Estructura de la norma

• Se divide en 10 capítulos más una serie de disposiciones.

• Presenta una serie de anexos muy importantes a título técnico, donde se establecen:– La categoría de los sistemas.– Las medidas de seguridad.– La auditoría de seguridad.– Glosario de términos.

ObjetivosCrear las condiciones necesarias de confianza en el uso de los medios electrónicosEstablecer la política de seguridadIntroducir los elementos comunes que han de guiar la actuación de las Administraciones públicas en materia de seguridad de las tecnologías de la información.Aportar un lenguaje comúnAportar un tratamiento homogéneo de la seguridad Facilitar un tratamiento continuado de la seguridad.

Elementos del Esquema Nacional de Seguridad

Los principios básicos a considerar en las decisiones en materia de seguridad. Los requisitos mínimos que permitan una protección adecuada de la información. El mecanismo para lograr el cumplimiento de los principios básicos y de los requisitos mínimos mediante la adopción de medidas de seguridad proporcionadas a la naturaleza de la información y los servicios a proteger. Las comunicaciones electrónicas. La auditoría de la seguridad. La respuesta ante incidentes de seguridad. La certificación de la seguridad. La conformidad.

Requisitos mínimos• Los requisitos mínimos estimados por el

ENS son:– a) Organización e implantación del proceso de seguridad.– b) Análisis y gestión de los riesgos.– c) Gestión de personal.– d) Profesionalidad.– e) Autorización y control de los accesos. – f) Protección de las instalaciones.– g) Adquisición de productos.– h) Seguridad por defecto. – i) Integridad y actualización del sistema. – j) Protección de la información almacenada y en tránsito.– k) Prevención ante otros sistemas de información interconectados.– l) Registro de actividad.– m) Incidentes de seguridad.– n) Continuidad de la actividad.– o) Mejora continua del proceso de seguridad.

¿Quién está supeditado?

• Su ámbito de aplicación lo determina el artículo 2 de la Ley 11/2007.– A las Administraciones Públicas, entendiendo

por tales la Administración General del Estado, las Administraciones de las Comunidades Autónomas y las Entidades que integran la Administración Local, así como las entidades de derecho público vinculadas o dependientes de las mismas.

– Quedan exceptuadas las Administraciones Públicas en las actividades que desarrollen en régimen de derecho privado.

Aplicación de la política de seguridad

• Todos los órganos superiores de las Administraciones públicas deberán disponer formalmente de su política de seguridad.

• Deberá ser aprobada por el titular del órgano superior correspondiente.

• Se considerarán órganos superiores, los responsables directos de la ejecución de la acción del gobierno, central, autonómico o local, en un sector de actividad específico

• Los municipios podrán disponer de una política de seguridad común elaborada por la Diputación, Cabildo, Consejo Insular u órgano unipersonal.

Adecuación a la Norma

• La disposición transitoria estipula los tiempos para la adecuación de la normativa.• Los sistemas existentes a la entrada en vigor del presente real

decreto se adecuarán al Esquema Nacional de Seguridad de forma que permitan el cumplimiento de lo establecido en la disposición final tercera de la Ley 11/2007, de 22 de junio.

• Los nuevos sistemas aplicarán lo establecido en el presente real decreto desde su concepción.

• Si a los doce meses de la entrada en vigor del Esquema Nacional de Seguridad hubiera circunstancias que impidan la plena aplicación de lo exigido en el mismo, se dispondrá de un plan de adecuación que marque los plazos de ejecución los cuales, en ningún caso, serán superiores a 48 meses desde la entrada en vigor.

• La entrada en vigor se establece al día siguiente al de su publicación en el Boletín Oficial del Estado.

• GUIAS• https://www.ccn-cert.cni.es/publico/seriesCCN-STIC/series/800-Es

quema_Nacional_de_Seguridad/805-Politica_de_seguridad_del_ENS/805-ENS_politica-sep11.pdf

Implementación de seguridad

• Los requisitos mínimos se exigirán en proporción a los riesgos identificados en cada sistema.

