Estado de situación del Esquema Nacional de Seguridad (ENS) y del Esquema Nacional de Interoperabilidad (ENI) en la reunión de CRUE-TIC
1. MINISTERIO
DE HACIENDA
Y ADMINISTRACIONES PÚBLICAS
ENS y ENI. Situación y próximos
pasos
Salamanca, 26 de octubre de 2012
Miguel A. Amutio Gómez
Jefe de Área de Planificación y Explotación
Ministerio de Hacienda y Administraciones Públicas
1
2. Plazo de adecuación a ENS y ENI
MINISTERIO
DE HACIENDA
Y ADMINISTRACIONES PÚBLICAS
A un año de que se agote el plazo de adecuación a
ENS y ENI.
2
3. MINISTERIO
DE HACIENDA
Y ADMINISTRACIONES PÚBLICAS
ENS, situación y próximos
pasos
3
4. Para adecuarse al ENS
MINISTERIO
DE HACIENDA
Y ADMINISTRACIONES PÚBLICAS
1. Priorizar.
2. Usar infraestructuras
y servicios comunes.
3. Usar guías e
instrumentos
específicos.
4. Usar la normalización.
5. Comunicar incidentes
de seguridad.
6. Usar productos
certificados.
7. Preguntar.
8. Formarse.
4
5. Priorizar la adopción de las medidas de
MINISTERIO
DE HACIENDA
Y ADMINISTRACIONES PÚBLICAS
seguridad
P r io r id a d A c c ió n M e d id a s G u ía s T ip o C o s te E fic a c ia
C C N -S T IC
1 D e fin ir y n o m b r a r a l [ o r g .1 ] P o lític a d e s e g u r id a d 801 A D B A JO B A JA
r e s p o n s a b le d e la s e g u r id a d
2 In v e n ta r ia r e l e q u ip a m ie n to [ o p .e x p .1 ] In v e n ta rio d e a c tiv o s A D B A JO B A JA
in fo r m á tic o
3 D e fin ir y p r o te g e r e l [ m p .if.1 ] Á r e a s s e p a r a d a s y c o n c o n tr o l d e PR M E D IO A LTA
p e r ím e tr o fís ic o acceso
4 D e fin ir y p r o te g e r e l [ m p .c o m .1 ] P e r ím e tr o s e g u r o 811 PR M E D IO A LTA
p e r ím e tr o ló g ic o [ o p .p l.2 ] A r q u ite c tu r a d e s e g u rid a d 406, 408, 416
[ o p .a c c .7 ] C o n tr o l d e l a c c e s o r e m o to S e rie s 5 0 0 y 6 0 0
5 P r o te c c ió n in te r n a : [ o p .e x p .2 ] C o n fig u r a c ió n d e s e g u rid a d S e rie s 4 0 0 , 5 0 0 PR M E D IO A LTA
s e r v id o r e s [ o p .e x p .6 ] P r o te c c ió n f re n te a c ó d ig o y 600
d a ñ in o
6 C o p ia s d e s e g u r id a d (b a c k u p ) [ m p .in fo .9 ] C o p ia s d e s e g u r id a d ( b a c k u p s ) R C B A JO A LTA
7 P r o te c c ió n in te r n a : p u e s to s [ o p .e x p .2 ] C o n fig u r a c ió n d e s e g u rid a d S e rie s 4 0 0 , 5 0 0 PR M E D IO M E D IA
d e tr a b a jo (P C ) [ o p .e x p .6 ] P r o te c c ió n f re n te a c ó d ig o y 600
d a ñ in o
8 P r o te c c ió n in te r n a : p o r tá tile s , [ o p .e x p .2 ] C o n fig u r a c ió n d e s e g u rid a d S e rie s 4 0 0 , 5 0 0 PR M E D IO M E D IA
sm a rt p h o n es, b yo d [ o p .e x p .6 ] P r o te c c ió n f re n te a c ó d ig o y 600
d a ñ in o
9 M o n ito r iz a c ió n y r e a c c ió n [ o p .e x p .7 ] G e s tió n d e in c id e n c ia s 403 M N M E D IO A LTA
[ o p .e x p .4 ] M a n te n im ie n to 817 +
[ o p .e x p .5 ] G e s tió n d e c a m b io s C R
[ o p .e x p .8 ] R e g is tr o d e la a c tiv id a d d e lo s
u s u a rio s
10 C o n c ie n c ia c ió n [ m p .p e r.3 ] C o n c ie n c ia c ió n A W M E D IO M E D IA
[ o r g .2 ] N o r m a tiv a d e s e g u r id a d
+ Oportunidades ofrecidas por infraestructuras y servicios comunes.
