DOCUMENTO DE SEGURIDAD Propiedades del documento Título: Referencia: Autor /es: Difusión: Estado: Versión: Fecha de creación: Documento de Seguridad Maestro Control del documento Última actualización: Revisado por: Fecha de revisión: Aprobado por: Fecha de aprobación: Registro de Cambios Versión Fecha Autores Estado DOCUMENTO DE SEGURIDAD Página 3 de 71 Borrador INDICE 1. INTRODUCCIÓN ......................................................................... 1.1. Objeto del documento ....................................................................................... 5 1.2. Ámbito de aplicación ......................................................................................... 5 1.3. Conceptos y definiciones ................................................................................. 6 2. RECURSOS PROTEGIDOS .................................................................. 2.1. Ficheros, estructura y descripción de los sistemas de información. 10 2.2. Recursos y sistemas que acceden a la información de carácter personal. ...................................................................................................................... 10 2.3. Locales ................................................................................................................ 11 2.4. Ficheros Temporales que contienen información de carácter personal. ...................................................................................................................... 11 3. NIVELES DE SEGURIDAD .................................................................. 4. FUNCIONES Y OBLIGACIONES DEL RESPONSABLE DEL FICHERO .. 14 5. FUNCIONES Y OBLIGACIONES DE LOS RESPONSABLES DE SEGURIDAD ................................................................................ 5.1. Funciones y obligaciones del Responsable de Seguridad Técnico ... 15 5.2. Funciones y obligaciones del Responsable de Seguridad Organizativo ................................................................................................................ 17 5.3. Funciones del Responsable de Área. ......................................................... 18 5.4. Administrador de seguridad organizativo ................................................. 19 5.5. Nombramientos ................................................................................................. 20 6. FUNCIONES Y OBLIGACIONES DEL PERSONAL .................................. 21 7. NORMAS Y PROCEDIMIENTOS DE SEGURIDAD DE LA CONSELLERIA U HOSPITAL. ................................................................................ 8. AUDITORÍA Y CONTROLES PERIÓDICOS DE CUMPLIMIENTO. .......... 24 Página 2 de 71 Borrador ANEXO A. INVENTARIO DE FICHEROS ........................................................ 2 ANEXO B. INVENTARIO DE LOS SISTEMAS INFORMÁTICOS ................... 26 ANEXO C. LOCALES Y EQUIPAMIENTO ...................................................... 2 ANEXO D. PROCEDIMIENTO DE GESTIÓN DE FICHEROS TEMPORALES 28 ANEXO E. NOMBRAMIENTOS DE CARGOS Y FIGURAS CLAVE. .............. 32 ANEXO F. INVENTARIO DE USUARIOS Y PERSONAL CON ACCESO AUTORIZADO A LOS FICHEROS PROTEGIDOS. ........................................ 33 ANEXO G. PROCEDIMIENTOS DE CONTROL DE ACCESO FÍSICO........... 37 ANEXO H. PROCEDIMIENTOS DE CONTROL DE ACCESOS LÓGICOS .... 44 Establecimiento de Contraseñas................................................................... 45 Custodia de las Contraseñas ......................................................................... 46 Reglas sintácticas de formación de las Contraseñas ................................ 46 Cambio de Contraseñas ................................................................................. 47 ANEXO I. PROCEDIMIENTO DE GESTIÓN DE SOPORTES......................... 50 ANEXO J. PROCEDIMIENTO DE COPIAS DE SEGURIDAD Y RECUPERACIÓN ............................................................................ ANEXO K. PROCEDIMIENTO DE GESTIÓN Y REGISTRO DE INCIDENCIAS 56 ANEXO L. GUÍA PARA LA REALIZACIÓN DE AUDITORÍAS ....................... 59 ANEXO M. PLANTILLAS Y FORMULARIOS .................................................. 64 FORMULARIO DE ACCESO A LA SALA DE SERVIDORES ............................ 65 FORMULARIO DE ACCESO A LA SALA DE COPIAS DE SEGURIDAD ....... 66 INVENTARIO DE SOPORTES ................................................................................. 67 CONTROL DE ENTRADA / SALIDA DE SOPORTES ........................................ 69 REGISTRO DE INCIDENCIAS DE SEGURIDAD .................................................. 72 ANEXO N. MEDIDAS DE SEGURIDAD PARA FICHEROS DE HISTORIA CLÍNICA.................................................................................... DOCUMENTO DE SEGURIDAD Página 3 de 71 Borrador DOCUMENTO DE SEGURIDAD Página 4 de 71 Borrador 1. Introducción 1.1. Objeto del documento El objeto del presente documento es dotar a la Conselleria u Hospital XXXX de la Comunidad Autónoma de las Illes Balears (en adelante, la Conselleria u Hospital), o bien al Hospital XXXX (en adelante, el Hospital) de las medidas, tanto técnicas como organizativas, que garanticen la seguridad (confidencialidad, integridad, disponibilidad) de los datos de carácter personal tratados gestionados en dicha Conselleria. Además, con el presente Documento de Seguridad, la Conselleria u Hospital cumple con la obligación establecida en el Real Decreto 994/1999, de 11 de junio, por el que se aprueba el Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal (en adelante, Reglamento de medidas de seguridad), que obliga a los titulares de ficheros con datos de carácter personal o los traten, a redactar un Documento de Seguridad que elabore e implante la normativa de seguridad. 1.2. Ámbito de aplicación Las medidas de seguridad dispuestas en el presente Documento de Seguridad son de aplicación a todos los ficheros, centros de tratamiento, locales, equipos, sistemas, programas y personas que intervengan en el tratamiento de datos de carácter personal. El Documento de Seguridad es de obligado cumplimiento para todo el personal de la Conselleria u Hospital con acceso a datos de carácter personal o a los sistemas de información que los tratan. También es de obligado cumplimiento para las empresas y para el personal de éstas que presten servicios para la Conselleria u Hospital cuando entren en contacto con alguno de los elementos mencionados anteriormente. DOCUMENTO DE SEGURIDAD Página 5 de 71 Borrador 1.3. Conceptos y definiciones A continuación pasan a detallarse los conceptos y las definiciones básicas, necesarios para entender el presente documento. Éstos están contemplados en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, en Reglamento de Medidas de Seguridad o se han elaborado en particular para este documento: Accesos autorizados: Autorizaciones concedidas a un usuario para la utilización de los diversos recursos. Administrador del Sistema: Persona a cargo de mantener los Sistemas de Información optimizados, gestionándolos de manera adecuada, con capacidad para instalar y configurar nuevo software en los Sistemas de Información, entre otras funciones. Afectado o interesado: Se trata de la persona física titular de los datos que son objeto del tratamiento. Autenticación: Procedimiento de comprobación de la identidad de un usuario. Cesión o comunicación de datos: Toda revelación de datos a personas distintas del afectado. Control de acceso: Mecanismo que permite acceder a datos o recursos en función de la identificación ya autenticada. Copia de respaldo: Copia de los datos de un fichero en un soporte que posibilite su recuperación. Datos de carácter personal: Se considera datos de carácter personal cualquier información concerniente a personas físicas identificadas o identificables. DOCUMENTO DE SEGURIDAD Página 6 de 71 Borrador Encargado del Tratamiento: Es aquella persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del Responsable del Fichero. Fichero: Se considera fichero el conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de creación, almacenamiento, organización y acceso. Ficheros alojados en la Dirección General de Tecnología y Comunicaciones de la Conselleria u Hospital de Economía, Hacienda e Innovación (en adelante, la DGTIC): Ficheros cuya titularidad corresponde a la Conselleria u Hospital pero que están implementados en sistemas de la DGTIC. Dentro de este grupo incluimos tanto los sistemas corporativos, es decir, sistemas que satisfacen una necesidad común a todas las Consellerias (gestión de personal, de contratación, etc...), como aquellos sistemas que satisfacen necesidades exclusivas de una sola Conselleria u Hospital o de un número reducido de las mismas. Ficheros alojados en la Conselleria u Hospital: Ficheros implementados en sistemas ubicados en la Conselleria u Hospital y gestionados por el personal de la misma. Ficheros comunes: Ficheros implementados en varios sistemas, de los cuales algunos están ubicados en la Conselleria u Hospital y otros están ubicados en la DGTIC. Identificación: Procedimiento de reconocimiento de la identidad de un usuario. Incidencia: Cualquier anomalía que afecte o pudiera afectar a la seguridad de los datos. Procedimiento de seguridad: Toda medida, mecanismo, procedimiento, regla o dispositivo necesario y establecido por el Responsable del Fichero con el objetivo de proteger los recursos y, en general, los datos personales contenidos en los sistemas de información. DOCUMENTO DE SEGURIDAD Página 7 de 71 Borrador Prestación de servicios: No se considera cesión de datos el acceso de un tercero cuando dicho acceso sea necesario para la prestación de un servicio al Responsable del Tratamiento (el Responsable del Fichero). En este caso se considera que hay una prestación de servicios. Debe regularse contractualmente. Recurso: Cualquier parte componente de un Sistema de Información. Responsable del Fichero o Tratamiento: Se trata de aquella persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decide sobre la finalidad, contenido, tratamiento y uso de los datos personales. Si fuera el Responsable del Fichero una persona jurídica o un órgano administrativo, la responsabilidad a efectos de cualquier autorización, gestión o actuación relativa a seguridad es competencia del Responsable de Seguridad Técnico y del Responsable de Seguridad Organizativo y Responsables de las áreas en las que el Responsable de Seguridad Técnico delega para cumplir con las medidas del Documento de Seguridad. Responsable de Seguridad Técnico: Se entiende como tal a la persona en la que el Responsable del Fichero delega sus responsabilidades para cumplir con las medidas técnicas establecidas en el Documento de Seguridad. El Responsable de Seguridad Técnico coordina y controla las medidas expresadas en el documento y realiza los controles periódicos necesarios para verificar su cumplimiento. Responsable de Seguridad Organizativo: Persona o personas a las que la Secretaría General Técnica designa para cumplir únicamente con las medidas organizativas del Documento de Seguridad. Responsable de Área: Las funciones de Responsable de Seguridad Técnico pueden estar repartidas entre el propio Responsable de Seguridad Técnico y uno o varios responsables que actuarán en coordinación con éste para garantizar el cumplimiento de las medidas recogidas en este documento. Será nombrado por el Responsable de Seguridad Técnico. Tratamiento de datos: La Ley considera tratamiento de datos aquellas operaciones y procedimientos técnicos de carácter automatizado o no, que permiten la recogida, grabación, conservación, elaboración, modificación, bloqueo DOCUMENTO DE SEGURIDAD Página 8 de 71 Borrador y cancelación de los datos personales, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias. Usuario: Sujeto o proceso autorizado para acceder a datos o recursos. DOCUMENTO DE SEGURIDAD Página 9 de 71 Borrador 2. Recursos protegidos La protección de los datos de carácter personal contenidos en los ficheros frente a accesos no autorizados se deberá realizar mediante el control, a su vez, de todas las vías por las que se pueda tener acceso a dicha información. Los recursos protegidos de la Conselleria u Hospital a los que debe de aplicarse el presente Documento de Seguridad son los siguientes: 2.1. Ficheros, estructura y descripción de los sistemas de información. La relación completa y estructura de ficheros protegidos por el presente Documento de Seguridad y los sistemas de información que los tratan se encuentran descritos en el Anexo A “Inventario de ficheros”. En el mismo anexo también se adjuntan las órdenes de creación de los ficheros y las notificaciones de inscripción de los mismos en el Registro General de Protección de Datos de la APD. El nivel de seguridad de cada fichero se ha establecido atendiendo a las condiciones descritas en el articulo 4 del Reglamento de Medidas de Seguridad, siendo por tanto aplicable a cada fichero todas las medidas de seguridad del nivel aplicable. Aunque las medidas de seguridad que establece el Reglamento están dirigidas a los ficheros automatizados, en el caso de ficheros en soporte papel que contengan datos especialmente protegidos relativos a la salud, como es el caso de las Historias Clínicas, los Centros Sanitarios deberán implantar las medidas de seguridad establecidas en el Anexo N “Medidas de seguridad para el Fichero de Historia Clínica” 2.2. Recursos y sistemas que acceden a la información de carácter personal. Los sistemas informáticos de la Conselleria u Hospital de tipo Hardware y Software que se relacionan con los ficheros de carácter personal referenciados en este documento se encuentran inventariados y detallados en el Anexo B “Inventario de los sistemas informáticos” de este documento. DOCUMENTO DE SEGURIDAD Página 10 de 71 Borrador 2.3. Locales Los locales donde se ubiquen los sistemas de información que contienen los ficheros con datos de carácter personal deben de ser objeto de especial protección de forma que garanticen la disponibilidad, confidencialidad e integridad de los datos protegidos. Dichos locales deberán contar con las medidas mínimas de seguridad que eviten accesos no autorizados y el acceso a los locales donde están albergados los ficheros estará restringido exclusivamente al personal autorizado. Los detalles referentes a los diferentes centros de actividad correspondientes a su ubicación, acondicionamiento y medidas de seguridad física se encuentran en el Anexo C “Locales y equipamientos”. 