La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

ESQUEMA DE SEGURIDAD NACIONAL APLICADO SISTEMAS WINDOWS Juan Luis García Rambla MVP Windows Security Responsable de seguridad Informática 64

Presentaciones similares


Presentación del tema: "ESQUEMA DE SEGURIDAD NACIONAL APLICADO SISTEMAS WINDOWS Juan Luis García Rambla MVP Windows Security Responsable de seguridad Informática 64"— Transcripción de la presentación:

1 ESQUEMA DE SEGURIDAD NACIONAL APLICADO SISTEMAS WINDOWS Juan Luis García Rambla MVP Windows Security Responsable de seguridad Informática 64

2 Agenda Antecedentes. Antecedentes. El Esquema Nacional de Seguridad. El Esquema Nacional de Seguridad. Aplicación de la seguridad. Aplicación de la seguridad. Anexo I. Categoría de los sistemas. Anexo I. Categoría de los sistemas. Anexo II. Medidas de seguridad. Anexo II. Medidas de seguridad. Anexo III. Auditoría de la seguridad. Anexo III. Auditoría de la seguridad. Los productos de seguridad y escenarios Microsoft. Los productos de seguridad y escenarios Microsoft.

3 Antecedentes

4 Antecedentes a nivel europeo La comisión Euratom modifica el 29 de Noviembre de 2001 su reglamento interno para la adopción de normas de seguridad. La comisión Euratom modifica el 29 de Noviembre de 2001 su reglamento interno para la adopción de normas de seguridad. A través de la decisión 2001/844/CE CECA, se determina la situación tecnológica de las diferentes Administraciones públicas y los servicios electrónicos existentes. A través de la decisión 2001/844/CE CECA, se determina la situación tecnológica de las diferentes Administraciones públicas y los servicios electrónicos existentes.

5 Antecedentes ordenamiento jurídico español La Ley 30/1992, determina la configuración de numerosos ámbitos de confidencialidad y clasificación e la información. La Ley 30/1992, determina la configuración de numerosos ámbitos de confidencialidad y clasificación e la información. Le Ley orgánica 15/1999 Protección de Datos de Carácter Personal. Le Ley orgánica 15/1999 Protección de Datos de Carácter Personal. La Ley 37/2007 sobre la reutilización de la información del sector público. La Ley 37/2007 sobre la reutilización de la información del sector público.

6 La Ley 11/2007 Aparecida el 22 de junio, regula el acceso electrónico de los ciudadanos a los servicios públicos. Aparecida el 22 de junio, regula el acceso electrónico de los ciudadanos a los servicios públicos. Establecía a través de su artículo 42 la necesidad de creación del Esquema Nacional de interoperabilidad y Esquema Nacional de Seguridad. Establecía a través de su artículo 42 la necesidad de creación del Esquema Nacional de interoperabilidad y Esquema Nacional de Seguridad.

7 Articulo 42.2 El Esquema Nacional de Seguridad tiene por objeto establecer la política de seguridad en la utilización de medios electrónicos en el ámbito de la presente Ley, y está constituido por los principios básicos y requisitos mínimos que permitan una protección adecuada de la información.

8 El Esquema Nacional de Seguridad

9 La ley El 29 de enero de 2010 hace su aparición en el BOE el RD 3/2010. El 29 de enero de 2010 hace su aparición en el BOE el RD 3/2010. Con fecha de 8 de Enero, regula el Esquema Nacional de Seguridad en el ámbito de la administración pública. Con fecha de 8 de Enero, regula el Esquema Nacional de Seguridad en el ámbito de la administración pública. Su objetivo fundamental es el establecimientos de principios y requisitos de una política de seguridad que permite la adecuación de la protección de la información. Su objetivo fundamental es el establecimientos de principios y requisitos de una política de seguridad que permite la adecuación de la protección de la información.

10 Principios de seguridad Fundamentar la confianza en los sistemas electrónicos regulados por la norma. Fundamentar la confianza en los sistemas electrónicos regulados por la norma. Custodia de la información por parte de la administración pública. Custodia de la información por parte de la administración pública. Prevención frente a interrupciones o modificaciones fuera de control. Prevención frente a interrupciones o modificaciones fuera de control. Garantizar el acceso frente a personas no autorizadas. Garantizar el acceso frente a personas no autorizadas.