5
6. Usar infraestructuras y servicios
MINISTERIO
DE HACIENDA
Y ADMINISTRACIONES PÚBLICAS
comunes
Creación de un ecosistema de
infraestructuras y servicios comunes
con soporte legal.
Ley 11/2007
RD 3/2010, RD 4/2010, RD 1671/2009
Normas Técnicas de Interoperabilidad
Desarrollado para apoyar el procedimiento
administrativo según el marco legal.
Facilita el despliegue masivo de servicios.
Acuerdos entre las AA.PP. relativos a la
utilización de los servicios.
6
7. Usar guías e instrumentos específicos
MINISTERIO
DE HACIENDA
Y ADMINISTRACIONES PÚBLICAS
Disponibles en https://www.ccn-cert.cni.es
Guías CCN-STIC publicadas:
• 800 - Glosario de Términos y Abreviaturas del ENS.
• 801 - Responsables y Funciones en el ENS.
• 802 - Auditoría del ENS.
• 803 - Valoración de sistemas en el ENS.
• 804 - Medidas de implantación del ENS.
• 805 - Política de Seguridad de la Información.
• 806 - Plan de Adecuación del ENS.
• 807 - Criptología de empleo en el ENS.
• 808 - Verificación del cumplimiento de las medidas en el ENS.
• 809 - Declaración de Conformidad del ENS.
• 810 - Guía de Creación de un CERT/CSIRT.
• 811 - Interconexión en el Esquema Nacional de Seguridad
• 812 - Seguridad en Entornos y Aplicaciones Web.
• 813 - Componentes certificados.
• 814 - Seguridad en correo electrónico.
• 815 - Indicadores y Métricas en el ENS.
• 817 - Criterios Comunes para la Gestión de Incidentes de Seguridad en el ENS.
• 818 - Herramientas de seguridad.
• 824 - Informe del Estado de Seguridad.
• MAGERIT v3
En desarrollo: Convenio de
• 816 - Seguridad en Redes Inalámbricas en el ENS.
• 819 – Requisitos de seguridad en redes privadas virtuales en el ENS. colaboración:
• 820 – Requisitos de seguridad de cloud computing en el ENS
•
MINHAP
821 – Seguridad en DNS en el ámbito del ENS.
• 823 - Ejemplos de Procedimientos Operativos de Seguridad. CNI-CCN
• Programas de apoyo:
• PILAR y µPILAR INAP
Servicios de respuesta a incidentes de seguridad CCN-CERT
+ Esquema Nacional de Evaluación y Certificación 7
8. Usar guías e instrumentos específicos
MINISTERIO
DE HACIENDA
Y ADMINISTRACIONES PÚBLICAS
Magerit versión 3
Magerit v3 en el marco de gestión de riesgos
Disponible en http://administracionelectronica.gob.es de ISO 31000
Y https://www.ccn-cert.cni.es
Mantiene en gran medida la estructura de la versión 2.
Actualizada para un mejor alineamiento con la normativa ISO.
Integración dentro del marco organizacional de gestión de riesgos dirigido
desde los órganos de gobierno.
A la luz de la experiencia de aplicación, se ha aligerado el texto, eliminadas partes
poco importantes o poco usadas
Mejorada la normalización de las actividades.
8
9. Informe del estado de seguridad
MINISTERIO
DE HACIENDA
Y ADMINISTRACIONES PÚBLICAS
Medidas e indicadores con 2 destinatarios:
La entidad propietaria del sistema de información.
El informe anual de estado de seguridad de las AA.PP.
En ambos casos se persigue:
Una estimación preventiva de la seguridad, vía análisis del cumplimiento de ciertos
aspectos que se han estimado críticos para cualquier entidad.
Una estimación de la eficacia y eficiencia de las actividades en materia de seguridad.
Una estimación del esfuerzo humano y económico dedicado a seguridad TIC.
9
10. Próximos pasos en el ENS
MINISTERIO
DE HACIENDA
Y ADMINISTRACIONES PÚBLICAS
Recomendaciones sobre medidas de bajo coste y de
alto impacto.
Impulsar las acciones de respuesta ante incidentes:
Estandarización de la respuesta.
Procedimientos de actuación ante diversos incidentes.
Intercambio de reglas / listas negras
Auditorías de servicios web a entidades adscritas al
SAT Internet.
Herramientas para métricas y estado de seguridad.
Modificación del Real Decreto 3/2010.
