descárgate la ponencia

Anuncio
¿ A que nos obliga el ENS ?
1. Marco Legal
•
INDICE
Funciones CCN
2. Esquema Nacional de Seguridad
•
Objetivo
•
Principios Básicos / Requisitos mínimos
•
Medidas de seguridad (PILAR)
3. CCN en el ENS.
•
Guías de desarrollo del ENS
•
Formación
•
Respuesta ante Incidentes
•
Alertas sobre vulnerabilidades / ataques
Marco Legal
El CCN actúa según el siguiente marco legal:
Ley 11/2002, 6 de mayo, reguladora del Centro
Nacional de Inteligencia (CNI), que incluye al Centro
Criptológico Nacional (CCN).
Real Decreto 421/2004, 12 de marzo, que regula y
define el ámbito y funciones del CCN.
Orden Ministerio Presidencia PRE/2740/2007, de 19 de
septiembre, que regula el Esquema Nacional de
Evaluación y Certificación de la Seguridad de las
Tecnologías de la Información
Real Decreto 3/2010, de 8 de enero, por el que se regula el
Esquema Nacional de Seguridad en el ámbito de la
Administración Electrónica
Funciones del CCN
Real Decreto 421/2004
12 de marzo
Principios básicos
a) Seguridad integral.
Elementos técnicos, humanos, materiales y organizativos
b) Gestión de riesgos.
Minimizando los riesgos hasta niveles aceptables
c) Prevención, reacción y recuperación.
(P) Disuasión y la reducción de la exposición.
(R) Detección y reacción ante incidentes
(RR) De la información y los servicios
d) Líneas de defensa.
Organizativa, física y lógica
e) Reevaluación periódica.
f) Función diferenciada.
Responsable de la información
Responsable del servicio
Responsable de seguridad.
Requisitos Mínimos
a) Organización e implantación del proceso de seguridad.
(COMPROMISO)
b) Análisis y gestión de los riesgos.
c) Gestión de personal. (RESPONSABILIDADES DE USO)
d) Profesionalidad.
e) Autorización y control de los accesos.
f) Protección de las instalaciones.
g) Adquisición de productos. (CERTIFICACIÓN DE SEGURIDAD)
h) Seguridad por defecto. (MINIMA FUNCIONALIDAD)
Requisitos Mínimos
i) Integridad y actualización del sistema.
j) Protección de la información almacenada y en
tránsito.
k) Prevención ante otros sistemas de información
interconectados.
l) Registro de actividad.
m) Incidentes de seguridad.
n) Continuidad de la actividad.
o) Mejora continua del proceso de seguridad.
Medidas de Seguridad. MADUREZ
Medidas de Seguridad. Cumplimiento
Visión de piezas del ENS
Política de seguridad
Principios básicos
Requisitos mínimos
Desarrollo e
Implementación del
Esquema
Instrumentos y
especialización
Esquema Nacional de Seguridad
Series CCN-STIC
Análisis y gestión de
riesgos
Magerit v2, PILAR
Normalización STIC
nacional e internacional
Política de
firma-e
...
Servicios
Formación
Normalización STIC
nacional e internacional
+
CCN-CERT
Artículo 37. Prestación de servicios de respuesta a incidentes de seguridad a las Administraciones públicas.
1. De acuerdo con lo previsto en el artículo 36, el CCN-CERT prestará a las Administraciones públicas los
siguientes servicios:
a)Soporte y coordinación para el tratamiento de vulnerabilidades y la resolución de incidentes de seguridad que tengan
la Administración General del Estado, las Administraciones de las comunidades autónomas, las entidades que integran la
Administración Local y las Entidades de Derecho público con personalidad jurídica propia vinculadas o dependientes de cualquiera
de las administraciones indicadas.
El CCN-CERT, a través de su servicio de apoyo técnico y de coordinación, actuará con la máxima celeridad ante cualquier
agresión recibida en los sistemas de información de las Administraciones públicas. Para el cumplimiento de los fines indicados
en los párrafos anteriores se podrán recabar los informes de auditoría de los sistemas afectados.
b) Investigación y divulgación de las mejores prácticas sobre seguridad de la información entre todos los miembros de las
Administraciones públicas. Con esta finalidad, las series de documentos CCN-STIC (Centro Criptológico Nacional-Seguridad
de las Tecnologías de Información y Comunicaciones), elaboradas por el Centro Criptológico Nacional, ofrecerán normas,
instrucciones, guías y recomendaciones para aplicar el Esquema Nacional de Seguridad y para garantizar la seguridad de los
sistemas de tecnologías de la información en la Administración.
c) Formación destinada al personal de la Administración especialista en el campo de la seguridad de las tecnologías de la
información, al objeto de facilitar la actualización de conocimientos del personal de la Administración y de lograr la sensibilización
y mejora de sus capacidades para la detección y gestión de incidentes.
d) Información sobre vulnerabilidades, alertas y avisos de nuevas amenazas a los sistemas de información, recopiladas
de diversas fuentes de reconocido prestigio, incluidas las propias.