11 Seguridad de las redes y la información Se entiende como tal la capacidad de resistir, con un determinado nivel de confianza, los accidentes o acciones ilícitas o malintencionadas que comprometan: Se entiende como tal la capacidad de resistir, con un determinado nivel de confianza, los accidentes o acciones ilícitas o malintencionadas que comprometan: La disponibilidad. La disponibilidad. Autenticidad. Autenticidad. Integridad. Integridad. Confidencialidad. Confidencialidad.

12 Estructura de la norma Se divide en 10 capítulos más una serie de disposiciones. Se divide en 10 capítulos más una serie de disposiciones. Presenta una serie de anexos muy importantes a título técnico, donde se establecen: Presenta una serie de anexos muy importantes a título técnico, donde se establecen: La categoría de los sistemas. La categoría de los sistemas. Las medidas de seguridad. Las medidas de seguridad. La auditoría de seguridad. La auditoría de seguridad. Glosario de términos. Glosario de términos.

13 ¿Quién está supeditado? Su ámbito de aplicación lo determina el artículo 2 de la Ley 11/2007. Su ámbito de aplicación lo determina el artículo 2 de la Ley 11/2007. A las Administraciones Públicas, entendiendo por tales la Administración General del Estado, las Administraciones de las Comunidades Autónomas y las Entidades que integran la Administración Local, así como las entidades de derecho público vinculadas o dependientes de las mismas. A las Administraciones Públicas, entendiendo por tales la Administración General del Estado, las Administraciones de las Comunidades Autónomas y las Entidades que integran la Administración Local, así como las entidades de derecho público vinculadas o dependientes de las mismas. Quedan exceptuadas las Administraciones Públicas en las actividades que desarrollen en régimen de derecho privado. Quedan exceptuadas las Administraciones Públicas en las actividades que desarrollen en régimen de derecho privado.

14 Aplicación de la seguridad

15 Aplicación de la política de seguridad Todos los órganos superiores de las Administraciones públicas deberán disponer formalmente de su política de seguridad. Todos los órganos superiores de las Administraciones públicas deberán disponer formalmente de su política de seguridad. Deberá ser aprobada por el titular del órgano superior correspondiente. Deberá ser aprobada por el titular del órgano superior correspondiente. Se considerarán órganos superiores, los responsables directos de la ejecución de la acción del gobierno, central, autonómico o local, en un sector de actividad específico Se considerarán órganos superiores, los responsables directos de la ejecución de la acción del gobierno, central, autonómico o local, en un sector de actividad específico Los municipios podrán disponer de una política de seguridad común elaborada por la Diputación, Cabildo, Consejo Insular u órgano unipersonal. Los municipios podrán disponer de una política de seguridad común elaborada por la Diputación, Cabildo, Consejo Insular u órgano unipersonal.

16 Principios y requisitos mínimos Los principios básicos estimados por el ENS son: Los principios básicos estimados por el ENS son: a) Organización e implantación del proceso de seguridad. a) Organización e implantación del proceso de seguridad. b) Análisis y gestión de los riesgos. b) Análisis y gestión de los riesgos. c) Gestión de personal. c) Gestión de personal. d) Profesionalidad. d) Profesionalidad. e) Autorización y control de los accesos. e) Autorización y control de los accesos. f) Protección de las instalaciones. f) Protección de las instalaciones. g) Adquisición de productos. g) Adquisición de productos. h) Seguridad por defecto. h) Seguridad por defecto. i) Integridad y actualización del sistema. i) Integridad y actualización del sistema. j) Protección de la información almacenada y en tránsito. j) Protección de la información almacenada y en tránsito. k) Prevención ante otros sistemas de información interconectados. k) Prevención ante otros sistemas de información interconectados. l) Registro de actividad. l) Registro de actividad. m) Incidentes de seguridad. m) Incidentes de seguridad. n) Continuidad de la actividad. n) Continuidad de la actividad. o) Mejora continua del proceso de seguridad. o) Mejora continua del proceso de seguridad.