2.4. Ficheros Temporales que contienen información de carácter personal. La Ley Orgánica de Protección de Datos no prohíbe la creación y el tratamiento de ficheros temporales pero sí exige la implantación de medidas de seguridad equivalentes a las aplicables al fichero original. Un fichero de carácter personal se clasifica como temporal cuando se ajusta a una de estas tres situaciones o circunstancias: a. Son listados o copias impresas de otra fuente de datos automatizada o no, utilizados durante un período de tiempo limitado y con un objetivo concreto y específico. b. Son nuevos ficheros, automatizados o no, extraídos de datos existentes en otra fuente de datos declarada y registrada. c. Es la agregación de información procedente de dos o más fuentes de datos, generada para apoyar, facilitar, simplificar o reforzar la finalidad para la que fueron creados los ficheros de datos originales. Estos archivos, ya sean electrónicos o en papel, requieren someterse a las mismas medidas de seguridad equivalentes a las impuestas para los ficheros con datos de DOCUMENTO DE SEGURIDAD Página 11 de 71 Borrador carácter personal. Para cumplir con este precepto es necesario adoptar precauciones adicionales en su empleo y destrucción. Existe un Procedimiento que regula las condiciones generales de creación y uso de los ficheros temporales. Este Procedimiento se encuentra detallado en el Anexo D “Procedimiento de gestión de ficheros temporales”. DOCUMENTO DE SEGURIDAD Página 12 de 71 Borrador 3. Niveles de seguridad El Reglamento de medidas de seguridad establece unos niveles de protección atendiendo a la naturaleza de los datos. Estos niveles se dividen en básico, medio y alto, teniéndose que implantar diferentes tipos de medidas para cada nivel. De acuerdo con lo establecido en el Reglamento de medidas de seguridad, la clasificación de los ficheros se hará de acuerdo a las siguientes pautas: a. Salvo que otra cosa se establezca, todos los ficheros con datos que hagan referencia a personas identificadas o identificables serán calificados como de nivel básico. Se encuadran en este tipo los ficheros que tengan entre sus campos datos personales tales como el nombre, apellido, dirección postal, ciudad de residencia, teléfono, datos bancarios, documento nacional de identificación o similar. b. Serán considerados ficheros de nivel medio aquellos que contengan datos relativos a la comisión de infracciones administrativas o penales, datos relativos a la Hacienda Pública, datos sobre servicios financieros como, por ejemplo, fondos de pensiones, préstamos o inversiones, datos sobre solvencia patrimonial y crédito así como todos aquellos que sean suficientes para permitir obtener una evaluación de la personalidad del individuo c. Por último, serán considerados ficheros de nivel alto aquellos que contengan datos sobre la ideología, religión o creencias, datos sobre el origen racial, datos sobre la salud, datos acerca de la vida sexual y aquellos datos recabados para fines policiales sin consentimiento de los afectados. Se pretende que la Conselleria u Hospital tenga un único documento, sin necesidad de establecer uno para cada fichero o nivel. Es por ello que, cuando por la naturaleza de los datos, existan medidas dirigidas sólo a un determinado fichero o ficheros, se especificará en el apartado correspondiente que esas medidas sólo son de obligado cumplimiento para el tratamiento de esos ficheros. Todo ello sin perjuicio de que se implante un nivel superior o el máximo de seguridad a todos los ficheros. DOCUMENTO DE SEGURIDAD Página 13 de 71 Borrador En el Anexo A “Inventario de ficheros” se establece el nivel de seguridad que le corresponde a cada fichero. 4. Funciones y obligaciones del Responsable del Fichero Las funciones y obligaciones del Responsable del Fichero son las siguientes: Garantizar el respeto a los derechos de acceso, rectificación y cancelación de los ciudadanos sobre los datos de carácter personal. La vigilancia del origen, uso y cesión de datos. La atribución de responsabilidades sobre la ejecución material de las diferentes operaciones y procedimientos en que consista el tratamiento de datos referente a los ficheros de su responsabilidad. Verificación del cumplimiento de las medidas de seguridad del fichero, de acuerdo con lo establecido por el Reglamento de medidas de Seguridad. Informar a la Agencia de Protección de Datos (en adelante APD) de la aplicación de las excepciones de régimen General de protección previsto en la Ley en el ejercicio de sus derechos por los afectados. Comunicar periódicamente al Registro General de Protección de Datos de la APD las variaciones experimentadas en los ficheros. Controlar el uso de los ficheros de datos personales, de modo que se utilicen única y exclusivamente para la finalidad prevista en la declaración realizada a la APD. Es fundamental que el responsable establezca controles periódicos, de modo que si la finalidad varía en algún momento, proceda a la inmediata modificación de la declaración registrada en la APD. Eliminar los datos obsoletos que ya no son utilizados. Adoptar las medidas necesarias para que el personal que tenga acceso a los datos personales conozca las normas de seguridad, además de las consecuencias en que podría incurrir en caso de incumplirlas. DOCUMENTO DE SEGURIDAD Página 14 de 71 Borrador 5. Funciones y obligaciones de los Responsables de Seguridad Su función principal es coordinar y controlar las medidas expresadas en el presente Documento de Seguridad y realizar los controles periódicos necesarios para verificar su cumplimiento. En este punto debemos distinguir entre las funciones y obligaciones del Responsable de Seguridad Técnico, las del Responsable de Seguridad Organizativo y las del Responsable de Área: 5.1. Funciones y obligaciones del Responsable de Seguridad Técnico El Responsable de Seguridad Técnico tiene las siguientes funciones y obligaciones: Verificación del cumplimiento de las medidas de seguridad de los ficheros, de acuerdo con lo establecido en el Reglamento de Medidas de Seguridad y la emisión de las certificaciones de seguridad que garanticen el cumplimiento de la Ley en lo referente a medidas de control. Eliminar los datos obsoletos que ya no son utilizados. Adoptar las medidas necesarias para que el personal que tenga acceso a los datos personales conozca las normas de seguridad, además de las consecuencias en que podría incurrir en caso de incumplirlas. Coordinar y controlar las medidas de seguridad que se han de tomar en lo que respecta al tratamiento de los ficheros que contengan datos de carácter personal. Verificar el cumplimiento de las medidas adoptadas para divulgar el Documento de Seguridad. Realizar un completo seguimiento de la correcta aplicación de los procedimientos y el cumplimiento de las normas definidas en el Documento de Seguridad, reflejando cualquier anomalía en el Registro de Incidencias. DOCUMENTO DE SEGURIDAD Página 15 de 71 Borrador Controlar que las medidas de seguridad adoptadas en el tratamiento del fichero fuera del local habitual cumplan con la normativa correspondiente al nivel de clasificación de la información tratada. Reflejar y/o revisar la actualización de cualquier cambio que se produzca en la estructura o en el sistema de información de los ficheros que contengan datos de carácter personal. Establecer una relación actualizada de usuarios que tengan acceso autorizado al sistema de información, así como el tipo de acceso permitido a cada uno de ellos mediante el Mantenimiento del Inventario de Usuarios. Elaborar y mantener actualizado el Inventario de Recursos Protegidos. Es decir, equipos, soportes de almacenamiento y cualquier otro dispositivo que contenga datos de carácter personal. Encargarse de elaborar y mantener actualizado el Inventario de Ficheros, en el que se recoge una relación de todos los ficheros junto con la estructura que define a cada uno de ellos. Establecer los mecanismos necesarios para evitar que los usuarios puedan acceder a datos o recursos con derechos distintos de los autorizados, incluyendo dichos mecanismos en los posibles traslados de la información. Establecer los procedimientos de identificación y autenticación para los distintos tipos de acceso. Encargarse del mantenimiento del nivel de seguridad de los sistemas de información coordinando e implantando las acciones y controles necesarios. Realizar verificaciones encaminadas a detectar anomalías y debilidades en el seguimiento de las medidas adoptadas para el mantenimiento del nivel de seguridad de los sistemas de información de la Conselleria u Hospital (Auditorías). Autorizar por escrito la realización de las operaciones necesarias para la recuperación de datos en caso de pérdida total o parcial de los mismos. DOCUMENTO DE SEGURIDAD Página 16 de 71 Borrador Supervisar la corrección de las incidencias acontecidas en relación a la protección de los datos de carácter personal. Definir las acciones correctoras destinadas a corregir las incidencias acontecidas. 5.2. Funciones y obligaciones del Responsable de Seguridad Organizativo El Responsable de Seguridad Organizativo tendrá las siguientes funciones y obligaciones: Garantizar el respeto a los derechos de acceso, rectificación y cancelación de los ciudadanos sobre los datos de carácter personal. La vigilancia del origen, uso y cesión de datos. Instar al órgano competente para que emita las órdenes de modificación de ficheros y comunicar al Registro General de Protección de Datos de la APD las variaciones experimentadas en los ficheros. Controlar el uso de los ficheros con datos personales, de modo que se utilicen única y exclusivamente para la finalidad prevista en la declaración realizada a la APD. Es fundamental que establezca controles periódicos, de modo que si la finalidad varía en algún momento, proceda a la inmediata modificación de la declaración registrada en la APD. Adoptar las medidas necesarias para que el personal que tenga acceso a los datos personales conozca las normas de seguridad, además de las consecuencias en que podría incurrir en caso de incumplimiento. Verificar el cumplimiento de las medidas adoptadas para divulgar el Documento de Seguridad. Realizar un completo seguimiento de la correcta aplicación de los procedimientos y el cumplimiento de las normas definidas en el Documento de Seguridad, reflejando cualquier anomalía en el Registro de Incidencias. DOCUMENTO DE SEGURIDAD Página 17 de 71 Borrador Reflejar y/o revisar la actualización de cualquier cambio que se produzca en la estructura o en el sistema de información de los ficheros que contengan datos de carácter personal. Instar al órgano competente para que emita las órdenes de creación de nuevos ficheros y la posterior notificación al Registro General de Protección de Datos de la APD. Controlar las entradas y/o salidas de los distintos soportes que contengan información de carácter personal y que se encuentran catalogados dentro del Inventario de Soportes. Comprobar el estado y contenido de los soportes en casos de entrada, salida, borrado o destrucción de soportes. Autorizar por escrito la realización de las operaciones necesarias para la recuperación de datos en caso de pérdida total o parcial de los mismos. Validar y aprobar la funcionalidad de las aplicaciones y herramientas informáticas utilizadas para el tratamiento automatizado de los datos. 