Está en la página 1de 31

Planes de Seguridad Informtica

Cumplimiento de requisitos legales


Ministerio de Trabajo e Inmigracin Subdireccin General de Proceso de Datos Leopoldo Sim Ruescas
Subdirector G S bdi General Adj l Adjunto d I f de Infraestructuras y Si Sistemas

marzo 2011

Ministerio de Trabajo e Inmigracin. Subsecretara de Trabajo e Inmigracin. Subdireccin General de Proceso de Datos

Planes de Seguridad Informtica


El Plan de Seguridad Informtica debe garantizar
La Disponibilidad de los sistemas de informacin p La Recuperacin de los sistemas de informacin La Trazabilidad de los sistemas de informacin La Autenticidad de la informacin La Integridad de la Informacin El Acceso a la informacin L C fid La Confidencialidad d la i f i lid d de l informacin i La Conservacin de la informacin

Ministerio de Trabajo e Inmigracin. Subsecretara de Trabajo e Inmigracin. Subdireccin General de Proceso de Datos

Planes de Seguridad Informtica


El Plan de Segu dad Informtica ( ) a Seguridad o t ca (II) y debe respetar
L L La Legalidad vigente lid d i

Cumplimiento de requisitos legales

Ministerio de Trabajo e Inmigracin. Subsecretara de Trabajo e Inmigracin. Subdireccin General de Proceso de Datos

Planes de Seguridad Informtica


Cumplimiento de requisitos legales
Principales normas legislativas a considerar
Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de Datos de Carcter Personal (LOPD). Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgnica 15/1999, de 13 de diciembre, de proteccin de datos de carcter personal. Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones. Ley 25/2007, de 18 de octubre, de conservacin de datos relativos a las comunicaciones electrnicas y a p las redes pblicas de comunicaciones. Ley 11/2007, de 22 de junio, de acceso electrnico de los ciudadanos a los servicios Pblicos. Real Decreto 1671/2009, de 6 de noviembre, por el que se desarrolla parcialmente la Ley 11/2007. Orden PRE/2740/2007 de 19 de septiembre por la que se aprueba el Reglamento de Evaluacin y PRE/2740/2007, septiembre, Certificacin de la Seguridad de las Tecnologas de la Informacin. Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el mbito de la Administracin Electrnica. Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad en el mbito de la Administracin Electrnica.

Ministerio de Trabajo e Inmigracin. Subsecretara de Trabajo e Inmigracin. Subdireccin General de Proceso de Datos

Planes de Seguridad Informtica


Cumplimiento de requisitos legales
Otras normas legislativas a considerar
Real Decreto 366/2007, de 16 de marzo, por el que se establecen las condiciones de accesibilidad y no discriminacin de las personas con discapacidad en sus relaciones con la Administracin General del Estado. Estado Real Decreto 1494/2007, de 12 de noviembre, por el que se aprueba el Reglamento sobre las condiciones bsicas para el acceso de las personas con discapacidad a las tecnologas, productos y servicios relacionados con la sociedad de la informacin y medios de comunicacin social. Ley 30/1992, de 26 de noviembre, de Rgimen Jurdico de las Administraciones Pblicas y del Procedimiento Administrativo Comn. Ley 24/2001, de 27 de diciembre, de Medidas Fiscales, Administrativas y del Orden Social. Ley 30/2007, de 30 de octubre, de Contratos del Sector Pblico

Ministerio de Trabajo e Inmigracin. Subsecretara de Trabajo e Inmigracin. Subdireccin General de Proceso de Datos

Planes de Seguridad Informtica


Cumplimiento de requisitos legales
y las normas ISO?
ISO 15408 (COMMON CRITERIA) Certificacin

La serie 27000 y principalmente ISO 27001 ISO 27002 Especificacin de SGSI Buenas prcticas

No son de obligado cumplimiento, salvo que as lo especifique una norma legislativa

Ministerio de Trabajo e Inmigracin. Subsecretara de Trabajo e Inmigracin. Subdireccin General de Proceso de Datos

