documento de seguridad - Govern de les Illes Balears

Anuncio
DOCUMENTO DE SEGURIDAD
Propiedades del documento
Título:
Referencia:
Autor /es:
Difusión:
Estado:
Versión:
Fecha de creación:
Documento de Seguridad Maestro
Control del documento
Última actualización:
Revisado por:
Fecha de revisión:
Aprobado por:
Fecha de aprobación:
Registro de Cambios
Versión
Fecha
Autores
Estado
DOCUMENTO DE SEGURIDAD
Página 3 de 71
Borrador
INDICE
1. INTRODUCCIÓN .........................................................................
1.1. Objeto del documento ....................................................................................... 5
1.2. Ámbito de aplicación ......................................................................................... 5
1.3. Conceptos y definiciones ................................................................................. 6
2. RECURSOS PROTEGIDOS ..................................................................
2.1. Ficheros, estructura y descripción de los sistemas de información. 10
2.2. Recursos y sistemas que acceden a la información de carácter
personal. ...................................................................................................................... 10
2.3. Locales ................................................................................................................ 11
2.4. Ficheros Temporales que contienen información de carácter
personal. ...................................................................................................................... 11
3. NIVELES DE SEGURIDAD ..................................................................
4. FUNCIONES Y OBLIGACIONES DEL RESPONSABLE DEL FICHERO .. 14
5. FUNCIONES Y OBLIGACIONES DE LOS RESPONSABLES DE
SEGURIDAD ................................................................................
5.1. Funciones y obligaciones del Responsable de Seguridad Técnico ... 15
5.2. Funciones y obligaciones del Responsable de Seguridad
Organizativo ................................................................................................................ 17
5.3. Funciones del Responsable de Área. ......................................................... 18
5.4. Administrador de seguridad organizativo ................................................. 19
5.5. Nombramientos ................................................................................................. 20
6. FUNCIONES Y OBLIGACIONES DEL PERSONAL .................................. 21
7. NORMAS Y PROCEDIMIENTOS DE SEGURIDAD DE LA CONSELLERIA
U HOSPITAL. ................................................................................
8. AUDITORÍA Y CONTROLES PERIÓDICOS DE CUMPLIMIENTO. .......... 24
Página 2 de 71
Borrador
ANEXO A. INVENTARIO DE FICHEROS ........................................................ 2
ANEXO B. INVENTARIO DE LOS SISTEMAS INFORMÁTICOS ................... 26
ANEXO C. LOCALES Y EQUIPAMIENTO ...................................................... 2
ANEXO D. PROCEDIMIENTO DE GESTIÓN DE FICHEROS TEMPORALES
28
ANEXO E. NOMBRAMIENTOS DE CARGOS Y FIGURAS CLAVE. .............. 32
ANEXO F. INVENTARIO DE USUARIOS Y PERSONAL CON ACCESO
AUTORIZADO A LOS FICHEROS PROTEGIDOS. ........................................ 33
ANEXO G. PROCEDIMIENTOS DE CONTROL DE ACCESO FÍSICO........... 37
ANEXO H. PROCEDIMIENTOS DE CONTROL DE ACCESOS LÓGICOS .... 44

Establecimiento de Contraseñas................................................................... 45

Custodia de las Contraseñas ......................................................................... 46

Reglas sintácticas de formación de las Contraseñas ................................ 46