17 Implementación de seguridad Los requisitos mínimos se exigirán en proporción a los riesgos identificados en cada sistema. Los requisitos mínimos se exigirán en proporción a los riesgos identificados en cada sistema. La seguridad deberá comprometer a todos los miembros de la organización. Se deberán identificar los responsables y deberá ser conocida por todos. La seguridad deberá comprometer a todos los miembros de la organización. Se deberán identificar los responsables y deberá ser conocida por todos. Cada organización que desarrolle e implante sistemas para el tratamiento de la información y las comunicaciones deberá realizar su propia gestión de riesgos. Cada organización que desarrolle e implante sistemas para el tratamiento de la información y las comunicaciones deberá realizar su propia gestión de riesgos.

18 La seguridad por defecto Los sistemas deberán diseñarse y configurarse para garantizar la seguridad por defecto. Los sistemas deberán diseñarse y configurarse para garantizar la seguridad por defecto. Mínima funcionalidad en base a objetivos. Mínima funcionalidad en base a objetivos. Las funciones de operación, administración y registro de actividad serán las mínimas necesarias, siendo sólo n accesibles por las personas, o desde equipos, autorizados. Las funciones de operación, administración y registro de actividad serán las mínimas necesarias, siendo sólo n accesibles por las personas, o desde equipos, autorizados. En un sistema de explotación se eliminarán o desactivarán, mediante el control de la configuración, las funciones que no sean de interés, innecesarias o inadecuadas. En un sistema de explotación se eliminarán o desactivarán, mediante el control de la configuración, las funciones que no sean de interés, innecesarias o inadecuadas. El uso ordinario del sistema ha de ser sencillo y seguro, de forma que una utilización insegura requiera de un acto consciente por parte del usuario. El uso ordinario del sistema ha de ser sencillo y seguro, de forma que una utilización insegura requiera de un acto consciente por parte del usuario.

19 Seguridad en evolución Se deberá conocer en todo momento el estado de seguridad de los sistemas. Se deberá conocer en todo momento el estado de seguridad de los sistemas. En este sentido es especialmente crítico la relación a las especificaciones de los fabricantes, en lo que a las vulnerabilidades y a las actualizaciones les afecten. En este sentido es especialmente crítico la relación a las especificaciones de los fabricantes, en lo que a las vulnerabilidades y a las actualizaciones les afecten. Se reaccionará con diligencia para gestionar el riesgo a la vista del estado de seguridad de los mismos. Se reaccionará con diligencia para gestionar el riesgo a la vista del estado de seguridad de los mismos.

20 Escenario de protección de la información Se deberá proteger la información, tanto en los escenarios: Se deberá proteger la información, tanto en los escenarios: Datos almacenados. Datos almacenados. Datos en tránsito. Datos en tránsito. Se deberán extremar las medidas en aquellas circunstancias en las que la información viaje a través de redes públicas. Se deberán extremar las medidas en aquellas circunstancias en las que la información viaje a través de redes públicas.

21 Aplicación de la seguridad La disposición transitoria estipula los tiempos para la aplicación de la normativa. La disposición transitoria estipula los tiempos para la aplicación de la normativa. Los sistemas existentes a la entrada en vigor del presente real decreto se adecuarán al Esquema Nacional de Seguridad de forma que permitan el cumplimiento de lo establecido en la disposición final tercera de la Ley 11/2007, de 22 de junio. Los sistemas existentes a la entrada en vigor del presente real decreto se adecuarán al Esquema Nacional de Seguridad de forma que permitan el cumplimiento de lo establecido en la disposición final tercera de la Ley 11/2007, de 22 de junio. Los nuevos sistemas aplicarán lo establecido en el presente real decreto desde su concepción. Los nuevos sistemas aplicarán lo establecido en el presente real decreto desde su concepción. Si a los doce meses de la entrada en vigor del Esquema Nacional de Seguridad hubiera circunstancias que impidan la plena aplicación de lo exigido en el mismo, se dispondrá de un plan de adecuación que marque los plazos de ejecución los cuales, en ningún caso, serán superiores a 48 meses desde la entrada en vigor. Si a los doce meses de la entrada en vigor del Esquema Nacional de Seguridad hubiera circunstancias que impidan la plena aplicación de lo exigido en el mismo, se dispondrá de un plan de adecuación que marque los plazos de ejecución los cuales, en ningún caso, serán superiores a 48 meses desde la entrada en vigor. La entrada en vigor se establece al día siguiente al de su publicación en el Boletín Oficial del Estado. La entrada en vigor se establece al día siguiente al de su publicación en el Boletín Oficial del Estado.

