Añadir a la recogida (s) Añadir a salvo
  1. Ingeniería
  2. Informática
  3. Seguridad informática

Categorización de los sistemas de información según el ENS

Anuncio 
CATEGORIZACIÓN DE LOS SISTEMAS
DE INFORMACIÓN
Presentación Corporativa
Según el Esquema Nacional de Seguridad (ENS)
avanTIC
Presentación Corporativa
Preguntas clave sobre la categorización
de sistemas

Qué es la categoría de un sistema de Información

Para qué es necesario conocer la categoría

Dónde se regula

A qué sistemas se aplica

Qué se entiende por SI

Cuál es el plazo para hacer la categorización

Qué ayudas existen

Cuál es el contenido

Cómo se categoriza

Quién debe hacer la categorización

Qué categorías existen

Qué debo hacer para conocer la categoría de un sistema

Cuáles son las dimensiones de seguridad

Cuáles son los niveles de seguridad de las dimensiones

Qué nivel se aplica en caso de conflicto

Relación con los niveles de seguridad establecidos en la
normativa de protección de datos personales
2
avanTIC
 Qué es la categoría de una sistema de información
Presentación Corporativa


“Es un nivel, dentro de la escala Básica-Media-Alta, con el que se adjetiva un sistema a fin de
seleccionar las medidas de seguridad necesarias para el mismo. La categoría del sistema
recoge la visión holística del conjunto de activos como un todo armónico, orientado a la
prestación de unos servicios” (Anexo IV ENS).

Es decir, es la forma en que calificamos y clasificamos los sistemas de
información en atención a determinados parámetros y con la finalidad
de dotarlos de las medidas de seguridad necesarias y suficientes para
su protección.

La categoría modula el equilibrio entre la importancia de la
información que maneja, los servicios que presta y el esfuerzo de
seguridad requerido, en función de los riesgos a los que está
expuesto, bajo el criterio del principio de proporcionalidad.
Para qué es necesario conocer la categoría de un
sistema de información

Para poder seleccionar adecuadamente las medidas de seguridad que
deben implantarse para la protección del mismo y de los datos y
servicios que soportan.
3
avanTIC
 Dónde se regulan las categorías de los SI


En el Real Decreto 3/2010, de 8 de enero, por el que se regula el
Esquema Nacional de Seguridad en el ámbito de la Administración
Electrónica (ENS), arts. 43 y 44, y Anexo I.
A qué sistemas se aplica

A los sistemas de información de la:
• Administración General del Estado
• Administraciones de las Comunidades Autónomas
• Entidades que integran la Administración Local
• Entidades de derecho público vinculadas o dependientes de cualquiera de las anteriores.
Presentación Corporativa


Será de aplicación a todos los sistemas empleados para la prestación
de los servicios de la Administración electrónica y soporte del
procedimiento administrativo general.
Qué se entiende por Sistemas de Información

Conjunto organizado de recursos para que la información se pueda
recoger, almacenar, procesar o tratar, mantener, usar, compartir,
distribuir, poner a disposición, presentar o transmitir (Anexo IV ENS).
4
avanTIC
 Cuál

Plazo
para cumplir las disposiciones el ENS

El ENS entró en vigor el 30 de enero de 2010 (día siguiente al de su
publicación en el BOE)

Se prevé un plazo de adecuación de los sistemas existentes de 12 meses

Si a los doce meses de la entrada en vigor (-> 30/01/2011) hubiera
circunstancias que impidieran su plena aplicación, se dispondrá de un plan
de adecuación que marque los plazos de ejecución los cuales, en
ningún caso, serán superiores a 48 meses desde la entrada en vigor
(30/01/2014).
Qué Ayudas

