Análisis de Esquema Nacional de Seguridad (ENS) de la ley 11/2007 y su aplicación en las Administraciones Públicas. Descripción de productos para la autenticación y auditoría de usuarios, validación de certificados y firma digital integral.
3. Organizadores:
sólo 4 meses
ES MUY RECIENTE
REAL DECRETO 3/2010 (29/1/2010)
4. El Esquema Nacional de Seguridad (I)
• La Ley 11/2007 o Ley de Acceso Electrónico de Organizadores:
los Ciudadanos a los Servicios Públicos (LAECSP)
indica :
– Artículo 42. Esquema Nacional de Interoperabilidad y
Esquema Nacional de Seguridad.
• 1. […] Esquema Nacional de Interoperabilidad […]
• 2. El Esquema Nacional de Seguridad tiene por objeto
establecer la política de seguridad en la utilización de
medios electrónicos en el ámbito de la presente Ley, y
está constituido por los principios básicos y requisitos
mínimos que permitan una protección adecuada de la
información.
5. El Esquema Nacional de Seguridad (II)
– Articulo 42 (Cont.)
Organizadores:
• 3. Ambos Esquemas se elaborarán con la participación
de todas las Administraciones y se aprobarán por Real
Decreto del Gobierno, a propuesta de la Conferencia
Sectorial de Administración Pública y previo informe de
la Comisión Nacional de Administración Local, debiendo
mantenerse actualizados de manera permanente.
• 4. En la elaboración de ambos Esquemas se tendrán en
cuenta las recomendaciones de la Unión Europea, la
situación tecnológica de las diferentes Administraciones
Públicas, así como los servicios electrónicos ya existentes.
A estos efectos considerarán la utilización de estándares
abiertos así como, en su caso y de forma
complementaria, estándares que sean de uso
generalizado por los ciudadanos.
7. Objetivos:
• Confianza en los Sistemas de Organizadores:
Información
– A través de medidas de seguridad de los
sistemas, los datos, las comunicaciones y
los servicios electrónicos.
– Que los Sistemas de Información cumplan
sus especificaciones funcionales, sin
interrupciones o modificaciones fuera de
control, y sin que la información pueda
llegar al conocimiento de personas no
autorizadas
8. ENS basado en el consenso
• Para su articulación se ha tenido en cuenta:
Organizadores:
– Normativa nacional sobre Administración electrónica
– Legislación de protección de datos de carácter personal
– Ley de firma electrónica
– Documento nacional de identidad electrónico
– Centro Criptológico Nacional
– Sociedad de la información
– Reutilización de la información en el sector público
– Órganos colegiados responsables de la Administración
Electrónica;
– Regulación de diferentes instrumentos y servicios de la
Administración
– Directrices y guías de la OCDE
– Disposiciones nacionales e internacionales sobre
normalización
9. Relaciones con otras leyes
Ley Organizadores:
11/2007
LAECSP
Ley
Ley
37/2007
59/2003
Reutiliza.
Firma-e
Info.
Esquema
Nacional
de
Seguridad
Ley
Ley
30/1992
56/2007
Reg. Jur.
LISI
AA.PP.
Ley
15/1998
LOPD
10. Alcance
• Establecer los principios básicos y Organizadores:
requisitos mínimos que permiten
una protección adecuada de la
información y los servicios de los
sistemas que tratan información de
las Administraciones públicas en el
ámbito de la Ley 11/2007
• No solo la web o la sede electrónica
11. Principios básicos
•Proceso integral, todos los elementos técnicos, humanos,
Seguridad integral. materiales y organizativos, relacionados con el sistema Organizadores:
•El análisis y gestión de riesgos. Siempre actualizado.
Gestión de riesgos Minimizar riesgos hasta niveles aceptables mediante medidas
de seguridad.
Prevención, reacción y •Contemplar prevención, detección y corrección, para
conseguir que las amenazas no se materialicen. La
recuperación. recuperación permitirá la restauración de la información.
