RÚBRICA DE EVALUACIÓN PARA EDUCACIÓN BÁSICA COMUNITARIA_INICIAL.pdf
Esquema Nacional de Seguridad, actualización y temas pendientes
1. Ciberseguridad (13):
Esquema Nacional de Seguridad,
actualización y temas pendientes
24 de mayo de 2018
Miguel A. Amutio Gómez
Secretaría General de Administración Digital
Ministerio de Hacienda y Función Pública
2. El Esquema Nacional de Seguridad
Estado de situación, ¿dónde estamos?
Conformidad con el ENS
3. Ley 40/2015
La seguridad, principio de actuación
Artículo 3. Principios generales
2. Las Administraciones Públicas se relacionarán entre sí y con sus órganos,
organismos públicos y entidades vinculados o dependientes a través de
medios electrónicos, que aseguren la interoperabilidad y
seguridad de los sistemas y soluciones adoptadas por cada una de ellas,
garantizarán la protección de los datos de carácter personal,
y facilitarán preferentemente la prestación conjunta de servicios a los
interesados.
Artículo 156. Esquema Nacional de Interoperabilidad y
Esquema Nacional de Seguridad
2. El Esquema Nacional de Seguridad tiene por objeto establecer la
política de seguridad en la utilización de medios electrónicos en el ámbito
de la presente Ley, y está constituido por los principios básicos y
requisitos mínimos que garanticen adecuadamente la seguridad de la
información tratada.
8. INSTRUCCIÓN TÉCNICA DE SEGURIDAD
DE CONFORMIDAD CON EL ESQUEMA
NACIONAL DE SEGURIDAD
ÍNDICE
I. Objeto.
II. Ámbito de aplicación.
III. Procedimientos de determinación de la conformidad.
IV. Declaración de Conformidad con el Esquema Nacional de
Seguridad de sistemas de categoría BÁSICA y su publicidad.
V. Certificación de Conformidad con el Esquema Nacional de
Seguridad de sistemas de categoría MEDIA o ALTA y su
publicidad.
VI. Requisitos de las entidades certificadoras.
VII. Soluciones y servicios prestados por el sector privado.
Anexo I. Contenido de la Declaración de Conformidad con el ENS.
Anexo II. Distintivo de Declaración de Conformidad con el ENS.
Anexo III. Contenido de la Certificación de Conformidad con el ENS
Anexo IV. Distintivo de Certificación de Conformidad con el ENS.
9. INSTRUCCIÓN TÉCNICA DE
SEGURIDAD DE AUDITORÍA DE
LA SEGURIDAD DE LOS
SISTEMAS DE INFORMACIÓN
ÍNDICE
I. Objeto.
II. Ámbito de aplicación.
III. Propósito de la Auditoría de la Seguridad,
obligatoriedad y normativa reguladora.
IV. Definición del alcance y objetivo de la
Auditoría de la Seguridad.
V. Ejecución de la Auditoría de la Seguridad.
VI. El Informe de Auditoría.
VII. Entidades Auditoras del Sector Público.
VIII. Disposición adicional. Datos personales.
10. INSTRUCCIÓN TÉCNICA DE SEGURIDAD
SOBRE NOTIFICACIÓN DE INCIDENTES DE
SEGURIDAD.
ÍNDICE
I. Objeto.
II. Ámbito de aplicación.
III. Criterios de determinación del nivel de impacto.
IV. Notificación obligatoria de los incidentes con nivel de
impacto Alto, Muy alto y Crítico.
V. Evidencias a entregar en el caso de incidentes nivel
Alto, Muy alto y Crítico.
VI. Obligación de remisión de estadísticas de incidentes.
VII. Notificación de impactos recibidos.
VIII. Desarrollo de herramientas automatizadas para
facilitar las notificaciones.
IX. Régimen legal de las notificaciones y comunicación de
información.
X. Disposición adicional.
13. Evaluar el estado de la seguridad
También, la medición de la seguridad:
4.6.2 Sistema de métricas [op.mon.2]
La herramienta ‘INES’ facilita la
recogida y consolidación de
información para el Informe del
Estado de la Seguridad (RD 3/2010, art.
35 y línea de acción 2 de Estrategia de
Ciberseguridad Nacional).
21. 2
1
Incremento notable en la participación. Especialmente en el ámbito de
los organismos autonómicos.
Los indicadores se mantienen con respecto a 2016 (IC 64%) debido a que
se han incluido en la muestra datos organismos con niveles bajos de
madurez.
Las EELL son las entidades que necesitan realizar un mayor esfuerzo
para conseguir la adecuación con el ENS. Deben revisar la
categorización de los sistemas.
Los sistemas que más lejos están de cumplir con los requisitos mínimos
son los de categoría MEDIA.
Las auditorías de adecuación empiezan a realizarse pero hay muchos
organismos para los que no se han realizado auditorías.
INES 2018 – Resultados generales
Principales conclusiones
22. 2
2
La certificación del cumplimiento del ENS sigue siendo, en términos
generales, un aspecto evidente a mejorar. Aunque hay algunos
organismos que han declarado tener una certificación, estos todavía
constituyen una minoría.
En general, las medidas sobre las que se recomienda emplear mayores
recursos para mejorar los niveles generales de adecuación, son las
asociadas a:
La concienciación y formación.
El análisis de riesgos.
La continuidad de la operación de los sistemas.
Utilización de herramientas de cifrado.
INES 2018 – Resultados generales
Principales conclusiones
25. Solicitud como entidad de certificación de producto, proceso o servicio, según
norma UNE EN ISO/IEC 17065.
Solicitud: http://www.enac.es/web/enac/descarga-de-solicitudes
Requisitos para entidades de
certificación
30. 11. Necesidad de revisar las medidas de seguridad que se
aplican a los tratamientos a la luz de los resultados del
análisis de riesgo de los mismos.
…
En el caso de las AAPP, la aplicación de las medidas de
seguridad estará marcada por los criterios establecidos
en el Esquema Nacional de Seguridad.
31. El RD 3/2010, ITS, Guías CCN-STIC (Serie 800), seguimiento,
herramientas, servicios…
Pero sobre todo:
Esfuerzo colectivo del Sector Público, coordinado por
MINHAFP-SGAD y CCNI-CN.
+ Industria sector seguridad TIC.
Convencimiento común: gestión continuada de la
seguridad, con un tratamiento homogéneo y adaptado al
quehacer del Sector Público.
Esfuerzo colectivo