Upload
others
View
3
Download
0
Embed Size (px)
Citation preview
• 1720/2007 ED
Erregelamenduko
segurtasun neurriak
DBLOan segurtasuna
nola bete urratsez urrats
DBLO nola bete,
urratsez urrats
• Informazioa bildu
• Eskakizun formalak bete
• Betebehar materialak bete
• Segurtasun neurriak bete eta betearazi
www.avpd.eus DBLOan segurtasuna nola bete urratsez urrats 2
A.- DBLOri buruzko
informazioa biltzen
1. Hasteko, begira ezazu gure web orria (www.avpd.eus).
2. Irakurri Datuak Babesteko Lege Organikoa (DBLO, 15/1999 Legea),
3. Irakurri Datuak Babesteko Euskal Bulegoa sortzeari buruzko Erkidegoko legea (DBEBL, 2/2004 Legea),
4. Irakurri DBLO garatzen duen Erregelamendu berria (1720/2007 ED)
www.avpd.eus DBLOan segurtasuna nola bete urratsez urrats 3
B.- Eskakizun formalak
betetzen:
1. Egon daitezkeen datu pertsonalen fitxategien gaineko ahalik eta inbentariorik osoena egin
2. Fitxategi horiek aitortzeko behar diren ezaugarriak identifikatu. DBLOren 20. artikuluan daude jasota eta 1720/2007 EDren 54. artikuluan daude garatuta
3. Fitxategiak arautzeko xedapena idatzi
4. Xedapena onartu eta dagokion aldizkari ofizialean argitaratu
5. Autoaitorpenak egiteko programa behin betiko bete eta aitorpena DBEBra bidali – http://www.avpd.eus/erregistro
www.avpd.eus DBLOan segurtasuna nola bete urratsez urrats 4
C.– Betebehar materialak
betetzen
1. Datu pertsonalak behar bezala tratatu – Datu bilketa
– Mantentzea-lana eta eguneratzea
– Lanbide sekretua
2. Fitxategietan jasota daudenei AZETA eskubideez baliatzeko aukera erraztea – (Atzitzea, Zuzentzea, Ezereztea eta Aurka egitea)
3. Bestelako gomendioak: – Ereduzko kode bat edo jardunbide egokien eskuliburu bat
onartzea
– Hirugarrenekin egiten diren kontratuetan arreta jartzea
– Langileei laguntza eta prestakuntza ematea
www.avpd.eus DBLOan segurtasuna nola bete urratsez urrats 5
D.- Vigilando las
medidas de seguridad
• Reguladas en el RD-1720/2007
• Distingue tres niveles de exigencia para las medidas de seguridad – Nivel Básico
– Nivel Medio
– Nivel Alto
• Medidas específicas según la organización de los ficheros: – Ficheros no automatizados
– Ficheros no automatizados
• Diferentes medidas (“objetivos de control”)
www.avpd.eus DBLOan segurtasuna nola bete urratsez urrats 6
Niveles de seguridad
www.avpd.eus DBLOan segurtasuna nola bete urratsez urrats 7
Nivel Básico: Todos los ficheros
Nivel Medio: ficheros con
•Infracciones administrativas o penales
•Información sobre solvencia patrimonial
•Administraciones Tributarias
•Entidades financieras
•Seguridad Social
•Elaboración de perfiles
Nivel Alto: ficheros con
•Datos especialmente protegidos
•Fines policiales
•Violencia de género
Oinarrizko mailako neurrien
laburpena
Fitxategi automatizatuak eta ez-automatizatuak
89. art. Langileen eginkizunak eta betebeharrak
90. art. Segurtasun gorabeheren erregistroa
91. art. Sarbide kontrola
92. art. Euskarrien eta dokumentuen kudeaketa
Automatizatuak soilik Ez-automatizatuak soilik
93. art. Identifikazioa eta
autentifikazioa
94. art. Babes kopiak eta
berreskuratzea
106. art. Artxibatzeko irizpideak
