PSSI · - El evaluador es la persona que realiza la evaluación de la seguridad. Dentro del esquema...

28
PREMIER MINISTRE Secrétariat général de la défense nationale Direction centrale de la sécurité des systèmes d’information Sous-direction des opérations Bureau conseil Guía para la elaboración de una política de seguridad del sistema de información PSSI SECCIÓN 4 REFERENCIAS SSI Versión del 03 de marzo de 2004 51 boulevard de La Tour-Maubourg - 75700 PARIS 07 SP – Tel. 01 71 75 84 15 - Fax 01 71 75 84 00

Transcript of PSSI · - El evaluador es la persona que realiza la evaluación de la seguridad. Dentro del esquema...

PREMIER MINISTRE Secrétariat général de la défense nationale

Direction centrale de la sécurité des systèmes d’information Sous-direction des opérations

Bureau conseil

Guía para la elaboración de una política de seguridad del sistema de

información

PSSI

SECCIÓN 4 REFERENCIAS SSI

Versión del 03 de marzo de 2004

5 1 b o u l e v a r d d e L a T o u r - M a u b o u r g - 7 5 7 0 0 P A R I S 0 7 S P – T e l . 0 1 7 1 7 5 8 4 1 5 - F a x 0 1 7 1 7 5 8 4 0 0

Este documento ha sido realizado por la oficina de consultoría de la DCSSI (SGDN / DCSSI / SDO / BCS)

Rogamos nos haga llegar sus comentarios y sugerencias a la siguiente dirección

(ver formulario de recogida de comentarios que se encuentra al final del compendio):

Secrétariat général de la défense nationale Direction centrale de la sécurité des systèmes d'information

Sous-direction des opérations Bureau Conseil

51 boulevard de La Tour-Maubourg 75700 PARIS 07 SP

[email protected]

Histórico de las modificaciones

Versión Motivo de la modificación Situación

15/09/1994 (1.1)

Publicación de la guía para la elaboración de una política de seguridad interna (PSI).

Validado

2002 Revisión general: - Actualización de las referencias. - Creación de una metodología. - Ampliación y reclasificación de los principios de seguridad. - Separación en 3 secciones (metodología, principios de seguridad y

anexos).

Borrador

2003 Reestructuración, nuevo formato, mejora del método, armonización con las herramientas metodológicas y mejores prácticas de la DCSSI tras una consulta con expertos internos.

Prueba previa

23/12/2003 Separación en 4 secciones (introducción, metodología, principios de seguridad y referencias SSI) y diversas mejoras tras una consulta con expertos externos (especialmente el Club EBIOS) y varias implementaciones (Ministerio de Defensa, Centro Nacional de Investigación Científica, Dirección de Boletines Oficiales…).

Prueba previa para validación

03/03/2004 Publicación de la guía para la elaboración de una política de seguridad del sistema de información (PSSI).

Validado

Índice

SECCIÓN 1 – INTRODUCCIÓN (documento aparte) SECCIÓN 2 – METODOLOGÍA (documento aparte) SECCIÓN 3 – PRINCIPIOS DE SEGURIDAD (documento aparte) SECCIÓN 4 – REFERENCIAS SSI

INTRODUCCIÓN..................................................................................................................................... 6

OBJETO DEL DOCUMENTO................................................................................................................. 6

1 LOS CRITERIOS COMUNES PARA LA EVALUACIÓN DE LA SEGURIDAD DE LAS TECNOLOGÍAS DE LA INFORMACIÓN ............................................................................................... 7

1.1 LOS ACTORES .......................................................................................................................... 7 1.2 EL OBJETO DE SEGURIDAD ........................................................................................................ 8 1.3 LOS REQUERIMIENTOS FUNCIONALES......................................................................................... 8 1.4 LOS REQUERIMIENTOS DE ASEGURAMIENTO............................................................................... 8 1.5 CONCLUSIÓN............................................................................................................................ 9

2 LAS DIRECTRICES DE LA OCDE.............................................................................................. 10 2.1 DIRECTRICES QUE RIGEN LA SEGURIDAD DE LOS SISTEMAS Y REDES DE INFORMACIÓN ............... 10 2.2 DIRECTRICES QUE RIGEN LA POLÍTICA EN MATERIA DE CRIPTOGRAFÍA ........................................ 13

3 CÓDIGOS DE ÉTICA DE LAS PROFESIONES VINCULADAS A LAS TECNOLOGÍAS DE LA INFORMACIÓN..................................................................................................................................... 14

3.1 CÓDIGOS DE ÉTICA NACIONALES.............................................................................................. 14 3.2 OTROS CÓDIGOS DE ÉTICA EN EL MUNDO................................................................................. 14

4 LOS DELITOS CONTRA LAS PERSONAS................................................................................ 17 4.1 LA PROTECCIÓN DE LA VIDA PRIVADA ....................................................................................... 17 4.2 LA PROTECCIÓN DEL SECRETO PROFESIONAL........................................................................... 17 4.3 LA PROTECCIÓN DEL SECRETO DE LAS COMUNICACIONES ......................................................... 17 4.4 LA PROTECCIÓN DE LOS DATOS PERSONALES........................................................................... 17

5 LOS DELITOS CONTRA LOS BIENES....................................................................................... 19 5.1 EL ROBO ................................................................................................................................ 19 5.2 LA ESTAFA ............................................................................................................................. 19 5.3 LAS APROPIACIONES INDEBIDAS .............................................................................................. 19 5.4 LA DESTRUCCIÓN, DEGRADACIÓN Y DETERIORO ....................................................................... 19 5.5 LOS DELITOS CONTRA LOS SISTEMAS DE INFORMACIÓN............................................................. 19

6 LOS DELITOS CONTRA LOS INTERESES FUNDAMENTALES DE LA NACIÓN, EL TERRORISMO Y LOS DELITOS CONTRA LA CONFIANZA PÚBLICA............................................ 20

6.1 LA INTELIGENCIA CON UNA POTENCIA EXTRANJERA................................................................... 20 6.2 LA ENTREGA DE INFORMACIÓN A UNA POTENCIA EXTRANJERA ................................................... 20 6.3 EL SABOTAJE ......................................................................................................................... 20 6.4 LOS DELITOS CONTRA EL SECRETO DE DEFENSA NACIONAL....................................................... 20 6.5 EL TERRORISMO (DELITOS CONTRA LOS SISTEMAS DE PROCESAMIENTO AUTOMATIZADO DE DATOS) 20 6.6 FALSIFICACIONES Y USO DE FALSIFICACIONES .......................................................................... 20

7 LOS DELITOS CONTRA LA PROPIEDAD INTELECTUAL....................................................... 21

7.1 LA PROTECCIÓN DE LOS DERECHOS DE AUTOR......................................................................... 21 7.2 LA PROTECCIÓN DE LAS BASES DE DATOS ................................................................................ 21

8 LAS DISPOSICIONES REFERIDAS A LA CRIPTOLOGÍA........................................................ 22

9 LAS DISPOSICIONES REFERIDAS A LA FIRMA ELECTRÓNICA .......................................... 23

10 OTROS TEXTOS.......................................................................................................................... 24 10.1 A NIVEL NACIONAL .................................................................................................................. 24