Cambio de Contraseñas ................................................................................. 47
ANEXO I. PROCEDIMIENTO DE GESTIÓN DE SOPORTES......................... 50
ANEXO J. PROCEDIMIENTO DE COPIAS DE SEGURIDAD Y
RECUPERACIÓN ............................................................................
ANEXO K. PROCEDIMIENTO DE GESTIÓN Y REGISTRO DE INCIDENCIAS
56
ANEXO L. GUÍA PARA LA REALIZACIÓN DE AUDITORÍAS ....................... 59
ANEXO M. PLANTILLAS Y FORMULARIOS .................................................. 64
FORMULARIO DE ACCESO A LA SALA DE SERVIDORES ............................ 65
FORMULARIO DE ACCESO A LA SALA DE COPIAS DE SEGURIDAD ....... 66
INVENTARIO DE SOPORTES ................................................................................. 67
CONTROL DE ENTRADA / SALIDA DE SOPORTES ........................................ 69
REGISTRO DE INCIDENCIAS DE SEGURIDAD .................................................. 72
ANEXO N. MEDIDAS DE SEGURIDAD PARA FICHEROS DE HISTORIA
CLÍNICA....................................................................................
DOCUMENTO DE SEGURIDAD
Página 3 de 71
Borrador
DOCUMENTO DE SEGURIDAD
Página 4 de 71
Borrador
1.
Introducción
1.1. Objeto del documento
El objeto del presente documento es dotar a la Conselleria u Hospital XXXX de la
Comunidad Autónoma de las Illes Balears (en adelante, la Conselleria u Hospital), o
bien al Hospital XXXX (en adelante, el Hospital) de las medidas, tanto técnicas como
organizativas, que garanticen la seguridad (confidencialidad, integridad, disponibilidad)
de los datos de carácter personal tratados gestionados en dicha Conselleria.
Además, con el presente Documento de Seguridad, la Conselleria u Hospital cumple
con la obligación establecida en el Real Decreto 994/1999, de 11 de junio, por el que
se aprueba el Reglamento de medidas de seguridad de los ficheros automatizados
que contengan datos de carácter personal (en adelante, Reglamento de medidas de
seguridad), que obliga a los titulares de ficheros con datos de carácter personal o los
traten, a redactar un Documento de Seguridad que elabore e implante la normativa de
seguridad.
1.2. Ámbito de aplicación
Las medidas de seguridad dispuestas en el presente Documento de Seguridad son de
aplicación a todos los ficheros, centros de tratamiento, locales, equipos, sistemas,
programas y personas que intervengan en el tratamiento de datos de carácter
personal.
El Documento de Seguridad es de obligado cumplimiento para todo el personal de la
Conselleria u Hospital con acceso a datos de carácter personal o a los sistemas de
información que los tratan.
También es de obligado cumplimiento para las empresas y para el personal de éstas
que presten servicios para la Conselleria u Hospital cuando entren en contacto con
alguno de los elementos mencionados anteriormente.
DOCUMENTO DE SEGURIDAD
Página 5 de 71
Borrador
1.3. Conceptos y definiciones
A continuación pasan a detallarse los conceptos y las definiciones básicas, necesarios
para entender el presente documento.
Éstos están contemplados en la Ley Orgánica 15/1999, de 13 de diciembre, de
Protección de Datos de Carácter Personal, en Reglamento de Medidas de Seguridad o
se han elaborado en particular para este documento:
Accesos autorizados: Autorizaciones concedidas a un usuario para la utilización
de los diversos recursos.
Administrador del Sistema: Persona a cargo de mantener los Sistemas de
Información optimizados, gestionándolos de manera adecuada, con capacidad
para instalar y configurar nuevo software en los Sistemas de Información, entre
otras funciones.
Afectado o interesado: Se trata de la persona física titular de los datos que son
objeto del tratamiento.
Autenticación: Procedimiento de comprobación de la identidad de un usuario.
Cesión o comunicación de datos: Toda revelación de datos a personas distintas
del afectado.
Control de acceso: Mecanismo que permite acceder a datos o recursos en
función de la identificación ya autenticada.
Copia de respaldo: Copia de los datos de un fichero en un soporte que posibilite
su recuperación.
Datos de carácter personal: Se considera datos de carácter personal cualquier
información concerniente a personas físicas identificadas o identificables.
DOCUMENTO DE SEGURIDAD
Página 6 de 71
Borrador
Encargado del Tratamiento: Es aquella persona física o jurídica, autoridad
pública, servicio o cualquier otro organismo que, sólo o conjuntamente con otros,
trate datos personales por cuenta del Responsable del Fichero.
Fichero: Se considera fichero el conjunto organizado de datos de carácter
personal, cualquiera que fuere la forma o modalidad de creación, almacenamiento,
organización y acceso.
Ficheros alojados en la Dirección General de Tecnología y Comunicaciones
de la Conselleria u Hospital de Economía, Hacienda e Innovación (en
adelante, la DGTIC): Ficheros cuya titularidad corresponde a la Conselleria u
Hospital pero que están implementados en sistemas de la DGTIC. Dentro de este
grupo incluimos tanto los sistemas corporativos, es decir, sistemas que satisfacen
una necesidad común a todas las Consellerias (gestión de personal, de
contratación, etc...), como aquellos sistemas que satisfacen necesidades
exclusivas de una sola Conselleria u Hospital o de un número reducido de las
mismas.
Ficheros alojados en la Conselleria u Hospital: Ficheros implementados en
sistemas ubicados en la Conselleria u Hospital y gestionados por el personal de la
misma.
Ficheros comunes: Ficheros implementados en varios sistemas, de los cuales
algunos están ubicados en la Conselleria u Hospital y otros están ubicados en la
DGTIC.
Identificación: Procedimiento de reconocimiento de la identidad de un usuario.
Incidencia: Cualquier anomalía que afecte o pudiera afectar a la seguridad de los
datos.
Procedimiento de seguridad: Toda medida, mecanismo, procedimiento, regla o
dispositivo necesario y establecido por el Responsable del Fichero con el objetivo
de proteger los recursos y, en general, los datos personales contenidos en los
sistemas de información.
DOCUMENTO DE SEGURIDAD
Página 7 de 71
Borrador
Prestación de servicios: No se considera cesión de datos el acceso de un tercero
cuando dicho acceso sea necesario para la prestación de un servicio al
Responsable del Tratamiento (el
Responsable del Fichero). En este caso se
considera que hay una prestación de servicios. Debe regularse contractualmente.
Recurso: Cualquier parte componente de un Sistema de Información.
Responsable del Fichero o Tratamiento: Se trata de aquella persona física o
jurídica, de naturaleza pública o privada, u órgano administrativo, que decide sobre
la finalidad, contenido, tratamiento y uso de los datos personales. Si fuera el
Responsable del Fichero una persona jurídica o un órgano administrativo, la
responsabilidad a efectos de cualquier autorización, gestión o actuación relativa a
seguridad es competencia del Responsable de Seguridad Técnico y del
Responsable de Seguridad Organizativo y Responsables de las áreas en las que
el Responsable de Seguridad Técnico delega para cumplir con las medidas del
Documento de Seguridad.
Responsable de Seguridad Técnico: Se entiende como tal a la persona en la que
el Responsable del Fichero delega sus responsabilidades para cumplir con las
medidas técnicas establecidas en el Documento de Seguridad. El Responsable de
Seguridad Técnico coordina y controla las medidas expresadas en el documento y
realiza los controles periódicos necesarios para verificar su cumplimiento.
Responsable de Seguridad Organizativo: Persona o personas a las que la
Secretaría General Técnica designa para cumplir únicamente con las medidas
organizativas del Documento de Seguridad.
Responsable de Área: Las funciones de Responsable de Seguridad Técnico
pueden estar repartidas entre el propio Responsable de Seguridad Técnico y uno o
varios responsables que actuarán en coordinación con éste para garantizar el
cumplimiento de las medidas recogidas en este documento. Será nombrado por el
Responsable de Seguridad Técnico.
Tratamiento de datos: La Ley considera tratamiento de datos aquellas
operaciones y procedimientos técnicos de carácter automatizado o no, que
permiten la recogida, grabación, conservación, elaboración, modificación, bloqueo
DOCUMENTO DE SEGURIDAD
Página 8 de 71
Borrador
y cancelación de los datos personales, así como las cesiones de datos que
resulten de comunicaciones, consultas, interconexiones y transferencias.
Usuario: Sujeto o proceso autorizado para acceder a datos o recursos.
DOCUMENTO DE SEGURIDAD
Página 9 de 71
Borrador
2.
Recursos protegidos
La protección de los datos de carácter personal contenidos en los ficheros frente a
accesos no autorizados se deberá realizar mediante el control, a su vez, de todas las
vías por las que se pueda tener acceso a dicha información.
Los recursos protegidos de la Conselleria u Hospital a los que debe de aplicarse el
presente Documento de Seguridad son los siguientes:
2.1. Ficheros, estructura y descripción de los sistemas de información.
La relación completa y estructura de ficheros protegidos por el presente Documento de
Seguridad y los sistemas de información que los tratan se encuentran descritos en el
Anexo A “Inventario de ficheros”.
En el mismo anexo también se adjuntan las órdenes de creación de los ficheros y las
notificaciones de inscripción de los mismos en el Registro General de Protección de
Datos de la APD.
El nivel de seguridad de cada fichero se ha establecido atendiendo a las condiciones
descritas en el articulo 4 del Reglamento de Medidas de Seguridad, siendo por tanto
aplicable a cada fichero todas las medidas de seguridad del nivel aplicable.
Aunque las medidas de seguridad que establece el Reglamento están dirigidas a los
ficheros automatizados, en el caso de ficheros en soporte papel que contengan datos
especialmente protegidos relativos a la salud, como es el caso de las Historias
Clínicas, los Centros Sanitarios deberán implantar las medidas de seguridad
establecidas en el Anexo N “Medidas de seguridad para el Fichero de Historia Clínica”
2.2. Recursos y sistemas que acceden a la información de carácter personal.
Los sistemas informáticos de la Conselleria u Hospital de tipo Hardware y Software
que se relacionan con los ficheros de carácter personal referenciados en este
documento se encuentran inventariados y detallados en el Anexo B “Inventario de los
sistemas informáticos” de este documento.
DOCUMENTO DE SEGURIDAD
Página 10 de 71
Borrador
2.3. Locales
Los locales donde se ubiquen los sistemas de información que contienen los ficheros
con datos de carácter personal deben de ser objeto de especial protección de forma
que garanticen la disponibilidad, confidencialidad e integridad de los datos protegidos.
Dichos locales deberán contar con las medidas mínimas de seguridad que eviten
accesos no autorizados y el acceso a los locales donde están albergados los ficheros
estará restringido exclusivamente al personal autorizado.
Los detalles referentes a los diferentes centros de actividad correspondientes a su
ubicación, acondicionamiento y medidas de seguridad física se encuentran en el
Anexo C “Locales y equipamientos”.
2.4. Ficheros Temporales que contienen información de carácter personal.
La Ley Orgánica de Protección de Datos no prohíbe la creación y el tratamiento de
ficheros temporales pero sí exige la implantación de medidas de seguridad
equivalentes a las aplicables al fichero original.
Un fichero de carácter personal se clasifica como temporal cuando se ajusta a una de
estas tres situaciones o circunstancias:
a. Son listados o copias impresas de otra fuente de datos automatizada o no,
utilizados durante un período de tiempo limitado y con un objetivo concreto y
específico.
b. Son nuevos ficheros, automatizados o no, extraídos de datos existentes en otra
fuente de datos declarada y registrada.
c. Es la agregación de información procedente de dos o más fuentes de datos,
generada para apoyar, facilitar, simplificar o reforzar la finalidad para la que fueron
creados los ficheros de datos originales.
Estos archivos, ya sean electrónicos o en papel, requieren someterse a las mismas
medidas de seguridad equivalentes a las impuestas para los ficheros con datos de
DOCUMENTO DE SEGURIDAD
Página 11 de 71
Borrador
carácter personal. Para cumplir con este precepto es necesario adoptar precauciones
adicionales en su empleo y destrucción.
Existe un Procedimiento que regula las condiciones generales de creación y uso de los
ficheros temporales. Este Procedimiento se encuentra detallado en el Anexo D
“Procedimiento de gestión de ficheros temporales”.
DOCUMENTO DE SEGURIDAD
Página 12 de 71
Borrador
3.
Niveles de seguridad
El Reglamento de medidas de seguridad establece unos niveles de protección
atendiendo a la naturaleza de los datos. Estos niveles se dividen en básico, medio y
alto, teniéndose que implantar diferentes tipos de medidas para cada nivel.
De acuerdo con lo establecido en el Reglamento de medidas de seguridad, la
clasificación de los ficheros se hará de acuerdo a las siguientes pautas:
a. Salvo que otra cosa se establezca, todos los ficheros con datos que hagan
referencia a personas identificadas o identificables serán calificados como de
nivel básico. Se encuadran en este tipo los ficheros que tengan entre sus
campos datos personales tales como el nombre, apellido, dirección postal,
ciudad de residencia, teléfono, datos bancarios, documento nacional de
identificación o similar.
b. Serán considerados ficheros de nivel medio aquellos que contengan datos
relativos a la comisión de infracciones administrativas o penales, datos
relativos a la Hacienda Pública, datos sobre servicios financieros como, por
ejemplo, fondos de pensiones, préstamos o inversiones, datos sobre solvencia
patrimonial y crédito así como todos aquellos que sean suficientes para permitir
obtener una evaluación de la personalidad del individuo
c. Por último, serán considerados ficheros de nivel alto aquellos que contengan
datos sobre la ideología, religión o creencias, datos sobre el origen racial, datos
sobre la salud, datos acerca de la vida sexual y aquellos datos recabados para
fines policiales sin consentimiento de los afectados.
Se pretende que la Conselleria u Hospital tenga un único documento, sin necesidad de
establecer uno para cada fichero o nivel. Es por ello que, cuando por la naturaleza de
los datos, existan medidas dirigidas sólo a un determinado fichero o ficheros, se
especificará en el apartado correspondiente que esas medidas sólo son de obligado
cumplimiento para el tratamiento de esos ficheros. Todo ello sin perjuicio de que se
implante un nivel superior o el máximo de seguridad a todos los ficheros.
DOCUMENTO DE SEGURIDAD
Página 13 de 71
Borrador
En el Anexo A “Inventario de ficheros” se establece el nivel de seguridad que le
corresponde a cada fichero.
4.
Funciones y obligaciones del Responsable del Fichero
Las funciones y obligaciones del Responsable del Fichero son las siguientes:
Garantizar el respeto a los derechos de acceso, rectificación y cancelación de los
ciudadanos sobre los datos de carácter personal.
La vigilancia del origen, uso y cesión de datos.
La atribución de responsabilidades sobre la ejecución material de las diferentes
operaciones y procedimientos en que consista el tratamiento de datos referente a
los ficheros de su responsabilidad.
Verificación del cumplimiento de las medidas de seguridad del fichero, de acuerdo
con lo establecido por el Reglamento de medidas de Seguridad.
Informar a la Agencia de Protección de Datos (en adelante APD) de la aplicación
de las excepciones de régimen General de protección previsto en la Ley en el
ejercicio de sus derechos por los afectados.
Comunicar periódicamente al Registro General de Protección de Datos de la APD
las variaciones experimentadas en los ficheros.
Controlar el uso de los ficheros de datos personales, de modo que se utilicen única
y exclusivamente para la finalidad prevista en la declaración realizada a la APD. Es
fundamental que el responsable establezca controles periódicos, de modo que si la
finalidad varía en algún momento, proceda a la inmediata modificación de la
declaración registrada en la APD.
Eliminar los datos obsoletos que ya no son utilizados.
Adoptar las medidas necesarias para que el personal que tenga acceso a los datos
personales conozca las normas de seguridad, además de las consecuencias en
que podría incurrir en caso de incumplirlas.
DOCUMENTO DE SEGURIDAD
Página 14 de 71
Borrador
5.
Funciones y obligaciones de los Responsables de Seguridad
Su función principal es coordinar y controlar las medidas expresadas en el presente
Documento de Seguridad y realizar los controles periódicos necesarios para verificar
su cumplimiento.
En este punto debemos distinguir entre las funciones y obligaciones del Responsable
de Seguridad Técnico, las del Responsable de Seguridad Organizativo y las del
Responsable de Área:
5.1. Funciones y obligaciones del Responsable de Seguridad Técnico
El Responsable de Seguridad Técnico tiene las siguientes funciones y obligaciones:
Verificación del cumplimiento de las medidas de seguridad de los ficheros, de
acuerdo con lo establecido en el Reglamento de Medidas de Seguridad y la
emisión de las certificaciones de seguridad que garanticen el cumplimiento de la
Ley en lo referente a medidas de control.
Eliminar los datos obsoletos que ya no son utilizados.
Adoptar las medidas necesarias para que el personal que tenga acceso a los datos
personales conozca las normas de seguridad, además de las consecuencias en
que podría incurrir en caso de incumplirlas.
Coordinar y controlar las medidas de seguridad que se han de tomar en lo que
respecta al tratamiento de los ficheros que contengan datos de carácter personal.
Verificar el cumplimiento de las medidas adoptadas para divulgar el Documento de
Seguridad.
Realizar un completo seguimiento de la correcta aplicación de los procedimientos y
el cumplimiento de las normas definidas en el Documento de Seguridad, reflejando
cualquier anomalía en el Registro de Incidencias.
DOCUMENTO DE SEGURIDAD
Página 15 de 71
Borrador
Controlar que las medidas de seguridad adoptadas en el tratamiento del fichero
fuera del local habitual cumplan con la normativa correspondiente al nivel de
clasificación de la información tratada.
Reflejar y/o revisar la actualización de cualquier cambio que se produzca en la
estructura o en el sistema de información de los ficheros que contengan datos de
carácter personal.
Establecer una relación actualizada de usuarios que tengan acceso autorizado al
sistema de información, así como el tipo de acceso permitido a cada uno de ellos
mediante el Mantenimiento del Inventario de Usuarios.
Elaborar y mantener actualizado el Inventario de Recursos Protegidos. Es decir,
equipos, soportes de almacenamiento y cualquier otro dispositivo que contenga
datos de carácter personal.
Encargarse de elaborar y mantener actualizado el Inventario de Ficheros, en el que
se recoge una relación de todos los ficheros junto con la estructura que define a
cada uno de ellos.
Establecer los mecanismos necesarios para evitar que los usuarios puedan
acceder a datos o recursos con derechos distintos de los autorizados, incluyendo
dichos mecanismos en los posibles traslados de la información.
Establecer los procedimientos de identificación y autenticación para los distintos
tipos de acceso.
Encargarse del mantenimiento del nivel de seguridad de los sistemas de
información coordinando e implantando las acciones y controles necesarios.
Realizar verificaciones encaminadas a detectar anomalías y debilidades en el
seguimiento de las medidas adoptadas para el mantenimiento del nivel de
seguridad de los sistemas de información de la Conselleria u Hospital (Auditorías).
Autorizar por escrito la realización de las operaciones necesarias para la
recuperación de datos en caso de pérdida total o parcial de los mismos.
DOCUMENTO DE SEGURIDAD
Página 16 de 71
Borrador
Supervisar la corrección de las incidencias acontecidas en relación a la protección
de los datos de carácter personal.
Definir las acciones correctoras destinadas a corregir las incidencias acontecidas.
5.2.
Funciones y obligaciones del Responsable de Seguridad Organizativo
El Responsable de Seguridad Organizativo tendrá las siguientes funciones y
obligaciones:
Garantizar el respeto a los derechos de acceso, rectificación y cancelación de los
ciudadanos sobre los datos de carácter personal.
La vigilancia del origen, uso y cesión de datos.
Instar al órgano competente para que emita las órdenes de modificación de
ficheros y comunicar al Registro General de Protección de Datos de la APD las
variaciones experimentadas en los ficheros.
Controlar el uso de los ficheros con datos personales, de modo que se utilicen
única y exclusivamente para la finalidad prevista en la declaración realizada a la
APD. Es fundamental que establezca controles periódicos, de modo que si la
finalidad varía en algún momento, proceda a la inmediata modificación de la
declaración registrada en la APD.
Adoptar las medidas necesarias para que el personal que tenga acceso a los datos
personales conozca las normas de seguridad, además de las consecuencias en
que podría incurrir en caso de incumplimiento.
Verificar el cumplimiento de las medidas adoptadas para divulgar el Documento de
Seguridad.
Realizar un completo seguimiento de la correcta aplicación de los procedimientos y
el cumplimiento de las normas definidas en el Documento de Seguridad, reflejando
cualquier anomalía en el Registro de Incidencias.
DOCUMENTO DE SEGURIDAD
Página 17 de 71
Borrador
Reflejar y/o revisar la actualización de cualquier cambio que se produzca en la
estructura o en el sistema de información de los ficheros que contengan datos de
carácter personal.
Instar al órgano competente para que emita las órdenes de creación de nuevos
ficheros y la posterior notificación al Registro General de Protección de Datos de la
APD.
Controlar las entradas y/o salidas de los distintos soportes que contengan
información de carácter personal y que se encuentran catalogados dentro del
Inventario de Soportes.
Comprobar el estado y contenido de los soportes en casos de entrada, salida,
borrado o destrucción de soportes.
Autorizar por escrito la realización de las operaciones necesarias para la
recuperación de datos en caso de pérdida total o parcial de los mismos.
Validar y aprobar la funcionalidad de las aplicaciones y herramientas informáticas
utilizadas para el tratamiento automatizado de los datos.
5.3. Funciones del Responsable de Área.
El
Responsable
de
Área
tendrá
las
siguientes
funciones
y
obligaciones
(específicamente sobre su área):
Asumir las funciones y obligaciones del Responsable de Seguridad Técnico en el
caso de incompetencia del mismo o por imposibilidad material de que éste pueda
desempeñar adecuadamente su cargo.
Asumir por delegación del Responsable de Seguridad Técnico todas aquellas
funciones y obligaciones que sean propias de aquél y que por razón de la materia
puedan ser objeto de delegación.
Colaborar con el Responsable de Seguridad Técnico en la coordinación y control
de las medidas definidas en el presente Documento de Seguridad y cualesquiera
DOCUMENTO DE SEGURIDAD
Página 18 de 71
Borrador
otras necesarias para lograr una mayor seguridad y confidencialidad en la
protección de los sistemas informáticos, datos personales y recursos.
Informar el Responsable de Seguridad Técnico de cualquier incidencia que pueda
afectar a la seguridad de los sistemas de seguridad, datos personales y recursos,
o cualquier otra circunstancia que se considere que puede redundar en una mayor
seguridad de los elementos antes mencionados.
Colaborar en la supervisión y seguridad de los Sistemas de Información, y en su
correcto funcionamiento.
No divulgar de ningún modo datos personales o cualquier otro tipo de información
que sea considerada como confidencial o cuya divulgación implique o pueda
implicar lesión de derechos del propio centro. Únicamente podrá proceder a una
divulgación de las previstas en este punto cuando tenga autorización para ello del
Responsable del Fichero, cuando obedezca a un mandato judicial o por
necesidades legítimas o legalmente previstas.
5.4. Administrador de seguridad organizativo
El Administrador de seguridad organizativo tendrá las siguientes funciones y
obligaciones:
Asumir bajo supervisión del Responsable de Seguridad Organizativo todas
aquellas funciones y obligaciones relativas a la gestión de usuarios y la gestión de
roles y permisos (autorización y revocación de roles).
Informar el Responsable de Seguridad Organizativo de cualquier incidencia que
pueda afectar a la seguridad de los sistemas de seguridad, datos personales y
recursos, o cualquier otra circunstancia que se considere que puede redundar en
una mayor seguridad de los sistemas informáticos, datos personales y recursos.
No divulgar de ningún modo datos personales o cualquier otro tipo de información
que sea considerada como confidencial o cuya divulgación implique o pueda
implicar lesión de derechos del propio centro. Únicamente podrá proceder a una
divulgación de las previstas en este punto cuando tenga autorización para ello del
Responsable del Fichero, cuando obedezca a un mandato judicial o por
necesidades legítimas o legalmente previstas.
DOCUMENTO DE SEGURIDAD
Página 19 de 71
Borrador
5.5. Nombramientos
En el Anexo E “Nombramientos de cargos y figuras clave” se adjunta una relación con
los nombres de los Responsables de Seguridad Técnicos, de los Responsables de
Seguridad Organizativos y de los Responsables de Área.
DOCUMENTO DE SEGURIDAD
Página 20 de 71
Borrador
6.
Funciones y obligaciones del personal
Un elemento clave para garantizar la seguridad de los datos es el control por parte de
la Conselleria u Hospital de las funciones y obligaciones que el personal tiene con
respecto al tratamiento de datos de carácter personal.
El personal afectado por este Documento de Seguridad se clasifica en dos categorías:
a. Administradores del sistema, encargados de administrar o mantener el entorno
operativo de los ficheros.
b. Usuarios de los ficheros, o personal que usualmente utiliza el sistema
informático de acceso a los ficheros.
Tanto el personal como sus funciones con respecto a los datos están explícitamente
relacionados en el Anexo F “Inventario de usuarios y personal con acceso autorizado a
los ficheros protegidos”.
Este documento es de obligado cumplimiento para todos ellos. Además, los
administradores del sistema deberán atenerse a aquellas normas, más extensas y
estrictas, que se referencian específicamente en este documento, y que atañen, entre
otras, al tratamiento de las copias de seguridad, normas para el alta de usuarios y
contraseñas, etc...
DOCUMENTO DE SEGURIDAD
Página 21 de 71
Borrador
7.
Normas y Procedimientos de Seguridad de la Conselleria u Hospital.
Una vez identificados tanto los recursos protegidos como el personal implicado en este
Documento de Seguridad, es necesario establecer las medidas de protección
encaminadas a garantizar la seguridad de los datos de carácter personal.
Como ya se ha mencionado, estas medidas, que se traducen en unos Procedimientos
de Seguridad, son de obligado conocimiento y cumplimiento para todo el personal,
tanto de la Conselleria u Hospital como de terceras empresas, que lleve a cabo
cualquier tipo de tratamiento sobre datos de carácter personal.
Se ha optado por describir de manera genérica el tipo de Procedimientos de Seguridad
para que el personal y los usuarios puedan reconocer fácilmente la medida pertinente
en cada caso y aplicar la respuesta debida según el tipo de fichero implicado. Para
optimizar los procesos de consulta y actualización de este documento, todos los
procedimientos de seguridad tratados en este documento aparecen organizados en los
anexos existentes al final del mismo.
Los procedimientos de Seguridad consisten tanto en controles de acceso, como en
procedimientos o estándares técnicos de protección de los datos personales y de los
Sistemas de Información.
Los procedimientos de Seguridad son de carácter físico, lógico y organizativo.
Mediante los primeros, no sólo se han establecido controles de acceso físico a las
instalaciones, sino que, asimismo, sólo aquellos usuarios y personal autorizados a ello
podrán tener acceso y percibir los datos personales pertinentes. Por su parte,
mediante los controles de tipo lógico, complementarios de los anteriores, y en
ocasiones aún más fundamentales para el fin de protección y garantía de los datos
personales, se pretende reforzar los controles físicos y evitar que terceros no
autorizados puedan acceder a los datos personales. Los procedimientos organizativos
contemplan todo un conjunto buenas prácticas que permiten garantizar la aplicación
de la normativa de seguridad en todos los ámbitos de la empresa.
Los procedimientos de Seguridad establecidos por el Responsable del Fichero son los
siguientes:
DOCUMENTO DE SEGURIDAD
Página 22 de 71
Borrador

