ESQUEMA NACIONAL DE SEGURIDAD        Buenos Aires, 13 de marzo de 2012              Miguel A. Amutio Gómez     Jefe de Áre...
Contenidos1.   Por qué el Esquema Nacional de Seguridad (ENS).2.   Marco legal3.   Elementos principales.4.   Contexto int...
1. Por qué el ENS                                            Seguridad y administración-e   Los ciudadanos esperan que lo...
2. Marco legal                                    Seguridad en la Ley de administración-eLa Ley 11/2007 de acceso electrón...
Esquema Nacional de Seguridad    Es un instrumento legal – Real Decreto 3/2010- que desarrolla lo    previsto sobre segur...
Esfuerzo colectivoResultado del trabajo coordinado por el Ministerio de la Presidencia, con el apoyo del CentroCriptológic...
Objetivos del ENS Crear las condiciones necesarias de confianza en el uso de los medios    electrónicos, a través de medi...
Estructura del RD 3/2010 - ENS• Parte expositiva• Parte dispositiva:     i.  Disposiciones generales     ii. Principios bá...
3. Elementos principales    Los Principios básicos, que sirven de    guía.    Los Requisitos mínimos, de obligado    cum...
Política de seguridad Las AA.PP. deberán disponer de política de seguridad en base a los principios básicos y aplicando l...
Categorizar los sistemas    Categorizar los sistemas es necesario para modular el equilibrio entre la importancia de los ...
Gestionar los riesgosHerramienta PILAR / µPILAR : Perfil de protección para el ENS Biblioteca para infraestructuras crít...
Medidas de seguridad                                                Relacionadas con la organización global de la        ...
Auditoría de la seguridad    Auditoría periódica para verificar el cumplimiento del ENS.          Categoría MEDIA o ALTA...
Guías e instrumentosEsfuerzo realizado para proporcionar guías e instrumentos de apoyo:Guías CCN-STIC publicadas:•       8...
Respuesta a incidentes                                  CCN-CERT: Centro de alerta y respuesta de                         ...
Certificación                                              Reconocimiento de la contribución de                          ...
En qué puede ayudarla Industria a las AA.PP.      Ayudar a conocer y analizar la situación de partida.      Elaborar el ...
4. Contexto internacionalOECD    Directrices para la seguridad de sistemas y redes de    información, principios: (6) Eva...
ENS, 27001 y 27002ENS, RD 3/2010    Es una norma jurídica, al servicio de la realización de derechos de los ciudadanos y ...
5. Conclusiones y retosConclusiones: El ENS un instrumento legal de aplicación a todas las AA.PP. Persigue la creación d...
Para saber máshttp://www.boe.es/boe/dias/2010/01/29/                                  www.lamoncloa.gob.es/NR             ...
Muchas gracias Portal CCN-CERT – ENS:https://www.ccn-cert.cni.es/index.php?option=com_content&view=article&id=2420&Itemid...
Próxima SlideShare
Cargando en…5
×

20120313 el Esquema Nacional de Seguridad (ENS) en SEGURINFO 2012

1.070 visualizaciones

Publicado el

Presentación sobre el Esquema Nacional de Seguridad en SEGURINFO 2012, en Buenos Aires, en el panel de políticas públicas en materia de seguridad.

Publicado en: Tecnología
0 comentarios
0 recomendaciones
Estadísticas
Notas
  • Sé el primero en comentar

  • Sé el primero en recomendar esto

Sin descargas
Visualizaciones
Visualizaciones totales
1.070
En SlideShare
0
De insertados
0
Número de insertados
98
Acciones
Compartido
0
Descargas
25
Comentarios
0
Recomendaciones
0
Insertados 0
No insertados

No hay notas en la diapositiva.

