIPCIÓN

QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)

2.9.3.6

Utilización de otros sistemas no criptográficos

LAE art. 16

Las Administraciones Públicas podrán determinar, teniendo en cuenta los datos e Responsable funcional intereses afectados, y siempre de forma justificada, los supuestos y condiciones de utilización por los ciudadanos de otros sistemas de firma electrónica, tales como claves concertadas en un registro previo, aportación de información conocida por ambas partes u otros sistemas no criptográficos.

FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA

FASE EN QUE DEBE SER VÁLIDO

Análisis

Explotación

En aquellos supuestos en los que se utilicen estos sistemas para confirmar información, propuestas o borradores remitidos o exhibidos por una Administración Pública, ésta deberá garantizar la integridad y el no repudio por ambas partes de los documentos electrónicos concernidos. Cuando resulte preciso, las Administraciones Públicas certificarán la existencia y contenido de las actuaciones de los ciudadanos en las que se hayan usado formas de identificación y autenticación a que se refiere este artículo.

Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15

Página 62 de 72 Autor: OSI

CÓDIGO

TÍTULO

FUNDAMENTO LEGAL

DESCRIPCIÓN

QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)

FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA

FASE EN QUE DEBE SER VÁLIDO

2.9.3.7

Interoperabilidad, acreditación y representación de la ciudadanía

LAE art. 21, 41

Los certificados electrónicos reconocidos emitidos por prestadores de servicios de certificación deben ser admitidos por las Administraciones Públicas como válidos para relacionarse con las mismas, siempre y cuando el prestador de servicios de certificación ponga a disposición de las Administraciones Públicas la información que sea precisa en condiciones que resulten tecnológicamente viables y sin que suponga coste alguno para aquellas.

Responsable funcional

Análisis

Explotación

Responsable funcional

Análisis

Explotación

Los sistemas de firma electrónica utilizados o admitidos por alguna Administración Pública distintos de los basados en los certificados a los que se refiere el apartado anterior deben ser asimismo admitidos por otras Administraciones, conforme a principios de reconocimiento mutuo y reciprocidad. Cada Administración Pública podrá disponer de los mecanismos necesarios para la verificación del estado de revocación y la firma con los certificados electrónicos admitidos en su ámbito de competencia. Podrá utilizarse la plataforma de verificación del estado de revocación de todos los certificados que la Administración General del Estado pone a disposición pública.

2.9.3.8

Identificación y acreditación de ciudadanos

LAE art. 22.1-2

En los supuestos en que para la realización de cualquier operación por medios electrónicos se requiera la identificación o autenticación del ciudadano, tal identificación o autenticación podrá ser validamente realizada por funcionarios públicos mediante el uso del sistema de firma electrónica del que estén dotados. Para la eficacia de lo dispuesto en el apartado anterior, el ciudadano deberá identificarse y prestar su consentimiento expreso, debiendo quedar constancia de ello para los casos de discrepancia o litigio.

SEDE ELECTRÓNICA Y AUTENTICACIÓ N DEL EJERCICIO DE LA CS/AVS Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15

Página 63 de 72 Autor: OSI

CÓDIGO

TÍTULO

FUNDAMENTO LEGAL

DESCRIPCIÓN

QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)

FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA

FASE EN QUE DEBE SER VÁLIDO

2.9.4.1

Constitución de la sede electrónica

LAE art.10

La sede electrónica debe garantizar la integridad, veracidad y actualización de la información y los servicios a los que pueda accederse a través de la misma. El titular de la sede (La Generalitat) debe determinar las condiciones e instrumentos de creación de las sedes electrónicas, con sujeción a los principios de publicidad oficial, responsabilidad, calidad, seguridad, disponibilidad, accesibilidad, neutralidad e interoperabilidad. En todo caso deberá garantizarse la identificación del titular de la sede, así como los medios disponibles para la formulación de sugerencias y quejas. Las sedes electrónicas debe disponer de sistemas que permitan el establecimiento de comunicaciones seguras siempre que sean necesarias. La publicación en las sedes electrónicas de informaciones, servicios y transacciones deben respetar los principios de accesibilidad y usabilidad de acuerdo con las normas establecidas al respecto, estándares abiertos y, en su caso, aquellos otros que sean de uso generalizado por los ciudadanos. La CS/AVS deberá considerar estos aspectos en tanto le corresponde la gestión, administración y los contenidos propios de su materia.