•Estrategia de protección constituida por múltiples capas de
Líneas de defensa. seguridad. Las líneas de defensa constituidas por medidas de
naturaleza organizativa, física y lógica.
Reevaluación •Las medidas de seguridad se reevaluarán y actualizarán
periódicamente, para adecuar su eficacia a la constante
periódica. evolución de los riesgos y sistemas de protección.
• Se diferenciará el responsable de la información, el responsable del
Función diferenciada servicio y el responsable de la seguridad. La política de seguridad
detallará atribuciones y mecanismos de coordinación.
12. Requisitos mínimos
• Todos los órganos superiores de las Organizadores:
Administraciones públicas deberán
disponer formalmente de su política de
seguridad.
• Esta será aprobada por el titular del
órgano superior correspondiente.
• Se establecerá en base a los principios
básicos indicados y se desarrollará
aplicando los siguientes requisitos
mínimos.
13. Requisitos mínimos
Organización e
Análisis y Organizadores:
implantación del Gestión de
gestión de los Profesionalidad.
proceso de personal.
riesgos.
seguridad.
Autorización y Protección de
Adquisición de Seguridad por
control de los las
productos. defecto.
accesos. instalaciones.
Protección de la Prevención ante
Integridad y
información otros sistemas Registro de
actualización del
almacenada y de información actividad.
sistema.
en tránsito. interconectados.
Mejora continua
Incidentes de Continuidad de
del proceso de
seguridad. la actividad.
seguridad
14. Artículo 14. Gestión de personal
– 14.4) Para corregir, o exigir Organizadores:
responsabilidades en su caso, cada
usuario que acceda a la información
del sistema debe estar identificado de
forma única, de modo que se sepa,
en todo momento, quién recibe
derechos de acceso, de qué tipo son
éstos, y quién ha realizado
determinada actividad
15. • Artículo 16. Autorización y control Organizadores:
de los accesos.
– El acceso al sistema de información
deberá ser controlado y limitado a
los usuarios, procesos, dispositivos y
otros sistemas de información,
debidamente autorizados,
restringiendo el acceso a las
funciones permitidas.
16. Art 21. Protección de información
almacenada y en tránsito.
Organizadores:
– 21.2. Forman parte de la seguridad
los procedimientos que aseguren la
recuperación y conservación a largo
plazo de los documentos electrónicos
producidos por las Administraciones
públicas en el ámbito de sus
competencias.
17. Artículo 23. Registro de actividad.
– Con la finalidad exclusiva de lograr el cumplimiento
del objeto del presente real decreto, con plenas Organizadores:
garantías del derecho al honor, a la intimidad
personal y familiar y a la propia imagen de los
afectados, y de acuerdo con la normativa sobre
protección de datos personales, de función pública o
laboral, y demás disposiciones que resulten de
aplicación, se registrarán las actividades de los
usuarios, reteniendo la información necesaria para
monitorizar, analizar, investigar y documentar
actividades indebidas o no autorizadas, permitiendo
identificar en cada momento a la persona que actúa.
18. Categorización de Sistemas
• Equilibrio entre la información que maneja y el Organizadores:
esfuerzo de seguridad en función de sus riesgos.
• Determinar dimensiones de seguridad
relevantes y nivel
• Disponibilidad [D], Autenticidad [A], Integridad [I],
Confidencialidad [C] y Trazabilidad [T].
• Categorías Sistemas de Información
– BASICA, MÉDIA o ALTA
• Implantar medidas de seguridad para la
categoría del sistema (ver tabla).