5.3. Funciones del Responsable de Área. El Responsable de Área tendrá las siguientes funciones y obligaciones (específicamente sobre su área): Asumir las funciones y obligaciones del Responsable de Seguridad Técnico en el caso de incompetencia del mismo o por imposibilidad material de que éste pueda desempeñar adecuadamente su cargo. Asumir por delegación del Responsable de Seguridad Técnico todas aquellas funciones y obligaciones que sean propias de aquél y que por razón de la materia puedan ser objeto de delegación. Colaborar con el Responsable de Seguridad Técnico en la coordinación y control de las medidas definidas en el presente Documento de Seguridad y cualesquiera DOCUMENTO DE SEGURIDAD Página 18 de 71 Borrador otras necesarias para lograr una mayor seguridad y confidencialidad en la protección de los sistemas informáticos, datos personales y recursos. Informar el Responsable de Seguridad Técnico de cualquier incidencia que pueda afectar a la seguridad de los sistemas de seguridad, datos personales y recursos, o cualquier otra circunstancia que se considere que puede redundar en una mayor seguridad de los elementos antes mencionados. Colaborar en la supervisión y seguridad de los Sistemas de Información, y en su correcto funcionamiento. No divulgar de ningún modo datos personales o cualquier otro tipo de información que sea considerada como confidencial o cuya divulgación implique o pueda implicar lesión de derechos del propio centro. Únicamente podrá proceder a una divulgación de las previstas en este punto cuando tenga autorización para ello del Responsable del Fichero, cuando obedezca a un mandato judicial o por necesidades legítimas o legalmente previstas. 5.4. Administrador de seguridad organizativo El Administrador de seguridad organizativo tendrá las siguientes funciones y obligaciones: Asumir bajo supervisión del Responsable de Seguridad Organizativo todas aquellas funciones y obligaciones relativas a la gestión de usuarios y la gestión de roles y permisos (autorización y revocación de roles). Informar el Responsable de Seguridad Organizativo de cualquier incidencia que pueda afectar a la seguridad de los sistemas de seguridad, datos personales y recursos, o cualquier otra circunstancia que se considere que puede redundar en una mayor seguridad de los sistemas informáticos, datos personales y recursos. No divulgar de ningún modo datos personales o cualquier otro tipo de información que sea considerada como confidencial o cuya divulgación implique o pueda implicar lesión de derechos del propio centro. Únicamente podrá proceder a una divulgación de las previstas en este punto cuando tenga autorización para ello del Responsable del Fichero, cuando obedezca a un mandato judicial o por necesidades legítimas o legalmente previstas. DOCUMENTO DE SEGURIDAD Página 19 de 71 Borrador 5.5. Nombramientos En el Anexo E “Nombramientos de cargos y figuras clave” se adjunta una relación con los nombres de los Responsables de Seguridad Técnicos, de los Responsables de Seguridad Organizativos y de los Responsables de Área. DOCUMENTO DE SEGURIDAD Página 20 de 71 Borrador 6. Funciones y obligaciones del personal Un elemento clave para garantizar la seguridad de los datos es el control por parte de la Conselleria u Hospital de las funciones y obligaciones que el personal tiene con respecto al tratamiento de datos de carácter personal. El personal afectado por este Documento de Seguridad se clasifica en dos categorías: a. Administradores del sistema, encargados de administrar o mantener el entorno operativo de los ficheros. b. Usuarios de los ficheros, o personal que usualmente utiliza el sistema informático de acceso a los ficheros. Tanto el personal como sus funciones con respecto a los datos están explícitamente relacionados en el Anexo F “Inventario de usuarios y personal con acceso autorizado a los ficheros protegidos”. Este documento es de obligado cumplimiento para todos ellos. Además, los administradores del sistema deberán atenerse a aquellas normas, más extensas y estrictas, que se referencian específicamente en este documento, y que atañen, entre otras, al tratamiento de las copias de seguridad, normas para el alta de usuarios y contraseñas, etc... DOCUMENTO DE SEGURIDAD Página 21 de 71 Borrador 7. Normas y Procedimientos de Seguridad de la Conselleria u Hospital. Una vez identificados tanto los recursos protegidos como el personal implicado en este Documento de Seguridad, es necesario establecer las medidas de protección encaminadas a garantizar la seguridad de los datos de carácter personal. Como ya se ha mencionado, estas medidas, que se traducen en unos Procedimientos de Seguridad, son de obligado conocimiento y cumplimiento para todo el personal, tanto de la Conselleria u Hospital como de terceras empresas, que lleve a cabo cualquier tipo de tratamiento sobre datos de carácter personal. Se ha optado por describir de manera genérica el tipo de Procedimientos de Seguridad para que el personal y los usuarios puedan reconocer fácilmente la medida pertinente en cada caso y aplicar la respuesta debida según el tipo de fichero implicado. Para optimizar los procesos de consulta y actualización de este documento, todos los procedimientos de seguridad tratados en este documento aparecen organizados en los anexos existentes al final del mismo. Los procedimientos de Seguridad consisten tanto en controles de acceso, como en procedimientos o estándares técnicos de protección de los datos personales y de los Sistemas de Información. Los procedimientos de Seguridad son de carácter físico, lógico y organizativo. Mediante los primeros, no sólo se han establecido controles de acceso físico a las instalaciones, sino que, asimismo, sólo aquellos usuarios y personal autorizados a ello podrán tener acceso y percibir los datos personales pertinentes. Por su parte, mediante los controles de tipo lógico, complementarios de los anteriores, y en ocasiones aún más fundamentales para el fin de protección y garantía de los datos personales, se pretende reforzar los controles físicos y evitar que terceros no autorizados puedan acceder a los datos personales. Los procedimientos organizativos contemplan todo un conjunto buenas prácticas que permiten garantizar la aplicación de la normativa de seguridad en todos los ámbitos de la empresa. Los procedimientos de Seguridad establecidos por el Responsable del Fichero son los siguientes: DOCUMENTO DE SEGURIDAD Página 22 de 71 Borrador Procedimientos de Seguridad de accesos físicos, referenciados y detallados en el Anexo G “Procedimientos de control de acceso físico”. - Procedimiento de Control de acceso físico al edificio de ubicación de los ficheros. - Procedimiento de Control de acceso físico a los archivos. - Procedimiento de Control de acceso físico a las Salas de Servidores. - Procedimiento de Control de acceso físico a las Salas de almacenamientos de Copias de seguridad. Procedimientos de Seguridad de accesos lógicos, referenciados y detallados en el Anexo H “Procedimientos de control de accesos lógicos”: - Procedimiento de Gestión de claves o contraseñas de acceso. - Procedimiento de Gestión de usuarios (altas, bajas y modificaciones). - Procedimiento de Gestión de los Registros de acceso. - Procedimiento de Control de acceso a los sistemas. Procedimientos de Seguridad relativos a las copias de seguridad y a sus soportes: - Procedimiento de Gestión de Soportes (Anexo I “Procedimientos de gestión de soporte”). - Procedimiento de Gestión de Copias de seguridad y recuperación (Anexo J “Procedimiento de copias de seguridad y recuperación”). Otros importantes Procedimientos de Seguridad reglamentados en este documento: - Procedimiento de Gestión y Registro de incidencias (Anexo K “Procedimiento de gestión y registro de incidencias”). - Procedimiento de Tratamiento de Ficheros Temporales (Anexo “Procedimiento de gestión de ficheros temporales”). DOCUMENTO DE SEGURIDAD Página 23 de 71 Borrador D 8. Auditoría y controles periódicos de cumplimiento. Por este término, el presente Documento de Seguridad se refiere a las Auditorías internas o externas de los procedimientos e instrucciones vigentes en materia de seguridad de datos que, de acuerdo al Reglamento de Medidas de Seguridad, los sistemas de información e instalaciones de tratamiento de datos deben someterse al menos cada dos años cuando almacenen y procesen ficheros clasificados como de nivel medio. El resultado de la auditoria quedará recogido en un informe donde se especificarán las revisiones realizadas, las deficiencias detectadas y las acciones correctores recomendadas para subsanar dichas deficiencias. Este informe estará en posesión del Responsable de Seguridad Técnico de la Conselleria u Hospital que quedará encargado de elevar a los Responsables de los Ficheros las conclusiones alcanzadas y de llevar a cabo e implementar las medidas correctoras que sean necesarias. Los informes de auditorías serán anexados al presente Documento de Seguridad quedando a disposición de la Agencia de Protección de Datos si así lo solicitara durante una Inspección. Para el caso de auditorías internas en el Anexo L “Guía para la realización de auditorias” se propone una guía a seguir para los auditores. DOCUMENTO DE SEGURIDAD Página 24 de 71 Borrador ANEXO A. INVENTARIO DE FICHEROS Este apartado deberá contener una relación de los ficheros de carácter personal registrados en el Registro General de Protección de Datos de la APD. En dicha relación se especificará, por lo menos, la estructura de los mismos, los sistemas de información que los traten y el nivel de seguridad aplicable. Para facilitar la labor se recomienda vincular este anexo al Inventario de Ficheros de la Conselleria u Hospital elaborado por el personal de DIANET y que deberá mantenerse actualizado en todo momento. Una vez creados los ficheros, también deberá incluirse copia o referencia a la orden u órdenes de creación de los mismos y copias de las correspondientes inscripciones en el Registro General de Protección de Datos. Si se produjeran cambios sobre los ficheros deberá también incluirse copia de las órdenes de modificación y de la declaración ante la APD. Las supresiones de ficheros también deben incluirse en este apartado. DOCUMENTO DE SEGURIDAD Página 25 de 71 Borrador ANEXO B. INVENTARIO DE LOS SISTEMAS INFORMÁTICOS Este anexo contendrá un inventario detallado de los sistemas informáticos de la Conselleria u Hospital de tipo Hardware y Software que se relacionan con los ficheros de carácter personal referenciados en este documento. Con carácter orientativo, se aportan unas tablas con los datos a incluir por parte de la Conselleria u Hospital. En la siguiente tabla se muestra el Hardware empleado por la Conselleria u Hospital en el tratamiento de los ficheros de carácter personal, indicando el tipo, la descripción, características técnicas y ubicación de cada uno de ellos. TIPO DESCRIPCIÓN CARACTERÍSTICAS UBICACIÓN Software utilizado para el tratamiento de datos protegidos: NOMBRE LICENCIAS DESCRIPCIÓN DOCUMENTO DE SEGURIDAD Página 26 de 71 Borrador ANEXO C. LOCALES Y EQUIPAMIENTO Para cumplir con la Política de Seguridad de la Conselleria u Hospital, se han establecido las siguientes medidas de seguridad para impedir el acceso no autorizado a sus locales. SEDE SISTEMAS DE CONTROL DE ACCESOS EQUIPAMIENTO EDIFICIO: EDIFICIO: PRINCIPAL Incluir la dirección física de las dependencias. SISTEMAS DE DETECCIÓN Especificar los sistemas de control de acceso a las instalaciones. CUARTO DE SERVIDORES: Especificar los sistemas de control de acceso al cuarto de servidores. Especificar los sistemas de detección de incendios de las instalaciones. CUARTO DE SERVIDORES: Incluir el equipamiento de seguridad del que conste la instalación. Especificar los sistemas de detección de incendios del cuarto de servidores. DELEGACIONES Incluir tantas líneas como delegaciones o dependencias diferentes a la principal existieran. DOCUMENTO DE SEGURIDAD Página 27 de 71 Borrador ANEXO D. PROCEDIMIENTO DE GESTIÓN DE FICHEROS TEMPORALES La Ley Orgánica de Protección de Datos no prohíbe la creación y el tratamiento de ficheros temporales pero si exige la implantación de medidas de seguridad equivalentes a las aplicables al fichero original. Un fichero de carácter personal se clasifica como temporal cuando se ajusta a uno de estas tres situaciones o circunstancias: