Auditoría y Seguridad de Sistemas de Información: lopd

Mostrando entradas con la etiqueta lopd. Mostrar todas las entradas

domingo, 13 de diciembre de 2009

Destrucción de Información, referencias legales y normativas (IV)

******************************************************
Destrucción de Información, refs legales y normativas (I)
Destrucción de Información, refs legales y normativas (II)
Destrucción de Información, refs legales y normativas (III)
Destrucción de Información, refs legales y normativas (IV)
******************************************************

Categoría: Seguridad de la Información

Destrucción de Información en Soporte Digital

Ahora bien, todo lo anterior es válido para información que figura en formato papel pero no tiene sentido aplicar la misma vara de medir a los soportes magnéticos. Por ello, cuando se habla de destrucción segura de soportes que contienen información digital podemos optar por dos tipos de destrucción principalmente:

Destrucción por software: si se desea reutilizar el soporte ésta es la única opción y ya comentamos con anterioridad cómo se puede realizar este borrado seguro de información del disco duro aplicando el conocido como algoritmo de Gutmann. Este métido de destrucción de la información por software es mucho más exhaustivo que, por ejemplo, el utilizado por el Departamento de Defensa de los Estados Unidos según el Standard DoD 5220.22-M en lo que a discos en PCs físicos se refiere.
Destrucción por hardware: Este grupo de procedimientos de destrucción es el adecuado cuando la reutilización del soporte no es necesaria o no se considera conveniente porque la información contenida en el soporte está clasificada dentro de una categoría de alta confidencialidad. Disponemos de las siguientes opciones:

Destrucción mecánica del dispositivo: esto implica que una máquina se encarga de realizar una destrucción del dispositivo. Algunas destructoras de papel, también destruyen otros soportes como CDs o disquetes, pero para los discos duros hay que utilizar máquinas o bien que taladren el disco duro agujereando los platos donde figura la información (de otra forma podría recuperarse aunque se haya provocado un daño mecánico montando estos discos sobre otro soporte de iguales características), o bien que literalmente lo planchen o reduzcan a pedazos. Sirva esta imagen que no puedo incluir por derechos de autor como un buen ejemplo.
Destrucción mediante campos magnéticos: En este caso los discos duros son sometidos a intensos campos magnéticos que dejan la superficie del diso ilegible e inutilizada y por ende la información irrecuperable.
Destrucción mediante el fuego: Una opción a tener en cuenta es someterlos a altas temperaturas durante un periodo de tiempo prolongado que permita que los materiales se fundan.

Ya para finalizar os dejo un vídeo sobre una planta de destrucción de soportes y medios:

viernes, 11 de diciembre de 2009

Destrucción de Información, referencias legales y normativas (III)

Tras este repaso sobre algunas de las referencias legales en cuanto a clasificación que ya existen y que se van a imponer en breve, quiero hacer una reflexión al respecto de cómo se trata la destrucción de la información ligada a los requisitos legales de destrucción y el nivel de clasificación que estos dos marcos legales nos ofrecen.

La norma DIN 32757 regula el tamaño máximo que deben tener los fragmentos de un soporte destruido dependiendo de la clasificación de la información que contiene definiendo 5 niveles:

Nivel 1: Tiras de un máximo de 12 mm de ancho. Documentos generales que deben hacerse ilegibles.
Nivel 2: Tiras de un máximo de 6 mm de ancho. Documentos internos que deben hacerse ilegibles.
Nivel 3: Tiras de un máximo de 2 mm. de ancho / Partículas de un máximo de 4 x 80 mm. Documentos confidenciales.
Nivel 4: Partículas de un máximo de 2 x 15 mm. Documentos de importancia vital para la organización que deben mantenerse en secreto.
Nivel 5: Partículas de un máximo de 0,8 x 12 mm. Documentos clasificados, para los que rigen exigencias de seguridad muy elevadas.

A mayor nivel de seguridad, menor es el tamaño de las partículas resultantes. Podemos entonces establecer para el papel una correspondencia en función de la criticidad de los datos (y las sanciones por fuga de datos en caso de la LOPD) entre los diferentes niveles establecidos por el RD 1720/2007, el ENS y la norma DIN 32757.

