Las medidas de seguridad en datos exigibles se clasifican en tres niveles: básico, medio y alto.
Dichos niveles se establecen atendiendo a la naturaleza de la información tratada, en relación con la mayor o menor necesidad de garantizar la confidencialidad de datos y la integridad de la información.
NIVEL BÁSICO.
Todos los ficheros que contengan datos de carácter personal deberán adoptar las medidas de seguridad calificadas de nivel básico.
-Documento de seguridad. Normativa de seguridad de obligado cumplimiento para el personal con acceso a los datos automatizados de carácter personal y a los sistemas de información. -Funciones y obligaciones del personal. El personal debe conocer las normas de seguridad que afecten al desarrollo de sus funciones así como las consecuencias en que pudiera incurrir en caso de incumplimiento. -Registro de incidencias. Registro en el que se haga constar el tipo de incidencia, el momento en que se ha producido, la persona que realiza la notificación, a quién se le comunica y los efectos que se hubieran derivado de la misma. -Identificación y autenticación. Existirá una relación actualizada de usuarios que tengan acceso autorizado al sistema de información y procedimientos de identificación y autenticación para dicho acceso. -Control de acceso. Los usuarios tendrán acceso autorizado únicamente a aquellos datos y recursos que precisen para el desarrollo de sus funciones. -Gestión de soportes. Los soportes informáticos que contengan datos de carácter personal deberán permitir identificar el tipo de información que contienen, ser inventariados y almacenarse en un lugar con acceso restringido al personal autorizado para ello en el documento de seguridad. -Copias de respaldo y recuperación. Procedimientos de realización de copias de respaldo y de recuperación de los datos.
NIVEL MEDIO.
Los ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios financieros y aquellos ficheros cuyo funcionamiento se rija por el articulo 28 de la Ley Orgánica 5/1992, deberán reunir, además de las medidas de nivel básico, las calificadas como de nivel medio.
Además de las medidas de Nivel Básico debe de incorporar las siguientes:
-Responsable de seguridad. Se designará uno o varios responsables de seguridad encargados de coordinar y controlar las medidas definidas en el documento de seguridad. -Auditoría. Los sistemas de información e instalaciones de tratamiento de datos se someterán a una auditoría interna o externa, que verifique el cumplimiento del presente Reglamento, de los procedimientos e instrucciones vigentes en materia de seguridad de datos, al menos, cada dos años. -Identificación y autenticación. Se limitará la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de información. -Control de acceso físico. Exclusivamente el personal autorizado en el documento de seguridad podrá tener acceso a los locales donde se encuentren ubicados los sistemas de información con datos de carácter personal. -Gestión de soportes. Deberá establecerse un sistema de registro de entrada y salida de soportes informáticos. -Registro de incidencias. Será necesaria la autorización por escrito del responsable del fichero para la ejecución de los procedimientos de recuperación de los datos.
NIVEL ALTO.
Los ficheros que contengan datos de ideología, datos de religión, datos de creencias, datos de origen racial, salud o vida sexual así como los que contengan datos recabados para fines policiales sin consentimiento de las personas afectadas deberán reunir, además de las medidas de nivel básico y medio, las calificadas como de nivel alto.
Además de las medidas de Nivel Básico y Medio debe de incorporar las siguientes:
-Distribución de soportes. Se realizará cifrando los datos o bien utilizando cualquier otro mecanismo que garantice que dicha información no sea inteligible ni manipulada durante su transporte. -Registro de accesos. Se creará un Registro de Acceso de las personas autorizadas o no que deberá de conservarse al menos durante dos años. -Copias de respaldo y recuperación. Deberá conservarse una copia de respaldo y de los procedimientos de recuperación de los datos en un lugar diferente de aquél en que se encuentren los equipos informáticos que los tratan. -Telecomunicaciones. La transmisión de datos de carácter personal a través de redes de telecomunicaciones se realizará cifrando dichos datos.
