implantación+del+esquemanacional+de+ … · 2011-11-29 · +++++esquemanacional+de+seguridad+(ii)+...
TRANSCRIPT
Implantación del Esquema Nacional de Seguridad en la Administración
Caso prác*co del Ministerio de Industria, Turismo y Comercio
1 Jornadas Red Iris Noviembre 2011
1. Esquema Nacional de Seguridad
2. PolíBca de Seguridad de la Información
3. Instrucción de Seguridad
4. GesBón de Riesgos
5. Cumplimiento Actual de Medidas
6. Proyectos y retos pendientes
2 Jornadas Red Iris Noviembre 2011
RD 3/ 2010 de 8 enero
Esquema Nacional de Seguridad (I)
Polí*ca de Seguridad en la u*lización de medios electrónicos por parte de las AAPP
Acceso Integridad Disponibilidad
Auten*cidad Confidencialidad Trazabilidad
Conservación de la información a largo plazo
3 Jornadas Red Iris Noviembre 2011
ACT PLAN
DO CHECK
Esquema Nacional de Seguridad (II)
Revisión anual del SGSI y Análisis de Riesgos Auditoría de los Sistemas de Información cada dos años.
Acciones Correctivas Acciones Preventivas
Plan tratamiento de riesgos Normativa, procedimientos, registros Formación y concienciación
Alcance y responsabilidades Categorización de sistemas y selección de medidas Análisis de riesgos
CICLO SGSI ISO 27.001
4 Jornadas Red Iris Noviembre 2011
Esquema Nacional de Seguridad (III)
NO SI
SEGURIDAD = PROCESO CONTÍNUO
5 Jornadas Red Iris Noviembre 2011
PSI
NORMATIVA
PROCEDIMIENTOS
INFORMES TECNICOS/REGISTROS
Esquema Nacional de Seguridad (IV)
OPERATIVO
TÁCTICO
ESTRATÉGICO
6 Jornadas Red Iris Noviembre 2011
PolíBca de Seguridad Información (I)
GUIA CCN-‐STIC
805
CONCIENCIACIÓN Y FORMACIÓN
PROCESO DE REVISION PSI
POSTURA GESTION DE RIESGOS
MISION OBJETIVOS
MARCO NORMATIVO
ORGANIZACIÓN DE LA SEGURIDAD
OM ITC 657/2011 PSI MITYC
7 Jornadas Red Iris Noviembre 2011
PolíBca de Seguridad Información (II)
• Secretaría General Técnica + SGTIC + Secretarías Estado (5) + OOAA (4) • Decisión estratégica • Aprueba norma*va de segundo nivel (Instrucción Seguridad) • Establece líneas de coordinación con CCN y otros.
Comité para la ges*ón y Coordinación de la Seguridad
de la Información
• Grupo Técnico de Seguridad (*ene un Equipo de Seguridad de apoyo) • SGTIC + Unidades Informá*cas de SSEE y OOAA • Mantener y verificar Seguridad Información (informes periódicos) y verificar que las medidas de seguridad son adecuadas.
• Promover auditorías y supervisión inves*gación incidentes.
Responsable de Seguridad
• Titular del órgano o unidad administra*va que ges*one cada procedimiento administra*vo
• Determina niveles de seguridad de la información según anexo I del ENS
Responsable de la Información
• Titular del órgano responsable del desarrollo y explotación del SI sobre el que corren los servicios.
• Determina la categoría del SI según el anexo I del ENS y las medidas de seguridad a aplicar del anexo II del ENS. Hace el AR.