22 Anexo I Categoría de los sistemas

23 Fundamentos Los sistemas serán categorizados en base a una serie de criterios: Los sistemas serán categorizados en base a una serie de criterios: Impacto que tendría sobre la organización un incidente de seguridad. Impacto que tendría sobre la organización un incidente de seguridad. Repercusión de la organización para: Repercusión de la organización para: Alcanzar sus objetivos. Alcanzar sus objetivos. Proteger los activos a su cargo. Proteger los activos a su cargo. Cumplir sus obligaciones diarias de servicio. Cumplir sus obligaciones diarias de servicio. Respetar la legalidad vigente. Respetar la legalidad vigente. Respetar los derechos de las personas. Respetar los derechos de las personas.

24 Dimensiones de seguridad Las dimensiones determinan el impacto de seguridad de una organización. Quedan identificadas por sus iniciales: Las dimensiones determinan el impacto de seguridad de una organización. Quedan identificadas por sus iniciales: Disponibilidad [D]. Disponibilidad [D]. Autenticidad [A]. Autenticidad [A]. Integridad [I]. Integridad [I]. Confidencialidad [C]. Confidencialidad [C]. Trazabilidad [T]. Trazabilidad [T]. La dimensión de la seguridad se circunscribe en diferentes niveles: La dimensión de la seguridad se circunscribe en diferentes niveles: Bajo. Bajo. Medio. Medio. Alto. Alto. Un servicio puede verse afectado por una o varias dimensiones de la seguridad. Un servicio puede verse afectado por una o varias dimensiones de la seguridad.

25 Nivel Bajo Se utilizará cuando las consecuencias de un incidente de seguridad causen un perjuicio limitado. Se utilizará cuando las consecuencias de un incidente de seguridad causen un perjuicio limitado. La reducción de forma apreciable de la capacidad de la organización para atender eficazmente con sus obligaciones corrientes, aunque estas sigan desempeñándose. La reducción de forma apreciable de la capacidad de la organización para atender eficazmente con sus obligaciones corrientes, aunque estas sigan desempeñándose. El sufrimiento de un daño menor por los activos de la organización. El sufrimiento de un daño menor por los activos de la organización. El incumplimiento formal de alguna ley o regulación, que tenga carácter de subsanable. El incumplimiento formal de alguna ley o regulación, que tenga carácter de subsanable. Causar un perjuicio menor a algún individuo, que aún siendo molesto pueda ser fácilmente reparable. Causar un perjuicio menor a algún individuo, que aún siendo molesto pueda ser fácilmente reparable. Otros de naturaleza análoga. Otros de naturaleza análoga.

26 Nivel Medio Se utilizará cuando las consecuencias de un incidente de seguridad causen un perjuicio grave. Se utilizará cuando las consecuencias de un incidente de seguridad causen un perjuicio grave. La reducción significativa la capacidad de la organización para atender eficazmente a sus obligaciones fundamentales, aunque estas sigan desempeñándose. La reducción significativa la capacidad de la organización para atender eficazmente a sus obligaciones fundamentales, aunque estas sigan desempeñándose. El sufrimiento de un daño significativo por los activos de la organización. El sufrimiento de un daño significativo por los activos de la organización. El incumplimiento material de alguna ley o regulación, o el incumplimiento formal que no tenga carácter de subsanable. El incumplimiento material de alguna ley o regulación, o el incumplimiento formal que no tenga carácter de subsanable. Causar un perjuicio significativo a algún individuo, de difícil reparación. Causar un perjuicio significativo a algún individuo, de difícil reparación. Otros de naturaleza análoga. Otros de naturaleza análoga.

27 Nivel Alto Se utilizará cuando las consecuencias de un incidente de seguridad causen un perjuicio muy grave. Se utilizará cuando las consecuencias de un incidente de seguridad causen un perjuicio muy grave. La anulación de la capacidad de la organización para atender a alguna de sus obligaciones fundamentales y que éstas sigan desempeñándose. La anulación de la capacidad de la organización para atender a alguna de sus obligaciones fundamentales y que éstas sigan desempeñándose. El sufrimiento de un daño muy grave, e incluso irreparable, por los activos de la organización. El sufrimiento de un daño muy grave, e incluso irreparable, por los activos de la organización. El incumplimiento grave de alguna ley o regulación. El incumplimiento grave de alguna ley o regulación. Causar un perjuicio grave a algún individuo, de difícil o imposible reparación. Causar un perjuicio grave a algún individuo, de difícil o imposible reparación. Otros de naturaleza análoga. Otros de naturaleza análoga.

