Please enable JavaScript.
Coggle requires JavaScript to display documents.
TEMA 7: SEGURIDAD INFORMÁTICA. NORMATIVA. ENS. NORMATIVA VALENCIANA.…
TEMA 7: SEGURIDAD INFORMÁTICA. NORMATIVA. ENS. NORMATIVA VALENCIANA. CIBERSEGURIDAD NACIONAL.
SEGURIDAD INFORMÁTICA
Definición y dimensiones
Seguridad
No es una meta en sí
Proceso de mejora contínua
Seguridad de la información
Disponibilidad
Integridad
Confidencialidad
Trazabilidad
Autenticidad
SGSI
Sistema de gestión que comprende la política, organización,procedimientos, procesos y recursos necesarios para implantar la seguridad de la información
Fases
Definir la política
Definir el alcance del SGSI
Análisis de Riesgos
Gestión de Riesgos
Selección de controles
Declaración de aplicabilidad
Revisión del sistema
Auditoría Interna
NORMATIVA SOBRE SEGURIDAD EN LA INFORMACIÓN
Normas
Esquema Nacional de Seguridad
ISO 27001 : Requisitos para la construcción de un SGSI
CCN-STIC 825
Explica uso certificación 27001 como soporte al cumplimiento del ENS
Leyes
Comunitarias
UE 2016/679 : Protección personas físicas en tratamiento datos personales y libre circulación.
2002/58/CE : Privacidad y comunicaciones electrónicas
2001/264/CE : Normas de Seguridad
Estatales
L.O. 15/1999 Protección de datos de carácter personal
RD 1720/2007 Reglamento que desarrolla Ley de Protección de Datos
Ley 59/2003 Firma Electrónica
Ley 3/2010 ENS
Ley 4/2010 ENI
Ley 39/2015 de Procedimiento Administrativo Común
Autonómicas
Decreto 66/2012 del Consell : Política de Seguridad de la Info. de la Gen.
Decreto 130/2012 del Consell : Organización de la Seg. Info. de la Gen.
Orden 19/2013 Normas de uso seguro
Decreto 220/2014 Reglamento de Admón Electrónica
ESQUEMA NACIONAL DE SEGURIDAD
Definido en la Ley 11/2007 de Acceso Electrónico
Objeto : establecer la política de seguridad en la utilización de los medios electrónicos. Constituido por los principios básicos y los requisitos mínimos que permiten una protección adecuada de la info.
Regulado en RD 2/2010
Precedentes
Criterios SNC
Guías CCN.STIC
Magerit y ENI
Tiene presente
Recomendaciones UE
Situación tecnológica AAPP
Servicios electrónicos existentes
Uso estándares abiertos
Uso estándares de uso generalizado
Articulado atiende
Normativa Nacional Admón Electronica
Protección de datos
Firma electrónica y DNI-e
CCN
Sociedad de la información
Reutilización información sector público
No aplica
Actividades en régimen de derecho privado
Sistemas no relacionados en el ejercicio de derechos ni cumplimiento de deberes por medios electrónicos
Acceso por medios electrónicos a los ciudadanos a la información y al procedimiento administrativo.
Principios básicos
Seguridad integral
Gestión de Riesgos
Prevención
Reacción
Recuperación
Líneas de defensa
Reevaluación periódica
Función diferenciada
Política de Seguridad
Requisitos mínimos
Organización e implantación del proceso de seguridad
Análisis y gestión de riesgos
Gestión del personal
Profesionalidad
Autorización y control de accesos
Protección instalaciones
Adquisición de productos
Seguridad por defecto
Integridad y actualización del sistema
Protección información almacenada y en tránsito
Prevención ante otros sistemas
Registro de actividad
Incidentes de seguridad
Continuidad de la actividad
Mejora continua
Adecuación al ENS
Preparar y aprobar política de seguridad
Definir roles y asignar personas
Valorar / Categorizar SI /Servicios
Análisis de riesgos
Declaración de aplicabilidad
Implantar, operar, y monitorizar el sistema
Auditar cada 2 años
Mejorar la seguridad
Infraestructuras y servicios comunes
Red SARA
CCN- Elaboración Guías
CCN-CERT Apoyo incidentes
Categorización de los S.I
Valoración del impacto que tendría en la org. un incidente de seguridad de la info. de los sistemas.
Categorías
Alta
Media
Básica
Dimensiones DICTA
Cat.Sistema = max (Nivel(D,I,C,T,A))
Tipos de medidas de seguridad
Marco Organizativo
Política de Seguridad
Normativa de Seguridad
Procedimientos de Seguridad
Proceso Autorización
Marco Operacional
Planificación
Control acceso
Explotación
Servicios externos
Continuidad servicio
Monitorización sistema
Medidas de protección
Instalaciones e infraestructuras
Gestión del personal
Protección de equipos
Protección comnunicaciones
Protección soportes
Protección aplicaciones
Protección información
Protección servicios
Auditoría
Responsable de seguridad
Análisis de Riesgos formal con revisión y aprobación anual.
