Documentos de Académico
Documentos de Profesional
Documentos de Cultura
TEMA
TEMA 5 Esquema
Principios
Finalidad
(crear las condiciones de
confianza en el uso de
los medios electrnicos)
Origen
(Art. 42 Ley 11/2007, de
22 de junio)
Introduccin
Subjetivo
Objetivo
mbito de
aplicacin
Activos
Dimensiones de
seguridad
Requisitos bsicos
Nociones bsicas
Guas:
(Gua 801 a 824)
Medidas:
Marco organizativo (org)
Marco operacional (op)
Medidas de proteccion (mp)
Medidas de
seguridad y guas
Plan de
adecuacin
Cumplimiento
integral
Esquema
Ideas clave
5.1. Cmo estudiar este tema?
Para el estudio de este tema debes leer el documento elaborado por el profesor
Tema 5: El Esquema Nacional de Seguridad.
Para estudiar este tema debes leer el RD 3/2010 que aprueba el Esquema Nacional
de Seguridad (ENS), puedes acceder a la versin navegable travs del siguiente
enlace: https://www.ccn-cert.cni.es/publico/ens/ens/index.html
Adems debers descargar y leer las preguntas frecuentes que sobre el ENS tiene
publicadas el CCN: https://www.ccn-cert.cni.es/publico/dmpublidocuments/ENSPreguntas_frecuentes.pdf
Para estudiar este tema lee las ideas clave que encontrars a continuacin.
5.2. Introduccin
Origen y finalidad del ENS
La Ley 11/2007, de 22 de junio, de acceso electrnico de los ciudadanos a
los servicios pblicos (en adelante LAECSP) constituye el marco normativo
bsico para la administracin electrnica.
Pero qu sera de una administracin electrnica si no fuese segura?
Como indica la Exposicin de Motivos del Real Decreto 3/2010, de 8 de enero, por el
que se regula el Esquema Nacional de Seguridad (en adelante RDENS): la necesaria
generalizacin de la sociedad de la informacin es subsidiaria, en gran medida, de la
confianza que genere en los ciudadanos la relacin a travs de medios electrnicos.
Por y para ello el artculo 42.2 de la LAECSP crea el Esquema Nacional de Seguridad
(en adelante ENS), que posteriormente desarrolla el RDENS y que tiene por objeto el
establecimiento de los principios y requisitos de una poltica de seguridad en la
utilizacin de medios electrnicos que permita la adecuada proteccin de la
informacin.
La finalidad del ENS es precisamente crear las condiciones necesarias para
generar confianza: en el uso de los medios electrnicos, a travs de medidas para
garantizar la seguridad de los sistemas, los datos, las comunicaciones, y los servicios
electrnicos, que permita a los ciudadanos y a las Administraciones pblicas, el
ejercicio de derechos y el cumplimiento de deberes a travs de estos medios.
El ENS constituye un marco de referencia en materia de seguridad para los sistemas de
informacin utilizados por las Administraciones Pblicas.
Principios del ENS
Gestin de riesgos
Prevencin, reaccin y recuperacin
Lneas de defensa
Reevaluacin peridica
Funcin diferenciada
Los sistemas de informacin incluidos dentro del alcance del ENS son:
Nociones bsicas
Requisitos bsicos de seguridad
Se especifican en el Art. 11.1 del ENS:
o Organizacin e implantacin del proceso de seguridad.
o Anlisis y gestin de los riesgos.
o Gestin de personal.
o Profesionalidad.
o Autorizacin y control de los accesos.
o Proteccin de las instalaciones.
o Adquisicin de productos.
o Seguridad por defecto.
o Integridad y actualizacin del sistema.
o Proteccin de la informacin almacenada y en trnsito.
o Prevencin ante otros sistemas de informacin interconectados.
o Registro de actividad.
o Incidentes de seguridad.
o Continuidad de la actividad.
o Mejora continua del proceso de seguridad.
