documento_de_seguridad[1] 2014.pptx

8/18/2019 documento_de_seguridad[1] 2014.pptx

http://slidepdf.com/reader/full/documentodeseguridad1-2014pptx 1/51

Dirección de Datos Personales

Documento

deSeguridad




Índice

1. Medidas de Seguridad.

2. Tipos de Seguridad.

3. Niveles de Seguridad.

4. Definición de Documento de Seguridad.

5. Finalidad del Documento de Seguridad.

. !la"oración del Documento de Seguridad.




Medidas de

Seguridad1




Medidas de Seguridad

Los entes públicos establecerán las medidas de seguridad técnica y

organizativa para garantizar la confdencialidad e integralidad

de cada sistema de datos personales que posean, con la

fnalidad de preservar el pleno ejercicio de los derechos

tutelados en la presente Ley, rente a su alteración, pérdida,

transmisión y acceso no autorizado, de conormidad al tipo de datos

contenidos en dichos sistemas.

ichas medidas serán adoptadas en relación con el menor o mayor

grado de protección que ameriten los datos personales, deberán

constar por escrito y ser comunicadas al !nstituto para su registro.




"#. Las medidas de seguridad aplicables a los sistemas de datospersonales responderán a los niveles establecidos en la Ley paracada tipo de datos. ichas medidas deberán tomar en consideraciónlas recomendaciones, que en su caso, emita el !nstituto para estefn, con el objeto de garantizar la confdencialidad, integridady disponibilidad de los datos personales durante sutratamiento.




Tipos deSeguridad2


http://slidepdf.com/reader/full/documentodeseguridad1-2014pptx 7/51Dirección de Datos Personales

!. !sica"# $e refere a toda medida orientada a la protección de

instalaciones, equipos, soportes o sistemas de datos para la

prevención de riesgos por caso ortuito o causas de

uerza mayor%!!. $%gica"# $e refere a las medidas de protección que permiten la identifcación y autentifcación de las personas o usuarios autorizados para el tratamiento

de los datos personales de acuerdo con su unción%

Tipos de Seguridad

&'rt" 1( apartado ' de la $)D)D*



Tipos de Seguridad

!!!. De desarrollo y aplicaciones"# &orresponde a las autorizaciones

con las que deberá contar la creación o tratamiento de sistemas de

datos personales, según su importancia, para garantizar el adecuado

desarrollo y uso de los datos, previendo la participación de usuarios, la

separación de entornos, la metodolog'a a seguir, ciclos de vida y

gestión, as' como las consideraciones especiales respecto de

aplicaciones y pruebas%

!(. De ci+rado"# &onsiste en la implementación de algoritmos, claves,

contrase)as, as' como dispositivos concretos de protección que

garanticen la integralidad y confdencialidad de la inormación% y&'rt" 1( apartado ' de la $)D)D*



(. De comunicaciones y redes"# $e refere a las restriccionespreventivas y*o de riesgos que deberán observar los usuarios de

datos o sistemas de datos personales para acceder a dominios o

cargar programas autorizados, as' como para el mane+o de

telecomunicaciones.

&'rt" 1( apartado ' de la $)D)D*



iveles de

Seguridad-



iveles de Seguridad

1. #$sico

2. Medio

3. %lto

&'rt" 1( apartado . de la $)D)D*



Niveles de Seguridad

Datos

identifcativos"Datoselectr%nicos"

Datoslaborales

Datos de tr/nsito ymovimientosmigratorios"

Datos acad0micos"Datos sobre

procedimientosadministrativos yo

jurisdiccionales"Datos patrimoniales"

Datos sobre la

salud" Datosbiom0tricos"Datos

especialmenteprotegidos&sensibles*



3u0 es el

Documento deSeguridad4(



-ué es el ocumento de$eguridad

Documento de

Seguridad

5

&onorme al numeral /, racción (!, de losLineamientos para la Protección de Datos

Personales es 01!nstrumento que

establece las medidas y procedimientosadministrativos, 'sicos y técnicos de

seguridad aplicables a los sistemas de

datos personales necesarios paragarantizar la protección, confdencialidad,

integridad y disponibilidad de los datos

contenidos en dichos sistemas% 12



!l responsa"le ela"orar$& difundir$ e implementar$ la normativa de

seguridad mediante el documento de seguridad que será de

observancia obligatoria para todos los servidores públicos del ente

público& as' como para toda a(uella persona que debido a la

prestación de un servicio tenga acceso a los sistemas de datos

personales )*o al sitio donde se u"ican los mismos& tomando en cuenta

lo dispuesto en la +e) ) en los presentes +ineamientos.

