PDF de programación - Guía de Medidas de Seguridad - CAPÍTULO VII

Guía de Medidas de Seguridad

CAPÍTULO VII

Medidas de Seguridad



Artículo 29. Los entes públicos establecerán las medidas de
seguridad técnica y organizativa para garantizar la confidencialidad
e integridad de cada sistema de datos personales que posean…
… Las medidas serán adoptadas en relación con el menor o mayor
grado de protección que ameriten los datos personales, deberán
constar por escrito y ser comunicadas al Instituto para su registro…

CAPÍTULO VII

Medidas de Seguridad



Artículo 30. El ente público responsable de la tutela y tratamiento
las medidas de
del sistema de datos personales adoptará
seguridad conforme a lo siguiente:

I. Tipos de seguridad:
a) Física.
b) Lógica.
c) De desarrollo y aplicaciones.
d) De cifrado.
e) De comunicaciones y redes.

instalaciones, equipos, soportes o sistemas de datos para la
prevención de riesgos por caso fortuito o causas de fuerza

Se refiere a toda medida orientada a la protección de

mayor

CAPÍTULO VII

Medidas de Seguridad



Artículo 30. El ente público responsable de la tutela y tratamiento
las medidas de
del sistema de datos personales adoptará
seguridad conforme a lo siguiente:

I. Tipos de seguridad:
a) Física.
b) Lógica.
c) De desarrollo y aplicaciones.
d) De cifrado.
e) De comunicaciones y redes.

identificación y autentificación de las personas o usuarios
autorizados para el tratamiento de los datos personales de

Se refiere a las medidas de protección que permiten la

acuerdo con su función

CAPÍTULO VII

Medidas de Seguridad



Artículo 30. El ente público responsable de la tutela y tratamiento
las medidas de
del sistema de datos personales adoptará
seguridad conforme a lo siguiente:

I. Tipos de seguridad:
a) Física.
b) Lógica.
c) De desarrollo y aplicaciones.
d) De cifrado.
e) De comunicaciones y redes.

garantizar el adecuado desarrollo y uso
de los datos, previendo la participación
de usuarios, la separación de entornos,
la metodología a seguir, ciclos de vida y
gestión, así como las consideraciones
especiales respecto de aplicaciones y

Autorizaciones con las que deberá
contar la creación o tratamiento de
sistemas de datos personales para





pruebas;

CAPÍTULO VII

Medidas de Seguridad






Artículo 30. El ente público responsable de la tutela y tratamiento
las medidas de
del sistema de datos personales adoptará
seguridad conforme a lo siguiente:

I. Tipos de seguridad:
a) Física.
b) Lógica.
c) De desarrollo y aplicaciones.
d) De cifrado.
e) De comunicaciones y redes.

Es implementación de algoritmos, claves,
contraseñas, así como dispositivos concretos
de protección que garanticen la integralidad y
confidencialidad de la información


CAPÍTULO VII

Medidas de Seguridad



Artículo 30. El ente público responsable de la tutela y tratamiento
las medidas de
del sistema de datos personales adoptará
seguridad conforme a lo siguiente:

I. Tipos de seguridad:
a) Física.
b) Lógica.
c) De desarrollo y aplicaciones.
d) De cifrado.
e) De comunicaciones y redes.

Se refiere a las restricciones preventivas
o de riesgos que deberán observar los
usuarios de datos o sistemas de datos
personales para acceder a dominios o
cargar programas autorizados, así como
para el manejo de telecomunicaciones.





CAPÍTULO VII

Medidas de Seguridad

ARTÍCULO 30

II. Niveles de seguridad:


a) Básico. El relativo a las medidas generales de seguridad cuya
aplicación es obligatoria para todos
los sistemas de datos
personales.



CAPÍTULO VII

Medidas de Seguridad

ARTÍCULO 30

II. Niveles de seguridad:




a) Básico. El relativo a las medidas generales de seguridad cuya
aplicación es obligatoria para todos
los sistemas de datos
personales.

b) Medio. Se refiere a la adopción de medidas de seguridad cuya
aplicación corresponde a aquellos sistemas de datos relativos a la
comisión de infracciones administrativas o penales, hacienda
pública, servicios financieros, datos patrimoniales, así como a los
sistemas que contengan datos personales suficientes para obtener
una evaluación de la personalidad del individuo.

CAPÍTULO VII

Medidas de Seguridad

ARTÍCULO 30

II. Niveles de seguridad:




c) Alto. Corresponde a las medidas de seguridad aplicables a
sistemas de datos concernientes a la ideología, religión, creencias,
afiliación política, origen étnico, salud, biométricos, genéticos o
vida sexual, así como los que contengan datos recabados para
fines policiales, de seguridad, prevención,
investigación y
persecución de delitos.

