El Esquema Nacional de Seguridad y su aplicación en las AA.PP.
Upcoming SlideShare
Loading in...5
×
 

El Esquema Nacional de Seguridad y su aplicación en las AA.PP.

on

  • 2,290 views

Análisis de Esquema Nacional de Seguridad (ENS) de la ley 11/2007 y su aplicación en las Administraciones Públicas. Descripción de productos para la autenticación y auditoría de usuarios, ...

Análisis de Esquema Nacional de Seguridad (ENS) de la ley 11/2007 y su aplicación en las Administraciones Públicas. Descripción de productos para la autenticación y auditoría de usuarios, validación de certificados y firma digital integral.

Statistics

Views

Total Views
2,290
Views on SlideShare
2,039
Embed Views
251

Actions

Likes
1
Downloads
71
Comments
0

14 Embeds 251

http://seguridad-informacion.blogspot.com 144
http://id-corporativa.blogspot.com 25
http://id-corporativa.blogspot.com.es 21
http://seguridad-informacion.blogspot.com.es 13
http://www.slideshare.net 12
http://seguridad-informacion.blogspot.com.ar 8
http://seguridad-informacion.blogspot.mx 8
http://feeds.feedburner.com 6
http://www.linkedin.com 6
https://www.linkedin.com 3
http://www.lmodules.com 2
http://translate.googleusercontent.com 1
http://seguridad-informacion.blogspot.com.au 1
http://seguridad-informacion.blogspot.cz 1
More...

Accessibility

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

El Esquema Nacional de Seguridad y su aplicación en las AA.PP. El Esquema Nacional de Seguridad y su aplicación en las AA.PP. Presentation Transcript

