Ver ms... > Anlisis de la situación y Roadmap para adecuación al ENS
Anlisis de la situación y Roadmap para adecuación al ENS
Introducción: Adecuación al Esquema Nacional de Seguridad
Marco legal
El Real Decreto 3/2010, de 8 de enero (BOE de 29 de enero), por el que se regula el Esquema Nacional de Seguridad en el ámbito de la administración electrónica, regula el citado Esquema previsto en el artículo 42 de la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos. Su objeto es establecer la política de seguridad en la utilización de medios electrónicos y está constituido por principios básicos y requisitos mínimos que permitan una protección adecuada de la información.
Objetivos
La finalidad del Esquema Nacional de Seguridad es crear las condiciones necesarias para la confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones, y los servicios electrónicos, que permita el ejercicio de derechos y el cumplimiento de deberes a través de estos medios. Persigue fundamentar la confianza en que los sistemas de información prestarán sus servicios y custodiarán la información de acuerdo con sus especificaciones funcionales, sin interrupciones o modificaciones fuera de control y sin que la información pueda llegar al conocimiento de personas no autorizadas.
Al objeto de crear estas condiciones, el Esquema Nacional de Seguridad introduce los elementos comunes que han de guiar la actuación de las Administraciones Públicas en materia de seguridad de las tecnologías de la información. En particular, introduce los siguientes elementos principales:
-
Los principios básicos a ser tenidos en cuenta en las decisiones en materia de seguridad.
-
Los requisitos mínimos que permitan una protección adecuada de la información.
-
El mecanismo para lograr el cumplimiento de los principios básicos y requisitos mínimos mediante la adopción de medidas de seguridad proporcionadas a la naturaleza de la información, el sistema y los servicios a proteger.
Tiene en cuenta las recomendaciones de la Unión Europea, la situación tecnológica de las diferentes Administraciones Públicas, así como los servicios electrónicos ya existentes, y la utilización de estándares abiertos así como, en su caso y de forma complementaria, estándares que sean de uso generalizado por los ciudadanos.
En su elaboración se han manejado, entre otros, referentes en materia de seguridad tales como directrices y guías de la OCDE, recomendaciones de la Unión Europea, normalización nacional e internacional, normativa sobre administración electrónica, protección de datos de carácter personal, firma electrónica y Documento Nacional de Identidad Electrónico, así como a referentes de otros países.
Se ha realizado en un proceso coordinado por el Ministerio de la Presidencia con el apoyo del Centro Criptológico Nacional (CCN), con la participación de todas las Administraciones Públicas. A lo largo de los últimos tres años más de un centenar de expertos de las Administraciones Públicas ha colaborado en su elaboración; a los que hay que sumar los numerosos expertos que también han aportado su opinión a través de las asociaciones profesionales del sector TIC; todo ello a la luz del estado del arte y de los principales referentes en materia de seguridad de la información.
Sus objetivos son los siguientes:
-
Crear las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones, y los servicios electrónicos, que permita a los ciudadanos y a las administraciones públicas, el ejercicio de derechos y el cumplimiento de deberes a través de estos medios.
-
Establecer la política de seguridad en la utilización de medios electrónicos en el ámbito de la Ley 11/2007, que estará constituida por los principios básicos y los requisitos mínimos para una protección adecuada de la información.
-
Introducir los elementos comunes que han de guiar la actuación de las administraciones públicas en materia de seguridad de las tecnologías de la información.
-
Aportar un lenguaje común para facilitar la interacción de las administraciones públicas, así como la comunicación de los requisitos de seguridad de la información a la industria.
En el Esquema Nacional de Seguridad se concibe la seguridad como una actividad integral, en la que no caben actuaciones puntuales o tratamientos coyunturales, debido a que la debilidad de un sistema la determina su punto más frágil y, a menudo, este punto es la coordinación entre medidas individualmente adecuadas pero deficientemente ensambladas.
Dada la naturaleza de la seguridad, la consecución de estos objetivos requiere un desarrollo que tenga en cuenta la complejidad técnica, la obsolescencia de la tecnología subyacente y el importante cambio que supone en la operativa de la administración la aplicación de la Ley 11/2007.