Procedimientos de Seguridad de accesos físicos, referenciados y detallados en el
Anexo G “Procedimientos de control de acceso físico”.
-
Procedimiento de Control de acceso físico al edificio de ubicación de los
ficheros.
-
Procedimiento de Control de acceso físico a los archivos.
-
Procedimiento de Control de acceso físico a las Salas de Servidores.
-
Procedimiento de Control de acceso físico a las Salas de almacenamientos de
Copias de seguridad.

Procedimientos de Seguridad de accesos lógicos, referenciados y detallados en el
Anexo H “Procedimientos de control de accesos lógicos”:

-
Procedimiento de Gestión de claves o contraseñas de acceso.
-
Procedimiento de Gestión de usuarios (altas, bajas y modificaciones).
-
Procedimiento de Gestión de los Registros de acceso.
-
Procedimiento de Control de acceso a los sistemas.
Procedimientos de Seguridad relativos a las copias de seguridad y a sus soportes:
-
Procedimiento de Gestión de Soportes (Anexo I “Procedimientos de gestión de
soporte”).
-
Procedimiento de Gestión de Copias de seguridad y recuperación (Anexo J
“Procedimiento de copias de seguridad y recuperación”).

Otros
importantes
Procedimientos
de
Seguridad
reglamentados
en
este
documento:
-
Procedimiento de Gestión y Registro de incidencias (Anexo K “Procedimiento
de gestión y registro de incidencias”).
-
Procedimiento
de
Tratamiento
de
Ficheros
Temporales
(Anexo
“Procedimiento de gestión de ficheros temporales”).
DOCUMENTO DE SEGURIDAD
Página 23 de 71
Borrador
D
8.
Auditoría y controles periódicos de cumplimiento.
Por este término, el presente Documento de Seguridad se refiere a las Auditorías
internas o externas de los procedimientos e instrucciones vigentes en materia de
seguridad de datos que, de acuerdo al Reglamento de Medidas de Seguridad, los
sistemas de información e instalaciones de tratamiento de datos deben someterse al
menos cada dos años cuando almacenen y procesen ficheros clasificados como de
nivel medio.
El resultado de la auditoria quedará recogido en un informe donde se especificarán las
revisiones realizadas, las deficiencias detectadas y las acciones correctores
recomendadas para subsanar dichas deficiencias. Este informe estará en posesión del
Responsable de Seguridad Técnico de la Conselleria u Hospital que quedará
encargado de elevar a los Responsables de los Ficheros las conclusiones alcanzadas
y de llevar a cabo e implementar las medidas correctoras que sean necesarias.
Los informes de auditorías serán anexados al presente Documento de Seguridad
quedando a disposición de la Agencia de Protección de Datos si así lo solicitara
durante una Inspección.
Para el caso de auditorías internas en el Anexo L “Guía para la realización de
auditorias” se propone una guía a seguir para los auditores.
DOCUMENTO DE SEGURIDAD
Página 24 de 71
Borrador
ANEXO A. INVENTARIO DE FICHEROS
Este apartado deberá contener una relación de los ficheros de carácter personal
registrados en el Registro General de Protección de Datos de la APD. En dicha
relación se especificará, por lo menos, la estructura de los mismos, los sistemas de
información que los traten y el nivel de seguridad aplicable.
Para facilitar la labor se recomienda vincular este anexo al Inventario de Ficheros de la
Conselleria u Hospital elaborado por el personal de DIANET y que deberá mantenerse
actualizado en todo momento.
Una vez creados los ficheros, también deberá incluirse copia o referencia a la orden u
órdenes de creación de los mismos y copias de las correspondientes inscripciones en
el Registro General de Protección de Datos.
Si se produjeran cambios sobre los ficheros deberá también incluirse copia de las
órdenes de modificación y de la declaración ante la APD.
Las supresiones de ficheros también deben incluirse en este apartado.
DOCUMENTO DE SEGURIDAD
Página 25 de 71
Borrador
ANEXO B. INVENTARIO DE LOS SISTEMAS INFORMÁTICOS
Este anexo contendrá un inventario detallado de los sistemas informáticos de la
Conselleria u Hospital de tipo Hardware y Software que se relacionan con los ficheros
de carácter personal referenciados en este documento.
Con carácter orientativo, se aportan unas tablas con los datos a incluir por parte de la
Conselleria u Hospital.

En la siguiente tabla se muestra el Hardware empleado por la Conselleria u
Hospital en el tratamiento de los ficheros de carácter personal, indicando el tipo, la
descripción, características técnicas y ubicación de cada uno de ellos.
TIPO

DESCRIPCIÓN
CARACTERÍSTICAS
UBICACIÓN
Software utilizado para el tratamiento de datos protegidos:
NOMBRE
LICENCIAS
DESCRIPCIÓN
DOCUMENTO DE SEGURIDAD
Página 26 de 71
Borrador
ANEXO C. LOCALES Y EQUIPAMIENTO
Para cumplir con la Política de Seguridad de la Conselleria u Hospital, se han
establecido las siguientes medidas de seguridad para impedir el acceso no autorizado
a sus locales.
SEDE
SISTEMAS DE CONTROL
DE ACCESOS
EQUIPAMIENTO
EDIFICIO:
EDIFICIO:
PRINCIPAL
Incluir la
dirección física
de las
dependencias.
SISTEMAS DE
DETECCIÓN
Especificar los sistemas de
control de acceso a las
instalaciones.
CUARTO DE SERVIDORES:
Especificar los sistemas de
control de acceso al cuarto de
servidores.
Especificar los sistemas de
detección de incendios de
las instalaciones.
CUARTO DE
SERVIDORES:
Incluir el
equipamiento de
seguridad del que
conste la
instalación.
Especificar los sistemas de
detección de incendios del
cuarto de servidores.
DELEGACIONES
Incluir tantas
líneas como
delegaciones o
dependencias
diferentes a la
principal
existieran.
DOCUMENTO DE SEGURIDAD
Página 27 de 71
Borrador
ANEXO D. PROCEDIMIENTO DE GESTIÓN DE FICHEROS TEMPORALES
La Ley Orgánica de Protección de Datos no prohíbe la creación y el tratamiento de
ficheros temporales pero si exige la implantación de medidas de seguridad
equivalentes a las aplicables al fichero original.
Un fichero de carácter personal se clasifica como temporal cuando se ajusta a uno de
estas tres situaciones o circunstancias:
 Son listados o copias impresas de otra fuente de datos automatizada o no,
utilizados durante un período de tiempo limitado y con un objetivo concreto y
específico.
 Son nuevos ficheros, automatizados o no, extraídos de datos existentes en otra
fuente de datos declarada y registrada.
 Es la agregación de información procedente de dos o más fuentes de datos,
generada para apoyar, facilitar, simplificar o reforzar la finalidad para la que fueron
creados los ficheros de datos originales.
Estos archivos, ya sean electrónicos o en papel, requieren someterse a las mismas
medidas de seguridad equivalentes a las impuestas para los ficheros con datos de
carácter personal. Para cumplir con este precepto es necesario adoptar precauciones
adicionales en su empleo y destrucción.
Es importante identificar claramente este tipo de ficheros (impresiones temporales,
archivos electrónicos auxiliares, listados temporales,...) dado que su vigencia y
existencia debe quedar limitada temporalmente mientras sean necesarios para la
actividad para la que fueron creados. Su almacenamiento y custodia indefinida no es
procedente y deben ser destruidos, tal y como establece el artículo 7.1 del Reglamento
de Medidas de Seguridad “Todo fichero temporal será borrado una vez que haya
dejado de ser necesario para los fines que motivaron su creación”.
DOCUMENTO DE SEGURIDAD
Página 28 de 71
Borrador
a. Obligaciones de los Responsables de Seguridad.
En relación a los ficheros de carácter temporal, el Responsable de Seguridad Técnico
y el Responsable de Seguridad Organizativo, contraen las siguientes obligaciones:

Concienciar a los usuarios de la necesidad de mantener controlados e
identificados los ficheros existentes y que han de corresponderse en todo
momento con la relación de ficheros declarados a la Agencia de Protección de
Datos.