• Establece planes de con*ngencia y emergencia
Responsable de Servicio
OM ITC 657 Estructura organiza*va
8 Jornadas Red Iris Noviembre 2011
PolíBca de Seguridad Información (III)
• OM ITC 657 de 11 de marzo de 2011 1º NIVEL • Instrucciones de seguridad vinculantes • Recomendaciones de seguridad no vinculantes 2º NIVEL
• Procedimientos técnicos de temas concretos • Guías CCN-‐ STIC 400 -‐500-‐ 600 3º NIVEL • Informes técnicos • Registros de ac*vidad o alertas de seguridad • Evidencias electrónicas
4º NIVEL
OM ITC 657 Desarrollo norma*vo
9 Jornadas Red Iris Noviembre 2011
PolíBca de Seguridad Información (IV)
Instrucción de Seguridad de la Información
Ges*ón de Riesgos
Formación y Concienciación
Acciones forma*vas en colaboración con CCN y Planes de Formación del MITYC
Normas básicas de seguridad de obligado cumplimiento por todo el personal del Departamento
Plan de Adecuación al ENS: Categorización de Sistemas, Análisis de riesgos y Selección Medidas
10 Jornadas Red Iris Noviembre 2011
Instrucción de Seguridad Información
Instrucción de Seguridad de la Información
ASIGNACIÓN DE EQUIPOS RECURSOS COMPARTIDOS
ASIGNACIÓN DE USUARIOS Y CUENTAS DE CORREO
CONTRASEÑAS
USO PROFESIONAL CORREO
PROCEDIMIENTO NOTIFICACION INCIDENTES
INTERNET Y COMUNICACIONES EXTERNAS
MONITORIZACIÓN Y AUDITORIA
11 Jornadas Red Iris Noviembre 2011
GesBón de Riesgos (I)
CATEGORIZACIÓN ANÁLISIS DE RIESGOS
SELECCIÓN DE MEDIDAS
Proceso de Ges*ón de Riesgos
PLAN DE ADECUACION AL ENS
12 Jornadas Red Iris Noviembre 2011
GesBón de Riesgos (II)
Categorización de Sistemas
137 SISTEMAS EN CMDB PROCESO COLABORATIVO RESPONSABLES DE LA
INFORMACIÓN
DOCUMENTO TABULAR (HOJA DE CÁLCULO)
D A C I T
DIMENSIONES
13 Jornadas Red Iris Noviembre 2011
GesBón de Riesgos (III)
Análisis de Riesgos
Nivel máximo de dimensión
Categoría del Sistema
ALTO ALTA MEDIO MEDIA BAJO BÁSICA
DOCUMENTO TABULAR
SISTEMA UNIFICADO
NIVEL BASICO (ALGÚN COMPONENTE MEDIO
POR DISPONIBILIDAD)
ANÁLISIS DE RIESGOS FORMAL
(PILAR)
14 Jornadas Red Iris Noviembre 2011
GesBón de Riesgos (IV)
Selección de Medidas
ENS 74 MEDIDAS
34 NIVEL BÁSICO 22 NIVEL MEDIO 8 NIVEL ALTO (*)
APLICABILIDAD MITYC
Declaración de Aplicabilidad MEDIDAS APLICABLES = 64
(*) No nos es exigible ninguna de las 18 medidas de nivel alto, sin embargo cumplimos 8 y las hemos introducido en la declaración.
15 Jornadas Red Iris Noviembre 2011
Cumplimiento Actual de Medidas (I)
Grado de Cumplimiento
16 Jornadas Red Iris Noviembre 2011
Cumplimiento Actual de Medidas (II)
Cumplimiento Total y Parcial
42 15 89%
19 BASICAS
15 MEDIAS
8 ALTAS
42 66 %
PRINCIPIO DE PARETO
17 Jornadas Red Iris Noviembre 2011
Proyectos y Retos Pendientes (I)
17 Proyectos a Desarrollar
• PACK BIENVENIDA / PROCEDIMIENTOS DE SEGURIDAD Procedimiento
• SISTEMA UNIFICADO PERMISOS / GESTIÓN IDENTIDADES GesBón de Acceso
• REPORTE INCIDENTES EN PS / DISTRIBUCIÓN PARCHES GesBón de Seguridad
• AUDITORIAS / CICLO DE VIDA / FIREWAL APLICACIONES WEB Aplicaciones
• LIMPIEZA METADATOS / SCRAMBLING PRUEBAS Datos
• CURSOS DE SEGURIDAD / BLOG INFORMATIVO Formación 18 Jornadas Red Iris Noviembre 2011
Proyectos y Retos Pendientes (II)
Retos en Materia de Seguridad
SEGURIDAD COMO PROCESO CONTÍNUO
SEGURIDAD COMO AREA TRANSVERSAL
FORMACIÓN Y CONCIENCIACIÓN
19 Jornadas Red Iris Noviembre 2011