El documento presenta un resumen de los principales aspectos del Esquema Nacional de Seguridad en España. El Esquema Nacional de Seguridad establece los principios y requisitos mínimos de seguridad para las administraciones públicas españolas y entidades vinculadas. Incluye 10 capítulos que cubren temas como principios básicos de seguridad, requisitos mínimos, comunicaciones electrónicas, auditoría de seguridad, y categorización de sistemas de información. Las administraciones públicas tienen 12 meses para aplicarlo y 48
1. Seguridad de la Informaci´on
Formaci´on de Funcionarios de Nuevo Ingreso
Fernando Tricas Garc´ıa
ftricas@unizar.es
Dpto. de Inform´atica e Ingenier´ıa de Sistemas de la Escuela de Ingenier´ıa y
Arquitectura de la Universidad de Zaragoza
http://webdiis.unizar.es/~ftricas/
@fernand0
28 de septiembre de 2016
Seguridad de la Informaci´on. Fernando Tricas Garc´ıa. Formaci´on de Funcionarios de Nuevo Ingreso. DGA. 1
2. Esquema Nacional de Seguridad
Real Decreto 3/2010, de 8 de enero, por el que se regula el
Esquema Nacional de Seguridad en el ´ambito de la
Administraci´on Electr´onica.
... cuyo objeto es el establecimiento de los principios y requisitos
de una pol´ıtica de seguridad en la utilizaci´on de medios
electr´onicos que permita la adecuada protecci´on de la informaci´on.
La finalidad del Esquema Nacional de Seguridad es la creaci´on de
las condiciones necesarias de confianza en el uso de los medios
electr´onicos, a trav´es de medidas para garantizar la seguridad de
los sistemas, los datos, las comunicaciones, y los servicios
electr´onicos, que permita a los ciudadanos y a las Administraciones
p´ublicas, el ejercicio de derechos y el cumplimiento de
deberes a trav´es de estos medios.
Seguridad de la Informaci´on. Fernando Tricas Garc´ıa. Formaci´on de Funcionarios de Nuevo Ingreso. DGA. 2
3. Esquema Nacional de Seguridad
Sigue...
Actualmente los sistemas de informaci´on de las administraciones
p´ublicas est´an fuertemente imbricados entre s´ı y con sistemas de
informaci´on del sector privado: empresas y administrados.
Sigue...
En este contexto se entiende por seguridad de las redes y de la
informaci´on, la capacidad de las redes o de los sistemas de
informaci´on de resistir, con un determinado nivel de confianza, ...
Seguridad de la Informaci´on. Fernando Tricas Garc´ıa. Formaci´on de Funcionarios de Nuevo Ingreso. DGA. 3
4. Esquema Nacional de Seguridad
Sigue...
Actualmente los sistemas de informaci´on de las administraciones
p´ublicas est´an fuertemente imbricados entre s´ı y con sistemas de
informaci´on del sector privado: empresas y administrados.
Sigue...
En este contexto se entiende por seguridad de las redes y de la
informaci´on, la capacidad de las redes o de los sistemas de
informaci´on de resistir, con un determinado nivel de confianza, ...
Numerolog´ıa
50 p´aginas, diez cap´ıtulos, cuatro disposiciones adicionales, una
disposici´on transitoria, una disposici´on derogatoria y tres
disposiciones finales. Cinco anexos.
