Esquema Nacional de Seguridad

Existen dos niveles dentro de las Administraciones Electrónicas:

Nivel 1: Esquema Nacional de Seguridad

Nivel 2: Esquema Nacional de Interoperatividad

Nivel 1: Esquema Nacional de Seguridad

Política de seguridad de los medios electrónicos

La Administración Electrónica y la Seguridad de la Información

El objetivo entre la Administraciones Públicas y los Ciudadanos, Empresas y Profesionales es la EFICACIA/EFICENCIA y la SEGURIDAD/CONFIABILIDAD.

• Ley 11/2007, Acceso Electrónica de los Ciudadanos a los Servicios Públicos

El uso de las TIC (Tecnologías de la Información  y las Comunicaciones) acerca la Administración hasta los ciudadanos, empresas o profesionales.  Estas tecnologías permiten ver a las administraciones como una entidad al servicio del ciudadano, facilitan el: acceso a los servicios.

La ley consagra la relación con Administraciones Públicas por medios electrónicos como un derecho de los ciudadanos y como una obligación correlativa para tales Administraciones. (Integración y Accesibilidad)

Consecuencias del Derecho a la Relación Electrónica

• Derecho a la Privacidad de los Datos
• Derecho de acceso al estado de tramitación del procedimiento administrativo.
• Derecho a la racionalización y simplificación de los procedimientos
• Determinación de la Sede Electrónica Administrativa y sus componentes esenciales:

Seguridad Administrativa, Tecnológica y Jurídica a través de:

• Mecanismos de identificación y autentificación
• Contenido mínimo
• Protección jurídica
• Accesibilidad
• Disponibilidad y Responsabilidad

El Esquema Nacional de Seguridad tiene por objeto establecer las políticas de seguridad en la utilización de medios electrónicos en el ámbito de la presente Ley, y está constituido por los principios básicos y requisitos mínimos que permitan una protección adecuada de la información.

Conforman el ENS (Esquema Nacional de Seguridad)

Las aplicaciones seguras de las tecnologías, la política de seguridad y la protección de la información.

El ENS define:

Política de Seguridad: conjunto de directrices plasmadas en documento escrito, que rigen la forma en que una organización gestiona y protege la información y los servicios que considera críticos.

Sistema de Información: conjunto organizado de recursos para que la información se pueda recoger, almacenar, procesar o tratar, mantener, usar, compartir, distribuir, poner a disposición, presentar o transmitir.

¿Qué contiene el ENS?

Principios básicos/Requisitos mínimos para Protección de la Información y así asegurar:

• Acceso
• Integridad
• Disponibilidad
• Autenticidad
• Confidencialidad
• Trazabilidad
• Conservación

Los principios básicos/requisitos mínimos son aplicados por las Administraciones Públicas.

La finalidad de ENS es la creación de condiciones necesarias de confianza en el uso de los medios electrónicos.

• Principios Básicos: Fundamentos que deben regir toda acción orientada a asegurar la información y los servicios.
• Requisitos mínimos de seguridad: Exigencias necesarias para asegurar la información y los servicios.

Para dar cumplimiento se realiza:

• Dimensiones de seguridad
• Categoría de Sistemas
• Medidas de Seguridad
• Auditoría de Seguridad
• Informe de estado de seguridad
• Respuesta a incidentes del CCN (Centro Criptológico Nacional)
• Políticas de Seguridad

Su articulación se ha atendido al a normativa nacional sobre Administraciones Electrónicas, protección de datos de carácter personal, firma electrónica, y documento nacional de identidad electrónica, Centro Criptológico Nacional, sociedad de la información, reutilización de la información en el sector público y órganos colegiados responsables de la Administración Electrónica; así como la regularización de diferentes instrumentos y servicios de la Administración, las directrices y guías de la OCDE (Organización para la Cooperación y el Desarrollo ) y disposiciones nacionales e internacionales sobre normalización.

Propósito de la Seguridad de la Información:

Asegurar que, dentro de lo planificado, las organizaciones administrativas que usan sistemas de información podrán cumplir sus objetivos aun cuando tales sistemas puedan estar sometidos a riesgos.

Los principios básicos que desarrolla el ENS son los siguientes:

• Seguridad Integral
• Gestión de Riesgos
• Prevención, reacción y recuperación
• Líneas de defensa
• Reevaluación periódica
• Función diferenciada

El ENS señal que el objeto último de la seguridad de la información es asegurar que una organización administrativa podrá cumplir sus objetivos utilizando sistemas de información.

Requisitos Mínimos de Seguridad

Todos los órganos superiores de las Administraciones públicas deberán disponer formalmente de su política de seguridad, que será aprobada por el titular del órgano superior correspondiente. Esta política de seguridad, se establecerá en base a los principios básicos indicados y se desarrollará aplicando los siguientes requisitos mínimos:

a)          Organización e implantación del proceso de seguridad.

b)         Análisis y gestión de los riesgos.

c)          Gestión de personal.

d)         Profesionalidad.

e)         Autorización y control de los accesos.

f)           Protección de las instalaciones.

g)          Adquisición de productos.

h)         Seguridad por defecto.

i)            Integridad y actualización del sistema.

j)           Protección de la información almacenada y en tránsito.

k)          Prevención ante otros sistemas de información interconectados.

l)            Registro de actividad.

m)       Incidentes de seguridad.

n)         Continuidad de la actividad.

o)         Mejora continua del proceso de seguridad.

Esquema Nacional de Seguridad: Capítulos, Disposiciones, Anexos, etc.

INTECO – Implantación del ENS

Implantación ENS

• Medidas de protección
• Caracterización de los Sistemas de Información
• Marco Operacional
• Marco Organizativo

Fuente: http://esquemanacional-seguridad.es/

Auditoría dentro del Esquema Nacional de Seguridad

Programa de Auditoria

• No se pude dar el resultado de la auditoría a nadie más que al ENS, o en su defecto bajo una orden judicial se podrá entregar al demandante de dicha orden.

Requisitos para el Auditor

• Acreditación
• Conocimiento del RD3/2010
• Confidencialidad
• Disponibilidad
• Integridad

Incorporación de expertos al equipo de auditores

• Se puede solicitar ayuda experta de tercero si se requiere y se justifica de acuerdo a la evidencia encontrada.
• En ningún caso estos expertos, deben haber participado o desempeñado responsabilidades previas dentro de la auditoría.
• Modelo de Acuerdo Confidencialidad
• Acuerdo del texto entre auditores y clientes.

Esquema de Verificación de Cumplimiento

• Establece la obligatoriedad de la relación de una auditoría de seguridad para los sistemas de categoría.

ESTE DOCUMENTO DEBE SER ENTREGADO A LA OFICINA DE E.N.S. AL HABER TERMINADO LA AUDITORIA

 Nivel 2: Esquema Nacional de Interoperatividad

El Esquema Nacional de Interoperabilidad establece los principios y directrices de interoperabilidad en el intercambio y conservación de la información electrónica por parte de Administraciones Públicas.