Detectar el almacenamiento indefinido de ficheros temporales y actuar según el
caso, bien eliminando el carácter de temporalidad del fichero o bien encargándose
de la eliminación física del fichero en cuestión.

Revisar y actualizar periódicamente el Registro de creación y destrucción de
ficheros temporales.

Asegurar que las medidas de seguridad que se aplican sobre los Ficheros
Temporales se ajustan a las medidas de seguridad, impuestas para los ficheros de
datos de carácter personal declarados y registrados en la Agencia de Protección
de Datos, adecuadas al nivel de seguridad del fichero (alto / bajo / medio).

Solicitar el Responsable del Fichero la dotación adecuada de recursos que permita
a los usuarios destruir físicamente los Ficheros Temporales una vez ya han sido
utilizados.

Autorizará el acceso de personas distintas a su propietario a los ficheros
temporales.
b. Obligaciones de los usuarios.
Para los usuarios, la creación de copias temporales con el objetivo de facilitar la labor
del desempeño de cada empleado es válido y admisible, siempre y cuando se
observen las normas y procedimientos descritos a continuación:

Un fichero de carácter temporal solo puede generarse con una finalidad muy
precisa y concreta. Cuando un usuario necesite crear un fichero temporal
DOCUMENTO DE SEGURIDAD
Página 29 de 71
Borrador
informará al Responsable de Seguridad Técnico o Responsable de Área
pertinente, con el objeto de que este le de alta en el Registro de Ficheros
Temporales. A tal fin, el usuario le proporcionará al Responsable de Seguridad
Técnico la información siguiente sobre el Fichero Temporal: Nombre del usuario,
Nombre del fichero, Finalidad de uso, Fichero o ficheros registrados a los que
equivale, tiempo estimado de vida, soporte físico en el que va a residir el fichero.

Una vez creado el fichero temporal, el usuario se responsabilizará totalmente de su
custodia y uso, siendo considerando en ese momento y hasta la destrucción del
fichero como su propietario.

Mientras exista el Fichero Temporal, el propietario garantizará la aplicación sobre
el fichero de las medidas adecuadas a su nivel de seguridad.

El Fichero Temporal deberá ser destruido una vez ha cumplido la función para la
que fue creado. La destrucción deberá garantizar una imposibilidad razonable de
recuperación del fichero. Se informará de esta destrucción al Responsable de
Seguridad para que de la baja al fichero en el Registro de Ficheros Temporales.

Queda terminantemente prohibida la copia de los Ficheros Temporales.

Queda terminantemente prohibido el acceso, de personas distintas a su
propietario, a un Fichero Temporal, salvo autorización expresa del Responsable de
Seguridad.

Inspeccionará periódicamente los sistemas de información a los que tiene acceso
con objeto de detectar copias duplicadas de un mismo documento, versiones
similares de un mismo archivo, ficheros que han dejado de cumplir su finalidad (y
para los que la Ley prescribe su cancelación) y qué documentos son versiones
temporales de ficheros legítimos y que como tales, deben estar reglados por las
normas de tratamiento estipuladas para ellos.
c. El Registro de Ficheros Temporales.
Existirá para cada Conselleria un Registro de Ficheros Temporales, donde se llevará
un control de los ficheros temporales existentes. La estructura del fichero puede ser la
siguiente:
DOCUMENTO DE SEGURIDAD
Página 30 de 71
Borrador
Nombre Usuario Fichero Origen Finalidad del Fichero Fecha alta Fecha baja Desc. Soporte
DOCUMENTO DE SEGURIDAD
Página 31 de 71
Borrador
ANEXO E. NOMBRAMIENTOS DE CARGOS Y FIGURAS CLAVE.
En este anexo, figuran los nombramientos del Responsable de Seguridad Técnico,
Responsable de Seguridad Organizativo y de todos los Responsables de Áreas
involucrados en la tarea de coordinar la implantación de los procedimientos y normas
de seguridad consignados en este documento.
La documentación que acredita los nombramientos debe contener la aceptación
expresa por parte del afectado de sus responsabilidades así como la relación de estas.
Adjuntar en este documento las hojas de nombramiento de los responsables
asignados. Dichos nombramientos deben hacerse de acuerdo a la normativa que rige
la Función Pública.
DOCUMENTO DE SEGURIDAD
Página 32 de 71
Borrador
ANEXO F. INVENTARIO DE USUARIOS Y PERSONAL CON ACCESO
AUTORIZADO A LOS FICHEROS PROTEGIDOS.
Este anexo debe contener una relación de todo el personal con acceso a datos de
carácter personal, ya sean administradores del sistema o usuarios del mismo,
detallando los ficheros a los que pueden acceder y las acciones que puede realizar
sobre los mismos.
Independientemente de las acciones propias que cada usuario pueda realizar sobre
los ficheros afectados, se establecen unas funciones y obligaciones de obligado
cumplimiento para todo el personal de la Conselleria u Hospital. Podemos dividirlas en
dos apartados, las comunes a todo el personal de la Conselleria u Hospital y las
específicas para los administradores y el personal informático.
Deberá desarrollarse por parte de cada Conselleria u Hospital un procedimiento de
divulgación y comunicación al personal de sus Funciones y Obligaciones.
OBLIGACIONES COMUNES A TODO EL PERSONAL
a. Puestos de trabajo
Los puestos de trabajo estarán bajo la responsabilidad de algún usuario autorizado
que garantizará que la información que muestran no pueda ser visible por personas no
autorizadas.
Esto implica que tanto las pantallas como las impresoras u otro tipo de dispositivos
conectados al puesto de trabajo deberán estar físicamente ubicados en lugares que
garanticen esa confidencialidad.
Cuando un usuario abandona su puesto de trabajo, bien temporalmente o bien al
finalizar su jornada laboral, deberá dejarlo en un estado que impida la visualización de
los datos protegidos. Esto podrá realizarse a través de un protector de pantalla que
impida la visualización de los datos. La reanudación del trabajo implicará la
desactivación de la pantalla protectora con la introducción de la contraseña
correspondiente.
DOCUMENTO DE SEGURIDAD
Página 33 de 71
Borrador
En el caso de las impresoras deberá asegurarse de que no quedan documentos
impresos en la bandeja de salida que contengan datos protegidos. Si las impresoras
son compartidas con otros usuarios no autorizados para acceder a los datos de los
ficheros, los responsables de cada puesto deberán retirar los documentos conforme
vayan siendo impresos.
Los puestos de trabajo desde los que se tiene acceso al fichero tendrán una
configuración fija en sus aplicaciones, sistemas operativos que solo podrá ser
modificada bajo al autorización del Responsable de Seguridad Técnico.
b. Salvaguarda y protección de las contraseñas personales
Cada usuario será responsable de la confidencialidad de su contraseña y, en caso de
que la misma sea conocida fortuita o fraudulentamente por personas no autorizadas,
deberá registrarlo como incidencia y proceder a su cambio.
c. Gestión de incidencias
Cualquier usuario que tenga conocimiento de una incidencia es responsable de la
comunicación de la misma al Registro de incidencias.
El conocimiento y la no notificación de una incidencia por parte de un usuario será
considerado como una falta contra la seguridad de los ficheros por parte de ese
usuario.
OBLIGACIONES DE LOS ADMINISTRADORES Y PERSONAL INFORMÁTICO
a. Entorno de sistema operativo y de Comunicaciones
Impedir que ninguna herramienta o programa de utilidad que permita el acceso a los
ficheros sea accesible a ningún usuario o administrador no autorizado.
En la norma anterior se incluye cualquier medio de acceso en bruto, es decir no
elaborado o editado, a los datos de los ficheros, como los llamados "queries", editores
universales, analizadores de ficheros, etc., que deberán estar bajo el control de los
administradores autorizados.
DOCUMENTO DE SEGURIDAD
Página 34 de 71
Borrador
Si las aplicaciones o sistemas de acceso a los ficheros utilizasen usualmente ficheros
temporales, ficheros de "logging", o cualquier otro medio en el que pudiesen ser
grabados copias de los datos protegidos, el administrador deberá asegurarse de que
esos datos no son accesibles posteriormente por personal no autorizado.
Si los sistemas en los que están ubicados los ficheros están integrados en una red de
comunicaciones de forma que desde otros ordenadores conectados a la misma sea
posible el acceso a los ficheros, el administrador responsable del sistema deberá
asegurarse de que este acceso no se permite a personas no autorizadas.
b. Sistema Informático o aplicaciones de acceso a los ficheros
Si las aplicaciones informáticas que permiten el acceso a los ficheros no cuentan con
un control de acceso, deberá ser el sistema operativo, donde se ejecuta esa
aplicación, el que impida el acceso no autorizado, mediante el control de los citados
códigos de usuario y contraseñas.
c. Salvaguarda y protección de las contraseñas personales
Las contraseñas se asignarán y se cambiarán de la forma y con la periodicidad que se
determina en el Anexo H “Procedimientos de control de accesos lógicos”. Este
mecanismo de asignación y distribución de las contraseñas deberá garantizar la
confidencialidad de las mismas, y será responsabilidad del administrador del sistema.
El archivo donde se almacenen las contraseñas deberá estar protegido y bajo la
responsabilidad del administrador del sistema.
d. Procedimientos de respaldo y recuperación
Existirá una persona, bien sea el administrador o bien otro usuario expresamente
designado, que será responsable de obtener periódicamente una copia de seguridad
del fichero, a efectos de respaldo y posible recuperación en caso de fallo.
Las copias deberán realizarse siguiendo el procedimiento especificado en el Anexo J
“Procedimiento de copias de seguridad y recuperación”.
DOCUMENTO DE SEGURIDAD
Página 35 de 71
Borrador
En caso de fallo del sistema con pérdida total o parcial de los datos de los ficheros,
para la recuperación de los datos se seguirá el procedimiento establecido en el Anexo
J “Procedimiento de copias de seguridad y recuperación”.
DOCUMENTO DE SEGURIDAD
Página 36 de 71
Borrador
ANEXO G. PROCEDIMIENTOS DE CONTROL DE ACCESO FÍSICO
Los locales y estancias donde se ubiquen los sistemas que contienen los ficheros de
carácter personal, automatizados o no, deben ser objeto de especial protección, en
orden a garantizar la integridad, confidencialidad y disponibilidad de los datos,
especialmente en el caso en que el fichero este ubicado en un recinto al que acceda
personal, tanto interno como externo, no involucrado en el tratamiento del mismo.
A continuación, se describen los Procedimientos de Seguridad de carácter físico
implementados en los sistemas de información pertenecientes a la Conselleria u
Hospital.
Independientemente de lo descrito en el Anexo C, se indican exhaustivamente todos
los sistemas de control de acceso físico a los locales y estancias donde se ubiquen los
ficheros que contienen datos de carácter personal.
En los casos en los que las medidas adoptadas en la actualidad en la Conselleria u
Hospital no se correspondan con las recomendaciones de seguridad descritas en los
apartados siguientes y no garanticen la integridad, confidencialidad y disponibilidad de
los datos es necesario que se adopten las medidas indicadas para garantizar dichos
extremos.
Cuando las medidas contempladas en la Conselleria u Hospital garanticen la
integridad, confidencialidad y disponibilidad de los datos, serán éstas las que se deban
incluir en este anexo.
Los puntos desarrollados en este anexo son los siguientes:

Controles de acceso al edificio de ubicación de los ficheros.

