SEGURIDAD DE LA INFORMACIÓN

SUBDIRECCIÓN GENERAL DE TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIONES

DIRECCIÓN GENERAL DE INFRAESTRUCTURA

13 de octubre de 2011

Aspectos organizativos y metodológicos

- 1 -CIBERDEFENSA: aspectos organizativos y metodológicos

ÍNDICE

Hitos Normativos

OM 76/2006 Bases Conceptuales

OM 76/2006 Bases Funcionales

OM 76/2006 Desarrollo Normativo

Instrucción 41/2010

Estructura Funcional de SEGINFO.

Consejo de Dirección de Seguridad de la Información del Ministerio de Defensa

Algunos Datos.

Situación Actual.

- 2 -CIBERDEFENSA: aspectos organizativos y metodológicos

Hitos Normativos

Ley 9/1968, de 5 de abril reguladora de los secretos oficiales, modificada por la ley 48/1978.

Orden Ministerial 76/2002, de 18 de abril, por la que se establece la política de seguridad para la protección de la información del Ministerio de Defensa almacenada, procesada o transmitida por sistemas de información y telecomunicaciones.

Orden Ministerial 76/2006, de 19 de mayo, por la que se aprueba la política de seguridad de la información del Ministerio de Defensa.

Instrucción 41/2010, de 7 de julio, del Secretario de Estado de Defensa, por la que se aprueban las normas para la aplicación de la Política de Seguridad de la Información del Ministerio de Defensa.

- 3 -CIBERDEFENSA: aspectos organizativos y metodológicos

OM 76/2006 – Bases conceptuales

La información es un recurso de carácter estratégico para el Ministerio y por tanto, debe garantizarse su protección.

La información es un concepto abstracto e intangible que se elabora, presenta, almacena, procesa, transporta o destruye mediante elementos tangibles: las personas, los documentos, los sistemas de información y telecomunicaciones (SIT), las instalaciones y las empresas.

La protección de la información se realizará mediante la aplicación y supervisión de medidas de seguridad dirigidas a las personas, los documentos, SIT, instalaciones y empresas.

- 4 -CIBERDEFENSA: aspectos organizativos y metodológicos

OM 76/2006 – Bases funcionales

Visión estratégica unitaria de la SEGINFO.

Dirección única, que establece normas y pautas comunes.

La SEGINFO es responsabilidad de todos los miembros del Ministerio.

Se designa al SEDEF como Director de Seguridad de la Información del Ministerio de Defensa (DSIDEF).

Se establece el Consejo de Dirección de la Seguridad de la Información del Ministerio de Defensa, como órgano de coordinación de la seguridad de la información del Ministerio.

- 5 -CIBERDEFENSA: aspectos organizativos y metodológicos

OM 76/2006 – Desarrollo Normativo

SEGINFODOC SEGINFOINS SEGINFOEMP

SEGINFOSIT SEGINFOPER

APLICACIÓN POLITICA

POLITICA

INSTRUCCIONES

GUÍAS Y PROCEDIMIENTOS

Aprobada por O.M. 76/2006Aprobada por O.M. 76/2006

Aprobada por InstrucciAprobada por Instrucci óón SEDEF 41/2010n SEDEF 41/2010

PRIMER NIVEL NORMATIVOPRIMER NIVEL NORMATIVO

SEGUNDO NIVEL NORMATIVOSEGUNDO NIVEL NORMATIVO

TERCER NIVEL NORMATIVOTERCER NIVEL NORMATIVO

- 6 -CIBERDEFENSA: aspectos organizativos y metodológicos

Instrucción 41/2010 - Normas para la aplicación de la Política de Seguridad de la Información del Ministerio de Defensa

POLPOLÍÍTICA DE SEGURIDADTICA DE SEGURIDAD

NORMAS DE APLICACINORMAS DE APLICACIÓÓN N

Se designa al titular de la Dirección General de Infraestructura como responsable de las áreas de SEGINFO en las personas, documentos, SIT e instalaciones.

Como órgano de Apoyo Técnico se designa a la SDGTIC.

Se designa al titular de la Dirección General de Armamento y Material como responsable del área de SEGINFO en poder de las empresas.

Se establece la Estructura Funcional de la Seguridad de la información del Ministerio de Defensa.

Se establece el Comité de Seguimiento de Seguridad de la Información para llevar a cabo el seguimiento de las directrices en la Política SEGINFO y normativa de desarrollo.

- 7 -CIBERDEFENSA: aspectos organizativos y metodológicos

UM

E

Estructura Funcional de la Seguridad de la Información

EM

AD

CG

EA

CG

A

CG

E

SEG

EN

PO

L

SU

BD

EF

SED

EF

SEGINFOSITSEGINFOSIT

SEGINFOEMPSEGINFOEMP

SEGINFOINSSEGINFOINS

SEGINFODOCSEGINFODOC

SEGINFOPERSEGINFOPER

J.S.