Planes de Seguridad Informtica


Cumplimiento de requisitos legales
Ley Orgnica 15/1999 de Proteccin de Datos de Carcter Personal (LOPD) R.D. 1720/2007 por el que se aprueba el Reglamento de desarrollo de la LOPD mbito de aplicacin: Todo tratamiento automatizado o no automatizado Consentimiento del afectado: Problema con la administracin electrnica Principios de calidad de datos: Exactitud de los datos (Integridad) Las medidas de seguridad (B/M/A): Ralentizan procesos (Cifrado) Cesiones en soporte magntico o telecomunicaciones: Autorizadas Encargado del tratamiento: Prestacin de Servicios (ojo subcontratacin) Derechos ARCO: Choca con procedimientos administrativos. T Transferencia Internacional de datos: Al f i I t i ld d t Algunas no son t it i espaol. territorio l Documento de Seguridad: Problemas de gestin y mantenimiento Ficheros no automatizados: Derechos ARCO Problema en archivos
Ministerio de Trabajo e Inmigracin. Subsecretara de Trabajo e Inmigracin. Subdireccin General de Proceso de Datos

Planes de Seguridad Informtica


Cumplimiento de requisitos legales
Ley 32/2003 General de Telecomunicaciones Ley L 25/2007 d conservacin de datos relativos a las comunicaciones de i d d t l ti l i i electrnicas y a las redes pblicas de comunicaciones Obj t regulacin d l t l Objeto: l i de las telecomunicaciones i i TTULO III. CAPTULO III. Secreto de las comunicaciones y proteccin de p g p los datos personales y derechos y obligaciones de carcter pblico vinculados con las redes y servicios de comunicaciones electrnicas Objeto: regulacin de la obligacin de los operadores de conservar los datos generados o tratados en el marco de la prestacin de servicios de comunicaciones electrnicas o de redes pblicas de comunicacin Establece la obligacin de adoptar una serie de medidas de seguridad apropiadas y especficas para garantizar la confidencialidad e integridad de los datos retenidos, y exige que estos sean tratados conforme a la legislacin en materia de proteccin de datos de carcter personal
Ministerio de Trabajo e Inmigracin. Subsecretara de Trabajo e Inmigracin. Subdireccin General de Proceso de Datos

Planes de Seguridad Informtica


Cumplimiento de requisitos legales
Ley 11/2007 de acceso electrnico de los ciudadanos a los Servicios Pblicos R.D. 1671/2009 por el que se desarrolla parcialmente la Ley 11/2007. Objeto: reconocer el derecho de electrnicamente con la Administracin los ciudadanos a comunicarse

Plantea la necesidad de definir claramente la Sede Electrnica con la que se establecen las relaciones, promoviendo un rgimen de identificacin, autenticacin, t ti i proteccin t i jurdica, j di accesibilidad, ibilid d disponibilidad di ibilid d y responsabilidad. Reconoce el derecho de los ciudadanos a no aportar datos y documentos que p q obren en poder de las AA.PP. Establece Pi i i d i Principio de igualdad: no i li ld d implique una di i i discriminacin i Principio de accesibilidad: a la informacin y a los servicios Principio de proporcionalidad: medidas de seguridad adecuadas a la p p p g naturaleza y circunstancias de los distintos trmites y actuaciones
Ministerio de Trabajo e Inmigracin. Subsecretara de Trabajo e Inmigracin. Subdireccin General de Proceso de Datos

Planes de Seguridad Informtica


Cumplimiento de requisitos legales
Orden PRE/2740/2007 por la que se aprueba el Reglamento de Evaluacin y p q p g Certificacin de la Seguridad de las Tecnologas de la Informacin. Motivo: La utilizacin de las Tecnologas de la Informacin en proyectos de desarrollo de la sociedad de la informacin imponen la necesidad de garantizar un nivel de seguridad equiparable, como mnimo, al conseguido en el tratamiento tradicional de la informacin en soporte papel papel. Articulacin del Organismo de Certificacin (OC) del Esquema Nacional de Evaluacin y Certificacin de la Seguridad de las Tecnologas de la Informacin (ENECSTI) I f i Laboratorios de Certificacin C tifi Certificacin d productos y sistemas i de d t i t

Ministerio de Trabajo e Inmigracin. Subsecretara de Trabajo e Inmigracin. Subdireccin General de Proceso de Datos

Planes de Seguridad Informtica


Cumplimiento de requisitos legales
R.D. Decreto 3/2010 por el que se regula el Esquema Nacional de Seguridad p q g q g

