¿ A que nos obliga el ENS ? 1. Marco Legal • INDICE Funciones CCN 2. Esquema Nacional de Seguridad • Objetivo • Principios Básicos / Requisitos mínimos • Medidas de seguridad (PILAR) 3. CCN en el ENS. • Guías de desarrollo del ENS • Formación • Respuesta ante Incidentes • Alertas sobre vulnerabilidades / ataques Marco Legal El CCN actúa según el siguiente marco legal: Ley 11/2002, 6 de mayo, reguladora del Centro Nacional de Inteligencia (CNI), que incluye al Centro Criptológico Nacional (CCN). Real Decreto 421/2004, 12 de marzo, que regula y define el ámbito y funciones del CCN. Orden Ministerio Presidencia PRE/2740/2007, de 19 de septiembre, que regula el Esquema Nacional de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica Funciones del CCN Real Decreto 421/2004 12 de marzo Principios básicos a) Seguridad integral. Elementos técnicos, humanos, materiales y organizativos b) Gestión de riesgos. Minimizando los riesgos hasta niveles aceptables c) Prevención, reacción y recuperación. (P) Disuasión y la reducción de la exposición. (R) Detección y reacción ante incidentes (RR) De la información y los servicios d) Líneas de defensa. Organizativa, física y lógica e) Reevaluación periódica. f) Función diferenciada. Responsable de la información Responsable del servicio Responsable de seguridad. Requisitos Mínimos a) Organización e implantación del proceso de seguridad. (COMPROMISO) b) Análisis y gestión de los riesgos. c) Gestión de personal. (RESPONSABILIDADES DE USO) d) Profesionalidad. e) Autorización y control de los accesos. f) Protección de las instalaciones. g) Adquisición de productos. (CERTIFICACIÓN DE SEGURIDAD) h) Seguridad por defecto. (MINIMA FUNCIONALIDAD) Requisitos Mínimos i) Integridad y actualización del sistema. j) Protección de la información almacenada y en tránsito. k) Prevención ante otros sistemas de información interconectados. l) Registro de actividad. m) Incidentes de seguridad. n) Continuidad de la actividad. o) Mejora continua del proceso de seguridad. Medidas de Seguridad. MADUREZ Medidas de Seguridad. Cumplimiento Visión de piezas del ENS Política de seguridad Principios básicos Requisitos mínimos Desarrollo e Implementación del Esquema Instrumentos y especialización Esquema Nacional de Seguridad Series CCN-STIC Análisis y gestión de riesgos Magerit v2, PILAR Normalización STIC nacional e internacional Política de firma-e ... Servicios Formación Normalización STIC nacional e internacional + CCN-CERT Artículo 37. Prestación de servicios de respuesta a incidentes de seguridad a las Administraciones públicas. 1. De acuerdo con lo previsto en el artículo 36, el CCN-CERT prestará a las Administraciones públicas los siguientes servicios: a)Soporte y coordinación para el tratamiento de vulnerabilidades y la resolución de incidentes de seguridad que tengan la Administración General del Estado, las Administraciones de las comunidades autónomas, las entidades que integran la Administración Local y las Entidades de Derecho público con personalidad jurídica propia vinculadas o dependientes de cualquiera de las administraciones indicadas. El CCN-CERT, a través de su servicio de apoyo técnico y de coordinación, actuará con la máxima celeridad ante cualquier agresión recibida en los sistemas de información de las Administraciones públicas. Para el cumplimiento de los fines indicados en los párrafos anteriores se podrán recabar los informes de auditoría de los sistemas afectados. b) Investigación y divulgación de las mejores prácticas sobre seguridad de la información entre todos los miembros de las Administraciones públicas. Con esta finalidad, las series de documentos CCN-STIC (Centro Criptológico Nacional-Seguridad de las Tecnologías de Información y Comunicaciones), elaboradas por el Centro Criptológico Nacional, ofrecerán normas, instrucciones, guías y recomendaciones para aplicar el Esquema Nacional de Seguridad y para garantizar la seguridad de los sistemas de tecnologías de la información en la Administración. c) Formación destinada al personal de la Administración especialista en el campo de la seguridad de las tecnologías de la información, al objeto de facilitar la actualización de conocimientos del personal de la Administración y de lograr la sensibilización y mejora de sus capacidades para la detección y gestión de incidentes. d) Información sobre vulnerabilidades, alertas y avisos de nuevas amenazas a los sistemas de información, recopiladas de diversas fuentes de reconocido prestigio, incluidas las propias. 