28 Determinación de categorías Un sistema de información será de categoría ALTA si alguna de sus dimensiones de seguridad alcanza el nivel ALTO. Un sistema de información será de categoría ALTA si alguna de sus dimensiones de seguridad alcanza el nivel ALTO. Un sistema de información será de categoría MEDIA si alguna de sus dimensiones de seguridad alcanza el nivel MEDIO, y ninguna alcanza un nivel superior. Un sistema de información será de categoría MEDIA si alguna de sus dimensiones de seguridad alcanza el nivel MEDIO, y ninguna alcanza un nivel superior. Un sistema de información será de categoría BÁSICA si alguna de sus dimensiones de seguridad alcanza el nivel BAJO, y ninguna alcanza un nivel superior. Un sistema de información será de categoría BÁSICA si alguna de sus dimensiones de seguridad alcanza el nivel BAJO, y ninguna alcanza un nivel superior.

29 Anexo II Medidas de seguridad

30 Agrupamiento de medidas En función de las naturalezas de medidas, estas pueden diferenciarse en: En función de las naturalezas de medidas, estas pueden diferenciarse en: Marco organizativo [org]. Constituido por el conjunto de medidas relacionadas con la organización global de la seguridad. Marco organizativo [org]. Constituido por el conjunto de medidas relacionadas con la organización global de la seguridad. Marco operacional [op]. Formado por las medidas a tomar para proteger la operación del sistema como conjunto integral de componentes para un fin. Marco operacional [op]. Formado por las medidas a tomar para proteger la operación del sistema como conjunto integral de componentes para un fin. Medidas de protección [mp]. Se centran en proteger activos concretos, según su naturaleza y la calidad exigida por el nivel de seguridad de las dimensiones afectadas. Medidas de protección [mp]. Se centran en proteger activos concretos, según su naturaleza y la calidad exigida por el nivel de seguridad de las dimensiones afectadas.

31 Aplicación de medidas Las organizaciones deberán realizar un análisis de activos y riesgos. Las organizaciones deberán realizar un análisis de activos y riesgos. La aplicación de medidas se aplicarán en base a estos análisis. La aplicación de medidas se aplicarán en base a estos análisis. A los efectos de facilitar el cumplimiento de lo dispuesto en el anexo, cuando en un sistema de información existan sistemas que requieran la aplicación de un nivel de medidas de seguridad diferente al del sistema principal, podrán segregarse de este último. A los efectos de facilitar el cumplimiento de lo dispuesto en el anexo, cuando en un sistema de información existan sistemas que requieran la aplicación de un nivel de medidas de seguridad diferente al del sistema principal, podrán segregarse de este último. La relación de medidas seleccionadas se formalizará en un documento denominado Declaración de Aplicabilidad La relación de medidas seleccionadas se formalizará en un documento denominado Declaración de Aplicabilidad

32 Medidas de seguridad

33 Ejemplo práctico MP Info-6. MP Info-6. Medidas de protección para la limpieza de documentos. Solución técnica de ejemplo: Metashield Protector

34 Anexo III Auditoría de seguridad

35 Principios de auditoría Los sistemas de seguridad deberán ser auditados en base a estos principios: Los sistemas de seguridad deberán ser auditados en base a estos principios: Que la política de seguridad define los roles y funciones de los responsables de la información, los servicios, los activos y la seguridad del sistema de información. Que la política de seguridad define los roles y funciones de los responsables de la información, los servicios, los activos y la seguridad del sistema de información. Que existen procedimientos para resolución de conflictos entre dichos responsables. Que existen procedimientos para resolución de conflictos entre dichos responsables. Que se han designado personas para dichos roles a la luz del principio de «separación de funciones». Que se han designado personas para dichos roles a la luz del principio de «separación de funciones». Que se ha realizado un análisis de riesgos, con revisión y aprobación anual. Que se ha realizado un análisis de riesgos, con revisión y aprobación anual. Que se cumplen las recomendaciones de protección descritas en el anexo II, sobre Medidas de Seguridad, en función de las condiciones de aplicación en cada caso. Que se cumplen las recomendaciones de protección descritas en el anexo II, sobre Medidas de Seguridad, en función de las condiciones de aplicación en cada caso. Que existe un sistema de gestión de la seguridad de la información, documentado y con un proceso regular de aprobación por la dirección. Que existe un sistema de gestión de la seguridad de la información, documentado y con un proceso regular de aprobación por la dirección.

