Cumplimiento del ENS con e-PULPO
←
→
Transcripción del contenido de la página
Si su navegador no muestra la página correctamente, lea el contenido de la página a continuación
Cumplimiento del ENS con
e-PULPOÍNDICE
1 Introducción ..................................................................................................... 3
2 La Ley 11/2007 y el ENS .................................................................................. 3
2.1 El Esquema Nacional de Seguridad .................................................................. 6
2.2 Plazo de implantación del ENS ........................................................................ 7
2.3 ¿Cómo evitar que crezcan las labores que ya debía gestionar el Servicio de
Sistemas de Información? ....................................................................................... 8
2.4 ¿Cómo implantar estas medidas dentro del plazo exigido por la Ley? ................... 8
2.5 ¿Cómo dar respuesta a estos requisitos sin sobrepasar el presupuesto disponible? 8
2.6 ¿Cómo cubrir los requisitos de la Ley Orgánica de Protección de Datos de Carácter
Personal y el Esquema Nacional de Seguridad sin incurrir en un doble gasto? ................ 9
3 Requerimientos del ENS ................................................................................. 10
3.1 ANEXO II: Medidas de seguridad ................................................................... 11
3.1.1 3. Marco organizativo ........................................................................................................................... 11
3.1.2 4. Marco operacional ............................................................................................................................ 12
Cumplimiento ENS con e-PULPO Página 2 de 221 Introducción
Con la entrada en vigor del Esquema Nacional de Seguridad (en adelante ENS),
publicado en el BOE del 29 de enero de 2010, las administraciones públicas que
deban adaptar la gestión de la seguridad de su información se encuentran con la
obligación de tanto aplicar su cumplimiento como acreditar el mismo.
La adaptación al ENS de un sistema de información conlleva tanto tareas
administrativas como técnicas. La herramienta e-PULPO desarrollada por Ingenia da
respuesta a dichos requerimientos administrativos, y a la gestión o aplicación de
ciertos requerimientos técnicos.
El presente documento detalla en qué medida da respuesta e-PULPO a estas
necesidades.
2 La Ley 11/2007 y el ENS
Actualmente, los modelos de gestión organizativos giran alrededor de los sistemas
de información (SI). Este principio queda claramente recogido en la Exposición de
Motivos de la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos
a los Servicios Públicos, donde indica: “Al servicio, pues, del ciudadano la
Administración queda obligada a transformarse en una administración electrónica
regida por el principio de eficacia que proclama el artículo 103 de nuestra
Constitución.”
Cumplimiento ENS con e-PULPO Página 3 de 22Proteger la información que radica en dichos sistemas redunda por lo tanto en
proteger los servicios, clara muestra de ello aparece en los siguientes artículos:
“Artículo 3. Finalidades de la Ley”, dentro de su apartado:
o “3. Crear las condiciones de confianza en el uso de los medios
electrónicos, estableciendo las medidas necesarias para la
preservación de la integridad de los derechos fundamentales, y en
especial los relacionados con la intimidad y la protección de datos de
carácter personal, por medio de la garantía de la seguridad de los
sistemas, los datos, las comunicaciones, y los servicios electrónicos”
“Artículo 4. Principios generales.”, dentro de sus apartados:
o “f) Principio de seguridad en la implantación y utilización de los medios
electrónicos por las Administraciones Públicas, en cuya virtud se
exigirá al menos el mismo nivel de garantías y seguridad que se
requiere para la utilización de medios no electrónicos en la actividad
administrativa.”
o “g) Principio de proporcionalidad en cuya virtud sólo se exigirán las
garantías y medidas de seguridad adecuadas a la naturaleza y
circunstancias de los distintos trámites y actuaciones.”
Para ello, la Ley indica en el “Artículo 42. Esquema Nacional de Interoperabilidad y
Esquema Nacional de Seguridad”, cómo implantar dicha seguridad en el apartado
“2. El Esquema Nacional de Seguridad tiene por objeto establecer la política de
seguridad en la utilización de medios electrónicos en el ámbito de la presente Ley, y
está constituido por los principios básicos y requisitos mínimos que permitan una
protección adecuada de la información.”