Seguridad de la Informaci´on. Fernando Tricas Garc´ıa. Formaci´on de Funcionarios de Nuevo Ingreso. DGA. 3
5. Esquema Nacional de Seguridad
Contexto
Recomendaciones de la Uni´on Europea (Decisi´on
2001/844/CE CECA, Euratom de la Comisi´on, de 29 de
noviembre de 2001, por la que se modifica su
Reglamento interno y Decisi´on 2001/264/CE del Consejo, de
19 de marzo de 2001, por la que se adoptan las normas de
seguridad del Consejo),
Situaci´on tecnol´ogica de las AAPP
Utilizaci´on de est´andares abiertos
Est´andares de uso generalizado por los ciudadanos
Seguridad de la Informaci´on. Fernando Tricas Garc´ıa. Formaci´on de Funcionarios de Nuevo Ingreso. DGA. 4
6. Esquema Nacional de Seguridad
Contexto
Normativa nacional sobre
Administraci´on electr´onica
protecci´on de datos de car´acter personal
firma electr´onica y documento nacional de identidad
electr´onico
Centro Criptol´ogico Nacional
sociedad de la informaci´on
reutilizaci´on de la informaci´on en el sector p´ublico y ´organos
colegiados responsables de la Administraci´on Electr´onica
regulaci´on de diferentes instrumentos y servicios de la
Administraci´on
las directrices y gu´ıas de la OCDE
disposiciones nacionales e internacionales sobre normalizaci´on
Seguridad de la Informaci´on. Fernando Tricas Garc´ıa. Formaci´on de Funcionarios de Nuevo Ingreso. DGA. 5
7. Esquema Nacional de Seguridad
Contexto
Ley 11/2007, de 22 de junio, de acceso electr´onico de los
ciudadanos a los Servicios P´ublico
Ley Org´anica 15/1999, de 13 de diciembre, de Protecci´on de
Datos de Car´acter Personal
Ley 30/1992, de 26 de noviembre, de R´egimen Jur´ıdico de las
Administraciones P´ublicas y del Procedimiento Administrativo
Com´un
Ley 37/2007, de 16 de noviembre, sobre reutilizaci´on de la
informaci´on del sector p´ublico
Otros documentos y normas
Seguridad de la Informaci´on. Fernando Tricas Garc´ıa. Formaci´on de Funcionarios de Nuevo Ingreso. DGA. 6
8. Mirando alrededor
Seguridad de la Informaci´on. Fernando Tricas Garc´ıa. Formaci´on de Funcionarios de Nuevo Ingreso. DGA. 7
9. PCI DSS
Payment Card Industry Data Security Standard
VISA 15 de diciembre de 2004
‘Payment Card Industry. Data Security Standard’
Versi´on 1.0
(PCI 1.0 Master Card Internacional. Enero 2005)
PCI DSS 3.1, abril de 2015.
PCI DSS 1.1, (septiembre de 2006), PCI DSS 1.2, (1 de
octubre de 2008)
PCI DSS 2.0, 28 de octubre de 2010.
PCI DSS 3.0, noviembre de 2013.
https://www.pcisecuritystandards.org/
https://www.pcisecuritystandards.org/popups/pcirocks.php
http://www.youtube.com/watch?v=xpfCr4By71U
https://www.pcisecuritystandards.org/security_standards/
documents.php
Seguridad de la Informaci´on. Fernando Tricas Garc´ıa. Formaci´on de Funcionarios de Nuevo Ingreso. DGA. 8
10. PCI DSS
Payment Card Industry Data Security Standard
VISA 15 de diciembre de 2004
‘Payment Card Industry. Data Security Standard’
Versi´on 1.0
(PCI 1.0 Master Card Internacional. Enero 2005)
PCI DSS 3.1, abril de 2015.
PCI DSS 1.1, (septiembre de 2006), PCI DSS 1.2, (1 de
octubre de 2008)
PCI DSS 2.0, 28 de octubre de 2010.
PCI DSS 3.0, noviembre de 2013.
https://www.pcisecuritystandards.org/
https://www.pcisecuritystandards.org/popups/pcirocks.php
http://www.youtube.com/watch?v=xpfCr4By71U
https://www.pcisecuritystandards.org/security_standards/
documents.php
Seguridad de la Informaci´on. Fernando Tricas Garc´ıa. Formaci´on de Funcionarios de Nuevo Ingreso. DGA. 8
11. PCI: ´ındice
Seguridad de la Informaci´on. Fernando Tricas Garc´ıa. Formaci´on de Funcionarios de Nuevo Ingreso. DGA. 9
12. Motivaci´on
Promover la gesti´on continuada de la seguridad
Prevenci´on, detecci´on y correcci´on
Tratamiento homog´eneo de la seguridad. Lenguaje y
elementos comunes
Guiar actuaci´on AAPP
Favorecer interacci´on y cooperaci´on
Facilitar la comunicaci´on de requisitos a la industria
Seguridad de la Informaci´on. Fernando Tricas Garc´ıa. Formaci´on de Funcionarios de Nuevo Ingreso. DGA. 10
13. Motivaci´on
Es la ley
Buenas pr´acticas
Responsabilidad (y no)
Seguridad de la Informaci´on. Fernando Tricas Garc´ıa. Formaci´on de Funcionarios de Nuevo Ingreso. DGA. 11
14. (Des)Motivaci´on
Burocracia
Com´un normalmente no es suficientemente bueno
http://dilbert.com/strip/2008-09-03
Seguridad de la Informaci´on. Fernando Tricas Garc´ıa. Formaci´on de Funcionarios de Nuevo Ingreso. DGA. 12