ocumento de $eguridad

Numeral 1 &,& a- de los +ineamientos para la rotección

de Datos ersonales en el Distrito Federal



-ué deberá contener elocumento de $eguridad

Numeral 1 &,& a- de

los +ineamientos



-ué deberá contener elocumento de $eguridad

3unciones y obligaciones del personal queintervenga en el tratamiento de lossistemas de datos personales4edidas, normas, procedimientos ycriterios enocados a garantizar el nivel deseguridad e5igido por el art'culo "6 de la

Ley y los Lineamientos7rocedimientos de notifcación, gestión yrespuesta ante incidencias7rocedimientos para la realización decopias de respaldo y recuperación de los

datos, para los sistemas de datospersonales automatizados7rocedimientos para la realización deauditorias

Numeral 1 &,& a- de

los +ineamientos



'ctualizaci%n del

documentode

seguridad

'nual

6ada 7ue semodif7ue el

tratamiento delos datos

personales

'ctualizaci%n del Documento deSeguridad

Numeral 1 &,& a- de los +ineamientos



8 inalidad del

Documento deSeguridad



inalidad del Documento deSeguridad

inalidad del documento de $eguridad va dirigida a que eltratamiento delos datos personales contenidos en el $istema deatos 7ersonales sean tratados de conormidad con losprincipios establecidos en el art'culo # de la L773.

LicitudConsentimiento

Calidad de datosConfidencialidad

SeguridadDisponibilidad

Temporalidad



8l principio de confdencialidad, se)ala que solo elinteresado, el responsable o el usuario pueden acceder alsistema. $u ob+eto es garantizar que solo se utilicen para lospropósitos para los que ueron obtenidos.

9l responsable y al usuario les impone el deber de secrec'a elcual puede ceder por :

;na resolución +udicial 7or motivos de seguridad pública $eguridad nacional y $alud pública

)rincipio deconfdencialidad

'rt" 8 de la $)D)D



)rincipio de Seguridad

&'rt" 8 de la $)D)D*

8l principio de seguridad, se refere a garantizar queel tratamiento de los datos personales sea llevado acabo solo por quién está autorizado.

8l documento de seguridad es la herramienta paragarantizar lo tutelado por el principio de seguridad.



9 :laboraci%n del

Documento deSeguridad



L<=< 8L

8>?87;@L!&<

;M.<: D:$ S=ST:M' D: D'T;S):<S;'$:S Bdebe coincidir con el publicado en la =aceta<fcial y el inscrito en el Cegistro 8lectrónico de$istemas de atos 7ersonalesD

>umero de olio de registro del $istema en elC8$7

3echa de la última actualización realizada en elC8$7

Cesponsable de la elaboración del documento

3echa de elaboración del documento

3echa de la última actualización

9probado por:

3echa de 9 robación

CARATLA



No e/iste una estructura r'gida u o"ligatoria del documento& sin

em"argo con el o"0etivo de permitir un me0or cumplimiento de las

disposiciones de la +DDF ) sus +ineamientos se sugiere (ue el

documento en el (ue constan las medidas de seguridad sea

estructurado de acuerdo a lo sealado en el numeral 1 de los

+ineamientos para la rotección de Datos ersonales en el Distrito

Federal +ineamientos-& mismo (ue seala los elementos m'nimos (ue

de"e contener el documento de seguridad.

!structura del documento de seguridad




!STRCTRA " D!SCR#$C#%N D!LS#ST!&A D! DAT'S $!RS'NAL!S

+ogo del !nte"lico

:T: )>.$=6;

BC838C8>&!9D

:ST<>6T><' ?D:S6<=)6=; D:$

S=ST:M' D: D'T;S):<S;'$:S

(8C$!<>

8L9@<C9< 7<C 38&E9 97C<@9< 7<C 38&E9

9?<$ 8L $!$?849:

;>!9 94!>!$?C9?!(9 C8$7<>$9@L8:

8>&9C=9<$:

;$;9C!<$:

<C!=8>:

+ogo del !nte"lico

:T: )>.$=6;

BC838C8>&!9D

:ST<>6T><' ?D:S6<=)6=; D:$

S=ST:M' D: D'T;S):<S;'$:S

(8C$!<>

8L9@<C9< 7<C 38&E9 97C<@9< 7<C 38&E9

<C=!8> 8 L<$ 9?<$

&8$!<> 8 9?<$:

;>!9 94!>!$?C9?!(9 C8$7<>$9@L8:

>!(8L 8 $8=;C!9:




!S$!C#(#CAC#'N D!TALLADA D! LA CAT!)'R#A D!DAT'S $!RS'NAL!S C'NT!N#D'S !N !L S#ST!&A D!