El Real Decreto 1671/2009, de 6 de noviembre, por el que se desarrolla
parcialmente la Ley 11/2007, de 22 de junio, de acceso electrónico de los
Cumplimiento ENS con e-PULPO Página 4 de 22ciudadanos a los servicios públicos, deja claro el campo de aplicación de la
seguridad de la información en los artículos
Ejemplos de situaciones en las que se debe aplicar el Esquema Nacional de
Seguridad podemos encontrarlos en los siguientes artículos:
“Artículo 5. Condiciones de identificación de las sedes electrónicas y
seguridad de sus comunicaciones”, indica en su apartado:
o “4. Los sistemas de información que soporten las sedes electrónicas
deberán garantizar la confidencialidad, disponibilidad e integridad de
las informaciones que manejan. El Esquema Nacional de
Interoperabilidad y el Esquema Nacional de Seguridad establecerán las
previsiones necesarias para ello.”
“Artículo 46. Destrucción de documentos en soporte no electrónico”, indica
en su apartado:
o “2. Se deberá incorporar al expediente de eliminación un análisis de
los riesgos relativos al supuesto de destrucción de que se trate, con
mención explícita de las garantías de conservación de las copias
electrónicas y del cumplimiento de las condiciones de seguridad que,
en relación con la conservación y archivo de los documentos
electrónicos, establezca el Esquema Nacional de Seguridad.”
“Artículo 5. Condiciones de identificación de las sedes electrónicas y
seguridad de sus comunicaciones”, con lo que indica en sus apartados:
o “3. Las condiciones de identificación de las sedes electrónicas y de
seguridad de sus comunicaciones se regirán por lo dispuesto en el
título tercero del presente real decreto, y en el título VIII del
Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de
diciembre, aprobado por Real Decreto 1720/2007, de 21 de
diciembre.”
Cumplimiento ENS con e-PULPO Página 5 de 22o “4. Los sistemas de información que soporten las sedes electrónicas
deberán garantizar la confidencialidad, disponibilidad e integridad de
las informaciones que manejan. El Esquema Nacional de
Interoperabilidad y el Esquema Nacional de Seguridad establecerán las
previsiones necesarias para ello.”
2.1 El Esquema Nacional de Seguridad
El 29 de enero de 2010 se publicó el Real Decreto 3/2010, de 8 de enero, por
el que se regula el Esquema Nacional de Seguridad en el ámbito de la
Administración Electrónica (en adelante ENS).
Con su entrada en vigor, las administraciones públicas objeto de cumplimiento de la
Ley 11/2007, esto es, todas las Administraciones Públicas, entendiendo por tales la
Administración General del Estado, las Administraciones de las Comunidades
Autónomas y las Entidades que integran la Administración Local, así como las
entidades de derecho público vinculadas o dependientes de las mismas, a excepción
de los sistemas que tratan información clasificada regulada por Ley 9/1968, de 5 de
abril, de Secretos Oficiales y normas de desarrollo, se encuentran con la obligación
tanto de adaptar la gestión de la seguridad de su información a su cumplimiento
como acreditar el mismo.
Este real decreto se limita a establecer los principios básicos y requisitos mínimos
que permiten una protección adecuada de la información y los servicios. Para dar
cumplimiento a ello se determinan las dimensiones de seguridad y sus niveles, la
categoría de los sistemas, las medidas de seguridad adecuadas y la auditoría
periódica de la seguridad; se implanta la elaboración de un informe para conocer
regularmente el estado de seguridad de los sistemas de información a los que se
Cumplimiento ENS con e-PULPO Página 6 de 22refiere el real decreto, se establece el papel de la capacidad de respuesta ante
incidentes de seguridad de la información del Centro Criptológico Nacional, se
incluye un glosario de términos y se hace una referencia expresa a la formación.
En este real decreto se concibe la seguridad como una actividad integral, en la que
no caben actuaciones puntuales o tratamientos coyunturales, debido a que la
debilidad de un sistema la determina su punto más frágil y, a menudo, este punto
es la coordinación entre medidas individualmente adecuadas pero
deficientemente ensambladas entre si.