Son listados o copias impresas de otra fuente de datos automatizada o no, utilizados durante un período de tiempo limitado y con un objetivo concreto y específico. Son nuevos ficheros, automatizados o no, extraídos de datos existentes en otra fuente de datos declarada y registrada. Es la agregación de información procedente de dos o más fuentes de datos, generada para apoyar, facilitar, simplificar o reforzar la finalidad para la que fueron creados los ficheros de datos originales. Estos archivos, ya sean electrónicos o en papel, requieren someterse a las mismas medidas de seguridad equivalentes a las impuestas para los ficheros con datos de carácter personal. Para cumplir con este precepto es necesario adoptar precauciones adicionales en su empleo y destrucción. Es importante identificar claramente este tipo de ficheros (impresiones temporales, archivos electrónicos auxiliares, listados temporales,...) dado que su vigencia y existencia debe quedar limitada temporalmente mientras sean necesarios para la actividad para la que fueron creados. Su almacenamiento y custodia indefinida no es procedente y deben ser destruidos, tal y como establece el artículo 7.1 del Reglamento de Medidas de Seguridad “Todo fichero temporal será borrado una vez que haya dejado de ser necesario para los fines que motivaron su creación”. DOCUMENTO DE SEGURIDAD Página 28 de 71 Borrador a. Obligaciones de los Responsables de Seguridad. En relación a los ficheros de carácter temporal, el Responsable de Seguridad Técnico y el Responsable de Seguridad Organizativo, contraen las siguientes obligaciones: Concienciar a los usuarios de la necesidad de mantener controlados e identificados los ficheros existentes y que han de corresponderse en todo momento con la relación de ficheros declarados a la Agencia de Protección de Datos. Detectar el almacenamiento indefinido de ficheros temporales y actuar según el caso, bien eliminando el carácter de temporalidad del fichero o bien encargándose de la eliminación física del fichero en cuestión. Revisar y actualizar periódicamente el Registro de creación y destrucción de ficheros temporales. Asegurar que las medidas de seguridad que se aplican sobre los Ficheros Temporales se ajustan a las medidas de seguridad, impuestas para los ficheros de datos de carácter personal declarados y registrados en la Agencia de Protección de Datos, adecuadas al nivel de seguridad del fichero (alto / bajo / medio). Solicitar el Responsable del Fichero la dotación adecuada de recursos que permita a los usuarios destruir físicamente los Ficheros Temporales una vez ya han sido utilizados. Autorizará el acceso de personas distintas a su propietario a los ficheros temporales. b. Obligaciones de los usuarios. Para los usuarios, la creación de copias temporales con el objetivo de facilitar la labor del desempeño de cada empleado es válido y admisible, siempre y cuando se observen las normas y procedimientos descritos a continuación: Un fichero de carácter temporal solo puede generarse con una finalidad muy precisa y concreta. Cuando un usuario necesite crear un fichero temporal DOCUMENTO DE SEGURIDAD Página 29 de 71 Borrador informará al Responsable de Seguridad Técnico o Responsable de Área pertinente, con el objeto de que este le de alta en el Registro de Ficheros Temporales. A tal fin, el usuario le proporcionará al Responsable de Seguridad Técnico la información siguiente sobre el Fichero Temporal: Nombre del usuario, Nombre del fichero, Finalidad de uso, Fichero o ficheros registrados a los que equivale, tiempo estimado de vida, soporte físico en el que va a residir el fichero. Una vez creado el fichero temporal, el usuario se responsabilizará totalmente de su custodia y uso, siendo considerando en ese momento y hasta la destrucción del fichero como su propietario. Mientras exista el Fichero Temporal, el propietario garantizará la aplicación sobre el fichero de las medidas adecuadas a su nivel de seguridad. El Fichero Temporal deberá ser destruido una vez ha cumplido la función para la que fue creado. La destrucción deberá garantizar una imposibilidad razonable de recuperación del fichero. Se informará de esta destrucción al Responsable de Seguridad para que de la baja al fichero en el Registro de Ficheros Temporales. Queda terminantemente prohibida la copia de los Ficheros Temporales. Queda terminantemente prohibido el acceso, de personas distintas a su propietario, a un Fichero Temporal, salvo autorización expresa del Responsable de Seguridad. Inspeccionará periódicamente los sistemas de información a los que tiene acceso con objeto de detectar copias duplicadas de un mismo documento, versiones similares de un mismo archivo, ficheros que han dejado de cumplir su finalidad (y para los que la Ley prescribe su cancelación) y qué documentos son versiones temporales de ficheros legítimos y que como tales, deben estar reglados por las normas de tratamiento estipuladas para ellos. c. El Registro de Ficheros Temporales. Existirá para cada Conselleria un Registro de Ficheros Temporales, donde se llevará un control de los ficheros temporales existentes. La estructura del fichero puede ser la siguiente: DOCUMENTO DE SEGURIDAD Página 30 de 71 Borrador Nombre Usuario Fichero Origen Finalidad del Fichero Fecha alta Fecha baja Desc. Soporte DOCUMENTO DE SEGURIDAD Página 31 de 71 Borrador ANEXO E. NOMBRAMIENTOS DE CARGOS Y FIGURAS CLAVE. En este anexo, figuran los nombramientos del Responsable de Seguridad Técnico, Responsable de Seguridad Organizativo y de todos los Responsables de Áreas involucrados en la tarea de coordinar la implantación de los procedimientos y normas de seguridad consignados en este documento. La documentación que acredita los nombramientos debe contener la aceptación expresa por parte del afectado de sus responsabilidades así como la relación de estas. Adjuntar en este documento las hojas de nombramiento de los responsables asignados. Dichos nombramientos deben hacerse de acuerdo a la normativa que rige la Función Pública. DOCUMENTO DE SEGURIDAD Página 32 de 71 Borrador ANEXO F. INVENTARIO DE USUARIOS Y PERSONAL CON ACCESO AUTORIZADO A LOS FICHEROS PROTEGIDOS. Este anexo debe contener una relación de todo el personal con acceso a datos de carácter personal, ya sean administradores del sistema o usuarios del mismo, detallando los ficheros a los que pueden acceder y las acciones que puede realizar sobre los mismos. Independientemente de las acciones propias que cada usuario pueda realizar sobre los ficheros afectados, se establecen unas funciones y obligaciones de obligado cumplimiento para todo el personal de la Conselleria u Hospital. Podemos dividirlas en dos apartados, las comunes a todo el personal de la Conselleria u Hospital y las específicas para los administradores y el personal informático. Deberá desarrollarse por parte de cada Conselleria u Hospital un procedimiento de divulgación y comunicación al personal de sus Funciones y Obligaciones. OBLIGACIONES COMUNES A TODO EL PERSONAL a. Puestos de trabajo Los puestos de trabajo estarán bajo la responsabilidad de algún usuario autorizado que garantizará que la información que muestran no pueda ser visible por personas no autorizadas. Esto implica que tanto las pantallas como las impresoras u otro tipo de dispositivos conectados al puesto de trabajo deberán estar físicamente ubicados en lugares que garanticen esa confidencialidad. Cuando un usuario abandona su puesto de trabajo, bien temporalmente o bien al finalizar su jornada laboral, deberá dejarlo en un estado que impida la visualización de los datos protegidos. Esto podrá realizarse a través de un protector de pantalla que impida la visualización de los datos. La reanudación del trabajo implicará la desactivación de la pantalla protectora con la introducción de la contraseña correspondiente. DOCUMENTO DE SEGURIDAD Página 33 de 71 Borrador En el caso de las impresoras deberá asegurarse de que no quedan documentos impresos en la bandeja de salida que contengan datos protegidos. Si las impresoras son compartidas con otros usuarios no autorizados para acceder a los datos de los ficheros, los responsables de cada puesto deberán retirar los documentos conforme vayan siendo impresos. Los puestos de trabajo desde los que se tiene acceso al fichero tendrán una configuración fija en sus aplicaciones, sistemas operativos que solo podrá ser modificada bajo al autorización del Responsable de Seguridad Técnico. b. Salvaguarda y protección de las contraseñas personales Cada usuario será responsable de la confidencialidad de su contraseña y, en caso de que la misma sea conocida fortuita o fraudulentamente por personas no autorizadas, deberá registrarlo como incidencia y proceder a su cambio. c. Gestión de incidencias Cualquier usuario que tenga conocimiento de una incidencia es responsable de la comunicación de la misma al Registro de incidencias. El conocimiento y la no notificación de una incidencia por parte de un usuario será considerado como una falta contra la seguridad de los ficheros por parte de ese usuario. OBLIGACIONES DE LOS ADMINISTRADORES Y PERSONAL INFORMÁTICO a. Entorno de sistema operativo y de Comunicaciones Impedir que ninguna herramienta o programa de utilidad que permita el acceso a los ficheros sea accesible a ningún usuario o administrador no autorizado. En la norma anterior se incluye cualquier medio de acceso en bruto, es decir no elaborado o editado, a los datos de los ficheros, como los llamados "queries", editores universales, analizadores de ficheros, etc., que deberán estar bajo el control de los administradores autorizados. DOCUMENTO DE SEGURIDAD Página 34 de 71 Borrador Si las aplicaciones o sistemas de acceso a los ficheros utilizasen usualmente ficheros temporales, ficheros de "logging", o cualquier otro medio en el que pudiesen ser grabados copias de los datos protegidos, el administrador deberá asegurarse de que esos datos no son accesibles posteriormente por personal no autorizado. Si los sistemas en los que están ubicados los ficheros están integrados en una red de comunicaciones de forma que desde otros ordenadores conectados a la misma sea posible el acceso a los ficheros, el administrador responsable del sistema deberá asegurarse de que este acceso no se permite a personas no autorizadas. b. Sistema Informático o aplicaciones de acceso a los ficheros Si las aplicaciones informáticas que permiten el acceso a los ficheros no cuentan con un control de acceso, deberá ser el sistema operativo, donde se ejecuta esa aplicación, el que impida el acceso no autorizado, mediante el control de los citados códigos de usuario y contraseñas. c. Salvaguarda y protección de las contraseñas personales Las contraseñas se asignarán y se cambiarán de la forma y con la periodicidad que se determina en el Anexo H “Procedimientos de control de accesos lógicos”. Este mecanismo de asignación y distribución de las contraseñas deberá garantizar la confidencialidad de las mismas, y será responsabilidad del administrador del sistema. El archivo donde se almacenen las contraseñas deberá estar protegido y bajo la responsabilidad del administrador del sistema. d. Procedimientos de respaldo y recuperación Existirá una persona, bien sea el administrador o bien otro usuario expresamente designado, que será responsable de obtener periódicamente una copia de seguridad del fichero, a efectos de respaldo y posible recuperación en caso de fallo. Las copias deberán realizarse siguiendo el procedimiento especificado en el Anexo J “Procedimiento de copias de seguridad y recuperación”. DOCUMENTO DE SEGURIDAD Página 35 de 71 Borrador En caso de fallo del sistema con pérdida total o parcial de los datos de los ficheros, para la recuperación de los datos se seguirá el procedimiento establecido en el Anexo J “Procedimiento de copias de seguridad y recuperación”. DOCUMENTO DE SEGURIDAD Página 36 de 71 Borrador ANEXO G. PROCEDIMIENTOS DE CONTROL DE ACCESO FÍSICO Los locales y estancias donde se ubiquen los sistemas que contienen los ficheros de carácter personal, automatizados o no, deben ser objeto de especial protección, en orden a garantizar la integridad, confidencialidad y disponibilidad de los datos, especialmente en el caso en que el fichero este ubicado en un recinto al que acceda personal, tanto interno como externo, no involucrado en el tratamiento del mismo. A continuación, se describen los Procedimientos de Seguridad de carácter físico implementados en los sistemas de información pertenecientes a la Conselleria u Hospital. Independientemente de lo descrito en el Anexo C, se indican exhaustivamente todos los sistemas de control de acceso físico a los locales y estancias donde se ubiquen los ficheros que contienen datos de carácter