SEGURIDAD DE LA INFORMACIÓN
SUBDIRECCIÓN GENERAL DE TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIONES
DIRECCIÓN GENERAL DE INFRAESTRUCTURA
13 de octubre de 2011
Aspectos organizativos y metodológicos
- 1 -CIBERDEFENSA: aspectos organizativos y metodológicos
ÍNDICE
Hitos Normativos
OM 76/2006 Bases Conceptuales
OM 76/2006 Bases Funcionales
OM 76/2006 Desarrollo Normativo
Instrucción 41/2010
Estructura Funcional de SEGINFO.
Consejo de Dirección de Seguridad de la Información del Ministerio de Defensa
Algunos Datos.
Situación Actual.
- 2 -CIBERDEFENSA: aspectos organizativos y metodológicos
Hitos Normativos
Ley 9/1968, de 5 de abril reguladora de los secretos oficiales, modificada por la ley 48/1978.
Orden Ministerial 76/2002, de 18 de abril, por la que se establece la política de seguridad para la protección de la información del Ministerio de Defensa almacenada, procesada o transmitida por sistemas de información y telecomunicaciones.
Orden Ministerial 76/2006, de 19 de mayo, por la que se aprueba la política de seguridad de la información del Ministerio de Defensa.
Instrucción 41/2010, de 7 de julio, del Secretario de Estado de Defensa, por la que se aprueban las normas para la aplicación de la Política de Seguridad de la Información del Ministerio de Defensa.
- 3 -CIBERDEFENSA: aspectos organizativos y metodológicos
OM 76/2006 – Bases conceptuales
La información es un recurso de carácter estratégico para el Ministerio y por tanto, debe garantizarse su protección.
La información es un concepto abstracto e intangible que se elabora, presenta, almacena, procesa, transporta o destruye mediante elementos tangibles: las personas, los documentos, los sistemas de información y telecomunicaciones (SIT), las instalaciones y las empresas.
La protección de la información se realizará mediante la aplicación y supervisión de medidas de seguridad dirigidas a las personas, los documentos, SIT, instalaciones y empresas.
- 4 -CIBERDEFENSA: aspectos organizativos y metodológicos
OM 76/2006 – Bases funcionales
Visión estratégica unitaria de la SEGINFO.
Dirección única, que establece normas y pautas comunes.
La SEGINFO es responsabilidad de todos los miembros del Ministerio.
Se designa al SEDEF como Director de Seguridad de la Información del Ministerio de Defensa (DSIDEF).
Se establece el Consejo de Dirección de la Seguridad de la Información del Ministerio de Defensa, como órgano de coordinación de la seguridad de la información del Ministerio.
- 5 -CIBERDEFENSA: aspectos organizativos y metodológicos
OM 76/2006 – Desarrollo Normativo
SEGINFODOC SEGINFOINS SEGINFOEMP
SEGINFOSIT SEGINFOPER
APLICACIÓN POLITICA
POLITICA
INSTRUCCIONES
GUÍAS Y PROCEDIMIENTOS
Aprobada por O.M. 76/2006Aprobada por O.M. 76/2006
Aprobada por InstrucciAprobada por Instrucci óón SEDEF 41/2010n SEDEF 41/2010
PRIMER NIVEL NORMATIVOPRIMER NIVEL NORMATIVO
SEGUNDO NIVEL NORMATIVOSEGUNDO NIVEL NORMATIVO
TERCER NIVEL NORMATIVOTERCER NIVEL NORMATIVO
- 6 -CIBERDEFENSA: aspectos organizativos y metodológicos
Instrucción 41/2010 - Normas para la aplicación de la Política de Seguridad de la Información del Ministerio de Defensa
POLPOLÍÍTICA DE SEGURIDADTICA DE SEGURIDAD
NORMAS DE APLICACINORMAS DE APLICACIÓÓN N
Se designa al titular de la Dirección General de Infraestructura como responsable de las áreas de SEGINFO en las personas, documentos, SIT e instalaciones.
Como órgano de Apoyo Técnico se designa a la SDGTIC.
Se designa al titular de la Dirección General de Armamento y Material como responsable del área de SEGINFO en poder de las empresas.
Se establece la Estructura Funcional de la Seguridad de la información del Ministerio de Defensa.
Se establece el Comité de Seguimiento de Seguridad de la Información para llevar a cabo el seguimiento de las directrices en la Política SEGINFO y normativa de desarrollo.
- 7 -CIBERDEFENSA: aspectos organizativos y metodológicos
UM
E
Estructura Funcional de la Seguridad de la Información
EM
AD
CG
EA
CG
A
CG
E
SEG
EN
PO
L
SU
BD
EF
SED
EF
SEGINFOSITSEGINFOSIT
SEGINFOEMPSEGINFOEMP
SEGINFOINSSEGINFOINS
SEGINFODOCSEGINFODOC
SEGINFOPERSEGINFOPER
J.S.