Responsable de seguridad

Estructural

Estructural

2.9.4.2

Identificación de la sede electrónica

LAE art.17

Las sedes electrónicas utilizarán, para identificarse y garantizar una comunicación segura con las mismas, sistemas de firma electrónica basados en certificados de dispositivo seguro o medio equivalente. La Conselleria de Sanitat deberá considerar estos aspectos en tanto le corresponde la gestión, administración y los contenidos propios de su materia.

Responsable de seguridad

Estructural

Estructural

Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15

Página 64 de 72 Autor: OSI

CÓDIGO

TÍTULO

FUNDAMENTO LEGAL

DESCRIPCIÓN

QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)

FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA

FASE EN QUE DEBE SER VÁLIDO

2.9.4.3

Sistemas de firma electrónica para la actuación administrativa automatizada

LAE art.18

Para la identificación y la autenticación del ejercicio de la competencia en la actuación administrativa automatizada, cada Administración Pública podrá determinar los supuestos de utilización de los siguientes sistemas de firma electrónica: a) Sello electrónico de Administración Pública, órgano o entidad de derecho público, basado en certificado electrónico que reúna los requisitos exigidos por la legislación de firma electrónica. b) Código seguro de verificación vinculado a la Administración Pública, órgano o entidad y, en su caso, a la persona firmante del documento, permitiéndose en todo caso la comprobación de la integridad del documento mediante el acceso a la sede electrónica correspondiente.

Responsable de seguridad

Estructural

Estructural

Cada Administración Pública podrá proveer a su personal de sistemas de firma Responsable electrónica, los cuales podrán identificar de forma conjunta al titular del puesto de de seguridad trabajo o cargo y a la Administración u órgano en la que presta sus servicios.

Estructural

Estructural

Estructural

Los certificados electrónicos a los que se hace referencia en el apartado 1.a) incluirán el número de identificación fiscal y la denominación correspondiente, pudiendo contener la identidad de la persona titular en el caso de los sellos electrónicos de órganos administrativos. La relación de sellos electrónicos utilizados por cada Administración Pública, incluyendo las características de los certificados electrónicos y los prestadores que los expiden, deberá ser pública y accesible por medios electrónicos. Además, cada Administración Pública adoptará las medidas adecuadas para facilitar la verificación de sus sellos electrónicos. 2.9.4.4

Sistemas de firma electrónica del personal al servicio de las AAPP

LAE art.18

La firma electrónica basada en el Documento Nacional de Identidad podrá utilizarse a los efectos de este artículo.

2.9.4.5

Registro de funcionarios habilitados

LAE art.22.3

La Conselleria de Sanitat mantendrá actualizado un registro de los funcionarios habilitados para la identificación o autenticación de los ciudadanos.

Responsable de seguridad

Estructural

2.9.4.6

Registros electrónicos

LAE art.24-6

Se tendrá en cuenta la existencia del registro electrónico a efectos de su consideración o interconexión con aplicaciones y servicios.

Responsable funcional

Estudio de viabilidad Explotación

GESTIÓN ADMINISTRATIV A ELECTRÓNICA

Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15

Página 65 de 72 Autor: OSI

CÓDIGO

DOCUMENTACI ÓN ADMINISTRATIV A 2.10.1.1

TÍTULO

FUNDAMENTO LEGAL

DESCRIPCIÓN

QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)

FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA

FASE EN QUE DEBE SER VÁLIDO

Generalización del archivo electrónico y garantía de integridad de documentos administrativos

LAE art.31

Debe poderse almacenar por medios electrónicos todos los documentos utilizados en las actuaciones administrativas.

Responsable funcional

Estudio de viabilidad Análisis

Los documentos electrónicos que contengan actos administrativos que afecten a derechos o intereses de los particulares deberán conservarse en soportes de esta naturaleza, ya sea en el mismo formato a partir del que se originó el documento o en otro cualquiera que asegure la identidad e integridad de la información necesaria para reproducirlo. Se asegurará en todo caso la posibilidad de trasladar los datos a otros formatos y soportes que garanticen el acceso desde diferentes aplicaciones. Los medios o soportes en que se almacenen documentos, deberán contar con medidas de seguridad que garanticen la integridad, autenticidad, confidencialidad, calidad, protección y conservación de los documentos almacenados. En particular, asegurarán la identificación de los usuarios y el control de accesos, así como el cumplimiento de las garantías previstas en la legislación de protección de datos. La OSI proporcionará información sobre la validez de las copias electrónicas de los documentos administrativos electrónicos.

Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15

Página 66 de 72 Autor: OSI

CÓDIGO

TÍTULO

FUNDAMENTO LEGAL

DESCRIPCIÓN

QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)

FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA

FASE EN QUE DEBE SER VÁLIDO

2.10.1.2

Regulación del expediente electrónico

LAE art.32

El foliado de los expedientes electrónicos debe llevarse a cabo mediante un índice electrónico, firmado por la Administración, órgano o entidad actuante, según proceda. Este índice debe garantizar la integridad del expediente electrónico y permitirá su recuperación siempre que sea preciso, siendo admisible que un mismo documento forme parte de distintos expedientes electrónicos.

Responsable funcional

Estudio de viabilidad Análisis

Responsable funcional

Estudio de viabilidad Análisis

La remisión de expedientes debe poder ser sustituida a todos los efectos legales por la puesta a disposición del expediente electrónico, teniendo el interesado derecho a obtener copia del mismo.

PROCEDIMIENT OS ADMINISTRATIV OS 2.10.2.1

Análisis y rediseño previo

LAE art.34

La aplicación de medios electrónicos a la gestión de los procedimientos, procesos y servicios irá siempre precedida de la realización de un análisis de rediseño funcional y simplificación del procedimiento, proceso o servicio, en el que se considerarán especialmente los siguientes aspectos: a) La supresión o reducción de la documentación requerida a los ciudadanos, mediante su sustitución por datos, transmisiones de datos o certificaciones, o la regulación de su aportación al finalizar la tramitación. b) La previsión de medios e instrumentos de participación, transparencia e información. c) La reducción de los plazos y tiempos de respuesta. d) La racionalización de la distribución de las cargas de trabajo y de las comunicaciones internas.

Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15

Página 67 de 72 Autor: OSI

CÓDIGO

TÍTULO

FUNDAMENTO LEGAL

DESCRIPCIÓN

QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)

FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA

FASE EN QUE DEBE SER VÁLIDO

2.10.2.2

Iniciación de un procedimiento por medios electrónicos

LAE art.35

Se deben disponer a los interesados los correspondientes modelos o sistemas electrónicos de solicitud en la sede electrónica que deberán ser accesibles sin otras restricciones tecnológicas que las estrictamente derivadas de la utilización de estándares atendiendo a neutralidad tecnológica, adaptabilidad al progreso tecnológico y a criterios de comunicación y seguridad aplicables de acuerdo con las normas y protocolos nacionales e internacionales.

Responsable funcional

Estudio de viabilidad Análisis

Responsable funcional

Estudio de viabilidad Análisis

Los interesados deben poder aportar al expediente copias digitalizadas de los documentos, cuya fidelidad con el original garantizarán mediante la utilización de firma electrónica avanzada. La Administración Pública debe poder solicitar del correspondiente archivo el cotejo del contenido de las copias aportadas. Ante la imposibilidad de este cotejo y con carácter excepcional, podrá requerir al particular la exhibición del documento o de la información original. La aportación de tales copias implica la autorización a la Administración para que acceda y trate la información personal contenida en tales documentos.

2.10.2.3

Instrucción de un procedimiento por medios electrónicos

Con objeto de facilitar y promover su uso, los sistemas normalizados de solicitud deberán poder incluir comprobaciones automáticas de la información aportada respecto de datos almacenados en sistemas propios o pertenecientes a otras administraciones e, incluso, ofrecer el formulario cumplimentado, en todo o en parte, con objeto de que el ciudadano verifique la información y, en su caso, la modifique y complete. LAE arts. 27-8, 36 Las aplicaciones y sistemas de información utilizados para la instrucción por medios electrónicos de los procedimientos deberán garantizar el control de los tiempos y plazos, la identificación de los órganos responsables de los procedimientos así como la tramitación ordenada de los expedientes y facilitar la simplificación y la publicidad de los procedimientos. Cuando se utilicen medios electrónicos para la participación de los interesados en la instrucción del procedimiento a los efectos del ejercicio de su derecho a presentar alegaciones en cualquier momento anterior a la propuesta de resolución o en la práctica del trámite de audiencia cuando proceda, se deben emplear los medios de comunicación y notificación establecidos legalmente (la OSI proporcionará información sobre estas condiciones).

Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15

Página 68 de 72 Autor: OSI

CÓDIGO

TÍTULO

FUNDAMENTO LEGAL

DESCRIPCIÓN

QUIEN LA ASUME Y SUPERVISA (ACCOUNTABL E)

FASE EN QUE SE DEBE EMPEZAR A TENER EN CUENTA

FASE EN QUE DEBE SER VÁLIDO

2.10.2.4

Condiciones del acceso de los interesados a la información sobre el estado de tramitación

LAE arts. 37

En los procedimientos administrativos gestionados en su totalidad electrónicamente, el órgano que tramita el procedimiento debe poner a disposición del interesado un servicio electrónico de acceso restringido donde éste pueda consultar, previa identificación, al menos la información sobre el estado de tramitación del procedimiento, salvo que la normativa aplicable establezca restricciones a dicha información.