- AZETA eskubideak ahalbideratzea
107. art. Biltegiratzeko gailuak
- irekitzeko mekanismoak
108. art. Euskarriak zaintzea
- izapidetze prozesuan
www.avpd.eus DBLOan segurtasuna nola bete urratsez urrats 8
Maila ertaineko neurrien
laburpena
Fitxategi automatizatuak eta ez-automatizatuak
95. eta 109. artikuluak: Segurtasun arduraduna
96. eta 110. artikuluak.: Auditoria
Automatizatuak soilik Ez-automatizatuak soilik
97. art. Euskarrien kudeaketa
98. art. Identifikazioa eta autentifikazioa
99. art. Sarbide fisikoaren kontrola
100. art. Segurtasun gorabeheren
erregistroa
www.avpd.eus DBLOan segurtasuna nola bete urratsez urrats 9
Goi-mailako neurrien laburpena
Automatizatuak soilik Ez-automatizatuak soilik
101. art. Euskarrien kudeaketa eta
banaketa
–Datuak enkriptatzea. Enkriptatu
ezin daitezkeen gailuak saihestea
102. art. Babes kopiak eta
berreskuratzea
103. artikulua. Atzipenen erregistroa
–Salbuespena: kontrolatzailea
pertsona fisikoa eta erabiltzaile
bakarra izatea
104. art. Telekomunikazioak
–Sare publiko edo haririk gabekoetan
enkriptatuta
111. art. Informazioa biltegiratzea
–Artxibategiak, gune murriztuak
112. art. Kopia edo erreprodukzioa
–Baimendutako langileak
113. art. Dokumentazioa atzitzea
–Erabiltzaile batek baino gehiagok
egindako atzipenak identifikatzeko
tresna
114. art. Dokumentazioa garraiatzea
–Atzipena, manipulazioa galaraztea
www.avpd.eus DBLOan segurtasuna nola bete urratsez urrats 10
10 Objetivos de Control
de medidas de seguridad
• Organización de la Seguridad
• Documentación de Seguridad
• Funciones y obligaciones del personal
• Identificación y autenticación de usuarios
• Controles y registros de accesos
• Accesos a través de redes / Internet
• Soportes y documentos con información
• Copias de respaldo y recuperación
• Gestionar Incidencias de seguridad
• Efectuar Controles y Auditorías
www.avpd.eus DBLOan segurtasuna nola bete urratsez urrats 11
DBLOan segurtasuna nola bete urratsez urrats
1.- Segurtasun arduraduna
Oinarrizkoa Maila ertaina Goi-maila
Bakar bat edo gehiago egon beharko dira,
tratamendu-kontrolatzaileak izendatuta.
Segurtasun neurriak koordinatu eta
kontrolatzeko arduraduna da.
Izendapen honek ez du esan nahi fitxategi-
kontrolatzailea bere erantzukizunetatik askatzen
denik.
Fitxategi ez-automatizatuen segurtasuna ere
kudeatu behar du (artxibistika).
Fitxategi automatizatuei eta eskuzkoei ezargarria
www.avpd.eus 12
2.- Documento de Seguridad -
Requisitos
Nivel Básico Nivel Medio N. Alto
Establece y recopila, como mínimo: El Ámbito de aplicación.
Las medidas, normas, procedimientos y estándares
de seguridad.
Las funciones y obligaciones del personal.
La estructura de los ficheros y la descripción de los
sistemas de información.
Los procedimientos de gestión y respuesta ante
incidencias.
Los procedimientos de realización de las copias de
respaldo y recuperación de datos.
Las Medidas para el transporte, destrucción y
reutilización de soportes.
Además debe contener:
La Identificación del
responsable de
seguridad.
Los Controles
periódicos del
cumplimiento del
documento.
