Ver ms... > Revisin y manteniento del cumplimiento del ENS a travs de un SGSI, basado en la ISO 27001
Revisión y manteniento del cumplimiento del ENS a través de un SGSI, basado en la ISO 27001
Análisis de la situación y Roadmap para adecuación al ENS
Introducción: Adecuación al Esquema Nacional de Seguridad
Marco legal
El Real Decreto 3/2010, de 8 de enero (BOE de 29 de enero), por el que se regula el Esquema Nacional de Seguridad en el ámbito de la administración electrónica, regula el citado Esquema previsto en el artículo 42 de la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos. Su objeto es establecer la política de seguridad en la utilización de medios electrónicos y está constituido por principios básicos y requisitos mínimos que permitan una protección adecuada de la información.
Objetivos
La finalidad del Esquema Nacional de Seguridad es crear las condiciones necesarias para la confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones, y los servicios electrónicos, que permita el ejercicio de derechos y el cumplimiento de deberes a través de estos medios. Persigue fundamentar la confianza en que los sistemas de información prestarán sus servicios y custodiarán la información de acuerdo con sus especificaciones funcionales, sin interrupciones o modificaciones fuera de control y sin que la información pueda llegar al conocimiento de personas no autorizadas.
Al objeto de crear estas condiciones, el Esquema Nacional de Seguridad introduce los elementos comunes que han de guiar la actuación de las Administraciones Públicas en materia de seguridad de las tecnologías de la información. En particular, introduce los siguientes elementos principales:
Los principios básicos a ser tenidos en cuenta en las decisiones en materia de seguridad.
Los requisitos mínimos que permitan una protección adecuada de la información.
El mecanismo para lograr el cumplimiento de los principios básicos y requisitos mínimos mediante la adopción de medidas de seguridad proporcionadas a la naturaleza de la información, el sistema y los servicios a proteger.
Tiene en cuenta las recomendaciones de la Unión Europea, la situación tecnológica de las diferentes Administraciones Públicas, así como los servicios electrónicos ya existentes, y la utilización de estándares abiertos así como, en su caso y de forma complementaria, estándares que sean de uso generalizado por los ciudadanos.
En su elaboración se han manejado, entre otros, referentes en materia de seguridad tales como directrices y guías de la OCDE, recomendaciones de la Unión Europea, normalización nacional e internacional, normativa sobre administración electrónica, protección de datos de carácter personal, firma electrónica y Documento Nacional de Identidad Electrónico, así como a referentes de otros países.
Se ha realizado en un proceso coordinado por el Ministerio de la Presidencia con el apoyo del Centro Criptológico Nacional (CCN), con la participación de todas las Administraciones Públicas. A lo largo de los últimos tres años más de un centenar de expertos de las Administraciones Públicas ha colaborado en su elaboración; a los que hay que sumar los numerosos expertos que también han aportado su opinión a través de las asociaciones profesionales del sector TIC; todo ello a la luz del estado del arte y de los principales referentes en materia de seguridad de la información.
Sus objetivos son los siguientes:
Crear las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones, y los servicios electrónicos, que permita a los ciudadanos y a las administraciones públicas, el ejercicio de derechos y el cumplimiento de deberes a través de estos medios.
Establecer la política de seguridad en la utilización de medios electrónicos en el ámbito de la Ley 11/2007, que estará constituida por los principios básicos y los requisitos mínimos para una protección adecuada de la información.
Introducir los elementos comunes que han de guiar la actuación de las administraciones públicas en materia de seguridad de las tecnologías de la información.
Aportar un lenguaje común para facilitar la interacción de las administraciones públicas, así como la comunicación de los requisitos de seguridad de la información a la industria.
En el Esquema Nacional de Seguridad se concibe la seguridad como una actividad integral, en la que no caben actuaciones puntuales o tratamientos coyunturales, debido a que la debilidad de un sistema la determina su punto más frágil y, a menudo, este punto es la coordinación entre medidas individualmente adecuadas pero deficientemente ensambladas.
Dada la naturaleza de la seguridad, la consecución de estos objetivos requiere un desarrollo que tenga en cuenta la complejidad técnica, la obsolescencia de la tecnología subyacente y el importante cambio que supone en la operativa de la administración la aplicación de la Ley 11/2007.
Revisión y manteniento del cumplimiento del ENS a través de un SGSI, basado en la ISO 27001
La adecuación de un organismo al Esquema Nacional de Seguridad, supone como para cualquier adecuación normativa, un esfuerzo inicial para su puesta en marcha y posteriormente un seguimiento que permita asegurar su cumplimiento en el tiempo.
Desde este punto de vista, el real decreto 3/2010 que regula el Esquema Nacional de Seguridad supone la confirmación de la necesidad de que las administraciones públicas dispongan de un SGSI basado en la norma ISO 27.001.
La siguiente Tabla muestra las coincidencias entre sus apartados:
Requisitos del RD
ISO 27001
Artículo 4. Principios básicos
4.2 Creación del SGSI
Análisis y gestión de los riesgos
4.2.1 Creación del SGSI
Artículo 9. Reevaluación periódica
4.2.3 Monitorización y revisión del SGSI
Artículo 7
PDCA
Organización e implantación del proceso de seguridad
5.1 Compromiso de la dirección
Gestión de personal
5.2.2 Concienciación, formación y capacitación en seguridad
Profesionalidad
5.2.2 + A.8 + A.6.2.3
Autorización y control de los accesos
A.11.1 + A.11.6
Protección de las instalaciones
A.9 Seguridad física y ambiental
Adquisición de productos
A.15.2.2 Comprobación del cumplimiento técnico en materia de seguridad
Seguridad por defecto
A.12.1.1 Análisis y especificación de requisitos de seguridad
Integridad y actualización del sistema
A.6.1.4 + A.12.6.1 + A.6.1.7
Protección de la información almacenada y en tránsito
A.10.8.3 Soportes físicos en tránsito
Prevención ante otros sistemas de información interconectados
A.10.6 Gestión de seguridad de red y A.6.2 Trato con terceros
Registro de actividad
"A.10.10.1 Registro de auditorias y A.10.10.2 Supervisión del uso del sistema
Incidentes de seguridad
A.13.1.1 Notificación de eventos de seguridad
Continuidad de la actividad
"A.14 Gestión de continuidad de negocio y A.10.5 Copias de seguridad"
Mejora continua del proceso de seguridad
8.1 Mejora continua
CAPITULO IV
A.10.6 Gestión de seguridad en red y A.12.3.1 Política de uso de controles criptográficos
