Upload
candelaria-rita
View
5
Download
2
Embed Size (px)
Citation preview
1
www.seguridadinformacion.com
LAS PALMAS DE GRAN CANARIAAntonio Mª Manrique, 2 – 1º D CP: 35011
SANTA CRUZ DE TENERIFEÁngel Guimerá, 5 – 2ª Planta CP: 38003
ASTURIASIldefonso Sánchez del Río, 10 - 1º A-B
CP:33001 • OVIEDO Teléfono: 985207559
MADRIDRibera del Loira, 46 Edificio 2 – Bajo
CP:28042
Teléfono: 915030697
Esquema Nacional De Seguridad
(ENS)
BARCELONASicilia, 141 - Bajos
CP:08013
Teléfono: 931850585
2
CREACIÓN DEL ESQUEMA NACIONAL DE SEGURIDAD (ENS)
Su creación se contempla en la LEY 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos y se regula a través de Real Decreto del Gobierno de España 3/2010, de 8 de enero.
Es el marco, obligatorio para las administraciones públicas, para la protección de la información y su gestión a través de los medios electrónicos.
Tiene como objetivo crear la confianza necesaria en el uso de la administración electrónica por parte de los ciudadanos y permitir.
3
El ENS es un Sistema de Gestión de Seguridad de la Información, El ENS se desarrolla sobre las recomendaciones de la UE y los estándares internacionales en materia de seguridad de la información, especialmente la UNE/ISO 27001Start Up es la empresa líder en España en implantaciones de la norma UNE-ISO/IEC 27001.El ENS integra el cumplimiento de la normativa nacional sobre Administración Electrónica, Firma Digital, LOPD, Reutilización de la Información, DNI electrónico, normativa del régimen jurídico y el procedimiento administrativo común.
INTRODUCCIÓN
4
CUMPLIMIENTO DEL ENS
El Esquema Nacional de Seguridad (ENS), es de obligado cumplimiento para:
La Administración General del Estado
Las Administraciones de las Comunidades Autónomas
Las Entidades que integran la Administración Local
Las entidades de derecho público vinculadas o dependientes de las mismas.
Las Administraciones tienen un plazo de 48 meses desde la entrada en vigor del Real Decreto para cumplir el ENS
5
PROVEEDORES DE SERVICIOS
La prestación de servicios de seguridad de los sistemas de información debe estar diferenciada de la prestación específica de los servicios de información En la contratación de servicios relacionados con la gestión de la información se establecerá contractualmente con los proveedores los niveles y políticas de seguridad exigidosLos proveedores de servicios TI de las administraciones públicas deberán contar con una gestión y un nivel de madurez de seguridad idóneos.En la adquisición de productos y servicios de seguridad de la información se valorará aquellos que tengan certificados relevantes de gestión o de productos.Los servicios electrónicos o de sistemas de información que estén externalizados deberán cumplir lo establecido para el cumplimiento del ENS.
6
PRINCIPIOS BÁSICOS
Seguridad integral. La gestión de la seguridad debe ser un proceso integral. Gestión de riesgos. Un programa de seguridad debe responder a las necesidades de reducción de riesgos de la entidad. Prevención, reacción y recuperación. La utilización de estos tipos de medidas permitirá un enfoque integral de la seguridad.Líneas de defensa. El sistema debe contar con sucesivas capas de protección para que si ocurre un incidente, no sea capaz de desarrollar todo su potencial dañinoReevaluación periódica. El programa de seguridad debe ajustarse a los cambios que se vayan produciendo.Función diferenciada. Las funciones de responsable de la información, responsable del servicio y responsable de la seguridad deben estar separadas.
7
ELEMENTOS SUJETOS AL ENS
Todos los elementos técnicos, humanos, materiales y organizativas, relacionados con la Administración Electrónica, y en particular:
• Los servicios, trámites y demás relaciones que se presten a ciudadanos electrónicamente.
• Las comunicaciones electrónicas relativas a la transmisión, almacenamiento y recepción de datos.
• Las sedes y registros electrónicos.• Procedimientos que aseguren la conservación y
accesibilidad a largo plazo de los documentos electrónicos
• Toda información que, estando en un soporte físico haya sido causa o consecuencia de la información electrónica.
8
PROYECTO DE IMPLEMENTACIÓN
1. Planificar la implantaciónOrganizar el Comité de Seguridad Realizar plan de acciónRecopilar información
2. DesarrollarPolítica de SeguridadInventario de activosCategorización de sistemasAnálisis de riesgosDocumento de aplicabilidadNormativa de seguridad
3. Revisar y actualizarFormaciónPlanes de auditorías
9
TAREA 1 PLANIFICACIÓN
Asignar formalmente los cargos de Responsable de Seguridad, Responsable del Servicio y Responsable de la Información. Crear y definir el/los Comité/s de Seguridad, responsable de velar por el cumplimiento de la política de seguridad de la organización.Definir y aprobar formalmente la Política de Seguridad. Deberá ser aprobada por el titular responsable de la acción de gobiernoRecopilar los tipos y niveles de Información Administrativa a efectos de seguridad.
