Seguridad BD

Planes de Seguridad Informtica
Cumplimiento de requisitos legales

Ministerio de Trabajo e Inmigracin
Subdireccin General de Proceso de Datos
Leopoldo Sim Ruescas
S bdi
Subdirector
G
Generall Adj
Adjunto dde IInfraestructuras
f
y Si
Sistemas
marzo 2011
Ministerio de Trabajo e Inmigracin. Subsecretara de Trabajo e Inmigracin. Subdireccin General de Proceso de Datos

El Plan de Seguridad Informtica
debe garantizar
La Disponibilidad
p
de los sistemas de informacin
La Recuperacin de los sistemas de informacin
La Trazabilidad de los sistemas de informacin
La Autenticidad de la informacin
La Integridad de la Informacin
El Acceso a la informacin
La
L Confidencialidad
C fid
i lid d de
d la
l iinformacin
f
i
La Conservacin de la informacin

El Plan
a de Segu
Seguridad
dad Informtica
o t ca ((II))
y debe respetar
La
L Legalidad
L
lid d vigente
i

Principales normas legislativas a considerar
Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de Datos de Carcter Personal (LOPD).
Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la
Ley Orgnica 15/1999, de 13 de diciembre, de proteccin de datos de carcter personal.
Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones.
Ley 25/2007, de 18 de octubre, de conservacin de datos relativos a las comunicaciones electrnicas y a
pblicas de comunicaciones.
las redes p
Ley 11/2007, de 22 de junio, de acceso electrnico de los ciudadanos a los servicios Pblicos.
Real Decreto 1671/2009, de 6 de noviembre, por el que se desarrolla parcialmente la Ley 11/2007.
Orden PRE/2740/2007,
PRE/2740/2007 de 19 de septiembre,
septiembre por la que se aprueba el Reglamento de Evaluacin y
Certificacin de la Seguridad de las Tecnologas de la Informacin.
Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el mbito
de la Administracin Electrnica.
Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad en el
mbito de la Administracin Electrnica.

Otras normas legislativas a considerar
Real Decreto 366/2007, de 16 de marzo, por el que se establecen las condiciones de accesibilidad y no
discriminacin de las personas con discapacidad en sus relaciones con la Administracin General del
Estado.
Estado
Real Decreto 1494/2007, de 12 de noviembre, por el que se aprueba el Reglamento sobre las
condiciones bsicas para el acceso de las personas con discapacidad a las tecnologas, productos y
servicios relacionados con la sociedad de la informacin y medios de comunicacin social.
Ley 30/1992, de 26 de noviembre, de Rgimen Jurdico de las Administraciones Pblicas y del
Procedimiento Administrativo Comn.
Ley 24/2001, de 27 de diciembre, de Medidas Fiscales, Administrativas y del Orden Social.
Ley 30/2007, de 30 de octubre, de Contratos del Sector Pblico

y las normas ISO?
ISO 15408 (COMMON CRITERIA)
Certificacin
La serie 27000 y principalmente

ISO 27001
Especificacin de SGSI
ISO 27002
Buenas prcticas
No son de obligado cumplimiento, salvo que as lo especifique una

norma legislativa

Ley Orgnica 15/1999 de Proteccin de Datos de Carcter Personal (LOPD)
R.D. 1720/2007 por el que se aprueba el Reglamento de desarrollo de la LOPD
mbito de aplicacin: Todo tratamiento automatizado o no automatizado
Consentimiento del afectado: Problema con la administracin electrnica
Principios de calidad de datos: Exactitud de los datos (Integridad)
Las medidas de seguridad (B/M/A): Ralentizan procesos (Cifrado)
Cesiones en soporte magntico o telecomunicaciones: Autorizadas
Encargado del tratamiento: Prestacin de Servicios (ojo subcontratacin)
Derechos ARCO: Choca con procedimientos administrativos.
Transferencia
T
f
i Internacional
I t
i
l de
d datos:
d t
Al
Algunas
no son tterritorio
it i espaol.
l
Documento de Seguridad: Problemas de gestin y mantenimiento
Ficheros no automatizados: Derechos ARCO Problema en archivos