10
11. Próximos pasos en el ENS
MINISTERIO
DE HACIENDA
Y ADMINISTRACIONES PÚBLICAS
11
12. MINISTERIO
DE HACIENDA
Y ADMINISTRACIONES PÚBLICAS
ENI, situación y próximos
pasos
12
13. Normas técnicas de interoperabilidad
MINISTERIO
DE HACIENDA
Y ADMINISTRACIONES PÚBLICAS
Normas técnicas de interoperabilidad (RD 4/2010, d.a. 1ª), desarrollan aspectos
concretos necesarios para la aplicación del ENI:
Catálogo de estándares (próxima publicación).
Documento electrónico.
Digitalización de documentos.
Expediente electrónico.
Política de firma electrónica y de certificados.
Protocolos de intermediación de datos.
Relación de modelos de datos comunes.
Política de gestión de documentos electrónicos.
Requisitos de conexión a la Red de comunicaciones de las AA.PP. Españolas.
Procedimientos de copiado auténtico y conversión.
Modelo de datos para intercambio de asientos entre Entidades Registrales.
Reutilización de recursos de información (RD 1495/2011,d.f.1ª).
Declaración de conformidad con el ENI.
(*) Ya publicadas en el
+
Guías de aplicación http://www.boe.es/boe/dias/2011/07/30/
http://www.boe.es/boe/dias/2012/07/26/
13
14. Normas técnicas de interoperabilidad
MINISTERIO
DE HACIENDA
Y ADMINISTRACIONES PÚBLICAS
Próxima publicación en el BOE: En desarrollo avanzado:
14
15. Normas técnicas de interoperabilidad
MINISTERIO
DE HACIENDA
Y ADMINISTRACIONES PÚBLICAS
+ Guías de aplicación
+ Guías de aplicación disponibles en el Portal de la Administración Electrónica:
Fuente: http://administracionelectronica.gob.es
15
16. Usar infraestructuras y servicios
MINISTERIO
DE HACIENDA
Y ADMINISTRACIONES PÚBLICAS
comunes
Creación de un ecosistema de
infraestructuras y servicios comunes
con soporte legal.
Ley 11/2007
RD 3/2010, RD 4/2010, RD 1671/2009
Normas Técnicas de Interoperabilidad
Desarrollado para apoyar el procedimiento
administrativo según el marco legal.
Facilita el despliegue masivo de servicios.
Acuerdos entre las AA.PP. relativos a la
utilización de los servicios.
16
17. Usar infraestructuras y servicios
MINISTERIO
DE HACIENDA
Y ADMINISTRACIONES PÚBLICAS
comunes
Red de comunicaciones de las AA.PP.
Conecta las AA.PP. (General del Estado, Comunidades Autónomas y > 3.700 municipios).
Conectada a la red transeuropea sTESTA: acceso a servicios en la Unión Europea.
Pieza clave de la transición a IPv6 de las AA.PP.
SARA Cloud → aplicaciones y servicios.
Documento Nacional de Identidad electrónico (DNIe) .
97% de los registros incluyen el número del DNI como identificador primario de
los ciudadanos.
Más de 28,5 millones de ciudadanos tienen el DNIe.
Incluye dos certificados (autenticación y firma electrónica).
@Firma: Servicios y herramientas para validación de firma-e y certif.
Interoperabilidad de firmas-e y certificados: > 100 tipos de certificados de >15
proveedores (nacionales e int.) usados por > 500 entidades de las AA.PP.
Disponibles para todas las AA.PP.
Plataforma de intermediación: permite que las AA.PP. verifiquen en línea
datos de los ciudadanos:
Para evitar que los ciudadanos tengan que proporcionar datos o documentos que se se
encuentran en poder de la Administración.
Usa la Red SARA y @Firma.
17
18. Usar infraestructuras y servicios
MINISTERIO
DE HACIENDA
Y ADMINISTRACIONES PÚBLICAS
comunes
Red 060 proporciona un punto de entrada multi canal a los servicios.
3 canales: oficinas locales, portal web ‘060.es’, nº de teléfono ‘060’.
Más puntos de contacto para emprendedores en la red integrada de oficinas ‘060’.
Ventanilla Única de la Directiva de Servicios EUGO.ES.
EUGO.ES es la ventanilla única de la Directiva de Servicios en España.
Notificaciones-e permite que ciudadanos y empresas reciban, de forma gratuita,
notificaciones administrativas y correspondencia en la dirección electrónica administrativa:
Notificaciones-e Ministerio de Hacienda y Administraciones Públicas es titular del servicio; el proveedor
es Sociedad Estatal Correos y Telégrafos. 2.27M de Notificaciones-e enviadas en 2011.
