8. Estructura de la norma
• Se divide en 10 capítulos más una serie de
disposiciones.
• Presenta una serie de anexos muy
importantes a título técnico, donde se
establecen:
– La categoría de los sistemas.
– Las medidas de seguridad.
– La auditoría de seguridad.
– Glosario de términos.
9. Objetivos
Crear las condiciones necesarias de confianza en el
uso de los medios electrónicos
Establecer la política de seguridad
Introducir los elementos comunes que han de guiar la
actuación de las Administraciones públicas en materia
de seguridad de las tecnologías de la información.
Aportar un lenguaje común
Aportar un tratamiento homogéneo de la seguridad
Facilitar un tratamiento continuado de la seguridad.
10. Elementos del Esquema Nacional de
Seguridad
Los principios básicos a considerar en las decisiones en
materia de seguridad.
Los requisitos mínimos que permitan una protección
adecuada de la información.
El mecanismo para lograr el cumplimiento de los principios
básicos y de los requisitos mínimos mediante la adopción de
medidas de seguridad proporcionadas a la naturaleza de la
información y los servicios a proteger.
Las comunicaciones electrónicas.
La auditoría de la seguridad.
La respuesta ante incidentes de seguridad.
La certificación de la seguridad.
La conformidad.
11. Requisitos mínimos
• Los requisitos mínimos estimados por el
ENS son:
– a) Organización e implantación del proceso de seguridad.
– b) Análisis y gestión de los riesgos.
– c) Gestión de personal.
– d) Profesionalidad.
– e) Autorización y control de los accesos.
– f) Protección de las instalaciones.
– g) Adquisición de productos.
– h) Seguridad por defecto.
– i) Integridad y actualización del sistema.
– j) Protección de la información almacenada y en tránsito.
– k) Prevención ante otros sistemas de información interconectados.
– l) Registro de actividad.
– m) Incidentes de seguridad.
– n) Continuidad de la actividad.
– o) Mejora continua del proceso de seguridad.
12. ¿Quién está supeditado?
• Su ámbito de aplicación lo determina el
artículo 2 de la Ley 11/2007.
– A las Administraciones Públicas, entendiendo
por tales la Administración General del Estado,
las Administraciones de las Comunidades
Autónomas y las Entidades que integran la
Administración Local, así como las entidades
de derecho público vinculadas o dependientes
de las mismas.
– Quedan exceptuadas las Administraciones
Públicas en las actividades que desarrollen en
régimen de derecho privado.
13. Aplicación de la política de
seguridad
• Todos los órganos superiores de las Administraciones
públicas deberán disponer formalmente de su política
de seguridad.
• Deberá ser aprobada por el titular del órgano superior
correspondiente.
• Se considerarán órganos superiores, los responsables
directos de la ejecución de la acción del gobierno,
central, autonómico o local, en un sector de actividad
específico
• Los municipios podrán disponer de una política de
seguridad común elaborada por la Diputación, Cabildo,
Consejo Insular u órgano unipersonal.
14. Adecuación a la Norma
• La disposición transitoria estipula los tiempos para la adecuación de la
normativa.
• Los sistemas existentes a la entrada en vigor del presente real
decreto se adecuarán al Esquema Nacional de Seguridad de forma
que permitan el cumplimiento de lo establecido en la disposición
final tercera de la Ley 11/2007, de 22 de junio.
• Los nuevos sistemas aplicarán lo establecido en el presente real
decreto desde su concepción.
• Si a los doce meses de la entrada en vigor del Esquema Nacional de
Seguridad hubiera circunstancias que impidan la plena aplicación de lo
exigido en el mismo, se dispondrá de un plan de adecuación que
marque los plazos de ejecución los cuales, en ningún caso, serán
superiores a 48 meses desde la entrada en vigor.
• La entrada en vigor se establece al día siguiente al de su publicación
en el Boletín Oficial del Estado.
• GUIAS
• https://www.ccn-cert.cni.es/publico/seriesCCN-STIC/series/800-Es
quema_Nacional_de_Seguridad/805-Politica_de_seguridad_del_ENS/80
5-ENS_politica-sep11.pdf
15. Implementación de seguridad
• Los requisitos mínimos se exigirán en proporción
a los riesgos identificados en cada sistema.