Entramos en el terreno de la opinión dadas las mínimas diferencias que existen entre niveles adyacentes de la norma DIN 32757. En relación al reglamento de desarrollo de la LOPD y respetando lo descrito en el artículo 92.4 donde no se distingue entre niveles de clasificación de la información de carácter personal, una alternativa es destruir cualquier información de carácter personal en soporte papel mediante una destructora que asegure un nivel 4. Otra posible alternativa puede ser la siguiente:

LOPD nivel bajo <--> DIN 32757 nivel 2
LOPD nivel medio <--> DIN 32757 nivel 3
LOPD nivel alto <--> DIN 32757 nivel 4 o 5

En relación al ENS, podemos establecer la siguiente correspondencia en cuanto a la clasificación que por confidencialidad hace en el artículo 43:

ENS Información Pública --> No es necesaria la destrucción
ENS Información No Divulgable <--> DIN 32757 nivel 3
ENS Información de Difusión Administrativa <--> DIN 32757 nivel 4 o 5

No obstante, el ENS entiendo que tiene una doble clasificación en términos de confidencialidad que quizá debería ser revisada dado que en el Anexo I se vuelve a tipificar la información como básica media y alta dependiendo del impacto generado por un incidente de seguridad. Atendiendo a esta clasificación podríamos tener la siguiente opción:

ENS nivel bajo --> DIN 32757 nivel 2
ENS nivel medio --> DIN 32757 nivel 3
ENS nivel alto --> DIN 32757 nivel 4 o 5

Esta correspondencia establece a su vez una equiparación en términos de destrucción entre los niveles medio y alto y la información de carácter no divulgable y de Difusión Administrativa respectivamente.

******************************************************
Destrucción de Información, refs legales y normativas (I)
Destrucción de Información, refs legales y normativas (II)
Destrucción de Información, refs legales y normativas (III)
Destrucción de Información, refs legales y normativas (IV)
******************************************************

jueves, 10 de diciembre de 2009

Destrucción de Información, referencias legales y normativas (II)

El recientemente publicado borrador del Esquema Nacional de Seguridad establece dentro de su capítulo 10 en su artículo 43 una clasificación de la información distinguiendo entre:

Información de Difusión Administrativa: aquella cuya revelación pública no autorizada pueda ocasionar un perjuicio para el procedimiento administrativo o para los intereses de las personas afectadas.
Información No Divulgable: aquella que, sin ser información clasificada, o de difusión administrativa, tenga limitada su publicidad por disposición legal.
Información Pública: toda información que no sea información clasificada, dato de carácter personal, ni esté clasificado como de Difusión Administrativa o No Divulgable por prescripción legal.

En su anexo I, hace una categorización de los sistemas que los divide en tres categorías:

Básica, Media y Alta.

Habla también allí de que un sistema pertenecerá a una determinada categoría dependiendo del impacto que un determinado incidente de seguridad pudiera provocar a nivel organizativo. Hace también una exposición de las dimensiones de seguridad (con la que no estoy de acuerdo) y menciona que debe evaluarse cada dimensión por separado y cómo se debe hacer corresponder cada dimensión con su categoría de seguridad. En el punto 6 del mismo anexo podemos encontrar una secuencia de pasos que nos conducirá hasta la categorización del sistema pasando por:

Identificación de la información manejada según lo dispuesto en el artículo 43
Determinar las dimensiones de seguridad relevantes
Determinar el nivel de seguridad correspondiente a cada dimensión
Determinar la categoría del sistema

En lo relativo a la destrucción de la información, el ENS introduce en su punto 5.5.5 del Anexo II a qué deben aplicarse y qué garantías deben proveer las medidas de borrado y destrucción:

La medida de borrado y destrucción de soportes de información se aplicará a todo tipo de equipos susceptibles de almacenar información, incluyendo medios electrónicos y no electrónicos.

a) Los soportes que vayan a ser reutilizados para otra información o liberados a otra organización serán objeto de un borrado seguro de su anterior contenido.

b) Se destruirán de forma segura los soportes en los siguientes casos:
1º Cuando la naturaleza del soporte no permita un borrado seguro.
2º Cuando así lo requiera el procedimiento asociado al tipo de la información contenida.
c) Se emplearán, preferentemente, productos certificados [op.pl.5]

Como se puede apreciar hace referencia al requisito op.pl.5 que se encuentra en el punto 4.1.5. y que recomienda el uso de productos o equipos cuyas funcionalidades hayan sido rigurosamente evaluadas conforme a normas internacionales o europeas. Reza:

Tendrán la consideración de normas europeas o internacionales, ISO/IEC 15408 u otras de naturaleza y calidad análogas

Sobre ISO 15408 hablaremos en un futuro en este blog.

******************************************************
Destrucción de Información, refs legales y normativas (I)
Destrucción de Información, refs legales y normativas (II)
Destrucción de Información, refs legales y normativas (III)
Destrucción de Información, refs legales y normativas (IV)
******************************************************

miércoles, 9 de diciembre de 2009

Destrucción de Información, referencias legales y normativas (I)

En post pasados analizamos las peculiaridades de los entornos compartidos e hicimos mención a la destrucción de datos, dejándola a un lado para otro post. Aquí trato este aspecto, que constituye la última parte dentro del ciclo de vida de la información, su destrucción, desde una perspectiva legal. Para ello se va a tener en cuenta el reglamento de desarrollo de la LOPD y el ENS. Dependiendo del país y del sector empresarial pueden existir otras leyes que vinculen la clasificación de la información con los requisitos a cumplir en su destrucción pero la información aquí contenida puede ser igualmente útil.

