SlideShare une entreprise Scribd logo

Normas leyes

Angelica Lopera
Angelica Lopera

Normas y estándares de seguridad

Formation
1  sur  18
Télécharger pour lire hors ligne
Estándares y Normas de Seguridad  ¿Por qué normas/estándares de seguridad?  Las organizaciones necesitan (en ocasiones deben) demostrar que realizan una gestión competente y efectiva de la seguridad de los recursos y datos que gestionan. − Deben demostrar que identifican y detectan los riesgos a los que está sometida y que adoptan medidas adecuadas y proporcionadas. − Necesario: conjunto estructurado, sistemático, coherente y completo de normas a seguir.  Herramienta: SGSI (Sistema de Gestión de la Seguridad de la Información)  En inglés ISMS (Information Security Management System)  SGSI: proceso sistemático, documentado y conocido por toda la organización para garantizar que la seguridad de la información es gestionada correctamente
Familia de Normas ISO/IEC 27000  Normas ISO 27000: Familia de estándares de ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission) que proporciona un marco para la gestión de la seguridad  Conjunto de normas que especifican los requisitos para establecer, implantar, poner en funcionamieto, controlar, revisar, mantener y mejorar un SGSI  Normas base: 20001, 20002  Normas complementarias: 20003, 20004, 20005, ...  Seguridad de la información (según ISO 27001): preservación de su confidencialidad, integridad y disponibilidad, así como la de los sistemas implicados en su tratamiento  Confidencialidad: la información no se pone a disposición ni se revela a individuos, entidades o procesos no autorizados.  Integridad: mantenimiento de la exactitud y completitud de la información y sus métodos de proceso.  Disponibilidad: acceso y utilización de la información y los sistemas de tratamiento de la misma por parte de los individuos, entidades o procesos autorizados cuando lo requieran.
Familia de Normas ISO/IEC 27000  ISO/IEC 27000: define el vocabulario estándar empleado en la familia 27000 (definición de términos y conceptos)  ISO/IEC 27001: especifica los requisitos a cumplir para implantar un SGSI certificable conforme a las normas 27000  Define cómo es el SGSI, cómo se gestiona y cúales son las resposabilidades de los participantes.  Sigue un modelo PDCA (Plan-Do-Check-Act)  Puntos clave: Gestión de riesgos + Mejora contínua  ISO/IEC 27002: código de buenas prácticas para la gestión de la seguridad  Recomendaciones sobre qué medidas tomar para asegurar los sistemas de información de una organización  Describe los objetivos de control (aspectos a analizar para garantizar la seguridad de la información) y especifica los controles recomendables a implantar (medidas a tomar)  Antes ISO 17799, basado en estándar BS 7799 (en España norma UNE-ISO 17799)
Familia de Normas ISO/IEC 27000 ISO/IEC 27003:guía de implementación de SGSI e información acerca del uso del modelo PDCA (Plan-Do-Check-Act) y de los requerimientos de sus diferentes fases (en desarrollo, pendiente de publicación) ISO/IEC 27004: especifica las métricas y las técnicas de medida aplicables para determinar la eficacia de un SGSI y de los controles relacionados (en desarrollo, pendiente de publicación)  medición de los componentes de la fase “Do” (Implementar y Utilizar) del ciclo PDCA. ISO/IEC 27005: gestión de riesgos de seguridad de la información (recomendaciones, métodos y técnicas para evaluación de riesgos de seguridad) ISO/IEC 27006: requisitos a cumplir por las organizaciones encargadas de emitir certificaciones ISO/IEC 27001  Requisitos para la acreditación de las entidades de auditoria y certificación
Familia de Normas ISO/IEC 27000  ISO/IEC 27007: guía de actuación para auditar los SGSI conforme a las normas 27000  ISO/IEC 27011: guía de gestión de seguridad de la información específica para telecomunicaciones (en desarrollo)  elaborada conjuntamente con la ITU (Unión Internacional de Telecomunicaciones)  ISO/IEC 27031: guía de continuidad de negocio en lo relativo a tecnologías de la información y comunicaciones (en desarrollo)  ISO/IEC 27032: guía relativa a la ciberseguridad (en desarrollo)  ISO/IEC 27032: guía de seguridad en aplicaciones (en desarrollo)  ISO/IEC 27799: guía para implantar ISO/IEC 27002 específica para entornos médicos
ISO/IEC 27001  “ Norma que especifica los requisitos para establecer, implantar, poner en funcionamiento, controlar, revisar, mantener y mejorar un SGSI documentado dentro del contexto global de los riesgos de negocio de la organización. Especifica los requisitos para la implantación de los controles de seguridad hechos a medida de las necesidades de organizaciones individuales o partes de las mismas” Objetivo: Mejora continua Se adopta el modelo Plan-Do-Check- Act (PDCA ó ciclo de Deming) para todos los procesos de la organización.
ISO/IEC 27001 Fase Planificación (Plan) [establecer el SGSI]: Establecer la política,objetivos, procesos y procedimientos relativos a la gestión del riesgo y mejorar la seguridad de la información de la organización para ofrecer resultados de acuerdo con las políticas y objetivos generales de la organización. Fase Ejecución (Do) [implementar y gestionar el SGSI]: Implementar y gestionar el SGSI de acuerdo a su política, controles, procesos y procedimientos. Fase Seguimiento (Check) [monitorizar y revisar el SGSI]: Medir y revisar las prestaciones de los procesos del SGSI. Fase Mejora (Act) [mantener y mejorar el SGSI]: Adoptar acciones correctivas y preventivas basadas en auditorías y revisiones internas ó en otra información relevante a fin de alcanzar la mejora contínua del SGSI.