• La seguridad deberá comprometer a todos los
miembros de la organización.
• Se deberán identificar los responsables y
deberá ser conocida por todos.
• Cada organización que desarrolle e implante
sistemas para el tratamiento de la información y
las comunicaciones deberá realizar su propia
gestión de riesgos.
16. Adecuación al sistema
La adecuación ordenada al Esquema Nacional de
Seguridad requiere el tratamiento de las siguientes
cuestiones:
– Preparar y aprobar la política de seguridad,
incluyendo la definición de roles y la asignación de
responsabilidades.
• CCN-STIC 805 Política de seguridad de la inf
ormación
– Categorizar los sistemas atendiendo a la
valoración de la información manejada y de los
servicios prestados
• CCN-STIC 803 Valoración de sistemas en el
Esquema Nacional de Seguridad
17.
18. Adecuación
Preparar y aprobar la Declaración de
aplicabilidad de las medidas del Anexo II del ENS.
– CCN-STIC 804 Medidas e implantación del
Esquema Nacional de Seguridad
Elaborar un plan de adecuación para la mejora
de la seguridad, sobre la base de las
insuficiencias detectadas, incluyendo plazos
estimados de ejecución.
– CCN-STIC 806 Plan de adecuación del Esq
uema Nacional de Seguridad
19. Implantación
Implantar operar y monitorizar las
medidas de seguridad a través de la
gestión continuada de la seguridad
correspondiente
– https://www.ccn-cert.cni.es/inde
x.php?option=com_wrapper&view=wr
apper&Itemid=211&lang=es
20. Auditoría
Auditar la seguridad
– CCN-STIC 802 Auditoría del Esquema
Nacional de Seguridad
– CCN-STIC 808 Verificación del
cumplimiento de las medidas en el
Esquema Nacional de Seguridad
21. Informar
Informar sobre el estado de la
seguridad
– CCN-STIC 815 Métricas e
Indicadores en el Esquema Nacional
de Seguridad
– CCN-STIC 824 Informe del Estado de
Seguridad
22.
23. La seguridad por defecto
• Los sistemas deberán diseñarse y configurarse para
garantizar la seguridad por defecto.
– Mínima funcionalidad en base a objetivos.
– Las funciones de operación, administración y registro de
actividad serán las mínimas necesarias, siendo sólo
accesibles por las personas, o desde equipos, autorizados.
– En un sistema de explotación se eliminarán o desactivarán,
mediante el control de la configuración, las funciones que
no sean de interés, innecesarias o inadecuadas.
– El uso ordinario del sistema ha de ser sencillo y seguro, de
forma que una utilización insegura requiera de un acto
consciente por parte del usuario.
24. Seguridad en evolución
• Se deberá conocer en todo momento el
estado de seguridad de los sistemas.
• En este sentido es especialmente crítico la
relación a las especificaciones de los
fabricantes, en lo que a las
vulnerabilidades y a las actualizaciones les
afecten.
• Se reaccionará con diligencia para
gestionar el riesgo a la vista del estado de
seguridad de los mismos.
25. Escenario de protección de la
información
• Se deberá proteger la información, tanto
en los escenarios:
– Datos almacenados.
– Datos en tránsito.
• Se deberán extremar las medidas en
aquellas circunstancias en las que la
información viaje a través de redes
públicas.
27. Fundamentos
• Los sistemas serán categorizados en base
a una serie de criterios:
– Impacto que tendría sobre la organización un
incidente de seguridad.
– Repercusión de la organización para:
• Alcanzar sus objetivos.
• Proteger los activos a su cargo.
• Cumplir sus obligaciones diarias de servicio.
• Respetar la legalidad vigente.
• Respetar los derechos de las personas.
28. Dimensiones de seguridad
• Las dimensiones determinan el impacto de seguridad de
una organización. Quedan identificadas por sus iniciales:
– Disponibilidad [D].