20120313 el Esquema Nacional de Seguridad (ENS) en SEGURINFO 2012

  1. 1. ESQUEMA NACIONAL DE SEGURIDAD Buenos Aires, 13 de marzo de 2012 Miguel A. Amutio Gómez Jefe de Área de Planificación y Explotación Ministerio de Hacienda y Administraciones Públicas
  2. 2. Contenidos1. Por qué el Esquema Nacional de Seguridad (ENS).2. Marco legal3. Elementos principales.4. Contexto internacional y relación del ENS con 27001 y 27002.5. Conclusiones y retos.
  3. 3. 1. Por qué el ENS Seguridad y administración-e Los ciudadanos esperan que los servicios se presten en unas condiciones de confianza y seguridad equivalentes a las que encuentran cuando se acercan personalmente a las oficinas de las Administración. Crece la proporción del soporte electrónico frente al papel; y, cada vez más, ya no hay papel. Los servicios se prestan en un escenario complejo que requiere cooperación. La información y los servicios están sometidos a riegos provenientes de acciones malintencionadas o ilícitas, errores o fallos y accidentes o desastres. La OCDE señala que el marco legal es un aspecto importante en la preparación de la administración-e.
  4. 4. 2. Marco legal Seguridad en la Ley de administración-eLa Ley 11/2007 de acceso electrónico de los ciudadanos a los Servicios Públicos reconoceel derecho de los ciudadanos a relacionarse a través demedios electrónicos con las AA.PP.Este reconocimiento implica la obligación de las AA.PP. de promoción delas condiciones de confianza y seguridad mediante la aplicación segurade las tecnologías.Diversos principios de la Ley 11/2007 se refieren a la seguridad:  El principio de derecho a la protección de los datos de carácter personal.  El principio de seguridad en la implantación y utilización de los medios electrónicos.  El principio de proporcionalidad → garantías y medidas de seguridad adecuadas a la naturaleza y circunstancias de los trámites y actuaciones.La seguridad figura también entre los derechos de los ciudadanos:  Derecho a la garantía de la seguridad y confidencialidad de los datos que figuren en los ficheros, sistemas y aplicaciones de las AA.PP.La Ley 11/2007 crea el Esquema Nacional de Seguridad.
  5. 5. Esquema Nacional de Seguridad Es un instrumento legal – Real Decreto 3/2010- que desarrolla lo previsto sobre seguridad en la Ley 11/2007. Establece la política de seguridad en los servicios de administración-e.  Está constituida por principios básicos y requisitos mínimos que permitan una protección adecuada de la información. Es de aplicación a todas las AA.PP.  Están excluidos los sistemas que manejan la información clasificada. Establece un mecanismo de adecuación escalonado (fecha límite 29.01.2014).
  6. 6. Esfuerzo colectivoResultado del trabajo coordinado por el Ministerio de la Presidencia, con el apoyo del CentroCriptológico Nacional (CCN) con la participación de todas las AA.PP., a través de los órganoscolegiados en administración electrónica: AGE, CC.AA., CC.LL.-FEMP, Universidades Públicas (CRUE) +Opinión de la Industria del sector TIC.  > 200 personas a través de órganos colegiados con competencia en administración-e y grupos de trabajo, de AGE, CC.AA., CC.LL. (FEMP), Universidades (CRUE), Justicia (EJIS).  Perfiles de conocimiento TIC, archivos, jurídico, ...
  7. 7. Objetivos del ENS Crear las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad, que permita a los ciudadanos y a las AA.PP., el ejercicio de derechos y el cumplimiento de deberes a través de estos medios. Facilitar un tratamiento homogéneo de la seguridad que facilite la cooperación en la prestación de servicios de administración electrónica cuando participan diversas entidades. Facilitar la gestión continuada de la seguridad, al margen de impulsos puntuales, o de su ausencia. Introducir lenguaje y elementos comunes: – Para guiar la actuación de las AA.PP. en materia de seguridad de las tecnologías de la información. – Para facilitar la interacción y la cooperación de las AA.PP. – Para facilitar la comunicación de los requisitos de seguridad de la información a la Industria. Estimular a la Industria del sector TIC.
  8. 8. Estructura del RD 3/2010 - ENS• Parte expositiva• Parte dispositiva: i. Disposiciones generales ii. Principios básicos iii.Requisitos mínimos iv. Comunicaciones electrónicas v. Auditoría de la seguridad vi. Estado de seguridad de los sistemas vii.Respuesta a incidentes de seguridad viii. Normas de conformidad ix. Actualización x. Categorización de los sistemas de información• Disposiciones adicionales: 1ª Formación / 2ª INTECO y organismos análogos / 3ª Comité de seguridad / 4ª Modificación RD 1720/2007• Disposición transitoria: Adecuación de sistemas.• Disposición derogatoria única.• Disp. finales: 1ª Título habilitante / 2ª Desarrollo normativo / 3ª Entrada en vigor.• Anexos: i. Categorías de los sistemas iv. Glosario ii. Medidas de seguridad v. Modelo de cláusula iii. Auditoría de la seguridad administrativa particular