ISO/IEC 27001 DO: Implantación y puesta en marcha del SGSI  preparar un plan de tratamiento del riesgo  implantar los controles que se hayan seleccionado  medir la eficacia de dichos controles  crear programas de formación y concienciación CHECK + ACT: Control y evaluación del SGSI  implantar una serie de procedimientos para el control y la revisión  puesta en marcha de una serie de revisiones regulares sobre la eficacia del SGSI, a partir de los resultados de las auditorías de seguridad y de las mediciones  tomar las medidas correctivas y preventivas PLAN: Establecimiento y gestión del SGSI  definir el alcance del sistema de gestión  definir la política del SGSI  definir la metodología para la valoración del riesgo  identificar los riesgos  elaborar un análisis y evaluación de dichos riesgos  identificar los diferentes tratamientos del riesgo  seleccionar los controles y objetivos de los mismos que posibilitarán dicho tratamiento
ISO/IEC 27002  Conjunto de recomendaciones sobre qué medidas tomar en la empresa para asegurar los Sistemas de Información.  Los objetivos de seguridad recogen aquellos aspectos fundamentales que se deben analizar para conseguir un sistema seguro en cada una de las áreas que los agrupa. Para conseguir cada uno de estos objetivos la norma propone una serie de medidas o recomendaciones (controles) que son los que en definitiva aplicaremos para la gestión del riesgo analizado.  Objetivo: Definir los aspectos prácticos/operativos de la implantación del SGSI
ISO/IEC 27002 Areas/secciones sobre las que actuar: Objetivos de control: aspectos a asegurar dentro de cada área/sección Controles: mecanismos para asegurar los distintos objetivos de control (guía de buenas prácticas) Para cada control se incluye una guía para su implantación Control de accesos Desarrollo y mantenimiento de sistemas Gestión de incidentes de seguridad de la información Gestión de continuidad de negocio Conformidad Política de seguridad Aspectos organizativos para la seguridad Clasificación y control de activos Seguridad ligada al personal Seguridad física y del entorno Gestión de comunicaciones y operaciones
ISO/IEC 27002
Legislación • Leyes aplicables en relación con la Seguridad en los Sistemas de Información • Ley Orgánica de Protección de Datos (LOPD) + normativas de protección de datos • Ley de Servicios para la Sociedad de la Información y el Comercio Electrónico (LSSI-CE) • Legislación de Firma Electrónica (LFE) • Relacionadas: – Ley de Acceso de los Ciudadanos a los Servicios Públicos – Ley de Medidas de Impulso a la Sociedad de la Información
Protección de Datos • Todas las organizaciones que tengan ficheros con datos personales han de declararlos a la Agencia Española de Protección de Datos (www.agpd.es) • Hay que implantar un documento de seguridad • Ficheros de datos personales clasificados en tres niveles: – Básico: Ficheros con información personal – Medio: Ficheros con datos relativos a la comisión de infracciones administrativas, Hacienda Pública, Servicios financieros, así como los ficheros para la prestación de servicios de información sobre solvencia patrimonial y de crédito – Alto: Ficheros con datos sobre ideología, religión, creencias, origen racial, salud o vida sexual, así como los datos recabados para fines policiales sin consentimiento del afectado • Hay que aplicar medidas de seguridad técnicas y organizativas en función del nivel y según establece el reglamento • Auditorías bienales para ficheros de nivel medio y alto
Protección de Datos Personales Ley Orgánica 15/1999, de 13 de Diciembre de Protección de Datos de Carácter Personal - LOPD Real Decreto 994/1999 de 11 de Junio por el que se aprueba el Reglamento de Medidas de Seguridad de los ficheros automatizados que contengan datos de carácter personal Real Decreto 1720/2007 de 19 de diciembre por el que se aprueba el Nuevo Reglamento de Medidas de Seguridad de los ficheros automatizados y físicos que contengan datos de carácter personal
LSSI-CE • Ley 34/2002 de 11 de Julio, de Servicios de la Sociedad de la Información y del Comercio Electrónico – LSSI-CE ( www.lssi.es) • Establece los criterios de servicios en Internet, cuando sean parte de actividad económica. • Validez y regulación del comercio electrónico
LSSI-CE • Servicios por Internet – Mostrar en la web: Nombre, NIF, dirección, correo electrónico – Datos de inscripción registral incluyendo nombre del dominio – Mostrar precios de los productos y servicios, – Contratación y tramitación on-line – Autenticación mediante certificados y establecer canales seguros SSL • Sobre la publicidad por Internet – Prohibición de los spam (email no solicitado) – Posibilidad de borrarse de las listas de correo informativo • Sobre los prestadores de servicios ISP, Hosting – Colaborar con los organos públicos para resolucion de incidencias: almacenamiento de logs y eventos para rastreo – Informar a los clientes sobre medidas de seguridad a aplicar – No son responsables de contenidos ilícitos si no los elaboran, – Sí son responsables si los conocen y no los retiran o no los comunican. • Sobre titulares de páginas personales – Solo sujetas a la ley si tienen publicidad por la que perciban ingresos – Identificar claramente la publicidad y la identidad: nombre, tfno, fax, eMail, NIF
Legislación Firma Electrónica • Ley 59/2003 de 19 de Diciembre, de firma electrónica • Equipara la firma electrónica a la firma física, estableciendo su validez legal • Regula a los Prestadores de Servicios de Certificación (PSC – Autoridades de Certificación) • Regula los certificados reconocidos • Regula los dispositivos seguros de creación de firmas • Implementa/adapta la directiva europea 1999/93/EC (iniciativas eEurope) • Introduce el DNI electrónico (DNIe) – RD 1553/2005 de 23 Diciembre, regula la expedición