Aplicable a ficheros automatizados y manuales
www.avpd.eus DBLOan segurtasuna nola bete urratsez urrats 13
DBLOan segurtasuna nola bete urratsez urrats
2.- Segurtasun Agiria
Oinarrizko maila Maila ertaina Goi-maila
• Tratamendu sistemak edo beste irizpide batzuk kontuan hartuta, honakoa izan
daiteke:
– Agiri bakarra fitxategi guztientzat (edo fitxategi multzo batentzat) ala
– Agiri bat fitxategi bakoitzeko
• Ohiz kanpoko egoera hauek ere jaso beharko ditu:
– Zerbitzuen prestazioak (82.1), gailu eramangarrien erabilera (86),
– Neurri osagarriak, aurreikusitako neurriak aplikatzea ezinezkoa
• Baimenen eskuordetzak jaso beharko ditu (84. artikulua)
• Kanpora ateratzen diren fitxategiak jaso beharko ditu, berariaz adieraziz
• Segurtasun Agiria eramateko ardura datu-prozesatzaileari eskuordetu ahal zaio
• Datu-prozesatzaileek hirugarrenen kontura tratatzen dituzten fitxategiak jaso
beharko dituzte, enkarguaren baldintzak aipatuz
• Barne izaera du. Aldizkako kontrolak eta eguneratzeak
Fitxategi automatizatuei eta eskuzkoei ere ezargarria
www.avpd.eus 14
DBLOan segurtasuna nola bete urratsez urrats
3.- Langileen eginkizunak eta
betebeharrak.
Oinarrizko maila Maila ertaina Goi-maila
Datu pertsonalak atzitzearekin zerikusia duten eginkizunak
eta betebeharrak zehatz finkatuta eta dokumentatuta egon
beharko dute.
Eskuordetutako kontrol-eginkizunak eta baimenak zehaztu
egin beharko dira.
Eurengan eragina duten arauen berri izan behar dute
langileek.
Langileek jakin behar dute zeintzuk diren arau horiek ez
betetzearen ondorioak.
Fitxategi automatizatuei eta eskuzkoei ezargarria
www.avpd.eus 15
DBLOan segurtasuna nola bete urratsez urrats
4.- Identifikazioa eta
Autentifikazioa
Oinarrizko maila Maila ertaina Goi-maila
Erabiltzaile bakoitza modu
unibokoan eta pertsonalki
identifikatu beharko da
Pasahitzak esleitzeko eta
kudeatzeko prozedura
Pasahitzek iraungitze epe bat
izango dute, urte bete baino
txikiagoa.
Modu ulertezinean biltegiratuko
dira.
Baimenik gabe behin
eta berriz egiten diren
atzipen saiakerak
mugatu egingo dira.
Fitxategi automatizatuei ezartzeko bakarrik
www.avpd.eus 16
DBLOan segurtasuna nola bete urratsez urrats
5.- sarbide-kontrolak eta atzipen-
erregistroak
Oinarrizko maila Maila ertaina Goi-maila
Euren eginkizunetarako
behar dituzten datuak
atzitzeko eta baliabideetan
sartzeko baimena bakarrik.
Erabiltzaileen eta profilen
zerrenda eguneratua eta
baimenduta dituzten
atzipenak.
Bestelako baimendun
atzipenak saihesteko
mekanismoak.
Baimendutako pertsonalak
emango ditu eskubideak.
Sarbide
fisikoaren
kontrolak
egongo dira
informazio
sistemak
dauden
lokaletan.
Atzipenen erregistro bat
egongo da eta honakoak
jasoko ditu: erabiltzailea, ordua, fitxategia, atzipen mota atzitutako erregistroa.
Segurtasun arduradunaren
kontrolpean egon beharko da.
Txosten bat egin beharko da
hilean behin.
Gutxienez bi urtez gordeko da.
Salbuespena:
Atzipena pertsona fisiko
bakarrak egiten badu
Fitxategi automatizatuei eta
eskuzkoei ezargarria Fitxategi automatizatuei ezartzeko bakarrik
www.avpd.eus 17
DBLOan segurtasuna nola bete urratsez urrats
5.- sarbide kontrolak eta
atzipen erregistroak
Oinarrizko maila Maila ertaina Goi-maila
Euren eginkizunetarako behar
dituzten datuak atzitzeko eta
baliabideetan sartzeko baimena
bakarrik.
