View
0
Download
0
Category
Preview:
Citation preview
1
www.seguridadinformacion.com
www.esquemanacionaldeseguridad.com
Requerimientos Técnicos Del Esquema Nacional De Seguridad (ENS)
2
ÍNDICE
1. INTRODUCCIÓN 32. GENERALIDADES 43. A QUIÉN APLICA 54. A QUIENES AFECTA 65. CORRESPONDENCIA ENS-ISO 27001 76. CONCEPTOS BÁSICOS 97. ELEMENTOS SUJETOS AL ENS 108. PROYECTO DE IMPLANTACIÓN 119. TAREA 1: PLANIFICACIÓN 1210.TAREA 2: DESARROLLO (I) 1311.TAREA 2: DESARROLLO (II) 1512.TAREA 4: REVISAR Y MANTENER 2013.CONCLUSIONES 21
3
El ENS es un Sistema deGestión de Seguridad de laInformación para lasAdministraciones Publicas.
El ENS se desarrolla sobre lasrecomendaciones de la UE ylos estándares internacionalesen materia de seguridad de lainformación, especialmente laNorma ISO 27001.
1. INTRODUCCIÓN
4
2. GENERALIDADES
Su creación se contempla en laLEY 11/2007, de 22 de junio,de acceso electrónico de losciudadanos a los ServiciosPúblicos y se regula a través deReal Decreto del Gobierno deEspaña 3/2010, de 8 de enero.
Es el marco, obligatorio paralas administraciones públicas,para la protección de lainformación y su gestión através de los medioselectrónicos.
Ley 11/2007 LAECSPLey
37/2007Reutiliza
Info.
Ley 30/1992Reg.Jur.AA.PP Ley
15/1999LOPD
Ley 56/2007
LISI
Ley 59/2003Firma-e
ESQUEMANACIONAL DE SEGURIDAD
5
3. A QUIEN APLICA
Las entidades de derecho público vinculadas o dependientes de las
mismas
Las entidades de derecho público vinculadas o dependientes de las
mismas
Las Entidades que integran la Administración Local
Las Entidades que integran la Administración Local
Las Administraciones de lasComunidades Autónomas
Las Administraciones de lasComunidades Autónomas
La Administración General del Estado
La Administración General del Estado
6
4. A QUIENES AFECTA
El ENS precisa que los proveedores de servicios TIde las Administraciones Públicas deberán contar conuna gestión y un nivel de madurez de seguridadequivalente al que tiene implantado la entidad.
Se valorará aquellos proveedores que tengancertificados relevantes de gestión o de productos.
Productos de Seguridad de la información
Productos de Seguridad de la información
Proveedores de Servicios TIProveedores de Servicios TI
7
5. CORRESPONDENCIA ENS-ISO 27001 (I)
ENS REQUISITO ISO 27001
11 Política de Seguridad 4.2.1.b)
12Compromiso de la dirección
5.1.c) d)
13.113.2 Evaluación de riesgos 4.2.1.c) d) e)
13.3 Gestión de riesgos 4.2.1.f) g)
27.1Documento de Aplicabilidad
4.2.1.g)
14 - 15Formación
5.2.2
34.1 Auditorías 4.2.3.e) - 6
26 Mejora continua 8.1
8
5. CORRESPONDENCIA ENS-ISO 27001 (II)
ENS REQUISITO ISO 2700114.3 Uso aceptable de los activos A7.1.3
14.4 Gestión de privilegios de los usuarios A10.10.1 A11.2
15.3 Controlar los riesgos de terceros A6.2
16 Gestión de altas y bajas de usuarios A11.2.1
17 Control de acceso A9.1
25 Copias de seguridad A10.5.1 - 14.1
24.1 Política de prevención de malware A10.4
24.2 Gestión de incidentes A13.1 - A13.2
27.2 LOPD A15.1.4
33.2 Firma electrónica A12.3 A15.1.6
9
6. CONCEPTOS BÁSICOS
Seguridad integral
Gestión de riesgos
Prevención, reacción y recuperación
Líneas de defensa
Reevaluación periódica
Función diferenciada
La gestión de la seguridad debe ser un procesointegral.
Un programa de seguridad debe responder a lasnecesidades de reducción de riesgos de laentidad.
La utilización de estos tipos de medidas permitiráun enfoque integral de la seguridad.
El sistema debe contar con sucesivas capas deprotección para que si ocurre un incidente, nodesarrolle todo su potencial dañino.
El programa de seguridad debe ajustarse a loscambios que se vayan produciendo.
Las funciones de responsable de la información,responsable del servicio y responsable de laseguridad deben estar separadas.