  9. 9. 3. Elementos principales Los Principios básicos, que sirven de guía. Los Requisitos mínimos, de obligado cumplimiento. La Categorización de los sistemas para adopción de medidas de seguridad proporcionadas. La auditoría de la seguridad que verifique el cumplimiento del ENS. La respuesta a incidentes de seguridad, CCN-CERT. La certificación, como aspecto a considerar al adquirir productos de seguridad, Organismo de Certificación (CCN). La formación.
  10. 10. Política de seguridad Las AA.PP. deberán disponer de política de seguridad en base a los principios básicos y aplicando los requisitos mínimos para una protección adecuada de la información. Para cumplir los requisitos mínimos, se seleccionarán medidas de seguridad proporcionadas, atendiendo a:  Categorización de los sistemas.  La Protección de Datos de Carácter Personal.  Las decisiones para gestionar los riesgos. Se realizarán auditorías periódicas (sistemas en categorías Media y Alta).
  11. 11. Categorizar los sistemas Categorizar los sistemas es necesario para modular el equilibrio entre la importancia de los sistemas y el esfuerzo dedicado a su seguridad y satisfacer el principio de proporcionalidad. La determinación de la categoría de un sistema se basa en la valoración del impacto que tendría un incidente con repercusión en la capacidad organizativa para:  Alcanzar sus objetivos.  Proteger los activos a su cargo.  Cumplir sus obligaciones diarias de servicio.  Respetar la legalidad vigente.  Respetar los derechos de las personas. A fin de poder determinar el impacto setendrán en cuenta las dimensiones:  Disponibilidad  Autenticidad  Integridad  Confidencialidad  Trazabilidad
  12. 12. Gestionar los riesgosHerramienta PILAR / µPILAR : Perfil de protección para el ENS Biblioteca para infraestructuras críticasVéase https://www.ccn-cert.cni.es/
  13. 13. Medidas de seguridad  Relacionadas con la organización global de la seguridad  Para proteger la operación del sistema como conjunto integral de componentes para un fin.  Para proteger activos concretos, según su naturaleza y la calidad exigida por su categoría.+ uso de infraestructuras y servicios comunes y guías de seguridad elaboradas por CCN.
  14. 14. Auditoría de la seguridad Auditoría periódica para verificar el cumplimiento del ENS.  Categoría MEDIA o ALTA  Categoría BÁSICA: autoevaluación. Se utilizarán criterios, métodos de trabajo y de conducta generalmente reconocidos, así como la normalización nacional e internacional aplicables. Según los siguientes términos:  La política de seguridad define roles y funciones.  Existen procedimientos para resolución de conflictos.  Se aplica el principio de segregación de funciones.  Se ha realizado el análisis de riesgos, con revisión y aprobación anual.  Existe un sistema de gestión de seguridad de la información documentado.Véase “GUÍA DE SEGURIDAD (CCN-STIC-802) GUÍA DE AUDITORÍA”disponible en https://www.ccn-cert.cni.es
  15. 15. Guías e instrumentosEsfuerzo realizado para proporcionar guías e instrumentos de apoyo:Guías CCN-STIC publicadas:• 800 - Glosario de Términos y Abreviaturas del ENS.• 801 - Responsables y Funciones en el ENS.• 802 - Auditoría del ENS.• 803 - Valoración de sistemas en el ENS. Disponibles en https://www.ccn-cert.cni.es• 804 - Medidas de implantación del ENS.• 805 - Política de Seguridad de la Información.• 806 - Plan de Adecuación del ENS.• 807 - Criptología de empleo en el ENS.• 808 - Verificación del cumplimiento de las medidas en el ENS.• 809 - Declaración de Conformidad del ENS.• 810 - Guía de Creación de un CERT/CSIRT.• 812 - Seguridad en Entornos y Aplicaciones Web.• 813 - Componentes certificados.• 814 - Seguridad en correo electrónico.• 815 - Indicadores y Métricas en el ENS.En desarrollo:• 816 - Seguridad en Redes Inalámbricas en el ENS.• 817 - Criterios Comunes para la Gestión de Incidentes de Seguridad en el ENS.• 818 - Herramientas de seguridad.• MAGERIT v3Próximamente:• 819 – Requisitos de seguridad en redes privadas virtuales en el ENS.• 820 – Requisitos de seguridad de cloud computing en el ENS• 821 – Seguridad en DNS en el ámbito del ENS.Programas de apoyo:• PILAR y µPILARServicios de respuesta a incidentes de seguridad CCN-CERT+ Esquema Nacional de Evaluación y Certificación
  16. 16. Respuesta a incidentes CCN-CERT: Centro de alerta y respuesta de incidentes de seguridad, ayudando a las AAPP a responder de forma más rápida y eficiente ante las amenazas de seguridad que afecten a sus sistemas de información.  Comunidad: AA.PP. de España  Reconocimiento internacional: 2007, EGC (2008)  Presta servicios de:  resolución de incidentes,  divulgación de buenas prácticas,  formación  e información de amenazas y alertas.  Sondas en Red de las AA.PP (Red SARA) y enhttps://www.ccn-cert.cni.es/ Internet.
