Evento ISO 38500

El próximo 26 de noviembre, en el Palacio Regional, te esperamos para hablar de ISO 38500:2008.

sábado, 10 de octubre de 2009

Borrador del Esquema Nacional de Seguridad

Hace un par de meses escribía un largo post sobre la ausencia de estrategia en materia de seguridad que podéis leer en el post titulado "La ciberseguridad española, sin orden ni concierto".

En aquel momento Joseba Enjuto vía comentarios ya avanzaba algo sobre la redacción del Esquema Nacional de Seguridad y en mis investigaciones posteriores pude hacerme con un borrador que andaba circulando.

Esta semana Joseba Enjuto de nuevo nos anuncia la publicación del borrador de Real Decreto donde se define, ni más ni menos que el Esquema Nacional de Seguridad.

¿Qué es el Esquema Nacional de Seguridad?

  • Desarrolla el artículo 42 de la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos donde se habla de la seguridad en la utilización de medios electrónicos en esto de la Administración Electrónica.

  • Será una reglamentación de obligado cumplimiento dentro de las Administraciones Públicas para garantizar la seguridad informática de los tramites online, y por ende, la seguridad jurídica. Dado que la validez jurídica y robustez de los procesos administrativos recae en la informática, ahora es necesario garantizar que no habrá problemas jurídicos cuando todo se base en la tecnología




El cumplimiento de este reglamento evitará situaciones como las alguna vez denunciadas en este mismo blog.

¿Para qué servirá el Esquema Nacional de Seguridad?
  • La finalidad del Esquema Nacional de Seguridad es crear las condiciones necesarias para la confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones, y los servicios electrónicos, que permita el ejercicio de derechos y el cumplimiento de deberes a través de estos medios.

  • El Esquema Nacional de Seguridad introduce los elementos comunes que han de guiar la actuación de las Administraciones Públicas en materia de seguridad de las tecnologías de la información y aporta un lenguaje común para facilitar la interacción de las Administraciones Públicas, así como la comunicación de los requisitos de seguridad de la información de las mismas a la industria.


¿Qué tiene de nuevo?
  • Por lo que he podido leer, este Real Decreto son unos muy buenos cimientos para establecer una gestión de la seguridad dentro del ámbito de las AA.PP. Se basa en unos principios esenciales como son:

    1)Seguridad entendida como un proceso integral constituido por elementos técnicos, humanos, materiales y organizativos.

    2)Análisis y gestión de riesgos: El análisis y gestión de riesgos será parte esencial del proceso de diseño de la seguridad que deberá mantenerse permanentemente actualizado. La gestión garantizará el mantenimiento de un entorno controlado, minimizando los riesgos hasta niveles aceptables.

    3)Prevención, reacción y recuperación: La seguridad del sistema debe contemplar los aspectos de prevención, detección y corrección, para conseguir que las amenazas sobre el mismo no se materialicen o no afecten gravemente a la información que maneja, o los servicios que se prestan.

    4)Reevaluación periódica: Auditoría cada dos años del funcionamiento de las medidas de seguridad para adecuar su eficacia a la constante evolución de los riesgos y sistemas de protección, llegando incluso a un replanteamiento de la seguridad, si fuese necesario.


¿Qué estructura tiene?
  • El desarrollo trata de establecer por Real Decreto una serie de requisitos mínimos que las Administraciones Públicas han de garantizar en todo lo relacionado con la e-Administración. Para ello, se han basado en las normas existentes y establecen vía reglamento unos criterios únicos y mínimos con idéntica filosofía a lo que hace el R.D. 1720/2007 en relación al cumplimiento de las medidas de seguridad vinculadas a los datos de carácter personal.

  • El documento establece unos principios básicos de gestión y luego desarrolla un catálogo de medidas de seguridad que serán exigidas de forma proporcional a los distintos organismos atendiendo a un criterio de clasificación bajo, medio o alto según la valoración de la información.

  • Las medidas se organizan en base a áreas que tienen a su vez apartados y dentro se concretan las medidas. Al igual que en la norma ISO 27002, podemos hablar de bloque, objetivo de control y controles solo que este Real Decreto establece mínimos necesarios y auditables.


¿Cómo se definen las medidas de seguridad?
  • El Real Decreto establece un principio de proporcionalidad donde a mayores requisitos de garantizar seguridad mayores requisitos exigidos como medidas de seguridad.
    Para ello, las medidas se organizan en base a los siguientes aspectos:

    3 MARCO ORGANIZATIVO
    3.1 POLÍTICA DE SEGURIDAD
    3.2 NORMATIVA DE SEGURIDAD
    3.3 PROCEDIMIENTOS DE SEGURIDAD
    3.4 PROCESO DE AUTORIZACIÓN
    3.5 AUDITORÍAS DE SEGURIDAD

    4 MARCO OPERACIONAL
    4.1 PLANIFICACIÓN
    4.2 CONTROL DE ACCESO.
    4.3 EXPLOTACIÓN
    4.4 SERVICIOS EXTERNOS
    4.5 CONTINUIDAD DEL SERVICIO
    4.6 MONITORIZACIÓN DEL SISTEMA

    5 MEDIDAS DE PROTECCIÓN
    5.1 PROTECCIÓN DE LAS INSTALACIONES E INFRAESTRUCTURAS
    5.2 GESTIÓN DEL PERSONAL
    5.3 PROTECCIÓN DE LOS EQUIPOS
    5.4 PROTECCIÓN DE LAS COMUNICACIONES
    5.5 PROTECCIÓN DE LOS SOPORTES DE INFORMACIÓN
    5.6 PROTECCIÓN DE LAS APLICACIONES INFORMÁTICAS
    5.7 PROTECCIÓN DE LA INFORMACIÓN
    5.8 PROTECCIÓN DE LOS SERVICIOS


  • Cada organismo deberá elaborar una declaración de aplicabilidad y detallar la situación en la que se encuentra cada medida atendiendo a sus niveles de seguridad definidos.


¿Donde puedo obtenerlo?

0 comentarios:

Publicar un comentario en la entrada

 
El blog de Murcya. Design by Wpthemedesigner. Converted To Blogger Template By Anshul Tested by Blogger Templates.