– Autenticidad [A].
– Integridad [I].
– Confidencialidad [C].
– Trazabilidad [T].
• La dimensión de la seguridad se circunscribe en diferentes
niveles:
• Bajo.
• Medio.
• Alto.
• Un servicio puede verse afectado por una o varias
dimensiones de la seguridad.
29. Nivel Bajo
• Se utilizará cuando las consecuencias de un incidente
de seguridad causen un perjuicio limitado.
– La reducción de forma apreciable de la capacidad de la
organización para atender eficazmente con sus obligaciones
corrientes, aunque estas sigan desempeñándose.
– El sufrimiento de un daño menor por los activos de la
organización.
– El incumplimiento formal de alguna ley o regulación, que
tenga carácter de subsanable.
– Causar un perjuicio menor a algún individuo, que aún
siendo molesto pueda ser fácilmente reparable.
– Otros de naturaleza análoga.
30. Nivel Medio
• Se utilizará cuando las consecuencias de un incidente
de seguridad causen un perjuicio grave.
– La reducción significativa la capacidad de la organización
para atender eficazmente a sus obligaciones
fundamentales, aunque estas sigan desempeñándose.
– El sufrimiento de un daño significativo por los activos de la
organización.
– El incumplimiento material de alguna ley o regulación, o el
incumplimiento formal que no tenga carácter de
subsanable.
– Causar un perjuicio significativo a algún individuo, de difícil
reparación.
– Otros de naturaleza análoga.
31. Nivel Alto
• Se utilizará cuando las consecuencias de un incidente
de seguridad causen un perjuicio muy grave.
– La anulación de la capacidad de la organización para
atender a alguna de sus obligaciones fundamentales y que
éstas sigan desempeñándose.
– El sufrimiento de un daño muy grave, e incluso irreparable,
por los activos de la organización.
– El incumplimiento grave de alguna ley o regulación.
– Causar un perjuicio grave a algún individuo, de difícil o
imposible reparación.
– Otros de naturaleza análoga.
32. Determinación de
categorías
• Un sistema de información será de categoría ALTA
si alguna de sus dimensiones de seguridad
alcanza el nivel ALTO.
• Un sistema de información será de categoría
MEDIA si alguna de sus dimensiones de seguridad
alcanza el nivel MEDIO, y ninguna alcanza un
nivel superior.
• Un sistema de información será de categoría
BÁSICA si alguna de sus dimensiones de
seguridad alcanza el nivel BAJO, y ninguna
alcanza un nivel superior.
33. Nivel Alto
• Se utilizará cuando las consecuencias de un incidente
de seguridad causen un perjuicio muy grave.
– La anulación de la capacidad de la organización para
atender a alguna de sus obligaciones fundamentales y que
éstas sigan desempeñándose.
– El sufrimiento de un daño muy grave, e incluso irreparable,
por los activos de la organización.
– El incumplimiento grave de alguna ley o regulación.
– Causar un perjuicio grave a algún individuo, de difícil o
imposible reparación.
– Otros de naturaleza análoga.
34. LEY ORGÁNICA DE PROTECCIÓN DE DATOS
DE CARÁCTER PERSONAL Y ESQUEMA
NACIONAL DE SEGURIDAD
¿Se pueden entender equivalentes los
niveles LOPD con los niveles
ENS?
– Puesto que su determinación obedece
a procedimientos distintos, cada
sistema/servicio/tratamiento debe
cualificarse independientemente: para
su conformidad con la normativa de
Protección de Datos de Carácter
Personal y para con lo dispuesto en el
ENS.
36. Agrupamiento de medidas
• En función de las naturalezas de medidas,
estas pueden diferenciarse en:
– Marco organizativo [org].
• Constituido por el conjunto de medidas relacionadas
con la organización global de la seguridad.
– Marco operacional [op].
• Formado por las medidas a tomar para proteger la
operación del sistema como conjunto integral de
componentes para un fin.
– Medidas de protección [mp].
• Se centran en proteger activos concretos, según su
naturaleza y la calidad exigida por el nivel de
seguridad de las dimensiones afectadas.