Introducción

La clasificación de la información es, sin duda alguna, uno de los puntos comunes a toda normativa ya sea de obligado cumplimiento y origen legal (Ley Orgánica de Protección de Datos, Esquema Nacional de Seguridad) o de cumplimiento voluntario (ISO 27001). Esta clasificación nos permite aplicar medidas de seguridad dependiendo de la criticidad de la información a ser protegida.

Dentro del marco legal español ya existen reglamentos que aplican la clasificación de la información y que de manera más o menos directa vinculan la clasificación de un activo de información a los requisitos que se deben cumplir en su destrucción. A continuación se resumen las diferentes partes del Reglamento de desarrollo de la Ley Orgánica de Protección de Datos y del futuro Esquema Nacional de Seguridad que tienen implicaciones en la destrucción de la información ofreciendo un vínculo entre dichos requerimientos y otras normativas existentes para cumplir los requerimientos impuestos por la legislación.

Reglamento de desarrollo de la Ley Orgánica 15/1999

El Real Decreto 1720/2007 de 21 de Diciembre por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de Diciembre, de Protección de datos de carácter personal, en su artículo 80 expone;

Las medidas de seguridad exigibles a los ficheros y tratamientos se clasifican en tres niveles: básico, medio y alto.

Esta misma legislación hace referencia a la destrucción de la información en su artículo 88.3.g) en el que menciona en relación a la información que debe figurar en el Documento de Seguridad;

Las medidas que sea necesario adoptar para el transporte de soportes y documentos, así como para la destrucción de los documentos y soportes, o en su caso, la reutilización de estos últimos.

También lo hace refiriéndose a ficheros y tratamientos automatizados en el Artículo 92.4 donde reza;

Siempre que vaya a desecharse cualquier documento o soporte que contenga datos de carácter personal deberá procederse a su destrucción o borrado, mediante la adopción de medidas dirigidas a evitar el acceso a la información contenida en el mismo o su recuperación posterior.

Finalmente impone en el artículo 105.2.d. que lo anterior también es válido para ficheros y tratamientos no automatizados.

******************************************************
Destrucción de Información, refs legales y normativas (I)
Destrucción de Información, refs legales y normativas (II)
Destrucción de Información, refs legales y normativas (III)
Destrucción de Información, refs legales y normativas (IV)
******************************************************

jueves, 28 de mayo de 2009

Ficheros Temporales y LOPD

Hace ya una semana que Chema Alonso publicaba una serie de post tratando la problemática referente al cumplimiento de la LOPD en el tratamiento de los datos personales que se realiza por los sistemas informáticos.

Una vez he podido terminar de leerlo, me ha parecido importante reseñarlo aquí por la implicacion que esto tiene y porque sencillamente me parece muy bueno :).

Si quereis conocer cómo deberian protegerse los datos durante su procesamiento en el pc y las problemáticas que se plantean con las memorias intermedias no dejeis de visitarlo, muy bueno.

Aquí comienza la serie

martes, 21 de abril de 2009

La AEPD se pone las botas

La Agencia Española de Protección de Datos incrementa el número de denuncias y el montante recabado por las sanciones, datos que se desprenden de la publicación de su memoria 2008.

Algunos de los principales hechos que se desprenden del citado documento son los siguientes:

Incremento de las actuaciones inspectoras previas a la iniciación de procedimientos sancionadores se de un 45,4%.
Los sectores de telecomunicaciones, entidades financieras y videovigilancia son los que han sufrido más inspecciones suponiendo, en conjunto, el 50,9% de todas las realizadas."
"Las sanciones a las Administraciones públicas crecieron un 19,7% en su conjunto.
22,6 millones de euros en sanciones que suponen un incremento del 15% con respecto a las de 2007

Aquí teneis algunas conclusiones más pero esto pone los pelos de punta a cualquiera...

domingo, 13 de diciembre de 2009

Destrucción de Información, referencias legales y normativas (IV)

viernes, 11 de diciembre de 2009

Destrucción de Información, referencias legales y normativas (III)

jueves, 10 de diciembre de 2009

Destrucción de Información, referencias legales y normativas (II)

miércoles, 9 de diciembre de 2009

Destrucción de Información, referencias legales y normativas (I)

jueves, 28 de mayo de 2009

Ficheros Temporales y LOPD

martes, 21 de abril de 2009

La AEPD se pone las botas

My new blog

Los temas del blog

Archivo del blog

Contador de Visitas

Suscripciones

Blogs de Seguridad

Seguridad Informática

Otros Blogs Interesantes

Licencia

Seguidores