15. Cumplimiento obligado para...
Administraci´on General del Estado
Administraciones de las Comunidades Aut´onomas
Administraciones Locales
Entidades de derecho p´ublico vinculadas o dependientes del
conjunto de la administraci´on espa˜nola
(Las Universidades, Autoridades Portuarias y aeroportuarias,
entidades p´ublicas tipo Institutos de Desarrollo Econ´omico,
Servicios de Salud, etc.)
Seguridad de la Informaci´on. Fernando Tricas Garc´ıa. Formaci´on de Funcionarios de Nuevo Ingreso. DGA. 13
16. Aplicaci´on
12 meses a partir de la publicaci´on
Si a los doce meses de la entrada en vigor del Esquema Nacional
de Seguridad hubiera circunstancias que impidan la plena
aplicaci´on de lo exigido en el mismo, se dispondr´a de un plan de
adecuaci´on que marque los plazos de ejecuci´on los cuales, en
ning´un caso, ser´an superiores a 48 meses desde la entrada en vigor.
8 de enero de 2014
Seguridad de la Informaci´on. Fernando Tricas Garc´ıa. Formaci´on de Funcionarios de Nuevo Ingreso. DGA. 14
17. Disposici´on adicional primera. Formaci´on
El personal de las Administraciones p´ublicas recibir´a, de acuerdo
con lo previsto en la disposici´on adicional segunda de la Ley
11/2007, de 22 de junio, la formaci´on necesaria para garantizar
el conocimiento del presente Esquema Nacional de Seguridad, a
cuyo fin los ´organos responsables dispondr´an lo necesario para que
la formaci´on sea una realidad efectiva.
Seguridad de la Informaci´on. Fernando Tricas Garc´ıa. Formaci´on de Funcionarios de Nuevo Ingreso. DGA. 15
18. Esquema Nacional de Seguridad
En este real decreto se concibe la seguridad como una actividad
integral, en la que no caben actuaciones puntuales o tratamientos
coyunturales
Seguridad de la Informaci´on. Fernando Tricas Garc´ıa. Formaci´on de Funcionarios de Nuevo Ingreso. DGA. 16
19. ENS
Cap´ıtulo I. Disposiciones Generales
Cap´ıtulo II. Principios b´asicos
Cap´ıtulo III. Requisitos m´ınimos
Cap´ıtulo IV. Comunicaciones electr´onicas
Cap´ıtulo V. Auditor´ıa de la seguridad
Cap´ıtulo VI. Estado de seguridad de los sistemas
Cap´ıtulo VII. Respuesta a incidentes de seguridad
Cap´ıtulo VIII. Normas de conformidad
Cap´ıtulo IX. Actualizaci´on
Cap´ıtulo X. Categorizaci´on de los sistemas de informaci´on
Seguridad de la Informaci´on. Fernando Tricas Garc´ıa. Formaci´on de Funcionarios de Nuevo Ingreso. DGA. 17
20. Cap´ıtulo II. Principios b´asicos
Seguridad integral.
Gesti´on de riesgos.
Prevenci´on, reacci´on y recuperaci´on.
L´ıneas de defensa.
Reevaluaci´on peri´odica.
Funci´on diferenciada.
Seguridad de la Informaci´on. Fernando Tricas Garc´ıa. Formaci´on de Funcionarios de Nuevo Ingreso. DGA. 18
21. Cap´ıtulo III
Organizaci´on e implantaci´on del proceso de seguridad.
An´alisis y gesti´on de los riesgos.
Gesti´on de personal.
Profesionalidad.
Autorizaci´on y control de los accesos.