  • Organizadores: ¿Qué es? ¿Quién lo conoce? EL ESQUEMA NACIONAL DE SEGURIDAD
  • Organizadores: sólo 4 meses ES MUY RECIENTE REAL DECRETO 3/2010 (29/1/2010)
  • El Esquema Nacional de Seguridad (I) • La Ley 11/2007 o Ley de Acceso Electrónico de Organizadores: los Ciudadanos a los Servicios Públicos (LAECSP) indica : – Artículo 42. Esquema Nacional de Interoperabilidad y Esquema Nacional de Seguridad. • 1. […] Esquema Nacional de Interoperabilidad […] • 2. El Esquema Nacional de Seguridad tiene por objeto establecer la política de seguridad en la utilización de medios electrónicos en el ámbito de la presente Ley, y está constituido por los principios básicos y requisitos mínimos que permitan una protección adecuada de la información.
  • El Esquema Nacional de Seguridad (II) – Articulo 42 (Cont.) Organizadores: • 3. Ambos Esquemas se elaborarán con la participación de todas las Administraciones y se aprobarán por Real Decreto del Gobierno, a propuesta de la Conferencia Sectorial de Administración Pública y previo informe de la Comisión Nacional de Administración Local, debiendo mantenerse actualizados de manera permanente. • 4. En la elaboración de ambos Esquemas se tendrán en cuenta las recomendaciones de la Unión Europea, la situación tecnológica de las diferentes Administraciones Públicas, así como los servicios electrónicos ya existentes. A estos efectos considerarán la utilización de estándares abiertos así como, en su caso y de forma complementaria, estándares que sean de uso generalizado por los ciudadanos.
  • Organizadores: CONFIANZA
  • Objetivos: • Confianza en los Sistemas de Organizadores: Información – A través de medidas de seguridad de los sistemas, los datos, las comunicaciones y los servicios electrónicos. – Que los Sistemas de Información cumplan sus especificaciones funcionales, sin interrupciones o modificaciones fuera de control, y sin que la información pueda llegar al conocimiento de personas no autorizadas
  • ENS basado en el consenso • Para su articulación se ha tenido en cuenta: Organizadores: – Normativa nacional sobre Administración electrónica – Legislación de protección de datos de carácter personal – Ley de firma electrónica – Documento nacional de identidad electrónico – Centro Criptológico Nacional – Sociedad de la información – Reutilización de la información en el sector público – Órganos colegiados responsables de la Administración Electrónica; – Regulación de diferentes instrumentos y servicios de la Administración – Directrices y guías de la OCDE – Disposiciones nacionales e internacionales sobre normalización
  • Relaciones con otras leyes Ley Organizadores: 11/2007 LAECSP Ley Ley 37/2007 59/2003 Reutiliza. Firma-e Info. Esquema Nacional de Seguridad Ley Ley 30/1992 56/2007 Reg. Jur. LISI AA.PP. Ley 15/1998 LOPD
  • Alcance • Establecer los principios básicos y Organizadores: requisitos mínimos que permiten una protección adecuada de la información y los servicios de los sistemas que tratan información de las Administraciones públicas en el ámbito de la Ley 11/2007 • No solo la web o la sede electrónica
  • Principios básicos •Proceso integral, todos los elementos técnicos, humanos, Seguridad integral. materiales y organizativos, relacionados con el sistema Organizadores: •El análisis y gestión de riesgos. Siempre actualizado. Gestión de riesgos Minimizar riesgos hasta niveles aceptables mediante medidas de seguridad. Prevención, reacción y •Contemplar prevención, detección y corrección, para conseguir que las amenazas no se materialicen. La recuperación. recuperación permitirá la restauración de la información. •Estrategia de protección constituida por múltiples capas de Líneas de defensa. seguridad. Las líneas de defensa constituidas por medidas de naturaleza organizativa, física y lógica. Reevaluación •Las medidas de seguridad se reevaluarán y actualizarán periódicamente, para adecuar su eficacia a la constante periódica. evolución de los riesgos y sistemas de protección. • Se diferenciará el responsable de la información, el responsable del Función diferenciada servicio y el responsable de la seguridad. La política de seguridad detallará atribuciones y mecanismos de coordinación.
  • Requisitos mínimos • Todos los órganos superiores de las Organizadores: Administraciones públicas deberán disponer formalmente de su política de seguridad. • Esta será aprobada por el titular del órgano superior correspondiente. • Se establecerá en base a los principios básicos indicados y se desarrollará aplicando los siguientes requisitos mínimos.