Controles de acceso a la Sala de Servidores.

Controles de acceso a la Sala de Copias.

Controles de acceso a los archivos de ficheros no automatizados.
DOCUMENTO DE SEGURIDAD
Página 37 de 71
Borrador
a. Controles de acceso al edificio de ubicación de los ficheros
Toda persona que pretenda tener acceso físico al edificio de ubicación de los ficheros
debe registrarse y pasar un control de identidad ante el puesto de Registro/Información
situado en el hall de entrada.
Este control de identidad supone la necesidad de acreditar la siguiente información:
-
Identidad del sujeto (nombre, apellidos y DNI).
-
Persona del centro a la que el sujeto desea visitar.
-
Hora de entrada.
Estos datos se transcriben por escrito en el mismo momento en que se facilitan, pero
no se incorporan a fichero alguno. Asimismo, tales datos son guardados por estrictas
razones de seguridad durante una semana. Al cabo de ese tiempo, son eliminados
mediante su destrucción física.
Una
vez
facilitada
la
información
arriba
descrita,
el
responsable
de
Registro/Información se pone en contacto telefónico, directamente con la persona a la
que el sujeto visitante desea visitar.
En el caso de visita a personal de la Conselleria u Hospital, sólo cuando la persona
visitada accede y reconoce a la persona visitante, queda permitido el acceso físico de
esta última al interior del edificio de ubicación del fichero, quedando la persona visitada
al cargo y responsabilidad de la persona visitante.
Al mismo tiempo que el sujeto visitante accede al interior del edificio, se le facilita en
Registro/Información un objeto distintivo en el que luce la palabra “VISITANTE” para
que la persona ajena al edificio se lo sitúe en un lugar visible.
Cuando el sujeto visitante abandone el edificio debe devolver en recepción el objeto
distintivo, quedando en ese momento registrada la hora de salida del edificio de
ubicación de los ficheros.
Asimismo, cuando un nuevo empleado sea contratado, ya sea funcionario, interino o
personal laboral, se le proporcionará un denominado Código de Conducta en el que se
DOCUMENTO DE SEGURIDAD
Página 38 de 71
Borrador
describirán las medidas de seguridad de entrada al edificio de ubicación de los
ficheros que debe cumplir inexorablemente.
b. Controles de acceso a la sala de servidores
Este apartado sólo resulta de aplicación en el caso de que la Conselleria u Hospital
disponga de servidores propios.
Los locales donde se ubican los equipos y sistemas de información que contienen y
tratan los ficheros automatizados de carácter personal deben ser objeto de especial
protección, para garantizar la disponibilidad, integridad y confidencialidad de los datos
protegidos, especialmente en el caso de aquellos ficheros ubicados en servidores
accedidos a través de la red.
Los sistemas de información, así como los ficheros automatizados por ellos
procesados, se encuentran situados en la Sala de Servidores del XXXXXXX, ubicado
en XXXXXX.
Los únicos usuarios que pueden tener acceso físico a los sistemas de información
ubicados en esta sala son:
XXXXXX, Responsable de Seguridad Técnico.
XXXXXX, Responsable de Seguridad del Área XXX (para la DGTIC).
XXXXXX, incluir el personal autorizado.
Debe entenderse que el hecho de que el personal pueda tener acceso físico a la Sala
de Servidores se considera como algo ocasional y que en todo momento habrá de
estar justificado por razón del encargo, empleo o actividad que esté desarrollando la
persona que necesita acceder a la sala de servidores.
En esa situación, se debe cumplimentar el formulario de Acceso a la Sala de
Servidores Locales para registrar el acceso a la ubicación de los sistemas de
información por parte de personal externo o visitas. Este formulario se encuentra en el
Anexo M “Plantillas y Formularios” del presente documento.
DOCUMENTO DE SEGURIDAD
Página 39 de 71
Borrador
En cuanto a los usuarios que pertenezcan al Departamento de Informática, han de
precisarse los siguientes sistemas de acceso:
En primer lugar, debe especificarse que solamente los usuarios referenciados en este
anexo, pueden tener acceso físico a la sala en la que están ubicados los sistemas de
información y los ficheros de carácter personal que almacenan y tratan. Este acceso
se limita mediante la apertura de una puerta cerrada bajo llave o tarjeta identificativa
(dependiendo del lugar se indicará uno u otro).
Esta llave sólo está en posesión de los integrantes del Departamento de Sistemas y
miembros de seguridad, arriba mencionados, quienes responden personalmente de su
debida custodia en todo momento.
Sin la llave en cuestión, es imposible acceder físicamente al lugar de ubicación de
sistemas y fichero. Fuera del horario laboral esta sala permanece cerrada bajo llave,
cuyas copias están en posesión de los Responsables de Seguridad.
Se deberán establecer los procedimientos adecuados por parte de cada una de las
Consellerias u Hospitales que contemplen el acceso de personal de limpieza y
mantenimiento.
c. Controles de acceso a la sala de copias.
Este apartado solo es de aplicación en el caso de que la Conselleria u Hospital
disponga de servidores propios.
La seguridad de los datos personales de los ficheros no sólo supone garantizar la
confidencialidad de los mismos, sino que también implica asegurar la integridad y
disponibilidad de estos datos. A tal fin, se ha implementado y realiza el “Procedimiento
de Realización de Copias de Respaldo y Recuperación” descrito en el Anexo J.
Los copias de seguridad generadas como consecuencia de la aplicación del
procedimiento arriba mencionado y que permiten la recuperación y reconstrucción de
los datos personales en caso de fallo del sistema informático, se almacenan
protegidas en una Caja de Seguridad en la Sala de Copias del Departamento de
Sistemas, ubicado en XXXXXXXX y alejada de la Sala de Servidores.
DOCUMENTO DE SEGURIDAD
Página 40 de 71
Borrador
Los únicos usuarios que pueden tener acceso físico a los soportes ubicados en esta
sala son:
XXXXXX, Responsable de Seguridad Técnico.
XXXXXX, Responsable de Seguridad del área XXX (para la DGTIC).
XXXXXX, indicar el personal autorizado.
Bajo ninguna circunstancia se permite el acceso a esta sala de personal no autorizado,
debiendo cumplimentarse el formulario de “Acceso a la Sala de Copias de seguridad”
que figura en el Anexo M “Plantillas y Formularios” cuando se produzcan accesos a la
misma por parte de personal no autorizado.
Tanto la Sala de Copias como la Caja de Seguridad en ella ubicada están protegidas
mediante un sistema de XXXXX, cuyas copias están en posesión de los Responsables
de Seguridad.
Sin la llave en cuestión, es imposible acceder físicamente al lugar de ubicación de los
soportes, que permanece cerrado salvo que se estén ejecutando las labores propias
de respaldo y recuperación.
Se deberán establecer los procedimientos adecuados para el acceso a la Sala de
Copias en caso de fuerza mayor o urgencia por parte de cada una de las Consellerias
u Hospitales. Asimismo, deberán establecerse los procedimientos que contemplen el
acceso de personal de limpieza y mantenimiento a esta sala.
d. Controles de acceso a los archivos de ficheros no automatizados.
Existen varias categorías de Archivos donde quedan ubicados, temporal o
definitivamente, los ficheros en soporte no automatizado: archivos Departamentales,
de Servicios, de Direcciones Generales y el Archivo Central de la Conselleria u
Hospital.
Especificar la ubicación de todos los archivos existentes en la Conselleria u Hospital,
las medidas de seguridad de acceso a los mismos y los usuarios que tienen permiso
para acceder.
DOCUMENTO DE SEGURIDAD
Página 41 de 71
Borrador
Ejemplo: El Archivo Central esta ubicado en la planta baja del edificio, con acceso
restringido y cerrado bajo llave. Los únicos usuarios que pueden tener acceso físico a
los ficheros no automatizados ubicados en esta sala son:
XXXXXX, Responsable de Seguridad Técnico.
XXXXXX, Responsable de Seguridad Organizativo.
XXXXXX, Responsable del Archivo (Administrativo).
Etc...
El Archivo Central sólo permanece abierto en el momento en que se precisa
acceder a él para recoger un fichero en soporte no automatizado o si alguna de
las personas autorizadas, responsables de su mantenimiento, permanece en su
interior.
Debe entenderse que el hecho de que el personal pueda tener acceso físico al
Archivo Central se considera como algo ocasional y que en todo momento habrá de
estar justificado por razón del encargo, empleo o actividad que la persona que
necesita acceder se encuentre desarrollando.
No se permitirá el acceso de personal al Archivo Central por motivos no justificados de
acuerdo con lo expuesto en este párrafo.
Archivos
Departamentales,
de
Servicios,
de
Direcciones
Generales.
Indicar
ubicaciones y medidas de seguridad de acceso. Especificar los grupos que acceden a
éstos archivos. Dentro de estos archivos hay que incluir todos recintos (despachos,
departamentos, plantas...) en las que se puedan encontrar armarios, archivadores y
estanterías en las que se guarden datos de carácter personal.
Solamente los usuarios autorizados pueden tener acceso a estos archivos. En el caso
de que personal ajeno al tratamiento de los ficheros no automatizados en ellos
almacenados requiera acceder a estas ubicaciones deberá existir un motivo justificado
por razón del encargo, empleo o actividad que la persona que necesita acceder se
encuentre desarrollando. No se permitirá el acceso a los archivos por motivos no
justificados.
DOCUMENTO DE SEGURIDAD
Página 42 de 71
Borrador
Es responsabilidad del personal al cargo de los ficheros garantizar que la información
ahí almacenada no puede ser vista por personas no autorizadas.
Cuando el responsable del servicio abandona su puesto de trabajo, bien
temporalmente o al finalizar su jornada laboral, deberá proceder al cierre del
archivador y verificar que ningún fichero no automatizado queda fuera del mismo a la
vista de personal no autorizado.
Si existen impresoras departamentales, los usuarios deberán retirar los documentos
conforme vayan siendo impresos y en cualquier caso asegurarse de que no quedan
documentos impresos en la bandeja de salida que contengan datos protegidos.
Bajo ninguna circunstancia, el responsable del despacho o departamento debe
abandonar el mismo sin proceder previamente a su cierre a fin de garantizar la
seguridad de los ficheros ahí ubicados.
DOCUMENTO DE SEGURIDAD
Página 43 de 71
Borrador
ANEXO H. PROCEDIMIENTOS DE CONTROL DE ACCESOS LÓGICOS
Se entiende por Sistema de Información a todos aquellos sistemas, programas o
aplicaciones con las que se puede acceder a los datos contenidos en los ficheros, y
que son usualmente utilizados por los usuarios para realizar el tratamiento de los
mismos y que aparece referenciado en el Anexo B.
Estos Sistemas pueden ser aplicaciones informáticas expresamente diseñadas para
acceder a los ficheros, o sistemas preprogramados de uso general como aplicaciones
o paquetes disponibles en el mercado informático.
Se debe, por tanto, regular el uso y acceso de las partes del sistema operativo,
herramientas o programas de utilidad, o del entorno de comunicaciones, de forma que
se impida el acceso no autorizado a los datos de los ficheros de carácter personal
procesados por los sistemas y aplicaciones de la Conselleria u Hospital.
Los puntos desarrollados en este anexo son los siguientes:
-
Procedimiento de altas y bajas de usuarios y modificación de privilegios.
-
Gestión de contraseñas de acceso y código de usuario.
-
Limitación de Acceso a los Sistemas de Información.
-
Registro de Accesos.
a. Procedimiento de altas y bajas de usuarios y modificación de privilegios.
Los procedimientos de alta y baja de usuarios, así como los de modificación de los
perfiles asignados inicialmente, implican la actividad de distintas figuras dentro de la
organización de la Conselleria u Hospital.
A continuación, deberá aparecer descrito exhaustivamente el procedimiento que se
sigue en la Conselleria u Hospital para las altas, bajas y modificaciones de permisos
de los usuarios.
En el caso de ficheros de nivel medio y alto, para la cumplir con lo establecido en el
Reglamento de medidas de seguridad, la identificación de los usuarios tiene que ser
inequívoca y personalizada.
DOCUMENTO DE SEGURIDAD
Página 44 de 71
Borrador
b. Gestión de contraseñas de acceso y códigos de usuario
Los usuarios únicamente podrán tener acceso autorizado a los datos personales y
recursos de información que les sean necesarios para el debido desarrollo de sus
funciones.
A tal fin, los sistemas de información del Responsable del Fichero tienen
implementado un sistema de contraseñas en virtud del cual cada usuario es
identificado y autenticado.