Responsable funcional

Estudio de viabilidad Análisis

La resolución de un procedimiento utilizando medios electrónicos debe garantizar Responsable la identidad del órgano competente mediante el empleo de alguno de los funcional instrumentos de firma electrónica previstos.

Estudio de viabilidad Análisis

La información sobre el estado de tramitación del procedimiento comprenderá la relación de los actos de trámite realizados, con indicación sobre su contenido, así como la fecha en la que fueron dictados. En el resto de los procedimientos se deben habilitar igualmente servicios electrónicos de información del estado de la tramitación que comprendan, al menos, la fase en la que se encuentra el procedimiento y el órgano o unidad responsable.

2.10.2.5

Terminación de procedimiento por medios electrónicos

LAE arts. 38

Deberá poder adoptarse y notificarse resoluciones de forma automatizada en aquellos procedimientos en los que así esté previsto. 2.10.2.6

Condiciones de la actuación administrativa automatizada

LAE arts. 39

En caso de actuación automatizada deberá establecerse previamente el órgano u órganos competentes, según los casos, para la definición de las especificaciones, programación, mantenimiento, supervisión y control de calidad y, en su caso, auditoría del sistema de información y de su código fuente. Asimismo, se indicará el órgano que debe ser considerado responsable a efectos de impugnación.

Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15

Responsable funcional

Estudio de viabilidad Análisis

Página 69 de 72 Autor: OSI

Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15

Página 70 de 72 Autor: OSI

FICHA TÉCNICA La presente LBS/Pre (Línea Base de Seguridad/Preseleccionada) recoge un conjunto preconfigurado de controles técnicos y organizativos que pueden ser utilizados como punto de partida para aplicar las medidas de seguridad exigibles a un sistema de información. La preselección de estos controles atiende a un cierto nivel de protección, en función de la naturaleza del sistema de información. Se trata, por tanto, de una agrupación de controles de seguridad seleccionados bajo unos criterios genéricos y listos para llevar…y utilizar. La presente LBS/Pre-[II] corresponde a un sistema de información automatizado y/o en papel que trata datos de personal. En general, los datos personales poseen un nivel de criticidad medio puesto que puede incorporar datos de sanciones. Los datos de salud, como minusvalías, y los sindicales, al servir únicamente para propósitos de pagos (nóminas), no aumentan el nivel de la protección de estos datos. Esta LBS cubre las dimensiones de seguridad de la información en los siguientes niveles:

DIMENSIÓN DE SEGURIDAD

NIVEL DE PROTECCIÓN

DATOS PERSONALES

MEDIO

SISTEMA DE TRATAMIENTO

AUTOMATIZADO Y/O EN PAPEL

DISPONIBILIDAD

BAJO

AUTENTICIDAD

MEDIO

INTEGRIDAD

MEDIO

CONFIDENCIALIDAD

MEDIO

TRAZABILIDAD

MEDIO

Esta caracterización define un sistema de categoría alta según el ENS:

CATEGORÍA ENS:

MEDIA

Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15

Página 71 de 72 Autor: OSI

NORMATIVA [LOPD] [RLOPD]

[G-ENS] [ENS] [RTMS] [OFI]

[LAE] [PSI-GV] [ORSI-CS] [OFJ-CS]

Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal Guías CCN de implantación del ENS Real Decreto 3/2010, de 8 de enero, Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica ORDEN de 3 de diciembre de 1999, Reglamento Técnico de Medidas de Seguridad para la Aprobación y Homologación de Aplicaciones DECRETO 96/1998, de 6 de julio, Organización de la función informática, la utilización de los sistemas de información y el registro de de ficheros informatizados en el ámbito de la administración de la Generalitat Valenciana Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos DECRETO 66/2012, de 27 de abril, Política de Seguridad de la Información de la Generalitat Valenciana ORDEN 9/2012, de 10 de julio, Organización de Seguridad de la Información de la Conselleria de Sanitat ORDEN 11/2011, de 21 de octubre, Creación de ficheros jurídicos de la Conselleria de Sanitat

Título: Requisitos de seguridad para el tratamiento de datos de personal Fecha de la última modificación: 14/01/15

Get in touch

Social

© Copyright 2013 - 2024 MYDOKUMENT.COM - All rights reserved.