Recommandé

Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
Fabiola_Escoto
 
Iso 27000 nueva copia
Iso 27000 nueva copiaIso 27000 nueva copia
Iso 27000 nueva copia
Yadi De La Cruz
 
iso 27005
iso 27005iso 27005
iso 27005
Pamelita TA
 
Resumen Norma Iso 27001
Resumen Norma Iso 27001Resumen Norma Iso 27001
Resumen Norma Iso 27001
Gladisichau
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
navidisey
 
Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Normas leyes-familia iso-27000
Normas leyes-familia iso-27000
Reynaldo Quintero
 
ISO 27001 cambios 2005 a 2013
ISO 27001 cambios 2005 a 2013ISO 27001 cambios 2005 a 2013
ISO 27001 cambios 2005 a 2013
Jaime Andrés Bello Vieda
 
Norma ISO 27000
Norma ISO 27000Norma ISO 27000
Norma ISO 27000
UPTAEB
 

Recommandé

Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
Fabiola_Escoto
 
Iso 27000 nueva copia
Iso 27000 nueva copiaIso 27000 nueva copia
Iso 27000 nueva copia
Yadi De La Cruz
 
iso 27005
iso 27005iso 27005
iso 27005
Pamelita TA
 
Resumen Norma Iso 27001
Resumen Norma Iso 27001Resumen Norma Iso 27001
Resumen Norma Iso 27001
Gladisichau
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
navidisey
 
Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Normas leyes-familia iso-27000
Normas leyes-familia iso-27000
Reynaldo Quintero
 
ISO 27001 cambios 2005 a 2013
ISO 27001 cambios 2005 a 2013ISO 27001 cambios 2005 a 2013
ISO 27001 cambios 2005 a 2013
Jaime Andrés Bello Vieda
 
Norma ISO 27000
Norma ISO 27000Norma ISO 27000
Norma ISO 27000
UPTAEB
 
Iso27001
Iso27001Iso27001
Iso27001
Gerard Flores
 
Estandares ISO 27001 (4)
Estandares ISO 27001 (4)Estandares ISO 27001 (4)
Estandares ISO 27001 (4)
dcordova923
 
Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013
Juan Fernando Jaramillo
 
Sistemas de Gestión de Seguridad Informática.
Sistemas de Gestión de Seguridad Informática. Sistemas de Gestión de Seguridad Informática.
Sistemas de Gestión de Seguridad Informática.
Eduardo Maradiaga
 
Norma iso 27000
Norma iso 27000Norma iso 27000
Norma iso 27000
Haroll Suarez
 
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacion
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacionIso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacion
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacion
Gabriel Gonzales
 
Sistema de gestión de seguridad de la información Danny Calix
Sistema de gestión de seguridad de la información Danny CalixSistema de gestión de seguridad de la información Danny Calix
Sistema de gestión de seguridad de la información Danny Calix
Danny Calix
 
Iso 27005-espanol
Iso 27005-espanolIso 27005-espanol
Iso 27005-espanol
Daniel Arevalo
 
Sistemas de Gestión de Seguridad Informática SGSI
Sistemas de Gestión de Seguridad Informática SGSISistemas de Gestión de Seguridad Informática SGSI
Sistemas de Gestión de Seguridad Informática SGSI
Joel Sorto
 
ISO 27000
ISO 27000ISO 27000
ISO 27000
Luis R Castellanos
 
Estandaresiso27001 Hinostroza Cirilo Marcela
Estandaresiso27001 Hinostroza Cirilo MarcelaEstandaresiso27001 Hinostroza Cirilo Marcela
Estandaresiso27001 Hinostroza Cirilo Marcela
marzeth
 
ISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSI
ISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSIISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSI
ISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSI
UCC
 
Iso 27000
Iso 27000Iso 27000
Iso 27000
krn kdna cadena
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
Eurohelp Consulting
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
karen figueroa hrderera
 
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
Luis Fernando Aguas Bucheli
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
Cecilia Hernandez
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
Manuel Garcia Ramos
 
Iso 20000
Iso 20000Iso 20000
Iso 20000
hperez-ti
 
1ª entrevista al escriba 3ª pregunta y respuesta - la partícula original
1ª entrevista al escriba 3ª pregunta y respuesta - la partícula original1ª entrevista al escriba 3ª pregunta y respuesta - la partícula original
1ª entrevista al escriba 3ª pregunta y respuesta - la partícula original
antonioPJ
 
Diferencias entre fondos de inversión, fondos índice y ETFs
Diferencias entre fondos de inversión, fondos índice y ETFsDiferencias entre fondos de inversión, fondos índice y ETFs
Diferencias entre fondos de inversión, fondos índice y ETFs
Rankia
 
Espacio tecnologico i
Espacio tecnologico iEspacio tecnologico i
Espacio tecnologico i
latecnologiabasadaenlaeducacion
 

Contenu connexe

Tendances

Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacion
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacionIso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacion
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacion
Gabriel Gonzales
 
Sistemas de Gestión de Seguridad Informática SGSI
Sistemas de Gestión de Seguridad Informática SGSISistemas de Gestión de Seguridad Informática SGSI
Sistemas de Gestión de Seguridad Informática SGSI
Joel Sorto
 

Tendances (19)

Iso27001
Iso27001Iso27001
Iso27001
 
Estandares ISO 27001 (4)
Estandares ISO 27001 (4)Estandares ISO 27001 (4)
Estandares ISO 27001 (4)
 
Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013
 
Sistemas de Gestión de Seguridad Informática.
Sistemas de Gestión de Seguridad Informática. Sistemas de Gestión de Seguridad Informática.
Sistemas de Gestión de Seguridad Informática.
 
Norma iso 27000
Norma iso 27000Norma iso 27000
Norma iso 27000
 
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacion
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacionIso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacion
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacion
 
Sistema de gestión de seguridad de la información Danny Calix
Sistema de gestión de seguridad de la información Danny CalixSistema de gestión de seguridad de la información Danny Calix
Sistema de gestión de seguridad de la información Danny Calix
 
Iso 27005-espanol
Iso 27005-espanolIso 27005-espanol
Iso 27005-espanol
 
Sistemas de Gestión de Seguridad Informática SGSI
Sistemas de Gestión de Seguridad Informática SGSISistemas de Gestión de Seguridad Informática SGSI
Sistemas de Gestión de Seguridad Informática SGSI
 
ISO 27000
ISO 27000ISO 27000
ISO 27000
 
Estandaresiso27001 Hinostroza Cirilo Marcela
Estandaresiso27001 Hinostroza Cirilo MarcelaEstandaresiso27001 Hinostroza Cirilo Marcela
Estandaresiso27001 Hinostroza Cirilo Marcela
 
ISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSI
ISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSIISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSI
ISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSI
 
Iso 27000
Iso 27000Iso 27000
Iso 27000
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
 
Iso 20000
Iso 20000Iso 20000
Iso 20000
 

En vedette

FERPOL 5119 SV5 Resina de Poliéster Preacelerada
FERPOL 5119 SV5 Resina de Poliéster PreaceleradaFERPOL 5119 SV5 Resina de Poliéster Preacelerada
FERPOL 5119 SV5 Resina de Poliéster Preacelerada
degarden
 
