Requerimientos Técnicos Del Esquema Nacional De Seguridad (ENS)

23
Requerimientos Técnicos Del Requerimientos Técnicos Del Esquema Nacional Esquema Nacional De Seguridad (ENS) De Seguridad (ENS) www.seguridadinformacion.com www.esquemanacionaldeseguridad.com De Seguridad (ENS) De Seguridad (ENS)

Transcript of Requerimientos Técnicos Del Esquema Nacional De Seguridad (ENS)

Page 1: Requerimientos Técnicos Del Esquema Nacional De Seguridad (ENS)

Requerimientos Técnicos Del Requerimientos Técnicos Del Esquema Nacional Esquema Nacional

De Seguridad (ENS)De Seguridad (ENS)

www.seguridadinformacion.com

www.esquemanacionaldeseguridad.com

De Seguridad (ENS)De Seguridad (ENS)

Page 2: Requerimientos Técnicos Del Esquema Nacional De Seguridad (ENS)

ÍNDICE

1. INTRODUCCIÓN 32. GENERALIDADES 43. A QUIÉN APLICA 54. A QUIENES AFECTA 65. CORRESPONDENCIA ENS-ISO 27001 76. CONCEPTOS BÁSICOS 96. CONCEPTOS BÁSICOS 97. ELEMENTOS SUJETOS AL ENS 108. PROYECTO DE IMPLANTACIÓN 119. TAREA 1: PLANIFICACIÓN 1210.TAREA 2: DESARROLLO (I) 1311.TAREA 2: DESARROLLO (II) 1512.TAREA 4: REVISAR Y MANTENER 2013.CONCLUSIONES 2114.GUÍA AMETICA 22

Page 3: Requerimientos Técnicos Del Esquema Nacional De Seguridad (ENS)

1. INTRODUCCIÓN

El ENS es un Sistema de Gestiónde Seguridad de la Informaciónpara las AdministracionesPublicas.

El ENS se desarrolla sobre lasrecomendaciones de la UE y losestándares internacionales enmateria de seguridad de lainformación, especialmente laNorma ISO 27001.

Page 4: Requerimientos Técnicos Del Esquema Nacional De Seguridad (ENS)

2. GENERALIDADES

Es el marco, obligatorio para lasadministraciones públicas, parala protección de la información ysu gestión a través de los medioselectrónicos.

Su creación se contempla en la

Ley 11/2007 LAECSPLey

37/2007Reutiliza

Info.

Ley 59/2003Firma-e

ESQUEMASu creación se contempla en laLEY 11/2007, de 22 de junio, deacceso electrónico de losciudadanos a los ServiciosPúblicos y se regula a través deReal Decreto del Gobierno deEspaña 3/2010, de 8 de enero.

Info.

Ley 30/1992Reg.Jur.AA.PP Ley

15/1999LOPD

Ley 56/2007

LISI

ESQUEMANACIONAL DE

SEGURIDAD

Page 5: Requerimientos Técnicos Del Esquema Nacional De Seguridad (ENS)

3. A QUIEN APLICA

Las Administraciones de lasComunidades Autónomas

Las Administraciones de lasComunidades Autónomas

La Administración General del Estado

La Administración General del Estado

Las entidades de derecho público vinculadas o dependientes de las

mismas

Las entidades de derecho público vinculadas o dependientes de las

mismas

Las Entidades que integran la Administración Local

Las Entidades que integran la Administración Local

Page 6: Requerimientos Técnicos Del Esquema Nacional De Seguridad (ENS)

4. A QUIENES AFECTA

Productos de Seguridad de la información

Productos de Seguridad de la información

Proveedores de Servicios TIProveedores de Servicios TI

El ENS precisa que los proveedores de servicios TI delas Administraciones Públicas deberán contar con unagestión y un nivel de madurez de seguridad equivalente alque tiene implantado la entidad.

Se valorará aquellos proveedores que tengancertificados relevantes de gestión o de productos.