Ley 32/2003 General de Telecomunicaciones
Ley 25/2007 d
L
de conservacin
i de
d datos
d t relativos
l ti
a las
l comunicaciones
i
i
electrnicas y a las redes pblicas de comunicaciones
Objeto:
Obj t regulacin
l i de
d las
l telecomunicaciones
t l
i
i
TTULO III. CAPTULO III. Secreto de las comunicaciones y proteccin de
personales y derechos y obligaciones
g
de carcter p
pblico
los datos p
vinculados con las redes y servicios de comunicaciones electrnicas
Objeto: regulacin de la obligacin de los operadores de conservar los
datos generados o tratados en el marco de la prestacin de servicios de
comunicaciones electrnicas o de redes pblicas de comunicacin
Establece la obligacin de adoptar una serie de medidas de seguridad
apropiadas y especficas para garantizar la confidencialidad e integridad de
los datos retenidos, y exige que estos sean tratados conforme a la
legislacin en materia de proteccin de datos de carcter personal

Ley 11/2007 de acceso electrnico de los ciudadanos a los Servicios Pblicos
R.D. 1671/2009 por el que se desarrolla parcialmente la Ley 11/2007.
Objeto: reconocer el derecho de
electrnicamente con la Administracin
los
ciudadanos
comunicarse
Plantea la necesidad de definir claramente la Sede Electrnica con la que se

establecen las relaciones, promoviendo un rgimen de identificacin,
autenticacin,
t ti
i
proteccin
t
i
j di
jurdica,
accesibilidad,
ibilid d
di
disponibilidad
ibilid d
y
responsabilidad.
Reconoce el derecho de los ciudadanos a no aportar
p
datos y documentos q
que
obren en poder de las AA.PP.
Establece
Principio
P i i i de
d igualdad:
i
ld d no implique
i li
una discriminacin
di i i
i
Principio de accesibilidad: a la informacin y a los servicios
Principio
p de p
proporcionalidad:
p
medidas de seguridad
g
adecuadas a la
naturaleza y circunstancias de los distintos trmites y actuaciones

Orden PRE/2740/2007 p
por la que
q se aprueba
p
el Reglamento
g
de Evaluacin y
Certificacin de la Seguridad de las Tecnologas de la Informacin.
Motivo: La utilizacin de las Tecnologas de la Informacin en proyectos de
desarrollo de la sociedad de la informacin imponen la necesidad de
garantizar un nivel de seguridad equiparable, como mnimo, al conseguido
en el tratamiento tradicional de la informacin en soporte papel.
papel
Articulacin del Organismo de Certificacin (OC) del Esquema Nacional de
Evaluacin y Certificacin de la Seguridad de las Tecnologas de la
I f
Informacin
i (ENECSTI)
Laboratorios de Certificacin
Certificacin
C tifi
i de
d productos
d t y sistemas
i t

R.D. Decreto 3/2010 p
por el que
q se regula
g
el Esquema
q
Nacional de Seguridad
g
Origen:
g
Artculo 42 de la Ley
y 11/2007
mbito ( art. 3): AGE, A. CC.AA. y Entidades de A.L. (art. 3 del R.D. y
2 de la Ley 11/2007)
Plazos (disposicin transitoria)
Plan de Adecuacin: 29 enero 2011
Ejecucin de las medidas (declaracin de conformidad): 29 enero
2014
Modelo de clusula administrativa particular (anexo V). Referencia de
certificacin

Esquema Nacional de Seguridad
Medidas de seguridad
(75 medidas recogidas en el anexo II)
Marco organizativo
g
[[org]
g] ((4 medidas).
) Relacionadas con la
organizacin global de la seguridad: Poltica de Seguridad, Normativa de
Seguridad, Procedimientos de Seguridad y Proceso de Autorizacin
Marco operacional [op] (31 medidas). Proteger la operacin del
sistema:
Planificacin, Control de Acceso, Explotacin, Servicios
Externos Continuidad del Servicio y Monitorizacin del Sistema.
Externos,
Sistema
Medidas de proteccin [mp] (40 medidas). Proteger activos, segn sus
naturaleza y en funcin de dimensin afectada (disponibilidad,
(disponibilidad
autenticidad, integridad, confidencialidad y trazabilidad: Instalaciones,
Personal, Equipos, Servicios, Comunicaciones, Informacin,

qu tenemos que proteger??
ACTIVOS
servicios
i i
informacin
i f
i
Los que se prestan a los ciudadanos o a

otras administraciones.
administraciones Excluyendo
servicios internos o auxiliares tales como
correo electrnico, ficheros en red, servicios
de directorio, de impresin, etc.
La informacin que es relevante para el

proceso administrativo y puede ser tratada
en algn servicio (ley 11/2007)
No se valorarn datos auxiliares