Establecimiento de Contraseñas
Los procedimientos de establecimiento de contraseñas se refieren a los siguientes
entornos:
Identificar los entornos y aplicaciones con claves de acceso.
Todos los usuarios relacionados en el Anexo F “Inventario deberán tener un código de
identificación que será único, y que estará asociado a la contraseña correspondiente,
que sólo será conocida por el propio usuario, siendo esta personal e intransferible. Por
ello, salvo casos de uso fraudulento de las contraseñas, resulta absolutamente
imposible que una persona no autorizada a ello pueda tener acceso a los Sistemas de
Información.
Cada uno de los pares “usuario-contraseña” distingue y corresponde a un usuario de
forma personal e individualizada. No existe posibilidad de que una misma par sea
asignada a dos usuarios diferentes ni de que se utilice un usuario genérico para
acceder a la red y a las aplicaciones de la Conselleria u Hospital. (aunque este
aspecto solo es exigible a partir del nivel medio, recomendamos que se establezca en
todos los sistemas de información que permitan el acceso a todos los ficheros con
datos de carácter personal).
Las contraseñas permiten verificar la autenticidad del usuario y su código identificarle
de manera absolutamente segura, de modo que quede constancia o “trazas” de las
acciones ejecutadas por cada uno de los usuarios con derecho de acceso a los
ficheros de datos personales y a las aplicaciones que los tratan.
DOCUMENTO DE SEGURIDAD
Página 45 de 71
Borrador

Custodia de las Contraseñas
Dado el carácter absolutamente reservado de las contraseñas, cada uno de los
usuarios deberá custodiarlas personalmente, con el objeto de que sólo la persona
correspondiente pueda conocer en cada momento cuál es su contraseña. Del ejercicio
debido de dicha custodia responderán disciplinariamente cada usuario, de acuerdo
con lo señalado en este Documento de Seguridad.
Queda terminantemente prohibido anotar la respectiva contraseña o un indicio de la
misma en un medio escrito que permita tener un conocimiento fácil, directo o deducible
de las respectivas contraseñas.
Sin perjuicio de lo establecido sobre la necesidad de que las contraseñas no puedan
transcribirse a un medio físico, mientras estén vigentes deberán guardarse de forma
ininteligible, de manera tal que no puedan ser leídas o comprendidas para un sujeto
con conocimientos técnicos medios. A tal efecto, se recurrirá y delegará en las
facilidades administrativas implementadas por los Sistemas Operativos en uso y las
propias aplicaciones.

Reglas sintácticas de formación de las Contraseñas
Aunque el Reglamento de medidas de seguridad no impone unas reglas sintácticas
para la creación de las contraseñas, a continuación ofrecemos una guía de parámetros
que incrementarán la seguridad de las mismas.
Si en la Conselleria u Hospital se utilizaran otros parámetros, deberán ser descritos en
el presente apartado.
En la formación de las contraseñas deberán seguirse las siguientes reglas:
1. Toda contraseña habrá de tener como mínimo OCHO caracteres.
2. Las contraseñas no podrán incluir el código Identificativo del usuario.
3. Las contraseñas no podrán consistir en nombres propios, topográficos o
patronímicos ni palabras que figuren en diccionarios, generales o técnicos.
DOCUMENTO DE SEGURIDAD
Página 46 de 71
Borrador
4. Las contraseñas no podrán consistir solamente en fechas
5. Las contraseñas deberán ser combinación de dos, como mínimo de los cuatro
conjuntos siguientes de caracteres: alfabéticos en mayúsculas, alfabéticos en
minúscula, numéricos y símbolos.
6. Las contraseñas deberán contener alguna combinación de caracteres sin sentido
en el lenguaje usual.

Cambio de Contraseñas
Las Contraseñas serán modificadas de acuerdo con el procedimiento técnico y de
organización establecido por el Responsable de Seguridad Técnico en cada caso y
que dependerá de cada sistema y de cada aplicación en concreto. Solamente el
Responsable de Seguridad podrá conceder, alterar o anular el acceso autorizado
sobre los datos o recursos, conforme a los criterios más adelante establecidos.
De cualquier modificación de las contraseñas o ante la más mínima sospecha de que
la contraseña haya podido ser interceptada, el usuario deberá dar cuenta
inmediatamente al Responsable de Seguridad Técnico.
Salvo necesidad de cambio administrativo de la contraseña ante sospecha de su
posible ruptura o conocimiento por parte del personal autorizado la modificación
general de las Contraseñas se hará de acuerdo con el siguiente procedimiento:

Sistema Operativo: Indicar la periodicidad con la que deben cambiarse las
contraseñas del sistema operativo.

Aplicaciones: Indicar la periodicidad con la que deben cambiarse las contraseñas
de las aplicaciones que traten los ficheros con datos de carácter personal.
c. Limitación de Acceso a los Sistemas de Información
El presente apartado es de aplicación a los Sistemas de Información que traten
ficheros con datos de carácter personal de nivel medio y alto. Aún siendo así, se
recomienda que se aplique a todos los Sistemas de Información.
DOCUMENTO DE SEGURIDAD
Página 47 de 71
Borrador
Como se ha mencionado, el acceso a los Sistemas de Información por parte de los
usuarios del sistema está controlado mediante el uso de usuarios y contraseñas que
permiten la identificación de forma unívoca del usuario.
Para cumplir con los principios de seguridad establecidos en el presente Documento
de Seguridad, hay que limitar los intentos fallidos de acceso a los Sistemas de
Información por parte de los usuarios. (El Reglamento de medidas de seguridad no
especifica un número de intentos fallidos antes del bloqueo del sistema.
Recomendamos que se establezca en un máximo de 3 intentos fallidos).
Una vez que se ha superado el límite establecido para los intentos fallidos el sistema
se bloqueará automáticamente y para su desbloqueo es necesario seguir el siguiente
procedimiento (Indicar el procedimiento a seguir para el desbloqueo del sistema)
d. Registro de Accesos
Este procedimiento solo es necesario implantarlo en aquellos sistemas que manejan
ficheros considerados como de nivel alto.
En cualquier caso, para los ficheros de nivel alto, de cada acceso se guardarán como
mínimo los siguientes datos:

Fecha y hora

La identificación del usuario

Código y /o clave erróneas que se han introducido

El tipo de acceso

Si ha sido autorizado o denegado

Identificación del registro accedido en el caso de los accesos autorizados.
Los mecanismos que permiten el registro de los datos detallados en el párrafo anterior
estarán bajo el control directo del Responsable de Seguridad Técnico sin que se deba
permitir, en ningún caso, la desactivación de los mismos.
Los datos registrados deberán ser guardados por un mínimo de dos años, siendo el
Responsable de Seguridad Técnico el encargado de revisar periódicamente, con
DOCUMENTO DE SEGURIDAD
Página 48 de 71
Borrador
carácter mensual, la información de control registrada y elaborar un informe de las
revisiones realizadas y los problemas detectados.
DOCUMENTO DE SEGURIDAD
Página 49 de 71
Borrador
ANEXO I. PROCEDIMIENTO DE GESTIÓN DE SOPORTES
Es norma de la Conselleria u Hospital, de acuerdo a la legislación vigente en materia
de protección de datos de carácter personal, regular el uso de los soportes
documentales e informáticos con el fin de garantizar la integridad, confidencialidad y
disponibilidad de la información contenida en ellos.
Se entiende por “Soporte” cualquier objeto físico susceptible de ser tratado en un
sistema de información y sobre el cual se pueden grabar o recuperar datos. Puede
tratarse de soportes informáticos, como cintas, cartuchos, disquetes, CD-ROMS, u otro
tipo de soportes, como listados, imágenes o microfichas.
En el presente anexo se describe el procedimiento a seguir para la identificación,
inventario y custodia de los soportes informáticos que contengan datos de carácter
personal.
a. Recepción de soportes
Todo fichero remitido a las instalaciones de la Conselleria u Hospital por terceros,
debe dirigirse a la atención del Responsable de Seguridad Técnico. Éste procederá a
incluir a los ficheros protegidos en el ciclo de seguridad indicado en el Documento de
Seguridad, aplicándoles las medidas adecuadas a la naturaleza del tipo de datos que
contengan.
b. Sistema de identificación de soportes
Tanto los soportes de entrada de datos como los de salida de datos incluirán una
etiqueta de fácil visualización para facilitar la identificación de los mismos. La etiqueta
incluirá los siguientes datos para una correcta identificación de los soportes:

Nombre del fichero fuente de los datos

Nombre del fichero de salida incluido en el soporte

Fecha y hora de la grabación de los datos en el soporte

Identificación de la orden de trabajo que ha originado el tratamiento de los datos
DOCUMENTO DE SEGURIDAD
Página 50 de 71
Borrador
c. Procedimiento de inventariado de soportes
Todos los soportes que contienen datos de los ficheros de carácter personal son
registrados en un inventario.
Los datos que incluye el registro del inventario de los soportes son:

Tipo de soporte informático

Número de soportes

Nombre del fichero fuente de los datos

Nombre del fichero de salida incluido en el soporte (siempre que se considere
necesario)

Fecha y hora de la grabación de los datos en el soporte

Fecha y hora de salida

Orden de trabajo (si procede)
Se facilita una plantilla de Registro de Inventario en el Anexo M “Plantillas y
Formularios”.
d. Almacenamiento de soportes
Todos los soportes permanecen custodiados en cuartos de seguridad e informática y
armarios situados en los locales de la Conselleria u Hospital. (Indicar el lugar en el que
quedan almacenados)
Existe un control de entrada y salida de los soportes almacenados en lugares
debidamente acondicionados en la Conselleria u Hospital. Los datos que incluye dicho
control de soportes son los siguientes:

Identificación del soporte (nº inventario de soportes)

Fecha y hora de salida del soporte

Personal autorizado que solicita la salida del soporte

Destinatario del soporte

Forma de envío

Fecha entrada/reentrada del soporte
DOCUMENTO DE SEGURIDAD
Página 51 de 71
Borrador
Al igual que con el inventario de soportes, el control de salida de los soportes registra
las salidas de los soportes fuera de las instalaciones de la Conselleria u Hospital,
salida que solo puede estar autorizada por el Responsable de Seguridad Técnico.
Cuando se produzca una salida periódica de soportes, el Responsable de Seguridad
Técnico podrá elaborar una autorización genérica no siendo necesario de este modo
su autorización cada vez que uno se estos soportes salga de las instalaciones.
e. Reutilización o destrucción de los soportes
Cuando un soporte vaya a ser reutilizado, se adoptarán las medidas necesarias para
impedir cualquier recuperación posterior de la información almacenada. Para
conseguir este objetivo es necesario formatear el dispositivo y que el técnico
encargado de ello se cerciore de que no es posible la recuperación de los datos. Si por
cualquier motivo existieran dudas sobre la fiabilidad del proceso se procederá a la
destrucción del soporte.
Una vez que el dispositivo ha sido completamente borrado y está preparado para ser
reutilizado se modificarán los datos en el inventario, inscribiendo la baja en el
inventario de almacén de soportes.
Para poder destruir cualquier tipo de soporte será necesario contar con orden del
Responsable de Seguridad Técnico. El procedimiento a seguir para el deshecho de
dicho soporte es el siguiente:

Destrucción física del soporte

Inscripción de baja en el inventario del almacén de soportes, incluyendo la fecha
de destrucción y la identificación del personal encargado de la destrucción

f.
Reciclado de los desechos generados siempre que sea posible
Distribución de los soportes
La distribución de los soportes se realiza, una vez cumplimentado debidamente el
control de entrada y de salida mencionado con anterioridad, a través de los siguientes
medios:
DOCUMENTO DE SEGURIDAD
Página 52 de 71
Borrador

