El Esquema Nacional de

Seguridad
22 abril 2010

Miguel A. Amutio
Ministerio de la Presidencia

1
Ley 11/2007, art. 42 > Real Decreto 3/2010, de 8 de enero
mbito de aplicacin
Objetivos del ENS
Elementos principales
Poltica de seguridad
Principios bsicos y requisitos mnimos
Categorizacin de los sistemas y Medidas de seguridad
Auditora de la seguridad
Respuesta a incidentes de seguridad
Certificacin de productos de seguridad
Ms cuestiones
Adecuacin al Esquema Nacional de Seguridad
Instrumentos para el ENS.
Conclusiones
2
 Ley 11/2007, art. 42 RD 3/2010

Ley 11/2007, art. 42: El Esquema Nacional de Seguridad

tiene por objeto establecer la poltica de seguridad en la utilizacin
de medios electrnicos,
y est constituido por principios bsicos y requisitos mnimos
que permitan una proteccin adecuada de la informacin.
Regulado en el Real Decreto 3/2010, de 8 de enero.
Resultado de un trabajo
coordinado por el Ministerio de la
Presidencia, con el apoyo del
Centro Criptolgico Nacional
(CCN) y la participacin de todas
las AA.PP.
+
Opinin de:
La CRUE
Industria del sector TIC
3 3
 Contexto
OCDE
Directrices de seguridad de la informacin y de las redes: ... Evaluacin
del riesgo, Diseo y realizacin de la seguridad, Gestin de la seguridad,
Reevaluacin.
Implementation Plan for the OECD Guidelines: Government should
develop policies that reflect best practices in security management and
risk assessment...to create a coherent system of security.
UNIN EUROPEA
COM(2001) 298 final Seguridad de las redes y la informacin...: ...
establecimiento de "polticas de seguridad de la organizacin"
i2010 [COM(2006) 173 final] nfasis en eIDM y firma-e

ENISA
Identificacin de buenas prcticas y tendencias tecnolgicas y
emergentes. Seguimiento de mtodos de anlisis y gestin de riesgos.
Apoyo a las actividades de eIDM (i2010).
Buenas prcticas de CERTs.

NORMALIZACIN nacional e internacional en seguridad de TI.

ACTUACIONES EN OTROS PASES: EE.UU., Reino Unido, Alemania,

Francia
4
 mbito de aplicacin

El mbito de aplicacin del Esquema Nacional de

Seguridad (ENS) es el establecido en el
artculo 2 de la Ley 11/2007, de 22 de junio,
de acceso electrnico de los ciudadanos a los Servicios
Pblicos. (1)

(1)
A la Administracin General del Estado, Administraciones de las Comunidades
Autnomas y las Entidades que integran la Administracin Local, as como las
entidades de derecho pblico vinculadas o dependientes de las mismas
A los ciudadanos en sus relaciones con las Administraciones Pblicas.
A las relaciones entre las distintas Administraciones Pblicas.

Estn excluidos del mbito de aplicacin del ENS los sistemas

que tratan informacin clasificada.

5
 mbito de aplicacin

Y las Universidades pblicas?

Las Universidades pblicas son administracin
pblica.
Son organismos autnomos con vinculacin (no
dependencia) con las Comunidades Autnomas.

Colaboracin MPR CRUE por medio del Grupo de

trabajo de Administracin electrnica de la sectorial
CRUE-TIC.

6
 Objetivos del ENS

Crear las condiciones necesarias de confianza

en el uso de los medios electrnicos, a travs de medidas
para garantizar la seguridad, que permita a los ciudadanos y
a las Administraciones pblicas, el ejercicio de derechos y el
cumplimiento de deberes a travs de estos medios.
Introducir los elementos comunes que han de
guiar la actuacin de las Administraciones pblicas en
materia de seguridad de las tecnologas de la informacin.
Aportar un lenguaje comn para facilitar la
interaccin de las Administraciones pblicas, as como la
comunicacin de los requisitos de seguridad de la
informacin a la industria.

7
 Elementos principales

Los Principios bsicos a ser tenidos en cuenta en las

decisiones en materia de seguridad.
Los Requisitos mnimos que permitan una proteccin
adecuada de la informacin.
La Categorizacin de los sistemas para la adopcin
de medidas de seguridad proporcionadas a la naturaleza de
la informacin y de los servicios a proteger y a los riesgos a los que
estn expuestos.
La auditora de la seguridad que verifique el
cumplimiento del Esquema Nacional de Seguridad.
La respuesta a incidentes de seguridad.
La certificacin, como aspecto a considerar al adquirir los
productos de seguridad.
8
 Poltica de seguridad

Todos los rganos superiores de las AA.PP.

debern disponer de su poltica de
seguridad en base a los principios
bsicos y aplicando los requisitos
mnimos para una proteccin adecuada
de la informacin.