CAPÍTULO VII

Medidas de Seguridad

ARTÍCULO 30

LDP 16

NIVELES

Básico

Todos los sistemas de datos personales


Medio

Comisión de infracciones administrativas o penales,
hacienda pública, servicios
financieros, datos
patrimoniales


Alto

Ideología
Religión
Creencias
Afiliación política

•
•
•
•
• Origen étnico
•
•

Salud
Biométricos

• Genéticos o vida sexual
•

Datos recabados para
fines policiales
De seguridad,
Prevención, investigación
y persecución de delitos.

•

CAPÍTULO VII

Medidas de Seguridad

ARTÍCULO 30

LDP-16

NIVELES

MEDIDAS

Básico

Todos los sistemas de datos personales


1. Documento de seguridad;
2. Funciones y obligaciones del personal
que intervenga en el tratamiento de los
sistemas de datos personales;
3. Registro de incidencias;
4. Identificación y autentificación;
5. Control de acceso;
6. Gestión de soportes;
7. Copias de respaldo y recuperación.

Alto

CAPÍTULO VII

Medidas de Seguridad

ARTÍCULO 30

NIVELES

MEDIDAS

Básico
Las funciones y obligaciones de todos los que intervengan
en el tratamiento de datos personales deben estar
claramente definidas en el documento de seguridad.

El responsable del sistema de datos personales adoptará
las medidas necesarias para que el personal conozca las
normas de seguridad que afecten al desarrollo de sus
funciones, así como las responsabilidades y consecuencias
en que pudiera incurrir en caso de incumplimiento.


Todos los sistemas de datos personales


1. Documento de seguridad;
2. Funciones y obligaciones del personal
que intervenga en el tratamiento de los
sistemas de datos personales;
3. Registro de incidencias;
4. Identificación y autentificación;
5. Control de acceso;
6. Gestión de soportes;
7. Copias de respaldo y recuperación.

Alto

CAPÍTULO VII

Medidas de Seguridad

ARTÍCULO 30

NIVELES

MEDIDAS

1. Documento de seguridad;
2. Funciones y obligaciones del personal
que intervenga en el tratamiento de los
sistemas de datos personales;
3. Registro de incidencias;
4. Identificación y autentificación;
5. Control de acceso;
6. Gestión de soportes;
7. Copias de respaldo y recuperación.

Básico

Todos los sistemas de datos personales


Los procedimientos de notificación gestión y respuesta
ante incidencias contarán necesariamente con un registro
en el que se haga constar:
•
•
•
•
•
•


El tipo de incidencia.
El momento en que se ha producido.
La persona que realiza la notificación.
A quién se le comunica.
Los efectos que se hubieran derivado de la misma.
Las acciones implementadas.

Alto

CAPÍTULO VII

Medidas de Seguridad

ARTÍCULO 30

NIVELES

MEDIDAS

1. Documento de seguridad;
2. Funciones y obligaciones del personal
que intervenga en el tratamiento de los
sistemas de datos personales;
3. Registro de incidencias;
4. Identificación y autentificación;
5. Control de acceso;
6. Gestión de soportes;
7. Copias de respaldo y recuperación.

Básico

Todos los sistemas de datos personales


El responsable del sistema de datos personales tendrá a su
cargo la elaboración de una relación actualizada de
servidores públicos que tengan acceso autorizado al
sistema y de establecer procedimientos que permitan la
correcta identificación y autenticación para dicho acceso.

Establecerá un mecanismo que permita la identificación,
de forma inequívoca y personalizada, de toda aquella
persona que intente acceder al sistema y la verificación de
que está autorizada.

Cuando el mecanismo de autenticación se base en la
un
existencia
de
procedimiento
y
almacenamiento que garantice su confidencialidad e
integridad.

Las contraseñas se cambiarán con la periodicidad que se
determine en el documento de seguridad y se conservarán
cifradas.

Se establecerá un procedimiento de creación y
modificación
formato,
contenido).

establecerá
distribución
Alto

contraseñas
de

se
asignación,

de

contraseñas

(longitud,

CAPÍTULO VII

Medidas de Seguridad

ARTÍCULO 30

NIVELES

MEDIDAS

1. Documento de seguridad;
2. Funciones y obligaciones del personal
que intervenga en el tratamiento de los
sistemas de datos personales;
3. Registro de incidencias;
4. Identificación y autentificación;
5. Control de acceso;
6. Gestión de soportes;
7. Copias de respaldo y recuperación.

Básico

Todos los sistemas de datos personales


El responsable del sistema de datos personales deberá
adoptar medidas para que los encargados del tratamiento
de datos personales y usuarios tengan acceso autorizado
únicamente a aquellos datos y recursos que precisen para
el desarrollo de sus funciones.

Deberá mantener actualizada una relación de personas
autorizadas y los accesos autorizados para cada una de
ellas. Asimismo, deberá establecer los procedimientos para
el uso de bitácoras respecto de las acciones cotidianas
llevadas a cabo en el sistema de datos personales.

Alto
Solamente el responsable del sistema de datos personales