DOCUMENTO www.gesconsultor.com E.N.S. -­‐ ESQUEMA NACIONAL DE SEGURIDAD ACCIÓN FORMATIVA – CONTENIDOS MÍNIMOS Nº edición: 01 Nº revisión: 02 Página 1 de 4 1. Introducción. Marco normativo y conceptos básicos. 2. Cómo debe ser un Sistema de Gestión de Seguridad de la Información conforme al Esquema Nacional de Seguridad 3. Concepto de Servicio, Sistema e Información. Dudas comunes sobre Sistemas y Servicios afectados por el ENS -­‐ -­‐ -­‐ -­‐ -­‐ Introducción a la Ley 11/2007. Aspectos relevantes de RD 1671/2009 (reglamento). Introducción al RD 3/2010. Breve introducción al RD 4/2010 y su relación con RD 3/2010. Intersección Ley 11/2007 y ENS con normativa sobre protección de datos personales. Otra legislación relevante relacionada de interés por tipo de Administración: o En un organismo de la Administración General del Estado o Autonómica. o En una Diputación. o En un Ayuntamiento. -­‐ SGSI conforme al ENS. o Contextualización en el ENS. o Concepto de SGSI y ciclo de Deming. o Introducción a ISO 27001. Referencia a ISO 27002. o Requisitos del SGSI a implantar según el ENS. -­‐ Plan de Adecuación al ENS: o Relación con Fase de PLAN de ISO 27001. -­‐ Implantación del SGSI conforme al ENS: o Medidas de Seguridad: grupos y subgrupos definidos por el ENS. o Formación. o Métricas e indicadores. -­‐ Mantenimiento del SGSI: o Controles periódicos. o Auditorías: Guía CCN-­‐STIC-­‐808. Auditoría integrada LOPD-­‐ENS. Contenidos mínimos: -­‐ Requisitos del RD 3/2010. -­‐ Concepto de Servicio. Aclaraciones en última versión de las FAQ del CCN. -­‐ Ejemplo detallado de catálogo de servicios afectados por el ENS: o En un organismo de la Administración General del Estado o Autonómica. o En una Diputación. o En un Ayuntamiento. -­‐ Sistemas afectados por el ENS. Dudas frecuentes. Aclaraciones. Última versión de las FAQ del CCN. -­‐ Concepto de Información. Relación con la LOPD. -­‐ Ejemplo detallado de catálogo de Datos/Informaciones afectados por el ENS: www.gesconsultor.com DOCUMENTO E.N.S. -­‐ ESQUEMA NACIONAL DE SEGURIDAD ACCIÓN FORMATIVA – CONTENIDOS MÍNIMOS Nº edición: 01 Nº revisión: 02 Página 2 de 4 4. Política de Seguridad. 5. Plan de Adecuación. o En un organismo de la Administración General del Estado o Autonómica. o En una Diputación. o En un Ayuntamiento. -­‐ Ejemplo detallado de catálogo de sistemas afectados por el ENS: o En un organismo de la Administración General del Estado o Autonómica. o En una Diputación. o En un Ayuntamiento. Contenidos mínimos: -­‐ Política de Seguridad. o Requisitos RD 3/2010. o Recomendaciones CCN-­‐STIC-­‐806. o Recomendaciones última versión de las FAQ del CCN. o Contenido detallado según CCN-­‐STIC-­‐805. -­‐ Ejemplo concreto de Política de Seguridad para uno de los niveles de la Administración Pública: o En un organismo de la Administración General del Estado o Autonómica. o En una Diputación. o En un Ayuntamiento. -­‐ Roles y Estructura organizativa de la seguridad. o Roles y responsabilidades según el RD 3/2010. o Recomendaciones de CCN-­‐STIC-­‐803. o Recomendaciones de CCN-­‐STIC-­‐805. -­‐ Propuesta concreta de Roles y Comités para: o En un organismo de la Administración General del