Gestionando la seguridad de la información T14: Esquema Nacional de Seguridad y las Administraciones Públicas (2ª parte) José Angel Valderrama Antón Gerente de Nuevas Tecnologías AENOR
Índice 1. El Esquema Nacional de Seguridad 2. Establecer el Sistema de Gestión de SI 3. Conclusiones 2
1 - El Esquema Nacional de Seguridad Instrumento para el desarrollo de la administración electrónica, mediante las garantías de seguridad que aporta a ciudadanos y AAPP. Está definido Regulación legal. Generar confianza Para quienes, para qué y exclusiones. Plazos, para los nuevos SI y para los existentes. Medidas de seguridad, y requisitos mínimos. Agentes implicados, guías de aplicación. y basado en la experiencia En Seguridad. En implantación de SGSI ISO 27001. En auditoría y certificación de SGSI - ISO 27006 / Acreditación ENAC. 3
1 El Esquema Nacional de Seguridad No es lo mismo ENS y SGSI ISO 27001 pero muy parecido en cuanto a requisitos ENS ISO 27001 Obligatorio, según plazos definidos Voluntario. Basado en la normalización internacional y nacional Ámbito nacional Relación con LOPD, pero independiente Administración, entidades de derecho público Alcance fijo / establecido Auditoría, según requisitos y Guía de seguridad Requisitos e inventario de medidas de seguridad. Específico, y con requisitos mínimos. Enfoque más a operación y tecnología, basado en el análisis y gestión de riesgos Con agentes implicados (CCN, INTECO) Internacional Correspondencia / integración con otros SG. Requisitos legales. Cualquier organización Alcance adecuado para la organización Auditoría de certificación, según protocolos ISO y acreditación ENAC Requisitos, y lista de objetivos de control y controles Orientado a gestión, y soportado en la evaluación de riesgos, los requisitos legales y voluntarios. Entidades de acreditación y certificación. (Ley 21/1992, de Industria, y RD 2200/95) 4
2 El Sistema de Gestión de SI Gestionando la Seguridad de los Sistemas de Información Enfoque ISO 27001: SGSI Sistema de gestión que, basado en el estudio de los riesgos, se establece para crear, implementar, hacer funcionar, supervisar, revisar, mantener y mejorar la seguridad de la información. El sistema de gestión incluye la estructura organizativa, las políticas, las actividades de planificación, las responsabilidades, las prácticas, los procedimientos, los procesos y los recursos. (ENS / UNE EN-ISO 27001) Ventajas: Integrable con otros SG. Enfoque a procesos y orientado a la mejora contínua. Toma de decisiones basada en la evaluación de riesgos, la legislación y los resultados. Integra el cumplimiento de la legislación. Alcance ampliable. Certificable, con control por la Entidad Nacional de Acreditación ENAC (reconocimiento). 5
2 El Sistema de Gestión de SI. Implantación Establecer alcance y los límites Definir política de seguridad Organización y responsabilidades Realizar análisis y evaluación de riesgos Evaluar opciones para su tratamiento Seleccionar objetivos de control y controles Aprobación de la Dirección del Riesgo residual Autorización para implantar el SGSI Declaración de Aplicabilidad A 1 Política de SI 2 Estructura organizativa de la SI 3 Clasificación y control de activos 4 Seguridad ligada al personal 5 Seguridad física y del entorno Adoptar las acciones correctivas y preventivas Implantar mejoras identificadas C P Implantar plan de gestión de riesgos Implantar el SGSI Implantar los controles Objetivos de control y controles (ISO 27001-27002) Medidas de seguridad (ENS) 6 Gestión de comunicaciones y operaciones 7 Control de accesos 8 Desarrollo y mantenimiento de sistemas 9 Gestión de Incidentes de Seguridad 10. Gestión Continuidad de Negocio 11 Conformidad y Cumplimiento legislación D Revisar internamente el SGSI Realizar auditorias internas del SGSI 6
2 El Sistema de Gestión de SI Medidas de seguridad, según categoría del SI (nivel de seguridad en cada dimensión), y un mínimo a implantar. ENS (CCN-STIC-804) Marco organizativo (4) Marco operacional (31) Medidas de protección (40) Declaración de aplicabilidad 7
2 El Sistema de Gestión de SI Auditoría del ENS (art 34, Anexo III) Bienal, y ante modificaciones sustanciales (autoevaluación a sistemas de categoría básica). Metodología según criterios, métodos de trabajo y conducta reconocidos, y la normalización aplicable. Informe de auditoría: dictaminará sobre el grado de cumplimiento, identifica no conformidades y deficiencias, propone medidas correctoras y recomendaciones. Comunicación del informe al Responsable del sistema y al Responsable de seguridad. El Responsable del sistema puede retirar de la operación el sistema o servicio (Cat. A). CCN-STIC-802 Guía de Auditoría: Equipo auditor cualificado, e independiente (de actividad de consultoría o similares, no recomendará productos concretos). CCN-STIC-804 Guía de Implantación (Medidas de seguridad, y lo que se considera evidencia suficiente de su cumplimiento) 8
2 - El Sistema de Gestión de SI Declaración de conformidad con el ENS, y distintivos de seguridad: Publicados en las sedes electrónicas, y fácilmente accesibles. Contenido a publicar: Identificar al declarante. El sistema o sistemas, y servicios a los que se refiere. El mecanismo de control del cumplimiento del ENS. Fecha y lugar de emisión, y firma del titular del organismo emisor. Y otros distintivos como: certificaciones en accesibilidad, interoperabilidad o calidad. Indicando datos de la entidad emisora y ámbito al que se aplica. 30 Enero 2011: Publicar Declaración o Plan de adecuación CCN-STIC-809 art. 41 del ENS 9
3 El Sistema de Gestión de SI Certificación: Acto por el que una tercera parte testifica que ha obtenido la adecuada confianza en la conformidad de un determinado producto, proceso o servicio, debidamente identificado, con una norma u otro documento normativo especificado. Comprobación de que un SGSI cumplen con una serie de requisitos especificados en ISO 27001 Certificación acreditada 10
3 El Sistema de Gestión de SI CUESTIONARIO PREVIO Y SOLICITUD PLANIFICACIÓN DE LA AUDITORÍA ANÁLISIS DE LA DOCUMENTACIÓN FASE I INFORME / S VISITA PREVIA FASE I AUDITORÍAS DE RENOVACIÓN (Cada tres años) AUDITORÍA DEL SISTEMA FASE II INFORME AUDITORÍAS DE SEGUIMIENTO (Anuales) CONCESIÓN DEL CERTIFICADO PLAN DE ACCIONES CORRECTORAS 1 mes AUDITORÍA EXTRAORDINARIA 11
4 Datos ISO 27001 Datos de implantación (Dec 2008) 12
2 Datos ISO 27001 13
Fin de la presentación Muchas gracias 14