Protecci´on de las instalaciones.
Adquisici´on de productos.
Seguridad por defecto.
Integridad y actualizaci´on del sistema.
Protecci´on de la informaci´on almacenada y en tr´ansito.
Prevenci´on ante otros sistemas de informaci´on
interconectados.
Registro de actividad.
Incidentes de seguridad.
Continuidad de la actividad.
Mejora continua del proceso de seguridad.
Seguridad de la Informaci´on. Fernando Tricas Garc´ıa. Formaci´on de Funcionarios de Nuevo Ingreso. DGA. 19
22. Cap´ıtulo IV. Comunicaciones electr´onicas
Notificaciones
AUTENTICIDAD (Origen – Destino)
INTEGRIDAD
CONSTANCIA (Fecha – Hora – Puesta a disposici´on –
Acceso)
Firma electr´onica
Seguridad de la Informaci´on. Fernando Tricas Garc´ıa. Formaci´on de Funcionarios de Nuevo Ingreso. DGA. 20
23. Cap´ıtulo V. Auditor´ıa
Cada dos a˜nos
‘... profundizar´a en los detalles del sistema hasta el nivel que
considere que proporciona evidencia suficiente y relevante ...’
‘... se utilizar´an los criterios, m´etodos de trabajo y de
conducta generalmente reconocidos ...’
Grado de cumplimiento
Presentado al responsable del sistema y de seguridad
Art. 7. ‘En el caso de los sistemas de categor´ıa ALTA, visto el
dictamen de auditor´ıa, el responsable del sistema podr´a
acordar la retirada de operaci´on de alguna informaci´on, de
alg´un servicio o del sistema en su totalidad, durante el tiempo
que estime prudente y hasta la satisfacci´on de las
modificaciones prescritas.’
Seguridad de la Informaci´on. Fernando Tricas Garc´ıa. Formaci´on de Funcionarios de Nuevo Ingreso. DGA. 21
24. ENS
Cap´ıtulo I. Disposiciones Generales
Cap´ıtulo II. Principios b´asicos
Cap´ıtulo III. Requisitos m´ınimos
Cap´ıtulo IV. Comunicaciones electr´onicas
Cap´ıtulo V. Auditor´ıa de la seguridad
Cap´ıtulo VI. Estado de seguridad de los sistemas
Cap´ıtulo VII. Respuesta a incidentes de seguridad
Cap´ıtulo VIII. Normas de conformidad
Cap´ıtulo IX. Actualizaci´on
Cap´ıtulo X. Categorizaci´on de los sistemas de informaci´on
Seguridad de la Informaci´on. Fernando Tricas Garc´ıa. Formaci´on de Funcionarios de Nuevo Ingreso. DGA. 22
25. CAP´ITULO VII Respuesta a incidentes de seguridad
El Centro Criptol´ogico Nacional (CCN) articular´a la respuesta
Prestar´a los servicios:
Soporte y coordinaci´on
Investigaci´on y divulgaci´on
Formaci´on personal especialista
Seguridad de la Informaci´on. Fernando Tricas Garc´ıa. Formaci´on de Funcionarios de Nuevo Ingreso. DGA. 23
26. ENS
Cap´ıtulo I. Disposiciones Generales
Cap´ıtulo II. Principios b´asicos
Cap´ıtulo III. Requisitos m´ınimos
Cap´ıtulo IV. Comunicaciones electr´onicas
Cap´ıtulo V. Auditor´ıa de la seguridad
Cap´ıtulo VI. Estado de seguridad de los sistemas
Cap´ıtulo VII. Respuesta a incidentes de seguridad
Cap´ıtulo VIII. Normas de conformidad
Cap´ıtulo IX. Actualizaci´on
Cap´ıtulo X. Categorizaci´on de los sistemas de informaci´on
Seguridad de la Informaci´on. Fernando Tricas Garc´ıa. Formaci´on de Funcionarios de Nuevo Ingreso. DGA. 24
27. CAP´ITULO X. Categorizaci´on de los sistemas de
informaci´on
Equilibrio entre importancia de la informaci´on, servicios y
esfuerzo de seguridad requerido
Impacto que tendr´ıa un incidente
Impacto valor de los activos + criticidad de las
vulnerabilidades
Riesgos (‘risks’): probabilidad × impacto
Repercusi´on en la capacidad de la organizaci´on para el logro
de sus objetivos
Valoraciones ... Responsable de cada informaci´on o servicio
Categor´ıa ... Responsable del sistema
Seguridad de la Informaci´on. Fernando Tricas Garc´ıa. Formaci´on de Funcionarios de Nuevo Ingreso. DGA. 25
28. Anexo I. Categor´ıas de los sistemas
Fundamentos:
Alcanzar sus objetivos.
