categorización de los sistemas de información según el ens · tiva avantic qué es la categoría...
TRANSCRIPT
P
rese
nta
ció
n C
orp
ora
tiva
CATEGORIZACIÓN DE LOS SISTEMAS DE INFORMACIÓN
Según el Esquema Nacional de Seguridad (ENS)
P
rese
nta
ció
n C
orp
ora
tiva
avanTIC Preguntas clave sobre la categorización de sistemas
Qué es la categoría de un sistema de Información
Para qué es necesario conocer la categoría
Dónde se regula
A qué sistemas se aplica
Qué se entiende por SI
Cuál es el plazo para hacer la categorización
Qué ayudas existen
Cuál es el contenido
Cómo se categoriza
Quién debe hacer la categorización
Qué categorías existen
Qué debo hacer para conocer la categoría de un sistema
Cuáles son las dimensiones de seguridad
Cuáles son los niveles de seguridad de las dimensiones
Qué nivel se aplica en caso de conflicto
Relación con los niveles de seguridad establecidos en la
normativa de protección de datos personales
2
P
rese
nta
ció
n C
orp
ora
tiva
avanTIC Qué es la categoría de una sistema de información
“Es un nivel, dentro de la escala Básica-Media-Alta, con el que se adjetiva un sistema a fin de
seleccionar las medidas de seguridad necesarias para el mismo. La categoría del sistema
recoge la visión holística del conjunto de activos como un todo armónico, orientado a la
prestación de unos servicios” (Anexo IV ENS).
Es decir, es la forma en que calificamos y clasificamos los sistemas de
información en atención a determinados parámetros y con la finalidad
de dotarlos de las medidas de seguridad necesarias y suficientes para
su protección.
La categoría modula el equilibrio entre la importancia de la
información que maneja, los servicios que presta y el esfuerzo de
seguridad requerido, en función de los riesgos a los que está
expuesto, bajo el criterio del principio de proporcionalidad.
Para qué es necesario conocer la categoría de un
sistema de información
Para poder seleccionar adecuadamente las medidas de seguridad que
deben implantarse para la protección del mismo y de los datos y
servicios que soportan.
3
P
rese
nta
ció
n C
orp
ora
tiva
avanTIC Dónde se regulan las categorías de los SI
En el Real Decreto 3/2010, de 8 de enero, por el que se regula el
Esquema Nacional de Seguridad en el ámbito de la Administración
Electrónica (ENS), arts. 43 y 44, y Anexo I.
A qué sistemas se aplica
A los sistemas de información de la:
• Administración General del Estado
• Administraciones de las Comunidades Autónomas
• Entidades que integran la Administración Local
• Entidades de derecho público vinculadas o dependientes de cualquiera de las anteriores.
Será de aplicación a todos los sistemas empleados para la prestación
de los servicios de la Administración electrónica y soporte del
procedimiento administrativo general.
Qué se entiende por Sistemas de Información
Conjunto organizado de recursos para que la información se pueda
recoger, almacenar, procesar o tratar, mantener, usar, compartir,
distribuir, poner a disposición, presentar o transmitir (Anexo IV ENS).
4
P
rese
nta
ció
n C
orp
ora
tiva
avanTIC
5
Cuál es el Plazo para cumplir las disposiciones el ENS
El ENS entró en vigor el 30 de enero de 2010 (día siguiente al de su
publicación en el BOE)
Se prevé un plazo de adecuación de los sistemas existentes de 12 meses
Si a los doce meses de la entrada en vigor (-> 30/01/2011) hubiera
circunstancias que impidieran su plena aplicación, se dispondrá de un plan
de adecuación que marque los plazos de ejecución los cuales, en
ningún caso, serán superiores a 48 meses desde la entrada en vigor
(30/01/2014).
Qué Ayudas existen
El Centro Criptológico Nacional elabora y difunde de seguridad de las
tecnologías de la información y las comunicaciones.