J.S.

J.S.

J.S.

J.S.

J.S.

J.S.

J.S.

J.S.

J.S. J.S.

J.S.

J.S.

J.S.

J.S.

J.S.

J.S.

J.S.

J.S.

J.S.

J.S.

J.S.

J.S.

J.S.

J.S.

J.S. J.S.

J.S. J.S.

J.S. J.S.

J.S.

J.S.

J.S.

J.S.

J.S.

J.S.

J.S.

J.S.

J.S.DIGENINDIGENIN

DIGAMDIGAM

SEDEF SEDEF --DSIDEFDSIDEF

J.S. J.S. J.S. J.S. J.S. J.S. J.S. J.S.

- 8 -CIBERDEFENSA: aspectos organizativos y metodológicos

Consejo de Dirección de Seguridad de la Información del MINISDEF

Reunión de constitución el 08 de octubre de 2010.

Se aprueban una serie de acciones en cuanto a normativa, estructura funcional, plan de auditorías, plan de formación, concienciación y sensibilización…

Mandato a destacar: Creación y puesta en funcionamiento de un Centro Corporativo de Operaciones de Seguridad (COSDEF).

- 9 -CIBERDEFENSA: aspectos organizativos y metodológicos

Algunos DatosAUDITORÍAS

Se ejecutan auditorías sobre las 700 subredes de la Red de Área Extensa del Ministerio de Defensa, los 19 portales y aplicaciones web publicados en Internet por el Ministerio de Defensa y los 5 nuevos sistemas de información departamentales implantados en 2011 en el Ministerio de Defensa.

FORMACIÓN Y SENSIBILIZACIÓN

Finalizadas tres ediciones del Curso Online Concienciación en Seguridad de la Información con más de 500 alumnos y la 1ª edición de Cursos de Desarrollo Seguro de Software y de Herramientas de Seguridad y Auditoría.

LOPD

Dentro del Plan de adecuación a la LOPD del MINISDEF se han realizado los proyectos de DIGENPER, DIGEREM, IGESAN, SEDEF, SEGENPOL, CCGG y de gran parte de la SUBDEF, se van a ejecutar auditorías bianuales previstas en la LOPD y se están ejecutando los planes de formación para la difusión de las implicaciones de la LOPD en el trabajo del personal del MINISDEF.

COSDEF

Iniciados los trabajos de implantación del Centro y sus medios, definiendo estructura y medios, actualizando herramientas de monitorización y gestión de incidentes y desplegando la red de elementos de prevención de intrusiones, en la WAN-PG, recibiendo por encima de un millón de eventos de seguridad diarios desde varios cientos de equipos.

- 10 -CIBERDEFENSA: aspectos organizativos y metodológicos

Situación ActualNORMATIVA

Publicada SEGINFOPER, pte de publicación SEGINFOINS, SEGINFODOC, finalizando borrador SEGINFOSIT.

ESTRUCTURA SEGINFODEF

Pendiente de convocar segunda reunión del Consejo de Dirección.

AUDITORÍAS

Ejecutándose de manera continua auditorías y análisis de vulnerabilidades sobre SIT del Ministerio de Defensa.

LOPD

Ejecutándose la adecuación de los diferentes organizamos pendientes, llevando a cabo acciones de formación e implantación de la herramienta SILOPDEF .

COSDEF

Llevando a cabo la adquisición e implantación del material necesario, definiendo los procedimientos de operación del COSDEF y llevando a cabo la redacción de la Instrucción de creación del Centro.

Implantándose métricas de seguridad de la información en un ámbito, obteniendo el núcleo del Cuadro de Mando de Seguridad de la Información

FORMACIÓN y CONCIENCIACIÓN

Ejecutándose ediciones del Curso on-line de Concienciación en Seguridad de la Información en Defensa, Curso presencial de Seguridad de la Información en Defensa, pendiente de integración de la formación en SEGINFO en los Cursos de Alta Gestión de CESEDEN y llevándose a cabo las Jornadas SID anuales.

- 11 -CIBERDEFENSA: aspectos organizativos y metodológicos

INDICE

Hitos Normativos

OM 76/2006 Bases Conceptuales

OM 76/2006 Bases Funcionales

OM 76/2006 Desarrollo Normativo

Instrucción 41/2010

Estructura Funcional de SEGINFO.

Consejo de Dirección de Seguridad de la Información del Ministerio de Defensa

Algunos Datos.

Situación Actual.