SAE - Esquema Nacional de Seguridad

50 %
50 %
Information about SAE - Esquema Nacional de Seguridad
Real Estate

Published on March 14, 2014

Author: ulerio

Source: slideshare.net

Description

Presentación del Plan de Adecuación al Esquema Nacional de Seguridad en el Servicio Andaluz de Empleo

El Plan de Adecuación al (Presentación de resultados) Sevilla, 10 de Abril de 2012

Adecuación al ÍÍndice de contenidosndice de contenidos La Ley 11/2007, de Acceso Electrónico de los Ciudadanos a los Servicios Públicos (LAECSP) y el Esquema Nacional de Seguridad El Plan de Adecuación al ENS El Plan Director de Seguridad Próximos pasos Documento de Seguridad

Adecuación al La Ley 11/2007, de Acceso Electrónico de los Ciudadanos a los Servicios Públicos (LAECSP) El ciudadano tiene derecho a relacionarse con la Administración por medios electrónicos y la Administración la obligación de poner los medios para ello. Adicionalmente, la ley reconoce el derecho del ciudadano de no tener que aportar documentación que ya obre en manos de las AAPP debiendo éstas establecer mecanismos para conseguirla. Para el desarrollo de la Administración Electrónica de forma efectiva: Confianza que se genere en los ciudadanos Eliminar o minimizar los riesgos asociados a los medios electrónicos Ley 11/2007Ley 11/2007

Adecuación al El Esquema Nacional de Seguridad (ENS) establece los principios básicos y requisitos mínimos que deben cumplir los sistemas y procedimientos, de forma que se garantice que los servicios se puedan prestar con seguridad, preservando la privacidad de los datos, y sin interrupciones. Da cumplimiento al art. 42.2 de la Ley 11/2007, de 22 de junio de Acceso Electrónico de los ciudadanos a los Servicios Públicos (LAESCP). Estipula que, si no fuera posible la adaptación para Enero 2011 de los sistemas existentes, se podrá realizar la adaptación hasta Enero 2014, pero elaborando un Plan de Adecuación (guía CCN-STIC-806 del Centro Criptológico Nacional) El Esquema Nacional de SeguridadEl Esquema Nacional de Seguridad

Adecuación al El SAE ha abordado el proyecto de realización del Plan de Adecuación al ENS con la colaboración de Ingenia, que ha realizado una serie de trabajos orientados a generar la información necesaria para dar respuesta a los diferentes apartados que debe contener el Plan: Apoyo en la identificación de la Información y los Servicios dentro del alcance del ENS Apoyo en la valoración en las diferentes dimensiones de la Seguridad (Confidencialidad, Integridad, Disponibilidad, Autenticidad y Trazabilidad) Entrevistas con diferentes perfiles del SAE para evaluar el grado de cumplimiento de las medidas de seguridad del Anexo II del ENS Realización del Análisis de Riesgos según la metodología MAGERIT II y la herramienta PILAR Elaboración de la Declaración de Aplicabilidad, Informe de Insuficiencias y Plan de Mejora Generación del documento base del Plan de Adecuación Servicios de Ingenia asociadosServicios de Ingenia asociados

Adecuación al La Ley 11/2007, de Acceso Electrónico de los Ciudadanos a los Servicios Públicos (LAECSP) y el Esquema Nacional de Seguridad El Plan de Adecuación al ENS El Plan Director de Seguridad Próximos pasos Documento de Seguridad ÍÍndice de contenidosndice de contenidos

Adecuación al El Plan de adecuación debe contener la siguiente información: La Política de Seguridad Información y Servicios que se manejan, con su valoración Categoría del sistema Datos de carácter personal Análisis de riesgos Declaración de aplicabilidad Insuficiencias del sistema Plan de mejora de la seguridad (con plazos y costes) SAE - Plan de Adecuación al ENS Contenido del Plan de AdecuaciContenido del Plan de Adecuacióónn

Adecuación al Documento de alto nivel que define lo que significa “seguridad de la información” en una organización. Debe estar accesible a todos los miembros de la organización y redactado de forma sencilla, precisa y comprensible. Contenido mínimo: Objetivos o misión de la organización Marco legal y regulatorio de sus actividades Roles o funciones de seguridad y su procedimiento de designación Estructura del comité o los comités para la gestión y coordinación, detallando su responsabilidad, miembros y relación con otros elementos de la organización Directrices para la estructuración de la documentación de seguridad Referencia y ser coherente con el documento de seguridad de la LOPD El SAE se encuentra en fase de desarrollo de la Política de Seguridad PolPolíítica de Seguridadtica de Seguridad

Adecuación al Análisis de riesgos Inventariar activos Evaluar las Medidas de Seguridad Categorizar los sistemas Declaración de Aplicabilidad Plan de Adecuación al ENS (< 48 meses) Implementa- ción de Medidas de Seguridad Auditoría INGENIA SAE (colaboración Ingenia) Pasos para el cumplimiento del ENSPasos para el cumplimiento del ENS