• https://www.ccn-cert.cni.es/index.php?option=com_content&view=article&id=2420&Itemid=211&lang=es#2
• 17 guías publicadas
P
rese
nta
ció
n C
orp
ora
tiva
avanTIC Cómo se realiza la categorización
La categorización se efectúa en función de la valoración del
impacto que tendría un incidente que afectara a la seguridad
de la información o de los servicios con perjuicio para la
disponibilidad, autenticidad, integridad, confidencialidad o
trazabilidad (=> dimensiones de seguridad) (art. 43.2 ENS).
• La valoración de las consecuencias de un impacto negativo se
efectuará atendiendo a su repercusión en la capacidad de la organización
para (art. 43.3 ENS):
– el logro de sus objetivos,
– la protección de sus activos,
– el cumplimiento de sus obligaciones de servicio,
– el respeto de la legalidad y los derechos de los ciudadanos
Quién debe realizar la categorización
La facultad para efectuar las valoraciones mencionadas (del impacto y
sus consecuencias), así como la modificación posterior, en su caso, la
realizará el responsable de cada información o servicio.
La facultad para determinar la categoría del sistema corresponderá al
responsable del sistema. 6
Análisis de riesgos
P
rese
nta
ció
n C
orp
ora
tiva
avanTIC Qué categorías existen
Se definen tres categorías: BÁSICA, MEDIA y ALTA.
• Un sistema de información será de categoría ALTA si alguna de
sus dimensiones de seguridad alcanza el nivel ALTO.
• Un sistema de información será de categoría MEDIA si alguna de
sus dimensiones de seguridad alcanza el nivel MEDIO, y ninguna
alcanza un nivel superior.
• Un sistema de información será de categoría BÁSICA si alguna de
sus dimensiones de seguridad alcanza el nivel BAJO, y ninguna
alcanza un nivel superior.
Qué debo hacer para conocer la categoría de un SI
Primero: Identificar el nivel correspondiente a cada información y servicio,
en función de las dimensiones de seguridad.
Segundo: Determinar la categoría del sistema según el nivel alcanzado por
sus dimensiones de seguridad.
7
P
rese
nta
ció
n C
orp
ora
tiva
avanTIC Cuáles son las dimensiones de seguridad
[D] Disponibilidad
[A] Autenticidad
[I] Integridad
[C] Confidencialidad
[T] Trazabilidad
Una información o un servicio pueden verse afectados por un incidente de
seguridad en una o más de sus dimensiones de seguridad.
Cada dimensión de seguridad afectada por un incidente de seguridad
se adscribirá a uno de los siguientes niveles: BAJO, MEDIO o ALTO.
Si una dimensión de seguridad no se ve afectada, no se adscribirá a
ningún nivel.
Para qué sirven las dimensiones de seguridad
• Para poder establecer la categoría del sistema como acabamos de ver
• Para poder determinar el impacto que tendría sobre la organización un
incidente que afectara a la seguridad de la información o de los sistemas
8
Se identifican por sus iniciales en
mayúsculas
P
rese
nta
ció
n C
orp
ora
tiva
avanTIC Cuáles son los niveles en los que puede verse
afectada una dimensión
BAJO, MEDIO O ALTO
9
Nivel BAJO Cuando las consecuencias de un incidente de seguridad que afecte a alguna de las dimensiones de seguridad supongan un perjuicio limitado sobre las funciones de la organización, sobre sus activos o sobre los individuos afectados. Se entenderá por perjuicio limitado: • La reducción de forma apreciable de la
capacidad de la organización para atender eficazmente con sus obligaciones corrientes, aunque estas sigan desempeñándose.
• El sufrimiento de un daño menor por los activos de la organización.
• El incumplimiento formal de alguna Ley o regulación, que tenga carácter de subsanable.
• Causar un perjuicio menor a algún individuo, que aún siendo molesto pueda ser fácilmente reparable.