Adecco_CSR_Report2015_16_Web_FINAL
Adecco_CSR_Report2015_16_Web_FINALAdecco_CSR_Report2015_16_Web_FINAL
Adecco_CSR_Report2015_16_Web_FINAL
Lilian Furrer
 
Ortotipografía
OrtotipografíaOrtotipografía
Ortotipografía
92mariams
 
ERP, CRM Y DATA WAREHOUSE
ERP, CRM Y DATA WAREHOUSEERP, CRM Y DATA WAREHOUSE
ERP, CRM Y DATA WAREHOUSE
Oscar Camacho
 

En vedette (20)

1ª entrevista al escriba 3ª pregunta y respuesta - la partícula original
1ª entrevista al escriba 3ª pregunta y respuesta - la partícula original1ª entrevista al escriba 3ª pregunta y respuesta - la partícula original
1ª entrevista al escriba 3ª pregunta y respuesta - la partícula original
 
Diferencias entre fondos de inversión, fondos índice y ETFs
Diferencias entre fondos de inversión, fondos índice y ETFsDiferencias entre fondos de inversión, fondos índice y ETFs
Diferencias entre fondos de inversión, fondos índice y ETFs
 
Espacio tecnologico i
Espacio tecnologico iEspacio tecnologico i
Espacio tecnologico i
 
Google Adwords: Cómo Captar y Mantener Turistas de todo el Mundo
Google Adwords: Cómo Captar y Mantener Turistas de todo el MundoGoogle Adwords: Cómo Captar y Mantener Turistas de todo el Mundo
Google Adwords: Cómo Captar y Mantener Turistas de todo el Mundo
 
La cola del diablo - josé aricó
La cola del diablo - josé aricóLa cola del diablo - josé aricó
La cola del diablo - josé aricó
 
ZanoniDI ¿Que es el Diseño Instruccional?
ZanoniDI ¿Que es el Diseño Instruccional?ZanoniDI ¿Que es el Diseño Instruccional?
ZanoniDI ¿Que es el Diseño Instruccional?
 
CQ3010 PCT 2015 TT14
CQ3010 PCT 2015 TT14CQ3010 PCT 2015 TT14
CQ3010 PCT 2015 TT14
 
Nuevo Catalogo Terrissal
Nuevo Catalogo Terrissal Nuevo Catalogo Terrissal
Nuevo Catalogo Terrissal
 
2010-07-01 (UC3M) Daniel Burgos ATOS Origin, I Jorn eMadrid
2010-07-01 (UC3M) Daniel Burgos ATOS Origin, I Jorn eMadrid2010-07-01 (UC3M) Daniel Burgos ATOS Origin, I Jorn eMadrid
2010-07-01 (UC3M) Daniel Burgos ATOS Origin, I Jorn eMadrid
 
FERPOL 5119 SV5 Resina de Poliéster Preacelerada
FERPOL 5119 SV5 Resina de Poliéster PreaceleradaFERPOL 5119 SV5 Resina de Poliéster Preacelerada
FERPOL 5119 SV5 Resina de Poliéster Preacelerada
 
NewsMonitor Apresentação
NewsMonitor ApresentaçãoNewsMonitor Apresentação
NewsMonitor Apresentação
 
Adecco_CSR_Report2015_16_Web_FINAL
Adecco_CSR_Report2015_16_Web_FINALAdecco_CSR_Report2015_16_Web_FINAL
Adecco_CSR_Report2015_16_Web_FINAL
 
Minoxidil - Translation from Hypertension ingredient to Hair Growth Stimulant
Minoxidil - Translation from Hypertension ingredient to Hair Growth StimulantMinoxidil - Translation from Hypertension ingredient to Hair Growth Stimulant
Minoxidil - Translation from Hypertension ingredient to Hair Growth Stimulant
 
Ortotipografía
OrtotipografíaOrtotipografía
Ortotipografía
 
Factors pas mite logos
Factors pas mite logosFactors pas mite logos
Factors pas mite logos
 
Ficha de registro 2010
Ficha de registro 2010Ficha de registro 2010
Ficha de registro 2010
 
Delta Handheld Xrf Mining In 12
Delta Handheld Xrf Mining In 12Delta Handheld Xrf Mining In 12
Delta Handheld Xrf Mining In 12
 
Opportunities for Integrating Mental Health into HIV, MCH, and Other Health S...
Opportunities for Integrating Mental Health into HIV, MCH, and Other Health S...Opportunities for Integrating Mental Health into HIV, MCH, and Other Health S...
Opportunities for Integrating Mental Health into HIV, MCH, and Other Health S...
 
ERP, CRM Y DATA WAREHOUSE
ERP, CRM Y DATA WAREHOUSEERP, CRM Y DATA WAREHOUSE
ERP, CRM Y DATA WAREHOUSE
 
Glosario de Periodismo j villamonte
Glosario de Periodismo j villamonteGlosario de Periodismo j villamonte
Glosario de Periodismo j villamonte
 

Similaire à Normas leyes

Iso 27001 Jonathan Blas
Iso 27001 Jonathan BlasIso 27001 Jonathan Blas
Iso 27001 Jonathan Blas
JonathanBlas
 
Introducción a los Sistemas de Gestión de Seguridad de la Información (SGSI)
Introducción a los Sistemas de Gestión de Seguridad de la Información (SGSI)Introducción a los Sistemas de Gestión de Seguridad de la Información (SGSI)
Introducción a los Sistemas de Gestión de Seguridad de la Información (SGSI)
Dilcia Mejia
 
Sistema de gestión de la seguridad de la información
Sistema de gestión de la seguridad de la informaciónSistema de gestión de la seguridad de la información
Sistema de gestión de la seguridad de la información
carolapd
 
Sistema de gestión de la seguridad de la información
Sistema de gestión de la seguridad de la informaciónSistema de gestión de la seguridad de la información
Sistema de gestión de la seguridad de la información
carolapd
 
Seguridad De La InformacióN
Seguridad De La InformacióNSeguridad De La InformacióN
Seguridad De La InformacióN
martin
 

Similaire à Normas leyes (20)