La adaptación al ENS de un sistema de información conlleva tanto tareas
administrativas como técnicas.
2.2 Plazo de implantación del ENS
El plazo de adaptación al Esquema Nacional de Seguridad viene indicado en la
“Disposición transitoria. Adecuación de sistemas.”:
“1. Los sistemas existentes a la entrada en vigor del presente real decreto se
adecuarán al Esquema Nacional de Seguridad de forma que permitan el
cumplimiento de lo establecido en la disposición final tercera de la Ley
11/2007, de 22 de junio. Los nuevos sistemas aplicarán lo establecido
en el presente real decreto desde su concepción.”
“2. Si a los doce meses de la entrada en vigor del Esquema Nacional de
Seguridad hubiera circunstancias que impidan la plena aplicación de lo
exigido en el mismo, se dispondrá de un plan de adecuación que marque los
plazos de ejecución los cuales, en ningún caso, serán superiores a 48 meses
desde la entrada en vigor.
Cumplimiento ENS con e-PULPO Página 7 de 22El plan indicado en el párrafo anterior será elaborado con la antelación
suficiente y aprobado por los órganos superiores competentes.”
2.3 ¿Cómo evitar que crezcan las labores que ya debía gestionar el
Servicio de Sistemas de Información?
Mediante la integración de las labores que se hacen en el servicio de informática
bajo un prisma genérico, sin tener como objetivo exclusivo el cumplimiento con una
Ley específica.
Una vez teniendo la información necesaria, ésta se explota para dar respuesta a
cualquier requisito: LOPD, ENS, ITIL (ISO 20000), SGSI (ISO 27001), etc.
2.4 ¿Cómo implantar estas medidas dentro del plazo exigido por la
Ley?
Utilizando software ya existente, evitando reinventar la rueda.
2.5 ¿Cómo dar respuesta a estos requisitos sin sobrepasar el
presupuesto disponible?
Haciendo uso de software libre, como recomienda el informe “Propuesta de
Recomendaciones a la Administración General del Estado sobre Utilización del
Software Libre y de Fuentes Abiertas”, del Consejo Superior de Informática y para
el Impulso de la Administración Electrónica (Ministerio de Administraciones
Públicas, año 2005).
Cumplimiento ENS con e-PULPO Página 8 de 222.6 ¿Cómo cubrir los requisitos de la Ley Orgánica de Protección de
Datos de Carácter Personal y el Esquema Nacional de Seguridad
sin incurrir en un doble gasto?
Utilizando las mismas herramientas para una y otra necesidad, sin recurrir a
herramientas independientes, inconexas, que obliguen a duplicar la información y a
duplicar el trabajo.
Cumplimiento ENS con e-PULPO Página 9 de 223 Requerimientos del ENS
Leyenda de colores:
Color Función
e-PULPO cumple con los requerimientos.
Los requerimientos no aplican a la finalidad de e-e-PULPO.
Actualmente e-PULPO no cubre esta funcionalidad, pero la cubrirá en siguientes versiones.
Requerimientos que aplican a la propia plataforma de e-PULPO y están cubiertos.
Cumplimiento ENS con e-PULPO Página 10 de 223.1 ANEXO II: Medidas de seguridad
3.1.1 3. Marco organizativo
Apartado Soporte en e-PULPO
3.1 Política de seguridad Su redacción corresponde al organismo superior competente.
3.2 Normativa de seguridad La aprobación de este documento por el personal competente y su difusión se
realizaría desde el módulo de Gestión Documental.
3.3 Procedimientos de seguridad La aprobación de estos documentos por el personal competente y su difusión
se realizaría desde el módulo de Gestión Documental.
3.4 Proceso de autorización La aprobación de estos documentos por el personal competente y su difusión
se realizaría desde el módulo de Gestión Documental.
La solicitud de nuevas autorizaciones se realizaría desde el módulo de Gestión
de Incidencias.
Cumplimiento ENS con PULPO Página 11 de 22 PULPO3.1.2 4. Marco operacional
Apartado Soporte en e-PULPO
4.1 Planificación Realiza el análisis de riesgos mediante PILAR siguiendo MAGERIT.
4.1.1 Análisis de riesgos
4.1.2 Arquitectura de seguridad La gestión, distribución y control de difusión de estos documentos se realizaría
desde el módulo de Gestión Documental.