Proteger los activos a su cargo.
Cumplir sus obligaciones diarias de servicio.
Respetar la legalidad vigente.
Respetar los derechos de las personas.
Seguridad de la Informaci´on. Fernando Tricas Garc´ıa. Formaci´on de Funcionarios de Nuevo Ingreso. DGA. 26
29. Anexo I. Categor´ıas de los sistemas
Dimensiones:
Disponibilidad [D]
Autenticidad [A]
Integridad [I]
Confidencialidad [C]
Trazabilidad [T]
Seguridad de la Informaci´on. Fernando Tricas Garc´ıa. Formaci´on de Funcionarios de Nuevo Ingreso. DGA. 27
30. Anexo I. Niveles
BAJO
‘... supongan un perjuicio limitado sobre las funciones de la
organizaci´on, sobre sus activos o sobre los individuos
afectados.’
Palabras clave: apreciable, subsanable, reparable
MEDIO
‘... supongan un perjuicio grave sobre las funciones de la
organizaci´on, sobre sus activos o sobre los individuos
afectados.’
Palabras clave: significativa, no subsanable, de dif´ıcil
reparaci´on
ALTO
‘... supongan un perjuicio muy grave sobre las funciones de la
organizaci´on, sobre sus activos o sobre los individuos
afectados’
Palabras clave: anulaci´on de capacidad, irreparable,
incumplimiento grave
Seguridad de la Informaci´on. Fernando Tricas Garc´ıa. Formaci´on de Funcionarios de Nuevo Ingreso. DGA. 28
31. Anexo I. Determinaci´on
1. Identificaci´on de nivel para cada informaci´on y servicio
2. Determinaci´on de categor´ıa del sistema
Seguridad de la Informaci´on. Fernando Tricas Garc´ıa. Formaci´on de Funcionarios de Nuevo Ingreso. DGA. 29
32. Anexo I. Determinaci´on
1. Identificaci´on de nivel para cada informaci´on y servicio
2. Determinaci´on de categor´ıa del sistema
Categor´ıas
BAJA
MEDIA
ALTA
Si algunas de sus dimensiones alcanza el nivel ... y ninguna
alcanza un nivel superior.
Seguridad de la Informaci´on. Fernando Tricas Garc´ıa. Formaci´on de Funcionarios de Nuevo Ingreso. DGA. 29
33. Anexo II. Medidas de seguridad
Medidas proporcionales a:
Las dimensiones de seguridad relevantes en el sistema a
proteger.
La categor´ıa del sistema de informaci´on a proteger.
Seguridad de la Informaci´on. Fernando Tricas Garc´ıa. Formaci´on de Funcionarios de Nuevo Ingreso. DGA. 30
34. Anexo II. Medidas de seguridad
Medidas proporcionales a:
Las dimensiones de seguridad relevantes en el sistema a
proteger.
La categor´ıa del sistema de informaci´on a proteger.
Divididas en tres grupos:
Tres grupos:
Marco organizativo [org]
Marco operacional [op]
Medidas de protecci´on [mp]
Seguridad de la Informaci´on. Fernando Tricas Garc´ıa. Formaci´on de Funcionarios de Nuevo Ingreso. DGA. 30
35. Anexo II. Selecci´on de Medidas de Seguridad
Identificaci´on de los tipos de activos presentes.
Determinaci´on de las dimensiones de seguridad relevantes,
teniendo en cuenta lo establecido en el anexo I.
Determinaci´on del nivel correspondiente a cada dimensi´on de
seguridad, teniendo en cuenta lo establecido en el anexo I.
Determinaci´on de la categor´ıa del sistema, seg´un lo
establecido en el Anexo I.