Iso 27001
Iso 27001Iso 27001
Iso 27001
 
I S O 27001
I S O 27001I S O 27001
I S O 27001
 
Iso 27000
Iso 27000Iso 27000
Iso 27000
 
Iso 27001 Jonathan Blas
Iso 27001 Jonathan BlasIso 27001 Jonathan Blas
Iso 27001 Jonathan Blas
 
SGSI 27001
SGSI 27001SGSI 27001
SGSI 27001
 
Seguridad-auditoria
Seguridad-auditoriaSeguridad-auditoria
Seguridad-auditoria
 
Sistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacionSistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacion
 
Introducción a los Sistemas de Gestión de Seguridad de la Información (SGSI)
Introducción a los Sistemas de Gestión de Seguridad de la Información (SGSI)Introducción a los Sistemas de Gestión de Seguridad de la Información (SGSI)
Introducción a los Sistemas de Gestión de Seguridad de la Información (SGSI)
 
Sistema de gestión de la seguridad de la información
Sistema de gestión de la seguridad de la informaciónSistema de gestión de la seguridad de la información
Sistema de gestión de la seguridad de la información
 
Sistema de gestión de la seguridad de la información
Sistema de gestión de la seguridad de la informaciónSistema de gestión de la seguridad de la información
Sistema de gestión de la seguridad de la información
 
Implementación de la norma UNE-ISO/IEC 27001
Implementación de la norma UNE-ISO/IEC 27001Implementación de la norma UNE-ISO/IEC 27001
Implementación de la norma UNE-ISO/IEC 27001
 
Seguridad De La InformacióN
Seguridad De La InformacióNSeguridad De La InformacióN
Seguridad De La InformacióN
 
Sistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacionSistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacion
 
27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio
 
14. iso 27001
14. iso 2700114. iso 27001
14. iso 27001
 
Iso 27000 estandar
Iso 27000 estandarIso 27000 estandar
Iso 27000 estandar
 
iso_27001.pptx
iso_27001.pptxiso_27001.pptx
iso_27001.pptx
 
Sistemas de gestión de seguridad de la información yarleny perez_20102006282
Sistemas de gestión de seguridad de la información yarleny perez_20102006282Sistemas de gestión de seguridad de la información yarleny perez_20102006282
Sistemas de gestión de seguridad de la información yarleny perez_20102006282
 
Sistemas de Gestión de Seguridad de la Información
Sistemas de Gestión de Seguridad de la InformaciónSistemas de Gestión de Seguridad de la Información
Sistemas de Gestión de Seguridad de la Información
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
 

Plus de Angelica Lopera

Proyecto+resolucion+estandares+minimos+sg sst
Proyecto+resolucion+estandares+minimos+sg sstProyecto+resolucion+estandares+minimos+sg sst
Proyecto+resolucion+estandares+minimos+sg sst
Angelica Lopera
 
Proyecto+estandares+mínimos+del+sg sst
Proyecto+estandares+mínimos+del+sg sstProyecto+estandares+mínimos+del+sg sst
Proyecto+estandares+mínimos+del+sg sst
Angelica Lopera
 
Anexo 18-estandar-para-trabajos-en-altura
Anexo 18-estandar-para-trabajos-en-alturaAnexo 18-estandar-para-trabajos-en-altura
Anexo 18-estandar-para-trabajos-en-altura
Angelica Lopera
 

Plus de Angelica Lopera (14)

Res 6549 161014
Res 6549 161014Res 6549 161014
Res 6549 161014
 
Reintegro laboral
Reintegro laboralReintegro laboral
Reintegro laboral
 
Proyecto+resolucion+estandares+minimos+sg sst
Proyecto+resolucion+estandares+minimos+sg sstProyecto+resolucion+estandares+minimos+sg sst
Proyecto+resolucion+estandares+minimos+sg sst
 
Proyecto+estandares+mínimos+del+sg sst
Proyecto+estandares+mínimos+del+sg sstProyecto+estandares+mínimos+del+sg sst
Proyecto+estandares+mínimos+del+sg sst
 
Pre auditoria trabajos_alturas
Pre auditoria trabajos_alturasPre auditoria trabajos_alturas
Pre auditoria trabajos_alturas
 
Listado+legislación+en+rr+ll agosto+2014
Listado+legislación+en+rr+ll agosto+2014Listado+legislación+en+rr+ll agosto+2014
Listado+legislación+en+rr+ll agosto+2014
 
Indicadores sgrl por_arl_sem1_2013(2)
Indicadores sgrl por_arl_sem1_2013(2)Indicadores sgrl por_arl_sem1_2013(2)
Indicadores sgrl por_arl_sem1_2013(2)
 
Guia escombros baja
Guia escombros bajaGuia escombros baja
Guia escombros baja
 
Foro alturas
Foro alturasForo alturas
Foro alturas
 
Es health&safety (low)
Es health&safety (low)Es health&safety (low)
Es health&safety (low)
 
Ats
AtsAts
Ats
 
Alturas
AlturasAlturas
Alturas
 
Anexo 18-estandar-para-trabajos-en-altura
Anexo 18-estandar-para-trabajos-en-alturaAnexo 18-estandar-para-trabajos-en-altura
Anexo 18-estandar-para-trabajos-en-altura
 
Directrices+oit+sg sst
Directrices+oit+sg sstDirectrices+oit+sg sst
Directrices+oit+sg sst
 

Dernier

🦄💫4° SEM32 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx
🦄💫4° SEM32 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx🦄💫4° SEM32 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx
🦄💫4° SEM32 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx
EliaHernndez7
 
ACRÓNIMO DE PARÍS PARA SU OLIMPIADA 2024. Por JAVIER SOLIS NOYOLA
ACRÓNIMO DE PARÍS PARA SU OLIMPIADA 2024. Por JAVIER SOLIS NOYOLAACRÓNIMO DE PARÍS PARA SU OLIMPIADA 2024. Por JAVIER SOLIS NOYOLA
ACRÓNIMO DE PARÍS PARA SU OLIMPIADA 2024. Por JAVIER SOLIS NOYOLA
JAVIER SOLIS NOYOLA
 
Concepto y definición de tipos de Datos Abstractos en c++.pptx
Concepto y definición de tipos de Datos Abstractos en c++.pptxConcepto y definición de tipos de Datos Abstractos en c++.pptx
Concepto y definición de tipos de Datos Abstractos en c++.pptx
Fernando Solis
 