10.1.1 Protección de los intereses económicos........................................................... 24 10.1.2 Protección del secreto...................................................................................... 24 10.1.3 Sistemas de información................................................................................... 24 10.1.4 Know-how......................................................................................................... 25 10.1.5 Vigilancia informática...................................................................................... 25 10.1.6 Otros................................................................................................................. 25

10.2 A NIVEL INTERNACIONAL ......................................................................................................... 26 10.2.1 Consejo de Europa ........................................................................................... 26 10.2.2 ONU ................................................................................................................. 26

FORMULARIO DE RECOGIDA DE COMENTARIOS ......................................................................... 27

SGDN / DCSSI / SDO / BCS PSSI – Sección 4 – Referencias SSI – 3 de marzo de 2004

Introducción La guía PSSI está dividida en cuatro secciones: - La introducción permite situar el lugar que ocupa la PSSI dentro del referencial normativo de la

SSI del organismo y especificar las bases de legitimidad sobre las cuales se apoya. - La metodología presenta, de manera detallada, la dirección del proyecto de elaboración de una

PSSI, así como diversas recomendaciones para la elaboración de las normas de seguridad. - El referencial de principios de seguridad. - Una lista de documentos de referencia de la SSI (este documento presenta los criterios de

evaluación, los textos legales, las normas, los códigos de ética, las notas adicionales...). Advertimos al lector que las secciones que conforman la guía PSSI serán actualizadas en forma independiente. Al final de cada guía se adjunta un formulario de recogida de comentarios destinado a ayudarlo a enviar propuestas y observaciones a la DCSSI.

Objeto del documento Advertencia: El contenido de la presente sección se proporciona a modo indicativo y no es exhaustivo. En consecuencia, se invita al lector –especialmente en lo que respecta a los textos jurídicos citados–, a verificar su validez así como la eventual aparición de nuevos textos. Esta sección de la guía PSSI presenta las siguientes referencias en materia de SSI:

- Criterios de evaluación: presentación de la ISO/IEC 15408 (criterios comunes), norma internacional que permite evaluar concretamente la SSI con un enfoque común y reconocido.

- Directrices de la OCDE: principios básicos en materia de SSI y de criptografía establecidos

por la Organización de Cooperación y Desarrollo Económicos.

- Códigos de ética de las profesiones vinculadas a las tecnologías de la información:

ejemplos destinados a contribuir a la elaboración de un código de ética.

- Textos legislativos y reglamentarios/recomendaciones: textos de leyes y

recomendaciones, presentados desde la perspectiva del derecho penal: o los delitos contra las personas, o los delitos contra los bienes, o los delitos a los intereses fundamentales de la nación, terrorismo y delitos contra la

confianza pública, o los delitos contra la propiedad intelectual, o las disposiciones referidas a la criptología, o las disposiciones referidas a la firma electrónica.

- Otros textos: reglamentación y guías varias.

Página 6 de 28

SGDN / DCSSI / SDO / BCS PSSI – Sección 4 – Referencias SSI – 3 de marzo de 2004

1 Los Criterios Comunes para la evaluación de la seguridad de las tecnologías de la información

La evaluación según los Criterios Comunes puede involucrar a un sistema cuyo entorno de uso es conocido desde el momento de su diseño o a un producto propuesto por catálogo y para el cual no es posible elaborar hipótesis sobre el entorno de uso. La evaluación de un sistema o de un producto permite asegurarse de que éste ofrece la seguridad adecuada para cumplir con sus objetivos de seguridad. Puede preverse que existirán, a mediano plazo, una gran cantidad de productos certificados disponibles para responder a las necesidades de los usuarios. Dichos usuarios podrán, por ejemplo, utilizar productos certificados que les resulten convenientes para el diseño de un sistema y también podrán incluir productos certificados en un sistema existente. Estas evaluaciones según los criterios comunes requieren un análisis profundo del sistema o del producto, desde su diseño hasta su uso habitual. La expresión inglesa "target of evaluation", que se traduce como objeto de evaluación, se utiliza en los Criterios Comunes para designar el sistema o producto que hay que evaluar y que constituye una implementación del objeto de seguridad. A fin de responder a esta necesidad creciente de los usuarios de confiar en la seguridad ofrecida por las tecnologías de la información, el gobierno ha establecido, mediante el decreto Nº 2002-535 del 18 de abril de 2002, un esquema nacional de evaluación y certificación que permite a los actores públicos y privados solicitar a terceros independientes la realización de evaluaciones de seguridad, con el control de un organismo de certificación gubernamental (la DCSSI). Estos terceros independientes son centros de evaluación acreditados por la DCSSI.

1.1 Los actores El procedimiento especificado en los Criterios Comunes identifica a tres actores principales involucrados en la evaluación y define sus respectivas responsabilidades:

- La entidad contratante de la evaluación es la autoridad propietaria del sistema o del producto, que define las necesidades que hay que satisfacer y que da origen al pedido de evaluación. Debe definir el objeto de seguridad para la evaluación. La entidad contratante y el desarrollador pueden ser una misma organización.

- El desarrollador es la persona que crea el objeto de evaluación teniendo en cuenta las

necesidades expresadas por la entidad contratante.

- El evaluador es la persona que realiza la evaluación de la seguridad.

Dentro del esquema propuesto, el organismo de certificación dirige el proceso de evaluación y certificación. Una evaluación requiere la colaboración de estos tres actores, de ser posible desde el inicio del desarrollo del objeto de evaluación. Tanto para preservar el máximo de objetividad en los resultados de una evaluación como para reducir la carga de trabajo y los gastos de la evaluación, se prevé que la entidad contratante aporte los elementos de prueba requeridos. Dichos elementos son verificados por el evaluador, quien debe también efectuar pruebas complementarias. El organismo certificador valida la totalidad de las tareas realizados por el evaluador, requiere eventualmente datos y tareas adicionales a fin de contar con la totalidad de los elementos de prueba necesarios para proceder luego a la certificación del producto o sistema.

Página 7 de 28

SGDN / DCSSI / SDO / BCS PSSI – Sección 4 – Referencias SSI – 3 de marzo de 2004

1.2 El objeto de seguridad Este objeto, que ha sido definido por la entidad contratante y que puede utilizarse para el desarrollo del sistema o producto, contiene todos los datos referidos a las especificaciones de seguridad. Se trata de la etapa fundamental del diseño de un sistema según los principios expuestos en la primera parte, de la referencia fundamental para realizar la evaluación siguiendo los Criterios Comunes. Este objeto caracteriza la política de seguridad del sistema e incluye: - los objetivos de seguridad, - los requerimientos de seguridad que se derivan de dichos objetivos: - los requerimientos funcionales de seguridad: funcionalidades que deben implementarse en el

producto para alcanzar los objetivos, - los requerimientos de aseguramiento de seguridad (el nivel de evaluación): medidas que permiten

asegurarse de que el producto cumple con los objetivos, - las funciones de seguridad que ofrece el producto o sistema.

