PDF de programación - Seguridad Informática: Capítulo 3: Legislación y normativa de seguridad

Seguridad Informática:
Capítulo 3: Legislación y normativa
de seguridad

Titulación: Ingeniero en Informática.
Curso 5º - Cuatrimestral (2005-2006)

Javier Jarauta Sánchez
José María Sierra
Rafael Palacios Hielscher

Legislación y normativa de seguridad

Identificación de normativa aplicable
Ley Orgánica de Protección de Datos (LOPD).
Ley de Servicios para la Sociedad de la Información y del

Comercio Electrónico (LSSI-CE).

Ley de Acceso Electrónico de los Ciudadanos a los Servicios

Públicos (LAECSP)

Ley de Medidas de Impulso para la Sociedad de la Información

(LISI)

Ley de Firma Electrónica.
UNE-ISO/IEC 17799 y UNE 71502.
TCSEC, ITSEC, Common Criteria.
Otros estándares y normas

2
Capítulo 3

Marco Legislativo y Normativo

• Marco legislativo: Definir e identificar las leyes

aplicables para la organización que tienen relación
con la seguridad de los Sistemas de Información

• Marco normativo: Definir e identificar las normas y

estándares de seguridad de la información que
aplican en cada caso

3
Capítulo 3

Legislación de Seguridad
LOPD
Ley 15/1999 de 13 de diciembre
RD 994/1999 de 11 de junio. Reglamento
RD 1720/2007 de 19 de diciembre. Nuevo reglamento

4
Capítulo 3

1. Ley de Protección de Datos - LOPD

• Ley Orgánica 15/1999, de 13 de Diciembre de

Protección de Datos de Carácter Personal - LOPD

• Real Decreto 994/1999 de 11 de Junio por el que se
aprueba el Reglamento de Medidas de Seguridad de
los ficheros automatizados que contengan datos de
carácter personal – Reglamento de Seguridad

• Todas las empresas que tengan ficheros con datos

personales han de declararlos a la Agencia Española
de Protección de Datos (www.agpd.es)

• Existen agencias en Comunidades Autónomas para

ficheros de Titularidad Pública (www.apdcat.net;
www.madrid.org/apdcm)

5
Capítulo 3

Ley de Protección de Datos - LOPD

• Hay que implantar un documento de seguridad
• Se clasifican en tres Niveles:

• Básico: Ficheros con información personal
• Medio: Ficheros con datos relativos a la comisión de infracciones

administrativas, Hacienda Pública, Servicios financieros, así como los
ficheros para la prestación de servicios de información sobre solvencia
patrimonial y de crédito

• Alto: Ficheros con datos sobre ideología, religión, creencias, origen racial,
salud o vida sexual, así como los datos recabados para fines policiales sin
consentimiento del afectado

• Hay que aplicar medidas de seguridad técnicas y

organizativas en función del nivel y según establece el
reglamento

• Auditorías bienales para ficheros de nivel medio y alto

6
Capítulo 3

Ley de Protección de Datos - LOPD

• Nivel básico

– Creación de un documento de seguridad, de obligado
cumplimiento para el personal que tenga acceso a los
datos.

– Adopción de medidas para que el personal conozca las

normas de seguridad.

– Creación de un registro de incidencias
– Creación de una relación de usuarios (procesos o

personas) que tengan acceso al sistema de información

– Establecer mecanismos de control de acceso
– Establecer mecanismos de control de soporte

7
Capítulo 3

Ley de Protección de Datos - LOPD

• Nivel medio

– Todas las obligaciones de nivel básico
– Identificación del responsable de seguridad
– Control periódico para verificar el cumplimiento en lo

dispuesto en el documento de seguridad

– Definir además las medidas para reutilizar o desechar un

soporte

– Auditoría interna o externa. Al menos cada 2 años.
– Mecanismo para identificar todo usuario que intente

acceder al sistema. Limitar el número de intentos.

– Normas sobre gestión de los soportes.

8
Capítulo 3

Ley de Protección de Datos - LOPD

• Nivel alto

– Todas las obligaciones de nivel básico y nivel medio.
– Medidas complementarias sobre:

• Distribución y gestión de soportes de copias de seguridad
• Registro de accesos lógicos: logs con usuario, hora, tipo
• Control y registro de accesos físicos
• Copias de respaldo y recuperación

– Comunicaciones cifradas en caso de realizar transmisión

de datos

9
Capítulo 3

Ley de Protección de Datos - LOPD

• Derechos básicos

– Derecho de consulta al registro general de protección de

datos. El registro es de consulta pública y gratuita.

• Servicios gratuitos que debe ofrecer la empresa
– Derecho de acceso. Consulta gratuita de los datos

personales de la persona que los solicite.
– Derecho de rectificación. plazo de 10 días
– Derecho de cancelación (derecho a borrar el dato). plazo

de 10 días

– Derecho de oposición (eliminación de datos cuyo

tratamiento no requiera consentimiento).

10
Capítulo 3

Ley de Protección de Datos - LOPD

• Infracciones leves (multa de 600€ a 60.000€)

– No solicitar la inscripción del fichero en la AGPD
– No atender las solicitudes de los interesados
– Recoger los datos sin informar a los interesados sobre: la

existencia del fichero, el uso que se va a dar a los datos, el
responsable del fichero, los derechos del interesado.