NUEVAS DIAPOSITIVAS POSGRADO Gestion Publica.pdf
NUEVAS DIAPOSITIVAS POSGRADO Gestion Publica.pdfNUEVAS DIAPOSITIVAS POSGRADO Gestion Publica.pdf
NUEVAS DIAPOSITIVAS POSGRADO Gestion Publica.pdf
UPTAIDELTACHIRA
 
RESULTADOS DE LA EVALUACIÓN DIAGNÓSTICA 2024 - ACTUALIZADA.pptx
RESULTADOS DE LA EVALUACIÓN DIAGNÓSTICA 2024 - ACTUALIZADA.pptxRESULTADOS DE LA EVALUACIÓN DIAGNÓSTICA 2024 - ACTUALIZADA.pptx
RESULTADOS DE LA EVALUACIÓN DIAGNÓSTICA 2024 - ACTUALIZADA.pptx
pvtablets2023
 
TALLER DE DEMOCRACIA Y GOBIERNO ESCOLAR-COMPETENCIAS N°3.docx
TALLER DE DEMOCRACIA Y GOBIERNO ESCOLAR-COMPETENCIAS N°3.docxTALLER DE DEMOCRACIA Y GOBIERNO ESCOLAR-COMPETENCIAS N°3.docx
TALLER DE DEMOCRACIA Y GOBIERNO ESCOLAR-COMPETENCIAS N°3.docx
NadiaMartnez11
 

Dernier (20)

Tema 19. Inmunología y el sistema inmunitario 2024
Tema 19. Inmunología y el sistema inmunitario 2024Tema 19. Inmunología y el sistema inmunitario 2024
Tema 19. Inmunología y el sistema inmunitario 2024
 
Los avatares para el juego dramático en entornos virtuales
Los avatares para el juego dramático en entornos virtualesLos avatares para el juego dramático en entornos virtuales
Los avatares para el juego dramático en entornos virtuales
 
🦄💫4° SEM32 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx
🦄💫4° SEM32 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx🦄💫4° SEM32 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx
🦄💫4° SEM32 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx
 
ACRÓNIMO DE PARÍS PARA SU OLIMPIADA 2024. Por JAVIER SOLIS NOYOLA
ACRÓNIMO DE PARÍS PARA SU OLIMPIADA 2024. Por JAVIER SOLIS NOYOLAACRÓNIMO DE PARÍS PARA SU OLIMPIADA 2024. Por JAVIER SOLIS NOYOLA
ACRÓNIMO DE PARÍS PARA SU OLIMPIADA 2024. Por JAVIER SOLIS NOYOLA
 
Biografía de Charles Coulomb física .pdf
Biografía de Charles Coulomb física .pdfBiografía de Charles Coulomb física .pdf
Biografía de Charles Coulomb física .pdf
 
Infografía EE con pie del 2023 (3)-1.pdf
Infografía EE con pie del 2023 (3)-1.pdfInfografía EE con pie del 2023 (3)-1.pdf
Infografía EE con pie del 2023 (3)-1.pdf
 
Supuestos_prácticos_funciones.docx
Supuestos_prácticos_funciones.docxSupuestos_prácticos_funciones.docx
Supuestos_prácticos_funciones.docx
 
Power Point: Fe contra todo pronóstico.pptx
Power Point: Fe contra todo pronóstico.pptxPower Point: Fe contra todo pronóstico.pptx
Power Point: Fe contra todo pronóstico.pptx
 
Factores que intervienen en la Administración por Valores.pdf
Factores que intervienen en la Administración por Valores.pdfFactores que intervienen en la Administración por Valores.pdf
Factores que intervienen en la Administración por Valores.pdf
 
Concepto y definición de tipos de Datos Abstractos en c++.pptx
Concepto y definición de tipos de Datos Abstractos en c++.pptxConcepto y definición de tipos de Datos Abstractos en c++.pptx
Concepto y definición de tipos de Datos Abstractos en c++.pptx
 
La Sostenibilidad Corporativa. Administración Ambiental
La Sostenibilidad Corporativa. Administración AmbientalLa Sostenibilidad Corporativa. Administración Ambiental
La Sostenibilidad Corporativa. Administración Ambiental
 
NUEVAS DIAPOSITIVAS POSGRADO Gestion Publica.pdf
NUEVAS DIAPOSITIVAS POSGRADO Gestion Publica.pdfNUEVAS DIAPOSITIVAS POSGRADO Gestion Publica.pdf
NUEVAS DIAPOSITIVAS POSGRADO Gestion Publica.pdf
 
Análisis de los Factores Externos de la Organización.
Análisis de los Factores Externos de la Organización.Análisis de los Factores Externos de la Organización.
Análisis de los Factores Externos de la Organización.
 
Procedimientos para la planificación en los Centros Educativos tipo V ( multi...
Procedimientos para la planificación en los Centros Educativos tipo V ( multi...Procedimientos para la planificación en los Centros Educativos tipo V ( multi...
Procedimientos para la planificación en los Centros Educativos tipo V ( multi...
 
PINTURA DEL RENACIMIENTO EN ESPAÑA (SIGLO XVI).ppt
PINTURA DEL RENACIMIENTO EN ESPAÑA (SIGLO XVI).pptPINTURA DEL RENACIMIENTO EN ESPAÑA (SIGLO XVI).ppt
PINTURA DEL RENACIMIENTO EN ESPAÑA (SIGLO XVI).ppt
 
RESULTADOS DE LA EVALUACIÓN DIAGNÓSTICA 2024 - ACTUALIZADA.pptx
RESULTADOS DE LA EVALUACIÓN DIAGNÓSTICA 2024 - ACTUALIZADA.pptxRESULTADOS DE LA EVALUACIÓN DIAGNÓSTICA 2024 - ACTUALIZADA.pptx
RESULTADOS DE LA EVALUACIÓN DIAGNÓSTICA 2024 - ACTUALIZADA.pptx
 
TIENDAS MASS MINIMARKET ESTUDIO DE MERCADO
TIENDAS MASS MINIMARKET ESTUDIO DE MERCADOTIENDAS MASS MINIMARKET ESTUDIO DE MERCADO
TIENDAS MASS MINIMARKET ESTUDIO DE MERCADO
 
