Segurtasuna nola bete urratsez urrats · 2015-10-08 · 1.- Segurtasun arduraduna Oinarrizkoa Maila ertaina Goi-maila Bakar bat edo gehiago egon beharko dira, tratamendu-kontrolatzaileak

• 1720/2007 ED

Erregelamenduko

segurtasun neurriak

DBLOan segurtasuna

nola bete urratsez urrats

DBLO nola bete,

urratsez urrats

• Informazioa bildu

• Eskakizun formalak bete

• Betebehar materialak bete

• Segurtasun neurriak bete eta betearazi

www.avpd.eus DBLOan segurtasuna nola bete urratsez urrats 2

A.- DBLOri buruzko

informazioa biltzen

1. Hasteko, begira ezazu gure web orria (www.avpd.eus).

2. Irakurri Datuak Babesteko Lege Organikoa (DBLO, 15/1999 Legea),

3. Irakurri Datuak Babesteko Euskal Bulegoa sortzeari buruzko Erkidegoko legea (DBEBL, 2/2004 Legea),

4. Irakurri DBLO garatzen duen Erregelamendu berria (1720/2007 ED)


http://www.avpd.eus/

B.- Eskakizun formalak

betetzen:

1. Egon daitezkeen datu pertsonalen fitxategien gaineko ahalik eta inbentariorik osoena egin

2. Fitxategi horiek aitortzeko behar diren ezaugarriak identifikatu. DBLOren 20. artikuluan daude jasota eta 1720/2007 EDren 54. artikuluan daude garatuta

3. Fitxategiak arautzeko xedapena idatzi

4. Xedapena onartu eta dagokion aldizkari ofizialean argitaratu

5. Autoaitorpenak egiteko programa behin betiko bete eta aitorpena DBEBra bidali – http://www.avpd.eus/erregistro


http://www.avpd.eus/erregistro

C.– Betebehar materialak

betetzen

1. Datu pertsonalak behar bezala tratatu – Datu bilketa

– Mantentzea-lana eta eguneratzea

– Lanbide sekretua

2. Fitxategietan jasota daudenei AZETA eskubideez baliatzeko aukera erraztea – (Atzitzea, Zuzentzea, Ezereztea eta Aurka egitea)

3. Bestelako gomendioak: – Ereduzko kode bat edo jardunbide egokien eskuliburu bat

onartzea

– Hirugarrenekin egiten diren kontratuetan arreta jartzea

– Langileei laguntza eta prestakuntza ematea


D.- Vigilando las

medidas de seguridad

• Reguladas en el RD-1720/2007

• Distingue tres niveles de exigencia para las medidas de seguridad – Nivel Básico

– Nivel Medio

– Nivel Alto

• Medidas específicas según la organización de los ficheros: – Ficheros no automatizados

– Ficheros no automatizados

• Diferentes medidas (“objetivos de control”)


