PERSONALES
Aplicacin de la Poltica de Seguridad de la Oficina
Nacional de Tecnologas de Informacin
Versin 1.1
1
CONTROLES DE SEGURIDAD EN BASES DE DATOS PERSONALES
Tipos de Datos
Datos Informacin de cualquier tipo referida a personas fsicas o de
Personales existencia ideal determinadas o determinables.
2
En relacin a la Seguridad de los Datos, la Ley 25326 establece en su
Artculo 9 lo siguiente:
3
Los archivos, registros, bases y bancos de
Bases de Datos de Nivel datos que contengan datos personales,
Crtico definidos como "datos sensibles", con la
excepcin que se sealar ms abajo.
Nota: Quedan exceptuados de aplicar las
medidas de seguridad de nivel crtico, los
archivos, registros, bases y bancos de datos
que deban efectuar el tratamiento de datos
sensibles para fines administrativos o por
obligacin legal. No obstante, ello no
excluye que igualmente deban contar con
aquellas medidas de resguardo que sean
necesarias y adecuadas al tipo de dato.
4
Grilla de Controles
5
ingreso de datos, cualquiera sea su
modo de procesamiento (batch,
interactivo, etc.), deben incluir en
su diseo, rutinas de control, que
minimicen la posibilidad de incorporar
al sistema de informacin, datos
ilgicos, incorrectos o faltantes.
Bsico Registros de incidentes de seguridad. 13.1 Informe de los Eventos y
Debilidades de Seguridad de
la Informacin
Bsico Notificacin, gestin y respuesta ante 13.2.1 Responsabilidades y
los incidentes de seguridad. Procedimientos de Gestin de
Incidentes
Bsico Procedimientos para efectuar las 10.5.1 Resguardo de la
copias de respaldo y de recuperacin Informacin
de datos.
Bsico Relacin actualizada entre Sistemas de 11.2.5 Revisin de Derechos
Informacin y usuarios de datos con de Acceso
autorizacin para su uso.
Bsico Procedimientos de identificacin y 11.2.1 Registracin de
autenticacin de los usuarios de datos Usuarios
autorizados para utilizar determinados
sistemas de informacin.
Bsico Procedimientos de identificacin y 11.5.2 Procedimientos de
autenticacin de los usuarios de datos Conexin de Terminales
autorizados para utilizar determinados
sistemas de informacin.
Bsico Procedimientos de identificacin y 11.2.2 Gestin de Privilegios
autenticacin de los usuarios de datos
autorizados para utilizar determinados
sistemas de informacin.
Bsico Control de acceso de usuarios a datos 11.1.1 Poltica de Control de
y recursos necesarios para la Accesos
realizacin de sus tareas para lo cual
deben estar autorizados.
Bsico Adoptar medidas de prevencin a 10.4.1 Cdigo Malicioso
efectos de impedir amenazas de
software malicioso (virus, troyanos,
etc.) que puedan afectar archivos con
datos de carcter personal. Entre
otras:
Bsico Procedimiento que garantice una 10.7.3 Procedimientos de
adecuada Gestin de los Soportes que Manejo de la Informacin
contengan datos de carcter personal
(identificacin del tipo de
informacin que contienen,
almacenamiento en lugares de acceso
6
restringidos, inventarios,
autorizacin para su salida fuera del
local en que estn ubicados,
destruccin de la informacin en
desuso, etc.).
Bsico Procedimiento que garantice una 10.7.2 Eliminacin de Medios
adecuada Gestin de los Soportes que de Informacin
contengan datos de carcter personal
(identificacin del tipo de
informacin que contienen,
almacenamiento en lugares de acceso
restringidos, inventarios,
autorizacin para su salida fuera del
local en que estn ubicados,
destruccin de la informacin en
desuso, etc.).
Medio El Instructivo de seguridad deber 6.1.3 Asignacin de
identificar al Responsable (u rgano Responsabilidades de
especfico) de Seguridad. Seguridad de la Informacin
Medio Realizacin de auditoras (internas o 15.3 Consideraciones de
externas) que verifiquen el Auditorias de Sistemas
cumplimiento de los procedimientos e
instrucciones vigentes en materia de
seguridad para datos personales.
Medio Realizacin de auditoras (internas o 15.2.2 Verificacin de la
externas) que verifiquen el Compatibilidad Tcnica
cumplimiento de los procedimientos e
instrucciones vigentes en materia de
seguridad para datos personales.
Medio Se limitar la posibilidad de intentar 11.2.3 Gestin de Contraseas
reiteradamente el acceso no autorizado del Usuario
al sistema de informacin.
Medio Se limitar la posibilidad de intentar 11.5.3 Identificacin y
reiteradamente el acceso no autorizado Autenticacin de los Usuarios
al sistema de informacin.