Origen: Artculo 42 de la Ley 11/2007 g y mbito ( art. 3): AGE, A. CC.AA. y Entidades de A.L. (art. 3 del R.D. y 2 de la Ley 11/2007) Plazos (disposicin transitoria) Plan de Adecuacin: 29 enero 2011 Ejecucin de las medidas (declaracin de conformidad): 29 enero 2014 Modelo de clusula administrativa particular (anexo V). Referencia de certificacin

Ministerio de Trabajo e Inmigracin. Subsecretara de Trabajo e Inmigracin. Subdireccin General de Proceso de Datos

Planes de Seguridad Informtica


Esquema Nacional de Seguridad
Medidas de seguridad (75 medidas recogidas en el anexo II)
Marco organizativo [org] (4 medidas). Relacionadas con la g [ g] ( ) organizacin global de la seguridad: Poltica de Seguridad, Normativa de Seguridad, Procedimientos de Seguridad y Proceso de Autorizacin Marco operacional [op] (31 medidas). Proteger la operacin del sistema: Planificacin, Control de Acceso, Explotacin, Servicios Externos, Externos Continuidad del Servicio y Monitorizacin del Sistema Sistema. Medidas de proteccin [mp] (40 medidas). Proteger activos, segn sus naturaleza y en funcin de dimensin afectada (disponibilidad (disponibilidad, autenticidad, integridad, confidencialidad y trazabilidad: Instalaciones, Personal, Equipos, Servicios, Comunicaciones, Informacin,

Ministerio de Trabajo e Inmigracin. Subsecretara de Trabajo e Inmigracin. Subdireccin General de Proceso de Datos

Planes de Seguridad Informtica


Esquema Nacional de Seguridad qu tenemos que proteger? ?
ACTIVOS servicios i i
Los que se prestan a los ciudadanos o a otras administraciones. Excluyendo administraciones servicios internos o auxiliares tales como correo electrnico, ficheros en red, servicios de directorio, de impresin, etc.

informacin i f i
La informacin que es relevante para el proceso administrativo y puede ser tratada en algn servicio (ley 11/2007) No se valorarn datos auxiliares

Ministerio de Trabajo e Inmigracin. Subsecretara de Trabajo e Inmigracin. Subdireccin General de Proceso de Datos

Planes de Seguridad Informtica


Esquema Nacional de Seguridad
Comit de Seguridad
Artculo 11. Requisitos mnimos de seguridad Todos los rganos superiores de las Administraciones pblicas debern disponer formalmente de su poltica de seguridad, que ser aprobada por el rgano superior correspondiente. g p correspondiente. p Marco Organizativo (Anexo II. Medidas de seguridad) Poltica de seguridad [org.1]: Ser aprobada por el rgano superior [org. competente. competente. Debe precisar la estructura del comit o los comits para la gestin y coordinacin de la seguridad Comit de Seguridad
Ministerio de Trabajo e Inmigracin. Subsecretara de Trabajo e Inmigracin. Subdireccin General de Proceso de Datos

Planes de Seguridad Informtica


Esquema Nacional de Seguridad
Comit de Seguridad. Funciones (Gua CCN-STIC 801) CCNAtender a las inquietudes de la alta direccin e informarles del estado Marcar las directrices de Seguridad Fsica y Lgicas Aprobar y revisar una vez al ao las Polticas de Seguridad Aprobar y revisar anualmente el Plan Contingencia. Verificar que se cumpla la legislacin en materia de seguridad q p g g Aprobar el Plan Anual de Auditorias a realizar Definir los sistemas criptogrficos a ser empleados Determinar l poltica en el mbito d l comunicaciones D t i la lti l bit de las i i Aprobar el Plan de Adecuacin y vigilar por su cumplimiento Realizar las Declaraciones de Aplicabilidad y Conformidad Promover mejoras continuas del sistema de gestin de la seguridad Coordinar a las diferentes Unidades en materia de seguridad Priorizar actuaciones en materia de seguridad
Ministerio de Trabajo e Inmigracin. Subsecretara de Trabajo e Inmigracin. Subdireccin General de Proceso de Datos