37. Aplicación de medidas
• Las organizaciones deberán realizar un análisis de
activos y riesgos.
• La aplicación de medidas se aplicarán en base a estos
análisis.
• A los efectos de facilitar el cumplimiento de lo
dispuesto en el anexo, cuando en un sistema de
información existan sistemas que requieran la
aplicación de un nivel de medidas de seguridad
diferente al del sistema principal, podrán segregarse
de este último.
• La relación de medidas seleccionadas se formalizará
en un documento denominado Declaración de
Aplicabilidad
41. Principios de auditoría
• Los sistemas de seguridad deberán ser auditados en base a
estos principios:
– Que la política de seguridad define los roles y funciones de los
responsables de la información, los servicios, los activos y la
seguridad del sistema de información.
– Que existen procedimientos para resolución de conflictos entre
dichos responsables.
– Que se han designado personas para dichos roles a la luz del
principio de «separación de funciones».
– Que se ha realizado un análisis de riesgos, con revisión y
aprobación anual.
– Que se cumplen las recomendaciones de protección descritas
en el anexo II, sobre Medidas de Seguridad, en función de las
condiciones de aplicación en cada caso.
– Que existe un sistema de gestión de la seguridad de la
información, documentado y con un proceso regular de
aprobación por la dirección.
42. ¿Cuándo realizarla?
• Según lo estipula el artículo 34 deberá
realizarse con carácter ordinario cada dos
años.
• Con carácter extraordinaria cuando se
produzcan modificaciones sustanciales en
el sistema de la información.
• Esta última iniciará de nuevo el cómputo
del cálculo bienal de la auditoría ordinaria.
43. Niveles de auditoría
• Los sistemas de categoría básica no
necesitará realizar una auditoría basta con
una autoevaluación. No obstante esta
deberá estar documentado.
• Las categorías de tipo medio y alto se
realizarán según lo dispuesto en el artículo
34.
• Deberán generar un informe de auditoría.
44. Informe de auditoría
• Deberá, incluir los criterios metodológicos de
auditoría utilizados, el alcance y el objetivo de la
auditoría.
• Dictaminará sobre el grado de cumplimiento del
presente real decreto, identificará sus deficiencias
y sugerirá las posibles medidas correctoras o
complementarias que sean necesarias.
• Los informes de auditoría serán analizados por el
responsable de seguridad competente, que
presentará sus conclusiones al responsable del
sistema para que adopte las medidas correctoras
adecuadas.
45. Art. 18 Adquisición productos
seguridad
• En la adquisición de productos de seguridad de
las tecnologías de la información y
comunicaciones que vayan a ser utilizados por las
Administraciones públicas se valorarán
positivamente aquellos que tengan certificada la
funcionalidad de seguridad relacionada con el
objeto de su adquisición.
• La certificación deberá estar de acuerdo con las
normas y estándares de mayor reconocimiento
internacional, en el ámbito de la seguridad
funcional.
46. OC ENECSTI
• Es el Organismo de Certificación del Esquema Nacional de
Evaluación y Certificación de Seguridad de las Tecnologías
de la Información.
• Constituido al amparo de lo dispuesto en el artículo 2.2.c)
del Real Decreto 421/2004, de 12 de marzo, y regulado por
la orden PRE/2740/2007, de 19 de septiembre.
• Dentro de sus competencias, se encuentran determinar el
criterio a cumplir en función del uso previsto del producto a
que se refiera, en relación con el nivel de evaluación, otras
certificaciones de seguridad adicionales que se requieran
normativamente, así como, excepcionalmente, en los casos
en que no existan productos certificados.
• http://www.oc.ccn.cni.es
47.
48. Common Criteria
• Reconocida mundialmente, presenta un acuerdo
de colaboración con la OC ENECSTI.
• Evalúa productos en base a su seguridad
quedando establecidos por niveles denominador
EAL (Evaluation Assurance Level).
• Se dividen en 7 niveles, siendo los 4 primeros los
destinados principalmente a productos de tipo
comercial.
• WEB
• http://www.commoncriteriaportal.org/