• La seguridad deberá comprometer a todos los miembros de la organización. • Se deberán identificar los responsables y

deberá ser conocida por todos.• Cada organización que desarrolle e implante

sistemas para el tratamiento de la información y las comunicaciones deberá realizar su propia gestión de riesgos.

Adecuación al sistemaLa adecuación ordenada al Esquema Nacional de Seguridad requiere el tratamiento de las siguientes cuestiones:

– Preparar y aprobar la política de seguridad, incluyendo la definición de roles y la asignación de responsabilidades.

• CCN-STIC 805 Política de seguridad de la información

– Categorizar los sistemas atendiendo a la valoración de la información manejada y de los servicios prestados

• CCN-STIC 803 Valoración de sistemas en el Esquema Nacional de Seguridad

AdecuaciónPreparar y aprobar la Declaración de aplicabilidad de las medidas del Anexo II del ENS.

– CCN-STIC 804 Medidas e implantación del Esquema Nacional de Seguridad

Elaborar un plan de adecuación para la mejora de la seguridad, sobre la base de las insuficiencias detectadas, incluyendo plazos estimados de ejecución.

– CCN-STIC 806 Plan de adecuación del Esquema Nacional de Seguridad

Implantación

Implantar operar y monitorizar las medidas de seguridad a través de la gestión continuada de la seguridad correspondiente

– https://www.ccn-cert.cni.es/index.php?option=com_wrapper&view=wrapper&Itemid=211&lang=es

Auditoría

Auditar la seguridad– CCN-STIC 802 Auditoría del Esquema

Nacional de Seguridad– CCN-STIC 808 Verificación del

cumplimiento de las medidas en el Esquema Nacional de Seguridad

Informar

Informar sobre el estado de la seguridad

– CCN-STIC 815 Métricas e Indicadores en el Esquema Nacional de Seguridad

– CCN-STIC 824 Informe del Estado de Seguridad

La seguridad por defecto• Los sistemas deberán diseñarse y configurarse para

garantizar la seguridad por defecto.– Mínima funcionalidad en base a objetivos.– Las funciones de operación, administración y registro de

actividad serán las mínimas necesarias, siendo sólo accesibles por las personas, o desde equipos, autorizados.

– En un sistema de explotación se eliminarán o desactivarán, mediante el control de la configuración, las funciones que no sean de interés, innecesarias o inadecuadas.

– El uso ordinario del sistema ha de ser sencillo y seguro, de forma que una utilización insegura requiera de un acto consciente por parte del usuario.

Seguridad en evolución

• Se deberá conocer en todo momento el estado de seguridad de los sistemas.

• En este sentido es especialmente crítico la relación a las especificaciones de los fabricantes, en lo que a las vulnerabilidades y a las actualizaciones les afecten.

• Se reaccionará con diligencia para gestionar el riesgo a la vista del estado de seguridad de los mismos.

Escenario de protección de la información

• Se deberá proteger la información, tanto en los escenarios:– Datos almacenados.– Datos en tránsito.

• Se deberán extremar las medidas en aquellas circunstancias en las que la información viaje a través de redes públicas.

Anexo ICategoría de los sistemas

Fundamentos

• Los sistemas serán categorizados en base a una serie de criterios:– Impacto que tendría sobre la organización un

incidente de seguridad.– Repercusión de la organización para:

• Alcanzar sus objetivos.• Proteger los activos a su cargo.• Cumplir sus obligaciones diarias de servicio.• Respetar la legalidad vigente.• Respetar los derechos de las personas.

Dimensiones de seguridad• Las dimensiones determinan el impacto de seguridad de

una organización. Quedan identificadas por sus iniciales:– Disponibilidad [D].– Autenticidad [A].– Integridad [I].– Confidencialidad [C].– Trazabilidad [T].