El esquema de red se generaría desde el módulo de Gestión de Activos.
4.1.3 Adquisición de nuevos Los requisitos vendrán definidos en la documentación ya almacenada.
componentes
4.1.4 Dimensionamiento / gestión de Los requisitos vendrán definidos en la documentación ya almacenada.
capacidades
4.1.5 Componentes certificados Los requisitos vendrán definidos en la documentación ya almacenada.
e-PULPO no es un producto certificado, aunque este requisito es sólo para la
categoría alta.
4.2 Control de acceso Los requisitos de identificación deben ser satisfechos por cada sistema.
4.2.1 Identificación e-PULPO cumple con los requisitos de identificación propuestos.
Cumplimiento ENS con PULPO Página 12 de 22 PULPO4.2.2 Requisitos de acceso Los requisitos de identificación deben ser satisfechos por cada sistema.
e-PULPO permite documentar los privilegios de acceso a las aplicaciones.
4.2.3 Segregación de funciones y Los requisitos de segregación de tareas deben ser satisfechos por cada
tareas sistema.
e-PULPO no dispone actualmente de un sistema de identificación concurrente
de dos o más usuarios.
4.2.4 Proceso de gestión de derechos e-PULPO a través de un plug-in permite la gestión de los derechos de acceso
de acceso por parte de los usuarios a los sistemas y aplicaciones.
4.2.5 Mecanismo de autenticación Los requisitos de identificación deben ser satisfechos por cada sistema.
e-PULPO cumple con los requisitos de identificación propuestos.
4.2.6 Acceso local Los requisitos de identificación deben ser satisfechos por cada sistema.
e-PULPO cumple con los requisitos de identificación propuestos.
4.2.7 Acceso remoto El control de acceso remoto a e-PULPO será definido por los sistemas remotos
externos a e-PULPO.
4.3 Explotación e-PULPO realiza un inventario de activos detallado de manera automatizada. e-
4.3.1 Inventario de activos PULPO realiza un seguimiento de los activos de forma automatizada.
4.3.2 Configuración de seguridad e-PULPO en su versión profesional está bastionado y securizado. e-PULPO a
Cumplimiento ENS con PULPO Página 13 de 22 PULPOtravés del módulo de Gestión Documental permite almacenar la documentación
de la configuración de seguridad básica de los sistemas.
4.3.3 Gestión de la configuración e-PULPO en su versión profesional está bastionado y securizado. e-PULPO a
través del módulo de Gestión Documental permite almacenar la documentación
de la configuración de los sistemas, y a través del módulo de Gestión de
Incidencias permite el control de las mismas.
4.3.4 Mantenimiento e-PULPO a través del módulo de Gestión de Vulnerabilidades, permite realizar
un seguimiento de los anuncios de defectos, así como analizar, priorizar y
determinar cuándo aplicar las actualizaciones.
e.PULPO a través del módulo de PILAR permite identificar el cambio en el
riesgo debido a nuevos defectos.
e-PULPO a través del módulo de Gestión Documental permite almacenar la
documentación de mantenimiento de los sistemas, como checklists y
procedimentación de cambio de elementos.
4.3.5 Gestión de cambios e-PULPO a través del módulo de Gestión Documental almacenará la
documentación necesaria. Además con e-PULPO a través del análisis de riesgos
se podrá evaluar el impacto de un cambio en un activo concreto. A través del
Cumplimiento ENS con PULPO Página 14 de 22 PULPOmódulo de Gestión de Incidencias se podrán gestionar los cambios.
4.3.6 Protección frente a código e-PULPO en su versión profesional está bastionado y securizado y tiene un
dañino firewall como contramedida frente a código dañino.
4.3.7 Gestión de incidencias e-PULPO a través del módulo de Gestión de Incidencias administra y gestiona
todas las incidencias y procedimientos que tengan impacto en la seguridad del
sistema.