2. El CCN desarrollará un programa que ofrezca la información, formación, recomendaciones y herramientas
necesarias para que las Administraciones públicas puedan desarrollar sus propias capacidades de respuesta a
incidentes de seguridad, y en el que, aquél, será coordinador a nivel público estatal.
Guías de desarrollo del ENS
El Real Decreto 3/2010 promueve la elaboración y difusión de guías de
seguridad de las tecnologías de la información y las comunicaciones por
parte de CCN para facilitar un mejor cumplimiento de dichos requisitos
mínimos.
La serie de documentos CCN-STIC 800 se elabora para dar cumplimiento a
los cometidos del CCN y a lo reflejado en el Esquema Nacional de Seguridad.
Series CCN-STIC
• 156 documentos, normas, instrucciones, guías y
recomendaciones
• (21 pendientes de su aprobación)
• Nueva serie 800: ESQUEMA NACIONAL DE SEGURIDAD
• 10 Guías
• Nueva clasificación:
– CCN-STIC 000: Instrucciones/Políticas STIC
• Cumplen con el ENS – CCN-STIC 100: Procedimientos
• Adaptables al ENS
– CCN-STIC 200: Normas
–
–
–
–
–
–
CCN-STIC 300: Instrucciones Técnicas
CCN-STIC 400: Guías Generales
CCN-STIC 500: Guías Entornos Windows
CCN-STIC 600: Guías Otros Entornos
CCN-STIC 800: Guías desarrollo ENS
CCN-STIC 900: Informes Técnicos
Guías de desarrollo del ENS
•
Año 2011. SERIE 800
– CCN-STIC-811 Interconexión en el ENS
• (PB) Artículo 8. Líneas de defensa.
• (RM) Artículo 22. Prevención ante otros sistemas de información
interconectados.
– CCN-STIC-812 Seguridad en servicios Web
• Protección de servicios y aplicaciones web [mp.s.2].
– CCN-STIC-813 Certificación de productos de seguridad
• Artículo 18. Adquisición de productos de seguridad.
• Componentes certificados [op.pl.5].
– CCN-STIC-814 Seguridad en servicio de correo
• Protección del correo electrónico (e-mail) [mp.s.1].
Guías de desarrollo del ENS
•
Año 2011. SERIE 800
– CCN-STIC 815 Indicadores y métricas en el ENS
• (PB) Artículo 9. Reevaluación periódica.
• (RM) Artículo 26. Mejora continua del proceso de seguridad.
• Artículo 35. Informe del estado de la seguridad.
• Disposición transitoria. Adecuación de sistemas.
• op.mon.2 Sistema de métricas
– …. // …. CCN-STIC 8XX
– Actualizaciones guías serie 800
– CCN-STIC adaptables al ENS
Formación
•
Cursos STIC 2011
– Publicación del listado, programas y contenidos de cursos.
– Clasificación en distintas categorías:
• Cursos Informativos y de Concienciación en Seguridad
– Curso STIC
• Cursos Básicos de Seguridad
– Windows / Linux / Bases de datos / Infraestructura Red
• Cursos Específicos de Gestión de Seguridad
– CEC / Inspección STIC
– Gestión STIC (Aplicación ENS)
• Cursos de Especialización en Seguridad
– Acreditación Windows / Linux / Cortafuegos / IDS / Búsqueda de evidencias /
Redes inalámbricas
– Common Criteria / Herramienta PILAR
– Seguridad en Aplicaciones Web
Vulnerabilidades y código dañino
Vulnerabilidades y código dañino
9000
V ul ner abi l i dades
8000
7000
6000
5000
4000
3000
2000
1000
0
V ulne ra bilida de s
2005
2006
2007
2008
2009
2 0 10
2998
3 19 8
7721
6 10 0
7829
7469
Código Dañino
80000
69866
60000
40000
20000
0
2005 2006
2007 2008
Código Dañino
2009
2010
CCN-CERT
Conclusiones
El Esquema Nacional de Seguridad es un instrumento al servicio del desarrollo
de la administración electrónica para generar confianza en el uso de los medios
electrónicos
Garantía de seguridad de los sistemas, los datos, las comunicaciones y los servicios
electrónicos.
Auditorias de cumplimiento
CCN en el ENS
Desarrollo de guías CCN-STIC. Serie 800
CCN-CERT. Capacidad de respuesta ante incidentes gubernamental
Herramienta PILAR
Certificación de productos. COMMON CRITERIA
Formación.
Curso de Gestión STIC. Aplicación del ENS
Muchas Gracias
•
CÓMO CONTACTAR:
– ens@ccn-cert.cni.es
– INCIDENTES
• Formulario del Área Restringida
• incidentes@ccn-cert.cni.es
– SAT SALIDAS INTERNET
• Consultas
• sondas@ccn-cert.cni.es
– SAT RED SARA
• Portal de Informes / Consultas
• redsara@ccn-cert.cni.es
– GENERAL
• Consultas
• Mejoras y Comentarios
• info@ccn-cert.cni.es
Descargar