1.3 Los requerimientos funcionales Para alcanzar los objetivos de seguridad identificados, el objeto de seguridad debe incluir requerimientos funcionales que especifiquen las funcionalidades de seguridad que deben implementarse en el producto o sistema evaluado. Estos requerimientos están agrupados, en la segunda parte de los Criterios Comunes, en once rubros genéricos: - Auditoría de seguridad (FAU). - Comunicación (FCO). - Soporte criptográfico (FCS). - Protección de los datos del usuario (FDP). - Identificación y autenticación (FIA). - Gestión de la seguridad (FMT). - Protección de la vida privada (FPR). - Protección de las funciones de seguridad del objeto de evaluación (FPT). - Utilización de los recursos (FRU). - Acceso al objeto de evaluación (FTA). - Rutas y canales de confianza (FTP).

1.4 Los requerimientos de aseguramiento Los requerimientos de aseguramiento definen los criterios que hay que aplicar para la evaluación del producto o sistema. Estos requerimientos han sido extraídos de la parte 3 de los Criterios Comunes: - Análisis de la gestión de configuración (ACM). - Análisis de las entregas y de la operación del sistema (ADO). - Análisis del desarrollo (ADV). - Análisis de los manuales de uso y administración (AGD). - Análisis del mantenimiento durante el ciclo de vida (ALC). - Análisis y realización de las pruebas funcionales (ATE), - Análisis y realización de la estimación de las vulnerabilidades, y pruebas para aprovechar las

vulnerabilidades identificadas (AVA). - Mantenimiento del aseguramiento (AMA). El nivel de aseguramiento (EAL) corresponde a una selección particular de requerimientos de aseguramiento. El resultado de la evaluación es una confirmación o una refutación de que el objeto de evaluación satisface sus objetivos de seguridad con la confianza correspondiente al nivel de evaluación pretendido. El descubrimiento de una vulnerabilidad aprovechable en el nivel considerado origina un resultado negativo de la evaluación. El organismo de certificación otorga la certificación cuando todas las tareas de evaluación han permitido establecer que el producto o sistema cumple con los objetivos de seguridad y no posee vulnerabilidades aprovechables.

Página 8 de 28

SGDN / DCSSI / SDO / BCS PSSI – Sección 4 – Referencias SSI – 3 de marzo de 2004

1.5 Conclusión Los Criterios Comunes proponen un enfoque metódico y coherente para examinar la manera en que se tiene en cuenta la seguridad durante el diseño, el desarrollo y el uso de un sistema de información. Este enfoque requiere, en particular, que los objetivos de seguridad se hayan definido previamente, para que sea posible apreciar, mediante la evaluación, la manera en que las funciones de seguridad logran cumplir con dichos objetivos. El deseo de preservar la máxima objetividad respecto de los resultados de una evaluación ha constituido el eje de orientación para la elaboración de estos criterios. Los mismos pueden utilizarse para evaluar una gama muy amplia de productos de seguridad y de sistemas de información protegidos. Además, su adopción por parte de la comunidad internacional (los criterios comunes han sido normalizados por la ISO en 1999: ISO/IEC 15408) favorece el desarrollo del mercado de la seguridad. Constituyen el elemento más importante del proceso de protección de los sistemas de información, cuyo objetivo es mejorar la seguridad dando, para ello, nacimiento a un mercado de productos desarrollados conforme a las necesidades de los usuarios. Es importante que los usuarios estén bien persuadidos de que sólo un enfoque global como el presentado a continuación puede permitir solucionar correctamente el problema de la seguridad del tratamiento de la información, problema que sólo puede resolverse si antes ha sido claramente definido.

Página 9 de 28

SGDN / DCSSI / SDO / BCS PSSI – Sección 4 – Referencias SSI – 3 de marzo de 2004

2 Las directrices de la OCDE

2.1 Directrices que rigen la seguridad de los sistemas y redes de información

Adoptada por el Consejo de la OCDE durante su 1037a sesión, el 25 de julio de 2002, la versión del 29 de julio de 2002 de las "directrices que rigen la seguridad de los sistemas y redes de información – hacia una cultura de la seguridad" han sido recomendadas a nivel internacional. Estas directrices tienen por finalidad: - promover la cultura de la seguridad, - reforzar la concienciación sobre los riesgos, - reforzar las políticas, las prácticas, las medidas y los procedimientos de SSI, - mejorar la confianza en los SI, - crear un marco de referencia coherente para comprender la SSI y promover el respeto de valores

éticos, - promover la cooperación y la divulgación de la información referida a la SSI, - promover la reflexión sobre la SSI y la elaboración de normas. Las directrices se presentan como nueve principios complementarios entre sí, que deben ser considerados como un todo. Cada principio ha sido descrito sucintamente y desarrollado en uno de los párrafos a continuación.

Concienciación "Las partes involucradas deben ser conscientes de la necesidad de garantizar la seguridad de los sistemas y redes de información y de las acciones que pueden emprenderse para reforzar la seguridad".

Responsabilidad "Las partes involucradas son responsables de la seguridad de los sistemas y redes de información".

Reacción "Las partes involucradas deben actuar rápidamente y con espíritu de colaboración para prevenir, detectar y dar respuesta a los incidentes de seguridad".

Ética "Cada una de las partes involucradas debe respetar los intereses legítimos de las demás partes involucradas".

Democracia "La seguridad de los sistemas y redes de información debe ser compatible con los valores fundamentales de una sociedad democrática".

Evaluación de los riesgos "Las partes involucradas deben realizar evaluaciones de los riesgos".

Diseño e implementación de la seguridad "Las partes involucradas deben integrar la seguridad como un elemento esencial de los sistemas y redes de información".

Gestión de la seguridad "Las partes involucradas deben adoptar un enfoque global de la gestión de la seguridad".

Página 10 de 28

SGDN / DCSSI / SDO / BCS PSSI – Sección 4 – Referencias SSI – 3 de marzo de 2004

Reevaluación "Las partes involucradas deben examinar y reevaluar la seguridad de los sistemas y redes de información e introducir las modificaciones apropiadas en sus políticas, prácticas, medidas y procedimientos de seguridad". A partir de septiembre de 2002, la Secretaría General de Defensa Nacional (SGDN), y, más específicamente, la Dirección Central de Seguridad de los Sistemas de Información (DCSSI) publica un compendio referido a estas nuevas directrices en su sitio web (http://www.ssi.gouv.fr/fr/actualites/archives.html). Además, la publicación de las directrices ha sido anunciada durante la Comisión Interministerial de Seguridad de los Sistemas de Información (CISSI) del 26 de septiembre de 2002. Francia ya ha implementado una gran cantidad de medidas tendientes a promover la cultura de la seguridad. Éstas se integran perfectamente a las acciones enumeradas en el plan de aplicación de las directrices de la OCDE.