  • Requisitos mínimos Organización e Análisis y Organizadores: implantación del Gestión de gestión de los Profesionalidad. proceso de personal. riesgos. seguridad. Autorización y Protección de Adquisición de Seguridad por control de los las productos. defecto. accesos. instalaciones. Protección de la Prevención ante Integridad y información otros sistemas Registro de actualización del almacenada y de información actividad. sistema. en tránsito. interconectados. Mejora continua Incidentes de Continuidad de del proceso de seguridad. la actividad. seguridad
  • Artículo 14. Gestión de personal – 14.4) Para corregir, o exigir Organizadores: responsabilidades en su caso, cada usuario que acceda a la información del sistema debe estar identificado de forma única, de modo que se sepa, en todo momento, quién recibe derechos de acceso, de qué tipo son éstos, y quién ha realizado determinada actividad
  • • Artículo 16. Autorización y control Organizadores: de los accesos. – El acceso al sistema de información deberá ser controlado y limitado a los usuarios, procesos, dispositivos y otros sistemas de información, debidamente autorizados, restringiendo el acceso a las funciones permitidas.
  • Art 21. Protección de información almacenada y en tránsito. Organizadores: – 21.2. Forman parte de la seguridad los procedimientos que aseguren la recuperación y conservación a largo plazo de los documentos electrónicos producidos por las Administraciones públicas en el ámbito de sus competencias.
  • Artículo 23. Registro de actividad. – Con la finalidad exclusiva de lograr el cumplimiento del objeto del presente real decreto, con plenas Organizadores: garantías del derecho al honor, a la intimidad personal y familiar y a la propia imagen de los afectados, y de acuerdo con la normativa sobre protección de datos personales, de función pública o laboral, y demás disposiciones que resulten de aplicación, se registrarán las actividades de los usuarios, reteniendo la información necesaria para monitorizar, analizar, investigar y documentar actividades indebidas o no autorizadas, permitiendo identificar en cada momento a la persona que actúa.
  • Categorización de Sistemas • Equilibrio entre la información que maneja y el Organizadores: esfuerzo de seguridad en función de sus riesgos. • Determinar dimensiones de seguridad relevantes y nivel • Disponibilidad [D], Autenticidad [A], Integridad [I], Confidencialidad [C] y Trazabilidad [T]. • Categorías Sistemas de Información – BASICA, MÉDIA o ALTA • Implantar medidas de seguridad para la categoría del sistema (ver tabla).
  • MEDIDAS DE Dimensiones SEGURIDAD Afectadas B M A org Marco organizativo categoría aplica = = org.1 Política de seguridad categoría aplica = = org.2 Normativa de seguridad categoría aplica = = org.3 Procedimientos de seguridad categoría aplica = = org.4 Proceso de autorización Organizadores: op Marco operacional op.pl Planificación categoría n.a. + ++ op.pl.1 Análisis de riesgos categoría aplica = = op.pl.2 Arquitectura de seguridad categoría aplica = = op.pl.3 Adquisición de nuevos componentes D n.a. aplica = op.pl.4 Dimensionamiento / Gestión de capacidades categoría n.a. n.a. aplica op.pl.5 Componentes certificados op.acc Control de acceso AT aplica = = op.acc.1 Identificación ICAT aplica = = op.acc.2 Requisitos de acceso ICAT n.a. aplica = op.acc.3 Segregación de funciones y tareas ICAT aplica = = op.acc.4 Proceso de gestión de derechos de acceso ICAT aplica + ++ op.acc.5 Mecanismo de autenticación ICAT aplica + ++ op.acc.6 Acceso local (local logon) ICAT aplica + = op.acc.7 Acceso remoto (remote login) op.exp Explotación categoría aplica = = op.exp.1 Inventario de activos categoría aplica = = op.exp.2 Configuración de seguridad categoría n.a. aplica = op.exp.3 Gestión de la configuración categoría aplica = = op.exp.4 Mantenimiento categoría n.a. aplica = op.exp.5 Gestión de cambios categoría aplica = = op.exp.6 Protección frente a código dañino
  • categoría n.a. aplica = op.exp.7 Gestión de incidencias T n.a. n.a. aplica op.exp.8 Registro de la actividad de los usuarios categoría n.a. aplica = op.exp.9 Registro de la gestión de incidencias T n.a. n.a. aplica op.exp.10 Protección de los registros de actividad categoría aplica = + op.exp.11 Protección de claves criptográficas op.ext Servicios externos Organizadores: categoría n.a. aplica = op.ext.1 Contratación y acuerdos de nivel de servicio categoría n.a. aplica = op.ext.2 Gestión diaria D n.a. n.a. aplica op.ext.9 Medios alternativos op.cont Continuidad del servicio D n.a. aplica = op.cont.1 Análisis de impacto D n.a. n.a. aplica op.cont.2 Plan de continuidad D n.a. n.a. aplica op.cont.3 Pruebas periódicas op.mon Monitorización del sistema categoría n.a. n.a. aplica op.mon.1 Detección de intrusión categoría