9
 Poltica de seguridad
Para dar cumplimiento de los requisitos mnimos, se seleccionarn
las medidas de seguridad proporcionadas, atendiendo a:
- La categora del sistema. Bsica, Media y Alta, segn valoracin de
dimensiones de seguridad (Disponibilidad, Autenticidad, Integridad, Confidencialidad,
Trazabilidad).
- Lo dispuesto en la Ley Orgnica 15/1999 , y normativa de desarrollo.
- Decisiones que se adopten para gestionar los riesgos identificados.

10
 Principios bsicos

En las decisiones en materia de seguridad debern

tenerse en cuenta los siguientes principios bsicos:

a) Seguridad integral
b) Gestin de la seguridad basada en riesgos
c) Prevencin, reaccin y recuperacin
d) Lneas de defensa
e) Reevaluacin peridica
f) La seguridad como funcin diferenciada

Estos principios bsicos son fundamentos que deben regir toda

accin orientada a asegurar la informacin y los servicios.

11
 Requisitos mnimos
La poltica de seguridad se establecer en base a los principios bsicos
y se desarrollar aplicando los siguientes requisitos mnimos:
a) Organizacin e implantacin del proceso de seguridad.
b) Anlisis y gestin de los riesgos.
c) Gestin de personal.
d) Profesionalidad.
e) Autorizacin y control de los accesos.
f) Proteccin de las instalaciones.
g) Adquisicin de productos.
h) Seguridad por defecto.
i) Integridad y actualizacin del sistema.
j) Proteccin de la informacin almacenada y en trnsito.
k) Prevencin ante otros sistemas de informacin interconectados.
l) Registro de actividad.
m) Incidentes de seguridad.
n) Continuidad de la actividad.
o) Mejora continua del proceso de seguridad.
Todos estos requisitos se exigirn en proporcin a los riesgos identificados, pudiendo
algunos no requerirse en sistemas sin riesgos significativos.
12
 Categorizacin de los
sistemas
Categorizar los sistemas es necesario para modular el equilibrio entre la
importancia de los sistemas y el esfuerzo dedicado a su seguridad y satisfacer el
principio de proporcionalidad.

Tres categoras: Bsica, Media y Alta.

La determinacin de la categora de un sistema se basa en la
valoracin del impacto que tendra un incidente con repercusin en la
capacidad organizativa para:
Alcanzar sus objetivos.
Proteger los activos a su cargo.
Cumplir sus obligaciones diarias de servicio.
Respetar la legalidad vigente.
Respetar los derechos de las personas.

A fin de poder determinar el impacto se tendrn en cuenta las

dimensiones de la seguridad:
Disponibilidad
Autenticidad
Integridad
Confidencialidad
Trazabilidad
13
 Categorizacin de los
sistemas
Determinacin de la categora - secuencia de actuaciones:
1. Determinacin de las dimensiones de seguridad relevantes.
2. Determinacin del nivel correspondiente a cada dimensin de seguridad.
3. Determinacin de la categora del sistema.

Un sistema puede verse afectado en una o ms de sus dimensiones de seguridad.

Cada dimensin afectada se adscribir a uno de los niveles: BAJO, MEDIO o ALTO.
Nivel BAJO: perjuicio limitado
Nivel MEDIO: perjuicio grave
Nivel ALTO: perjuicio muy grave o catastrfico

Determinacin de la categora:
ALTA si alguna de las dimensiones alcanza el nivel ALTO.
MEDIA si alguna de las dimensiones alcanza el nivel MEDIO, y ninguna otra un nivel superio
BSICA si alguna de las dimensiones alcanza el nivel BAJO, y ninguna otra un nivel superior.

La determinacin de la categora no altera el nivel de las dimensiones de seguridad que no

han influido en la determinacin de la categora del mismo.

14
 Medidas de seguridad
Principios bsicos -> Requisitos mnimos -> Medidas de seguridad

Seleccin de las medidas de seguridad apropiadas:

de acuerdo con las dimensiones de seguridad y sus niveles,
y, para determinadas medidas de seguridad, de acuerdo con la Categora.

Marco organizativo. Relacionadas con la organizacin global de la seguridad

Marco operacional. Para proteger la operacin del sistema como conjunto integral
de componentes para un fin.
Medidas de proteccin. Para proteger activos concretos, segn su naturaleza y la
calidad exigida por su categora.

Para facilitar, cuando en un sistema de informacin existan sistemas que

requieran la aplicacin de un nivel de medidas de seguridad diferente al del sistema
principal, podrn segregarse de este ltimo, siendo de aplicacin en cada caso el nivel
de medidas de seguridad correspondiente y siempre que puedan delimitarse la informacin
y los servicios afectados.