'Pack de Administración-e': Facilita los elementos básicos para la
implantación de servicios de administración electrónica. Tiene 4 piezas principales:
ORVE: registro virtual para las entidades locales.
ACCEDA: para desplegar una sede electrónica.
PORTAFIRMAS: Aplicación corporativa de firma-e.
INSIDE: para la gestión de expedientes electrónicos.
+ PORTAL de las entidades locales.
Reutilización de la información del Sector Público.
Marco legal (Ley 37/2007, Real decreto 1495/2011)
datos.gob.es: portal de carácter nacional que organiza y gestiona el Catálogo de
Información Pública de la Administración General del Estado. 18
19. Usar infraestructuras y servicios
MINISTERIO
DE HACIENDA
Y ADMINISTRACIONES PÚBLICAS
comunes
Esfuerzo en desarrollo de aplicaciones reutilizables destinadas a
proporcionar soluciones a necesidades comunes de las AA.PP., en modo
producto o en modo servicio en red, en ámbitos funcionales tales como:
Función Solución
Registro electrónico. REC
SIR
ORVE
Sede electrónica. ACCEDA
Identificación, autenticación Portafirmas
y firma electrónica. (+ @Firma, Valide, ...)
Gestión de expedientes y InSIDE
documentos electrónicos.
Correo electrónico. Correo en la nube para
organismos públicos
19
20. MINISTERIO
Interconexión de registros SIR y ORVE
DE HACIENDA
Y ADMINISTRACIONES PÚBLICAS
Interconecta la red de oficinas de
registro (presenciales y electrónicas),
utilizando SICRES 3.0.
Permite el intercambio de asientos y
documentos-e presentados
originalmente en papel por los
ciudadanos, abierta a todas AA.PP.
Servicio disponible en la nube
que ofrece el MINHAP a las
AA.PP.
Permite crear y remitir asientos
registrales a través de SIR y
digitalizar la documentación.
20
21. Acceda – Sede Electrónica
MINISTERIO
DE HACIENDA
Y ADMINISTRACIONES PÚBLICAS
Plataforma genérica para constituir una sede electrónica que permite implementar de forma
rápida y sencilla, nuevos procedimientos administrativos electrónicamente, sin necesidad de
un desarrollo particular para cada uno.
- El CMS ACCEDA permite configurar la Sede Electrónica.
- El Tramitador ACCEDA permite tramitar los expedientes, gestionar el silencio
administrativo, así como notificaciones, certificaciones, documentación, etc.
- El Administrador ACCEDA permite crear nuevos procesos o procedimientos
administrativos configurando los parámetros de los mismos y diseñando
formularios de interacción con el ciudadano.
21
22. Portafirmas
MINISTERIO
DE HACIENDA
Y ADMINISTRACIONES PÚBLICAS
Cliente de @firma integrado en el Portafirmas.
Servicios Web de validación de firmas de Valide de
@firma.
Peticiones de Firmas:
Múltiples destinatarios en flujo de cofirma (paralelo)
o contrafirma (cascada)
Posibilidad de escoger el formato de la firma.
Configuración de notificaciones en cambio de
estado, Visto bueno en el flujo de firma, niveles de
importancia, distinción entre documentación a
firmar e informativa, comentarios etc…
Bandejas de gestión de peticiones de firma.
Funcionalidades de Administración.
Integración con generador de CSV, sistemas de
validación de firmas,
Permite realizar vista previa del documento a firmar
cuando es un documento-e.
Integración con aplicación mediante SW: petición,
consulta, modificación etc.
Para incidencias → https://ssweb.mpt.es/ayuda/consulta/Portafirmas
22
23. InSiDE (Infraestructuras y Sistemas de
MINISTERIO
DE HACIENDA
Y ADMINISTRACIONES PÚBLICAS
Documentación Electrónica)
InSide es la abstracción de un gestor documental
que cumpla los estándares CMIS para la gestión
documental de expedientes-e y documentos-e,
según especificado en las NTIs del ENI.
Se almacenan los documentos, firmas, metadatos,
versiones de un mismo documento, etc.
Permite su consulta y gestión por medio de
servicios web para la integración con cualquier
aplicación que desee gestionar sus documentos de
acuerdo con lo especificado en las normas ENI.