Erabiltzaileen eta profilen zerrenda
eguneratua eta baimenduta dituzten
atzipenak.
Bestelako baimendun atzipenak
saihesteko mekanismoak.
Baimendutako pertsonalak emango
ditu eskubideak.
Baimena daukaten langileek baino ez
dute izango sarbidea.
Erabiltzaile batek baino gehiagok
erabil ditzaketen dokumentuen
atzipenak identifikatzeko tresnak
egon beharko dira.
Bestelako pertsonek egindako
atzipenak erregistratzeko prozedura
Segurtasun Agirian.
Fitxategi automatizatuei eta eskuzkoei
ezargarria
Eskuzko fitxategiei ezartzeko bakarrik
www.avpd.eus 18
DBLOan segurtasuna nola bete urratsez urrats
6.- Telekomunikazioen bidez egiten
diren atzipenak eta trasmisioak
Oinarrizko maila Maila ertaina Goi-maila
Komunikazio sareen bidez,
publikoak nahiz pribatuak
izan, egiten diren atzipenei
eskatu behar zaizkien
segurtasun neurriak tokian
bertan egiten diren atzipenen
segurtasun neurrien parekoak
izan beharko dira
Telekomunikazioen sareen bidez
egiten diren datu transmisioak
Publikoak (Internet)
Hari gabekoak (WiFi)
datuak enkriptatuz egin beharko
dira, edo, bestela, beste edozein
mekanismo erabili beharko da,
informazio hori beste inork
ulertzeko edo manipulatzeko
modurik egon ez dadin.
Fitxategi automatizatuei ezartzeko bakarrik
www.avpd.eus 19
DBLOan segurtasuna nola bete urratsez urrats
7.a- Euskarrien kudeaketa,
fitxategi automatizatuak badira
Oinarrizko maila Maila ertaina Goi-maila
Sarbide mugatua.
Euskarrien baimendutako
irteera, nahiz eta posta
elektronikoaren bidez izan.
Euskarrien inbentarioa
Leku batetik bestera eramatean
hartu beharreko neurriak
galerarik egon ez dadin…
Baztertzen diren datuak
berreskuratzea edo
berrerabiltzea ezinezkoa izan
dadin hartu beharreko neurriak.
Bertan dagoen datu mota
identifikatu beharko da.
Euskarrien
sarrera eta
irteera erregistro
bat egon
beharko da.
“Kripto-Etiketatua”
Euskarriak banatzeko,
datuak enkripatzea edo
datuak atzitzea
ezinezkoa izan dadin,
bestelako bitartekoak
erabiltzea.
Gailu eramangarriak
enkriptatzea.
SAk dituen
salbuespenak
Fitxategi automatizatuei eta eskuzkoei
ezargarria Fitxategi automatizatuei ezartzeko bakarrik
www.avpd.eus 20
DBLOan segurtasuna nola bete urratsez urrats
7.b- Euskarrien eta dokumentuen
kudeaketa, eskuzko fitxategiak
badira
Oinarrizko maila Maila ertaina Goi-maila
Artxiboko irizpideak ezarriko dira
kontserbazioa, lokalizazioa eta
kontsulta ahalbideratzeko.
Biltegiratzeko tresnetan, zabaltzea
oztopatzeko baliabideak eduki behar
dira.
Dokumentazioa ez badago artxibatuta,
jasotzaileak behar bezala zaindu
beharko du, baimenik gabeko
atzipenik egon ez dadin.
Armairuetarako, artxibategietarako
eta abarretarako sarbidea sarrailadun
ateekin babestuta egongo da.
Barruan sartu beharrik ez badago,
ateek itxita egon beharko dute.