10
POLÍTICA DE SEGURIDAD
1. Aprobación y entrada en vigor2. Introducción3. Alcance4. Misión5. Marco normativo6. Organización de la seguridad7. Datos de carácter personal8. Gestión de riesgos9. Desarrollo de la política de seguridad de la
información10.Obligaciones del personal11.Terceras partes
11
TAREA 2 - DESARROLLO
Definir el conjunto de activos sujetos al ENS, identificando los sistemas existentes en la organización. Determinar la categoría del sistema o sistemas identificados.Determinar las medidas de seguridad del Anexo 1 que aplican a los sistemas según su nivel.Documentar la Declaración de Aplicabilidad.Llevar a cabo el Análisis de Riesgos.Definir la Normativa de Seguridad
detallando cómo y quién hace lasdistintas tareas.
12
CATEGORIZACIÓN DE SISTEMAS
Activos
SERVICIOS INFORMACIÓN SISTEMA
Criterios
Portal web
Gestión de Expedientes
Información web
Información de Expedientes
Confidencialidad Sin valorar
M B M M
Integridad B M B M M
Autenticidad B M B M M
Trazabilidad B M B M M
Disponibilidad M B M M M
13
ESQUEMA NACIONAL DE SEGURIDAD (ENS)
Medidas de protección
Marco operacional
Marco organizativ
o
CLASES DE MEDIDAS DE SEGURIDAD
14
Marco organizativo
ESQUEMA NACIONAL DE SEGURIDAD (ENS)
Política de seguridad
Normativa de seguridad
Procedimientos de seguridad
Procesos de autorización
Órganos de gestión
Auditorías de seguridad: Cumplimiento legal y cumplimiento técnico
MARCO ORGANIZATIVO
15
ESQUEMA NACIONAL DE SEGURIDAD (ENS)
Planificación: Análisis de riesgos, arquitecturas de seguridad, componentes, etc.
Control de accesos
Explotación: Inventario de activos, gestión de procesos, registros, sistemas de protección
Servicios externos
Continuidad del servicio
Monitorización del sistema
Acreditación de conocimientos en la vida laboral
Marco operacional
MARCO OPERACIONAL
16
ESQUEMA NACIONAL DE SEGURIDAD (ENS)
Medidas de protección
Protección de instalaciones e infraestructuras
Gestión del personal
Protección de equipos
Protección de las comunicaciones
Protección de soportes de información
Protección de aplicaciones
Protección de la información
Protección de los servicios
MEDIDAS DE PROTECCIÓN
17
CORRESPONDENCIA ENS-ISO 27001
ENS Requisito ISO 27001
11 Política de Seguridad 4.2.1.b)
12 Compromiso de la dirección 5.1.c) d)
13.113.2
Evaluación de riesgos4.2.1.c) d) e)
13.3 Gestión de riesgos 4.2.1.f) g)
27.1 Documento de Aplicabilidad 4.2.1.g)
14 - 15 Formación 5.2.2
34.1 Auditorías 4.2.3.e) - 6
26 Mejora continua 8.1
18
CORRESPONDENCIA ENS-ISO 27001
ENS Requisito ISO 27001
14.3 Uso aceptable de los activos A7.1.3
14.4 Gestión de privilegios de los usuarios A10.10.1 A11.2
15.3 Controlar los riesgos de terceros A6.2
16 Gestión de altas y bajas de usuarios A11.2.1
17 Control de acceso A9.1
25 Copias de seguridad A10.5.1 - 14.1
24.1 Política de prevención de malware A10.4
24.2 Gestión de incidentes A13.1 - A13.2
27.2 LOPD A15.1.4
33.2 Firma electrónica A12.3 A15.1.6
19
IMPLEMENTACIÓN
Elaboración del marco organizativo de la seguridad:
• Documentos de procedimientos de seguridad.• Documentos de autorización.• Documentos de cumplimiento técnico.
Arquitectura de seguridad.Sistemas de registro, control y resolución de incidencias.Plan de continuidad de servicio.Plan de pruebas y monitorización del sistema.Medidas de protección.Actualización del sistema.Plan de auditoría bienal.
20
Formar a todo el personal sobre la política, normativa y procedimientos de seguridad.Evaluar la eficacia de las medidas adoptadas.Revisar el sistema de gestión de la seguridad y mantenerlo actualizado. Realización de una Auditoría bienal de Seguridad que revise la política de seguridad y su cumplimiento, así como el conjunto de riesgos, normativas, procedimientos y controles establecidos, realizada bajo estándares normalizados (p.ej ISO/IEC 27007).
TAREA 3 – REVISAR Y MANTENER
21
Gracias por su atención
Óscar Blanco [email protected]
START-UP S.L.www.seguridadinformacion.com - [email protected]