4.3.8 Registro de la actividad de los e-PULPO realiza el registro del acceso de usuarios al sistema de e-PULPO.
usuarios
4.3.9 Registro de la Gestión de e-PULPO realiza el registro de las actuaciones de la Gestión de Incidencias.
Incidencias
4.3.10 Protección de los registros de e-PULPO en su versión profesional tiene protegidos sus registros.
actividad
4.3.11 Protección de claves La protección de las claves criptográficas no forma parte del objetivo de e-
criptográficas PULPO.
4.4 Servicios externos e-PULPO a través del módulo de Gestión Documental permite almacenar la
4.4.1 Contratación y acuerdos de nivel documentación de los contratos y SLA con proveedores. e-PULPO a través del
de servicio módulo de Gesitón de Activos permite establecer el horario de servicio de los
Cumplimiento ENS con PULPO Página 15 de 22 PULPOproveedores.
4.4.2 Gestión diaria e-PULPO a través del módulo de Gestión de Incidencias gestiona las incidencias
y medición de los SLA, pero no alerta por el incumplimiento en los mismos.
e-PULPO a través del módulo de Gestión Documental gestiona la
documentación de los procedimientos.
4.4.3 Medios alternativos e-PULPO no provee de medios alternativos de los servicios.
4.5 Continuidad del servicio e-PULPO a través de PILAR realiza un análisis de impacto del sistema (BIA),
4.5.1 Análisis de impacto identificando los elementos críticos. A través del módulo de Gestión
Documental almacena y gestiona los documentos generados del análisis de
impacto.
4.5.2 Plan de continuidad e-PULPO a través de PILAR realiza un plan de continuidad en caso de
interrupción de los servicios. A través del módulo de Gestión Documental
almacena y gestiona los documentos generados del plan de continuidad.
4.5.3 Pruebas periódicas e-PULPO no provee de pruebas periódicas del plan de continuidad.
4.6 Monitorización del sistema e-PULPO no provee de sistemas de detección de intrusión.
4.6.1 Detección de intrusión
4.6.2 Sistema de métricas e-PULPO a través de PILAR realiza la medición de indicadores de desempeño,
Cumplimiento ENS con PULPO Página 16 de 22 PULPOgrado de implantación de las medidas de seguridad, eficacia y eficiencia de las
mismas e impacto de los incidentes.
e-PULPO a través del módulo de Cuadro de Mandos permite la creación,
alimentación y seguimiento de métricas e indicadores.
5. Medidas de protección e-PULPO no proporciona funciones de gestión de control de acceso físico.
5.1.1 Áreas separadas y con control
de acceso
5.1.2 Identificación de las personas e-PULPO no proporciona funciones de gestión de identificación física de
personas.
5.1.3 Acondicionamiento de los locales e-PULPO no proporciona funciones de gestión de acondicionamiento de locales.
5.1.4 Energía eléctrica e-PULPO no proporciona funciones de gestión de suministro de energía
eléctrica.
5.1.5 Protección frente a incendios e-PULPO no proporciona funciones de gestión de protección frente a incendios.
5.1.6 Protección frente a inundaciones e-PULPO no proporciona funciones de gestión de protección frente a
inundaciones.
5.1.7 Registro de entrada y salida de e-PULPO a través del módulo de Gestión de Incidencias provee un sistema de
equipamiento gestión de entrada y salida de equipamiento.
Cumplimiento ENS con PULPO Página 17 de 22 PULPO5.1.8 Instalaciones alternativas e-PULPO no proporciona funciones de gestión de disponibilidad de instalaciones
alternativas.
5.2 Gestión del personal e-PULPO a través de módulo de Gestión Documental gestiona los contratos y la
5.2.1 Caracterización del puesto de documentación de los perfiles y puestos de trabajo.
trabajo e-PULPO a través de PILAR gestiona el riesgo de los puestos de trabajo.
5.2.2 Deberes y obligaciones e-PULPO a través del módulo de Gestión Documental gestiona la
documentación acerca de los deberes y obligaciones.
5.2.3 Concienciación e-PULPO a través del módulo de Formación realiza las acciones de formación y
concienciación del personal acerca de los niveles de seguridad.
5.2.4 Formación e-PULPO a través del módulo de Formación realiza las acciones de formación
del personal acerca de los niveles de seguridad.