Política nacional orientada a la seguridad de la información Francia ha implementado y mantiene actualizado un marco jurídico tendiente a garantizar la seguridad de los sistemas de información, tomando en cuenta la evolución de la sociedad de la información. A partir de 1988, la ley "Godfrain" había completado el dispositivo existente sancionando los actos de vandalismo perpetrados contra los sistemas de información, permitiendo así luchar contra formas de criminalidad informática tales como los virus, las bombas lógicas o los "troyanos" (programas espías que tienen por objetivo vigilar un sitio o un sistema informático, o incluso controlarlo a distancia). Por otra parte, un proyecto de ley reciente sobre la sociedad de la información, proyecto que se encuentra en preparación, prevé reforzar este arsenal jurídico y aumentar las penas destinadas a sancionar el acto de acceder o encontrarse fraudulentamente en todo o parte de un sistema de procesamiento automatizado de datos, obstaculizar o alterar su funcionamiento e introducir o suprimir datos en forma fraudulenta. Este arsenal jurídico ha sido establecido conforme a la Convención sobre la cibercriminalidad del Consejo de Europa, a la cual adhirió Francia en el año 2001 y que se encuentra en proceso de ratificación, y al proyecto europeo de decisión marco referido a los delitos contra los sistemas de información, actualmente en discusión dentro del Consejo de la Unión Europea y el Parlamento Europeo.

Cooperación transfronteriza Francia es uno de los primeros países en pertenecer a la red 24/7 implementada en un primer momento por el G8 y que actualmente conecta a 29 países. Esta red transfronteriza que los países miembros pueden activar en cualquier momento apunta a facilitar la comunicación en caso de emergencia. La idea de esta red ha sido retomada en la Convención sobre la cibercriminalidad del Consejo de Europa.

Página 11 de 28

SGDN / DCSSI / SDO / BCS PSSI – Sección 4 – Referencias SSI – 3 de marzo de 2004

Difusión de alertas y notas informativas El CERTA es una estructura de alerta y asistencia en Internet, encargada de una misión de vigilancia y respuesta a los ataques informáticos. Los dos objetivos principales del CERTA son: garantizar la detección de las vulnerabilidades y la resolución de incidentes que afecten a la seguridad de los sistemas de información (SSI), y contribuir a la implementación de medios que permitan protegerse de futuros incidentes. Para ello, el CERTA pone a disposición del público, en su sitio web:

- alertas destinadas a prevenir un peligro inmediato, - avisos que dan cuenta de diversas vulnerabilidades y de los medios para protegerse de las

mismas, - notas informativas que dan cuenta de fenómenos de alcance general, - recomendaciones.

Efectivamente, el CERTA ha sido creado para reforzar y coordinar la lucha contra las intrusiones en los sistemas informáticos de las instituciones estatales.

Concienciación y provisión de métodos de protección para los sistemas informáticos Los trabajos realizados por la oficina de consultoría de la DCSSI aplican los principios contenidos en las nuevas directivas de la OCDE. Podemos citar, entre otros:

- La actualización de la presente guía para la elaboración de una política de seguridad de los sistemas de información (PSSI), que propone un procedimiento para elaborar PSSI y presenta un catálogo de principios de seguridad que permite redactar normas de seguridad adaptadas al contexto. Esta guía es compatible con las nuevas directrices (la anterior se basaba en las directrices de 1992).

- La difusión del método de análisis de los riesgos EBIOS (expresión de las necesidades e identificación de los objetivos de seguridad), ampliamente difundido y utilizado tanto en el sector público como en el sector privado, método sobre el cual el centro de formación de la DCSSI dicta cursos de formación:

o Este método contribuye a la gestión de los riesgos, uno de los principios de las directrices, y a la reevaluación de los riesgos, otro principio.

o Los razonamientos que este método propone en cuanto a los procesos continuos de gestión de los riesgos SSI son compatibles con las nuevas directrices.

- La comunicación sobre el tema SSI en forma de campañas de concienciación, información, formación, compendios o buenas prácticas contribuye al principio de concienciación.

Concienciación de los funcionarios públicos sobre las cuestiones de seguridad El Centro de Formación en Seguridad de los Sistemas de Información (CFSSI), creado en 1986 y anexado a la DCSSI, es el principal actor de una red de concienciación sobre los problemas de la seguridad de los sistemas de información y el lugar de formación de expertos altamente calificados en diferentes profesiones vinculadas con esta disciplina. El CFSSI propone cursos que abarcan desde una jornada de concienciación a dos años para la preparación de un diploma de estudios superiores en seguridad de los sistemas de información. Los cursos y jornadas de concienciación están reservados para la formación e información de los funcionarios públicos cuyas funciones justifican dicha formación.

Página 12 de 28

SGDN / DCSSI / SDO / BCS PSSI – Sección 4 – Referencias SSI – 3 de marzo de 2004

2.2 Directrices que rigen la política en materia de criptografía Las directrices que rigen la política en materia de criptografía han sido adoptadas el 27 de marzo de 1997 por el Consejo de la OCDE. Su finalidad consiste principalmente en: - Promover el uso de la criptografía (para favorecer la confianza en las infraestructuras de redes y

sistemas de información y contribuir a garantizar la seguridad de los datos y a proteger la vida privada).

- Promover el uso de la criptografía sin poner en riesgo la seguridad pública, el respeto de las leyes y la seguridad nacional.

- Impulsar la toma de conciencia sobre la necesidad de contar con una política y una legislación en materia de criptografía.

- Ayudar a los responsables de la toma de decisiones de los sectores público y privado a elaborar e implementar políticas, métodos y procedimientos coherentes.

- Promover la cooperación internacional para lograr un uso concertado de los métodos criptográficos.

Estas directrices se presentan en forma principios, que resumimos a continuación.

Principio de confianza en los métodos criptográficos Los métodos criptográficos deberían suscitar confianza para que los usuarios puedan confiar en los sistemas de información y de comunicación.

Principio de elección de los métodos criptográficos Los usuarios deberían tener derecho de elegir cualquier método criptográfico siempre y cuando se respete la legislación vigente.

Principio de desarrollo de los métodos criptográficos guiado por el mercado Los métodos criptográficos deberían desarrollarse como respuesta a las necesidades, requerimientos y responsabilidades de las personas, empresas y gobernantes.

Principio de normas aplicables a los métodos criptográficos Deberían elaborarse e instaurarse –a nivel nacional e internacional– normas, criterios y protocolos técnicos aplicables a los métodos criptográficos.

Principio de protección de la vida privada y de los datos de carácter personal Los derechos fundamentales de los individuos referidos al respeto de su vida privada, especialmente el derecho al secreto de las comunicaciones y a la protección de los datos de carácter personal, deberían respetarse dentro de las políticas nacionales referidas a la criptografía y durante la implementación y uso de los métodos criptográficos.

Principio de acceso legal Las políticas nacionales con respecto a la criptografía pueden autorizar el acceso legal al texto sin cifrar o a las claves criptográficas de datos cifrados. Estas políticas deben contemplar, en la medida de lo posible, los demás riesgos enunciados en las directrices.

Principio de responsabilidad La responsabilidad de las personas y entidades que ofrecen servicios criptográficos, poseen claves criptográficas o tienen acceso a las mismas debería enunciarse claramente, haya sido esta responsabilidad establecida por contrato o por vía legislativa.

Principio de cooperación internacional Los gobiernos deberían colaborar entre sí para coordinar las políticas referidas a la criptografía. En el marco de este esfuerzo coordinado, los gobiernos deberían procurar la supresión de obstáculos injustificados para los intercambios de información, o al menos evitar crear otros en nombre de la política de criptografía.