Análisis de la situación y Roadmap para adecuación al ENS
Como punto de partida para la adecuación de los organismos públicos al Esquema Nacional de Seguridad, TCPsi propone un servicio de consultoría que permita en un tiempo razonablemente corto, la determinación de la situación y la disposición ordenada de acciones que llevan al cumplimiento de este Real Decreto.
En concreto nuestra propuesta consiste en la elaboración del informe de adecuación y cumplimiento del Esquema Nacional de Seguridad para la Administración Electrónica del organismo en cuestión.
Se trata de un trabajo de Consultoría que, por su propia naturaleza, se abordan desde una perspectiva organizativa, funcional y procedimental de los requisitos legalmente establecidos en la legislación española.
El proyecto de asesoramiento, consistente en la “Revisión de la Situación actual, Análisis e Informe de Adecuación “Roadmap” de la entidad en materia del Esquema Nacional de Seguridad y la Ley 11/2007” se desarrollará para alcanzar los siguientes objetivos:
-
Analizar la situación actual del cumplimiento del Esquema Nacional de seguridad y la Ley 11/2007, con las indicaciones posteriores necesarias para la correcta implantación según la situación particular del organismo.
-
Elaboración de la Política de Seguridad y el Análisis de Riesgos de Cumplimiento descritos en el Anexo II del ENS. Todo ello servirá a la organización para el cumplimiento de:
-
Creación de las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones, y los servicios electrónicos, que permita a los ciudadanos y a las administraciones públicas, el ejercicio de derechos y el cumplimiento de deberes a través de estos medios.
-
Establecer la política de seguridad en la utilización de medios electrónicos en el ámbito de la Ley 11/2007, que estará constituida por los principios básicos y los requisitos mínimos para una protección adecuada de la información.
-
Introducir los elementos comunes que han de guiar la actuación de las administraciones públicas en materia de seguridad de las tecnologías de la información.
-
Aportar un lenguaje común para facilitar la interacción de las administraciones públicas, así como la comunicación de los requisitos de seguridad de la información a la industria.
Enlaces relacionados
Implementación de un SGSI, basado en la ISO 27.001
Para conocer más sobre este servicio, mande un correo a info@tcpsi.es
Anlisis de la situación y Roadmap para adecuación al ENS
Introducción: Adecuación al Esquema Nacional de Seguridad
Marco legal
El Real Decreto 3/2010, de 8 de enero (BOE de 29 de enero), por el que se regula el Esquema Nacional de Seguridad en el ámbito de la administración electrónica, regula el citado Esquema previsto en el artículo 42 de la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos. Su objeto es establecer la política de seguridad en la utilización de medios electrónicos y está constituido por principios básicos y requisitos mínimos que permitan una protección adecuada de la información.
Objetivos
La finalidad del Esquema Nacional de Seguridad es crear las condiciones necesarias para la confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones, y los servicios electrónicos, que permita el ejercicio de derechos y el cumplimiento de deberes a través de estos medios. Persigue fundamentar la confianza en que los sistemas de información prestarán sus servicios y custodiarán la información de acuerdo con sus especificaciones funcionales, sin interrupciones o modificaciones fuera de control y sin que la información pueda llegar al conocimiento de personas no autorizadas.
Al objeto de crear estas condiciones, el Esquema Nacional de Seguridad introduce los elementos comunes que han de guiar la actuación de las Administraciones Públicas en materia de seguridad de las tecnologías de la información. En particular, introduce los siguientes elementos principales:
-
Los principios básicos a ser tenidos en cuenta en las decisiones en materia de seguridad.
-
Los requisitos mínimos que permitan una protección adecuada de la información.
-
El mecanismo para lograr el cumplimiento de los principios básicos y requisitos mínimos mediante la adopción de medidas de seguridad proporcionadas a la naturaleza de la información, el sistema y los servicios a proteger.
Tiene en cuenta las recomendaciones de la Unión Europea, la situación tecnológica de las diferentes Administraciones Públicas, así como los servicios electrónicos ya existentes, y la utilización de estándares abiertos así como, en su caso y de forma complementaria, estándares que sean de uso generalizado por los ciudadanos.
En su elaboración se han manejado, entre otros, referentes en materia de seguridad tales como directrices y guías de la OCDE, recomendaciones de la Unión Europea, normalización nacional e internacional, normativa sobre administración electrónica, protección de datos de carácter personal, firma electrónica y Documento Nacional de Identidad Electrónico, así como a referentes de otros países.