Presentación Corporativa
es el
existen
El Centro Criptológico Nacional elabora y difunde de seguridad de las
tecnologías de la información y las comunicaciones.
•
https://www.ccn-cert.cni.es/index.php?option=com_content&view=article&id=2420&Itemid=211&lang=es#2
•
17 guías publicadas
5

avanTIC
Cómo se realiza la categorización

La categorización se efectúa en función de la valoración del
impacto que tendría un incidente que afectara a la seguridad
de la información o de los servicios con perjuicio para la
disponibilidad, autenticidad, integridad, confidencialidad o
trazabilidad (=> dimensiones de seguridad) (art. 43.2 ENS).
• La valoración de las consecuencias de un impacto negativo se
efectuará atendiendo a su repercusión en la capacidad de la organización
para (art. 43.3 ENS):
–
–
–
–
Presentación Corporativa

el
la
el
el
logro de sus objetivos,
protección de sus activos,
cumplimiento de sus obligaciones de servicio,
respeto de la legalidad y los derechos de los ciudadanos
Análisis de
riesgos
Quién debe realizar la categorización

La facultad para efectuar las valoraciones mencionadas (del impacto y
sus consecuencias), así como la modificación posterior, en su caso, la
realizará el responsable de cada información o servicio.

La facultad para determinar la categoría del sistema corresponderá al
responsable del sistema.
6

Qué categorías existen

avanTIC
Se definen tres categorías: BÁSICA, MEDIA y ALTA.
• Un sistema de información será de categoría ALTA si alguna de
sus dimensiones de seguridad alcanza el nivel ALTO.
• Un sistema de información será de categoría MEDIA si alguna de
sus dimensiones de seguridad alcanza el nivel MEDIO, y ninguna
alcanza un nivel superior.
• Un sistema de información será de categoría BÁSICA si alguna de
sus dimensiones de seguridad alcanza el nivel BAJO, y ninguna
alcanza un nivel superior.
Presentación Corporativa

Qué debo hacer para conocer la categoría de un SI

Primero: Identificar el nivel correspondiente a cada información y servicio,
en función de las dimensiones de seguridad.

Segundo: Determinar la categoría del sistema según el nivel alcanzado por
sus dimensiones de seguridad.
7
avanTIC
Presentación Corporativa

Cuáles son las dimensiones de seguridad

[D] Disponibilidad

[A] Autenticidad

[I] Integridad

[C] Confidencialidad

[T] Trazabilidad

Una información o un servicio pueden verse afectados por un incidente de
seguridad en una o más de sus dimensiones de seguridad.

Cada dimensión de seguridad afectada por un incidente de seguridad
se adscribirá a uno de los siguientes niveles: BAJO, MEDIO o ALTO.
Si una dimensión de seguridad no se ve afectada, no se adscribirá a
ningún nivel.

Para qué sirven las dimensiones de seguridad
Se identifican por
sus iniciales en
mayúsculas
• Para poder establecer la categoría del sistema como acabamos de ver
• Para poder determinar el impacto que tendría sobre la organización un
incidente que afectara a la seguridad de la información o de los sistemas
8

avanTIC
Cuáles son los niveles en los que puede verse
afectada una dimensión
Presentación Corporativa

BAJO, MEDIO O ALTO
Nivel BAJO
Nivel MEDIO
Nivel ALTO
Cuando las consecuencias de un
incidente de seguridad que afecte a
alguna
de
las
dimensiones
de
seguridad supongan un perjuicio
limitado sobre las funciones de la
organización, sobre sus activos o sobre
los individuos afectados.
Cuando las consecuencias de un
incidente de seguridad que afecte a
alguna
de
las
dimensiones
de
seguridad supongan un perjuicio
grave sobre las funciones de la
organización, sobre sus activos o sobre
los individuos afectados.
Cuando las consecuencias de un
incidente de seguridad que afecte a
alguna
de
las
dimensiones
de
seguridad supongan un perjuicio
muy grave sobre las funciones de la
organización, sobre sus activos o sobre
los individuos afectados.
Se entenderá por perjuicio limitado:
• La reducción de forma apreciable de la
capacidad de la organización para
atender eficazmente con sus
obligaciones corrientes, aunque estas
sigan desempeñándose.
• El sufrimiento de un daño menor por los
activos de la organización.
• El incumplimiento formal de alguna Ley
o regulación, que tenga carácter de
subsanable.
• Causar un perjuicio menor a algún
individuo, que aún siendo molesto
pueda ser fácilmente reparable.
• Otros de naturaleza análoga.
Se entenderá por perjuicio grave:
• La reducción significativa la capacidad
de la organización para atender
eficazmente a sus obligaciones
fundamentales, aunque estas sigan
desempeñándose.
• El sufrimiento de un daño significativo
por los activos de la organización.
• El incumplimiento material de alguna
Ley o regulación, o el incumplimiento
formal que no tenga carácter de
subsanable.
• Causar un perjuicio significativo a algún
individuo, de difícil reparación.
• Otros de naturaleza análoga.
Se entenderá por perjuicio muy grave:
• La anulación de la capacidad de la
organización para atender a alguna de
sus obligaciones fundamentales y que
éstas sigan desempeñándose.
• El sufrimiento de un daño muy grave, e
incluso irreparable, por los activos de la
organización.
• El incumplimiento grave de alguna Ley
o regulación.
• Causar un perjuicio grave a algún
individuo, de difícil o imposible
reparación.
• Otros de naturaleza análoga.
9
avanTIC
 Qué nivel se aplica si un sistema trata diferentes
informaciones y presta diferentes servicios