Page 7: Requerimientos Técnicos Del Esquema Nacional De Seguridad (ENS)

5. CORRESPONDENCIAENS-ISO 27001 (I)

ENS REQUISITO ISO 27001

11 Política de Seguridad 4.2.1.b)

12Compromiso de la dirección

5.1.c) d)

13.113.2

Evaluación de riesgos 4.2.1.c) d) e)13.2

13.3 Gestión de riesgos 4.2.1.f) g)

27.1Documento de Aplicabilidad

4.2.1.g)

14 - 15Formación

5.2.2

34.1 Auditorías 4.2.3.e) - 6

26 Mejora continua 8.1

Page 8: Requerimientos Técnicos Del Esquema Nacional De Seguridad (ENS)

5. CORRESPONDENCIA ENS-ISO 27001 (II)

ENS REQUISITO ISO 27001

14.3 Uso aceptable de los activos A7.1.3

14.4 Gestión de privilegios de los usuarios A10.10.1 A11.2

15.3 Controlar los riesgos de terceros A6.2

16 Gestión de altas y bajas de usuarios A11.2.116 A11.2.1

17 Control de acceso A9.1

25 Copias de seguridad A10.5.1 - 14.1

24.1 Política de prevención de malware A10.4

24.2 Gestión de incidentes A13.1 - A13.2

27.2 LOPD A15.1.4

33.2 Firma electrónica A12.3 A15.1.6

Page 9: Requerimientos Técnicos Del Esquema Nacional De Seguridad (ENS)

6. CONCEPTOS BÁSICOS

La gestión de la seguridad debe ser un procesointegral.

Un programa de seguridad debe responder a lasnecesidades de reducción de riesgos de laentidad.

La utilización de estos tipos de medidas permitiráun enfoque integral de la seguridad.

Seguridad integral

Gestión de riesgos

Prevención, reacción y recuperación

El sistema debe contar con sucesivas capas deprotección para que si ocurre un incidente, nodesarrolle todo su potencial dañino.

El programa de seguridad debe ajustarse a loscambios que se vayan produciendo.

Las funciones de responsable de la información,responsable del servicio y responsable de laseguridad deben estar separadas.

y recuperación

Líneas de defensa

Reevaluación periódica

Función diferenciada

Page 10: Requerimientos Técnicos Del Esquema Nacional De Seguridad (ENS)

7. ELEMENTOS SUJETOS AL ENS

Todos los elementos técnicos, humanos,materiales y organizativos, relacionados con laAdministración Electrónica, y en particular:

Page 11: Requerimientos Técnicos Del Esquema Nacional De Seguridad (ENS)

8. PROYECTO DE IMPLANTACIÓN

1. Planificar la implantaciónOrganizar el Comité deSeguridadRealizar plan de acciónEstablecer objetivosRecopilar información

2. DesarrollarPolítica de SeguridadPolítica de SeguridadInventario de activosCategorización de sistemasAnálisis de riesgosDocumento de aplicabilidadNormativa de seguridad

3. Revisar y actualizarVerificar y validar objetivosFormaciónPlanes de auditorías

Page 12: Requerimientos Técnicos Del Esquema Nacional De Seguridad (ENS)

9. TAREA 1: PLANIFICACIÓN

Asignar formalmente los cargos deResponsable de Seguridad,Responsable del Servicio yResponsable de la Información.Crear y definir el/los Comité/s deSeguridad, responsable de velar porSeguridad, responsable de velar porel cumplimiento de la política deseguridad de la organización yestablecer los objetivos.Recopilar los servicios electrónicos einfomación que componen el/lossistemas de la entidad.

Page 13: Requerimientos Técnicos Del Esquema Nacional De Seguridad (ENS)

10. TAREA 2: DESARROLLO (1)

Definir y aprobar formalmente la Políticade Seguridad. Deberá ser aprobada porel titular responsable de la acción degobierno.Definir el conjunto de activos sujetos alENS, identificando los sistemasENS, identificando los sistemasexistentes en la organización yvalorándolos de acuerdo a lasdimensiones de seguridadespecificadas en el esquema.Determinar la categoría del sistema osistemas identificados.