Planes de Seguridad Informtica


Esquema Nacional de Seguridad

Responsable de la Informacin: Determina los requisitos de la informacin en Informacin: materia de seguridad. seguridad. Responsable del S R bl d l Servicio: D t Servicio: Determina l i i i los requisitos d l servicio en materia d i it del i i t i de seguridad. seguridad. Responsable de la Seguridad: Se encarga de aplicar las medidas de seguridad Seguridad: establecidas por los responsables (informacin y servicios). servicios). Responsable del Sistema: Responsable de que los servicios se presten. Sistema: presten. Responsable del Fichero: adoptar las medidas de seguridad necesarias descritas Fichero: en el RD 1720/2007 (LOPD), en funcin del nivel de clasificacin de la misma. 1720/ misma.
Ministerio de Trabajo e Inmigracin. Subsecretara de Trabajo e Inmigracin. Subdireccin General de Proceso de Datos

Planes de Seguridad Informtica


Esquema Nacional de Seguridad
Creacin del Comit de Seguridad g
Ley 6/1997.Organizacin y Funcionamiento de la AGE Art.40. Creacin, modificacin y supresin de rganos Colegiados. 3. En todos l 3 E t d los supuestos no comprendidos en el apartado 1 d este t did l t d de t artculo(1), los rganos colegiados tendrn el carcter de grupos o comisiones de trabajo y podrn ser creados por Acuerdo del Consejo de Ministros o por los Ministerios interesados. Sus acuerdos no podrn tener transcendencia jurdica directa frente a terceros.

(1) Competencias decisorias, competencias de propuesta o emisin de informes p preceptivos, competencias de control de las actuaciones de otros rganos de la AGE p , p g

Ministerio de Trabajo e Inmigracin. Subsecretara de Trabajo e Inmigracin. Subdireccin General de Proceso de Datos

Planes de Seguridad Informtica


Esquema Nacional de Seguridad
Auditora de la Seguridad (anexo III) g ( )
Auditora regular ordinaria, al menos cada dos aos Auditora extraordinaria cuando se produzcan modificaciones sustanciales Sistemas de categora BSICA: Autoevaluacin Sistemas de categora MEDIA o ALTA: Criterios y metodologa generalmente reconocidos y normalizacin nacional e internacional aplicable

Ministerio de Trabajo e Inmigracin. Subsecretara de Trabajo e Inmigracin. Subdireccin General de Proceso de Datos

Planes de Seguridad Informtica


Esquema Nacional de Seguridad

Resumen del Proyecto de adaptacin al ENS en el Ministerio de Trabajo e Inmigracin

Ministerio de Trabajo e Inmigracin. Subsecretara de Trabajo e Inmigracin. Subdireccin General de Proceso de Datos

Planes de Seguridad Informtica


Adaptacin al ENS en el MTIN
Base: El propio R.D. del Esquema Nacional de Seguridad
Guas Serie 800 del CCN-STIC: 801 a 809 CCN Intercambio de experiencias con otras entidades Asistencia a seminarios, conferencias, sesiones con empresas, etc. empresas etc

Ministerio de Trabajo e Inmigracin. Subsecretara de Trabajo e Inmigracin. Subdireccin General de Proceso de Datos

Planes de Seguridad Informtica


Adaptacin al ENS en el MTIN
Fases del Proyecto
Trabajos Previos y Determinacin del Alcance Identificacin y Clasificacin de Activos Categorizacin de los activos: Alto, Medio, Bsico Auditora de C A dit d Cumplimiento d l ENS li i t del Anlisis y Valoracin de Resultados Determinacin de las Medidas de Mejora Plan de Adecuacin: General, Transversal y Detallado Presentacin de Resultados Aplicacin
Ministerio de Trabajo e Inmigracin. Subsecretara de Trabajo e Inmigracin. Subdireccin General de Proceso de Datos

Planes de Seguridad Informtica


Adaptacin al ENS en el MTIN
Auditora de Cumplimiento. Anlisis de Resultados
Estadsticas Checklist: Informacin Servicio Alto Medio Bajo Valoracin y Anlisis Medidas a Adoptar Planificacin de la implantacin Medidas de Mejora

Plan de Adecuacin

Ministerio de Trabajo e Inmigracin. Subsecretara de Trabajo e Inmigracin. Subdireccin General de Proceso de Datos

Planes de Seguridad Informtica


Adaptacin al ENS en el MTIN
Auditora de Cumplimiento. Anlisis de Resultados p

Ministerio de Trabajo e Inmigracin. Subsecretara de Trabajo e Inmigracin. Subdireccin General de Proceso de Datos