2. El CCN desarrollará un programa que ofrezca la información, formación, recomendaciones y herramientas necesarias para que las Administraciones públicas puedan desarrollar sus propias capacidades de respuesta a incidentes de seguridad, y en el que, aquél, será coordinador a nivel público estatal. Guías de desarrollo del ENS El Real Decreto 3/2010 promueve la elaboración y difusión de guías de seguridad de las tecnologías de la información y las comunicaciones por parte de CCN para facilitar un mejor cumplimiento de dichos requisitos mínimos. La serie de documentos CCN-STIC 800 se elabora para dar cumplimiento a los cometidos del CCN y a lo reflejado en el Esquema Nacional de Seguridad. Series CCN-STIC • 156 documentos, normas, instrucciones, guías y recomendaciones • (21 pendientes de su aprobación) • Nueva serie 800: ESQUEMA NACIONAL DE SEGURIDAD • 10 Guías • Nueva clasificación: – CCN-STIC 000: Instrucciones/Políticas STIC • Cumplen con el ENS – CCN-STIC 100: Procedimientos • Adaptables al ENS – CCN-STIC 200: Normas – – – – – – CCN-STIC 300: Instrucciones Técnicas CCN-STIC 400: Guías Generales CCN-STIC 500: Guías Entornos Windows CCN-STIC 600: Guías Otros Entornos CCN-STIC 800: Guías desarrollo ENS CCN-STIC 900: Informes Técnicos Guías de desarrollo del ENS • Año 2011. SERIE 800 – CCN-STIC-811 Interconexión en el ENS • (PB) Artículo 8. Líneas de defensa. • (RM) Artículo 22. Prevención ante otros sistemas de información interconectados. – CCN-STIC-812 Seguridad en servicios Web • Protección de servicios y aplicaciones web [mp.s.2]. – CCN-STIC-813 Certificación de productos de seguridad • Artículo 18. Adquisición de productos de seguridad. • Componentes certificados [op.pl.5]. – CCN-STIC-814 Seguridad en servicio de correo • Protección del correo electrónico (e-mail) [mp.s.1]. Guías de desarrollo del ENS • Año 2011. SERIE 800 – CCN-STIC 815 Indicadores y métricas en el ENS • (PB) Artículo 9. Reevaluación periódica. • (RM) Artículo 26. Mejora continua del proceso de seguridad. • Artículo 35. Informe del estado de la seguridad. • Disposición transitoria. Adecuación de sistemas. • op.mon.2 Sistema de métricas – …. // …. CCN-STIC 8XX – Actualizaciones guías serie 800 – CCN-STIC adaptables al ENS Formación • Cursos STIC 2011 – Publicación del listado, programas y contenidos de cursos. – Clasificación en distintas categorías: • Cursos Informativos y de Concienciación en Seguridad – Curso STIC • Cursos Básicos de Seguridad – Windows / Linux / Bases de datos / Infraestructura Red • Cursos Específicos de Gestión de Seguridad – CEC / Inspección STIC – Gestión STIC (Aplicación ENS) • Cursos de Especialización en Seguridad – Acreditación Windows / Linux / Cortafuegos / IDS / Búsqueda de evidencias / Redes inalámbricas – Common Criteria / Herramienta PILAR – Seguridad en Aplicaciones Web Vulnerabilidades y código dañino Vulnerabilidades y código dañino 9000 V ul ner abi l i dades 8000 7000 6000 5000 4000 3000 2000 1000 0 V ulne ra bilida de s 2005 2006 2007 2008 2009 2 0 10 2998 3 19 8 7721 6 10 0 7829 7469 Código Dañino 80000 69866 60000 40000 20000 0 2005 2006 2007 2008 Código Dañino 2009 2010 CCN-CERT Conclusiones El Esquema Nacional de Seguridad es un instrumento al servicio del desarrollo de la administración electrónica para generar confianza en el uso de los medios electrónicos Garantía de seguridad de los sistemas, los datos, las comunicaciones y los servicios electrónicos. Auditorias de cumplimiento CCN en el ENS Desarrollo de guías CCN-STIC. Serie 800 CCN-CERT. Capacidad de respuesta ante incidentes gubernamental Herramienta PILAR Certificación de productos. COMMON CRITERIA Formación. Curso de Gestión STIC. Aplicación del ENS Muchas Gracias • CÓMO CONTACTAR: – ens@ccn-cert.cni.es – INCIDENTES • Formulario del Área Restringida • incidentes@ccn-cert.cni.es – SAT SALIDAS INTERNET • Consultas • sondas@ccn-cert.cni.es – SAT RED SARA • Portal de Informes / Consultas • redsara@ccn-cert.cni.es – GENERAL • Consultas • Mejoras y Comentarios • info@ccn-cert.cni.es