RESUMEN DEL ESQUEMA NACIONAL DE SEGURIDAD

(RD 3/2010 del 8 de Enero 2010)

CAPITULO I: disposiciones generales
Definición:
Art. 42 Ley 11/2007 LAECSP: “principios básicos y requisitos mínimos para asegurar la protección
adecuada (aseguramiento de la autenticidad, confidencialidad, integridad, disponibilidad, trazabilidad,
acceso y conservación) de los datos, informaciones, documentos, servicios y sistemas de comunicaciones
que permita el ejercicio de derechos y el cumplimiento de deberes a través de medios electrónicos”.
Objetivo: establecer la política de seguridad en materia de la administración electrónica.
Referencias:
 Leyes: normas de firma electrónica y DNI electrónico (Ley 59/2003 y RD 1553/2005), protección de
datos de carácter personal (Ley 15/1999), el régimen jurídico de las Administraciones públicas (Ley
30/1992) y la ley de acceso electrónico de los ciudadanos a los servicios públicos (Ley 11/2007).
 Recomendaciones de la Unión Europea, normas de conservación, seguridad y normalización de datos,
metodologías de análisis y gestión de riesgos, criterios de seguridad CCN-STIC y el Esquema
Nacional de Interoperabilidad.
Ámbito de aplicación: Administración General del Estado, Administraciones de las Comunidades
Autónomas y Entidades que integran la Administración Local.
Estándar: ISO/IEC 27001 (no se exige certificación en ISO 27001). Es el estándar para la seguridad de la
información aprobado en 2005 que establece los requisitos para los Sistemas de Gestión de la Seguridad
de la Información según el modelo de Deming (Plan-Do-Check-Act).
CAPITULO II: principios básicos (Art. 4-10)
a) Seguridad como un proceso integral: elementos técnicos, humanos, materiales y organizativos
b) Gestión de la seguridad basada en los riesgos
c) Prevención, reacción y recuperación ante desastres
d) Líneas de defensa: capas de seguridad bajo medidas de naturaleza organizativa, física y lógica.
e) Reevaluación periódica
f) Seguridad como función diferenciada
- Responsable de Seguridad: analiza el informe de auditoría y las autoevaluaciones y presenta sus
conclusiones al responsable de sistema para que adopte medidas adecuadas (Art.34). Coordina a
los Responsable de Información y de Servicios.
- Responsable del Sistema: adopta las medidas del informe de auditoría.
- Responsable de Información: determina y puede ampliar los requisitos mínimos de seguridad.
- Responsable de Servicios: similares a las del Responsable de información (un servicio hereda los
requisitos de la información que maneja).
CAPÍTULO III:
Categorías de los sistemas
 Dimensiones de seguridad: ACID y trazabilidad con niveles BAJO, MEDIO, ALTO
 Niveles de seguridad: BAJO (perjuicio limitado), MEDIO (perjuicio grave) y ALTO (perjuicio muy
grave)
 Categoría de un SI: ALTA si alguna de sus dimensiones alcanza el nivel ALTO, MEDIA si alguna
alcanza el nivel MEDIO, y no es de categoría ALTA, BÁSICA si alguna alcanza el nivel BAJO, y no
es MEDIA o ALTA.
Medidas de seguridad
Son proporcionales a las dimensiones de seguridad y la categoría del SI.
 Son 75 controles que se dividen en tres grupos: marco organizativo, marco operacional y medidas de
protección: protegen activos concretos según naturaleza y calidad exigida.
 Pasos a seguir para seleccionar las medidas de seguridad:
- Identificación de los activos.
- Determinación de las dimensiones de seguridad relevantes
- Determinación del nivel correspondiente a cada dimensión de seguridad
- Determinación de la categoría del sistema
- Selección de las medidas de seguridad apropiadas
 El resultado es el documento de “Declaración de Aplicabilidad” en el que se especifican las medidas
de protección y se justifica las que no han sido seleccionadas.
 Política de seguridad: es un documento del marco organizativo aprobado por el órgano superior
competente. El documento deberá contener, al menos, lo siguiente:
- Los objetivos o misión de la organización.
- Marco legal y regulatorio en el que se desarrollarán las actividades.
- Roles o funciones de seguridad, los deberes y responsabilidades del rol y procedimiento de
designación y renovación del cargo.
- Estructura de comités de gestión y coordinación de la seguridad: ámbito de responsabilidad,
miembros y la relación con otros elementos de la organización.
- Directrices de estructura, gestión y acceso de la documentación de seguridad del sistema.
Además el documento debe ser coherente con lo establecido en el Documento de Seguridad de
ficheros de datos de carácter personal, según lo dispuesto en el Título 8 del RD 1720/2007.
Auditorías
Se realizarán, al menos, cada 2 años o si hay cambios importantes según categoría:
BÁSICA: autoevaluación documentada.