19. MEDIDAS DE
Dimensiones
SEGURIDAD
Afectadas B M A
org Marco organizativo
categoría aplica = = org.1 Política de seguridad
categoría aplica = = org.2 Normativa de seguridad
categoría aplica = = org.3 Procedimientos de seguridad
categoría aplica = = org.4 Proceso de autorización
Organizadores:
op Marco operacional
op.pl Planificación
categoría n.a. + ++ op.pl.1 Análisis de riesgos
categoría aplica = = op.pl.2 Arquitectura de seguridad
categoría aplica = = op.pl.3 Adquisición de nuevos componentes
D n.a. aplica = op.pl.4 Dimensionamiento / Gestión de capacidades
categoría n.a. n.a. aplica op.pl.5 Componentes certificados
op.acc Control de acceso
AT aplica = = op.acc.1 Identificación
ICAT aplica = = op.acc.2 Requisitos de acceso
ICAT n.a. aplica = op.acc.3 Segregación de funciones y tareas
ICAT aplica = = op.acc.4 Proceso de gestión de derechos de acceso
ICAT aplica + ++ op.acc.5 Mecanismo de autenticación
ICAT aplica + ++ op.acc.6 Acceso local (local logon)
ICAT aplica + = op.acc.7 Acceso remoto (remote login)
op.exp Explotación
categoría aplica = = op.exp.1 Inventario de activos
categoría aplica = = op.exp.2 Configuración de seguridad
categoría n.a. aplica = op.exp.3 Gestión de la configuración
categoría aplica = = op.exp.4 Mantenimiento
categoría n.a. aplica = op.exp.5 Gestión de cambios
categoría aplica = = op.exp.6 Protección frente a código dañino
20. categoría n.a. aplica = op.exp.7 Gestión de incidencias
T n.a. n.a. aplica op.exp.8 Registro de la actividad de los usuarios
categoría n.a. aplica = op.exp.9 Registro de la gestión de incidencias
T n.a. n.a. aplica op.exp.10 Protección de los registros de actividad
categoría aplica = + op.exp.11 Protección de claves criptográficas
op.ext Servicios externos
Organizadores:
categoría n.a. aplica = op.ext.1 Contratación y acuerdos de nivel de servicio
categoría n.a. aplica = op.ext.2 Gestión diaria
D n.a. n.a. aplica op.ext.9 Medios alternativos
op.cont Continuidad del servicio
D n.a. aplica = op.cont.1 Análisis de impacto
D n.a. n.a. aplica op.cont.2 Plan de continuidad
D n.a. n.a. aplica op.cont.3 Pruebas periódicas
op.mon Monitorización del sistema
categoría n.a. n.a. aplica op.mon.1 Detección de intrusión
categoría n.a. n.a. aplica op.mon.2 Sistema de métricas
mp Medidas de protección
mp.if Protección de las instalaciones e infraestructuras
categoría aplica = = mp.if.1 Áreas separadas y con control de acceso
categoría aplica = = mp.if.2 Identificación de las personas
categoría aplica = = mp.if.3 Acondicionamiento de los locales
D aplica + = mp.if.4 Energía eléctrica
D aplica = = mp.if.5 Protección frente a incendios
D n.a. aplica = mp.if.6 Protección frente a inundaciones
categoría aplica = = mp.if.7 Registro de entrada y salida de equipamiento
D n.a. n.a. aplica mp.if.9 Instalaciones alternativas
mp.per Gestión del personal
categoría n.a. aplica = mp.per.1 Caracterización del puesto de trabajo
categoría aplica = = mp.per.2 Deberes y obligaciones
21. categoría aplica = = mp.per.3 Concienciación
categoría aplica = = mp.per.4 Formación
D n.a. n.a. aplica mp.per.9 Personal alternativo
mp.eq Protección de los equipos
categoría aplica + = mp.eq.1 Puesto de trabajo despejado
A n.a. aplica + mp.eq.2 Bloqueo de puesto de trabajo
Organizadores:
categoría aplica = + mp.eq.3 Protección de equipos portátiles
D n.a. aplica = mp.eq.9 Medios alternativos
mp.com Protección de las comunicaciones