Página 13 de 28

SGDN / DCSSI / SDO / BCS PSSI – Sección 4 – Referencias SSI – 3 de marzo de 2004

3 Códigos de ética de las profesiones vinculadas a las tecnologías de la información

3.1 Códigos de ética nacionales

Asociación Francesa de especialistas en Informática (AFIN) El código de ética elaborado por la Asociación Francesa de especialistas en Informática fue ideado para orientar al especialista en informática sobre sus deberes y derechos. El texto del código puede adjuntarse a los contratos de trabajo y servir de referencia ante el tribunal laboral. Dicho texto se articula en torno a cuatro grandes capítulos: - Los especialistas en informática y la empresa. - La empresa y los especialistas en informática. - El especialista en informática que actúa como proveedor. - El especialista en informática frente a sus colegas.

El Club de Seguridad de los Sistemas de Información (CLUSIF) Código de ética de las profesiones vinculadas a las tecnologías de la información, 1991. Este código☺1 está destinado prioritariamente a los miembros del CLUSIF, quienes deben actuar conforme al mismo, so pena de expulsión. Se lo recomienda para todos los profesionales de la informática o usuarios. El código del CLUSIF aborda los principios éticos en función de los siguientes aspectos: - Normas generales. - Parte aplicable a los consultores, a nivel del esquema director de la seguridad de los sistemas de

información. - Parte aplicable a los participantes, a nivel del diseño detallado. - Parte aplicable a los participantes, a nivel del uso. - Parte aplicable a los participantes, a nivel del control. - Parte aplicable a los participantes, a nivel del mantenimiento.

3.2 Otros códigos de ética en el mundo

American Society for Information Science (ASIS) Código de ética para los profesionales de la información, 1992 Este código2 se aplica a los miembros de la ASIS y aborda los siguientes temas: - Responsabilidad para con los empleadores, los clientes y los usuarios. - Responsabilidad para con la profesión. - Responsabilidad para con la sociedad.

Association for Computing Machinery (ACM) Código de conducta profesional, 1972 Este código3 presenta principios generales, cada uno de ellos abordado desde el punto de vista de la ética profesional y como normas que deben aplicarse. Los principios generales están destinados a todos los miembros de la ACM y son los siguientes: - la integridad, - la competencia profesional, - la responsabilidad profesional, - el uso de sus conocimientos para mejorar el bienestar del ser humano.

1 http://www.clusif.asso.fr/fr/clusif/adhesion/pdf/ethique_metier.pdf 2 http://courses.cs.vt.edu/~cs3604/lib/WorldCodes/ASIS.Code.html 3 http://info.acm.org/constitution/code.html

Página 14 de 28

SGDN / DCSSI / SDO / BCS PSSI – Sección 4 – Referencias SSI – 3 de marzo de 2004

British Computer Society (BCS) Código de conducta, 1990 Este código4 está destinado a los miembros de la BCS. Los principios básicos de dicho código se refieren a: - la conducta profesional, - la integridad profesional, - la preservación del interés público y del derecho de terceros, - la fidelidad al empleador o al cliente y el respeto de la confidencialidad de los datos del empleador

o del cliente, - la competencia técnica, - la imparcialidad.

Canadian Information Processing Society (CIPS) Código de ética y conducta profesional, 1985 Este código5 canadiense identifica las situaciones que los profesionales de la información pueden encontrar y proporciona consejos para hacer frente a las mimas. Se divide en 4 secciones: - imperativos morales generales, - responsabilidades profesionales más específicas, - imperativos vinculados con los dirigentes, - cumplimiento del código.

Computer Professionals for Social Responsibility (CPSR) and Privacy International (PI) Código deontológico informático para promover la privacidad de la información, 1994 Los temas abordados en este código6 se refieren a los datos sobre las personas: - No utilizar datos personales con otro fin que no sea el inicialmente previsto, sin la autorización

específica. - Recoger sólo la información necesaria. - Garantizar la integridad de los datos. - Informar a las personas sobre el registro y uso de los datos que las involucran, darles derecho de

verificar y corregir dichos datos. - Definir y difundir la política referida a la protección de la vida privada.

4 http://ww1.bcs.org.uk/portal/showSection.asp?contentid=3224&link=/DocsRepository/03200/3224/default.htm 5 http://courses.cs.vt.edu/~cs3604/lib/WorldCodes/Canada.Code.html 6 http://courses.cs.vt.edu/~cs3604/lib/WorldCodes/CPRS.Code.html

Página 15 de 28

SGDN / DCSSI / SDO / BCS PSSI – Sección 4 – Referencias SSI – 3 de marzo de 2004

Institute of Electrical and Electronics Engineers (IEEE) Este código7 de 1995 trata los siguientes temas: - Aceptar la responsabilidad de tomar decisiones técnicas en armonía con la seguridad, la salud y

el bienestar del público, y develar rápidamente los factores que podrían poner en peligro al público o al ambiente.

- Evitar los conflictos de intereses reales o percibidos, e informar a las partes involucradas sobre los conflictos existentes.

- Ser honestos y realistas en la expresión de afirmaciones o estimaciones basadas en datos existentes.

- Rechazar la corrupción en todas sus formas. - Mejorar la comprensión de la técnica, de su uso apropiado y de sus consecuencias potenciales. - Mantener y mejorar la capacidad técnica e iniciar toda tarea técnica para otros sólo cuando uno

se encuentre, por su formación y experiencia, calificado para llevarla a cabo o tras haber explicado detalladamente las limitaciones de la tarea emprendida.

- Buscar, aceptar y ofrecer críticas honestas de las tareas técnicas realizadas, reconocer y corregir sus errores, y mencionar correctamente las contribuciones de terceros.

- Tratar en forma justa a cualquier persona, independientemente de su religión, sexo, color de piel, discapacidad, edad o nacionalidad.

- Evitar perjudicar a otros, dañar sus bienes materiales, su reputación o su trabajo mediante acciones deshonestas o malintencionadas.

- Colaborar con sus colegas en su desarrollo profesional y ayudarlos a respetar este código de ética.

International Federation for Information Processing (IFIP) Un código8 de ética fue elaborado por la IFIP (International Federation for Information Processing), de la cual la ASTI (Asociación Francesa de Ciencias y Tecnologías de la Información) es miembro, para Francia. Este código está destinado no sólo a los profesionales de la informática, sino también a las organizaciones multinacionales de informática y a todos aquellos que se sientan involucrados por los problemas jurídicos internacionales de la informática y por las normas públicas en esa área de actividad. Este código está conformado por los siguientes aspectos: - ética profesional de las personas, - ética de las organizaciones internacionales, - ética para la legislación internacional, - ética para la política internacional.

The Sytem Administrators Guild (SAGE) Este código9 australiano, destinado a los administradores de sistemas, aborda los siguientes temas: - La integridad de un administrador de sistema debe ser irreprochable. - Un administrador de sistema no debe usurpar inútilmente los derechos de los usuarios. - La comunicación entre los administradores de sistema y la gente que los frecuenta debe cumplir

con los más altos estándares de conducta profesional. - El perfeccionamiento continuo en la formación profesional es un aspecto crítico para resguardar

la idoneidad de un administrador de sistema. - Un administrador de sistema debe demostrar un ética de trabajo ejemplar. - El administrador de sistema debe mostrar, en todo momento, su profesionalismo en la ejecución

de sus tareas.