Bestelako konponbideak arrazoitu
egin beharko dira Segurtasun Agirian
Dokumentazioa fisikoki aldatu behar
denean lekuz, neurriak hartu beharko
dira atzipenik edo manipulaziorik
egon ez dadin
Eskuzko fitxategiei ezartzeko bakarrik
Seg
urta
sun
Neu
rria
k
www.avpd.eus 21
DBLOan segurtasuna nola bete urratsez urrats
8.- Babes kopiak eta
berreskuratze prozedurak
Oinarrizko maila Maila ertaina Goi-maila
Babes kopiak egiteko eta datuak
berreskuratzeko prozedurak, gutxienez
astean behin
Bermatu egin beharko da datuak galdu edo
suntsitu zirenean bezala, egoera berean,
berregingo direla.
Sei hilean behin egiaztatzea prozedurak,
funtzionamendua eta aplikazioa
Probak egitea segurtasun maila bera duten
datuekin eta segurtasun kopia izanik
Babes kopiak
eta
berreskuratze
prozedurak ez
dira gordeko
ekipoak dauden
toki berean,
beste batean
baizik.
Fitxategi automatizatuei ezartzeko bakarrik
Seg
urta
sun
Neu
rria
k
www.avpd.eus 22
DBLOan segurtasuna nola bete urratsez urrats
9.- Segurtasun gorabeherak
kudeatzeko prozedura
Oinarrizko maila Maila ertaina Goi-maila
Gorabeheren erregistro bat
egon beharko du eta
honakoak jaso:
gorabehera mota,
noiz gertatu den,
nork jakinarazi duen,
nori jakinarazi zaion
ondorioak.
Horiez gainera, honakoak izan behar
ditu:
Datuak berreskuratzeko erabili
diren prozedurak,
nork erabili dituen,
berreskuratu diren datuak
eskuz grabatu diren datuak.
Datuak berreskuratzeko,
ezinbestekoa da tratamendu
kontrolatzaileak idatziz emandako
baimena.
Fitxategi automatizatuei eta
eskuzkoei ezargarria
Fitxategi automatizatuei ezartzeko bakarrik
Seg
urta
sun
Neu
rria
k
www.avpd.eus 23
DBLOan segurtasuna nola bete urratsez urrats
10.- Segurtasun Agiriaren aldizkako
kontrolak eta auditoriak
Oinarrizko
maila
Maila ertaina Goi-maila
Aldizkako kontrolak egitea
Segurtasun Agiria eguneratuta izatea
Gutxienez auditoria bat bi urtean behin.
Funtsezko aldaketak egiten direnean.
Barrukoa nahiz kanpokoa izan daiteke.
Honakoei buruzko irizpenak jaso behar ditu:
Neurriak eta kontrolak egokiak diren.
Identifikatutako akatsak.
Beharrezko neurri zuzentzaileak.
Segurtasun arduradunaren egitekoak:
Auditoria txostena aztertu
Ateratzen dituen ondorioak tratamendu kontrolatzaileari
jakinarazi
DBEBren eskura
Fitxategi automatizatuei eta eskuzkoei ezargarria
Seg
urta
sun
Neu
rria
k
www.avpd.eus 24
DBLOan segurtasuna nola bete urratsez urrats
Nork zer egiten du?
Segurtasun Neurriak Fitxategi-
kontrol.
Segurtasun
arduraduna Langileak
Segurtasunaren antolaketa Izendatu Antolatu
Segurtasun Agiria Politikak
erabaki Egin Aplikatu Jakin
Langileen eginkizunak eta betebeharrak Finkatu
Egin Dokumentatu Bete
Erabiltzaileen identifikazioa eta autentifikazioa Pol. finkatu
Inplantatu Bete
Sarbide kontrolak eta atzipen erregistroak Inplantatu
Kudeatu Jakin
Telekomunikazio sareen bidez egiten diren sarbideak eta
atzipenak
Inplantatu
Kudeatu Jakin
Informaziodun euskarriak eta dokumentuak Pol. finkatu
Kudeatu Bete
Babes eta berreskurapen kopiak Pol. finkatu
Gainbegiratu
Segurtasun gorabeherak Egin Aurrea hartu
Kudeatu Elkarlana
Auditoriak eta aldizkako kontrolak egitea Erabaki Enkargatu
Kudeatu Elkarlana
www.avpd.eus 25