Dimensiones de seguridad en el ENS
El ENS trata las siguientes dimensiones de la seguridad (definiciones extradas de la
Gua CCN-STIC 800):
o Disponibilidad. Propiedad o caracterstica de los activos consistente en que las
entidades o procesos autorizados tienen acceso a los mismos cuando lo requieren.
o Integridad. Propiedad o caracterstica consistente en que el activo de
informacin no ha sido alterado de manera no autorizada.
o Confidencialidad. Propiedad o caracterstica consistente en que la informacin
ni se pone a disposicin, ni se revela a individuos, entidades o procesos no
autorizados.
o Trazabilidad. Propiedad o caracterstica consistente en que las actuaciones de
una entidad pueden ser imputadas exclusivamente a dicha entidad.
o Autenticidad. Propiedad o caracterstica consistente en que una entidad es
quien dice ser o bien que garantiza la fuente de la que proceden los datos.
Con base a estas dimensiones se calculan los impactos que tendran los incidentes de
seguridad sobre los sistemas afectados por el ENS, y, con ello, se determinara su
categorizacin (BSICO / MEDIO / ALTO).
Activos de alto nivel: informacin, servicios y sistemas
Estos tres conceptos bsicos constituyen los activos de alto nivel en un contexto de
cumplimiento del ENS.
Todos los conceptos son analizados desde la perspectiva de las cinco dimensiones
expuestas, aun cuando, en funcin de su naturaleza, se hace especial nfasis en las
dimensiones que les pueden afectar en mayor medida.
o Informacin
Existen muy diversas definiciones del trmino informacin. Una de ellas la
expone como: Informacin es cualquier conjunto de datos que tienen
significado.
Las dimensiones bsicas de la Informacin son:
- Confidencialidad
- Integridad.
o Servicio
Definicin ya expuesta anteriormente.
Su dimensin bsica es:
- Disponibilidad
o Sistema de informacin
Esta definicin ya ha sido expuesta anteriormente.
10
5.5.
Cumplimiento
integral
del
ENS
(Declaracin
de
conformidad)
Introduccin
El ENS contempla y exige la gestin continuada de la seguridad, para lo cual
debemos implantar un sistema de gestin.
Se puede aplicar un modelo de tipo PCDA para lo cual la normalizacin voluntaria
ofrece herramientas como la norma UNE ISO/IEC 27001:2007 Tecnologa de la
informacin. Tcnicas de seguridad. Sistemas de Gestin de la Seguridad de la
Informacin (SGSI). Requisitos. (ISO/IEC 27001:2005).
11
Fases
A continuacin se detallan las fases de este ciclo P.D.C.A. basado en un proceso de
mejora continua.
Las siglas, PDCA (del ciclo de Deming) son el acrnimo de Plan, Do, Check, Act
(Planificar, Hacer, Verificar, Actuar), los cuatro pasos de la estrategia. Este modelo se
aplica para estructurar todos los procesos del sistema de gestin de seguridad.
Fase plan (Planificar)
Esta fase de Plan se correspondera con la elaboracin del Plan de Adecuacin
exigido en el Esquema Nacional de Seguridad, previo a la implantacin del mismo.
Fase do (Hacer)
En esta fase se implantaran todas las medidas de seguridad que se apliquen
a los sistemas de informacin definidos en el alcance del mbito de aplicacin del
ENS de la organizacin, acorde a la categorizacin de los mismos y acorde a la
Declaracin de Aplicabilidad elaborada en la fase anterior.
Se dispone de la gua CCN-STIC 804 (Gua de Implantacin) de ayuda para la
implantacin de las medidas de seguridad exigidas por el ENS.
A su vez, se debern definir el modo de medir la eficacia de las medidas de seguridad
implantadas, para garantizar que cumplen con los objetivos en materia de seguridad
que se persiguen alcanzar en la organizacin, de forma que los resultados debieran
ser comparables y reproducibles.
En esta fase se debern implementar planes de formacin y concienciacin a
todo el personal de la organizacin.
Tambin se debern gestionar los recursos del sistema, gestionar las operaciones,
implementar procedimientos y otros controles que permitan una deteccin
temprana de eventos de seguridad y una respuesta ante cualquier incidente de
seguridad.