• La dimensión de la seguridad se circunscribe en diferentes niveles:

• Bajo.• Medio.• Alto.

• Un servicio puede verse afectado por una o varias dimensiones de la seguridad.

Nivel Bajo

• Se utilizará cuando las consecuencias de un incidente de seguridad causen un perjuicio limitado.– La reducción de forma apreciable de la capacidad de la

organización para atender eficazmente con sus obligaciones corrientes, aunque estas sigan desempeñándose.

– El sufrimiento de un daño menor por los activos de la organización.

– El incumplimiento formal de alguna ley o regulación, que tenga carácter de subsanable.

– Causar un perjuicio menor a algún individuo, que aún siendo molesto pueda ser fácilmente reparable.

– Otros de naturaleza análoga.

Nivel Medio

• Se utilizará cuando las consecuencias de un incidente de seguridad causen un perjuicio grave.– La reducción significativa la capacidad de la organización

para atender eficazmente a sus obligaciones fundamentales, aunque estas sigan desempeñándose.

– El sufrimiento de un daño significativo por los activos de la organización.

– El incumplimiento material de alguna ley o regulación, o el incumplimiento formal que no tenga carácter de subsanable.

– Causar un perjuicio significativo a algún individuo, de difícil reparación.

– Otros de naturaleza análoga.

Nivel Alto

• Se utilizará cuando las consecuencias de un incidente de seguridad causen un perjuicio muy grave.– La anulación de la capacidad de la organización para

atender a alguna de sus obligaciones fundamentales y que éstas sigan desempeñándose.

– El sufrimiento de un daño muy grave, e incluso irreparable, por los activos de la organización.

– El incumplimiento grave de alguna ley o regulación.– Causar un perjuicio grave a algún individuo, de difícil o

imposible reparación.– Otros de naturaleza análoga.

Determinación de categorías

• Un sistema de información será de categoría ALTA si alguna de sus dimensiones de seguridad alcanza el nivel ALTO.

• Un sistema de información será de categoría MEDIA si alguna de sus dimensiones de seguridad alcanza el nivel MEDIO, y ninguna alcanza un nivel superior.

• Un sistema de información será de categoría BÁSICA si alguna de sus dimensiones de seguridad alcanza el nivel BAJO, y ninguna alcanza un nivel superior.

Nivel Alto

• Se utilizará cuando las consecuencias de un incidente de seguridad causen un perjuicio muy grave.– La anulación de la capacidad de la organización para

atender a alguna de sus obligaciones fundamentales y que éstas sigan desempeñándose.

– El sufrimiento de un daño muy grave, e incluso irreparable, por los activos de la organización.

– El incumplimiento grave de alguna ley o regulación.– Causar un perjuicio grave a algún individuo, de difícil o

imposible reparación.– Otros de naturaleza análoga.

LEY ORGÁNICA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL Y ESQUEMA

NACIONAL DE SEGURIDAD¿Se pueden entender equivalentes los niveles LOPD con los nivelesENS?

– Puesto que su determinación obedece a procedimientos distintos, cada sistema/servicio/tratamiento debe cualificarse independientemente: para su conformidad con la normativa de Protección de Datos de Carácter Personal y para con lo dispuesto en el ENS.

Anexo IIMedidas de seguridad

Agrupamiento de medidas

• En función de las naturalezas de medidas, estas pueden diferenciarse en:– Marco organizativo [org].

• Constituido por el conjunto de medidas relacionadas con la organización global de la seguridad.

– Marco operacional [op]. • Formado por las medidas a tomar para proteger la

operación del sistema como conjunto integral de componentes para un fin.

– Medidas de protección [mp]. • Se centran en proteger activos concretos, según su

naturaleza y la calidad exigida por el nivel de seguridad de las dimensiones afectadas.

Aplicación de medidas

• Las organizaciones deberán realizar un análisis de activos y riesgos.