11
Capítulo 3

Ley de Protección de Datos - LOPD

• Infracciones graves (multa de 60.000€ a 300.000€)

– Recoger datos sin recabar el consentimiento expreso de

los afectados

– Crear ficheros de titularidad pública sin tener autorización

especial

– Crear ficheros de titularidad privada con fines distintos al

objetivo legítimo de la empresa

– Mantener los ficheros sin las debidas medidas de

seguridad

– Mantener datos inexactos o no efectuar

correcciones/cancelaciones

12
Capítulo 3

Ley de Protección de Datos - LOPD

• Infracciones muy graves (multa de 300.000€ a 600.000€)

– Comunicación o cesión de datos
– Recogida de datos de forma engañosa o fraudulenta
– No atender sistemáticamente los derechos de acceso,

rectificación, cancelación u oposición

13
Capítulo 3

Reglamento medidas seguridad

TIPO DE FICHERO
Disponer de Documento de Seguridad
Nombrar un Responsable de Seguridad
Funciones y obligaciones del personal
Registro de incidencias
Identificación y autenticación
Sistema de control de acceso lógico
Sistema de control de acceso físico
Gestión de soportes
Copias de respaldo y recuperación
Realizar auditoría bienal
No realizar pruebas con datos reales
Distribución de soportes
Disponer de un registro de accesos
Cifrado de las telecomunicaciones

BASICO

MEDIO

ALTO

SI

SI
SI
SI
SI

SI
SI

SI
SI
SI
SI
SI
SI
SI
SI
SI
SI
SI

SI
SI
SI
SI
SI
SI
SI
SI
SI
SI
SI
SI
SI
SI

14
Capítulo 3

Legislación de Seguridad
LSSI-CE
Ley 34/2002 de 11 de Julio

15
Capítulo 3

2. Ley Sociedad Información -LSSI-CE

• Ley 34/2002 de 11 de Julio, de Servicios de la

Sociedad de la Información y del Comercio
Electrónico – LSSI-CE (www.lssi.es)

• Establece los criterios de servicios en Internet, cuando

sean parte de actividad económica.

• Validez y regulación del comercio electrónico

16
Capítulo 3

2. Ley Sociedad Información -LSSI-CE

• Servicios por Internet

– Mostrar en la web: Nombre, NIF, dirección, correo electrónico
– Datos de inscripción registral incluyendo nombre del dominio
– Mostrar precios de los productos y servicios,
– Contratación y tramitación on-line
– Autenticación mediante certificados y establecer canales seguros SSL

• Sobre la publicidad por Internet

– Prohibición de los spam (email no solicitado)
– Posibilidad de borrarse de las listas de correo informativo

• Sobre los prestadores de servicios ISP, Hosting

– Colaborar con los organos públicos para resolucion de incidencias:

almacenamiento de logs y eventos para rastreo

– Informar a los clientes sobre medidas de seguridad a aplicar
– No son responsables de contenidos ilícitos si no los elaboran,
– Sí son responsables si los conocen y no los retiran o no los comunican.

• Sobre titulares de páginas personales

– Solo sujetas a la ley si tienen publicidad por la que perciban ingresos
– Identificar claramente la publicidad y la identidad: nombre, tfno, fax, eMail, NIF

17
Capítulo 3

Legislación de Seguridad
LAECSP
Ley 11/2007 de 22 de junio

18
Capítulo 3

3. Ley de Acceso a Servicios Públicos -LAECSP

• Orientada a los derechos de los ciudadanos y obligaciones de

las AAPP

• Ejes fundamentales: Interoperabilidad,accesibilidad y seguridad
• Obligación de poner TODOS los trámites administrativos antes

del 31 de Diciembre de 2009

• Servicio www.060.es de atención al ciudadano centralizando

todos los servicios. Catálogo de servicios

• Existe un Plan Estratégico y un Plan de Actuación con medidas

en adaptación de procedimientos, infraestrcuturas y acciones
horizontales (p.e. Seguridad)

19
Capítulo 3

3. Ley de Acceso a Servicios Públicos -LAECSP

• Acceso de los ciudadanos a una “Sede Electrónica”
• Transmisión de datos entre Administraciones Públicas, para

que el ciudadano no aporte datos que ya disponen.

• Identificación y autenticación de ciudadanos y AAPP mediante

certificados digitales (DNIe)

• Establecimiento de registros electrónicos 24x7 para la entrega

y recepción de solicitudes y escritos

• Notificación por medios electrónicos con firma digital
• Consideración de copias auténticas de documentos

electrónicos firmados, que pueden obtener los ciudadanos

• Archivo electrónico de los documentos con servicios de
confidencialidad, integridad, autenticidad y conservación

• Gestión electrónica de los procedimientos administrativos:

iniciación, instrucción, terminación.

20
Capítulo 3

Legislación de Seguridad
LISI
Ley 56/2007 de 28 de diciembre

21
Capítulo 3

4. Ley Impulso Sociedad de la Información LISI

• Medidas orientadas a impulsar la Sociedad de la

Información en el sector privado

• Tres líneas fundamentales

– Facturación electrónica
– Contratación electrónica
– Interlocución entre clientes, partners y proveedores

22
Capítulo 3

4. Ley Impulso Sociedad de la Información LISI

• Facturación electrónica.

– Uso de medios electrónicos en los procesos de cont