15
 Medidas de seguridad
Medidas de seguridad (II/III)

+
La utilizacin de infraestructuras y servicios comunes facilitar el
cumplimiento de los principios bsicos y requisios comunes en condiciones
de mejor eficiencia.
Para el mejor cumplimiento de lo establecido en el Esquema Nacional de
Seguridad el CCN elaborar y difundir las correspondientes guas de
seguridad. 16
Medidas de seguridad

17
Medidas de seguridad

18
 Auditora de la
seguridad
Auditora de la seguridad, peridicamente para sistemas de
categora MEDIA o ALTA, que verifique el cumplimiento del ENS.
El informe de auditora deber dictaminar sobre
el grado de cumplimiento del presente real decreto,
identificar sus deficiencias
y sugerir las posibles medidas correctoras o complementarias
necesarias,
as como las recomendaciones que se consideren oportunas.
Los informes de auditora sern presentados al responsable
del sistema y al responsable de seguridad competentes. Estos
informes sern analizados por este ltimo que presentar sus
conclusiones al responsable del sistema para que adopte las
medidas correctoras adecuadas.

19
 Respuesta a incidentes de
seguridad
La respuesta a incidentes de seguridad mediante la estructura CCN-
CERT que actuar sin perjuicio de las capacidades de respuesta que pueda
tener cada administracin pblica, y de su funcin como coordinador a nivel
nacional e internacional, prestando los servicios de soporte y
coordinacin, investigacin y divulgacin, formacin e informacin.

https://www.ccn-cert.cni.es/
20
 Certificacin
La certificacin como aspecto a considerar al adquirir productos
de seguridad, citando al Organismo de Certificacin del Esquema
Nacional de Evaluacin y Certificacin de Seguridad de las TIC (el
propio Centro Criptolgico Nacional).

http://www.oc.ccn.cni.es/index_en.htm
l 21
 Ms cuestiones

Condiciones tcnicas de notificaciones, comunicaciones-

e y firma-e.
Mecanismos de control.
Publicacin de la conformidad.
Comit Sectorial:
Procedimientos necesarios para conocer regularmente el estado de
seguridad de los sistemas de informacin a los que se refiere el ENS.
Cooperacin relacionada con la implantacin del ENS.

Formacin al personal de las AA.PP. para garantizar el

cumplimiento del ENS.

INTECO: podr desarrollar proyectos de innovacin y programas de

investigacin para la mejor implantacin del ENS.

Adecuacin. Mecanismo escalonado.

22
 Adecuacin al ENS

Los sistemas de las administraciones

debern estar adecuados a este Esquema en
el plazo de doce meses, aunque si hubiese
circunstancias que impidan la plena aplicacin,
se dispondr de un plan de adecuacin que
marque los plazos de ejecucin (en ningn caso
superiores a 48 meses desde la entrada en
vigor).

23
 Instrumentos para facilitar
la aplicacin del ENS
El reto es facilitar la aplicacin mediante
orientaciones relativas a cuestiones
tales como:
Organizacin y responsables
mbito de aplicacin,
Anlisis y gestin de riesgos, +
Serie especfica para el ENS
Categorizacin de los sistemas, Adecuacin de guas existentes
Implantacin de las medidas de
seguridad,
Relacin con 27001, 27002, RD
1720/2007,
Auditora
...
Ms instrumentos:
Adecuacin de PILAR al ENS.
...
https://www.ccn-cert.cni.es/ 24
 Conclusiones

Base legal proporcionada por el RD 3/2010 de aplicacin a todas las AA.PP.

Creacin de las condiciones necesarias para la confianza en el uso de
los medios electrnicos, a travs de medidas para garantizar la seguridad, que
permita el ejercicio de derechos y el cumplimiento de deberes a travs de estos
medios.

Cooperacin: Proceso coordinado por el Ministerio de la Presidencia

con el apoyo del Centro Criptolgico Nacional (CCN) y participacin de
todas las AA.PP. ; ms opinin recibida del sector TIC, CRUE, etc.
Tratamiento global de la seguridad.
Aplicacin rigurosa del principio de proporcionalidad para adecuar la
proteccin a la naturaleza de la informacin, servicios y sistemas y los riesgos a los
que estn expuestos.

Incluye referencia a medidas de seguridad; deja abierto cmo

implementarlas.

Tiene presente el estado del arte y referentes principales en la

materia:OCDE, UE, normalizacin, otros pases.

25
 Muchas gracias
Ms informacin:
http://www.boe.es/boe/dias/2010/01/29/pdfs/BOE-A-2010-1331.pdf
http://www.ctt.map.es/web/ens
http://www.csae.map.es/csi/pg5e42.htm
http://www.epractice.eu/en/cases/ens
https://www.ccn-cert.cni.es/index.php?lang=en
http://www.oc.ccn.cni.es/certificacion_es.htm

26