Niveles de seguridad


Nivel Básico: Todos los ficheros

Nivel Medio: ficheros con

•Infracciones administrativas o penales

•Información sobre solvencia patrimonial

•Administraciones Tributarias

•Entidades financieras

•Seguridad Social

•Elaboración de perfiles

Nivel Alto: ficheros con

•Datos especialmente protegidos

•Fines policiales

•Violencia de género

Oinarrizko mailako neurrien

laburpena

Fitxategi automatizatuak eta ez-automatizatuak

89. art. Langileen eginkizunak eta betebeharrak

90. art. Segurtasun gorabeheren erregistroa

91. art. Sarbide kontrola

92. art. Euskarrien eta dokumentuen kudeaketa

Automatizatuak soilik Ez-automatizatuak soilik

93. art. Identifikazioa eta

autentifikazioa

94. art. Babes kopiak eta

berreskuratzea

106. art. Artxibatzeko irizpideak

- AZETA eskubideak ahalbideratzea

107. art. Biltegiratzeko gailuak

- irekitzeko mekanismoak

108. art. Euskarriak zaintzea

- izapidetze prozesuan


Maila ertaineko neurrien

laburpena

Fitxategi automatizatuak eta ez-automatizatuak

95. eta 109. artikuluak: Segurtasun arduraduna

96. eta 110. artikuluak.: Auditoria


97. art. Euskarrien kudeaketa

98. art. Identifikazioa eta autentifikazioa

99. art. Sarbide fisikoaren kontrola

100. art. Segurtasun gorabeheren

erregistroa


Goi-mailako neurrien laburpena


101. art. Euskarrien kudeaketa eta

banaketa

–Datuak enkriptatzea. Enkriptatu

ezin daitezkeen gailuak saihestea

102. art. Babes kopiak eta

berreskuratzea

103. artikulua. Atzipenen erregistroa

–Salbuespena: kontrolatzailea

pertsona fisikoa eta erabiltzaile

bakarra izatea

104. art. Telekomunikazioak

–Sare publiko edo haririk gabekoetan

enkriptatuta

111. art. Informazioa biltegiratzea

–Artxibategiak, gune murriztuak

112. art. Kopia edo erreprodukzioa

–Baimendutako langileak

113. art. Dokumentazioa atzitzea

–Erabiltzaile batek baino gehiagok

egindako atzipenak identifikatzeko

tresna

114. art. Dokumentazioa garraiatzea

–Atzipena, manipulazioa galaraztea


10 Objetivos de Control

de medidas de seguridad

• Organización de la Seguridad

• Documentación de Seguridad

• Funciones y obligaciones del personal

• Identificación y autenticación de usuarios

• Controles y registros de accesos

• Accesos a través de redes / Internet

• Soportes y documentos con información

• Copias de respaldo y recuperación

• Gestionar Incidencias de seguridad

• Efectuar Controles y Auditorías


DBLOan segurtasuna nola bete urratsez urrats

1.- Segurtasun arduraduna

Oinarrizkoa Maila ertaina Goi-maila

Bakar bat edo gehiago egon beharko dira,

tratamendu-kontrolatzaileak izendatuta.

Segurtasun neurriak koordinatu eta

kontrolatzeko arduraduna da.

Izendapen honek ez du esan nahi fitxategi-

kontrolatzailea bere erantzukizunetatik askatzen

denik.

Fitxategi ez-automatizatuen segurtasuna ere

kudeatu behar du (artxibistika).

Fitxategi automatizatuei eta eskuzkoei ezargarria

www.avpd.eus 12

2.- Documento de Seguridad -

Requisitos

Nivel Básico Nivel Medio N. Alto

Establece y recopila, como mínimo: El Ámbito de aplicación.

Las medidas, normas, procedimientos y estándares

de seguridad.

Las funciones y obligaciones del personal.

La estructura de los ficheros y la descripción de los

sistemas de información.

Los procedimientos de gestión y respuesta ante

incidencias.

Los procedimientos de realización de las copias de

respaldo y recuperación de datos.

Las Medidas para el transporte, destrucción y

reutilización de soportes.

Además debe contener:

La Identificación del

responsable de

seguridad.

Los Controles

periódicos del

cumplimiento del

documento.

Aplicable a ficheros automatizados y manuales



2.- Segurtasun Agiria

Oinarrizko maila Maila ertaina Goi-maila

• Tratamendu sistemak edo beste irizpide batzuk kontuan hartuta, honakoa izan

daiteke:

– Agiri bakarra fitxategi guztientzat (edo fitxategi multzo batentzat) ala

– Agiri bat fitxategi bakoitzeko

• Ohiz kanpoko egoera hauek ere jaso beharko ditu:

– Zerbitzuen prestazioak (82.1), gailu eramangarrien erabilera (86),

– Neurri osagarriak, aurreikusitako neurriak aplikatzea ezinezkoa

• Baimenen eskuordetzak jaso beharko ditu (84. artikulua)

• Kanpora ateratzen diren fitxategiak jaso beharko ditu, berariaz adieraziz

• Segurtasun Agiria eramateko ardura datu-prozesatzaileari eskuordetu ahal zaio

• Datu-prozesatzaileek hirugarrenen kontura tratatzen dituzten fitxategiak jaso

beharko dituzte, enkarguaren baldintzak aipatuz

• Barne izaera du. Aldizkako kontrolak eta eguneratzeak

Fitxategi automatizatuei eta eskuzkoei ere ezargarria

www.avpd.eus 14


3.- Langileen eginkizunak eta

betebeharrak.


Datu pertsonalak atzitzearekin zerikusia duten eginkizunak

eta betebeharrak zehatz finkatuta eta dokumentatuta egon

beharko dute.

Eskuordetutako kontrol-eginkizunak eta baimenak zehaztu

egin beharko dira.

Eurengan eragina duten arauen berri izan behar dute

langileek.

Langileek jakin behar dute zeintzuk diren arau horiek ez

betetzearen ondorioak.


www.avpd.eus 15


4.- Identifikazioa eta

Autentifikazioa


Erabiltzaile bakoitza modu

unibokoan eta pertsonalki

identifikatu beharko da

Pasahitzak esleitzeko eta

kudeatzeko prozedura

Pasahitzek iraungitze epe bat

izango dute, urte bete baino

txikiagoa.