Personal autorizado de la Conselleria u Hospital

Mensajería interna de la Conselleria u Hospital o valija

Mensajería externa autorizada de la Conselleria u Hospital

Correo ordinario
Para la distribución de soportes con ficheros considerados de nivel alto los datos
deberán ir cifrados. El Responsable de Seguridad Técnico es el encargado de tener a
disposición del departamento que lo necesite una herramienta de cifrado oficial
homologada por la Conselleria u Hospital.
En ningún caso se podrá utilizar una herramienta de cifrado no autorizada por el
Responsable de Seguridad Técnico.
DOCUMENTO DE SEGURIDAD
Página 53 de 71
Borrador
ANEXO J. PROCEDIMIENTO
RECUPERACIÓN
DE
COPIAS
DE
SEGURIDAD
Y
Como ya se ha indicado, la seguridad de los datos personales de los ficheros no sólo
descansa en la confidencialidad de los mismos, sino en la garantía de su integridad y
disponibilidad. Para asegurar estos dos aspectos fundamentales de la seguridad, es
necesaria la existencia de un Procedimiento de Copias de Seguridad y Recuperación
que, en caso de fallo del sistema informático o contingencia general, permitan la
recuperación y reconstrucción de los datos del fichero en el estado en que se
encontraban en el momento de producirse la pérdida o destrucción.
El Responsable de Seguridad Técnico deberá encargarse de verificar la definición y
correcta aplicación de los procedimientos de realización de Copias de seguridad y de
recuperación de los datos. A tal efecto, se han previsto los Procedimientos de
Realización de Copias de Seguridad y Recuperación que se exponen en este punto.
a. Realización de copias de seguridad
La Política de Backup seguida por la Conselleria u Hospital está dirigida a garantizar la
disponibilidad e integridad de la información sensible en caso de materialización de un
fallo o desastre.
A tal fin se realizan: Describir detalladamente el procedimiento de copias de seguridad
que se lleva a cabo en la Conselleria u Hospital.
Para el cumplimiento del Reglamento de medidas de seguridad se deberán seguir las
siguientes pautas:
-
Las copias de seguridad deberán hacerse, al menos semanalmente, salvo que
en dicho periodo no se hubiera producido ninguna actualización de los datos.
-
Cuando se trate de copias de seguridad de ficheros de nivel alto, deberá
conservarse una copia de seguridad y de los procedimientos de recuperación de
los datos en un lugar diferente de aquél el que se encuentren los equipos
informáticos que los tratan.
DOCUMENTO DE SEGURIDAD
Página 54 de 71
Borrador
b. Recuperación de los datos
Cuando como consecuencia de una incidencia sea necesaria la recuperación de los
datos incluidos en las copias de seguridad, se seguirá el siguiente procedimiento.
Una vez solventada la incidencia que generó la pérdida de los datos, el usuario que
necesite la recuperación de los mismos lo solicitará al Responsable de Seguridad
Técnico. El usuario debe de poner en conocimiento de su superior dicha circunstancia.
La solicitud deberá contener los siguientes datos:
Nombre del solicitante
Identificación de la incidencia que ha generado la recuperación
Propósito
Fichero del que se solicita la información
Firma del solicitante
Una vez aprobada la solicitud por el Responsable de Seguridad Técnico, éste
encargará a un técnico del Departamento de Sistemas que recupere los datos de la
última copia de seguridad realizada en la que fueron grabados y los restituya en el
sistema. Una vez recuperados los datos, el técnico se lo comunicará al usuario.
El Responsable de Seguridad Técnico o en quien él delegue llevará un registro de
recuperación de datos en el que se incluirán los siguientes datos:
Nombre del fichero recuperado / Datos restaurados
Identificación de la cinta
Fecha y hora de la recuperación
Solicitante
Propósito
Nombre y firma del técnico de recuperación
Datos recuperados manualmente
El encargado del registro conservará los originales de las solicitudes de recuperación.
En el Anexo M “Plantillas y formularios” se aportan plantillas de Registro de
Recuperación de datos y de la solicitud de recuperación.
DOCUMENTO DE SEGURIDAD
Página 55 de 71
Borrador
ANEXO K. PROCEDIMIENTO DE GESTIÓN Y REGISTRO DE INCIDENCIAS
Una incidencia es cualquier evento que pueda producirse esporádicamente y que
pueda suponer un peligro para la seguridad de los ficheros, tanto automatizados como
no automatizados, entendida bajo sus tres vertientes de confidencialidad, integridad y
disponibilidad.
El definir un procedimiento de gestión de incidencias que comprometan la seguridad
de los ficheros y el mantener un Registro de las mismas es una herramienta
imprescindible para la prevención de posibles ataques y riesgos en la seguridad, así
como para la persecución de los responsables de dichos incidentes.
Los puntos desarrollados en este anexo son los siguientes:

Clasificación de Incidencias.

Registro de Incidencias.
a. Clasificación de Incidencias
El procedimiento de gestión de incidencias establecido, se clasifica según la gravedad
de las mismas en tres categorías; leve, intermedio y crítico.
Así, una Incidencia tendrá carácter leve, cuando ésta provoque un retraso en los
procesos de datos, en le caso de tratamiento automatizado, pero no una pérdida de
los mismos ni de los equipos informáticos (por ejemplo, CPU o algún componente del
equipo averiado que provoca un paro en el funcionamiento normal del mismo, fallo de
energía eléctrica, problemas del sistema operativo con mensajes de error no
recuperables u otras paradas súbitas del sistema operativo, periférico averiado, fallo
del programa de aplicación, etc.).
Una Incidencia tendrá carácter Intermedio, cuando se produzca una pérdida de
datos, automatizados o no, siendo provocada en el caso de los ficheros automatizados
por fallos de hardware o software y en todos los casos por error humano o por causas
físicas (inundación parcial, calor excesivo, etc.) si bien los equipos informáticos
seguirán disponibles al menos parcialmente o con averías subsanables (por ejemplo,
aterrizaje de cabezas en disco, borrado accidental de datos, corrupción de datos por
DOCUMENTO DE SEGURIDAD
Página 56 de 71
Borrador
virus o causa desconocida, golpes muy fuertes o caídas accidentales del equipo,
fuentes magnéticas y/o de calor muy intensas y cercanas al equipo).
Por último, una Incidencia tendrá carácter Crítico, cuando se inutilice la información
considerada de tipo vital para la Conselleria u Hospital, con independencia de su
soporte, así como la capacidad de procesarla, es decir, se produzca la destrucción
total de los equipos informáticos (por ejemplo; incendio total del edificio incluyendo
bienes en su interior, bomba, terremoto, inundación o cualquier otro agente
atmosférico o fortuito con destrucción total de las instalaciones).
b. Registro de Incidencias
Cualquier usuario que tenga conocimiento de una incidencia es responsable de su
notificación por escrito al Responsable de Seguridad Técnico o persona en la que éste
haya delegado.
Par la gestión de las incidencias se crea el Registro de incidencias que será
coordinado y controlado por el Responsable de Seguridad Técnico. Dicho Registro
queda a disposición de todos los usuarios de los ficheros y administradores de los
sistemas de información, quedando en él registrada cualquier incidencia que pueda
suponer un claro riesgo de cara a la perdida de datos y a la capacidad de su
procesamiento.
En dicho Registro se hará constar necesariamente lo siguiente:
Tipo de Incidencia
Momento en el que se ha producido
Usuario que realiza la notificación
A quien se le comunica
Efectos derivados de la misma
Sobre la base de la información que obre en este Registro, el Responsable de
Seguridad Técnico llevará a cabo estudios de las incidencias registradas, con una
periodicidad mensual, de cara al mantenimiento preventivo de los sistemas de
DOCUMENTO DE SEGURIDAD
Página 57 de 71
Borrador
información de la Conselleria u Hospital, elevando las conclusiones alcanzadas al
Responsable del Fichero.
El acceso al Registro de Incidencias se circunscribe a los Responsables de Seguridad
Técnicos y al Responsable del Fichero, así como a cuantos usuarios les sea conferida
expresamente esta facultad.
El Responsable de Seguridad Técnico deberá estar plenamente informado y en todo
momento sobre cualquier tipo de incidencia, al objeto de poder coordinar y controlar
las medidas de seguridad aplicables en cada caso.
Igualmente, será función del Responsable de Seguridad Técnico, el informar a los
usuarios, sobre los procesos de notificación de incidencias en los términos que éste
estime más adecuados, para su buen fin y correcta ejecución.
DOCUMENTO DE SEGURIDAD
Página 58 de 71
Borrador
ANEXO L. GUÍA PARA LA REALIZACIÓN DE AUDITORÍAS
A la hora de realizar una auditoria interna se propone seguir los siguientes puntos de
revisión:

Ficheros que contiene datos de carácter personal.

Recursos.

Funciones y obligaciones del personal.

Controles de acceso lógico.

Control de acceso físico.

Ficheros impresos.

Copias de salvaguarda.

Gestión de soportes.

Registro de incidencias.

Comprobaciones fuera del horario establecido
En el caso de someterse a una auditoria externa, serán los propios auditores quienes
determinen su procedimiento de trabajo, sin obligación alguna de guiarse por el guión
adjunto en el presente Documento de Seguridad.
a. Ficheros que contienen datos de carácter personal
La principal comprobación se centra en localizar todos los ficheros que contengan
datos de carácter personal y comprobar que la Conselleria u Hospital ha emitido las
órdenes de creación correspondientes y ha registrado los ficheros en la Agencia de
Protección de Datos de forma que:

El nivel de seguridad asignado es el que les corresponde según el Documento de
Seguridad.

Su justificación y finalidad se ajusta a la realidad

La ubicación física del fichero es la descrita en el presente documento.

Los ficheros se encuentran registrados en el Inventario General de Ficheros.
DOCUMENTO DE SEGURIDAD
Página 59 de 71
Borrador
Los puntos a comprobar en una auditoría respecto a estos ficheros son:

Comprobar que las restricciones de acceso físico a las dependencias en donde
se encuentren los ficheros catalogados y sus copias de respaldo son adecuadas
para garantizar el nivel de seguridad requerido.

Comprobar la existencia de los registros correspondientes en el Inventario
General de Ficheros, verificando el motivo de la existencia de dicho fichero.
b. Recursos
Las comprobaciones a realizar respecto a los recursos en una auditoría son:

Revisar el Inventario de Ficheros comprobando que los niveles de seguridad de
dichos recursos se corresponden a los descritos en el Documento de Seguridad.

Revisar el inventario de recursos hardware y software y contrastarlos con los
equipos, instalaciones y productos realmente implantados.

Verificar que los accesos a recursos y dispositivos registrados en Inventario de
Usuarios sean necesarios para el desarrollo de sus funciones.

Verificar la correspondencia entre los usuarios / grupos y las cuentas con algún
tipo de acceso mediante los procedimientos de Controles de Acceso Físico y
Controles de Acceso Lógico.
c. Funciones y obligaciones del personal
Comprobar que toda persona de la Conselleria u Hospital con acceso a ficheros que
contengan datos de carácter personal conoce las normas de seguridad que afecten al
desarrollo de sus funciones, así como las consecuencias en que pudieran incurrir en
caso de incumplimiento. Comprobar asimismo que el presente documento está
disposición de todos los usuarios del sistema para su acceso y consulta.
DOCUMENTO DE SEGURIDAD
Página 60 de 71
Borrador
d. Controles de acceso lógico
A este nivel, las comprobaciones que deben realizarse comprenden los siguientes
puntos:

Verificar que no existe ninguna clave de acceso a ningún recurso protegido en
sitios visibles ni se ceden entre usuarios.

Comprobar que no existen cuentas de usuarios genéricos o usuarios con
contraseña nula.

Verificar que los usuarios modifican las claves de acceso a los recursos de
acuerdo a lo definido en el Documento de Seguridad.

Verificar que el Inventario de Usuarios está al día y que los perfiles definidos para
cada usuario son los que realmente necesita para realizar sus funciones.

Comprobar, en caso necesario, la existencia del log o Registro de Accesos a
ficheros y aplicaciones, y que el Responsable de Seguridad Técnico procede
regularmente al análisis e interpretación de los logs capturados.
e. Control de acceso físico
A este nivel, las comprobaciones que deben realizarse comprenden los siguientes
puntos:

Comprobar que las restricciones de acceso físico a las dependencias en donde
se encuentren los ficheros catalogados y sus copias de respaldo son adecuadas
para garantizar el nivel de seguridad requerido.

Comprobar la existencia de los registros de control de acceso a la entrada del
edificio de la Conselleria u Hospital, a la entrada de la Sala de Servidores locales
y a la entrada de la Sala de Copias, verificando el motivo de entrada.
DOCUMENTO DE SEGURIDAD
Página 61 de 71
Borrador
f.
Ficheros impresos
Respecto a los soportes impresos es necesario:

Comprobar que no existen copias impresas de ficheros o parte de ellos que
contengan datos de carácter personal, exceptuando aquellos que estén siendo
utilizados por los usuarios para el desarrollo de sus tareas o que legítimamente
se justifique su existencia.

