La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

1 www.seguridadinformacion.com LAS PALMAS DE GRAN CANARIA Antonio Mª Manrique, 2 – 1º D CP: 35011 SANTA CRUZ DE TENERIFE Ángel Guimerá, 5 – 2ª Planta CP:

Presentaciones similares


Presentación del tema: "1 www.seguridadinformacion.com LAS PALMAS DE GRAN CANARIA Antonio Mª Manrique, 2 – 1º D CP: 35011 SANTA CRUZ DE TENERIFE Ángel Guimerá, 5 – 2ª Planta CP:"— Transcripción de la presentación:

1 1 LAS PALMAS DE GRAN CANARIA Antonio Mª Manrique, 2 – 1º D CP: SANTA CRUZ DE TENERIFE Ángel Guimerá, 5 – 2ª Planta CP: ASTURIAS Ildefonso Sánchez del Río, º A-B CP:33001 OVIEDO Teléfono: MADRID Ribera del Loira, 46 Edificio 2 – Bajo CP:28042 Teléfono: Esquema Nacional De Seguridad (ENS) BARCELONA Sicilia, Bajos CP:08013 Teléfono:

2 2 CREACIÓN DEL ESQUEMA NACIONAL DE SEGURIDAD (ENS) Su creación se contempla en la LEY 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos y se regula a través de Real Decreto del Gobierno de España 3/2010, de 8 de enero. Es el marco, obligatorio para las administraciones públicas, para la protección de la información y su gestión a través de los medios electrónicos. Tiene como objetivo crear la confianza necesaria en el uso de la administración electrónica por parte de los ciudadanos y permitir.

3 3 El ENS es un Sistema de Gestión de Seguridad de la Información, El ENS se desarrolla sobre las recomendaciones de la UE y los estándares internacionales en materia de seguridad de la información, especialmente la UNE/ISO Start Up es la empresa líder en España en implantaciones de la norma UNE-ISO/IEC El ENS integra el cumplimiento de la normativa nacional sobre Administración Electrónica, Firma Digital, LOPD, Reutilización de la Información, DNI electrónico, normativa del régimen jurídico y el procedimiento administrativo común. INTRODUCCIÓN

4 4 CUMPLIMIENTO DEL ENS El Esquema Nacional de Seguridad (ENS), es de obligado cumplimiento para: La Administración General del Estado Las Administraciones de las Comunidades Autónomas Las Entidades que integran la Administración Local Las entidades de derecho público vinculadas o dependientes de las mismas. Las Administraciones tienen un plazo de 48 meses desde la entrada en vigor del Real Decreto para cumplir el ENS

5 5 PROVEEDORES DE SERVICIOS La prestación de servicios de seguridad de los sistemas de información debe estar diferenciada de la prestación específica de los servicios de información En la contratación de servicios relacionados con la gestión de la información se establecerá contractualmente con los proveedores los niveles y políticas de seguridad exigidos Los proveedores de servicios TI de las administraciones públicas deberán contar con una gestión y un nivel de madurez de seguridad idóneos. En la adquisición de productos y servicios de seguridad de la información se valorará aquellos que tengan certificados relevantes de gestión o de productos. Los servicios electrónicos o de sistemas de información que estén externalizados deberán cumplir lo establecido para el cumplimiento del ENS.

6 6 PRINCIPIOS BÁSICOS Seguridad integral. La gestión de la seguridad debe ser un proceso integral. Gestión de riesgos. Un programa de seguridad debe responder a las necesidades de reducción de riesgos de la entidad. Prevención, reacción y recuperación. La utilización de estos tipos de medidas permitirá un enfoque integral de la seguridad. Líneas de defensa. El sistema debe contar con sucesivas capas de protección para que si ocurre un incidente, no sea capaz de desarrollar todo su potencial dañino Reevaluación periódica. El programa de seguridad debe ajustarse a los cambios que se vayan produciendo. Función diferenciada. Las funciones de responsable de la información, responsable del servicio y responsable de la seguridad deben estar separadas.

7 7 ELEMENTOS SUJETOS AL ENS Todos los elementos técnicos, humanos, materiales y organizativas, relacionados con la Administración Electrónica, y en particular: Los servicios, trámites y demás relaciones que se presten a ciudadanos electrónicamente. Las comunicaciones electrónicas relativas a la transmisión, almacenamiento y recepción de datos. Las sedes y registros electrónicos. Procedimientos que aseguren la conservación y accesibilidad a largo plazo de los documentos electrónicos Toda información que, estando en un soporte físico haya sido causa o consecuencia de la información electrónica.