Se ha realizado en un proceso coordinado por el Ministerio de la Presidencia con el apoyo del Centro Criptológico Nacional (CCN), con la participación de todas las Administraciones Públicas. A lo largo de los últimos tres años más de un centenar de expertos de las Administraciones Públicas ha colaborado en su elaboración; a los que hay que sumar los numerosos expertos que también han aportado su opinión a través de las asociaciones profesionales del sector TIC; todo ello a la luz del estado del arte y de los principales referentes en materia de seguridad de la información.
Sus objetivos son los siguientes:
-
Crear las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones, y los servicios electrónicos, que permita a los ciudadanos y a las administraciones públicas, el ejercicio de derechos y el cumplimiento de deberes a través de estos medios.
-
Establecer la política de seguridad en la utilización de medios electrónicos en el ámbito de la Ley 11/2007, que estará constituida por los principios básicos y los requisitos mínimos para una protección adecuada de la información.
-
Introducir los elementos comunes que han de guiar la actuación de las administraciones públicas en materia de seguridad de las tecnologías de la información.
-
Aportar un lenguaje común para facilitar la interacción de las administraciones públicas, así como la comunicación de los requisitos de seguridad de la información a la industria.
En el Esquema Nacional de Seguridad se concibe la seguridad como una actividad integral, en la que no caben actuaciones puntuales o tratamientos coyunturales, debido a que la debilidad de un sistema la determina su punto más frágil y, a menudo, este punto es la coordinación entre medidas individualmente adecuadas pero deficientemente ensambladas.
Dada la naturaleza de la seguridad, la consecución de estos objetivos requiere un desarrollo que tenga en cuenta la complejidad técnica, la obsolescencia de la tecnología subyacente y el importante cambio que supone en la operativa de la administración la aplicación de la Ley 11/2007.
Análisis de la situación y Roadmap para adecuación al ENS
Como punto de partida para la adecuación de los organismos públicos al Esquema Nacional de Seguridad, TCPsi propone un servicio de consultoría que permita en un tiempo razonablemente corto, la determinación de la situación y la disposición ordenada de acciones que llevan al cumplimiento de este Real Decreto.
En concreto nuestra propuesta consiste en la elaboración del informe de adecuación y cumplimiento del Esquema Nacional de Seguridad para la Administración Electrónica del organismo en cuestión.
Se trata de un trabajo de Consultoría que, por su propia naturaleza, se abordan desde una perspectiva organizativa, funcional y procedimental de los requisitos legalmente establecidos en la legislación española.
El proyecto de asesoramiento, consistente en la “Revisión de la Situación actual, Análisis e Informe de Adecuación “Roadmap” de la entidad en materia del Esquema Nacional de Seguridad y la Ley 11/2007” se desarrollará para alcanzar los siguientes objetivos:
-
Analizar la situación actual del cumplimiento del Esquema Nacional de seguridad y la Ley 11/2007, con las indicaciones posteriores necesarias para la correcta implantación según la situación particular del organismo.
-
Elaboración de la Política de Seguridad y el Análisis de Riesgos de Cumplimiento descritos en el Anexo II del ENS. Todo ello servirá a la organización para el cumplimiento de:
-
Creación de las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones, y los servicios electrónicos, que permita a los ciudadanos y a las administraciones públicas, el ejercicio de derechos y el cumplimiento de deberes a través de estos medios.
-
Establecer la política de seguridad en la utilización de medios electrónicos en el ámbito de la Ley 11/2007, que estará constituida por los principios básicos y los requisitos mínimos para una protección adecuada de la información.
-
Introducir los elementos comunes que han de guiar la actuación de las administraciones públicas en materia de seguridad de las tecnologías de la información.
-
Aportar un lenguaje común para facilitar la interacción de las administraciones públicas, así como la comunicación de los requisitos de seguridad de la información a la industria.
-
Enlaces relacionados
Implementación de un SGSI, basado en la ISO 27.001
Para conocer más sobre este servicio, mande un correo a info@tcpsi.es
|
|
ServiciosConsultoría
ServiciosIntegración
Servicios Outsourcing
ServiciosEspecializados
Servicios especializados TCP