DAT'S $!RS'NAL!S

+ogo del !nte"lico

:T: )>.$=6;

BC838C8>&!9D

6'T:@;<=' D: D'T;S):<S;'$:S

6;T:=D;S : :$S=ST:M' D: D'T;S

):<S;'$:S

(8C$!<>

8L9@<C9< 7<C 38&E9 97C<@9< 7<C 3 8&E9




N#*!L +,S#C'

Se entenderá como tal, el relativo a las medidasgenerales de seguridad cuya aplicación esobligatoria para todos los sistemas de datos

personales. Dichas medidas corresponden a lossiguientes aspectos:




Documento de seguridad

Funciones y obligacionesdel personal que intervenga

en el tratamiento de los

sistemas de datos

personales

!l documento de seguridad debese-alar de manera clara . espec/fica lasfunciones . obligaciones del personalque intervenga en el tratamiento de losdatos0

N#*!L +,S#C'




N#*!L &!D#'

8l nivel de seguridad medio es aplicable a los sistemas de datos

personales relativos a:

La comisión de inracciones administrativas o penales,Eacienda pública,$ervicios fnancieros,

atos patrimoniales,atos que permitan obtener una evaluación de la personalidad

del individuo.

=A:$ M:D=;




b1 Responsable de seguridad

8l responsable del sistema designa uno o varios responsables de

seguridad para uno o todos los sistemas de datos en posesión del ente

público. Lo que depende de los métodos de organización y tratamiento

de los sistemas.

>ota: La designación no supone la delegación de las acultades y atribuciones que

corresponden al responsable del sistema de datos personales.Numeral 234 ##0 A1 de los Lineamientos

ivel medio




7uede haber un responsable de seguridad 'sica y otro de electrónica.

Los cuales deben ser irectores de Frea o en caso de que los sistemas

se encuentren en dierentes ;nidades 9dministrativas puede recaer en

$ubdirectores

ivel medio





8l responsable de seguridad del sistema debe

coordinar y controlar las medidas defnidas en el

documento de seguridad.

ivel medio





Nivel básico

a1 #dentificación . autentificación

El responsable de seguridad del sistema debe:

Elaborar una relación de servidores públicos con acceso autorizado

al sistema Establecer procedimientos que permitan la correcta identificación y

autenticación para el acceso. Establecer un mecanismo que permita la identificación, las personas

que intenten acceder al sistema de datos personales y verificar que

está autorizada.




N#*!L +,S#C'

a1 #dentificación . autentificación

El responsable de seguridad del sistema debe:

Establecer el periodo para el cambio de las contraseñas, las cuales deben

conservarse cifradas.

Establecerá un procedimiento de creación y modificación de contraseñas que

señala longitud, formato y contenido. Definir el proceso de notificación o polticas de ba!as de personal para

proceder a la inactivación de cuentas.




b" #ontrol de acceso

!l responsa"le del sistema de datos personales de"e

Sealar el listado de encargados ) usuarios con acceso autoriado.

%ctualiar las listas de personas (ue pueden acceder al sistema de datos

personales

N#*!L +,S#C'




b" #ontrol de acceso

+as listas de control de acceso de"en contener

+a relación del personal

%ctividad o facultad por el (ue tienen acceso a los datos

6na "it$cora de acceso

Solamente el responsa"le del sistema de datos personales podr$ conceder&

alterar o anular la autoriación para el acceso a los sistemas de datos

personales.

N#*!L +,S#C'




c* 6ontrol de acceso+!sico

$ólo quienes estén e5presamente

autorizados en el documento de

seguridad pueden entrar a las

instalaciones donde se encuentren

los sistemas de datos personales, ya

sea en soporte 'sico o electrónico.

ivel medio




c* 6ontrol de acceso +!sico

8l ente público debe establecer el procedimientopara que únicamente tengan acceso 'sico al

lugar en el que se encuentra el sistema de datos

personales los que están autorizados para ello.7or e+emplo con un polic'a.