TALLER DE DEMOCRACIA Y GOBIERNO ESCOLAR-COMPETENCIAS N°3.docx
TALLER DE DEMOCRACIA Y GOBIERNO ESCOLAR-COMPETENCIAS N°3.docxTALLER DE DEMOCRACIA Y GOBIERNO ESCOLAR-COMPETENCIAS N°3.docx
TALLER DE DEMOCRACIA Y GOBIERNO ESCOLAR-COMPETENCIAS N°3.docx
 
Sesión de clase APC: Los dos testigos.pdf
Sesión de clase APC: Los dos testigos.pdfSesión de clase APC: Los dos testigos.pdf
Sesión de clase APC: Los dos testigos.pdf
 
semana 4 9NO Estudios sociales.pptxnnnn
semana 4 9NO Estudios sociales.pptxnnnnsemana 4 9NO Estudios sociales.pptxnnnn
semana 4 9NO Estudios sociales.pptxnnnn
 

Normas leyes

  • 1. Estándares y Normas de Seguridad  ¿Por qué normas/estándares de seguridad?  Las organizaciones necesitan (en ocasiones deben) demostrar que realizan una gestión competente y efectiva de la seguridad de los recursos y datos que gestionan. − Deben demostrar que identifican y detectan los riesgos a los que está sometida y que adoptan medidas adecuadas y proporcionadas. − Necesario: conjunto estructurado, sistemático, coherente y completo de normas a seguir.  Herramienta: SGSI (Sistema de Gestión de la Seguridad de la Información)  En inglés ISMS (Information Security Management System)  SGSI: proceso sistemático, documentado y conocido por toda la organización para garantizar que la seguridad de la información es gestionada correctamente
  • 2. Familia de Normas ISO/IEC 27000  Normas ISO 27000: Familia de estándares de ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission) que proporciona un marco para la gestión de la seguridad  Conjunto de normas que especifican los requisitos para establecer, implantar, poner en funcionamieto, controlar, revisar, mantener y mejorar un SGSI  Normas base: 20001, 20002  Normas complementarias: 20003, 20004, 20005, ...  Seguridad de la información (según ISO 27001): preservación de su confidencialidad, integridad y disponibilidad, así como la de los sistemas implicados en su tratamiento  Confidencialidad: la información no se pone a disposición ni se revela a individuos, entidades o procesos no autorizados.  Integridad: mantenimiento de la exactitud y completitud de la información y sus métodos de proceso.  Disponibilidad: acceso y utilización de la información y los sistemas de tratamiento de la misma por parte de los individuos, entidades o procesos autorizados cuando lo requieran.
  • 3. Familia de Normas ISO/IEC 27000  ISO/IEC 27000: define el vocabulario estándar empleado en la familia 27000 (definición de términos y conceptos)  ISO/IEC 27001: especifica los requisitos a cumplir para implantar un SGSI certificable conforme a las normas 27000  Define cómo es el SGSI, cómo se gestiona y cúales son las resposabilidades de los participantes.  Sigue un modelo PDCA (Plan-Do-Check-Act)  Puntos clave: Gestión de riesgos + Mejora contínua  ISO/IEC 27002: código de buenas prácticas para la gestión de la seguridad  Recomendaciones sobre qué medidas tomar para asegurar los sistemas de información de una organización  Describe los objetivos de control (aspectos a analizar para garantizar la seguridad de la información) y especifica los controles recomendables a implantar (medidas a tomar)  Antes ISO 17799, basado en estándar BS 7799 (en España norma UNE-ISO 17799)
  • 4. Familia de Normas ISO/IEC 27000 ISO/IEC 27003:guía de implementación de SGSI e información acerca del uso del modelo PDCA (Plan-Do-Check-Act) y de los requerimientos de sus diferentes fases (en desarrollo, pendiente de publicación) ISO/IEC 27004: especifica las métricas y las técnicas de medida aplicables para determinar la eficacia de un SGSI y de los controles relacionados (en desarrollo, pendiente de publicación)  medición de los componentes de la fase “Do” (Implementar y Utilizar) del ciclo PDCA. ISO/IEC 27005: gestión de riesgos de seguridad de la información (recomendaciones, métodos y técnicas para evaluación de riesgos de seguridad) ISO/IEC 27006: requisitos a cumplir por las organizaciones encargadas de emitir certificaciones ISO/IEC 27001  Requisitos para la acreditación de las entidades de auditoria y certificación
  • 5. Familia de Normas ISO/IEC 27000  ISO/IEC 27007: guía de actuación para auditar los SGSI conforme a las normas 27000  ISO/IEC 27011: guía de gestión de seguridad de la información específica para telecomunicaciones (en desarrollo)  elaborada conjuntamente con la ITU (Unión Internacional de Telecomunicaciones)  ISO/IEC 27031: guía de continuidad de negocio en lo relativo a tecnologías de la información y comunicaciones (en desarrollo)  ISO/IEC 27032: guía relativa a la ciberseguridad (en desarrollo)  ISO/IEC 27032: guía de seguridad en aplicaciones (en desarrollo)  ISO/IEC 27799: guía para implantar ISO/IEC 27002 específica para entornos médicos
  • 6. ISO/IEC 27001  “ Norma que especifica los requisitos para establecer, implantar, poner en funcionamiento, controlar, revisar, mantener y mejorar un SGSI documentado dentro del contexto global de los riesgos de negocio de la organización. Especifica los requisitos para la implantación de los controles de seguridad hechos a medida de las necesidades de organizaciones individuales o partes de las mismas” Objetivo: Mejora continua Se adopta el modelo Plan-Do-Check- Act (PDCA ó ciclo de Deming) para todos los procesos de la organización.
  • 7. ISO/IEC 27001 Fase Planificación (Plan) [establecer el SGSI]: Establecer la política,objetivos, procesos y procedimientos relativos a la gestión del riesgo y mejorar la seguridad de la información de la organización para ofrecer resultados de acuerdo con las políticas y objetivos generales de la organización. Fase Ejecución (Do) [implementar y gestionar el SGSI]: Implementar y gestionar el SGSI de acuerdo a su política, controles, procesos y procedimientos. Fase Seguimiento (Check) [monitorizar y revisar el SGSI]: Medir y revisar las prestaciones de los procesos del SGSI. Fase Mejora (Act) [mantener y mejorar el SGSI]: Adoptar acciones correctivas y preventivas basadas en auditorías y revisiones internas ó en otra información relevante a fin de alcanzar la mejora contínua del SGSI.