Comprobar que las copias temporales de ficheros que contienen datos de
carácter personal se destruyen, cuando ya no es necesario su uso, de forma que
imposibilite la recuperación total o parcial de la información.
g. Copias de salvaguarda
Con objeto de garantizar la calidad del proceso de recuperación en caso de fallo de los
equipos o de materialización de un desastre, conviene:

Comprobar que se han realizado las copias de salvaguarda descritas en el
apartado Procedimientos Copias de Seguridad y Recuperación del presente
documento en el número y con la periodicidad indicada.

Comprobar que las copias de seguridad están debidamente etiquetadas según lo
descrito en el presente Documento de Seguridad con el fin de identificar la
información que contienen.

Comprobar que las copias se almacenan siguiendo las normas y medidas de
seguridad descritas en el Procedimiento.
h. Gestión de soportes
Respecto a los soportes, con independencia de su tipo y función, en necesario:

Chequear la ubicación física de los soportes informáticos o no, que contengan
datos de carácter personal.
DOCUMENTO DE SEGURIDAD
Página 62 de 71
Borrador

Comprobar a través del Registro de Entrada / Salida de Soportes quien ha tenido
acceso a ellos y con qué motivo.

Verificar que el proceso de eliminación de la información almacenada en un
soporte se ajusta a lo descrito en el apartado específico de destrucción de
soportes de los Procedimientos de Gestión de Soportes.
i.
Registro de incidencias
Chequear las incidencias registradas en el Registro de Incidencias y comprobar que se
han llevado a cabo las acciones pertinentes para subsanarlas correctamente antes de
cerrar dicha incidencia.
j.
Comprobaciones fuera del horario establecido
Comprobar que tras finalizar la jornada de trabajo en la Conselleria u Hospital, los
equipos que contengan ficheros con datos de carácter personal están debidamente
bloqueados y que las dependencias físicas de acceso restringido han sido cerradas
correctamente.
DOCUMENTO DE SEGURIDAD
Página 63 de 71
Borrador
ANEXO M. PLANTILLAS Y FORMULARIOS
Esta colección de plantillas y formularios tiene por objeto servir como modelo de
referencia a la Conselleria u Hospital, de cara a la elaboración de los correspondientes
registros necesarios para el cumplimiento de lo estipulado en el Reglamento de
Medidas de Seguridad, y el Documento de Seguridad interno.
En este anexo se recogen los siguientes formularios:

Formulario de acceso a la sala de servidores locales.

Formulario de acceso a la sala de copias de seguridad.

Inventario de Soportes

Formulario de control de entrada/salida de soportes.

Formulario de solicitud de recuperación de datos.

Registro de recuperación de datos

Registro de incidencias.
DOCUMENTO DE SEGURIDAD
Página 64 de 71
Borrador
FORMULARIO DE ACCESO A LA SALA DE SERVIDORES
NOMBRE
APELLIDOS
D.N.I.
CARGO
EMPRESA
ACTIVIDAD A REALIZAR
ENTRADA HORA SALIDA
DOCUMENTO DE SEGURIDAD
Página 65 de 71
Borrador
FORMULARIO DE ACCESO A LA SALA DE COPIAS DE SEGURIDAD
NOMBRE
APELLIDOS
D.N.I.
CARGO
EMPRESA
ACTIVIDAD A REALIZAR
ENTRADA HORA SALIDA
DOCUMENTO DE SEGURIDAD
Página 66 de 71
Borrador
INVENTARIO DE SOPORTES
Fichero: <NOMBRE DE FICHERO>
ALTAS
NÚMERO DE
INVENTARIO
BAJAS
FECHA DE
ALTA
/
/
/
/
/
/
/
/
/
/
/
/
/
/
/
/
/
/
MOTIVO
Reutilización
Destrucción
Reutilización
Destrucción
Reutilización
Destrucción
Reutilización
Destrucción
Reutilización
Destrucción
Reutilización
Destrucción
Reutilización
Destrucción
Reutilización
Destrucción
Reutilización
Destrucción
MÉTODO
FECHA DE
BAJA
/
/
/
/
/
/
/
/
/
/
/
/
/
/
/
/
/
/
Página 67 de 71
CONTROL DE ENTRADA / SALIDA DE SOPORTES
REFERENCIA Nº ……
ENTRADA
FECHA Y HORA DE LA OPERACIÓN ……………
SALIDA
DEVOLUCIÓN
TIPO DE SOPORTES………………… NÚMERO DE SOPORTES ..........
NÚMERO DE IDENTIFICACIÓN DEL SOPORTE ……………………………..……….....
CONTENIDO ........................………………………………………………..………….........
FINALIDAD .........................…………......……………………………………..……….........
FICHERO DEL QUE PROCEDEN LOS DATOS .................................……………………
IDENTIFICACIÓN DE LA DELEGACIÓN / ENTIDAD (ORIGEN / DESTINO)
NOMBRE DELEGACIÓN / ENTIDAD ..............................................................................
DESTINATARIO ………………........................................................................................
DIRECCIÓN ……………………………………………………………..................................
TELEFONO DE CONTACTO ………………....................................................................
DATOS DEL RESPONSABLE DE LA ENTREGA / RECEPCIÓN (AUTORIZADO)
NOMBRE Y APELLIDOS ………………………………………….......................................
CARGO / PUESTO ………………………............……………………….............................
PERSONA QUE AUTORIZA
………………………………..………..............................
FECHA DE ENTRADA*
……… /……………………… /……………..
FECHA DE SALIDA*
……... /……………………… /……………..
FECHA DE DEVOLUCIÓN* …….. /……………………… / ……………..
FORMA Y PRECAUCIONES DE ENVÍO ......................................................................
OBSERVACIONES………………………………………………………………………….......
...........................................................................................................................................
...........................................................................................................................................
Fdo. …………………………………
* Rellenar sólo si procede
SOLICITUD DE RECUPERACIÓN DE DATOS
REFERENCIA Nº ………… FECHA Y HORA DE LA SOLICITUD …………………
Nº DE INCIDENCIA ......................
NOMBRE DEL SOLICITANTE DE LA RECUPERACIÓN DE DATOS
...........................................................................................................................................
...........................................................................................................................................
FICHERO DEL QUE SE SOLICITA LA INFORMACIÓN
...........................................................................................................................................
.......
PROPÓSITO DE LA RECUPERACIÓN
...........................................................................................................................................
........
Fdo.: .....................................................
REGISTRO DE RECUPERACIÓN DE DATOS
Nombre del
fichero
recuperado /
Datos
recuperados
Identificación de la
Fecha y hora de la
copia de
recuperación
seguridad
Solicitante
Propósito
Nombre y firma
del técnico
Datos
restaurados
manualmente
REGISTRO DE INCIDENCIAS DE SEGURIDAD
TIPO DE INCIDENCIA (1)
NÚMERO DE INCIDENCIA
DESCRIPCION (2)
FECHA
DIA
/ MES
/
HORA
AÑO
PERSONA QUE REALIZA LA NOTIFICACIÓN:
NOMBRE
APELLIDOS
DEPARTAMENTO
UBICACIÓN (3)
COMUNICADO A:
NOMBRE
APELLIDOS
DEPARTAMENTO
UBICACIÓN (3)
DESCRIPCIÓN DE LOS EFECTOS DERIVADOS DE LA INCIDENCIA
(1) TIPO DE INCIDENCIA
En esta casilla se debe indicar la referencia del apartado del Documento de Seguridad que
se ha visto afectado por la incidencia.
(2) DESCRIPCIÓN
Breve descripción de la incidencia
(3) UBICACIÓN
Población y nombre del centro.
ANEXO N. MEDIDAS DE SEGURIDAD PARA FICHEROS DE HISTORIA
CLÍNICA
Debido a que los ficheros de Historia Clínica contienen datos relativos a la salud de los
pacientes, y que en la mayoría de los supuestos se encuentran las Historias Clínicas
en formato papel, los Centros sanitarios deberán cumplir unas determinadas medidas
de seguridad para esta clase de ficheros:

Cada Historia Clínica es única y tendrá un número para cada paciente de la
entidad sanitaria. En la Historia Clínica se recogerá toda la información acumulada
relativa al curso clínico del paciente.

En cada una de las Historias Clínicas deberá incorporarse la hoja de información
que se le facilita a los pacientes informándole de sus derechos sobre los datos
personales contenidos en su Historia Clínica.

Las Historias Clínicas estarán custodiadas en un archivo único. Sin embargo,
puede preverse la existencia de un archivo pasivo, diferenciado del archivo activo,
en el cual podrán ubicarse las Historias Clínicas correspondientes a pacientes sin
contacto con el centro durante un determinado periodo determinado por el centro.

En aquellos casos en que el archivo de Historias Clínicas pasivas se encuentre
fuera de las dependencias del centro deberán garantizarse unas medidas de
seguridad idénticas a las que existieran en el propio centro. Si se gestiona por una
empresa externa, deberá firmarse un contrato que regule el deber de
confidencialidad del depositario de las Historias Clínicas, así como también el resto
de obligaciones como encargado del tratamiento.

Cada centro deberá establecer un responsable de archivo de Historia Clínica, que
deberá velar por el adecuado cumplimiento de los sistemas de archivo, control e
información, que deberán ser adecuados a las características y dimensiones del
centro.

El acceso al archivo de Historia Clínica deberá encontrarse limitado al horario en
que el personal de archivo pueda ejercer los controles previstos. Fuera de este
horario, el acceso al archivo estará restringido y controlado. Cualquier acceso al
archivo fuera del horario habitual, deberá ser anotado en un registro o formulario
creado al efecto.

El archivo de Historia Clínica contará con medidas de seguridad física apropiadas
que permitan restringir el acceso de personas no autorizadas.

En cualquier entrega interna de una Historia Clínica, debe quedar constancia de la
persona que efectúa la petición, o del motivo que justifica el flujo de las Historias
Clínicas por razones organizativas y de programación de actos clínicos que
requieren el acceso a las mismas.

Las salidas de Historias Clínicas del archivo deberán anotarse en un libro registro,
con la información suficiente para permitir su seguimiento. En el mismo libro
registro deberá anotarse también la fecha de devolución de la Historia Clínica

Las solicitudes de Historias Clínicas de pacientes que en el momento de la
solicitud no estén siguiendo un curso clínico, deberán ser debidamente justificadas.

La devolución de las Historias Clínicas al archivo debe realizarse inmediatamente
después de la circunstancia que motivo su petición.

En ningún caso la Historia Clínica puede salir de las dependencias del centro
durante el periodo en que se ha hecho una petición por motivos asistenciales,
docentes o de investigación.

Si se produjera una petición de Historia Clínica por personal facultativo ajeno al
centro por motivos docentes o de investigación, diferentes del propio proceso
asistencial, deberá recabarse previa autorización expresa del paciente, siempre
que los datos de la Historia Clínica no pueda ser entregada en modo disociado.

Deberán establecerse los circuitos oportunos que permitan al paciente, o su
representante legal, ejercer el derecho de acceso a su propia Historia Clínica. La
petición de acceso a la Historia Clínica deberá ser realizada por escrito y de
manera que se acredite la identidad del solicitante.

El paciente tendrá en cualquier caso acceso a la información que conste en su
Historia Clínica relativa a informes de alta, informes de urgencias, informes de
pruebas diagnósticas y exploraciones complementarias, analíticas y similares,
salvo las limitaciones establecidas en la legislación sanitaria.

En ningún caso se entregará documentación original de la Historia Clínica,
facilitándose al solicitante la obtención de copias de la misma. En los supuestos en
que la obtención de esta copia tenga un coste extraordinario, por el soporte de la
misma, deberá ofrecerse, si es posible, alternativas al respecto.

En aquellos casos en que se reciba una solicitud o requerimiento de información
clínica procedente de la Administración de Justicia o Fuerzas y Cuerpos de
Seguridad, solicitando la remisión de una Historia Clínica se recabará la
autorización del Responsable del centro sanitario y únicamente se enviará copia
de la documentación en ella contenida. La remisión de la Historia Clínica se
acompañará de un escrito del Responsable del centro en el cual se manifieste el
deber de confidencialidad de los datos clínicos.

Las Historias Clínicas únicamente serán canceladas una vez transcurrido el plazo
previsto por la normativa vigente de sanidad, indicado en la Ley General de
Sanidad y la Ley de Autonomía del Paciente y derechos y obligaciones en materia
de información y documentación clínica.
Descargar