Operaciones generales:
• Gestión Avanzada de Expedientes Electrónicos: •Gestión Básica de Documentos Electrónicos:
• Alta de los expedientes • Alta de Documentos
• Búsqueda de Expedientes • Búsqueda de Documentos
• Generación del Indexado • Gestión de Documentos Internos (posible dependencia eUtils)
• Firma de los Índices (Dep-eUtils) • Gestión de Documentos Externos (Dep-eUtils)
• Versionado de los ExpedientesEni • Firma y Sellado de los Documentos (Dep-eUtils)
• Modificación de los Metadatos • Versionado de los DocumentosEni
• Cierre del Expediente. Cierre Índice y Generación ENIs • Generación DocumentoENI on-the-fly (o recuperación tras
definitivos (Dep-eUtils) cierre)
• Generación de Vistas Abiertas y Cerradas • Copiado Auténtico de Documentos (con/sin cambio de formato)
• Importación y Vinculación de Expedientes • ReSellado de Documentos
• Pendiente: Archivado del Expediente. Integración con
Sistema de Archivo.
23
24. MINISTERIO
DE HACIENDA
Correo en la nube
Y ADMINISTRACIONES PÚBLICAS
para organismos públicos
Elección del dominio por
parte de cada organismo y
administración de usuarios y
cuentas descentralizadas.
Acceso desde web,
terminales móviles y clientes
pesados.
Basado en infraestructura de
aplicaciones de fuentes
abiertas.
Seguridad: Red SARA,
controles antispam y AV, etc.
Ahorro de costes.
24
25. Próximos pasos en el ENI
MINISTERIO
DE HACIENDA
Y ADMINISTRACIONES PÚBLICAS
NTI de Reutilización de recursos de información.
Completar Guías de aplicación.
Proporcionar orientación para adecuación y
conformidad con el ENI.
Consolidar y extender las infraestructuras y servicios
comunes.
Modificar el Real Decreto 4/2010:
Impulso de la reutilización de aplicaciones en modo producto y en
modo servicio en red.
Impulso de la utilización de infraestructuras y servicios comunes.
Desarrollo del artículo 4 del ENI (inventariado y codificación de
órganos, oficinas de registro, procedimientos, servicios).
25
26. Próximos pasos en el ENI
MINISTERIO
DE HACIENDA
Y ADMINISTRACIONES PÚBLICAS
26
27. Más información
MINISTERIO
DE HACIENDA
Y ADMINISTRACIONES PÚBLICAS
http://www.epractice.eu/en/factsheets/ http://administracionelectronica.gob.es http://administracionelectronica.gob.es
http://www.enisa.europa.eu
http://www.060.es https://www.ccn-cert.cni.es/index.php?lang=en
27
28. Más información
MINISTERIO
DE HACIENDA
Y ADMINISTRACIONES PÚBLICAS
Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos.
URL: http://www.boe.es/boe/dias/2007/06/23/pdfs/A27150-27166.pdf
Ley 14/2010, de 5 de julio, sobre las infraestructuras y los servicios de información
geográfica en España. URL: http://www.boe.es/diario_boe/txt.php?id=BOE-A-2010-10707
Real Decreto 1671/2009, de 6 de noviembre, por el que se desarrolla parcialmente la Ley 11/2007,
de 22 de junio, de acceso electrónico de los ciudadanos a los servicios públicos. URL:
http://www.boe.es/boe/dias/2009/11/18/pdfs/BOE-A-2009-18358.pdf
Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad
en el ámbito de la Administración Electrónica.
URL: http://www.boe.es/boe/dias/2010/01/29/pdfs/BOE-A-2010-1331.pdf
Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el
ámbito de la Administración Electrónica.
URL: http://www.boe.es/boe/dias/2010/01/29/pdfs/BOE-A-2010-1330.pdf
Boletín Oficial del Estado: 30 de julio de 2011, Núm. 182, Normas Técn. de Interoperabilidad.
URL: http://www.boe.es/boe/dias/2011/07/30/
Boletín Oficial del Estado: 26 de julio de 2012, Núm. 178, Normas Técn. de Interoperabilidad.
URL: http://www.boe.es/boe/dias/2012/07/26/
Decisión nº 922/2009/CE del Parlamento Europeo y del Consejo, de 16 de septiembre de 2009,
relativa a las soluciones de interoperabilidad para las administraciones públicas europeas (ISA).
URL: http://eur-lex.europa.eu/ , http://ec.europa.eu/isa/
Comunicación de la Comisión al Parlamento Europeo, Al Consejo, al Comité Económico y Social
Europeo y al Comité de las Regiones – Hacia la interoperabilidad de los servicios públicos europeos.
COM(2010) 744 final. URL: http://eur-lex.europa.eu/
Agenda Digital para Europa. URL:http://ec.europa.eu/information_society/digital-agenda/index_en.htm
28