Modu ulertezinean biltegiratuko

dira.

Baimenik gabe behin

eta berriz egiten diren

atzipen saiakerak

mugatu egingo dira.

Fitxategi automatizatuei ezartzeko bakarrik

www.avpd.eus 16


5.- sarbide-kontrolak eta atzipen-

erregistroak


Euren eginkizunetarako

behar dituzten datuak

atzitzeko eta baliabideetan

sartzeko baimena bakarrik.

Erabiltzaileen eta profilen

zerrenda eguneratua eta

baimenduta dituzten

atzipenak.

Bestelako baimendun

atzipenak saihesteko

mekanismoak.

Baimendutako pertsonalak

emango ditu eskubideak.

Sarbide

fisikoaren

kontrolak

egongo dira

informazio

sistemak

dauden

lokaletan.

Atzipenen erregistro bat

egongo da eta honakoak

jasoko ditu: erabiltzailea, ordua, fitxategia, atzipen mota atzitutako erregistroa.

Segurtasun arduradunaren

kontrolpean egon beharko da.

Txosten bat egin beharko da

hilean behin.

Gutxienez bi urtez gordeko da.

Salbuespena:

Atzipena pertsona fisiko

bakarrak egiten badu

Fitxategi automatizatuei eta

eskuzkoei ezargarria Fitxategi automatizatuei ezartzeko bakarrik

www.avpd.eus 17


5.- sarbide kontrolak eta

atzipen erregistroak


Euren eginkizunetarako behar

dituzten datuak atzitzeko eta

baliabideetan sartzeko baimena

bakarrik.

Erabiltzaileen eta profilen zerrenda

eguneratua eta baimenduta dituzten

atzipenak.

Bestelako baimendun atzipenak

saihesteko mekanismoak.

Baimendutako pertsonalak emango

ditu eskubideak.

Baimena daukaten langileek baino ez

dute izango sarbidea.

Erabiltzaile batek baino gehiagok

erabil ditzaketen dokumentuen

atzipenak identifikatzeko tresnak

egon beharko dira.

Bestelako pertsonek egindako

atzipenak erregistratzeko prozedura

Segurtasun Agirian.

Fitxategi automatizatuei eta eskuzkoei

ezargarria

Eskuzko fitxategiei ezartzeko bakarrik

www.avpd.eus 18


6.- Telekomunikazioen bidez egiten

diren atzipenak eta trasmisioak


Komunikazio sareen bidez,

publikoak nahiz pribatuak

izan, egiten diren atzipenei

eskatu behar zaizkien

segurtasun neurriak tokian

bertan egiten diren atzipenen

segurtasun neurrien parekoak

izan beharko dira

Telekomunikazioen sareen bidez

egiten diren datu transmisioak

Publikoak (Internet)

Hari gabekoak (WiFi)

datuak enkriptatuz egin beharko

dira, edo, bestela, beste edozein

mekanismo erabili beharko da,

informazio hori beste inork

ulertzeko edo manipulatzeko

modurik egon ez dadin.


www.avpd.eus 19


7.a- Euskarrien kudeaketa,

fitxategi automatizatuak badira


Sarbide mugatua.

Euskarrien baimendutako

irteera, nahiz eta posta

elektronikoaren bidez izan.

Euskarrien inbentarioa

Leku batetik bestera eramatean

hartu beharreko neurriak

galerarik egon ez dadin…

Baztertzen diren datuak

berreskuratzea edo

berrerabiltzea ezinezkoa izan

dadin hartu beharreko neurriak.

Bertan dagoen datu mota

identifikatu beharko da.

Euskarrien

sarrera eta

irteera erregistro

bat egon

beharko da.

“Kripto-Etiketatua”

Euskarriak banatzeko,

datuak enkripatzea edo

datuak atzitzea

ezinezkoa izan dadin,

bestelako bitartekoak

erabiltzea.

Gailu eramangarriak

enkriptatzea.

SAk dituen

salbuespenak

Fitxategi automatizatuei eta eskuzkoei

ezargarria Fitxategi automatizatuei ezartzeko bakarrik

www.avpd.eus 20


7.b- Euskarrien eta dokumentuen

kudeaketa, eskuzko fitxategiak

badira


Artxiboko irizpideak ezarriko dira

kontserbazioa, lokalizazioa eta

kontsulta ahalbideratzeko.