Comit de Seguridad
Artculo 11. Requisitos mnimos de seguridad
Todos los rganos superiores de las Administraciones pblicas debern
disponer formalmente de su poltica de seguridad, que ser aprobada por
el rgano
g
superior
p
correspondiente
correspondiente.
p
.
Marco Organizativo (Anexo II. Medidas de seguridad)
Poltica de seguridad [org
[org..1]: Ser aprobada por el rgano superior
competente..
competente
Debe precisar la estructura del comit o los comits para la gestin y
coordinacin de la seguridad
Comit de Seguridad

Comit de Seguridad. Funciones (Gua CCN
CCN--STIC 801)
Atender a las inquietudes de la alta direccin e informarles del estado
Marcar las directrices de Seguridad Fsica y Lgicas
Aprobar y revisar una vez al ao las Polticas de Seguridad
Aprobar y revisar anualmente el Plan Contingencia.
Verificar q
que se cumpla
p la legislacin
g
en materia de seguridad
g
Aprobar el Plan Anual de Auditorias a realizar
Definir los sistemas criptogrficos a ser empleados
D t
Determinar
i
lla poltica
lti en ell mbito
bit d
de llas comunicaciones
i
i
Aprobar el Plan de Adecuacin y vigilar por su cumplimiento
Realizar las Declaraciones de Aplicabilidad y Conformidad
Promover mejoras continuas del sistema de gestin de la seguridad
Coordinar a las diferentes Unidades en materia de seguridad
Priorizar actuaciones en materia de seguridad

Responsable de la Informacin:
Informacin: Determina los requisitos de la informacin en
materia de seguridad
seguridad..
R
Responsable
bl del
d l Servicio
S
Servicio:
i i : Determina
D t
i
llos requisitos
i it
d l servicio
del
i i en materia
t i de
d
seguridad..
seguridad
Responsable de la Seguridad:
Seguridad: Se encarga de aplicar las medidas de seguridad
establecidas por los responsables (informacin y servicios)
servicios)..
Responsable del Sistema:
Sistema: Responsable de que los servicios se presten.
presten.
Responsable del Fichero:
Fichero: adoptar las medidas de seguridad necesarias descritas
en el RD 1720
1720//2007 (LOPD), en funcin del nivel de clasificacin de la misma
misma..

Creacin del Comit de Seguridad
g
Ley 6/1997.Organizacin y Funcionamiento de la AGE
Art.40. Creacin, modificacin y supresin de rganos Colegiados.
3. En
3
E todos
t d
l
los
supuestos
t
no comprendidos
did
en ell apartado
t d 1 de
d este
t
artculo(1), los rganos colegiados tendrn el carcter de grupos o
comisiones de trabajo y podrn ser creados por Acuerdo del Consejo de
Ministros o por los Ministerios interesados. Sus acuerdos no podrn tener
transcendencia jurdica directa frente a terceros.
(1) Competencias decisorias, competencias de propuesta o emisin de informes

preceptivos,
p
p
, competencias
p
de control de las actuaciones de otros rganos
g
de la AGE

Auditora de la Seguridad
g
(anexo
(
III))
Auditora regular ordinaria, al menos cada dos aos
Auditora extraordinaria cuando se produzcan modificaciones
sustanciales
Sistemas de categora BSICA: Autoevaluacin
Sistemas de categora MEDIA o ALTA: Criterios y metodologa
generalmente reconocidos y normalizacin nacional e internacional
aplicable

Resumen del Proyecto de adaptacin al ENS en el

Ministerio de Trabajo e Inmigracin

Adaptacin al ENS en el MTIN
Base:
El propio R.D. del Esquema Nacional de Seguridad
Guas Serie 800 del CCN
CCN--STIC: 801 a 809
Intercambio de experiencias con otras entidades
Asistencia a seminarios, conferencias, sesiones con
empresas etc
empresas,
etc.