Selecci´on de las medidas de seguridad apropiadas de entre las
contenidas en este Anexo, de acuerdo con las dimensiones de
seguridad y sus niveles, y, para determinadas medidas de
seguridad, de acuerdo con la categor´ıa del sistema.
Seguridad de la Informaci´on. Fernando Tricas Garc´ıa. Formaci´on de Funcionarios de Nuevo Ingreso. DGA. 31
36. Anexo II. Selecci´on de medidas de seguridad
[D]isponibilidad – [A]utenticidad – [I]ntegridad
[C]onfidencialidad – [T]razabilidad
Seguridad de la Informaci´on. Fernando Tricas Garc´ıa. Formaci´on de Funcionarios de Nuevo Ingreso. DGA. 32
37. Anexo II. Selecci´on de medidas de seguridad
Mecanismo de autenticaci´on [op.acc.5]
Los mecanismos de autenticaci´on frente al sistema se adecuar´an al
nivel del sistema atendiendo a las consideraciones que siguen,
pudiendo usarse los siguientes factores de autenticaci´on:
“algo que se sabe”
“algo que se tiene”
“algo que se es”
(Sigue...)
Seguridad de la Informaci´on. Fernando Tricas Garc´ıa. Formaci´on de Funcionarios de Nuevo Ingreso. DGA. 33
38. Pol´ıtica de seguridad
Mecanismo de autenticaci´on [op.acc.5]
Sigue...
Los factores anteriores podr´an utilizarse de manera aislada o combinarse para
generar mecanismos de autenticaci´on fuerte.
Las gu´ıas CCN-STIC desarrollar´an los mecanismos concretos adecuados para
cada nivel.
Las instancias del factor o los factores de autenticaci´on que se utilicen en el
sistema, se denominar´an credenciales.
Antes de proporcionar las credenciales de autenticaci´on a los usuarios, estos
deber´an haberse identificado y registrado de manera fidedigna ante el sistema o
ante un proveedor de identidad electr´onica reconocido por la Administraci´on.
Se contemplan varias posibilidades de registro de los usuarios:
Mediante la presentaci´on f´ısica del usuario y verificaci´on de su identidad
acorde a la legalidad vigente, ante un funcionario habilitado para ello.
De forma telem´atica, mediante DNI electr´onico o un certificado
electr´onico cualificado.
De forma telem´atica, utilizando otros sistemas admitidos legalmente para
la identificaci´on de los ciudadanos de los contemplados en la normativa
de aplicaci´on.
Seguridad de la Informaci´on. Fernando Tricas Garc´ıa. Formaci´on de Funcionarios de Nuevo Ingreso. DGA. 34
39. Pol´ıtica de seguridad
Mecanismo de autenticaci´on [op.acc.5]. Nivel BAJO
Como principio general, se admitir´a el uso de cualquier mecanismo de
autenticaci´on sustentado en un solo factor.
En el caso de utilizarse como factor “algo que se sabe” se aplicar´an reglas
b´asicas de calidad de la misma.
Se atender´a a la seguridad de las credenciales de forma que:
1. Las credenciales se activar´an una vez est´en bajo el control
efectivo del usuario.
2. Las credenciales estar´an bajo el control exclusivo del usuario.
3. El usuario reconocer´a que las ha recibido y que conoce y
acepta las obligaciones que implica su tenencia, en particular,
el deber de custodia diligente, protecci´on de su
confidencialidad e informaci´on inmediata en caso de p´erdida.
4. Las credenciales se cambiar´an con una periodicidad marcada
por la pol´ıtica de la organizaci´on, atendiendo a la categor´ıa del
sistema al que se accede.
5. Las credenciales se retirar´an y ser´an deshabilitadas cuando la
entidad (persona, equipo o proceso) que autentican termina su
relaci´on con el sistema.Seguridad de la Informaci´on. Fernando Tricas Garc´ıa. Formaci´on de Funcionarios de Nuevo Ingreso. DGA. 35
40. Pol´ıtica de seguridad
Mecanismo de autenticaci´on [op.acc.5]. Nivel MEDIO
Se exigir´a el uso de al menos dos factores de autenticaci´on.