n.a. n.a. aplica op.mon.2 Sistema de métricas mp Medidas de protección mp.if Protección de las instalaciones e infraestructuras categoría aplica = = mp.if.1 Áreas separadas y con control de acceso categoría aplica = = mp.if.2 Identificación de las personas categoría aplica = = mp.if.3 Acondicionamiento de los locales D aplica + = mp.if.4 Energía eléctrica D aplica = = mp.if.5 Protección frente a incendios D n.a. aplica = mp.if.6 Protección frente a inundaciones categoría aplica = = mp.if.7 Registro de entrada y salida de equipamiento D n.a. n.a. aplica mp.if.9 Instalaciones alternativas mp.per Gestión del personal categoría n.a. aplica = mp.per.1 Caracterización del puesto de trabajo categoría aplica = = mp.per.2 Deberes y obligaciones
  • categoría aplica = = mp.per.3 Concienciación categoría aplica = = mp.per.4 Formación D n.a. n.a. aplica mp.per.9 Personal alternativo mp.eq Protección de los equipos categoría aplica + = mp.eq.1 Puesto de trabajo despejado A n.a. aplica + mp.eq.2 Bloqueo de puesto de trabajo Organizadores: categoría aplica = + mp.eq.3 Protección de equipos portátiles D n.a. aplica = mp.eq.9 Medios alternativos mp.com Protección de las comunicaciones categoría aplica = + mp.com.1 Perímetro seguro C n.a. aplica + mp.com.2 Protección de la confidencialidad IA aplica + ++ mp.com.3 Protección de la autenticidad y de la integridad categoría n.a. n.a. aplica mp.com.4 Segregación de redes D n.a. n.a. aplica mp.com.9 Medios alternativos mp.si Protección de los soportes de información C aplica = = mp.si.1 Etiquetado IC n.a. aplica + mp.si.2 Criptografía categoría aplica = = mp.si.3 Custodia categoría aplica = = mp.si.4 Transporte C n.a. aplica = mp.si.5 Borrado y destrucción mp.sw Protección de las aplicaciones informáticas categoría n.a. aplica = mp.sw.1 Desarrollo categoría aplica + ++ mp.sw.2 Aceptación y puesta en servicio mp.info Protección de la información categoría aplica = = mp.info.1 Datos de carácter personal C aplica + = mp.info.2 Calificación de la información C n.a. n.a. aplica mp.info.3 Cifrado IA aplica + ++ mp.info.4 Firma electrónica T n.a. n.a. aplica mp.info.5 Sellos de tiempo C aplica = = mp.info.6 Limpieza de documentos D n.a. aplica = mp.info.9 Copias de seguridad (backup) mp.s Protección de los servicios categoría aplica = = mp.s.1 Protección del correo electrónico categoría aplica = = mp.s.2 Protección de servicios y aplicaciones web D n.a. aplica + mp.s.8 Protección frente a la denegación de servicio D n.a. n.a. aplica mp.s.9 Medios alternativos
  • Organizadores: ¿QUÉ PODEMOS APORTAR A LAS AA.PP?
  • Control y auditoría de acceso • Mediante certificados digitales Organizadores: – Emitidos por un Prestador de Servicios de Certificación o por la propia organización • Mediante tarjetas inteligentes o RFID – Tarjetas de contacto y de proximidad • Mediante huella dactilar u otros sistemas de reconocimiento biométrico • Integrado con la infraestructura de seguridad de la organización (Active Directory, LDAP, BBDD, etc.) • Independiente de los dispositivos empleados y 100% compatible con el DNI electrónico. • Soporta acceso Web, Citrix/TS, VPN y VDI.
  • Plataforma de Validación de certificados Organizadores: • Servidor central para la validación del estado de certificados digitales • Mejora el rendimiento y fiabilidad de las aplicaciones de firma electrónica. – Multi-PSC. DNIe compatible. – Integración con aplicaciones Microsoft (Office, Exchange, IIS, SharePoint, etc.) – Funciones avanzadas • Listas negras/blancas, caché inteligente, descarga de CRLs – Alta disponibilidad – Auditoría y alertas configurables – Integrado con @firma. Alto rendimiento.
  • Motor de firma digital integral • Servidor de firma digital Organizadores: • Único motor de firma realizado Íntegramente en plataforma .NET • Arquitectura SOA • Integrado con SharePoint Server – Firma de documentos, formularios y portafirmas – Integración con flujos de trabajo. • Múltiples formatos – CMS/PKCS7, CAdES, XMLDSig, XAdES, PDF, PAdES,… • Alto rendimiento y coste asequible • Firma en cliente o en servidor. • Soporte de la mayoría de smart cards y HSM.
  • Pero no te fíes de Organizadores: nosotros… Es mejor que lo pruebes por ti mismo…
  • • Tienes en tu bolsa: – Una tarjeta criptográfica TC-FNMT con su PIN y PUK iniciales Organizadores: – Una dirección web y un código (en el anverso de la tarjeta) para descargar todo el software necesario. Incluye una licencia completa de nuestro software de logon IDOne. • Te invitamos a que lo pruebes y nos comentes tu opinión • Y además te regalamos un micro-lector de tarjetas si nos entregas la encuesta rellena.
  • Organizadores: rames@smartaccess.es MUCHAS GRACIAS