MEDIA y ALTA: Auditoría sobre el grado de cumplimiento del ENS que identifica deficiencias, sugiere
medidas correctoras e incluye conclusiones.
Requisitos mínimos (Art. 11-30)
Para llevarlos a cabo se definen Categorías de los Sistemas y Medidas de Seguridad (LOPD). Se usan
infraestructuras y servicios comunes reconocidos por las AAPP y las Guías de Seguridad del CCN.
a) Organización e implantación del proceso de seguridad para toda la organización.
b) Análisis y gestión de los riesgos: cada organización realizará la suya para todas las dimensiones y los
sistemas de todas las categorías (BASICA: análisis informal, MEDIA: semi-formal y ALTA:formal)
usando metodologías reconocidas internacionalmente. NO dice MAGERIT.
c) Gestión y formación de personal.
d) Profesionalidad: obligación y deberes de funcionarios y externos.
e) Autorización y control de los accesos: mediante certificados, dispositivos físicos (tokens) o
biométricos (acreditados por CCN). Recomendados en categoría MEDIA y ALTA.
f) Protección de las instalaciones: sistemas en áreas separadas, control de llaves y salas cerradas.
Dimensión de Disponibilidad: suministro eléctrico garantizado si fallo en nivel MEDIO e
instalaciones alternativas con las mismas garantías de seguridad en ALTO.
g) Adquisición de productos: valoración positiva de productos certificados (ISO 15408) según Criterios
Comunes. Requisito para todas las dimensiones en Sistemas con categoría ALTA.
h) Seguridad por defecto en los sistemas de información. Regla de la mínima funcionalidad: el sistema se
limita a sus objetivos. Regla de seguridad por defecto: Uso seguro e intuitivo para el usuario.
i) Integridad y actualización del sistema: parches y actualizaciones.
j) Protección de la información almacenada (CD, DVD, USB) y en tránsito (redes). Uso de Criptografía
para Sistemas MEDIO y ALTO (algoritmos acreditados por CCN). Registros de E/S.
k) Prevención ante otros sistemas de información interconectados (redes públicas): cortafuegos entre red
interna y externa. ALTA: dos o más, de distintos fabricantes en cascada + sist. redundantes) En
dimensiones de Autenticidad, Confidencialidad, Integridad: BAJO es prevención de ataques activos,
MEDIO es uso de VPN (algoritmos acreditados por el CCN) y ALTA es establecimiento y uso de VPN
mediante hw y segregación de redes.
l) Registro de actividad
m) Registro de incidentes de seguridad para la mejora continua: sistemas de detección y reacción.
n) Continuidad de la actividad a través de planes de respaldo y recuperación.
o) Mejora continua del proceso de seguridad.
CAPÍTULO IV. COMUNICACIONES ELECTRÓNICAS (Art. 31-33)
Define las características de las notificaciones y publicaciones y la política de firma electrónica y
certificados.
CAPÍTULO V. AUDITORIA DE LA SEGURIDAD (Art. 34)
Cada dos años o cuando se modifique sustancialmente un sistema de información. Dependerá de la
categoría del sistema (básica, media, alta).
CAPÍTULO VI. ESTADO DE SEGURIDAD DE LOS SISTEMAS (Art. 35)
El Comité Sectorial de Administración Electrónica debe conocer el estado de la seguridad en los SI.
CAPÍTULO VII. RESPUESTA A INCIDENTES DE SEGURIDAD (Art. 36-37)
Las articula el Centro Criptológico Nacional (CCN) mediante el CCN-CERT (Computer Emergency
Reaction Team) y publicando documentos de apoyo a través del CCN-STIC (Centro Criptológico
Nacional-Seguridad de las Tecnologías de Información y Comunicaciones).
CAPÍTULO VIII. NORMAS DE CONFORMIDAD (Art. 38-41)
Se rigen por el ENS la seguridad de las sedes, registros electrónicos y el acceso electrónico de los
ciudadanos a los servicios públicos. Cada organismo tendrá su mecanismo de control.
CAPÍTULO X. CATEGORIZACIÓN DE LOS SISTEMAS DE INFORMACIÓN (Art. 43-44)
Definidas brevemente al principio del Capítulo III.
DISPOSICIONES ADICIONALES
1.- Formación
2.- INTECO (Instituto Nacional de Tecnologías de la Comunicación): desarrolla proyectos de innovación
y programas de investigación para la implantación de las medidas de seguridad.
3.- Comité de Seguridad de la Información de las AAPP: depende del Comité Sectorial de Administración
Electrónica. Tiene funciones de cooperación en materias de implantación de medidas del ENS.
4.- Modificación desarrollo LOPD
DISPOSICIÓN TRANSITORIA
Plazos de adecuación de sistemas: 12 meses.