personal. En los casos en los que las medidas adoptadas en la actualidad en la Conselleria u Hospital no se correspondan con las recomendaciones de seguridad descritas en los apartados siguientes y no garanticen la integridad, confidencialidad y disponibilidad de los datos es necesario que se adopten las medidas indicadas para garantizar dichos extremos. Cuando las medidas contempladas en la Conselleria u Hospital garanticen la integridad, confidencialidad y disponibilidad de los datos, serán éstas las que se deban incluir en este anexo. Los puntos desarrollados en este anexo son los siguientes: Controles de acceso al edificio de ubicación de los ficheros. Controles de acceso a la Sala de Servidores. Controles de acceso a la Sala de Copias. Controles de acceso a los archivos de ficheros no automatizados. DOCUMENTO DE SEGURIDAD Página 37 de 71 Borrador a. Controles de acceso al edificio de ubicación de los ficheros Toda persona que pretenda tener acceso físico al edificio de ubicación de los ficheros debe registrarse y pasar un control de identidad ante el puesto de Registro/Información situado en el hall de entrada. Este control de identidad supone la necesidad de acreditar la siguiente información: - Identidad del sujeto (nombre, apellidos y DNI). - Persona del centro a la que el sujeto desea visitar. - Hora de entrada. Estos datos se transcriben por escrito en el mismo momento en que se facilitan, pero no se incorporan a fichero alguno. Asimismo, tales datos son guardados por estrictas razones de seguridad durante una semana. Al cabo de ese tiempo, son eliminados mediante su destrucción física. Una vez facilitada la información arriba descrita, el responsable de Registro/Información se pone en contacto telefónico, directamente con la persona a la que el sujeto visitante desea visitar. En el caso de visita a personal de la Conselleria u Hospital, sólo cuando la persona visitada accede y reconoce a la persona visitante, queda permitido el acceso físico de esta última al interior del edificio de ubicación del fichero, quedando la persona visitada al cargo y responsabilidad de la persona visitante. Al mismo tiempo que el sujeto visitante accede al interior del edificio, se le facilita en Registro/Información un objeto distintivo en el que luce la palabra “VISITANTE” para que la persona ajena al edificio se lo sitúe en un lugar visible. Cuando el sujeto visitante abandone el edificio debe devolver en recepción el objeto distintivo, quedando en ese momento registrada la hora de salida del edificio de ubicación de los ficheros. Asimismo, cuando un nuevo empleado sea contratado, ya sea funcionario, interino o personal laboral, se le proporcionará un denominado Código de Conducta en el que se DOCUMENTO DE SEGURIDAD Página 38 de 71 Borrador describirán las medidas de seguridad de entrada al edificio de ubicación de los ficheros que debe cumplir inexorablemente. b. Controles de acceso a la sala de servidores Este apartado sólo resulta de aplicación en el caso de que la Conselleria u Hospital disponga de servidores propios. Los locales donde se ubican los equipos y sistemas de información que contienen y tratan los ficheros automatizados de carácter personal deben ser objeto de especial protección, para garantizar la disponibilidad, integridad y confidencialidad de los datos protegidos, especialmente en el caso de aquellos ficheros ubicados en servidores accedidos a través de la red. Los sistemas de información, así como los ficheros automatizados por ellos procesados, se encuentran situados en la Sala de Servidores del XXXXXXX, ubicado en XXXXXX. Los únicos usuarios que pueden tener acceso físico a los sistemas de información ubicados en esta sala son: XXXXXX, Responsable de Seguridad Técnico. XXXXXX, Responsable de Seguridad del Área XXX (para la DGTIC). XXXXXX, incluir el personal autorizado. Debe entenderse que el hecho de que el personal pueda tener acceso físico a la Sala de Servidores se considera como algo ocasional y que en todo momento habrá de estar justificado por razón del encargo, empleo o actividad que esté desarrollando la persona que necesita acceder a la sala de servidores. En esa situación, se debe cumplimentar el formulario de Acceso a la Sala de Servidores Locales para registrar el acceso a la ubicación de los sistemas de información por parte de personal externo o visitas. Este formulario se encuentra en el Anexo M “Plantillas y Formularios” del presente documento. DOCUMENTO DE SEGURIDAD Página 39 de 71 Borrador En cuanto a los usuarios que pertenezcan al Departamento de Informática, han de precisarse los siguientes sistemas de acceso: En primer lugar, debe especificarse que solamente los usuarios referenciados en este anexo, pueden tener acceso físico a la sala en la que están ubicados los sistemas de información y los ficheros de carácter personal que almacenan y tratan. Este acceso se limita mediante la apertura de una puerta cerrada bajo llave o tarjeta identificativa (dependiendo del lugar se indicará uno u otro). Esta llave sólo está en posesión de los integrantes del Departamento de Sistemas y miembros de seguridad, arriba mencionados, quienes responden personalmente de su debida custodia en todo momento. Sin la llave en cuestión, es imposible acceder físicamente al lugar de ubicación de sistemas y fichero. Fuera del horario laboral esta sala permanece cerrada bajo llave, cuyas copias están en posesión de los Responsables de Seguridad. Se deberán establecer los procedimientos adecuados por parte de cada una de las Consellerias u Hospitales que contemplen el acceso de personal de limpieza y mantenimiento. c. Controles de acceso a la sala de copias. Este apartado solo es de aplicación en el caso de que la Conselleria u Hospital disponga de servidores propios. La seguridad de los datos personales de los ficheros no sólo supone garantizar la confidencialidad de los mismos, sino que también implica asegurar la integridad y disponibilidad de estos datos. A tal fin, se ha implementado y realiza el “Procedimiento de Realización de Copias de Respaldo y Recuperación” descrito en el Anexo J. Los copias de seguridad generadas como consecuencia de la aplicación del procedimiento arriba mencionado y que permiten la recuperación y reconstrucción de los datos personales en caso de fallo del sistema informático, se almacenan protegidas en una Caja de Seguridad en la Sala de Copias del Departamento de Sistemas, ubicado en XXXXXXXX y alejada de la Sala de Servidores. DOCUMENTO DE SEGURIDAD Página 40 de 71 Borrador Los únicos usuarios que pueden tener acceso físico a los soportes ubicados en esta sala son: XXXXXX, Responsable de Seguridad Técnico. XXXXXX, Responsable de Seguridad del área XXX (para la DGTIC). XXXXXX, indicar el personal autorizado. Bajo ninguna circunstancia se permite el acceso a esta sala de personal no autorizado, debiendo cumplimentarse el formulario de “Acceso a la Sala de Copias de seguridad” que figura en el Anexo M “Plantillas y Formularios” cuando se produzcan accesos a la misma por parte de personal no autorizado. Tanto la Sala de Copias como la Caja de Seguridad en ella ubicada están protegidas mediante un sistema de XXXXX, cuyas copias están en posesión de los Responsables de Seguridad. Sin la llave en cuestión, es imposible acceder físicamente al lugar de ubicación de los soportes, que permanece cerrado salvo que se estén ejecutando las labores propias de respaldo y recuperación. Se deberán establecer los procedimientos adecuados para el acceso a la Sala de Copias en caso de fuerza mayor o urgencia por parte de cada una de las Consellerias u Hospitales. Asimismo, deberán establecerse los procedimientos que contemplen el acceso de personal de limpieza y mantenimiento a esta sala. d. Controles de acceso a los archivos de ficheros no automatizados. Existen varias categorías de Archivos donde quedan ubicados, temporal o definitivamente, los ficheros en soporte no automatizado: archivos Departamentales, de Servicios, de Direcciones Generales y el Archivo Central de la Conselleria u Hospital. Especificar la ubicación de todos los archivos existentes en la Conselleria u Hospital, las medidas de seguridad de acceso a los mismos y los usuarios que tienen permiso para acceder. DOCUMENTO DE SEGURIDAD Página 41 de 71 Borrador Ejemplo: El Archivo Central esta ubicado en la planta baja del edificio, con acceso restringido y cerrado bajo llave. Los únicos usuarios que pueden tener acceso físico a los ficheros no automatizados ubicados en esta sala son: XXXXXX, Responsable de Seguridad Técnico. XXXXXX, Responsable de Seguridad Organizativo. XXXXXX, Responsable del Archivo (Administrativo). Etc... El Archivo Central sólo permanece abierto en el momento en que se precisa acceder a él para recoger un fichero en soporte no automatizado o si alguna de las personas autorizadas, responsables de su mantenimiento, permanece en su interior. Debe entenderse que el hecho de que el personal pueda tener acceso físico al Archivo Central se considera como algo ocasional y que en todo momento habrá de estar justificado por razón del encargo, empleo o actividad que la persona que necesita acceder se encuentre desarrollando. No se permitirá el acceso de personal al Archivo Central por motivos no justificados de acuerdo con lo expuesto en este párrafo. Archivos Departamentales, de Servicios, de Direcciones Generales. Indicar ubicaciones y medidas de seguridad de acceso. Especificar los grupos que acceden a éstos archivos. Dentro de estos archivos hay que incluir todos recintos (despachos, departamentos, plantas...) en las que se puedan encontrar armarios, archivadores y estanterías en las que se guarden datos de carácter personal. Solamente los usuarios autorizados pueden tener acceso a estos archivos. En el caso de que personal ajeno al tratamiento de los ficheros no automatizados en ellos almacenados requiera acceder a estas ubicaciones deberá existir un motivo justificado por razón del encargo, empleo o actividad que la persona que necesita acceder se encuentre desarrollando. No se permitirá el acceso a los archivos por motivos no justificados. DOCUMENTO DE SEGURIDAD Página 42 de 71 Borrador Es responsabilidad del personal al cargo de los ficheros garantizar que la información ahí almacenada no puede ser vista por personas no autorizadas. Cuando el responsable del servicio abandona su puesto de trabajo, bien temporalmente o al finalizar su jornada laboral, deberá proceder al cierre del archivador y verificar que ningún fichero no automatizado queda fuera del mismo a la vista de personal no autorizado. Si existen impresoras departamentales, los usuarios deberán retirar los documentos conforme vayan siendo impresos y en cualquier caso asegurarse de que no quedan documentos impresos en la bandeja de salida que contengan datos protegidos. Bajo ninguna circunstancia, el responsable del despacho o departamento debe abandonar el mismo sin proceder previamente a su cierre a fin de garantizar la seguridad de los ficheros ahí ubicados. DOCUMENTO DE SEGURIDAD Página 43 de 71 Borrador ANEXO H. PROCEDIMIENTOS DE CONTROL DE ACCESOS LÓGICOS Se entiende por Sistema de Información a todos aquellos sistemas, programas o aplicaciones con las que se puede acceder a los datos contenidos en los ficheros, y que son usualmente utilizados por los usuarios para realizar el tratamiento de los mismos y que aparece referenciado en el Anexo B. Estos Sistemas pueden ser aplicaciones informáticas expresamente diseñadas para acceder a los ficheros, o sistemas preprogramados de uso general como aplicaciones o paquetes disponibles en el mercado informático. Se debe, por tanto, regular el uso y acceso de las partes del sistema operativo, herramientas o programas de utilidad, o del entorno de comunicaciones, de forma que se impida el acceso no autorizado a los datos de los ficheros de carácter personal procesados por los sistemas y aplicaciones de la Conselleria u Hospital. Los puntos desarrollados en este anexo son los siguientes: - Procedimiento de altas y bajas de usuarios y modificación de privilegios. - Gestión de contraseñas de acceso y código de usuario. - Limitación de Acceso a los Sistemas de Información. - Registro de Accesos. a. Procedimiento de altas y bajas de usuarios y modificación de privilegios. Los procedimientos de alta y baja de usuarios, así como los de modificación de los perfiles asignados inicialmente, implican la actividad de distintas figuras dentro de la organización de la Conselleria u Hospital. A continuación, deberá aparecer descrito exhaustivamente el procedimiento que se sigue en la Conselleria u Hospital para las altas, bajas y modificaciones de permisos de los usuarios. En el caso de ficheros de nivel medio y alto, para la cumplir con