Planes de Seguridad Informtica


Adaptacin al ENS en el MTIN
Auditora de Cumplimiento. Anlisis de resultados
Analizamos el caso del nivel alto, y consideramos el % de trabajo que requiere cada una de las medidas, valorado en jornadas de trabajo:

Ministerio de Trabajo e Inmigracin. Subsecretara de Trabajo e Inmigracin. Subdireccin General de Proceso de Datos

Planes de Seguridad Informtica


Adaptacin al ENS en el MTIN
Auditora de Cumplimiento. Anlisis de Resultados p
Comn para todos los activos

Ministerio de Trabajo e Inmigracin. Subsecretara de Trabajo e Inmigracin. Subdireccin General de Proceso de Datos

Planes de Seguridad Informtica


Adaptacin al ENS en el MTIN
Auditora de Cumplimiento. Tipologa de las Medidas p p g
Transversales:
Afectan a todos los sistemas y/o subsistemas donde residen los activos, su ejecucin produce una mejora en todos ellos.

Particulares o Detalle:
Afectan al sistema y/o subsistema donde reside el activo su ejecucin activo, produce una mejora en el activo solamente.

Afectan a l informacin: Af la i f i
De aplicacin en Sistemas y Subsistemas de Informacin

Afectan al servicio:
De aplicacin en los Servicios que se presta

Afectan al servicio e informacin


Ministerio de Trabajo e Inmigracin. Subsecretara de Trabajo e Inmigracin. Subdireccin General de Proceso de Datos

Planes de Seguridad Informtica


Adaptacin al ENS en el MTIN
Auditora de Cumplimiento. Medidas de Mejora
Determinacin de las medidas a adoptar, tanto para Informacin como para servicios, en cada nivel de seguridad: alto, medio y bsico. Clasificacin de las medidas en funcin de su aplicacin: SGA de Desarrollo o SGA de Infraestructuras y Sistemas Cuantificacin del Riesgo Cubierto en Alto, Medio o Bajo, en la aplicacin de cada medida. Cuantificacin de la Dificultad de Implantacin de la medida en Alta, Media o Baja, en funcin de los recursos a tener q emplear. j que p Cuantificacin del tiempo de implantacin de la medida, en el caso que fuera necesaria su implantacin al 100%.
Ministerio de Trabajo e Inmigracin. Subsecretara de Trabajo e Inmigracin. Subdireccin General de Proceso de Datos

Planes de Seguridad Informtica


Adaptacin al ENS en el MTIN
Plan de Adecuacin

Estructuracin
Con ntrol Imp plantacin n Plan de Adecuacin Detallado rea de Conocimiento 1 Plan de Adecuacin Detallado rea de Conocimiento 2 Plan de Adecuacin Detallado rea de Conocimiento 3

Plan de Adecuacin Transversal Plan d Ad Pl de Adecuacin General i G l

Ministerio de Trabajo e Inmigracin. Subsecretara de Trabajo e Inmigracin. Subdireccin General de Proceso de Datos

Planes de Seguridad Informtica


Adaptacin al ENS en el MTIN
Plan de Adecuacin Planificacin de detalle Adecuacin.

Ministerio de Trabajo e Inmigracin. Subsecretara de Trabajo e Inmigracin. Subdireccin General de Proceso de Datos

Planes de Seguridad Informtica


Adaptacin al ENS en el MTIN
Plan de Adecuacin Planificacin Adecuacin.
Marco Organizativo
Febrero 2011 Julio 2011 Diciembre 2011 Julio 2012 Diciembre 2012 Julio 2013 Diciembre 2013

Marco Operacional 49% 59% 71% 84% 96% 100%

Medidas Proteccin 68% -73% 80% 88% 95% 100%

Total 59% 65% 73% 80% 88% 95% 100%

46% 78% 100%

Ministerio de Trabajo e Inmigracin. Subsecretara de Trabajo e Inmigracin. Subdireccin General de Proceso de Datos

Planes de Seguridad Informtica


Cumplimiento de requisitos legales

Ministerio de Trabajo e Inmigracin. Subsecretara de Trabajo e Inmigracin. Subdireccin General de Proceso de Datos