Fases del Proyecto
Trabajos Previos y Determinacin del Alcance
Identificacin y Clasificacin de Activos
Categorizacin de los activos: Alto, Medio, Bsico
Auditora
A dit de
d C
Cumplimiento
li i t d
dell ENS
Anlisis y Valoracin de Resultados
Determinacin de las Medidas de Mejora
Plan de Adecuacin: General, Transversal y Detallado
Presentacin de Resultados
Aplicacin

Auditora de Cumplimiento. Anlisis de Resultados
Estadsticas
Medidas
de Mejora
Valoracin
Medidas
Planificacin
de la
Anlisis
Adoptar
implantacin
Checklist:
Informacin
Servicio
Alto
Medio
Bajo
Plan de Adecuacin

Auditora de Cumplimiento.
p
Anlisis de Resultados

Auditora de Cumplimiento. Anlisis de resultados
Analizamos el caso del nivel alto, y consideramos el % de trabajo que requiere
cada una de las medidas, valorado en jornadas de trabajo:

p
Anlisis de Resultados
Comn para todos
los activos

p
Tipologa
p g de las Medidas
Transversales:
Afectan a todos los sistemas y/o subsistemas donde residen los activos, su
ejecucin produce una mejora en todos ellos.
Particulares o Detalle:
Afectan al sistema y/o subsistema donde reside el activo
activo, su ejecucin
produce una mejora en el activo solamente.
Af
Afectan
a lla informacin:
i f
i
De aplicacin en Sistemas y Subsistemas de Informacin
Afectan al servicio:
De aplicacin en los Servicios que se presta
Afectan al servicio e informacin


Auditora de Cumplimiento. Medidas de Mejora
Determinacin de las medidas a adoptar, tanto para Informacin como
para servicios, en cada nivel de seguridad: alto, medio y bsico.
Clasificacin de las medidas en funcin de su aplicacin: SGA de
Desarrollo o SGA de Infraestructuras y Sistemas
Cuantificacin del Riesgo Cubierto en Alto, Medio o Bajo, en la
aplicacin de cada medida.
Cuantificacin de la Dificultad de Implantacin de la medida en Alta,
Media o Baja,
j en funcin de los recursos a tener q
que emplear.
p
Cuantificacin del tiempo de implantacin de la medida, en el caso
que fuera necesaria su implantacin al 100%.

Plan de Adecuacin
Plan de Adecuacin
Detallado rea de
Conocimiento 1
Plan de Adecuacin
Detallado rea de
Conocimiento 2
Plan de Adecuacin
Detallado rea de
Conocimiento 3
Plan de Adecuacin Transversal

Pl de
Plan
d Adecuacin
Ad
i General
G
l
Con
ntrol Imp
plantacin
n
Estructuracin

Plan de Adecuacin
Adecuacin. Planificacin de detalle

Plan de Adecuacin
Adecuacin. Planificacin
Marco
Organizativo
Marco
Operacional
Medidas
Proteccin
Total
Febrero 2011
46%
49%
68%
59%
Julio 2011
78%
59%
--
65%
100%
71%
73%
73%
Julio 2012
84%
80%
80%
Diciembre 2012
96%
88%
88%
100%
95%
95%
100%
100%
Diciembre 2011
Julio 2013
Diciembre 2013


Seguridad BD

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Seguridad BD

Cargado por

Copyright:

Formatos disponibles

Planes de Seguridad Informtica

Cumplimiento de requisitos legales

Planes de Seguridad Informtica

Planes de Seguridad Informtica

Cumplimiento de requisitos legales

Planes de Seguridad Informtica

Planes de Seguridad Informtica

Planes de Seguridad Informtica

La serie 27000 y principalmente

No son de obligado cumplimiento, salvo que as lo especifique una

Planes de Seguridad Informtica

Planes de Seguridad Informtica

Planes de Seguridad Informtica

Plantea la necesidad de definir claramente la Sede Electrnica con la que se

Planes de Seguridad Informtica

Planes de Seguridad Informtica

Planes de Seguridad Informtica

Planes de Seguridad Informtica

Los que se prestan a los ciudadanos o a

La informacin que es relevante para el

Planes de Seguridad Informtica

Planes de Seguridad Informtica

Planes de Seguridad Informtica

Planes de Seguridad Informtica

(1) Competencias decisorias, competencias de propuesta o emisin de informes

Planes de Seguridad Informtica

Planes de Seguridad Informtica

Resumen del Proyecto de adaptacin al ENS en el

Planes de Seguridad Informtica

Planes de Seguridad Informtica

Planes de Seguridad Informtica

Planes de Seguridad Informtica

Planes de Seguridad Informtica

Planes de Seguridad Informtica

Planes de Seguridad Informtica

Afectan al servicio e informacin

Planes de Seguridad Informtica

Planes de Seguridad Informtica

Plan de Adecuacin Transversal

Planes de Seguridad Informtica

Planes de Seguridad Informtica

Planes de Seguridad Informtica

También podría gustarte