1

www.seguridadinformacion.com

www.esquemanacionaldeseguridad.com

Requerimientos Técnicos Del Esquema Nacional De Seguridad (ENS)

2

ÍNDICE

1. INTRODUCCIÓN 32. GENERALIDADES 43. A QUIÉN APLICA 54. A QUIENES AFECTA 65. CORRESPONDENCIA ENS-ISO 27001 76. CONCEPTOS BÁSICOS 97. ELEMENTOS SUJETOS AL ENS 108. PROYECTO DE IMPLANTACIÓN 119. TAREA 1: PLANIFICACIÓN 1210.TAREA 2: DESARROLLO (I) 1311.TAREA 2: DESARROLLO (II) 1512.TAREA 4: REVISAR Y MANTENER 2013.CONCLUSIONES 21

3

El ENS es un Sistema deGestión de Seguridad de laInformación para lasAdministraciones Publicas.

El ENS se desarrolla sobre lasrecomendaciones de la UE ylos estándares internacionalesen materia de seguridad de lainformación, especialmente laNorma ISO 27001.

1. INTRODUCCIÓN

4

2. GENERALIDADES

Su creación se contempla en laLEY 11/2007, de 22 de junio,de acceso electrónico de losciudadanos a los ServiciosPúblicos y se regula a través deReal Decreto del Gobierno deEspaña 3/2010, de 8 de enero.

Es el marco, obligatorio paralas administraciones públicas,para la protección de lainformación y su gestión através de los medioselectrónicos.

Ley 11/2007 LAECSPLey

37/2007Reutiliza

Info.

Ley 30/1992Reg.Jur.AA.PP Ley

15/1999LOPD

Ley 56/2007

LISI

Ley 59/2003Firma-e

ESQUEMANACIONAL DE SEGURIDAD

5

3. A QUIEN APLICA

Las entidades de derecho público vinculadas o dependientes de las

mismas

Las entidades de derecho público vinculadas o dependientes de las

mismas

Las Entidades que integran la Administración Local

Las Entidades que integran la Administración Local

Las Administraciones de lasComunidades Autónomas

Las Administraciones de lasComunidades Autónomas

La Administración General del Estado

La Administración General del Estado

6

4. A QUIENES AFECTA

El ENS precisa que los proveedores de servicios TIde las Administraciones Públicas deberán contar conuna gestión y un nivel de madurez de seguridadequivalente al que tiene implantado la entidad.

Se valorará aquellos proveedores que tengancertificados relevantes de gestión o de productos.

Productos de Seguridad de la información

Productos de Seguridad de la información

Proveedores de Servicios TIProveedores de Servicios TI

7

5. CORRESPONDENCIA ENS-ISO 27001 (I)

ENS REQUISITO ISO 27001

11 Política de Seguridad 4.2.1.b)

12Compromiso de la dirección

5.1.c) d)

13.113.2 Evaluación de riesgos 4.2.1.c) d) e)

13.3 Gestión de riesgos 4.2.1.f) g)

27.1Documento de Aplicabilidad

4.2.1.g)

14 - 15Formación

5.2.2

34.1 Auditorías 4.2.3.e) - 6

26 Mejora continua 8.1

8

5. CORRESPONDENCIA ENS-ISO 27001 (II)

ENS REQUISITO ISO 2700114.3 Uso aceptable de los activos A7.1.3

14.4 Gestión de privilegios de los usuarios A10.10.1 A11.2

15.3 Controlar los riesgos de terceros A6.2

16 Gestión de altas y bajas de usuarios A11.2.1

17 Control de acceso A9.1

25 Copias de seguridad A10.5.1 - 14.1

24.1 Política de prevención de malware A10.4

24.2 Gestión de incidentes A13.1 - A13.2

27.2 LOPD A15.1.4

33.2 Firma electrónica A12.3 A15.1.6

9

6. CONCEPTOS BÁSICOS

Seguridad integral

Gestión de riesgos

Prevención, reacción y recuperación

Líneas de defensa

Reevaluación periódica

Función diferenciada

La gestión de la seguridad debe ser un procesointegral.

Un programa de seguridad debe responder a lasnecesidades de reducción de riesgos de laentidad.

La utilización de estos tipos de medidas permitiráun enfoque integral de la seguridad.

El sistema debe contar con sucesivas capas deprotección para que si ocurre un incidente, nodesarrolle todo su potencial dañino.

El programa de seguridad debe ajustarse a loscambios que se vayan produciendo.

Las funciones de responsable de la información,responsable del servicio y responsable de laseguridad deben estar separadas.