Estado o Autonómica. o En una Diputación. o En un Ayuntamiento. Contenidos mínimos: -­‐ Requisitos según la Guía Técnica CCN-­‐STIC-­‐806. -­‐ Valoración de Servicios, Información y Sistemas: o Requisitos del RD 3/2010. o Recomendaciones Guía Técnica CCN-­‐STIC-­‐803. o Escalas de valoración según MAGERIT (Libros de Métricas y Catálogo). -­‐ Análisis diferencial: o ENS: Medidas por Sistemas de Información. Medidas “generalizables” o comunes a un Dominio de Seguridad. www.gesconsultor.com DOCUMENTO E.N.S. -­‐ ESQUEMA NACIONAL DE SEGURIDAD ACCIÓN FORMATIVA – CONTENIDOS MÍNIMOS Nº edición: 01 Nº revisión: 02 Página 3 de 4 Medidas por Sistemas de Información según el RDLOPD. Medidas por Sistemas de Información. Medidas “generalizables” o comunes a un Dominio de Seguridad. -­‐ Ejemplo práctico: Análisis Diferencial con GESCONSULTOR “ENS”. -­‐ Análisis de Riesgos: o Contextualización en el ENS. o Introducción a MAGERIT. o Conceptos básicos: Activo, Dependencias entre Activos, Amenaza, Vulnerabilidad, Frecuencia, Impacto, Nivel de Riesgo Inicial, Nivel de Riesgo Aceptable, Nivel de Riesgo Residual. o Apreciación del Riesgo (Análisis y Evaluación) y Tratamiento. o Medidas a considerar como implantadas para el Análisis de Riesgos. -­‐ Ejemplo práctico: Análisis de Riesgos con GESCONSULTOR “ENS”. -­‐ Declaración de Aplicabilidad. o Concepto según ISO 27001. -­‐ Plan de Mejora de la Seguridad. o Requisitos según la Guía Técnica CCN-­‐STIC-­‐806. o Relación con el Plan de Tratamiento del Riesgo de ISO 27001. -­‐ Ejemplo práctico: Documentación completa con GESCONSULTOR “ENS”. Contenidos mínimos: -­‐ Formación: o Capacitación requerida para los distintos Roles. o Aclaraciones de la última edición de las FAQ del CCN. o Certificaciones relevantes existentes en el mercado. -­‐ Medidas de Seguridad detalladas en el Anexo II del RD 3/2010: o Grupos y subgrupos definidos. o Medidas más relevantes por grupo y subgrupo. o Dudas frecuentes en la implantación de determinadas medidas. -­‐ Soluciones técnicas de apoyo: o Control del SGSI. GESCONSULTOR “ENS”. o Soluciones operativas. Herramientas open-­‐source y comerciales frecuentes o recomendadas: Monitorización. Tickets/Incidentes. CMDB – Gestión de Activos. Gestión Documental y Control de Registros. -­‐ Breve introducción a ITIL para el marco operativo. o 6. Implantación del ENS. www.gesconsultor.com DOCUMENTO E.N.S. -­‐ ESQUEMA NACIONAL DE SEGURIDAD ACCIÓN FORMATIVA – CONTENIDOS MÍNIMOS Nº edición: 01 Nº revisión: 02 Concepto de servicio ITIL. Relación con los servicios ENS. Ciclo de vida de los servicios según ITIL versión 3. Procesos principales de ITIL versión 3. Roles principales de ITIL versión 3. Relación con el ENS: Servicio ITIL vs Servicio ENS. Roles ITIL vs Roles ENS. Procesos ITIL donde considerar medidas del ENS. Contenidos mínimos: -­‐ Mantenimiento del SGSI: o Controles periódicos. o Auditorías: Guía CCN-­‐STIC-­‐808. Auditoría integrada LOPD-­‐ENS. -­‐ Mejora continua: o Revisiones por Dirección. o Frecuencia de actualización de los Análisis de Riesgos. o Áreas de Mejora, Acciones Correctivas y Preventivas. o o o o o 7. Mantenimiento del SGSI conforme al ENS Página 4 de 4