Presentación Corporativa MEDIDAS DE SEGURIDAD DEL ENS Esquema Nacional de Seguridad (ENS)
P
rese
nta
ció
n C
orp
ora
tiva
MEDIDAS DE SEGURIDAD DEL ENS
Esquema Nacional de Seguridad (ENS)
P
rese
nta
ció
n C
orp
ora
tiva
avanTIC Preguntas clave sobre las medidas de seguridad del ENS
Dónde se regulan las medidas de seguridad
A qué sistemas se aplica
Qué se entiende por SI
Cuál es el plazo para hacer la categorización
Qué ayudas existen
Qué es una medida de seguridad y qué tipos existen
Cuáles son las medidas de seguridad previstas en el ENS
Cómo saber qué medidas deben adoptarse
Necesidad de documentación de las medidas a aplicar
Por qué son importantes las medidas de seguridad
2
P
rese
nta
ció
n C
orp
ora
tiva
avanTIC Dónde se regulan las medidas de seguridad
En el Real Decreto 3/2010, de 8 de enero, por el que se regula el
Esquema Nacional de Seguridad en el ámbito de la Administración
Electrónica (ENS), Anexo II.
A qué sistemas se aplica
A los sistemas de información de la:
• Administración General del Estado
• Administraciones de las Comunidades Autónomas
• Entidades que integran la Administración Local
• Entidades de derecho público vinculadas o dependientes de cualquiera de las anteriores.
Será de aplicación a todos los sistemas empleados para la prestación
de los servicios de la Administración electrónica y soporte del
procedimiento administrativo general.
Qué se entiende por Sistemas de Información
Conjunto organizado de recursos para que la información se pueda
recoger, almacenar, procesar o tratar, mantener, usar, compartir,
distribuir, poner a disposición, presentar o transmitir (Anexo IV ENS).
3
P
rese
nta
ció
n C
orp
ora
tiva
avanTIC
4
Cuál es el Plazo para cumplir las disposiciones el ENS
El ENS entró en vigor el 30 de enero de 2010 (día siguiente al de su
publicación en el BOE)
Se prevé un plazo de adecuación de los sistemas existentes de 12 meses
Si a los doce meses de la entrada en vigor (-> 30/01/2011) hubiera
circunstancias que impidieran su plena aplicación, se dispondrá de un plan
de adecuación que marque los plazos de ejecución los cuales, en
ningún caso, serán superiores a 48 meses desde la entrada en vigor
(30/01/2014).
Qué Ayudas existen
El Centro Criptológico Nacional elabora y difunde de seguridad de las
tecnologías de la información y las comunicaciones.
• https://www.ccn-cert.cni.es/index.php?option=com_content&view=article&id=2420&Itemid=211&lang=es#2
• 17 guías publicadas
P
rese
nta
ció
n C
orp
ora
tiva
avanTIC
5
Qué son las medidas de seguridad
Son el conjunto de disposiciones encaminadas a protegerse de los riesgos
posibles sobre el sistema de información, con el fin de asegurar sus
objetivos de seguridad.
Qué tipos de medidas existen
Puede tratarse de:
medidas de prevención,
medidas de disuasión,
medidas de protección,
medidas de detección y reacción,
medidas de recuperación.