  • 8.
  • 9. ISO/IEC 27001 DO: Implantación y puesta en marcha del SGSI  preparar un plan de tratamiento del riesgo  implantar los controles que se hayan seleccionado  medir la eficacia de dichos controles  crear programas de formación y concienciación CHECK + ACT: Control y evaluación del SGSI  implantar una serie de procedimientos para el control y la revisión  puesta en marcha de una serie de revisiones regulares sobre la eficacia del SGSI, a partir de los resultados de las auditorías de seguridad y de las mediciones  tomar las medidas correctivas y preventivas PLAN: Establecimiento y gestión del SGSI  definir el alcance del sistema de gestión  definir la política del SGSI  definir la metodología para la valoración del riesgo  identificar los riesgos  elaborar un análisis y evaluación de dichos riesgos  identificar los diferentes tratamientos del riesgo  seleccionar los controles y objetivos de los mismos que posibilitarán dicho tratamiento
  • 10. ISO/IEC 27002  Conjunto de recomendaciones sobre qué medidas tomar en la empresa para asegurar los Sistemas de Información.  Los objetivos de seguridad recogen aquellos aspectos fundamentales que se deben analizar para conseguir un sistema seguro en cada una de las áreas que los agrupa. Para conseguir cada uno de estos objetivos la norma propone una serie de medidas o recomendaciones (controles) que son los que en definitiva aplicaremos para la gestión del riesgo analizado.  Objetivo: Definir los aspectos prácticos/operativos de la implantación del SGSI
  • 11. ISO/IEC 27002 Areas/secciones sobre las que actuar: Objetivos de control: aspectos a asegurar dentro de cada área/sección Controles: mecanismos para asegurar los distintos objetivos de control (guía de buenas prácticas) Para cada control se incluye una guía para su implantación Control de accesos Desarrollo y mantenimiento de sistemas Gestión de incidentes de seguridad de la información Gestión de continuidad de negocio Conformidad Política de seguridad Aspectos organizativos para la seguridad Clasificación y control de activos Seguridad ligada al personal Seguridad física y del entorno Gestión de comunicaciones y operaciones
  • 13. Legislación • Leyes aplicables en relación con la Seguridad en los Sistemas de Información • Ley Orgánica de Protección de Datos (LOPD) + normativas de protección de datos • Ley de Servicios para la Sociedad de la Información y el Comercio Electrónico (LSSI-CE) • Legislación de Firma Electrónica (LFE) • Relacionadas: – Ley de Acceso de los Ciudadanos a los Servicios Públicos – Ley de Medidas de Impulso a la Sociedad de la Información
  • 14. Protección de Datos • Todas las organizaciones que tengan ficheros con datos personales han de declararlos a la Agencia Española de Protección de Datos (www.agpd.es) • Hay que implantar un documento de seguridad • Ficheros de datos personales clasificados en tres niveles: – Básico: Ficheros con información personal – Medio: Ficheros con datos relativos a la comisión de infracciones administrativas, Hacienda Pública, Servicios financieros, así como los ficheros para la prestación de servicios de información sobre solvencia patrimonial y de crédito – Alto: Ficheros con datos sobre ideología, religión, creencias, origen racial, salud o vida sexual, así como los datos recabados para fines policiales sin consentimiento del afectado • Hay que aplicar medidas de seguridad técnicas y organizativas en función del nivel y según establece el reglamento • Auditorías bienales para ficheros de nivel medio y alto
  • 15. Protección de Datos Personales Ley Orgánica 15/1999, de 13 de Diciembre de Protección de Datos de Carácter Personal - LOPD Real Decreto 994/1999 de 11 de Junio por el que se aprueba el Reglamento de Medidas de Seguridad de los ficheros automatizados que contengan datos de carácter personal Real Decreto 1720/2007 de 19 de diciembre por el que se aprueba el Nuevo Reglamento de Medidas de Seguridad de los ficheros automatizados y físicos que contengan datos de carácter personal
  • 16. LSSI-CE • Ley 34/2002 de 11 de Julio, de Servicios de la Sociedad de la Información y del Comercio Electrónico – LSSI-CE ( www.lssi.es) • Establece los criterios de servicios en Internet, cuando sean parte de actividad económica. • Validez y regulación del comercio electrónico
  • 17. LSSI-CE • Servicios por Internet – Mostrar en la web: Nombre, NIF, dirección, correo electrónico – Datos de inscripción registral incluyendo nombre del dominio – Mostrar precios de los productos y servicios, – Contratación y tramitación on-line – Autenticación mediante certificados y establecer canales seguros SSL • Sobre la publicidad por Internet – Prohibición de los spam (email no solicitado) – Posibilidad de borrarse de las listas de correo informativo • Sobre los prestadores de servicios ISP, Hosting – Colaborar con los organos públicos para resolucion de incidencias: almacenamiento de logs y eventos para rastreo – Informar a los clientes sobre medidas de seguridad a aplicar – No son responsables de contenidos ilícitos si no los elaboran, – Sí son responsables si los conocen y no los retiran o no los comunican. • Sobre titulares de páginas personales – Solo sujetas a la ley si tienen publicidad por la que perciban ingresos – Identificar claramente la publicidad y la identidad: nombre, tfno, fax, eMail, NIF
  • 18. Legislación Firma Electrónica • Ley 59/2003 de 19 de Diciembre, de firma electrónica • Equipara la firma electrónica a la firma física, estableciendo su validez legal • Regula a los Prestadores de Servicios de Certificación (PSC – Autoridades de Certificación) • Regula los certificados reconocidos • Regula los dispositivos seguros de creación de firmas • Implementa/adapta la directiva europea 1999/93/EC (iniciativas eEurope) • Introduce el DNI electrónico (DNIe) – RD 1553/2005 de 23 Diciembre, regula la expedición