En el caso de utilizaci´on de “algo que se sabe” como factor de
autenticaci´on, se establecer´an exigencias rigurosas de calidad y
renovaci´on.
Las credenciales utilizadas deber´an haber sido obtenidas tras un registro
previo:
1. Presencial.
2. Telem´atico usando certificado electr´onico cualificado.
3. Telem´atico mediante una autenticaci´on con una credencial
electr´onica obtenida tras un registro previo presencial o
telem´atico usando certificado electr´onico cualificado en
dispositivo cualificado de creaci´on de firma.
Seguridad de la Informaci´on. Fernando Tricas Garc´ıa. Formaci´on de Funcionarios de Nuevo Ingreso. DGA. 36
41. Pol´ıtica de seguridad
Mecanismo de autenticaci´on [op.acc.5]. Nivel ALTO
Las credenciales se suspender´an tras un periodo definido de no utilizaci´on.
En el caso del uso de utilizaci´on de “algo que se tiene”, se requerir´a el
uso de elementos criptogr´aficos hardware usando algoritmos y par´ametros
acreditados por el Centro Criptol´ogico Nacional.
Las credenciales utilizadas deber´an haber sido obtenidas tras un registro
previo presencial o telem´atico usando certificado electr´onico cualificado
en dispositivo cualificado de creaci´on de firma.))
Seguridad de la Informaci´on. Fernando Tricas Garc´ıa. Formaci´on de Funcionarios de Nuevo Ingreso. DGA. 37
42. Pol´ıtica de seguridad
Desarrollo de aplicaciones [mp.sw.1]
El desarrollo de aplicaciones se realizar´a sobre un sistema diferente y
separado del de producci´on, no debiendo existir herramientas o datos de
desarrollo en el entorno de producci´on.
Se aplicar´a una metodolog´ıa de desarrollo reconocida que:
1. Tome en consideraci´on los aspectos de seguridad a lo largo de
todo el ciclo de vida.
2. Trate espec´ıficamente los datos usados en pruebas.
3. Permita la inspecci´on del c´odigo fuente.
Los siguientes elementos ser´an parte integral del dise˜no del sistema:
1. Los mecanismos de identificaci´on y autenticaci´on.
2. Los mecanismos de protecci´on de la informaci´on tratada.
3. La generaci´on y tratamiento de pistas de auditor´ıa.
Las pruebas anteriores a la implantaci´on o modificaci´on de los sistemas de
informaci´on no se realizar´an con datos reales, salvo que se asegure el nivel
de seguridad correspondiente.Seguridad de la Informaci´on. Fernando Tricas Garc´ıa. Formaci´on de Funcionarios de Nuevo Ingreso. DGA. 38
43. Casi todo...
“4.3.3 Gesti´on de la configuraci´on [op.exp.3].”
“4.3.7 Gesti´on de incidentes [op.exp.7].”
“4.3.8 Registro de la actividad de los usuarios [op.exp.8].”
“4.3.9 Registro de la gesti´on de incidentes [op.exp.9].”
“4.3.11 Protecci´on de claves criptogr´aficas [op.exp.11].”
“5.2.3 Concienciaci´on [mp.per.3].”
Seguridad de la Informaci´on. Fernando Tricas Garc´ıa. Formaci´on de Funcionarios de Nuevo Ingreso. DGA. 39
44. Pol´ıtica de seguridad
Los objetivos o misi´on de la organizaci´on.
El marco legal y regulatorio en el que se desarrollar´an las
actividades.
Los roles o funciones de seguridad, definiendo para cada uno,
los deberes y responsabilidades del cargo, as´ı como el
procedimiento para su designaci´on y renovaci´on.
La estructura del comit´e o los comit´es para la gesti´on y
coordinaci´on de la seguridad, detallando su ´ambito de
responsabilidad, los miembros y la relaci´on con otros
elementos de la organizaci´on.
Las directrices para la estructuraci´on de la documentaci´on de
seguridad del sistema, su gesti´on y acceso
Coherente con el Documento de Seguridad (LOPD y su desarrollo)
Seguridad de la Informaci´on. Fernando Tricas Garc´ıa. Formaci´on de Funcionarios de Nuevo Ingreso. DGA. 40
45. Normativa de seguridad
El uso correcto de equipos, servicios e instalaciones.
