Aspectos organizativos y metodológicos

Transcripción

1 DIRECCIÓN GENERAL DE INFRAESTRUCTURA SUBDIRECCIÓN GENERAL DE TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIONES SEGURIDAD DE LA INFORMACIÓN Aspectos organizativos y metodológicos 13 de octubre de 2011

2 ÍNDICE Hitos Normativos OM 76/2006 Bases Conceptuales OM 76/2006 Bases Funcionales OM 76/2006 Desarrollo Normativo Instrucción 41/2010 Estructura Funcional de SEGINFO. Consejo de Dirección de Seguridad de la Información del Ministerio de Defensa Algunos Datos. Situación Actual

3 Hitos Normativos Ley 9/1968, de 5 de abril reguladora de los secretos oficiales, modificada por la ley 48/1978. Orden Ministerial 76/2002, de 18 de abril, por la que se establece la política de seguridad para la protección de la información del Ministerio de Defensa almacenada, procesada o transmitida por sistemas de información y telecomunicaciones. Orden Ministerial 76/2006, de 19 de mayo, por la que se aprueba la política de seguridad de la información del Ministerio de Defensa. Instrucción 41/2010, de 7 de julio, del Secretario de Estado de Defensa, por la que se aprueban las normas para la aplicación de la Política de Seguridad de la Información del Ministerio de Defensa

4 OM 76/2006 Bases conceptuales La información es un recurso de carácter estratégico para el Ministerio y por tanto, debe garantizarse su protección. La información es un concepto abstracto e intangible que se elabora, presenta, almacena, procesa, transporta o destruye mediante elementos tangibles: las personas, los documentos, los sistemas de información y telecomunicaciones (SIT), las instalaciones y las empresas. La protección de la información se realizará mediante la aplicación y supervisión de medidas de seguridad dirigidas a las personas, los documentos, SIT, instalaciones y empresas

5 OM 76/2006 Bases funcionales Visión estratégica unitaria de la SEGINFO. Dirección única, que establece normas y pautas comunes. La SEGINFO es responsabilidad de todos los miembros del Ministerio. Se designa al SEDEF como Director de Seguridad de la Información del Ministerio de Defensa (DSIDEF). Se establece el Consejo de Dirección de la Seguridad de la Información del Ministerio de Defensa, como órgano de coordinación de la seguridad de la información del Ministerio

6 OM 76/2006 Desarrollo Normativo PRIMER NIVEL NORMATIVO POLITICA APLICACIÓN POLITICA SEGINFOSIT SEGINFOPER Aprobada por O.M. 76/2006 Aprobada por Instrucción n SEDEF 41/2010 SEGUNDO NIVEL NORMATIVO SEGINFODOC SEGINFOINS SEGINFOEMP INSTRUCCIONES TERCER NIVEL NORMATIVO GUÍAS Y PROCEDIMIENTOS - 5 -

7 Instrucción 41/2010 -Normas para la aplicación de la Política de Seguridad de la Información del Ministerio de Defensa Se designa al titular de la Dirección General de Infraestructura como responsable de las áreas de SEGINFO en las personas, documentos, SIT e instalaciones. Como órgano de Apoyo Técnico se designa a la SDGTIC. POLÍTICA DE SEGURIDAD Se designa al titular de la Dirección General de Armamento y Material como responsable del área de SEGINFO en poder de las empresas. Se establece la Estructura Funcional de la Seguridad de la información del Ministerio de Defensa. NORMAS DE APLICACIÓN Se establece el Comité de Seguimiento de Seguridad de la Información para llevar a cabo el seguimiento de las directrices en la Política SEGINFO y normativa de desarrollo

8 Estructura Funcional de la Seguridad de la Información SEGINFOSIT DIGENIN SEGINFOINS SEDEF - DSIDEF SEGINFOPER SEGINFODOC DIGAM SEGINFOEMP EMAD SEDEF SUBDEF SEGENPOL CGE CGA CGEA UME - 7 -

9 Consejo de Dirección de Seguridad de la Información del MINISDEF Reunión de constitución el 08 de octubre de Se aprueban una serie de acciones en cuanto a normativa, estructura funcional, plan de auditorías, plan de formación, concienciación y sensibilización Mandato a destacar: Creación y puesta en funcionamiento de un Centro Corporativo de Operaciones de Seguridad (COSDEF)

10 Algunos Datos AUDITORÍAS Se ejecutan auditorías sobre las 700 subredes de la Red de Área Extensa del Ministerio de Defensa, los 19 portales y aplicaciones web publicados en Internet por el Ministerio de Defensa y los 5 nuevos sistemas de información departamentales implantados en 2011 en el Ministerio de Defensa. FORMACIÓN Y SENSIBILIZACIÓN LOPD COSDEF Finalizadas tres ediciones del Curso Online Concienciación en Seguridad de la Información con más de 500 alumnos y la 1ª edición de Cursos de Desarrollo Seguro de Software y de Herramientas de Seguridad y Auditoría. Dentro del Plan de adecuación a la LOPD del MINISDEF se han realizado los proyectos de DIGENPER, DIGEREM, IGESAN, SEDEF, SEGENPOL, CCGG y de gran parte de la SUBDEF, se van a ejecutar auditorías bianuales previstas en la LOPD y se están ejecutando los planes de formación para la difusión de las implicaciones de la LOPD en el trabajo del personal del MINISDEF. Iniciados los trabajos de implantación del Centro y sus medios, definiendo estructura y medios, actualizando herramientas de monitorización y gestión de incidentes y desplegando la red de elementos de prevención de intrusiones, en la WAN-PG, recibiendo por encima de un millón de eventos de seguridad diarios desde varios cientos de equipos

11 Situación Actual NORMATIVA Publicada SEGINFOPER, pte de publicación SEGINFOINS, SEGINFODOC, finalizando borrador SEGINFOSIT. ESTRUCTURA SEGINFODEF Pendiente de convocar segunda reunión del Consejo de Dirección. AUDITORÍAS LOPD COSDEF Ejecutándose de manera continua auditorías y análisis de vulnerabilidades sobre SIT del Ministerio de Defensa. Ejecutándose la adecuación de los diferentes organizamos pendientes, llevando a cabo acciones de formación e implantación de la herramienta SILOPDEF. Llevando a cabo la adquisición e implantación del material necesario, definiendo los procedimientos de operación del COSDEF y llevando a cabo la redacción de la Instrucción de creación del Centro. Implantándose métricas de seguridad de la información en un ámbito, obteniendo el núcleo del Cuadro de Mando de Seguridad de la Información FORMACIÓN y CONCIENCIACIÓN Ejecutándose ediciones del Curso on-line de Concienciación en Seguridad de la Información en Defensa, Curso presencial de Seguridad de la Información en Defensa, pendiente de integración de la formación en SEGINFO en los Cursos de Alta Gestión de CESEDEN y llevándose a cabo las Jornadas SID anuales

12 INDICE Hitos Normativos OM 76/2006 Bases Conceptuales OM 76/2006 Bases Funcionales OM 76/2006 Desarrollo Normativo Instrucción 41/2010 Estructura Funcional de SEGINFO. Consejo de Dirección de Seguridad de la Información del Ministerio de Defensa Algunos Datos. Situación Actual