36 ¿Cuándo realizarla? Según lo estipula el artículo 34 deberá realizarse con carácter ordinario cada dos años. Según lo estipula el artículo 34 deberá realizarse con carácter ordinario cada dos años. Con carácter extraordinaria cuando se produzcan modificaciones sustanciales en el sistema de la información. Con carácter extraordinaria cuando se produzcan modificaciones sustanciales en el sistema de la información. Esta última iniciará de nuevo el cómputo del cálculo bienal de la auditoría ordinaria. Esta última iniciará de nuevo el cómputo del cálculo bienal de la auditoría ordinaria.

37 Niveles de auditoría Los sistemas de categoría básica no necesitará realizar una auditoría basta con una autoevaluación. No obstante esta deberá estar documentado. Los sistemas de categoría básica no necesitará realizar una auditoría basta con una autoevaluación. No obstante esta deberá estar documentado. Las categorías de tipo medio y alto se realizarán según lo dispuesto en el artículo 34. Las categorías de tipo medio y alto se realizarán según lo dispuesto en el artículo 34. Deberán generar un informe de auditoría. Deberán generar un informe de auditoría.

38 Informe de auditoría Deberá, incluir los criterios metodológicos de auditoría utilizados, el alcance y el objetivo de la auditoría. Deberá, incluir los criterios metodológicos de auditoría utilizados, el alcance y el objetivo de la auditoría. Dictaminará sobre el grado de cumplimiento del presente real decreto, identificará sus deficiencias y sugerirá las posibles medidas correctoras o complementarias que sean necesarias. Dictaminará sobre el grado de cumplimiento del presente real decreto, identificará sus deficiencias y sugerirá las posibles medidas correctoras o complementarias que sean necesarias. Los informes de auditoría serán analizados por el responsable de seguridad competente, que presentará sus conclusiones al responsable del sistema para que adopte las medidas correctoras adecuadas. Los informes de auditoría serán analizados por el responsable de seguridad competente, que presentará sus conclusiones al responsable del sistema para que adopte las medidas correctoras adecuadas.

39 Los productos de seguridad y escenarios Microsoft

40 Art. 18 Adquisición productos seguridad En la adquisición de productos de seguridad de las tecnologías de la información y comunicaciones que vayan a ser utilizados por las Administraciones públicas se valorarán positivamente aquellos que tengan certificada la funcionalidad de seguridad relacionada con el objeto de su adquisición. En la adquisición de productos de seguridad de las tecnologías de la información y comunicaciones que vayan a ser utilizados por las Administraciones públicas se valorarán positivamente aquellos que tengan certificada la funcionalidad de seguridad relacionada con el objeto de su adquisición. La certificación deberá estar de acuerdo con las normas y estándares de mayor reconocimiento internacional, en el ámbito de la seguridad funcional. La certificación deberá estar de acuerdo con las normas y estándares de mayor reconocimiento internacional, en el ámbito de la seguridad funcional.

41 OC ENECSTI Es el Organismo de Certificación del Esquema Nacional de Evaluación y Certificación de Seguridad de las Tecnologías de la Información. Es el Organismo de Certificación del Esquema Nacional de Evaluación y Certificación de Seguridad de las Tecnologías de la Información. Constituido al amparo de lo dispuesto en el artículo 2.2.c) del Real Decreto 421/2004, de 12 de marzo, y regulado por la orden PRE/2740/2007, de 19 de septiembre. Constituido al amparo de lo dispuesto en el artículo 2.2.c) del Real Decreto 421/2004, de 12 de marzo, y regulado por la orden PRE/2740/2007, de 19 de septiembre. Dentro de sus competencias, se encuentran determinar el criterio a cumplir en función del uso previsto del producto a que se refiera, en relación con el nivel de evaluación, otras certificaciones de seguridad adicionales que se requieran normativamente, así como, excepcionalmente, en los casos en que no existan productos certificados. Dentro de sus competencias, se encuentran determinar el criterio a cumplir en función del uso previsto del producto a que se refiera, en relación con el nivel de evaluación, otras certificaciones de seguridad adicionales que se requieran normativamente, así como, excepcionalmente, en los casos en que no existan productos certificados.http://www.oc.ccn.cni.es