Lo que se considerar´a uso indebido.
La responsabilidad del personal con respecto al cumplimiento
o violaci´on de estas normas: derechos, deberes y medidas
disciplinarias de acuerdo con la legislaci´on vigente.
Seguridad de la Informaci´on. Fernando Tricas Garc´ıa. Formaci´on de Funcionarios de Nuevo Ingreso. DGA. 41
46. Ejemplo. Procedimientos de seguridad
C´omo llevar a cabo las tareas habituales.
Qui´en debe hacer cada tarea.
C´omo identificar y reportar comportamientos an´omalos.
Seguridad de la Informaci´on. Fernando Tricas Garc´ıa. Formaci´on de Funcionarios de Nuevo Ingreso. DGA. 42
47. Ejemplo. Proceso de autorizaci´on
Utilizaci´on de instalaciones, habituales y alternativas.
Entrada de equipos en producci´on, en particular, equipos que
involucren criptograf´ıa.
Entrada de aplicaciones en producci´on.
Establecimiento de enlaces de comunicaciones con otros
sistemas.
Utilizaci´on de medios de comunicaci´on, habituales y
alternativos.
Utilizaci´on de soportes de informaci´on.
Utilizaci´on de equipos m´oviles. Se entender´a por equipos
m´oviles ordenadores port´atiles, PDA, u otros de naturaleza
an´aloga.
Seguridad de la Informaci´on. Fernando Tricas Garc´ıa. Formaci´on de Funcionarios de Nuevo Ingreso. DGA. 43
48. Requisitos
Sistemas de informaci´on de categor´ıa B´ASICA
Realizar Autoevaluaci´on
Elaborar el documento de autoevaluaci´on
Exhibir una Declaraci´on de Conformidad (Voluntaria)
Seguridad de la Informaci´on. Fernando Tricas Garc´ıa. Formaci´on de Funcionarios de Nuevo Ingreso. DGA. 44
49. Requisitos
Sistemas de informaci´on de categor´ıa MEDIA y ALTA
Realizar Auditoria formal
Elaborar el documento de auditor´ıa
Exhibir una Declaraci´on de Conformidad
Seguridad de la Informaci´on. Fernando Tricas Garc´ıa. Formaci´on de Funcionarios de Nuevo Ingreso. DGA. 45
50. Requisitos. Operadores privados
Mismos procedimientos que para la Administraci´on
Las entidades de la Administraci´on usuarias podr´an solicitar
los Informes de Autoevaluaci´on o Auditor´ıa correspondientes.
Seguridad de la Informaci´on. Fernando Tricas Garc´ıa. Formaci´on de Funcionarios de Nuevo Ingreso. DGA. 46
51. ENS 2.0
.
.. dada la r´apida evoluci´on de las tecnolog´ıas de aplicaci´on y la
experiencia derivada de la implantaci´on del Esquema Nacional de
Seguridad aconsejan la actualizaci´on de esta norma ...
2015
Seguridad de la Informaci´on. Fernando Tricas Garc´ıa. Formaci´on de Funcionarios de Nuevo Ingreso. DGA. 47
53. Cambios
Disposici´on adicional cuarta. Instrucciones t´ecnicas.
Informe del estado de la seguridad (INES).
Notificaci´on de incidentes de seguridad.
Auditor´ıa de la seguridad.
Conformidad con el Esquema Nacional de Seguridad.
Adquisici´on de productos de seguridad.
Criptolog´ıa de empleo en el Esquema Nacional de Seguridad.
Interconexi´on en el Esquema Nacional de Seguridad.
Requisitos de seguridad en entornos externalizados.
Seguridad de la Informaci´on. Fernando Tricas Garc´ıa. Formaci´on de Funcionarios de Nuevo Ingreso. DGA. 49
54. Gu´ıas y herramientas
Seguridad de la Informaci´on. Fernando Tricas Garc´ıa. Formaci´on de Funcionarios de Nuevo Ingreso. DGA. 50
55. Esquema Nacional de Seguridad
ENS
Seguridad de la Informaci´on. Fernando Tricas Garc´ıa. Formaci´on de Funcionarios de Nuevo Ingreso. DGA. 51