Medio Se establecer un control de acceso 9.1.2 Controles Fsicos de
fsico a los locales donde se Entrada
encuentren situados los sistemas de
informacin con datos de carcter
personal.
Medio Se establecer un control de acceso 9.2.1 Emplazamiento y
fsico a los locales donde se Proteccin de Equipos
encuentren situados los sistemas de
informacin con datos de carcter
personal.
Medio Gestin de Soportes e informacin 10.7.3 Procedimientos de
contenida en ellos, Manejo de la Informacin
7
Medio Se dispondr de un registro de 10.8.1 Procedimientos y
entradas y salidas de los soportes Controles de Intercambio de
informticos de manera de identificar, Informacin
da y hora de entrada y salida del
soporte, receptor, emisor, forma de
envo, etc.
Medio Se adoptarn las medidas necesarias 10.7.2 Eliminacin de Medios
para impedir cualquier recuperacin de de Informacin
la informacin con posterioridad a que
un soporte vaya a ser desechado o
reutilizado, o que la informacin deba
ser destruida, por la causa que
correspondiere.
Medio Deber disponerse de un procedimiento 10.5.1 Resguardo de la
de recuperacin de la informacin de Informacin
respaldo y de tratamiento de la misma
en caso de contingencias que pongan no
operativo el/los equipos de
procesamiento habituales.
Medio Deber disponerse de un procedimiento 14.1.3 Planificacin de la
de recuperacin de la informacin de Continuidad de las
respaldo y de tratamiento de la misma Actividades del Organismo
en caso de contingencias que pongan no
operativo el/los equipos de
procesamiento habituales.
Medio Deber disponerse de un procedimiento 14.1.5 Ensayo, Mantenimiento
de recuperacin de la informacin de y Re-evaluacin de los Planes
respaldo y de tratamiento de la misma de Continuidad
en caso de contingencias que pongan no
operativo el/los equipos de
procesamiento habituales.
Medio Los registros de incidentes de 13.2.1 Responsabilidades y
seguridad, en el caso de tener que Procedimientos de Gestin de
recuperar datos, debern identificar Incidentes
la persona que recuper y/o modific
dichos datos. Ser necesaria la
autorizacin en forma fehaciente del
responsable del archivo informatizado.
Medio Los registros de incidentes de 10.5.1 Resguardo de la
seguridad, en el caso de tener que Informacin
recuperar datos, debern identificar
la persona que recuper y/o modific
dichos datos. Ser necesaria la
autorizacin en forma fehaciente del
responsable del archivo informatizado.
Medio Las pruebas de funcionamiento de los 10.1.4 Separacin entre
sistemas de informacin, realizadas Instalaciones Productivas y
con anterioridad a su puesta operativa de Desarrollo
no se realizarn con datos/archivos
8
reales, a menos que se aseguren los
niveles de seguridad correspondientes
al tipo de datos informatizados
tratados.
Medio Las pruebas de funcionamiento de los 10.1.2 Cambios en las
sistemas de informacin, realizadas Operaciones
con anterioridad a su puesta operativa
no se realizarn con datos/archivos
reales, a menos que se aseguren los
niveles de seguridad correspondientes
al tipo de datos informatizados
tratados.
Crtico Distribucin de soportes: cuando se 12.3.1 Poltica de
distribuyan soportes que contengan Utilizacin de Controles
archivos con datos de carcter Criptogrficos
personal incluidas las copias de
respaldo, se debern cifrar dichos
datos (o utilizar cualquier otro
mecanismo) a fin de garantizar que no
puedan ser ledos o manipulados
durante su transporte.
Crtico Registro de accesos: se deber 10.10.1 Registro de Auditoria
disponer de un registro de accesos con
informacin que identifique al usuario
que accedi, cuando lo hizo (fecha y
hora), tipo de acceso y si ha sido
autorizado o denegado. En el caso que
el acceso haya sido autorizado se
deber identificar el dato accedido y
el tratamiento que se le dio al mismo
(baja, rectificacin, etc.). Este
registro de accesos deber ser
analizado peridicamente por el
responsable de seguridad y deber ser
conservado como minino por el trmino
de un TRES (3) aos.
Crtico Registro de accesos: se deber 10.10.4 Sincronizacin de
disponer de un registro de accesos con Relojes
informacin que identifique al usuario
que accedi, cuando lo hizo (fecha y
hora), tipo de acceso y si ha sido
autorizado o denegado. En el caso que
el acceso haya sido autorizado se
deber identificar el dato accedido y
el tratamiento que se le dio al mismo
(baja, rectificacin, etc.). Este
registro de accesos deber ser
analizado peridicamente por el
responsable de seguridad y deber ser
conservado como minino por el trmino
9
de un TRES (3) aos.
10
el/los equipos de procesamiento
habituales.
11
Consideraciones Adicionales
12
Referencias
Ley 25326
http://www.jus.gob.ar/media/33481/ley_25326.pdf
13