42 Common Criteria Reconocida mundialmente, presenta un acuerdo de colaboración con la OC ENECSTI. Reconocida mundialmente, presenta un acuerdo de colaboración con la OC ENECSTI. Evalúa productos en base a su seguridad quedando establecidos por niveles denominador EAL (Evaluation Assurance Level). Evalúa productos en base a su seguridad quedando establecidos por niveles denominador EAL (Evaluation Assurance Level). Se dividen en 7 niveles, siendo los 4 primeros los destinados principalmente a productos de tipo comercial. Se dividen en 7 niveles, siendo los 4 primeros los destinados principalmente a productos de tipo comercial.http://www.commoncriteriaportal.org/

43 Reconocimiento de productos Los productos Microsoft han obtenido reconocimientos en materia de seguridad. Los productos Microsoft han obtenido reconocimientos en materia de seguridad. Un ejemplo circunstancial lo constituyen los productos de la Suite Forefront. Un ejemplo circunstancial lo constituyen los productos de la Suite Forefront. Han adquirido múltiples premios y certificaciones. Han adquirido múltiples premios y certificaciones. premiadas-en-la-European-Identity-Conference-2010.aspx premiadas-en-la-European-Identity-Conference-2010.aspx VBAntiSpam100-para-Forefront-Protection-for-Exchange-Fue-el-mejor-en-los-tests.aspx VBAntiSpam100-para-Forefront-Protection-for-Exchange-Fue-el-mejor-en-los-tests.aspx

44 Adquisición de la certificación Common Criteria Numerosos productos Microsoft han adquirido o están en proceso de adquirir la certificación CC EAL 4+ Numerosos productos Microsoft han adquirido o están en proceso de adquirir la certificación CC EAL 4+ Esta constituye la de mayor nivel para productos de tipo comercial. Esta constituye la de mayor nivel para productos de tipo comercial. Tanto los sistemas operativos como productos servidores y de desarrollo cubren las necesidades exigidas por el ENS. Tanto los sistemas operativos como productos servidores y de desarrollo cubren las necesidades exigidas por el ENS.

45 Escenarios de seguridad Múltiples de los escenarios, se verán involucrados por productos Microsoft: Múltiples de los escenarios, se verán involucrados por productos Microsoft: Estaciones de trabajo. Estaciones de trabajo. Servicios y servidores. Servicios y servidores. Productos de seguridad. Productos de seguridad. Aplicaciones cliente. Aplicaciones cliente. Cualquier sistema actualizado cumple los requisitos y medidas solicitadas. Cualquier sistema actualizado cumple los requisitos y medidas solicitadas. SDL

46 Contacto Juan Luis García Rambla Juan Luis García Rambla Informática64 Informática64 Seguros con Forefront Seguros con Forefront Windows técnico Windows técnico

47 Campaña Hand On Lab ahora también en modalidad virtual 5 y 6 de Julio– VHOL ENS

48 Más acciones desde TechNet Para ver los webcast grabados sobre éste tema y otros temas, diríjase a: Para ver los webcast grabados sobre éste tema y otros temas, diríjase a: Para información y registro de Futuros Webcast de éste y otros temas diríjase a: Para información y registro de Futuros Webcast de éste y otros temas diríjase a: Para mantenerse informado sobre todos los Eventos, Seminarios y webcast suscríbase a nuestro boletín TechNet Flash en ésta dirección: Para mantenerse informado sobre todos los Eventos, Seminarios y webcast suscríbase a nuestro boletín TechNet Flash en ésta dirección: Descubra los mejores vídeos para TI gratis y a un solo clic: Descubra los mejores vídeos para TI gratis y a un solo clic: Para acceder a toda la información, betas, actualizaciones, recursos, puede suscribirse a Nuestra Suscripción TechNet en: Para acceder a toda la información, betas, actualizaciones, recursos, puede suscribirse a Nuestra Suscripción TechNet en:


Descargar ppt "ESQUEMA DE SEGURIDAD NACIONAL APLICADO SISTEMAS WINDOWS Juan Luis García Rambla MVP Windows Security Responsable de seguridad Informática 64"

Presentaciones similares


Anuncios Google