Professional Documents
Culture Documents
Seguridad
22 abril 2010
Miguel A. Amutio
Ministerio de la Presidencia
1
Ley 11/2007, art. 42 > Real Decreto 3/2010, de 8 de enero
mbito de aplicacin
Objetivos del ENS
Elementos principales
Poltica de seguridad
Principios bsicos y requisitos mnimos
Categorizacin de los sistemas y Medidas de seguridad
Auditora de la seguridad
Respuesta a incidentes de seguridad
Certificacin de productos de seguridad
Ms cuestiones
Adecuacin al Esquema Nacional de Seguridad
Instrumentos para el ENS.
Conclusiones
2
Ley 11/2007, art. 42 RD 3/2010
ENISA
Identificacin de buenas prcticas y tendencias tecnolgicas y
emergentes. Seguimiento de mtodos de anlisis y gestin de riesgos.
Apoyo a las actividades de eIDM (i2010).
Buenas prcticas de CERTs.
(1)
A la Administracin General del Estado, Administraciones de las Comunidades
Autnomas y las Entidades que integran la Administracin Local, as como las
entidades de derecho pblico vinculadas o dependientes de las mismas
A los ciudadanos en sus relaciones con las Administraciones Pblicas.
A las relaciones entre las distintas Administraciones Pblicas.
5
mbito de aplicacin
6
Objetivos del ENS
7
Elementos principales
9
Poltica de seguridad
Para dar cumplimiento de los requisitos mnimos, se seleccionarn
las medidas de seguridad proporcionadas, atendiendo a:
- La categora del sistema. Bsica, Media y Alta, segn valoracin de
dimensiones de seguridad (Disponibilidad, Autenticidad, Integridad, Confidencialidad,
Trazabilidad).
- Lo dispuesto en la Ley Orgnica 15/1999 , y normativa de desarrollo.
- Decisiones que se adopten para gestionar los riesgos identificados.
10
Principios bsicos
a) Seguridad integral
b) Gestin de la seguridad basada en riesgos
c) Prevencin, reaccin y recuperacin
d) Lneas de defensa
e) Reevaluacin peridica
f) La seguridad como funcin diferenciada
11
Requisitos mnimos
La poltica de seguridad se establecer en base a los principios bsicos
y se desarrollar aplicando los siguientes requisitos mnimos:
a) Organizacin e implantacin del proceso de seguridad.
b) Anlisis y gestin de los riesgos.
c) Gestin de personal.
d) Profesionalidad.
e) Autorizacin y control de los accesos.
f) Proteccin de las instalaciones.
g) Adquisicin de productos.
h) Seguridad por defecto.
i) Integridad y actualizacin del sistema.
j) Proteccin de la informacin almacenada y en trnsito.
k) Prevencin ante otros sistemas de informacin interconectados.
l) Registro de actividad.
m) Incidentes de seguridad.
n) Continuidad de la actividad.
o) Mejora continua del proceso de seguridad.
Todos estos requisitos se exigirn en proporcin a los riesgos identificados, pudiendo
algunos no requerirse en sistemas sin riesgos significativos.
12
Categorizacin de los
sistemas
Categorizar los sistemas es necesario para modular el equilibrio entre la
importancia de los sistemas y el esfuerzo dedicado a su seguridad y satisfacer el
principio de proporcionalidad.
Determinacin de la categora:
ALTA si alguna de las dimensiones alcanza el nivel ALTO.
MEDIA si alguna de las dimensiones alcanza el nivel MEDIO, y ninguna otra un nivel superio
BSICA si alguna de las dimensiones alcanza el nivel BAJO, y ninguna otra un nivel superior.
14
Medidas de seguridad
Principios bsicos -> Requisitos mnimos -> Medidas de seguridad
15
Medidas de seguridad
Medidas de seguridad (II/III)
+
La utilizacin de infraestructuras y servicios comunes facilitar el
cumplimiento de los principios bsicos y requisios comunes en condiciones
de mejor eficiencia.
Para el mejor cumplimiento de lo establecido en el Esquema Nacional de
Seguridad el CCN elaborar y difundir las correspondientes guas de
seguridad. 16
Medidas de seguridad
17
Medidas de seguridad
18
Auditora de la
seguridad
Auditora de la seguridad, peridicamente para sistemas de
categora MEDIA o ALTA, que verifique el cumplimiento del ENS.
El informe de auditora deber dictaminar sobre
el grado de cumplimiento del presente real decreto,
identificar sus deficiencias
y sugerir las posibles medidas correctoras o complementarias
necesarias,
as como las recomendaciones que se consideren oportunas.
Los informes de auditora sern presentados al responsable
del sistema y al responsable de seguridad competentes. Estos
informes sern analizados por este ltimo que presentar sus
conclusiones al responsable del sistema para que adopte las
medidas correctoras adecuadas.
19
Respuesta a incidentes de
seguridad
La respuesta a incidentes de seguridad mediante la estructura CCN-
CERT que actuar sin perjuicio de las capacidades de respuesta que pueda
tener cada administracin pblica, y de su funcin como coordinador a nivel
nacional e internacional, prestando los servicios de soporte y
coordinacin, investigacin y divulgacin, formacin e informacin.
https://www.ccn-cert.cni.es/
20
Certificacin
La certificacin como aspecto a considerar al adquirir productos
de seguridad, citando al Organismo de Certificacin del Esquema
Nacional de Evaluacin y Certificacin de Seguridad de las TIC (el
propio Centro Criptolgico Nacional).
http://www.oc.ccn.cni.es/index_en.htm
l 21
Ms cuestiones
22
Adecuacin al ENS
23
Instrumentos para facilitar
la aplicacin del ENS
El reto es facilitar la aplicacin mediante
orientaciones relativas a cuestiones
tales como:
Organizacin y responsables
mbito de aplicacin,
Anlisis y gestin de riesgos, +
Serie especfica para el ENS
Categorizacin de los sistemas, Adecuacin de guas existentes
Implantacin de las medidas de
seguridad,
Relacin con 27001, 27002, RD
1720/2007,
Auditora
...
Ms instrumentos:
Adecuacin de PILAR al ENS.
...
https://www.ccn-cert.cni.es/ 24
Conclusiones
25
Muchas gracias
Ms informacin:
http://www.boe.es/boe/dias/2010/01/29/pdfs/BOE-A-2010-1331.pdf
http://www.ctt.map.es/web/ens
http://www.csae.map.es/csi/pg5e42.htm
http://www.epractice.eu/en/cases/ens
https://www.ccn-cert.cni.es/index.php?lang=en
http://www.oc.ccn.cni.es/certificacion_es.htm
26