7 http://courses.cs.vt.edu/~cs3604/lib/WorldCodes/IEEE.Code.html 8 IFIP Code of Ethics, Revision of the preliminary IFIP Code of Ethics (1990). Borrador no publicado. Harold Sackman, California State University, Los Ángeles, CA. Ver también la recomendación de la IFIP referida a los códigos de conducta en la dirección http://courses.cs.vt.edu/~cs3604/lib/WorldCodes/IFIP.Recommendation.html. 9 http://www.sage-au.org.au/ethics.html

Página 16 de 28

SGDN / DCSSI / SDO / BCS PSSI – Sección 4 – Referencias SSI – 3 de marzo de 2004

4 Los delitos contra las personas

4.1 La protección de la vida privada

Artículos 226-1 a 226-8 del Código Penal

Artículos R 226-1 a R 226-12 del Código Penal

Artículo 9 del Código Civil

4.2 La protección del secreto profesional

Artículos 226-13 a 226-14 del Código Penal

Ley Nº 83-634 del 13 de julio de 1983 Que incluye los derechos y obligaciones de los funcionarios.

4.3 La protección del secreto de las comunicaciones

Artículos 226-15 a 432-9 del Código Penal

Ley Nº 86-1067 del 30 de septiembre de 1986 Referida a la libertad de comunicación.

Circular del 17 de febrero de 1988 Emitida en aplicación del artículo 43 de la Ley 86-1067 del 30 de septiembre de 1986 referida a la libertad de comunicación, sobre el régimen de declaración aplicable a ciertos servicios de comunicación audiovisual.

Ley Nº 91-646 del 10 de julio de 1991 Referida al secreto de las comunicaciones emitidas utilizando medios de telecomunicación.

4.4 La protección de los datos personales

Convenio del 28 de enero de 1981 del Consejo de Europa para la protección de las personas con respecto al tratamiento de los datos de carácter personal (Convenio 108)10

Directiva general Nº 95/46/CE del 24 de octubre de 1995 del Parlamento Europeo y el Consejo Referida a la protección de las personas físicas en lo que se refiere al tratamiento de los datos de carácter personal y a la libre circulación de estos datos.

Directiva Nº 2002/58/CE del 12 de julio de 2002 del Parlamento Europeo y el Consejo Referida al tratamiento de los datos de carácter personal y la protección de la vida privada en el sector de las comunicaciones electrónicas (directiva sobre la vida privada y las comunicaciones electrónicas).

Directiva sectorial Nº 97/66/CE del 15 de diciembre de 1997 del Parlamento Europeo y el Consejo Referida al tratamiento de los datos de carácter personal y la protección de la vida privada en el sector de las telecomunicaciones.

10 http://conventions.coe.int

Página 17 de 28

SGDN / DCSSI / SDO / BCS PSSI – Sección 4 – Referencias SSI – 3 de marzo de 2004

Ley Nº 78-17 del 6 de enero de 1978 Referida a la informática, a los ficheros y a las libertades.

Artículos 226-16 a 226-24 del Código Penal (artículos 41 y siguientes de la Ley)

Decreto Nº 81-1142 del 23 de diciembre de 1981 Que instituye las faltas en caso de violación de ciertas disposiciones de la Ley Nº°78-17 del 6 de enero de 1978 referida a la informática, a los ficheros y a las libertades (modificado por decreto Nº°93-726 del 29 de marzo de 1993).

Decreto Nº 78-774 del 17 de julio de 1978 Decreto reglamentario de la ley.

Decreto Nº 79-1160 del 28 de diciembre de 1979 Referido a los procesos que comprometen la seguridad del Estado.

Informes, recomendaciones y normas simplificadas de la CNIL11

11 http://www.cnil.fr

Página 18 de 28

SGDN / DCSSI / SDO / BCS PSSI – Sección 4 – Referencias SSI – 3 de marzo de 2004

5 Los delitos contra los bienes

5.1 El robo

Artículos 311-1 y siguientes del Código Penal

5.2 La estafa

Artículos 313-1 y siguientes del Código Penal

5.3 Las apropiaciones indebidas

Artículos 314-1 y siguientes del Código Penal

5.4 La destrucción, degradación y deterioro

Artículos 322-1 y siguientes del Código Penal

5.5 Los delitos contra los sistemas de información

Artículos 323-1 a 323-7 del Código Penal (surgidos de la Ley Nº 88-19 del 5 de enero de 1988) Referidos a los delitos contra los sistemas de procesamiento automatizado de datos

Página 19 de 28

SGDN / DCSSI / SDO / BCS PSSI – Sección 4 – Referencias SSI – 3 de marzo de 2004

6 Los delitos contra los intereses fundamentales de la nación, el terrorismo y los delitos contra la confianza pública

6.1 La inteligencia con una potencia extranjera

Artículos 411-4 a 411-5 del Código Penal

6.2 La entrega de información a una potencia extranjera

Artículos 411-6 a 411-8 del Código Penal

6.3 El sabotaje

Artículo 411-9 del Código Penal

6.4 Los delitos contra el secreto de defensa nacional

Artículos 413-9 a 413-12 del Código Penal Referidos a los delitos contra el secreto de defensa nacional

Artículo R 413-6 del Código Penal

Decreto Nº 98-608 del 17 de julio de 1998 Referido a la protección del secreto de defensa nacional

Ley Nº 98-567 del 8 de julio de 1998 Ley que instituye una comisión consultiva sobre el secreto de defensa nacional

Instrucción General Interministerial Nº 1300/SGDN/PSE/SSD/DR Referida a la protección del secreto de defensa nacional

Instrucción General Interministerial Nº 900/SGDN/SSD/DR Referida a la seguridad de los sistemas de información que son objeto de una clasificación de defensa para sí mismos o para la información que procesan.

6.5 El terrorismo (delitos contra los sistemas de procesamiento automatizado de datos)

Artículo 421-1, capítulo 2º, del Código Penal

6.6 Falsificaciones y uso de falsificaciones

Artículos 441-1 y siguientes del Código Penal

Página 20 de 28

SGDN / DCSSI / SDO / BCS PSSI – Sección 4 – Referencias SSI – 3 de marzo de 2004

7 Los delitos contra la propiedad intelectual

7.1 La protección de los derechos de autor

Código de la Propiedad Intelectual

Procedimientos y sanciones del C.P.I. Artículos L. 331-1 y siguientes

Directiva Nº 91-250 del 14 de mayo de 1991 Referida a la protección jurídica de los programas de ordenador

Directiva Nº 93/98 del 29 de octubre de 1993 Referida a la armonización de la duración de la protección de los derechos de autor y de ciertos derechos afines

Ley Nº 85-660 del 3 de julio de 1985 Referida a los derechos de autor y a los derechos de los artistas intérpretes, de los productores de fonogramas y de videogramas y de las empresas de comunicación audiovisual.