J.S.
J.S.
J.S.
J.S.
J.S.
J.S.
J.S.
J.S.
J.S. J.S.
J.S.
J.S.
J.S.
J.S.
J.S.
J.S.
J.S.
J.S.
J.S.
J.S.
J.S.
J.S.
J.S.
J.S.
J.S. J.S.
J.S. J.S.
J.S. J.S.
J.S.
J.S.
J.S.
J.S.
J.S.
J.S.
J.S.
J.S.
J.S.DIGENINDIGENIN
DIGAMDIGAM
SEDEF SEDEF --DSIDEFDSIDEF
J.S. J.S. J.S. J.S. J.S. J.S. J.S. J.S.
- 8 -CIBERDEFENSA: aspectos organizativos y metodológicos
Consejo de Dirección de Seguridad de la Información del MINISDEF
Reunión de constitución el 08 de octubre de 2010.
Se aprueban una serie de acciones en cuanto a normativa, estructura funcional, plan de auditorías, plan de formación, concienciación y sensibilización…
Mandato a destacar: Creación y puesta en funcionamiento de un Centro Corporativo de Operaciones de Seguridad (COSDEF).
- 9 -CIBERDEFENSA: aspectos organizativos y metodológicos
Algunos DatosAUDITORÍAS
Se ejecutan auditorías sobre las 700 subredes de la Red de Área Extensa del Ministerio de Defensa, los 19 portales y aplicaciones web publicados en Internet por el Ministerio de Defensa y los 5 nuevos sistemas de información departamentales implantados en 2011 en el Ministerio de Defensa.
FORMACIÓN Y SENSIBILIZACIÓN
Finalizadas tres ediciones del Curso Online Concienciación en Seguridad de la Información con más de 500 alumnos y la 1ª edición de Cursos de Desarrollo Seguro de Software y de Herramientas de Seguridad y Auditoría.
LOPD
Dentro del Plan de adecuación a la LOPD del MINISDEF se han realizado los proyectos de DIGENPER, DIGEREM, IGESAN, SEDEF, SEGENPOL, CCGG y de gran parte de la SUBDEF, se van a ejecutar auditorías bianuales previstas en la LOPD y se están ejecutando los planes de formación para la difusión de las implicaciones de la LOPD en el trabajo del personal del MINISDEF.
COSDEF
Iniciados los trabajos de implantación del Centro y sus medios, definiendo estructura y medios, actualizando herramientas de monitorización y gestión de incidentes y desplegando la red de elementos de prevención de intrusiones, en la WAN-PG, recibiendo por encima de un millón de eventos de seguridad diarios desde varios cientos de equipos.
- 10 -CIBERDEFENSA: aspectos organizativos y metodológicos
Situación ActualNORMATIVA
Publicada SEGINFOPER, pte de publicación SEGINFOINS, SEGINFODOC, finalizando borrador SEGINFOSIT.
ESTRUCTURA SEGINFODEF
Pendiente de convocar segunda reunión del Consejo de Dirección.
AUDITORÍAS
Ejecutándose de manera continua auditorías y análisis de vulnerabilidades sobre SIT del Ministerio de Defensa.
LOPD
Ejecutándose la adecuación de los diferentes organizamos pendientes, llevando a cabo acciones de formación e implantación de la herramienta SILOPDEF .
COSDEF
Llevando a cabo la adquisición e implantación del material necesario, definiendo los procedimientos de operación del COSDEF y llevando a cabo la redacción de la Instrucción de creación del Centro.
Implantándose métricas de seguridad de la información en un ámbito, obteniendo el núcleo del Cuadro de Mando de Seguridad de la Información
FORMACIÓN y CONCIENCIACIÓN
Ejecutándose ediciones del Curso on-line de Concienciación en Seguridad de la Información en Defensa, Curso presencial de Seguridad de la Información en Defensa, pendiente de integración de la formación en SEGINFO en los Cursos de Alta Gestión de CESEDEN y llevándose a cabo las Jornadas SID anuales.
- 11 -CIBERDEFENSA: aspectos organizativos y metodológicos
INDICE
Hitos Normativos
OM 76/2006 Bases Conceptuales
OM 76/2006 Bases Funcionales
OM 76/2006 Desarrollo Normativo
Instrucción 41/2010
Estructura Funcional de SEGINFO.
Consejo de Dirección de Seguridad de la Información del Ministerio de Defensa
Algunos Datos.
Situación Actual.