10
7. ELEMENTOS SUJETOS AL ENS
Todos los elementos técnicos, humanos,materiales y organizativos, relacionados con laAdministración Electrónica, y en particular:
11
8. PROYECTO DE IMPLANTACIÓN
1. Planificar la implantaciónOrganizar el Comité de Seguridad Realizar plan de acciónEstablecer objetivos Recopilar información
2. DesarrollarPolítica de SeguridadInventario de activosCategorización de sistemasAnálisis de riesgosDocumento de aplicabilidadNormativa de seguridad
3. Revisar y actualizarVerificar y validar objetivosFormaciónPlanes de auditorías
12
9. TAREA 1: PLANIFICACIÓN
Asignar formalmente los cargos deResponsable de Seguridad,Responsable del Servicio y Responsablede la Información.Crear y definir el/los Comité/s deSeguridad, responsable de velar por elcumplimiento de la política deseguridad de la organización yestablecer los objetivos.Recopilar los servicios electrónicos einformación que componen el/lossistemas de la entidad.
13
10. TAREA 2: DESARROLLO (1)
Definir y aprobar formalmente laPolítica de Seguridad. Deberá seraprobada por el titular responsablede la acción de gobierno.Definir el conjunto de activos sujetosal ENS, identificando los sistemasexistentes en la organización yvalorándolos de acuerdo a lasdimensiones de seguridadespecificadas en el esquema.Determinar la categoría del sistemao sistemas identificados.
14
10. CATEGORIZACIÓN DE SISTEMAS
ACTIVOS SERVICIOS INFORMACIÓN
SISTEMA
DIMENSIONES
Portal web
Gestión de Expedientes
Información web
Información de
Expedientes
ConfidencialidadSin
valorar M B M M
Integridad B M B M M
Autenticidad B M B M M
Trazabilidad B M B M M
Disponibilidad M B M A A
15
Determinar las medidas deseguridad del Anexo 1 que aplicana los sistemas según su nivel.Llevar a cabo el Análisis deRiesgos.Documentar la Declaración deAplicabilidad.Definir la Normativa de Seguridad,detallando cómo y quien hace lasdistintas tareas.
11. TAREA 2: DESARROLLO (2)
16
ESQUEMA NACIONAL DE SEGURIDAD (ENS)
Medidas de protección
Marco operacional
Marco organizativo
11. NORMATIVAS DE SEGURIDAD (PARTE 1)
17
Marco organizativo
ESQUEMA NACIONAL DE SEGURIDAD (ENS)
Política de seguridad
Normativa de seguridad
Procedimientos de seguridad
Procesos de autorización
Órganos de gestión
Auditorías de seguridad:Cumplimiento legal ycumplimiento técnico
11. NORMATIVAS DE SEGURIDAD (PARTE 2)
18
ESQUEMA NACIONAL DE SEGURIDAD (ENS)
Planificación: Análisis deriesgos, arquitecturas deseguridad, componentes, etc.
Control de accesos
Explotación: Inventario deactivos, gestión de procesos,registros, sistemas deprotección
Servicios externos
Continuidad del servicio
Monitorización del sistema
Acreditación de conocimientosen la vida laboral
Marco operacional
11. NORMATIVAS DE SEGURIDAD (PARTE 3)
19
ESQUEMA NACIONAL DE SEGURIDAD (ENS)
Medidas de protección
Protección de instalaciones e infraestructuras
Gestión del personal
Protección de equipos
Protección de las comunicaciones
Protección de soportes de información
Protección de aplicaciones
Protección de la información
Protección de los servicios
11. NORMATIVAS DE SEGURIDAD (PARTE 4)
20
Formar a todo el personal sobre lapolítica, normativa y procedimientos deseguridad.Evaluar los objetivos midiendo la eficaciade las medidas adoptadas.Revisar el sistema de gestión de laseguridad y mantenerlo actualizado.Realización de una Auditoría bienal deSeguridad que revise la política deseguridad y su cumplimiento, así como elconjunto de riesgos, normativas,procedimientos y controles establecidos,realizada bajo estándares normalizados(p.ej ISO/IEC 27007).
12. TAREA 4: REVISAR Y MANTENER
21
13. CONCLUSIONES
La correcta implantación del ENS aportará:Confianza en la relación de los ciudadanos conla Administración.Aumento de la satisfacción de los usuarios.Mejorar la Gestión de Seguridad de laInformación, favoreciendo el desarrollo de lapropia Administración:
Mejorando la gestión de recursos y costes.Aumentando la eficiencia y productividad.Buscando la mejora continua.
22
GUIA AMETIC
Start Up, ha elaborado unaguía práctica sobre el ENSpublicada a través de lapágina de AMETIC.
http://www.asimelec.es/media/Ou4/Difusion_ENS/Guia de Implantacion delEsquema Nacional deSeguridad de AMETIC.pdf
23
Gracias por su atención
Dudas y preguntas
START UP S.L.www.seguridadinformacion.com
www.esquemanacionaldeseguridad.cominfo@seguridadinformacion.com
Recommended