Page 14: Requerimientos Técnicos Del Esquema Nacional De Seguridad (ENS)

10. CATEGORIZACIÓN DE SISTEMAS

ACTIVOS SERVICIOS INFORMACIÓN

SISTEMA

DIMENSIONES

Portal web

Gestión de Expedientes

Información web

Información de

Expedientes

ConfidencialidadSin

M B M MConfidencialidadSin

valorarM B M M

Integridad B M B M M

Autenticidad B M B M M

Trazabilidad B M B M M

Disponibilidad M B M A A

Page 15: Requerimientos Técnicos Del Esquema Nacional De Seguridad (ENS)

Determinar las medidas deseguridad del Anexo 1 queaplican a los sistemas según sunivel.Llevar a cabo el Análisis de

11. TAREA 2: DESARROLLO (2)

Llevar a cabo el Análisis deRiesgos.Documentar la Declaración deAplicabilidad.Definir la Normativa deSeguridad, detallando cómo yquien hace las distintas tareas.

Page 16: Requerimientos Técnicos Del Esquema Nacional De Seguridad (ENS)

ESQUEMA NACIONAL DE SEGURIDAD (ENS)

Marco organizativo

11. NORMATIVAS DE SEGURIDAD (PARTE 1)

ESQUEMA NACIONAL DE SEGURIDAD (ENS)

Medidas de protección

Marco operacional

Page 17: Requerimientos Técnicos Del Esquema Nacional De Seguridad (ENS)

Marco organizativo

Política de seguridad

Normativa de seguridad

Procedimientos de seguridad

11. NORMATIVAS DE SEGURIDAD (PARTE 2)

ESQUEMA NACIONAL

DE SEGURIDAD (ENS)

Procesos de autorización

Órganos de gestión

Auditorías de seguridad:Cumplimiento legal ycumplimiento técnico

Page 18: Requerimientos Técnicos Del Esquema Nacional De Seguridad (ENS)

Planificación: Análisis deriesgos, arquitecturas deseguridad, componentes, etc.

Control de accesos

Explotación: Inventario deactivos, gestión de procesos,

11. NORMATIVAS DE SEGURIDAD (PARTE 3)

ESQUEMA NACIONAL activos, gestión de procesos,registros, sistemas deprotección

Servicios externos

Continuidad del servicio

Monitorización del sistema

Acreditación deconocimientos en la vidalaboral

Marco operacional

ESQUEMA NACIONAL

DE SEGURIDAD (ENS)

Page 19: Requerimientos Técnicos Del Esquema Nacional De Seguridad (ENS)

Protección de instalaciones e infraestructuras

Gestión del personal

Protección de equipos

Protección de las

11. NORMATIVAS DE SEGURIDAD (PARTE 4)

Medidas de protección

Protección de las comunicaciones

Protección de soportes de información

Protección de aplicaciones

Protección de la información

Protección de los servicios

ESQUEMA NACIONAL

DE SEGURIDAD (ENS)

Page 20: Requerimientos Técnicos Del Esquema Nacional De Seguridad (ENS)

12. TAREA 4: REVISAR Y MANTENER

Formar a todo el personal sobre lapolítica, normativa y procedimientosde seguridad.Evaluar los objetivos midiendo laeficacia de las medidas adoptadas.Revisar el sistema de gestión de laRevisar el sistema de gestión de laseguridad y mantenerlo actualizado.Realización de una Auditoría bienal deSeguridad que revise la política deseguridad y su cumplimiento, asícomo el conjunto de riesgos,normativas, procedimientos ycontroles establecidos.

Page 21: Requerimientos Técnicos Del Esquema Nacional De Seguridad (ENS)

13. CONCLUSIONES

La correcta implantación del ENS aportará:Confianza en la relación de los ciudadanos con laAdministración.Aumento de la satisfacción de los usuarios.Mejorar la Gestión de Seguridad de la Información,Mejorar la Gestión de Seguridad de la Información,favoreciendo el desarrollo de la propiaAdministración:�Mejorando la gestión de recursos y costes.�Aumentando la eficiencia y productividad.�Buscando la mejora continua.

Page 22: Requerimientos Técnicos Del Esquema Nacional De Seguridad (ENS)

14. GUIA AMETIC

Start Up, ha elaborado unaguía práctica sobre el ENSpublicada a través de lapágina de AMETIC.página de AMETIC.

http://www.ametic.es/projects/ens/Events/EventDetail.aspx?ID=257

Page 23: Requerimientos Técnicos Del Esquema Nacional De Seguridad (ENS)

Gracias por su atención

START-UP S.L.www.seguridadinformacion.com

www.esquemanacionaldeseguridad.com

[email protected]