Fase check (Verificar)
12
13
Declaracin de conformidad
Una vez implantado el ENS se proceder a la publicacin de la declaracin de
conformidad con el mismo.
Los rganos y entidades de derecho pblico darn publicidad a la conformidad de
sus sistemas respecto al cumplimiento del Esquema Nacional de Seguridad, de
acuerdo con lo dispuesto en el Captulo VIII del RDENS mediante declaraciones
escritas, publicadas en las correspondientes sedes electrnicas y situadas en lugar
de fcil acceso para los usuarios.
14
Lo + recomendado
No dejes de leer
Protocolo de aplicacin del ENS a Entidades Locales. Plan de Adecuacin
Un grupo de tcnicos informticos de los ayuntamientos de la provincia coordinados
por el jefe de informtica de la Diputacin, constituidos como comunidad de
aprendizaje, desarrollaron un protocolo de actuacin para adecuar los sistemas de
informacin a las exigencias del Esquema Nacional de Seguridad.
Con todo ese material se ha realizado una publicacin que se pone a disposicin de
todos los ayuntamientos para que les pueda servir de referencia para la aplicacin del
citado ENS.
Accede al documento desde el aula virtual o a travs de la siguiente direccin web:
http://formacion.diputacionalicante.es/default.aspx?lang=es&ref=almacen&idRecurso
=516
No dejes de ver
Implantacin del RD 3/2010 Esquema Nacional de Seguridad
Vdeo que contiene una breve explicacin
de qu es la implantacin del ENS.
TEMA 5 Lo + recomendado
15
+ Informacin
Webgrafa
Pgina web del Centro Criptolgico Nacional
El Centro Criptolgico Nacional (CCN) es el organismo
responsable de coordinar la accin de los diferentes
organismos de la Administracin que utilicen medios o
procedimientos de cifra, garantizar la seguridad de las
Tecnologas de la Informacin en ese mbito, informar sobre la adquisicin coordinada
del material criptolgico y formar al personal de la Administracin especialista en este
campo.
Accede a la web desde el aula virtual o a travs de la siguiente direccin:
https://www.ccn.cni.es/
TEMA 5 + Informacin
16
Test
1. Cul de los siguientes NO es uno de los principios del ENS?
A. Seguridad integral.
B. Gestin de riesgos.
C. Prevencin, reaccin y recuperacin.
D. Seguridad gestionada.
2. Cul de las siguientes afirmaciones NO es cierta?
A. El ENS es una norma de obligado cumplimiento para todos los Sistemas de
Informacin de las AA.PP., independientemente de su ubicacin.
B. El ENS es exigible a aquellos sistemas de informacin operados por terceros que
desarrollan funciones, misiones, cometidos o servicios para las AA.PP.
C. El ENS es exigible a aquellos sistemas de informacin en dependencias de
terceros que desarrollan funciones, misiones, cometidos o servicios para las
AA.PP.
D. El ENS es exigible solo a la Administracin Pblica.
3. Cul de los siguientes NO es un requisito bsico de seguridad?
A. Profesionalidad.
B. Autorizacin y control de los accesos.
C. Proteccin de las instalaciones.
D. Adquisicin de productos.
E. Control de proveedores crticos.
4. Cul de las siguientes afirmaciones SI es cierta?
A. Las dimensiones de seguridad en el ENS son: Disponibilidad, Integridad,
Confidencialidad, Trazabilidad y Autenticidad.
B. Las dimensiones de seguridad en el ENS son: Disponibilidad, Integridad,
Confidencialidad, Portabilidad y Autenticidad.
C. Las dimensiones de seguridad en el ENS son: Disponibilidad, Eficiencia,
Confidencialidad, Trazabilidad y Autenticidad.
D. Las dimensiones de seguridad en el ENS son: Disponibilidad, Integridad,
Confidencialidad, concentracin y Autenticidad.
TEMA 5 Test
17
TEMA 5 Test
18
TEMA 5 Test
19