8 8 PROYECTO DE IMPLEMENTACIÓN 1.Planificar la implantación Organizar el Comité de Seguridad Realizar plan de acción Recopilar información 2.Desarrollar Política de Seguridad Inventario de activos Categorización de sistemas Análisis de riesgos Documento de aplicabilidad Normativa de seguridad 3.Revisar y actualizar Formación Planes de auditorías

9 9 TAREA 1 PLANIFICACIÓN Asignar formalmente los cargos de Responsable de Seguridad, Responsable del Servicio y Responsable de la Información. Crear y definir el/los Comité/s de Seguridad, responsable de velar por el cumplimiento de la política de seguridad de la organización. Definir y aprobar formalmente la Política de Seguridad. Deberá ser aprobada por el titular responsable de la acción de gobierno Recopilar los tipos y niveles de Información Administrativa a efectos de seguridad.

10 10 POLÍTICA DE SEGURIDAD 1.Aprobación y entrada en vigor 2.Introducción 3.Alcance 4.Misión 5.Marco normativo 6.Organización de la seguridad 7.Datos de carácter personal 8.Gestión de riesgos 9.Desarrollo de la política de seguridad de la información 10.Obligaciones del personal 11.Terceras partes

11 11 TAREA 2 - DESARROLLO Definir el conjunto de activos sujetos al ENS, identificando los sistemas existentes en la organización. Determinar la categoría del sistema o sistemas identificados. Determinar las medidas de seguridad del Anexo 1 que aplican a los sistemas según su nivel. Documentar la Declaración de Aplicabilidad. Llevar a cabo el Análisis de Riesgos. Definir la Normativa de Seguridad detallando cómo y quién hace las distintas tareas.

12 12 CATEGORIZACIÓN DE SISTEMAS ActivosSERVICIOSINFORMACIÓNSISTEMA Criterios Portal web Gestión de Expedientes Información web Información de Expedientes ConfidencialidadSin valorar MBMM IntegridadBMBMM AutenticidadBMBMM TrazabilidadBMBMM DisponibilidadMBMMM

13 13 ESQUEMA NACIONAL DE SEGURIDAD (ENS) Medidas de protección Marco operacional Marco organizativo CLASES DE MEDIDAS DE SEGURIDAD

14 14 Marco organizativo ESQUEMA NACIONAL DE SEGURIDAD (ENS) Política de seguridad Normativa de seguridad Procedimientos de seguridad Procesos de autorización Órganos de gestión Auditorías de seguridad: Cumplimiento legal y cumplimiento técnico MARCO ORGANIZATIVO

15 15 ESQUEMA NACIONAL DE SEGURIDAD (ENS) Planificación: Análisis de riesgos, arquitecturas de seguridad, componentes, etc. Control de accesos Explotación: Inventario de activos, gestión de procesos, registros, sistemas de protección Servicios externos Continuidad del servicio Monitorización del sistema Acreditación de conocimientos en la vida laboral Marco operacional MARCO OPERACIONAL

16 16 ESQUEMA NACIONAL DE SEGURIDAD (ENS) Medidas de protección Protección de instalaciones e infraestructuras Gestión del personal Protección de equipos Protección de las comunicaciones Protección de soportes de información Protección de aplicaciones Protección de la información Protección de los servicios MEDIDAS DE PROTECCIÓN

17 17 CORRESPONDENCIA ENS-ISO ENS Requisito ISO Política de Seguridad b) 12 Compromiso de la dirección 5.1.c) d) Evaluación de riesgos c) d) e) 13.3 Gestión de riesgos f) g) 27.1 Documento de Aplicabilidad g) Formación Auditorías e) Mejora continua 8.1

18 18 CORRESPONDENCIA ENS-ISO ENS Requisito ISO Uso aceptable de los activos A Gestión de privilegios de los usuarios A A Controlar los riesgos de terceros A Gestión de altas y bajas de usuarios A Control de acceso A Copias de seguridad A Política de prevención de malware A Gestión de incidentes A A LOPD A Firma electrónica A12.3 A15.1.6

19 19 IMPLEMENTACIÓN Elaboración del marco organizativo de la seguridad: Documentos de procedimientos de seguridad. Documentos de autorización. Documentos de cumplimiento técnico. Arquitectura de seguridad. Sistemas de registro, control y resolución de incidencias. Plan de continuidad de servicio. Plan de pruebas y monitorización del sistema. Medidas de protección. Actualización del sistema. Plan de auditoría bienal.

20 20 Formar a todo el personal sobre la política, normativa y procedimientos de seguridad. Evaluar la eficacia de las medidas adoptadas. Revisar el sistema de gestión de la seguridad y mantenerlo actualizado. Realización de una Auditoría bienal de Seguridad que revise la política de seguridad y su cumplimiento, así como el conjunto de riesgos, normativas, procedimientos y controles establecidos, realizada bajo estándares normalizados (p.ej ISO/IEC 27007). TAREA 3 – REVISAR Y MANTENER

21 21 Gracias por su atención Óscar Blanco Ramos START-UP S.L. -


Descargar ppt "1 www.seguridadinformacion.com LAS PALMAS DE GRAN CANARIA Antonio Mª Manrique, 2 – 1º D CP: 35011 SANTA CRUZ DE TENERIFE Ángel Guimerá, 5 – 2ª Planta CP:"

Presentaciones similares


Anuncios Google