Cumplimiento de las recomendaciones de protección
Existencia de un SGSI documentado
Cumplimiento
Documentación de los procedimientos
Registros de incidencias
Examen del personal afectado
Afectaciones adicionales
Proveedores de las AAPP de Servicios de Seguridad
Fabricantes y distribuidores de Servicios de Seguridad
Organizaciones gestoras de SI y/o información manejada por las AAPP
NORMATIVA AUTONÓMICA
Decreto 66/2012 del Consell : Política de Seguridad de la Información
Condiciones para el acceso a la información
Uso del equipamiento informático y común
Gestión de incidencias
Continuidad de operaciones
Seguridad con terceros
Clasificación y tratamiento de la información
Análisis y gestión de riesgos
Seguridad física y del personal
Prevención de virus y códigos maliciosos
Ciclo de vida de los SI
Mejora continua. Nivel de madurez
Elaboración, publicación y revisión de la polñitica
Decreto 130/2012 del Consell : Organización de la Seguridad de la Información
3 Niveles de responsabilidad
Gobierno de la organización
Responsable de la información
Comité de Seguridad de la Información
Responsable de Servicio
Responsable de ficheros LOPD
Ejecutivo
Responsable de Seguridad
Responsable de Seguridad LOPD
Operaciones
Responsable de Sistema
Administrador de Seguridad del Sistema
Administrador de Seguridad LOPD
Orden 9/2012 de Consellería de Sanidad
Requiere
Dedicación de estructuras y personal especializado
Estructura
Agentes centrales
Responsable de la Información
Conseller (responsable del fichero)
Responsable de la Seguridad de la Información
Responsable seguridad
Oficina de Seguridad de la Información
Comité de Seguridad de la Información
Responsable de acceso a la información
Responsable funcional del tratamiento
Organizaciones periféricas
Responsable de los tratamientos de la información
Responsable local de la seguridad de la información
Responsable local de ficheros automatizados
Responsable local de ficheros no automatizados
Comité local de seguridad de la información
Orden 19/2013 Consellería Hacienda y AP
Regula la norma de uso seguro de los medios tecnológicos que forman parte de los sistemas de información de la Admón de la Generalitat
Decreto 220/2014 del Consell: Reglamento de Admón Electrónica
Regula el régimen jurídico de la utilización por la Admón de la Generalitat de los medios electrónicos informáticos y telemáticos en el desarrollo de su actividad
Se fijan competencias y atribuciones en la administración electrónica
ESTRATEGIA DE LA CIBERSEGURIDAD NACIONAL
Motivación
Promovida por el Consejo de Seguridad Nacional
Pretende fijar directrices de uso seguro del ciberespacio
Principios rectores
Liderazgo nacional y coordinación de esfuerzos
Responsabilidad compartida
Proporcionalidad, racionalidad y eficacia
Cooperación internacional
Objetivo global
Garantizar el uso seguro de las redes y sistemas de información a través del fortalecimiento de las capacidades de prevención, detección y respuesta a los ciberataques.
Objetivos específicos
Garantizar seguridad y resiliencia en SI y Telecom. en las AAPP
Garantizar seguridad y resiliencia en SI y telecom. en el sector empresarial
Potenciar prevención, detección, respuesta, investigación y coordinación frente delincuencia en el ciberespacio
Concienciar a ciudadanos, profesionales, empresas y AAPP de los riesgos derivados del ciberespacio
Alcanzar y mantener conocimientos y habilidades tecnológicas para sustentar objetivos de ciberseguridad
Contribuir a la política de ciberseguridad coordinada en la UE y organizaciones internacionales
Líneas de actuación
Capacidad de prevención,detección, respuesta y recuperación ante ciberamenazas
Seguridad de los SI y Telecom. de las AAPP mediante ENS
Seguridad de los SI y Telecom. de las Infraestructuras Críticas
Capacidad de investigación y persecución de la ciberdelincuencia
Seguridad y resiliencia de las TIC en el sector privado
Conocimiento y competencias en I+D+I
Cultura de ciberseguridad
Compromiso internacional
Estructura Orgánica
Consejo de Seguridad Nacional (Comisión Delegada del Gobierno)
Comité Especializado en Ciberseguridad
Apoyo al Presidente del Gobierno y Consejo Nacional de Seguridad
Comité Especializado Situación
Gestión de situaciones de crisis de ciberseguridad
ENTIDADES ACTORAS EN RELACIÓN AL SECTOR PÚBLICO Y PRIVADO
Principio responsabilidad compartida
AAPP relación estrecha con empresas gestoras de sistemas relevantes para intereses nacionales
Defensa común
Intercambio de info.
Códigos de buenas prácticas
Centro nacional de Protección de Infraestructuras Críticas (CNPIC)
Gestiona listado de Infraestructuras Críticas (secreto)
Operadores de Infraestructuras Críticas
Plan de Seguridad del Operados (PSO)
Planes de Protección Específicos (PPE)
CONTRATACIÓN DE SERVICIOS DE SEGURIDAD INFORMÁTICA
Servicios de Sociedad de la Información
A título
A distancia
Vía electrónica
A petición
ISP´s
Proporcionan servicios para uso de Internet
Proveedores de acceso
Proveedores de alojamiento
Tienen regulación específica
El régimen jurídico de los contratos celebrados con la Admón. es variable y mixto mezclando derecho administrativo y derecho privado
Contratos más comunes
Acceso a Internet
Desarrollo páginas web
Adquisición de contenidos
Creación sitio compartido
Contratos publicitarios
Alojamiento sitios web
Responsabilidades
Administración
Riesgos
Control
ISP´s
Incumplimientos contractuales
Calidad mínima del servicio