10

7. ELEMENTOS SUJETOS AL ENS

Todos los elementos técnicos, humanos,materiales y organizativos, relacionados con laAdministración Electrónica, y en particular:

11

8. PROYECTO DE IMPLANTACIÓN

1. Planificar la implantaciónOrganizar el Comité de Seguridad Realizar plan de acciónEstablecer objetivos Recopilar información

2. DesarrollarPolítica de SeguridadInventario de activosCategorización de sistemasAnálisis de riesgosDocumento de aplicabilidadNormativa de seguridad

3. Revisar y actualizarVerificar y validar objetivosFormaciónPlanes de auditorías

12

9. TAREA 1: PLANIFICACIÓN

Asignar formalmente los cargos deResponsable de Seguridad,Responsable del Servicio y Responsablede la Información.Crear y definir el/los Comité/s deSeguridad, responsable de velar por elcumplimiento de la política deseguridad de la organización yestablecer los objetivos.Recopilar los servicios electrónicos einformación que componen el/lossistemas de la entidad.

13

10. TAREA 2: DESARROLLO (1)

Definir y aprobar formalmente laPolítica de Seguridad. Deberá seraprobada por el titular responsablede la acción de gobierno.Definir el conjunto de activos sujetosal ENS, identificando los sistemasexistentes en la organización yvalorándolos de acuerdo a lasdimensiones de seguridadespecificadas en el esquema.Determinar la categoría del sistemao sistemas identificados.

14

10. CATEGORIZACIÓN DE SISTEMAS

ACTIVOS SERVICIOS INFORMACIÓN

SISTEMA

DIMENSIONES

Portal web

Gestión de Expedientes

Información web

Información de

Expedientes

ConfidencialidadSin

valorar M B M M

Integridad B M B M M

Autenticidad B M B M M

Trazabilidad B M B M M

Disponibilidad M B M A A

15

Determinar las medidas deseguridad del Anexo 1 que aplicana los sistemas según su nivel.Llevar a cabo el Análisis deRiesgos.Documentar la Declaración deAplicabilidad.Definir la Normativa de Seguridad,detallando cómo y quien hace lasdistintas tareas.

11. TAREA 2: DESARROLLO (2)

16

ESQUEMA NACIONAL DE SEGURIDAD (ENS)

Medidas de protección

Marco operacional

Marco organizativo

11. NORMATIVAS DE SEGURIDAD (PARTE 1)

17

Marco organizativo

ESQUEMA NACIONAL DE SEGURIDAD (ENS)

Política de seguridad

Normativa de seguridad

Procedimientos de seguridad

Procesos de autorización

Órganos de gestión

Auditorías de seguridad:Cumplimiento legal ycumplimiento técnico

11. NORMATIVAS DE SEGURIDAD (PARTE 2)

18

ESQUEMA NACIONAL DE SEGURIDAD (ENS)

Planificación: Análisis deriesgos, arquitecturas deseguridad, componentes, etc.

Control de accesos

Explotación: Inventario deactivos, gestión de procesos,registros, sistemas deprotección

Servicios externos

Continuidad del servicio

Monitorización del sistema

Acreditación de conocimientosen la vida laboral

Marco operacional

11. NORMATIVAS DE SEGURIDAD (PARTE 3)

19

ESQUEMA NACIONAL DE SEGURIDAD (ENS)

Medidas de protección

Protección de instalaciones e infraestructuras

Gestión del personal

Protección de equipos

Protección de las comunicaciones

Protección de soportes de información

Protección de aplicaciones

Protección de la información

Protección de los servicios

11. NORMATIVAS DE SEGURIDAD (PARTE 4)

20

Formar a todo el personal sobre lapolítica, normativa y procedimientos deseguridad.Evaluar los objetivos midiendo la eficaciade las medidas adoptadas.Revisar el sistema de gestión de laseguridad y mantenerlo actualizado.Realización de una Auditoría bienal deSeguridad que revise la política deseguridad y su cumplimiento, así como elconjunto de riesgos, normativas,procedimientos y controles establecidos,realizada bajo estándares normalizados(p.ej ISO/IEC 27007).

12. TAREA 4: REVISAR Y MANTENER

21

13. CONCLUSIONES

La correcta implantación del ENS aportará:Confianza en la relación de los ciudadanos conla Administración.Aumento de la satisfacción de los usuarios.Mejorar la Gestión de Seguridad de laInformación, favoreciendo el desarrollo de lapropia Administración:

Mejorando la gestión de recursos y costes.Aumentando la eficiencia y productividad.Buscando la mejora continua.

22

GUIA AMETIC

Start Up, ha elaborado unaguía práctica sobre el ENSpublicada a través de lapágina de AMETIC.

http://www.asimelec.es/media/Ou4/Difusion_ENS/Guia de Implantacion delEsquema Nacional deSeguridad de AMETIC.pdf

23

Gracias por su atención

Dudas y preguntas

START UP S.L.www.seguridadinformacion.com

www.esquemanacionaldeseguridad.cominfo@seguridadinformacion.com