• La aplicación de medidas se aplicarán en base a estos análisis.

• A los efectos de facilitar el cumplimiento de lo dispuesto en el anexo, cuando en un sistema de información existan sistemas que requieran la aplicación de un nivel de medidas de seguridad diferente al del sistema principal, podrán segregarse de este último.

• La relación de medidas seleccionadas se formalizará en un documento denominado Declaración de Aplicabilidad

Medidas de seguridad

Ejemplo práctico• MP Info-6.

Medidas de protección para la limpieza de documentos.

Anexo IIIAuditoría de seguridad

Principios de auditoría

• Los sistemas de seguridad deberán ser auditados en base a estos principios:– Que la política de seguridad define los roles y funciones de los

responsables de la información, los servicios, los activos y la seguridad del sistema de información.

– Que existen procedimientos para resolución de conflictos entre dichos responsables.

– Que se han designado personas para dichos roles a la luz del principio de «separación de funciones».

– Que se ha realizado un análisis de riesgos, con revisión y aprobación anual.

– Que se cumplen las recomendaciones de protección descritas en el anexo II, sobre Medidas de Seguridad, en función de las condiciones de aplicación en cada caso.

– Que existe un sistema de gestión de la seguridad de la información, documentado y con un proceso regular de aprobación por la dirección.

¿Cuándo realizarla?

• Según lo estipula el artículo 34 deberá realizarse con carácter ordinario cada dos años.

• Con carácter extraordinaria cuando se produzcan modificaciones sustanciales en el sistema de la información.

• Esta última iniciará de nuevo el cómputo del cálculo bienal de la auditoría ordinaria.

Niveles de auditoría

• Los sistemas de categoría básica no necesitará realizar una auditoría basta con una autoevaluación. No obstante esta deberá estar documentado.

• Las categorías de tipo medio y alto se realizarán según lo dispuesto en el artículo 34.

• Deberán generar un informe de auditoría.

Informe de auditoría

• Deberá, incluir los criterios metodológicos de auditoría utilizados, el alcance y el objetivo de la auditoría.

• Dictaminará sobre el grado de cumplimiento del presente real decreto, identificará sus deficiencias y sugerirá las posibles medidas correctoras o complementarias que sean necesarias.

• Los informes de auditoría serán analizados por el responsable de seguridad competente, que presentará sus conclusiones al responsable del sistema para que adopte las medidas correctoras adecuadas.

Art. 18 Adquisición productos seguridad

• En la adquisición de productos de seguridad de las tecnologías de la información y comunicaciones que vayan a ser utilizados por las Administraciones públicas se valorarán positivamente aquellos que tengan certificada la funcionalidad de seguridad relacionada con el objeto de su adquisición.

• La certificación deberá estar de acuerdo con las normas y estándares de mayor reconocimiento internacional, en el ámbito de la seguridad funcional.

OC ENECSTI

• Es el Organismo de Certificación del Esquema Nacional de Evaluación y Certificación de Seguridad de las Tecnologías de la Información.

• Constituido al amparo de lo dispuesto en el artículo 2.2.c) del Real Decreto 421/2004, de 12 de marzo, y regulado por la orden PRE/2740/2007, de 19 de septiembre.

• Dentro de sus competencias, se encuentran determinar el criterio a cumplir en función del uso previsto del producto a que se refiera, en relación con el nivel de evaluación, otras certificaciones de seguridad adicionales que se requieran normativamente, así como, excepcionalmente, en los casos en que no existan productos certificados.

• http://www.oc.ccn.cni.es

Common Criteria

• Reconocida mundialmente, presenta un acuerdo de colaboración con la OC ENECSTI.

• Evalúa productos en base a su seguridad quedando establecidos por niveles denominador EAL (Evaluation Assurance Level).

• Se dividen en 7 niveles, siendo los 4 primeros los destinados principalmente a productos de tipo comercial.

• WEB• http://www.commoncriteriaportal.org/