P
rese
nta
ció
n C
orp
ora
tiva
avanTIC
6
Cuáles son las medidas de seguridad previstas en el ENS
Las recogidas en el Anexo l ENS
Se dividen en tres grupos o tipos:
• Marco organizativo [org]. Constituido por el conjunto de medidas
relacionadas con la organización global de la seguridad. 4 medidas
• Marco operacional [op]. Formado por las medidas a tomar para proteger
la operación del sistema como conjunto integral de componentes para un
fin. 31 medidas
• Medidas de protección [mp]. Se centran en proteger activos concretos,
según su naturaleza y la calidad exigida por el nivel de seguridad de las
dimensiones afectadas. 40 medidas
P
rese
nta
ció
n C
orp
ora
tiva
avanTIC
7
Marco organizativo
4 medidas
Política de seguridad Normativa de seguridad Procedimientos de
seguridad Proceso de autorización
Marco operacional
31 medidas
Planificación (5) Control de Accesos (7) Explotación (11) Servicios externos (3) Continuidad del servicio (3) Monitorización de los
sistemas (2)
Medidas de Protección
Protección de instalaciones e infraestructuras (8)
Gestión del personal (5) Protección de equipos (4) Protección de comunicaciones (5) Protección de soportes de información
(5) Protección de las aplicaciones
informáticas (2) Protección de la información (7) Protección de los servicios (4)
40 medidas
P
rese
nta
ció
n C
orp
ora
tiva
avanTIC
8
P
rese
nta
ció
n C
orp
ora
tiva
avanTIC Cómo saber qué medidas deben adoptarse
Para seleccionar las medidas de seguridad a adoptar se deben seguir los siguientes
pasos:
1) Identificar los tipos de activos presentes.
2) Determinar las dimensiones de seguridad relevantes.
3) Determinar el nivel correspondiente a cada dimensión de seguridad.
4) Determinar la categoría del sistema.
5) Seleccionar las medidas de seguridad apropiadas de entre las contenidas en el Anexo I (tabla
anterior), de acuerdo con las dimensiones de seguridad y sus niveles, y, para determinadas
medidas de seguridad, de acuerdo con la categoría del sistema.
Cuando en un sistema de información existan sistemas que requieran la aplicación de
un nivel de medidas de seguridad diferente al del sistema principal, podrán
segregarse de este último, siendo de aplicación en cada caso el nivel de medidas de
seguridad correspondiente y siempre que puedan delimitarse la información y los
servicios afectados.
Las medidas serán proporcionales a:
Las dimensiones de seguridad relevantes en el sistema a proteger.
La categoría del sistema de información a proteger.
9
P
rese
nta
ció
n C
orp
ora
tiva
avanTIC
10
ENS
Categorización de sistemas de información
Dimensiones de seguridad
Categoría BÁSICA Categoría MEDIA Categoría ALTA
Se establecen en función de las
[D] Disponibilidad [A] Autenticidad [I] Integridad [C] Confidencialidad [T] Trazabilidad
Para cada una de ellas hay
que determinar el NIVEL aplicable:
Nivel BAJO Nivel MEDIO Nivel ALTO
Determinan las medidas de seguridad a aplicar
Relación entre las categorías de los sistemas de información, las dimensiones, niveles y medidas de seguridad en el ENS
P
rese
nta
ció
n C
orp
ora
tiva
avanTIC Hay que dejar constancia de las medidas aplicables?
Sí. La relación de medidas seleccionadas se formalizará en un documento
denominado Declaración de Aplicabilidad, firmado por el responsable de la
seguridad del sistema.
Recuérdese que la política de seguridad de la organización detallará las atribuciones de cada
responsable y los mecanismos de coordinación y resolución de conflictos.
• Responsable de la información: determinará los requisitos de la información tratada;
• Responsable del servicio: determinará los requisitos de los servicios prestados;
• Responsable de seguridad: determinará las decisiones para satisfacer los requisitos de seguridad de la
información y de los servicios.
Por qué son importantes las medidas de
seguridad
Para lograr el cumplimiento de los principios básicos y requisitos mínimos
establecidos en el ENS.
11
P
rese
nta
ció
n C
orp
ora
tiva
avanTIC
12
avanTICAvanzando con la Sociedad de la Información
avanTICAvanzando con la Sociedad de la Información
Si desea información sobre los servicios y soluciones de AvanTIC visite nuestro sitio
www.avantic.net
C/ Rufino, nº 1, Planta Alta
CP 38320 La Laguna (La Cuesta)
Tel. 902.36.63.24 / 922.64.10.51
AvanTIC Estudio de Ingenieros S.L. C.I.F. B-38-769337 Reg.Merc. de Santa Cruz de Tenerife, Hoja TF-33864, Folio 102, Tomo 2.580, Inscripción 1ª