• Otros de naturaleza análoga.
Nivel MEDIO Cuando las consecuencias de un incidente de seguridad que afecte a alguna de las dimensiones de seguridad supongan un perjuicio grave sobre las funciones de la organización, sobre sus activos o sobre los individuos afectados. Se entenderá por perjuicio grave: • La reducción significativa la capacidad
de la organización para atender eficazmente a sus obligaciones fundamentales, aunque estas sigan desempeñándose.
• El sufrimiento de un daño significativo por los activos de la organización.
• El incumplimiento material de alguna Ley o regulación, o el incumplimiento formal que no tenga carácter de subsanable.
• Causar un perjuicio significativo a algún individuo, de difícil reparación.
• Otros de naturaleza análoga.
Nivel ALTO Cuando las consecuencias de un incidente de seguridad que afecte a alguna de las dimensiones de seguridad supongan un perjuicio muy grave sobre las funciones de la organización, sobre sus activos o sobre los individuos afectados. Se entenderá por perjuicio muy grave: • La anulación de la capacidad de la
organización para atender a alguna de sus obligaciones fundamentales y que éstas sigan desempeñándose.
• El sufrimiento de un daño muy grave, e incluso irreparable, por los activos de la organización.
• El incumplimiento grave de alguna Ley o regulación.
• Causar un perjuicio grave a algún individuo, de difícil o imposible reparación.
• Otros de naturaleza análoga.
P
rese
nta
ció
n C
orp
ora
tiva
avanTIC Qué nivel se aplica si un sistema trata diferentes
informaciones y presta diferentes servicios
Cuando un sistema maneje diferentes informaciones y preste diferentes
servicios, el nivel del sistema en cada dimensión será el mayor de
los establecidos para cada información y cada servicio.
Existe coincidencia entre los niveles de seguridad
establecidos en el ENS y en la normativa de
protección de datos?
No. Los niveles de seguridad de la normativa de protección de datos se
establecen en función de la naturaleza de los datos tratados,
teniendo en cuenta el estado de la tecnología y los riesgos a que están
expuestos, ya provengan de la acción humana o del medio físico o natural.
Pero en ambos casos los niveles determinan las medidas de seguridad a
aplicar.
10
Normativa Protección de Datos
ENS
Categorización de datos Categorización de sistemas de información
P
rese
nta
ció
n C
orp
ora
tiva
avanTIC
11
Normativa Protección de Datos
ENS
Categorización de datos Categorización de sistemas de información
Nivel BÁSICO Nivel MEDIO Nivel ALTO
Niveles de seguridad
Determinan las medidas de seguridad a aplicar
Dimensiones de seguridad
Categoría BÁSICA Categoría MEDIA Categoría ALTA Se establecen
Se establecen en función de las
[D] Disponibilidad [A] Autenticidad [I] Integridad [C] Confidencialidad [T] Trazabilidad
Para cada una de ellas hay
que determinar el NIVEL aplicable:
Nivel BAJO Nivel MEDIO Nivel ALTO
Determinan las medidas de seguridad a aplicar
Análisis de la relación entre la normativa de protección de datos y el ENS
Es necesario realizar un
Análisis de riesgos
P
rese
nta
ció
n C
orp
ora
tiva
avanTIC
12
avanTICAvanzando con la Sociedad de la Información
avanTICAvanzando con la Sociedad de la Información
Si desea información sobre los servicios y soluciones de AvanTIC visite nuestro sitio
www.avantic.net
C/ Rufino, nº 1, Planta Alta
CP 38320 La Laguna (La Cuesta)
Tel. 902.36.63.24 / 922.64.10.51
AvanTIC Estudio de Ingenieros S.L. C.I.F. B-38-769337 Reg.Merc. de Santa Cruz de Tenerife, Hoja TF-33864, Folio 102, Tomo 2.580, Inscripción 1ª