Ley Nº 94-361 del 10 de mayo de 1994 Referida a la implementación de la directiva Nº 91-250 del Consejo de las Comunidades Europeas, con fecha del 14 de mayo de 1991, sobre la protección jurídica de los programas de ordenador y que modifica el Código de la Propiedad Intelectual.

7.2 La protección de las bases de datos

Código de la propiedad intelectual

Directiva Nº 96/9/CE del 11 de marzo de 1996 del Parlamento Europeo Referida a la protección jurídica de las bases de datos.

Ley Nº 98-536 del 1º de julio de 1998 Que reemplaza, en el Código de la Propiedad Intelectual, la directiva Nº 96/9/CE del 11 de marzo de 1996 sobre la protección jurídica de las bases de datos.

Artículo L. 341-1 y siguientes del Código de la propiedad intelectual Referidos a los derechos de los productores de bases de datos.

Página 21 de 28

SGDN / DCSSI / SDO / BCS PSSI – Sección 4 – Referencias SSI – 3 de marzo de 2004

8 Las disposiciones referidas a la criptología

Ley Nº 90/1170 del 29 de diciembre de 1990 modificada por la Ley Nº 91-648 del 11 de julio de 1991 Artículo 28

Ley Nº 96-659 del 26 de julio de 1996

Decreto Nº 98-101 del 24 de febrero de 1998 que define las condiciones en que se suscriben las declaraciones y se otorgan los permisos vinculados con los medios y servicios de criptología.

Decreto Nº 98-102 del 24 de febrero de 1998 que define las condiciones en las cuales se acredita a los organismos que gestionan, por cuenta de terceros, convenios secretos de criptología en aplicación del artículo 28 de la Ley Nº 90-1170 del 29 de diciembre 1990 sobre la reglamentación de las telecomunicaciones.

Decreto Nº 99-199 del 17 de marzo de 1999 que define las categorías de medios y servicios de criptología para los cuales el procedimiento de autorización reemplaza al de declaración previa.

Decreto Nº 99-200 del 17 de marzo de 1999 que define las categorías de medios y servicios de criptología eximidos de cualquier formalidad previa.

Reglamento Nº 1334/2000 del Consejo del 22 de junio de 2000 que instituye un régimen comunitario de control de las exportaciones de bienes y tecnologías de doble uso.

Decreto Nº 2001-1192 del 13 de diciembre de 2001 Referido al control de la exportación, importación y transferencia de bienes y tecnologías de doble uso.

Ley Nº 2001-1062 del 15 de noviembre de 2001 Referida a la seguridad cotidiana (artículos 30 y 31).

Decreto Nº 2002-997 del 16 de julio de 2002 Referido a la obligación impuesta a los proveedores de servicios de criptología en aplicación del artículo 11-1 de la Ley 91-646 del 10 de julio de 1991 referida al secreto de las comunicaciones transmitidas utilizando medios de telecomunicación

Decreto Nº 2002-1073 del 7 de agosto de 2002 Reglamentario del artículo 30 de la Ley Nº 2001-1062 del 15 de noviembre de 2001 referida a la seguridad cotidiana y que crea el centro técnico de asistencia.

Página 22 de 28

SGDN / DCSSI / SDO / BCS PSSI – Sección 4 – Referencias SSI – 3 de marzo de 2004

9 Las disposiciones referidas a la firma electrónica

Ley Nº 2000-230 del 13 de marzo de 2000 Centrada en la adaptación de la legislación sobre la prueba a las tecnologías de la información y referida a la firma electrónica.

Decreto Nº 2001-272 del 30 de marzo de 2001 Tomado como reglamento de aplicación del art. 1316-4 del Código Civil y referido a la firma electrónica.

Decreto Nº 2002-535 del 18 de abril de 2002 Referido a la evaluación y certificación de la seguridad ofrecida por los productos y sistemas de las tecnologías de la información.

Resolución del 31 de mayo de 2002 Referido al reconocimiento de la calificación de los proveedores de certificación electrónica y a la acreditación de los organismos encargados de la evaluación.

Página 23 de 28

SGDN / DCSSI / SDO / BCS PSSI – Sección 4 – Referencias SSI – 3 de marzo de 2004

10 Otros textos

10.1 A nivel nacional

10.1.1 Protección de los intereses económicos

Ley 68-678 del 26 de julio de 1968 modificada por la ley 80-538 del 16 de julio de 1980 Ley referida a la difusión de documentos y de información de orden económico, comercial, industrial, financiero o técnico a personas físicas o morales que sean extranjeras.

Decreto Nº 81-550 del 12 de mayo de 1981 Que incluye la aplicación del artículo 2 de la ley Nº 68-678 del 26 de julio referida a la difusión de documentos e información de orden económico, comercial o técnico a personas físicas o jurídicas que sean extranjeras.

10.1.2 Protección del secreto

Instrucción interministerial Nº 300/SGDN/TTS/SSI/DR del 21 de junio de 1997 Referida a la protección contra las señales parásitas comprometedoras.

Guía Nº 400 SGDN/DISSI/SCSSI del 18 de octubre de 1991 Referida a la instalación de establecimientos y sistemas que procesan información sensible no protegida por el secreto de defensa: protección contra las señales parásitas comprometedoras.

Guía Nº 430 DCSSI del 1º de junio de 1999 Referida a la evaluación de los equipos comerciales según la zonificación TEMPEST.

Guía Nº 460 SCSSI del 12 de junio de 1992 Referida al control de los establecimientos y sistemas de información – protección contra las señales comprometedoras.

Directiva Nº 485 del 1º de septiembre de 2000 Referida a las normas para la instalación de hardware o de sistemas de información que procesan información clasificada de defensa.

Directiva Nº 495 del 19 de septiembre de 1997 Referida al concepto de zonificación TEMPEST – Protección contra las señales comprometedoras.

Directiva Nº 520 del 15 de enero de 1991 Referida al uso del fax cifrado.

Instrucción interministerial Nº 500bis/SGDN/TTS/SSI/DR del 18 de octubre de 1996 Referida al cifrado en la seguridad de los sistemas de información.

Instrucción interministerial Nº 910/SGDN/SSD/DR y Nº 910/SGDN/DISSI/SCSSI/DR del 19 de diciembre de 1994 Sobre los artículos controlados de la seguridad de los sistemas de información (ACSSI).

10.1.3 Sistemas de información

Guía Nº 150 SCSSI del 10 de febrero de 1991 FEROS: Ficha de expresión racional de los objetivos de seguridad de los sistemas de información.

Página 24 de 28

SGDN / DCSSI / SDO / BCS PSSI – Sección 4 – Referencias SSI – 3 de marzo de 2004

Recomendación Nº 600 de marzo de 1993 Referida a la protección de los datos sensibles que no se encuentran protegidos por el secreto de defensa: recomendaciones para los puestos de trabajo informáticos.

Guía Nº 650/DISSI/SCSSI del 28 de marzo de 1994 Referida a la amenaza y a los ataques informáticos.

Recomendación Nº 901/DISSI/SCSSI del 2 de marzo 1994 Referida a la seguridad de los sistemas de información que procesan datos sensibles no clasificados de defensa.