Cuando un sistema maneje diferentes informaciones y preste diferentes
servicios, el nivel del sistema en cada dimensión será el mayor de
los establecidos para cada información y cada servicio.
Presentación Corporativa
 Existe coincidencia entre los niveles de seguridad
establecidos en el ENS y en la normativa de
protección de datos?

No. Los niveles de seguridad de la normativa de protección de datos se
establecen en función de la naturaleza de los datos tratados,
teniendo en cuenta el estado de la tecnología y los riesgos a que están
expuestos, ya provengan de la acción humana o del medio físico o natural.

Pero en ambos casos los niveles determinan las medidas de seguridad a
aplicar.
Normativa
Protección de Datos
Categorización de datos
ENS
Categorización de
sistemas de información
10
avanTIC
Análisis de la relación entre la normativa de protección de datos
y el ENS
Normativa Protección de
Datos
ENS
Categorización de datos
Categorización de sistemas
de información
Se establecen
Categoría BÁSICA
Categoría MEDIA
Categoría ALTA
Niveles de seguridad
Nivel BÁSICO
Nivel MEDIO
Nivel ALTO
Es necesario
realizar un
Análisis de riesgos
Se establecen en
función de las
Presentación Corporativa
Dimensiones de seguridad
Determinan las medidas de
seguridad a aplicar
[D] Disponibilidad
[A] Autenticidad
[I] Integridad
[C] Confidencialidad
[T] Trazabilidad
Para cada una
de ellas hay
que determinar
el NIVEL
aplicable:
Nivel BAJO
Nivel MEDIO
Nivel ALTO
Determinan las medidas de seguridad a aplicar
11
avanTIC
avanTIC
Avanzando con la Sociedad de la Información
Si desea información sobre los servicios y soluciones de AvanTIC visite nuestro sitio
www.avantic.net
Presentación Corporativa
C/ Rufino, nº 1, Planta Alta
CP 38320 La Laguna (La Cuesta)
Tel. 902.36.63.24 / 922.64.10.51
[email protected]
AvanTIC Estudio de Ingenieros S.L. C.I.F. B-38-769337 Reg.Merc. de Santa Cruz de Tenerife, Hoja TF-33864, Folio 102, Tomo 2.580, Inscripción 1ª
12
Documentos relacionados
Diseño industrial y desarrollo del producto
Diseño industrial y desarrollo del producto
Las amenazas externas en Seguridad Corporativa
Las amenazas externas en Seguridad Corporativa
obligaciones para las entidades dependientes del gobierno de
obligaciones para las entidades dependientes del gobierno de
ACTIVIDAD FECHA PARTICIPANTES Lanzamiento del proceso
ACTIVIDAD FECHA PARTICIPANTES Lanzamiento del proceso
Procedimiento y Cronograma del Proceso
Procedimiento y Cronograma del Proceso
Descargar
Anuncio
Anuncio