  17. 17. Certificación  Reconocimiento de la contribución de los productos evaluados y certificados para el cumplimiento de los requisitos mínimos de manera proporcionada.  Relación con el Organismo de Certificación (el propio CCN).  La certificación como aspecto a considerar al adquirir productos de seguridad.  En función del nivel, uso preferentemente de productos certificados.  Modelo de cláusula para los pliegos de prescripciones técnicas.http://www.oc.ccn.cni.es/index_en.html
  18. 18. En qué puede ayudarla Industria a las AA.PP.  Ayudar a conocer y analizar la situación de partida.  Elaborar el plan de adecuación.  Asesorar sobre ciertos aspectos: – Alcance (información y servicios incluidos). – Organización de la seguridad. – Elaboración de política de seguridad. – Preparación de declaración de conformidad.  Valorar los sistemas, para su categorización.  Analizar los riesgos.  Elaborar la declaración de aplicabilidad.  Implantar las medidas de seguridad.  Aplicar guías y herramientas para adecuación.  Auditar la conformidad con el ENS.  Elaborar declaración de conformidad con ENS.
  19. 19. 4. Contexto internacionalOECD Directrices para la seguridad de sistemas y redes de información, principios: (6) Evaluación del riesgo , (7) Diseño y realización de la seguridad, (8) Gestión de la seguridad y (9) Reevaluación. Implementation Plan for the OECD Guidelines:“Government should develop policies that reflect best practices in security management and risk assessment... to create a coherent system of security.”Estándares en seguridad de TI.Unión Europea – Agenda Digital para Europa, ENISA.EE.UU., FISMA, Federal Information Security Management ActOtras referencias: Alemania, Reunio Unido, Francia
  20. 20. ENS, 27001 y 27002ENS, RD 3/2010  Es una norma jurídica, al servicio de la realización de derechos de los ciudadanos y de aplicación obligatoria a todas las AA.PP.  Trata la ‘protección’ de la información y los servicios y exige la gestión continuada de la seguridad, para lo cual cabe aplicar un “sistema de gestión de seguridad de la información”.ISO/IEC 27001  Es una norma de ‘gestión’ que contiene los requisitos de un sistema de gestión de seguridad de la información, voluntariamente certificable.  La certificación de conformidad con 27001: NO es obligatoria en el ENS. Aunque quien se encuentre certificado contra 27001 tiene parte del camino recorrido para lograr su conformidad con el ENS.ISO/IEC 27002  Aunque muchas de las medidas indicadas en el anexo II del ENS coinciden con controles de 27002, el ENS es más preciso y establece un sistema de protección proporcionado a la información y servicios a proteger para racionalizar la implantación de medidas y reducir la discrecionalidad.  27002 carece de esta proporcionalidad, quedando a la mejor opinión del auditor que certifica la conformidad con 27001.  El ENS contempla diversos aspectos de especial interés para la protección de la información y los servicios de administración electrónica (por ejemplo, aquellos relativos a la firma electrónica) no recogidos en 27002.
  21. 21. 5. Conclusiones y retosConclusiones: El ENS un instrumento legal de aplicación a todas las AA.PP. Persigue la creación de condiciones de confianza y seguridad para la realización del derecho de los ciudadanos a relacionarse por medios electrónicos con las AA.PP. Impulsa una gestión continuada y un tratamiento global de la seguridad. Las medidas de seguridad se ha seleccionado atendiendo a necesidades de las AA.PP.Retos principales: Resolver las cuestiones prácticas sobre la adecuación al ENS. Continuar el esfuerzo de desarrollo de las guías y de otros instrumentos de apoyo a la adecuación al ENS. Articular procedimientos para conocer regularmente el estado de seguridad en las AA.PP.
  22. 22. Para saber máshttp://www.boe.es/boe/dias/2010/01/29/ www.lamoncloa.gob.es/NR /.../EstrategiaEspanolaDeSeguridad.pdf http://www.epractice.eu/en/factsheets/ http://www.enisa.europa.eu/act/sr/files/ country-reports/?searchterm=country%20reports http://www.oc.ccn.cni.es/index_es.html https://www.ccn-cert.cni.es/ http://administracionelectronica.gob.es
  23. 23. Muchas gracias Portal CCN-CERT – ENS:https://www.ccn-cert.cni.es/index.php?option=com_content&view=article&id=2420&Itemid=211&lang=es Portal de la Administración Electrónica - ENS:http://administracionelectronica.gob.es Preguntas frecuentes:https://www.ccn-cert.cni.es/index.php?option=com_content&view=article&id=2855&Itemid=211&lang=eshttp://administracionelectronica.gob.es Espacio virtual del ENS:http://circa.administracionelectronica.gob.es/circabc Contacto para preguntas, dudas: ens@ccn-cert.cni.es

×