Memorando Nº 63e SGDN/SCSSI/SI/BC del 2 mayo de 2000 Nota del Servicio Central de Seguridad de los Sistemas de Información referida a la protección de los datos y sistemas sensibles en las instituciones públicas.

Directiva 4201/SG del 13 de abril de 1995 Objetivos y organización de la seguridad de los sistemas de información dentro de los departamentos del Estado.

10.1.4 Know-how

Artículo L. 621-1 del Código de la Propiedad Intelectual Referido al secreto de fabricación.

Reglamento CE Nº 240-96 del 31 de enero de 1996 Referida a la aplicación del artículo 81 párrafo 3 del tratado a categorías de convenios de transferencia de tecnología.

10.1.5 Vigilancia informática

La vigilancia informática de los empleados en la empresa Informe de estudio y consulta pública de la CNIL.

Informe de la CNIL sobre la vigilancia informática en los lugares de trabajo Adoptado el 5 de febrero de 2002.

10.1.6 Otros

Circular del 18 de enero de 1994 Comentario de las disposiciones de la parte reglamentaria del nuevo Código Penal y de las modificaciones de tipo reglamentario requeridas para su entrada en vigor.

Internet y redes digitales Informe del Consejo de Estado.

Ley Nº 78-753 del 17 de julio de 1978, artículo 6 Referido al derecho de acceso a los documentos administrativos y centrado en diversas medidas de mejora de las relaciones entre la administración pública y el público y diversas disposiciones de orden administrativo, social y fiscal.

Ley Nº 79-18 del 3 de enero de 1979 modificada por la Ley Nº 2000-321 del 12 de abril de 2000 Referida a los archivos.

Página 25 de 28

SGDN / DCSSI / SDO / BCS PSSI – Sección 4 – Referencias SSI – 3 de marzo de 2004

10.2 A nivel internacional

10.2.1 Consejo de Europa

Directiva Nº 1999/93/CE del 13 de diciembre de 1999 del Parlamento Europeo y el Consejo Referido al marco comunitario para las firmas electrónicas.

Convención contra la "cibercriminalidad" del 8 de noviembre de 2001 del Consejo de Europa12

Resoluciones y recomendaciones del Consejo de Europa - Recomendación R (99) 5 sobre la protección de la vida privada en Internet (23 de febrero de

1999). - Recomendación R (97) 18 sobre la protección de los datos de carácter personal recogidos y

procesados con fines estadísticos (30 de septiembre de 1997). - Recomendación R (97) 5 sobre la protección de los datos médicos (13 de febrero de 1997). - Recomendación R (95) 4 s sobre la protección de los datos de carácter personal en el área de los

servicios de telecomunicación, especialmente en lo referido a los servicios telefónicos (7 de febrero de 1995).

- Recomendación R (91) 10 sobre la comunicación a terceros de datos de carácter personal en poder de organismos públicos (9 de septiembre de 1991).

- Recomendación R (90) 19 sobre la protección de los datos de carácter personal utilizados con fines de pago y otras operaciones vinculadas (13 de septiembre de 1990).

- Recomendación R (89) 2 sobre la protección de los datos de carácter personal utilizados con fines laborales (18 de enero de 1989).

- Recomendación R (87) 15 tendiente a reglamentar el uso de datos de carácter personal en el sector policial (17 de septiembre de 1987) y segundo informe de evaluación (1998).

- Recomendación R (86) 1 referida a la protección de los datos de carácter personal utilizados con fines de seguridad social (23 de enero de 1986).

- Recomendación R (85) 20 referida a la protección de los datos de carácter personal utilizados con fines de marketing directo (25 de octubre de 1985).

- Recomendación R (83) 10 referida a la protección de los datos de carácter personal utilizados con fines de investigación científica (23 de septiembre de 1983).

- Recomendación R (81) 1 referida a la reglamentación aplicable a los bancos de datos médicos automatizados (23 de enero de 1981).

- Resolución (74) 29 sobre la protección de los datos de carácter personal en los procesos automáticos de bancos de datos en el sector público.

- Resoluciones (73) 22 sobre la protección de los datos de carácter personal en los procesos automáticos de bancos de datos en el sector privado.

- Recomendación del Consejo de Europa adoptada por el Consejo de los Ministros el 19 de septiembre de 1989, referida a la criminalidad en relación con el ordenador.

10.2.2 ONU

Principios rectores de la ONU para la reglamentación sobre los ficheros informatizados que contengan datos de carácter personal Adoptada el 14 de diciembre de 1990 por la Asamblea General de las Naciones Unidas, en su resolución 45/95 del 14 de diciembre de 1990. - Principios referidos a las garantías mínimas que deberían preverse en las legislaciones

nacionales. - Aplicación de los principios rectores a los ficheros que contienen datos de carácter personal, en

poder de las organizaciones internacionales gubernamentales.

12 http://conventions.coe.int

Página 26 de 28

SGDN / DCSSI / SDO / BCS PSSI – Sección 4 – Referencias SSI – 3 de marzo de 2004

Formulario de recogida de comentarios Este formulario puede enviarse a la siguiente dirección: Secrétariat général de la défense nationale Direction centrale de la sécurité des systèmes d'information Sous-direction des opérations Bureau conseil 51 boulevard de La Tour-Maubourg 75700 PARIS 07 SP [email protected] Identificación del aporte Nombre y organismo (facultativo): ............................................................................................................ Dirección de correo electrónico: ................................................................................................................ Fecha: ........................................................................................................................................................ Observaciones generales sobre este documento ¿El documento responde a sus necesidades? Sí No

En caso afirmativo:

¿Piensa que puede mejorarse su contenido? Sí No

En caso afirmativo:

¿Qué otros temas hubiera deseado que tratáramos? ................................................................................................................. ................................................................................................................. ¿Qué partes del documento le parecen inútiles o inadecuadas? ................................................................................................................. .................................................................................................................

¿Piensa que puede mejorarse su formato? Sí No

En caso afirmativo:

¿En qué aspecto podríamos mejorarlo?

- legibilidad, comprensión - presentación - otro

Indique sus preferencias en cuanto al formato: ................................................................................................................. .................................................................................................................

En caso negativo:

Indique el aspecto que no le resulta conveniente y defina lo que le hubiera resultado conveniente: .......................................................................................................................................... .......................................................................................................................................... ¿Qué otros temas desearía que se trataran? .......................................................................................................................................... ..........................................................................................................................................

SGDN / DCSSI / SDO / BCS PSSI – Sección 4 – Referencias SSI – 3 de marzo de 2004

Observaciones específicas sobre este documento Puede formular comentarios detallados utilizando el siguiente cuadro.

"N°" indica un número de orden. El "tipo" está compuesto por dos letras:

La primera letra indica la categoría de la observación: - O Error de ortografía o de gramática - E Falta de explicaciones o de aclaración en un punto existente - I Texto incompleto o faltante - R Error La segunda letra indica su carácter: - m menor - M Mayor

La "referencia" indica la ubicación precisa en el texto (número de párrafo, línea...). El "enunciado de la observación" permite formalizar el comentario. La "solución propuesta" permite presentar la forma de resolver el problema enunciado.

N° Tipo Referencia Enunciado de la observación Solución propuesta

1

2

3

4

5

Gracias por su colaboración