Biltegiratzeko tresnetan, zabaltzea

oztopatzeko baliabideak eduki behar

dira.

Dokumentazioa ez badago artxibatuta,

jasotzaileak behar bezala zaindu

beharko du, baimenik gabeko

atzipenik egon ez dadin.

Armairuetarako, artxibategietarako

eta abarretarako sarbidea sarrailadun

ateekin babestuta egongo da.

Barruan sartu beharrik ez badago,

ateek itxita egon beharko dute.

Bestelako konponbideak arrazoitu

egin beharko dira Segurtasun Agirian

Dokumentazioa fisikoki aldatu behar

denean lekuz, neurriak hartu beharko

dira atzipenik edo manipulaziorik

egon ez dadin

Eskuzko fitxategiei ezartzeko bakarrik

Seg

urta

sun

Neu

rria

k

www.avpd.eus 21


8.- Babes kopiak eta

berreskuratze prozedurak


Babes kopiak egiteko eta datuak

berreskuratzeko prozedurak, gutxienez

astean behin

Bermatu egin beharko da datuak galdu edo

suntsitu zirenean bezala, egoera berean,

berregingo direla.

Sei hilean behin egiaztatzea prozedurak,

funtzionamendua eta aplikazioa

Probak egitea segurtasun maila bera duten

datuekin eta segurtasun kopia izanik

Babes kopiak

eta

berreskuratze

prozedurak ez

dira gordeko

ekipoak dauden

toki berean,

beste batean

baizik.


Seg

urta

sun

Neu

rria

k

www.avpd.eus 22


9.- Segurtasun gorabeherak

kudeatzeko prozedura


Gorabeheren erregistro bat

egon beharko du eta

honakoak jaso:

gorabehera mota,

noiz gertatu den,

nork jakinarazi duen,

nori jakinarazi zaion

ondorioak.

Horiez gainera, honakoak izan behar

ditu:

Datuak berreskuratzeko erabili

diren prozedurak,

nork erabili dituen,

berreskuratu diren datuak

eskuz grabatu diren datuak.

Datuak berreskuratzeko,

ezinbestekoa da tratamendu

kontrolatzaileak idatziz emandako

baimena.

Fitxategi automatizatuei eta

eskuzkoei ezargarria


Seg

urta

sun

Neu

rria

k

www.avpd.eus 23


10.- Segurtasun Agiriaren aldizkako

kontrolak eta auditoriak

Oinarrizko

maila

Maila ertaina Goi-maila

Aldizkako kontrolak egitea

Segurtasun Agiria eguneratuta izatea

Gutxienez auditoria bat bi urtean behin.

Funtsezko aldaketak egiten direnean.

Barrukoa nahiz kanpokoa izan daiteke.

Honakoei buruzko irizpenak jaso behar ditu:

Neurriak eta kontrolak egokiak diren.

Identifikatutako akatsak.

Beharrezko neurri zuzentzaileak.

Segurtasun arduradunaren egitekoak:

Auditoria txostena aztertu

Ateratzen dituen ondorioak tratamendu kontrolatzaileari

jakinarazi

DBEBren eskura


Seg

urta

sun

Neu

rria

k

www.avpd.eus 24


Nork zer egiten du?

Segurtasun Neurriak Fitxategi-

kontrol.

Segurtasun

arduraduna Langileak

Segurtasunaren antolaketa Izendatu Antolatu

Segurtasun Agiria Politikak

erabaki Egin Aplikatu Jakin

Langileen eginkizunak eta betebeharrak Finkatu

Egin Dokumentatu Bete

Erabiltzaileen identifikazioa eta autentifikazioa Pol. finkatu

Inplantatu Bete

Sarbide kontrolak eta atzipen erregistroak Inplantatu

Kudeatu Jakin

Telekomunikazio sareen bidez egiten diren sarbideak eta

atzipenak

Inplantatu

Kudeatu Jakin

Informaziodun euskarriak eta dokumentuak Pol. finkatu

Kudeatu Bete

Babes eta berreskurapen kopiak Pol. finkatu

Gainbegiratu

Segurtasun gorabeherak Egin Aurrea hartu

Kudeatu Elkarlana

Auditoriak eta aldizkako kontrolak egitea Erabaki Enkargatu

Kudeatu Elkarlana

www.avpd.eus 25

Documents

Segurtasuna nola bete urratsez urrats · 2015-10-08 · 1.- Segurtasun arduraduna Oinarrizkoa Maila ertaina Goi-maila Bakar bat edo gehiago egon beharko dira, tratamendu-kontrolatzaileak