=A:$ M:D=;




+ogo del !nte"lico

:T: )>.$=6;

BC838C8>&!9D.=T'6;<' D: 6;T<;$ D:

'66:S;(8C$!<>

8L9@<C9< 7<C 38&E9 97C<@9< 7<C 38&E9

+#TAC'RA D! C'NTR'L D! ACC!S'




Nivel Alto

Se entenderá como tal, el relativo a las medidas

generales de seguridad cuya aplicación es obligatoria

para los sistemas de datos personales que contengan

datos relativos a la ideología, religión, creencias,

afliación política, origen racial o étnico, salud,

biométricos, genéticos o vida sexual, así como los que

tengan datos recabados para fnes policiales, de

seguridad, prevención, investigación y persecución de

Nivel Alto

Ni l Al




Nivel Alto

8l ocumento de $eguridad de >ivel 9lto

además de las medidas de seguridadprevistas para el nivel básico y medio,deberá comprender:




Nivel Alto

d1 Registro de acceso

7 !l acceso a los sistemas de datos personales se limitar$

e/clusivamente al personal autoriado& esta"leciendo

adem$s mecanismos (ue permitan identificar los accesos

utiliados por mltiples personas autoriados.

7 +os mecanismos (ue permiten el registro de accesos

estar$n "a0o el control directo del responsa"le de

seguridad correspondiente& sin (ue permita la

desactivación o manipulación de los mismos.




Nivel Alto

!l responsa"le de seguridad del sistema de"e conservar una relación de

servidores p"licos con al menos lo siguiente

7 +a identificación del usuario ) del sistema de datos personales7 +a fec8a ) la 8ora en (ue se utilió el sistema.

7 !l tipo de acceso.

7 +a verificación si est9 fue autoriado o denegado.

!l periodo de conservación de los datos previstos en el registro de

acceso ser$ al menos de 2 aos.




Nivel Alto

+a transmisión de datos de car$cter personal a trav9s de redes p"licaso redes inal$m"ricas de comunicaciones electrónicas se realiar$

cifrando dic8os datos o "ien utiliando cual(uier otro mecanismo (ue

garantice (ue la información no sea intangi"le ni manipulada por

terceros.

e1 Telecomunicaciones




A===" )rocedimientos de

notifcaci%n, gesti%n yrespuesta ante incidencias

aD Registro de incidencias




N#*!L +,S#C'

$egistro de incidencias

6na incidencia puede ser

:ual(uier incumplimiento de las normas desarrolladas en el

documento de Seguridad

:ual(uier anomal'a (ue afecte o pueda afectar a la seguridad de

los datos de car$cter personal en el sistema.

+as incidencias de"en ser documentadas para delimitar

responsa"ilidades& esta"leciendo procedimientos (ue cuenten con

un registro.

Numeral 234 #4 c1 de los Lineamientos




#50 $rocedimientos para la reali6ación de copias derespaldo . recuperación de los datos4 para los sistemasde datos personales automati6ados

ivel deseguridad

:lementos a incluir

./sico aD =estión de soportesbD &opias de respaldo yrecuperación.

Medio cD 7ruebas con datos reales

'lto dD istribución de soportes

+os elementos a incluir en esta sección del documento (ue 8aga constar las

medidas de seguridad& depender$n del nivel de seguridad (ue les resulte

aplica"le& de acuerdo a lo esta"lecido en el art'culo 14 de la +DDF ) elnumeral 1 de los +ineamientos.




Nivel +ásico

b" #opias de respaldo y recuperación.

El responsable debe:

7 !sta"lecer el procedimiento para realiar las de copias de respaldo7 !sta"lecer el periodo en (ue se realiar$n ) su periodicidad.7 !n caso de (ue los datos personales se encuentren en soporte f'sico& se

procurar$ (ue el respaldo se efecte mediante la digitaliación de los

documentos.7 ara soportes electrónicos esta"lecer procedimientos para recuperar los

datos7 ;erificar& al menos& cada seis meses la correcta definición&

funcionamiento ) aplicación de los procedimientos de realiación de

copias& as'como los de recuperación.

,




%estión de soportes

&os soportes fsicos y electrónicos almacenados deben estar:

Etiquetados para permitir identificar el tipo de información que contienen,

'nventariados y (ólo el personal autorizado podrá acceder a ellos.

)ara que puedan salir de las instalaciones u oficinas el responsable debe autorizarlo.

)ara su traslado deben adoptarse medidas que eviten la sustracción, p*rdida o acceso

indebido a la información.

)ara desec+ar cualquier soporte que contenga datos de carácter personal deberá destruirse

o borrarse, adoptando medidas dirigidas a evitar el acceso a la información contenida en

el mismo o su recuperación posterior.

N#*!L +,S#C'



@<'6='S);< S>

'T:6=B

Documents

documento_de_seguridad[1] 2014.pptx