categoría aplica = + mp.com.1 Perímetro seguro
C n.a. aplica + mp.com.2 Protección de la confidencialidad
IA aplica + ++ mp.com.3 Protección de la autenticidad y de la integridad
categoría n.a. n.a. aplica mp.com.4 Segregación de redes
D n.a. n.a. aplica mp.com.9 Medios alternativos
mp.si Protección de los soportes de información
C aplica = = mp.si.1 Etiquetado
IC n.a. aplica + mp.si.2 Criptografía
categoría aplica = = mp.si.3 Custodia
categoría aplica = = mp.si.4 Transporte
C n.a. aplica = mp.si.5 Borrado y destrucción
mp.sw Protección de las aplicaciones informáticas
categoría n.a. aplica = mp.sw.1 Desarrollo
categoría aplica + ++ mp.sw.2 Aceptación y puesta en servicio
mp.info Protección de la información
categoría aplica = = mp.info.1 Datos de carácter personal
C aplica + = mp.info.2 Calificación de la información
C n.a. n.a. aplica mp.info.3 Cifrado
IA aplica + ++ mp.info.4 Firma electrónica
T n.a. n.a. aplica mp.info.5 Sellos de tiempo
C aplica = = mp.info.6 Limpieza de documentos
D n.a. aplica = mp.info.9 Copias de seguridad (backup)
mp.s Protección de los servicios
categoría aplica = = mp.s.1 Protección del correo electrónico
categoría aplica = = mp.s.2 Protección de servicios y aplicaciones web
D n.a. aplica + mp.s.8 Protección frente a la denegación de servicio
D n.a. n.a. aplica mp.s.9 Medios alternativos
23. Control y auditoría de acceso
• Mediante certificados digitales Organizadores:
– Emitidos por un Prestador de Servicios de
Certificación o por la propia organización
• Mediante tarjetas inteligentes o RFID
– Tarjetas de contacto y de proximidad
• Mediante huella dactilar u otros sistemas de
reconocimiento biométrico
• Integrado con la infraestructura de seguridad
de la organización (Active Directory, LDAP,
BBDD, etc.)
• Independiente de los dispositivos empleados y
100% compatible con el DNI electrónico.
• Soporta acceso Web, Citrix/TS, VPN y VDI.
24. Plataforma de Validación de
certificados
Organizadores:
• Servidor central para la validación
del estado de certificados digitales
• Mejora el rendimiento y fiabilidad de
las aplicaciones de firma electrónica.
– Multi-PSC. DNIe compatible.
– Integración con aplicaciones Microsoft
(Office, Exchange, IIS, SharePoint, etc.)
– Funciones avanzadas
• Listas negras/blancas, caché inteligente,
descarga de CRLs
– Alta disponibilidad
– Auditoría y alertas configurables
– Integrado con @firma. Alto rendimiento.
25. Motor de firma digital integral
• Servidor de firma digital
Organizadores:
• Único motor de firma realizado Íntegramente
en plataforma .NET
• Arquitectura SOA
• Integrado con SharePoint Server
– Firma de documentos, formularios y portafirmas
– Integración con flujos de trabajo.
• Múltiples formatos
– CMS/PKCS7, CAdES, XMLDSig, XAdES, PDF,
PAdES,…
• Alto rendimiento y coste asequible
• Firma en cliente o en servidor.
• Soporte de la mayoría de smart cards y HSM.
26. Pero no te fíes de Organizadores:
nosotros…
Es mejor que lo pruebes
por ti mismo…
27. • Tienes en tu bolsa:
– Una tarjeta criptográfica TC-FNMT con su PIN y PUK
iniciales
Organizadores:
– Una dirección web y un código (en el anverso de la
tarjeta) para descargar todo el software necesario.
Incluye una licencia completa de nuestro software de
logon IDOne.
• Te invitamos a que lo pruebes y nos comentes tu
opinión
• Y además te regalamos un micro-lector de
tarjetas si nos entregas la encuesta rellena.