lo establecido en el Reglamento de medidas de seguridad, la identificación de los usuarios tiene que ser inequívoca y personalizada. DOCUMENTO DE SEGURIDAD Página 44 de 71 Borrador b. Gestión de contraseñas de acceso y códigos de usuario Los usuarios únicamente podrán tener acceso autorizado a los datos personales y recursos de información que les sean necesarios para el debido desarrollo de sus funciones. A tal fin, los sistemas de información del Responsable del Fichero tienen implementado un sistema de contraseñas en virtud del cual cada usuario es identificado y autenticado. Establecimiento de Contraseñas Los procedimientos de establecimiento de contraseñas se refieren a los siguientes entornos: Identificar los entornos y aplicaciones con claves de acceso. Todos los usuarios relacionados en el Anexo F “Inventario deberán tener un código de identificación que será único, y que estará asociado a la contraseña correspondiente, que sólo será conocida por el propio usuario, siendo esta personal e intransferible. Por ello, salvo casos de uso fraudulento de las contraseñas, resulta absolutamente imposible que una persona no autorizada a ello pueda tener acceso a los Sistemas de Información. Cada uno de los pares “usuario-contraseña” distingue y corresponde a un usuario de forma personal e individualizada. No existe posibilidad de que una misma par sea asignada a dos usuarios diferentes ni de que se utilice un usuario genérico para acceder a la red y a las aplicaciones de la Conselleria u Hospital. (aunque este aspecto solo es exigible a partir del nivel medio, recomendamos que se establezca en todos los sistemas de información que permitan el acceso a todos los ficheros con datos de carácter personal). Las contraseñas permiten verificar la autenticidad del usuario y su código identificarle de manera absolutamente segura, de modo que quede constancia o “trazas” de las acciones ejecutadas por cada uno de los usuarios con derecho de acceso a los ficheros de datos personales y a las aplicaciones que los tratan. DOCUMENTO DE SEGURIDAD Página 45 de 71 Borrador Custodia de las Contraseñas Dado el carácter absolutamente reservado de las contraseñas, cada uno de los usuarios deberá custodiarlas personalmente, con el objeto de que sólo la persona correspondiente pueda conocer en cada momento cuál es su contraseña. Del ejercicio debido de dicha custodia responderán disciplinariamente cada usuario, de acuerdo con lo señalado en este Documento de Seguridad. Queda terminantemente prohibido anotar la respectiva contraseña o un indicio de la misma en un medio escrito que permita tener un conocimiento fácil, directo o deducible de las respectivas contraseñas. Sin perjuicio de lo establecido sobre la necesidad de que las contraseñas no puedan transcribirse a un medio físico, mientras estén vigentes deberán guardarse de forma ininteligible, de manera tal que no puedan ser leídas o comprendidas para un sujeto con conocimientos técnicos medios. A tal efecto, se recurrirá y delegará en las facilidades administrativas implementadas por los Sistemas Operativos en uso y las propias aplicaciones. Reglas sintácticas de formación de las Contraseñas Aunque el Reglamento de medidas de seguridad no impone unas reglas sintácticas para la creación de las contraseñas, a continuación ofrecemos una guía de parámetros que incrementarán la seguridad de las mismas. Si en la Conselleria u Hospital se utilizaran otros parámetros, deberán ser descritos en el presente apartado. En la formación de las contraseñas deberán seguirse las siguientes reglas: 1. Toda contraseña habrá de tener como mínimo OCHO caracteres. 2. Las contraseñas no podrán incluir el código Identificativo del usuario. 3. Las contraseñas no podrán consistir en nombres propios, topográficos o patronímicos ni palabras que figuren en diccionarios, generales o técnicos. DOCUMENTO DE SEGURIDAD Página 46 de 71 Borrador 4. Las contraseñas no podrán consistir solamente en fechas 5. Las contraseñas deberán ser combinación de dos, como mínimo de los cuatro conjuntos siguientes de caracteres: alfabéticos en mayúsculas, alfabéticos en minúscula, numéricos y símbolos. 6. Las contraseñas deberán contener alguna combinación de caracteres sin sentido en el lenguaje usual. Cambio de Contraseñas Las Contraseñas serán modificadas de acuerdo con el procedimiento técnico y de organización establecido por el Responsable de Seguridad Técnico en cada caso y que dependerá de cada sistema y de cada aplicación en concreto. Solamente el Responsable de Seguridad podrá conceder, alterar o anular el acceso autorizado sobre los datos o recursos, conforme a los criterios más adelante establecidos. De cualquier modificación de las contraseñas o ante la más mínima sospecha de que la contraseña haya podido ser interceptada, el usuario deberá dar cuenta inmediatamente al Responsable de Seguridad Técnico. Salvo necesidad de cambio administrativo de la contraseña ante sospecha de su posible ruptura o conocimiento por parte del personal autorizado la modificación general de las Contraseñas se hará de acuerdo con el siguiente procedimiento: Sistema Operativo: Indicar la periodicidad con la que deben cambiarse las contraseñas del sistema operativo. Aplicaciones: Indicar la periodicidad con la que deben cambiarse las contraseñas de las aplicaciones que traten los ficheros con datos de carácter personal. c. Limitación de Acceso a los Sistemas de Información El presente apartado es de aplicación a los Sistemas de Información que traten ficheros con datos de carácter personal de nivel medio y alto. Aún siendo así, se recomienda que se aplique a todos los Sistemas de Información. DOCUMENTO DE SEGURIDAD Página 47 de 71 Borrador Como se ha mencionado, el acceso a los Sistemas de Información por parte de los usuarios del sistema está controlado mediante el uso de usuarios y contraseñas que permiten la identificación de forma unívoca del usuario. Para cumplir con los principios de seguridad establecidos en el presente Documento de Seguridad, hay que limitar los intentos fallidos de acceso a los Sistemas de Información por parte de los usuarios. (El Reglamento de medidas de seguridad no especifica un número de intentos fallidos antes del bloqueo del sistema. Recomendamos que se establezca en un máximo de 3 intentos fallidos). Una vez que se ha superado el límite establecido para los intentos fallidos el sistema se bloqueará automáticamente y para su desbloqueo es necesario seguir el siguiente procedimiento (Indicar el procedimiento a seguir para el desbloqueo del sistema) d. Registro de Accesos Este procedimiento solo es necesario implantarlo en aquellos sistemas que manejan ficheros considerados como de nivel alto. En cualquier caso, para los ficheros de nivel alto, de cada acceso se guardarán como mínimo los siguientes datos: Fecha y hora La identificación del usuario Código y /o clave erróneas que se han introducido El tipo de acceso Si ha sido autorizado o denegado Identificación del registro accedido en el caso de los accesos autorizados. Los mecanismos que permiten el registro de los datos detallados en el párrafo anterior estarán bajo el control directo del Responsable de Seguridad Técnico sin que se deba permitir, en ningún caso, la desactivación de los mismos. Los datos registrados deberán ser guardados por un mínimo de dos años, siendo el Responsable de Seguridad Técnico el encargado de revisar periódicamente, con DOCUMENTO DE SEGURIDAD Página 48 de 71 Borrador carácter mensual, la información de control registrada y elaborar un informe de las revisiones realizadas y los problemas detectados. DOCUMENTO DE SEGURIDAD Página 49 de 71 Borrador ANEXO I. PROCEDIMIENTO DE GESTIÓN DE SOPORTES Es norma de la Conselleria u Hospital, de acuerdo a la legislación vigente en materia de protección de datos de carácter personal, regular el uso de los soportes documentales e informáticos con el fin de garantizar la integridad, confidencialidad y disponibilidad de la información contenida en ellos. Se entiende por “Soporte” cualquier objeto físico susceptible de ser tratado en un sistema de información y sobre el cual se pueden grabar o recuperar datos. Puede tratarse de soportes informáticos, como cintas, cartuchos, disquetes, CD-ROMS, u otro tipo de soportes, como listados, imágenes o microfichas. En el presente anexo se describe el procedimiento a seguir para la identificación, inventario y custodia de los soportes informáticos que contengan datos de carácter personal. a. Recepción de soportes Todo fichero remitido a las instalaciones de la Conselleria u Hospital por terceros, debe dirigirse a la atención del Responsable de Seguridad Técnico. Éste procederá a incluir a los ficheros protegidos en el ciclo de seguridad indicado en el Documento de Seguridad, aplicándoles las medidas adecuadas a la naturaleza del tipo de datos que contengan. b. Sistema de identificación de soportes Tanto los soportes de entrada de datos como los de salida de datos incluirán una etiqueta de fácil visualización para facilitar la identificación de los mismos. La etiqueta incluirá los siguientes datos para una correcta identificación de los soportes: Nombre del fichero fuente de los datos Nombre del fichero de salida incluido en el soporte Fecha y hora de la grabación de los datos en el soporte Identificación de la orden de trabajo que ha originado el tratamiento de los datos DOCUMENTO DE SEGURIDAD Página 50 de 71 Borrador c. Procedimiento de inventariado de soportes Todos los soportes que contienen datos de los ficheros de carácter personal son registrados en un inventario. Los datos que incluye el registro del inventario de los soportes son: Tipo de soporte informático Número de soportes Nombre del fichero fuente de los datos Nombre del fichero de salida incluido en el soporte (siempre que se considere necesario) Fecha y hora de la grabación de los datos en el soporte Fecha y hora de salida Orden de trabajo (si procede) Se facilita una plantilla de Registro de Inventario en el Anexo M “Plantillas y Formularios”. d. Almacenamiento de soportes Todos los soportes permanecen custodiados en cuartos de seguridad e informática y armarios situados en los locales de la Conselleria u Hospital. (Indicar el lugar en el que quedan almacenados) Existe un control de entrada y salida de los soportes almacenados en lugares debidamente acondicionados en la Conselleria u Hospital. Los datos que incluye dicho control de soportes son los siguientes: Identificación del soporte (nº inventario de soportes) Fecha y hora de salida del soporte Personal autorizado que solicita la salida del soporte Destinatario del soporte Forma de envío Fecha entrada/reentrada del soporte DOCUMENTO DE SEGURIDAD Página 51 de 71 Borrador Al igual que con el inventario de soportes, el control de salida de los soportes registra las salidas de los soportes fuera de las instalaciones de la Conselleria u Hospital, salida que solo puede estar autorizada por el Responsable de Seguridad Técnico. Cuando se produzca una salida periódica de soportes, el Responsable de Seguridad Técnico podrá elaborar una autorización genérica no siendo necesario de este modo su autorización cada vez que uno se estos soportes salga de las instalaciones. e. Reutilización o destrucción de los soportes Cuando un soporte vaya a ser reutilizado, se adoptarán las medidas necesarias para impedir cualquier recuperación posterior de la información almacenada. Para conseguir este objetivo es necesario formatear el dispositivo y que el técnico encargado de ello se cerciore de que no es posible la recuperación de los datos. Si por cualquier motivo existieran dudas sobre la fiabilidad del proceso se procederá a la destrucción del soporte. Una vez que el dispositivo ha sido completamente borrado y está preparado para ser reutilizado se modificarán los datos en el inventario, inscribiendo la baja en el inventario de almacén de soportes. Para poder destruir cualquier tipo de soporte será necesario contar con orden del Responsable de Seguridad Técnico. El procedimiento a seguir para el deshecho de dicho soporte es el siguiente: Destrucción física del soporte Inscripción de baja en el inventario del almacén de soportes, incluyendo la fecha de destrucción y la identificación del personal encargado de la destrucción f. Reciclado de los desechos generados siempre que sea posible Distribución de los soportes La distribución de los soportes se realiza, una vez cumplimentado debidamente el control de entrada y de salida mencionado con anterioridad, a través de los siguientes medios: DOCUMENTO DE SEGURIDAD Página 52 de 71 Borrador Personal autorizado de la Conselleria u Hospital Mensajería interna de la Conselleria u Hospital o valija Mensajería externa autorizada de la Conselleria