PLIEGO DE PRESCRIPCIONES TÉCNICAS PARA LA IMPLANTACIÓN DEL ESQUEMA NACIONAL DE SEGURIDAD EN LA DIPUTACIÓN PROVINCIAL DE A CORUÑA 1/ 7
INTRODUCCIÓN La Ley 11/2007, en su artícul 42 define el Esquema Nacinal de Seguridad (ENS en adelante) que tiene pr bjet establecer la plítica de seguridad en la utilización de medis electrónics, y está cnstituid pr principis básics y requisits mínims que permitan una prtección adecuada de la infrmación. El Real Decret 3/2010, de 8 de ener, que regula el ENS, tal cm se cmenta en la expsición de mtivs de esta nrma, cuenta cn una serie de precedentes que han inspirad su cntenid, dcuments de la Administración en materia de seguridad electrónica, tales cm ls Criteris SNC, las Guías CCN-STIC del Centr Criptlógic Nacinal, la Metdlgía de análisis y gestión de riesgs MAGERIT el Esquema Nacinal de Interperabilidad. El ENS empieza pr definir sus principis básics que sn la seguridad integral, la gestión de riesgs, la prevención, reacción y recuperación, las líneas de defensa, la reevaluación periódica, y la función diferenciada pr la cual se entiende que en ls sistemas de infrmación se diferenciará el respnsable de la infrmación, el respnsable del servici y el respnsable de la seguridad. El ENS incluye en las dimensines de seguridad a tener en cuenta a la trazabilidad de ls dats, infrmacines y servicis utilizads en medis electrónics que gestinen en el ejercici de sus cmpetencias. El Real Decret 951/2015, de 23 de ctubre, mdifica el Real Decret 3/2010, de 8 de ener, pr el que se regula el Esquema Nacinal de Seguridad en el ámbit de la Administración Electrónica. La Diputación de A Cruña cm administración pública está afectada a ls efects de la aplicación de esta nrma y pr tal mtiv se hace necesari tmar las accines pertinentes en aras de cnseguir la implantación de prevencines y medidas de seguridad que garanticen la dispnibilidad de ls sistemas a la vez que cumplan cn la nrma emanada del ENS. Pr td ell la Diputación de A Cruña plantea la presente licitación en ls términs que se detallan a cntinuación. OBJETO DEL CONTRATO El presente expediente tiene pr bjet la cntratación de ls servicis de empresa especializada para la implantación del Esquema Nacinal de Seguridad en ls sistemas de infrmación de la Diputación de A Cruña, estableciend la plítica de seguridad en la utilización de medis electrónics y ls principis básics y requisits mínims que permitan una prtección adecuada de la infrmación en el ámbit de la administración electrónica de la Diputación de A Cruña. 2/ 7
Ls trabajs se dividirán en ds fases: FASE 1 Esta fase cnsta de ds cnjunts de actividades: 1.- Análisis, planificación y redacción de planes de adecuación - Análisis previ y redacción de un dcument de recmendacines que permita a ls rganisms establecer las respnsabilidades asciadas al ENS y designar a ls respnsables de seguridad y ls miembrs del cmité cmités de seguridad. - Establecimient de la agenda de trabaj, de las pautas y mecanisms de cmunicación entre ls auditres y ls respnsables de las áreas. - Realización de un infrme de situación actual a partir de la infrmación de base aprtada pr las áreas y realización de entrevistas cn el persnal encargad de las diversas funcines asciadas a ls sistemas de infrmación implicads para recpilar la infrmación necesaria para determinar: La infraestructura tecnlógica existente La relación de activs Las nrmativas y prcedimients de seguridad actualmente existentes - Elabración de la plítica de seguridad y redacción de ls dcuments que la integran. - Catalgación de la infrmación incrprand: Sistemas de infrmación Dimensines de la seguridad afectadas Niveles de seguridad Relación entre tips de infrmación y dimensines de la seguridad Categrización de ls sistemas - Elabración del Inventari de Activs incrprand ls sistemas de infrmación, mecanisms de actualización periódica, sistematización y demás características exigidas pr el ENS y el rest de nrmativa asciada. - Revisión del Inventari de Activs, cmprband la valración y smetiéndl a la aprbación de ls respnsables de la Diputación de A Cruña, incrprand las mdificacines que se determinen. - Realización del crrespndiente análisis de riesgs mediante metdlgía Magerit y la herramienta EAR PILAR, dispnible de frma gratuita para las administracines públicas. De este análisis se btendrá: Infrme de amenazas, vulnerabilidades e impacts 3/ 7
Infrme de recmendacines para la gestión del riesg, incluyend activs sensibles, actuacines para la delimitación de ls riesgs asciads a ells y criteris de selección en base a la identidad e intensidad de las actuacines. - Revisión de ls resultads del análisis de gestión del riesg para cnstatar que se hayan identificad crrectamente ls amenazas a las que están expuests ls activs y que se hayan desplegad eficientemente las medidas de seguridad que mitiguen su impact sbre ls servicis que brinda la Entidad y acepta el nivel de riesg residual. - Realización de un análisis diferencial cn el fin de determinar qué cntrles, de ls existentes en el ENS ya se en encuentran implantads. - Redacción de la declaración de aplicabilidad dcument de selección de cntrles. Incluirá ls cntrles ya implantads y aquells que se hayan seleccinad para minimizar el riesg de ls activs cruciales para cumplir cn el nivel de seguridad desead. - Revisión cn ls respnsables de la Diputación de A Cruña de la declaración de aplicabilidad e incrpración de las mdificacines prtunas que se determinen. - Redacción del plan planes de adecuación. 