5.2.5 Personal alternativo e-PULPO a través del módulo de Gestión de Activos permite introducir los
datos del personal alternativo como una nota de dicho personal.
5.3 Protección de los equipos e-PULPO no proporciona funciones de gestión de puestos de trabajo despejado.
5.3.1 Puesto de trabajo despejado
5.3.2 Bloqueo de puesto de trabajo e-PULPO no proporciona funciones de gestión de bloqueo de puesto de trabajo.
5.3.3 Protección de portátiles e-PULPO no proporciona funciones de gestión de protección de portátiles.
Cumplimiento ENS con PULPO Página 18 de 22 PULPO5.3.4 Medios alternativos e-PULPO no proporciona funciones de gestión de medios alternativos.
5.4 Protección de las e-PULPO no proporciona funciones de gestión de perímetro seguro.
comunicaciones
5.4.1 Perímetro seguro
5.4.2 Protección de la confidencialidad e-PULPO no proporciona funciones de gestión de VPN.
5.4.3 Protección de la autenticidad y e-PULPO no proporciona funciones de gestión de procedimiento de autenticidad
de la integridad e integridad.
5.4.4 Segregación de redes e-PULPO no proporciona funciones de gestión de segregación de redes.
5.4.5 Medios alternativos e-PULPO no proporciona funciones de gestión de medios alternativos.
5.5 Protección de los soportes e-PULPO a través del módulo de Gestión de Activos permite generar etiquetas
5.5.1 Etiquetado para los medios de backup.
5.5.2 Criptografía e-PULPO no proporciona funciones de criptografía para dispositivos removibles.
5.5.3 Custodia e-PULPO no proporciona funciones de gestión de custodia de dispositivos
removibles.
5.5.4 Transporte e-PULPO no proporciona funciones de gestión de transporte de dispositivos
removibles.
Cumplimiento ENS con PULPO Página 19 de 22 PULPO5.5.5 Borrado e-PULPO no proporciona funciones de gestión de borrado de soportes.
5.6 Protección de las aplicaciones e-PULPO no proporciona funciones de gestión de desarrollo de aplicaciones.
informáticas
5.6.1 Desarrollo de aplicaciones
5.6.2 Aceptación y puesta en servicio e-PULPO a través del módulo de Gestión de Incidencias gestiona el proceso de
petición de cambio y a través del módulo de Gestión Documental almacena los
documentos necesarios como checklists, así como los documentos generados.
e-PULPO no proporciona funciones de pruebas de funcionamiento de la
aplicación, análisis de vulnerabilidades, pruebas de penetración o análisis de
integración.
5.7 Protección de la información e-PULPO a través del módulo de LOPD gestiona las funciones de acceso a los
5.7.1 Datos de carácter personal datos de carácter personal.
5.7.2 Calificación de la información e-PULPO a través del módulo de LOPD gestiona las funciones de acceso a los
datos de carácter personal.
5.7.3 Cifrado de la información e-PULPO no proporciona funciones de gestión de cifrado de ficheros.
5.7.4 Firma electrónica e-PULPO no proporciona funciones de gestión de firma electrónica.
5.7.5 Sellos de tiempo e-PULPO no proporciona funciones de sellado de tiempo.
Cumplimiento ENS con PULPO Página 20 de 22 PULPO5.7.6 Limpieza de documentos e-PULPO no proporciona funciones de gestión de limpieza de datos en los
documentos.
5.7.7 Copias de seguridad e-PULPO posee un sistema para generar copias de seguridad de sus datos.
5.8 Protección de los servicios e-PULPO no proporciona funciones de gestión de protección de correo
5.8.1 Protección del correo electrónico electrónico.
5.8.2 Protección de servicios y e-PULPO no proporciona funciones de gestión de protección de servicios y
aplicaciones web aplicaciones web.
5.8.3 Protección frente a la e-PULPO no proporciona funciones de gestión de protección de denegación de
denegación de servicio servicio.
5.8.4 Medios alternativos e-PULPO no proporciona funciones de gestión de medios alternativos.
Cumplimiento ENS con PULPO Página 21 de 22 PULPOTambién puede leer