u Hospital Correo ordinario Para la distribución de soportes con ficheros considerados de nivel alto los datos deberán ir cifrados. El Responsable de Seguridad Técnico es el encargado de tener a disposición del departamento que lo necesite una herramienta de cifrado oficial homologada por la Conselleria u Hospital. En ningún caso se podrá utilizar una herramienta de cifrado no autorizada por el Responsable de Seguridad Técnico. DOCUMENTO DE SEGURIDAD Página 53 de 71 Borrador ANEXO J. PROCEDIMIENTO RECUPERACIÓN DE COPIAS DE SEGURIDAD Y Como ya se ha indicado, la seguridad de los datos personales de los ficheros no sólo descansa en la confidencialidad de los mismos, sino en la garantía de su integridad y disponibilidad. Para asegurar estos dos aspectos fundamentales de la seguridad, es necesaria la existencia de un Procedimiento de Copias de Seguridad y Recuperación que, en caso de fallo del sistema informático o contingencia general, permitan la recuperación y reconstrucción de los datos del fichero en el estado en que se encontraban en el momento de producirse la pérdida o destrucción. El Responsable de Seguridad Técnico deberá encargarse de verificar la definición y correcta aplicación de los procedimientos de realización de Copias de seguridad y de recuperación de los datos. A tal efecto, se han previsto los Procedimientos de Realización de Copias de Seguridad y Recuperación que se exponen en este punto. a. Realización de copias de seguridad La Política de Backup seguida por la Conselleria u Hospital está dirigida a garantizar la disponibilidad e integridad de la información sensible en caso de materialización de un fallo o desastre. A tal fin se realizan: Describir detalladamente el procedimiento de copias de seguridad que se lleva a cabo en la Conselleria u Hospital. Para el cumplimiento del Reglamento de medidas de seguridad se deberán seguir las siguientes pautas: - Las copias de seguridad deberán hacerse, al menos semanalmente, salvo que en dicho periodo no se hubiera producido ninguna actualización de los datos. - Cuando se trate de copias de seguridad de ficheros de nivel alto, deberá conservarse una copia de seguridad y de los procedimientos de recuperación de los datos en un lugar diferente de aquél el que se encuentren los equipos informáticos que los tratan. DOCUMENTO DE SEGURIDAD Página 54 de 71 Borrador b. Recuperación de los datos Cuando como consecuencia de una incidencia sea necesaria la recuperación de los datos incluidos en las copias de seguridad, se seguirá el siguiente procedimiento. Una vez solventada la incidencia que generó la pérdida de los datos, el usuario que necesite la recuperación de los mismos lo solicitará al Responsable de Seguridad Técnico. El usuario debe de poner en conocimiento de su superior dicha circunstancia. La solicitud deberá contener los siguientes datos: Nombre del solicitante Identificación de la incidencia que ha generado la recuperación Propósito Fichero del que se solicita la información Firma del solicitante Una vez aprobada la solicitud por el Responsable de Seguridad Técnico, éste encargará a un técnico del Departamento de Sistemas que recupere los datos de la última copia de seguridad realizada en la que fueron grabados y los restituya en el sistema. Una vez recuperados los datos, el técnico se lo comunicará al usuario. El Responsable de Seguridad Técnico o en quien él delegue llevará un registro de recuperación de datos en el que se incluirán los siguientes datos: Nombre del fichero recuperado / Datos restaurados Identificación de la cinta Fecha y hora de la recuperación Solicitante Propósito Nombre y firma del técnico de recuperación Datos recuperados manualmente El encargado del registro conservará los originales de las solicitudes de recuperación. En el Anexo M “Plantillas y formularios” se aportan plantillas de Registro de Recuperación de datos y de la solicitud de recuperación. DOCUMENTO DE SEGURIDAD Página 55 de 71 Borrador ANEXO K. PROCEDIMIENTO DE GESTIÓN Y REGISTRO DE INCIDENCIAS Una incidencia es cualquier evento que pueda producirse esporádicamente y que pueda suponer un peligro para la seguridad de los ficheros, tanto automatizados como no automatizados, entendida bajo sus tres vertientes de confidencialidad, integridad y disponibilidad. El definir un procedimiento de gestión de incidencias que comprometan la seguridad de los ficheros y el mantener un Registro de las mismas es una herramienta imprescindible para la prevención de posibles ataques y riesgos en la seguridad, así como para la persecución de los responsables de dichos incidentes. Los puntos desarrollados en este anexo son los siguientes: Clasificación de Incidencias. Registro de Incidencias. a. Clasificación de Incidencias El procedimiento de gestión de incidencias establecido, se clasifica según la gravedad de las mismas en tres categorías; leve, intermedio y crítico. Así, una Incidencia tendrá carácter leve, cuando ésta provoque un retraso en los procesos de datos, en le caso de tratamiento automatizado, pero no una pérdida de los mismos ni de los equipos informáticos (por ejemplo, CPU o algún componente del equipo averiado que provoca un paro en el funcionamiento normal del mismo, fallo de energía eléctrica, problemas del sistema operativo con mensajes de error no recuperables u otras paradas súbitas del sistema operativo, periférico averiado, fallo del programa de aplicación, etc.). Una Incidencia tendrá carácter Intermedio, cuando se produzca una pérdida de datos, automatizados o no, siendo provocada en el caso de los ficheros automatizados por fallos de hardware o software y en todos los casos por error humano o por causas físicas (inundación parcial, calor excesivo, etc.) si bien los equipos informáticos seguirán disponibles al menos parcialmente o con averías subsanables (por ejemplo, aterrizaje de cabezas en disco, borrado accidental de datos, corrupción de datos por DOCUMENTO DE SEGURIDAD Página 56 de 71 Borrador virus o causa desconocida, golpes muy fuertes o caídas accidentales del equipo, fuentes magnéticas y/o de calor muy intensas y cercanas al equipo). Por último, una Incidencia tendrá carácter Crítico, cuando se inutilice la información considerada de tipo vital para la Conselleria u Hospital, con independencia de su soporte, así como la capacidad de procesarla, es decir, se produzca la destrucción total de los equipos informáticos (por ejemplo; incendio total del edificio incluyendo bienes en su interior, bomba, terremoto, inundación o cualquier otro agente atmosférico o fortuito con destrucción total de las instalaciones). b. Registro de Incidencias Cualquier usuario que tenga conocimiento de una incidencia es responsable de su notificación por escrito al Responsable de Seguridad Técnico o persona en la que éste haya delegado. Par la gestión de las incidencias se crea el Registro de incidencias que será coordinado y controlado por el Responsable de Seguridad Técnico. Dicho Registro queda a disposición de todos los usuarios de los ficheros y administradores de los sistemas de información, quedando en él registrada cualquier incidencia que pueda suponer un claro riesgo de cara a la perdida de datos y a la capacidad de su procesamiento. En dicho Registro se hará constar necesariamente lo siguiente: Tipo de Incidencia Momento en el que se ha producido Usuario que realiza la notificación A quien se le comunica Efectos derivados de la misma Sobre la base de la información que obre en este Registro, el Responsable de Seguridad Técnico llevará a cabo estudios de las incidencias registradas, con una periodicidad mensual, de cara al mantenimiento preventivo de los sistemas de DOCUMENTO DE SEGURIDAD Página 57 de 71 Borrador información de la Conselleria u Hospital, elevando las conclusiones alcanzadas al Responsable del Fichero. El acceso al Registro de Incidencias se circunscribe a los Responsables de Seguridad Técnicos y al Responsable del Fichero, así como a cuantos usuarios les sea conferida expresamente esta facultad. El Responsable de Seguridad Técnico deberá estar plenamente informado y en todo momento sobre cualquier tipo de incidencia, al objeto de poder coordinar y controlar las medidas de seguridad aplicables en cada caso. Igualmente, será función del Responsable de Seguridad Técnico, el informar a los usuarios, sobre los procesos de notificación de incidencias en los términos que éste estime más adecuados, para su buen fin y correcta ejecución. DOCUMENTO DE SEGURIDAD Página 58 de 71 Borrador ANEXO L. GUÍA PARA LA REALIZACIÓN DE AUDITORÍAS A la hora de realizar una auditoria interna se propone seguir los siguientes puntos de revisión: Ficheros que contiene datos de carácter personal. Recursos. Funciones y obligaciones del personal. Controles de acceso lógico. Control de acceso físico. Ficheros impresos. Copias de salvaguarda. Gestión de soportes. Registro de incidencias. Comprobaciones fuera del horario establecido En el caso de someterse a una auditoria externa, serán los propios auditores quienes determinen su procedimiento de trabajo, sin obligación alguna de guiarse por el guión adjunto en el presente Documento de Seguridad. a. Ficheros que contienen datos de carácter personal La principal comprobación se centra en localizar todos los ficheros que contengan datos de carácter personal y comprobar que la Conselleria u Hospital ha emitido las órdenes de creación correspondientes y ha registrado los ficheros en la Agencia de Protección de Datos de forma que: El nivel de seguridad asignado es el que les corresponde según el Documento de Seguridad. Su justificación y finalidad se ajusta a la realidad La ubicación física del fichero es la descrita en el presente documento. Los ficheros se encuentran registrados en el Inventario General de Ficheros. DOCUMENTO DE SEGURIDAD Página 59 de 71 Borrador Los puntos a comprobar en una auditoría respecto a estos ficheros son: Comprobar que las restricciones de acceso físico a las dependencias en donde se encuentren los ficheros catalogados y sus copias de respaldo son adecuadas para garantizar el nivel de seguridad requerido. Comprobar la existencia de los registros correspondientes en el Inventario General de Ficheros, verificando el motivo de la existencia de dicho fichero. b. Recursos Las comprobaciones a realizar respecto a los recursos en una auditoría son: Revisar el Inventario de Ficheros comprobando que los niveles de seguridad de dichos recursos se corresponden a los descritos en el Documento de Seguridad. Revisar el inventario de recursos hardware y software y contrastarlos con los equipos, instalaciones y productos realmente implantados. Verificar que los accesos a recursos y dispositivos registrados en Inventario de Usuarios sean necesarios para el desarrollo de sus funciones. Verificar la correspondencia entre los usuarios / grupos y las cuentas con algún tipo de acceso mediante los procedimientos de Controles de Acceso Físico y Controles de Acceso Lógico. c. Funciones y obligaciones del personal Comprobar que toda persona de la Conselleria u Hospital con acceso a ficheros que contengan datos de carácter personal conoce las normas de seguridad que afecten al desarrollo de sus funciones, así como las consecuencias en que pudieran incurrir en caso de incumplimiento. Comprobar asimismo que el presente documento está disposición de todos los usuarios del sistema para su acceso y consulta. DOCUMENTO DE SEGURIDAD Página 60 de 71 Borrador d. Controles de acceso lógico A este nivel, las comprobaciones que deben realizarse comprenden los siguientes puntos: Verificar que no existe ninguna clave de acceso a ningún recurso protegido en sitios visibles ni se ceden entre usuarios. Comprobar que no existen cuentas de usuarios genéricos o usuarios con contraseña nula. Verificar que los usuarios modifican las claves de acceso a los recursos de acuerdo a lo definido en el Documento de Seguridad. Verificar que el Inventario de Usuarios está al día y que los perfiles definidos para cada usuario son los que realmente necesita para realizar sus funciones. Comprobar, en caso necesario, la existencia del log o Registro de Accesos a ficheros y aplicaciones, y que el Responsable de Seguridad Técnico procede regularmente al análisis e interpretación de los logs capturados. e. Control de acceso físico A este nivel, las comprobaciones que deben realizarse comprenden los siguientes puntos: Comprobar que las restricciones de acceso físico a las dependencias en donde se encuentren los ficheros catalogados y sus copias de respaldo son adecuadas para garantizar el nivel de seguridad requerido. Comprobar la existencia de los registros de control de acceso a la entrada del edificio de la Conselleria u Hospital, a la entrada de la Sala de Servidores locales y