2.- Implantación de las medidas y puesta en marcha - Revisión, publicación y difusión entre ls usuaris de la Plítica de seguridad. - Desarrll y redacción de las nrmativas de seguridad que establecerán necesariamente: Quién debe realizar las distintas tareas asciadas a la seguridad. Mecanisms que se establecerán para la identificación de las anmalías Sistemas de reslución de las anmalías detectadas. - Redacción de instruccines específicas para ls usuaris y respnsables de ls sistemas y de la infrmación. - Redacción dcuments tip para el registr y cntrl de las incidencias de seguridad y ls prcedimients asciads. - Definición de las rientacines preventivas y medidas de recuperación de ls sistemas para la restauración de la infrmación y ls servicis evitand amenazas y discntinuidades. - Redacción del plan de pruebas y mnitrización de ls sistemas. 4/ 7
- Redacción del plan de auditrías bienales cm prces de mejra cntinua. Deberá cntemplar la revisión de la plítica de seguridad y su cumplimient, ls riesgs, nrmativas, prcedimients y cntrles establecids. - Elabración y ejecución de un plan de frmación y sensibilización para el persnal de ls rganisms implicad en ls prcedimients afectads pr el ENS. - Sprte al persnal de las distintas unidades rgánicas para la aplicación de ls prcedimients establecids. - Evaluación de resultads que se smeterá a ls respnsables y al Cmité Cmités de Seguridad. La duración de cada un de ls cnjunts de actividades deberá prpnerse en el dcument u ferta técnica que se presente, n debiend sbrepasar la duración ttal indicada en este Plieg. Cm actuación preliminar se deberán revisar ls determinads punts estratégics que faciliten la ejecución del pryect que incluyen cm mínim ls siguientes punts: Identificación de las persnas de las diferentes áreas de la Diputación de A Cruña que participarán en el pryect. Cncreción del alcance detallad en cuant a sistemas, servicis, infrmación, infraestructuras y activs en general que abarcará el pryect, bien entendid que se circunscriben al ámbit de infraestructuras gestinadas pr la Diputación de A Cruña. Establecer la rganización y metdlgías a utilizar en el pryect. En ls prpis criteris de evaluación se tendrán en cuenta las prpuestas metdlógicas que frecen las distintas empresas y en cualquier cas la base de dats de activs deberá gestinarse desde la herramienta de us estándar cncida cm PILAR Entrn de dcumentación a utilizar dad l estratégic de ls dcuments que este pryect general ENTREGA DE DOCUMENTACIÓN Para dar pr cncluida la realización ttal de ls trabajs asciads al cntrat principal deberán haber sid entregads pr el adjudicatari, tda la dcumentación (preferentemente en sprte digital) que a cntinuación se indica: - Análisis previ y recmendacines para la designación de respnsabilidades - Infrme de situación actual - Dcuments integrantes de la plítica de seguridad 5/ 7
- Inventari de activs definitiv. - Infrmes definitivs asciads al análisis de riesg - Declaración de aplicabilidad - Plan planes de adecuación - Plítica de seguridad revisada - Nrmativas de seguridad establecidas - Instruccines específicas para ls usuaris y respnsables de ls sistemas - Dcuments tip - Recpilación de rientacines preventivas y medidas de recuperación - Plan de pruebas y mnitrización de ls sistemas - Plan de auditrías bienales - Plan de frmación al persnal implicad - Actas de sesines frmativas realizadas - Infrme de evaluación de resultads - Tdas las actas de reunines y entrevistas realizadas. Asimism, el adjudicatari facilitará, en su cas, tda aquella infrmación que sea requerida pr la Diputación de A Cruña y que tenga relación cn la ejecución del cntrat (manuales de aplicacines que, en su cas, sean necesarias para la ejecución del cntrat, etc). TRANFERENCIA TECNOLOGICA El adjudicatari, en td mment, facilitará la infrmación y dcumentación a las persnas designadas pr la Diputación de A Cruña a efects de cncer las circunstancias en que se desarrllan ls trabajs, de ls prblemas que puedan plantearse y de las metdlgías y prcedimients utilizads. 6/ 7
FASE 2 MANTENIMIENTO ANUAL Actividades básicas del mantenimient Revisión de la Plítica de Seguridad Revisión del Catálg de Servicis y Sistemas Actualización de la declaración de aplicabilidad Actualización del Análisis y Gestión de Riesgs. Revisión y actualización de la dcumentación que da sprte al ENS Auditría del ENS (cada ds añs) Us de la herramienta de gestión del ENS Sprte en LOPD y ENI Auditría de LOPD (cada ds añs) Adaptación del ENS de la Diputación de A Cruña a cualquier cambi legal que le afecte Para td ell, el adjudicatari aprtará la infraestructura necesaria para la prestación del servici, cmprendiend las instalacines, medis infrmátics y demás elements exigids y adecuads para prestar el servici en las cndicines técnicas mínimas indicadas. 7/ 7