a la entrada de la Sala de Copias, verificando el motivo de entrada. DOCUMENTO DE SEGURIDAD Página 61 de 71 Borrador f. Ficheros impresos Respecto a los soportes impresos es necesario: Comprobar que no existen copias impresas de ficheros o parte de ellos que contengan datos de carácter personal, exceptuando aquellos que estén siendo utilizados por los usuarios para el desarrollo de sus tareas o que legítimamente se justifique su existencia. Comprobar que las copias temporales de ficheros que contienen datos de carácter personal se destruyen, cuando ya no es necesario su uso, de forma que imposibilite la recuperación total o parcial de la información. g. Copias de salvaguarda Con objeto de garantizar la calidad del proceso de recuperación en caso de fallo de los equipos o de materialización de un desastre, conviene: Comprobar que se han realizado las copias de salvaguarda descritas en el apartado Procedimientos Copias de Seguridad y Recuperación del presente documento en el número y con la periodicidad indicada. Comprobar que las copias de seguridad están debidamente etiquetadas según lo descrito en el presente Documento de Seguridad con el fin de identificar la información que contienen. Comprobar que las copias se almacenan siguiendo las normas y medidas de seguridad descritas en el Procedimiento. h. Gestión de soportes Respecto a los soportes, con independencia de su tipo y función, en necesario: Chequear la ubicación física de los soportes informáticos o no, que contengan datos de carácter personal. DOCUMENTO DE SEGURIDAD Página 62 de 71 Borrador Comprobar a través del Registro de Entrada / Salida de Soportes quien ha tenido acceso a ellos y con qué motivo. Verificar que el proceso de eliminación de la información almacenada en un soporte se ajusta a lo descrito en el apartado específico de destrucción de soportes de los Procedimientos de Gestión de Soportes. i. Registro de incidencias Chequear las incidencias registradas en el Registro de Incidencias y comprobar que se han llevado a cabo las acciones pertinentes para subsanarlas correctamente antes de cerrar dicha incidencia. j. Comprobaciones fuera del horario establecido Comprobar que tras finalizar la jornada de trabajo en la Conselleria u Hospital, los equipos que contengan ficheros con datos de carácter personal están debidamente bloqueados y que las dependencias físicas de acceso restringido han sido cerradas correctamente. DOCUMENTO DE SEGURIDAD Página 63 de 71 Borrador ANEXO M. PLANTILLAS Y FORMULARIOS Esta colección de plantillas y formularios tiene por objeto servir como modelo de referencia a la Conselleria u Hospital, de cara a la elaboración de los correspondientes registros necesarios para el cumplimiento de lo estipulado en el Reglamento de Medidas de Seguridad, y el Documento de Seguridad interno. En este anexo se recogen los siguientes formularios: Formulario de acceso a la sala de servidores locales. Formulario de acceso a la sala de copias de seguridad. Inventario de Soportes Formulario de control de entrada/salida de soportes. Formulario de solicitud de recuperación de datos. Registro de recuperación de datos Registro de incidencias. DOCUMENTO DE SEGURIDAD Página 64 de 71 Borrador FORMULARIO DE ACCESO A LA SALA DE SERVIDORES NOMBRE APELLIDOS D.N.I. CARGO EMPRESA ACTIVIDAD A REALIZAR ENTRADA HORA SALIDA DOCUMENTO DE SEGURIDAD Página 65 de 71 Borrador FORMULARIO DE ACCESO A LA SALA DE COPIAS DE SEGURIDAD NOMBRE APELLIDOS D.N.I. CARGO EMPRESA ACTIVIDAD A REALIZAR ENTRADA HORA SALIDA DOCUMENTO DE SEGURIDAD Página 66 de 71 Borrador INVENTARIO DE SOPORTES Fichero: <NOMBRE DE FICHERO> ALTAS NÚMERO DE INVENTARIO BAJAS FECHA DE ALTA / / / / / / / / / / / / / / / / / / MOTIVO Reutilización Destrucción Reutilización Destrucción Reutilización Destrucción Reutilización Destrucción Reutilización Destrucción Reutilización Destrucción Reutilización Destrucción Reutilización Destrucción Reutilización Destrucción MÉTODO FECHA DE BAJA / / / / / / / / / / / / / / / / / / Página 67 de 71 CONTROL DE ENTRADA / SALIDA DE SOPORTES REFERENCIA Nº …… ENTRADA FECHA Y HORA DE LA OPERACIÓN …………… SALIDA DEVOLUCIÓN TIPO DE SOPORTES………………… NÚMERO DE SOPORTES .......... NÚMERO DE IDENTIFICACIÓN DEL SOPORTE ……………………………..………..... CONTENIDO ........................………………………………………………..…………......... FINALIDAD .........................…………......……………………………………..………......... FICHERO DEL QUE PROCEDEN LOS DATOS .................................…………………… IDENTIFICACIÓN DE LA DELEGACIÓN / ENTIDAD (ORIGEN / DESTINO) NOMBRE DELEGACIÓN / ENTIDAD .............................................................................. DESTINATARIO ………………........................................................................................ DIRECCIÓN …………………………………………………………….................................. TELEFONO DE CONTACTO ……………….................................................................... DATOS DEL RESPONSABLE DE LA ENTREGA / RECEPCIÓN (AUTORIZADO) NOMBRE Y APELLIDOS …………………………………………....................................... CARGO / PUESTO ………………………............………………………............................. PERSONA QUE AUTORIZA ………………………………..……….............................. FECHA DE ENTRADA* ……… /……………………… /…………….. FECHA DE SALIDA* ……... /……………………… /…………….. FECHA DE DEVOLUCIÓN* …….. /……………………… / …………….. FORMA Y PRECAUCIONES DE ENVÍO ...................................................................... OBSERVACIONES…………………………………………………………………………....... ........................................................................................................................................... ........................................................................................................................................... Fdo. ………………………………… * Rellenar sólo si procede SOLICITUD DE RECUPERACIÓN DE DATOS REFERENCIA Nº ………… FECHA Y HORA DE LA SOLICITUD ………………… Nº DE INCIDENCIA ...................... NOMBRE DEL SOLICITANTE DE LA RECUPERACIÓN DE DATOS ........................................................................................................................................... ........................................................................................................................................... FICHERO DEL QUE SE SOLICITA LA INFORMACIÓN ........................................................................................................................................... ....... PROPÓSITO DE LA RECUPERACIÓN ........................................................................................................................................... ........ Fdo.: ..................................................... REGISTRO DE RECUPERACIÓN DE DATOS Nombre del fichero recuperado / Datos recuperados Identificación de la Fecha y hora de la copia de recuperación seguridad Solicitante Propósito Nombre y firma del técnico Datos restaurados manualmente REGISTRO DE INCIDENCIAS DE SEGURIDAD TIPO DE INCIDENCIA (1) NÚMERO DE INCIDENCIA DESCRIPCION (2) FECHA DIA / MES / HORA AÑO PERSONA QUE REALIZA LA NOTIFICACIÓN: NOMBRE APELLIDOS DEPARTAMENTO UBICACIÓN (3) COMUNICADO A: NOMBRE APELLIDOS DEPARTAMENTO UBICACIÓN (3) DESCRIPCIÓN DE LOS EFECTOS DERIVADOS DE LA INCIDENCIA (1) TIPO DE INCIDENCIA En esta casilla se debe indicar la referencia del apartado del Documento de Seguridad que se ha visto afectado por la incidencia. (2) DESCRIPCIÓN Breve descripción de la incidencia (3) UBICACIÓN Población y nombre del centro. ANEXO N. MEDIDAS DE SEGURIDAD PARA FICHEROS DE HISTORIA CLÍNICA Debido a que los ficheros de Historia Clínica contienen datos relativos a la salud de los pacientes, y que en la mayoría de los supuestos se encuentran las Historias Clínicas en formato papel, los Centros sanitarios deberán cumplir unas determinadas medidas de seguridad para esta clase de ficheros: Cada Historia Clínica es única y tendrá un número para cada paciente de la entidad sanitaria. En la Historia Clínica se recogerá toda la información acumulada relativa al curso clínico del paciente. En cada una de las Historias Clínicas deberá incorporarse la hoja de información que se le facilita a los pacientes informándole de sus derechos sobre los datos personales contenidos en su Historia Clínica. Las Historias Clínicas estarán custodiadas en un archivo único. Sin embargo, puede preverse la existencia de un archivo pasivo, diferenciado del archivo activo, en el cual podrán ubicarse las Historias Clínicas correspondientes a pacientes sin contacto con el centro durante un determinado periodo determinado por el centro. En aquellos casos en que el archivo de Historias Clínicas pasivas se encuentre fuera de las dependencias del centro deberán garantizarse unas medidas de seguridad idénticas a las que existieran en el propio centro. Si se gestiona por una empresa externa, deberá firmarse un contrato que regule el deber de confidencialidad del depositario de las Historias Clínicas, así como también el resto de obligaciones como encargado del tratamiento. Cada centro deberá establecer un responsable de archivo de Historia Clínica, que deberá velar por el adecuado cumplimiento de los sistemas de archivo, control e información, que deberán ser adecuados a las características y dimensiones del centro. El acceso al archivo de Historia Clínica deberá encontrarse limitado al horario en que el personal de archivo pueda ejercer los controles previstos. Fuera de este horario, el acceso al archivo estará restringido y controlado. Cualquier acceso al archivo fuera del horario habitual, deberá ser anotado en un registro o formulario creado al efecto. El archivo de Historia Clínica contará con medidas de seguridad física apropiadas que permitan restringir el acceso de personas no autorizadas. En cualquier entrega interna de una Historia Clínica, debe quedar constancia de la persona que efectúa la petición, o del motivo que justifica el flujo de las Historias Clínicas por razones organizativas y de programación de actos clínicos que requieren el acceso a las mismas. Las salidas de Historias Clínicas del archivo deberán anotarse en un libro registro, con la información suficiente para permitir su seguimiento. En el mismo libro registro deberá anotarse también la fecha de devolución de la Historia Clínica Las solicitudes de Historias Clínicas de pacientes que en el momento de la solicitud no estén siguiendo un curso clínico, deberán ser debidamente justificadas. La devolución de las Historias Clínicas al archivo debe realizarse inmediatamente después de la circunstancia que motivo su petición. En ningún caso la Historia Clínica puede salir de las dependencias del centro durante el periodo en que se ha hecho una petición por motivos asistenciales, docentes o de investigación. Si se produjera una petición de Historia Clínica por personal facultativo ajeno al centro por motivos docentes o de investigación, diferentes del propio proceso asistencial, deberá recabarse previa autorización expresa del paciente, siempre que los datos de la Historia Clínica no pueda ser entregada en modo disociado. Deberán establecerse los circuitos oportunos que permitan al paciente, o su representante legal, ejercer el derecho de acceso a su propia Historia Clínica. La petición de acceso a la Historia Clínica deberá ser realizada por escrito y de manera que se acredite la identidad del solicitante. El paciente tendrá en cualquier caso acceso a la información que conste en su Historia Clínica relativa a informes de alta, informes de urgencias, informes de pruebas diagnósticas y exploraciones complementarias, analíticas y similares, salvo las limitaciones establecidas en la legislación sanitaria. En ningún caso se entregará documentación original de la Historia Clínica, facilitándose al solicitante la obtención de copias de la misma. En los supuestos en que la obtención de esta copia tenga un coste extraordinario, por el soporte de la misma, deberá ofrecerse, si es posible, alternativas al respecto. En aquellos casos en que se reciba una solicitud o requerimiento de información clínica procedente de la Administración de Justicia o Fuerzas y Cuerpos de Seguridad, solicitando la remisión de una Historia Clínica se recabará la autorización del Responsable del centro sanitario y únicamente se enviará copia de la documentación en ella contenida. La remisión de la Historia Clínica se acompañará de un escrito del Responsable del centro en el cual se manifieste el deber de confidencialidad de los datos clínicos. Las Historias Clínicas únicamente serán canceladas una vez transcurrido el plazo previsto por la normativa vigente de sanidad, indicado en la Ley General de Sanidad y la Ley de Autonomía del Paciente y derechos y obligaciones en materia de información y documentación clínica.