Adecuación al Inventario y valoración de la información afectada y de los servicios prestados. Categorización de los Sistemas Servicios e Información asociada Valoración de las Dimensiones Categoría [D] [I] [C] [A] [T] Oficina Virtual Empleo M M A B A ALTA Puntos Empleo M A A M A ALTA Líneas de Ayuda M M M MEDIA Puntos de Autogestión B BÁSICA Cita Previa M A A A A ALTA Intermediación Laboral M A A A A ALTA Gestión de Formación M A A A A ALTA (Información) Base Datos Centralizada M M A B A ALTA (Información) Datos Hermes M A A M A ALTA (Información) Usuarios OVE M M A B A ALTA SAE - PDS Anexo I Valoración de Activos CategorizaciCategorizacióón de los Sistemasn de los Sistemas

Adecuación al Se ha realizado un análisis de riesgo formal, basado en la metodología MAGERIT II y usando la herramienta PILAR SAE – PDS Anexo II Riesgos Actual y Planificado AnAnáálisis de Riesgoslisis de Riesgos ACTIVO POTENCIAL PRESENTE [D] [I] [C] [A] [T] [D] [I] [C] [A] [T] Servicios Oficina Virtual Empleo 3.6 4.2 6.3 2.4 2.5 2.6 4.7 0.99 Puntos Empleo 3.6 5.9 6.3 5.9 2.5 4.4 4.7 4.3 Líneas de Ayuda 3.6 3.3 5.1 2.5 2.7 3.4 Puntos de Autogestión 2.1 0.94 Cita Previa 3.6 5.9 5.7 5.1 2.5 4.5 4.2 3.5 Intermediación laboral 3.6 5.9 4.5 5.1 5.1 2.5 4.7 3.3 3.8 3.4 Gestión de Formación 1.9 5.9 4.5 5.1 2.5 4.7 3.4 3.9 Datos Base Datos Centralizada 3.6 4.2 6.3 2.4 2.0 2.7 4.7 0.94 Datos Hermes 3.9 6.8 6.8 5.9 6.8 2.5 5.2 5.2 4.2 5.2 Usuarios OVE 3.9 5.1 6.8 2.4 6.8 2.0 3.4 5.2 0.99 5.2

Adecuación al Se ha realizado una gestión del riesgo actual hasta obtener un riesgo por debajo del valor 4. SAE – PDS Anexo II Riesgos Actual y Planificado GestiGestióón de Riesgosn de Riesgos ACTIVO 2012 2013 [D] [I] [C] [A] [T] [D] [I] [C] [A] [T] Servicios Oficina Virtual Empleo 0.89 1.2 3.3 0.69 0.87 1.2 3.1 0.68 Puntos Empleo 0.89 3.0 3.3 2.9 0.87 2.9 3.1 2.8 Líneas de Ayuda 0.89 1.2 2.0 0.78 1.2 1.9 Puntos de Autogestión 0.54 0.52 Cita Previa 0.89 2.8 2.6 1.8 0.85 2.8 2.5 1.8 Intermediación laboral 0.89 2.6 1.2 1.8 2.0 0.87 2.6 1.2 1.7 1.9 Gestión de Formación 0.88 2.7 1.4 1.9 0.84 2.7 1.3 1.8 Datos Base Datos Centralizada 0.85 1.2 3.2 0.68 0.85 1.2 3.1 0.68 Datos Hermes 0.89 3.8 3.7 3.0 3.8 0.87 3.7 3.5 3.0 3.7 Usuarios OVE 0.89 2.0 3.7 0.69 3.8 0.87 1.9 3.5 0.68 3.7

Adecuación al Riesgo -10 - 9 - 8 - 7 - 6 - 5 - 4 - 3 - 2 - 1 - 0 Bajo Medio Alto Sobrepasa el ENS Análisis de Riesgos (5.2) Gestión de Riesgos (3.7) EvoluciEvolucióón del estado del Riesgon del estado del Riesgo

Adecuación al Se han estudiado todas las medidas de seguridad que se detallan en el Anexo II del ENS y en la Guía CCN-STIC 804 “Guía de Implantación” en función de la categoría del sistema de información y se ha determinado y justificado su aplicabilidad SAE – Aplic_Insuf_Plan_Accion DeclaraciDeclaracióón de Aplicabilidadn de Aplicabilidad

Adecuación al La detección y análisis de las insuficiencias de los sistemas y/o subsistemas se ha realizado siguiendo lo expuesto en la Guía CCN-STIC-806 “Plan de Adecuación” que propone tres vías para detectar insuficiencias: Incumplimiento formal de las medidas de seguridad exigidas en el Anexo II para la valoración del sistema. Incumplimiento formal de las medidas de seguridad exigidas por el RD 1720/2007 para los datos de carácter personal tratados por el sistema Existencia de riesgos no asumibles por el SAE Los riesgos no asumibles se tratan mediante acciones asociadas a la implantación de las medidas de seguridad del ENS SAE – Aplic_Insuf_Plan_Accion Insuficiencias de los SistemasInsuficiencias de los Sistemas

Adecuación al ÍÍndice de contenidosndice de contenidos La Ley 11/2007, de Acceso Electrónico de los Ciudadanos a los Servicios Públicos (LAECSP) y el Esquema Nacional de Seguridad El Plan de Adecuación al ENS El Plan Director de Seguridad Próximos pasos Documento de Seguridad

Adecuación al El repositorio de acciones para alcanzar el riesgo deseado y el nivel de cumplimiento de medidas del ENS constituye el Plan Director de Seguridad Se han establecido dos periodos de cumplimiento: Acciones a corto-medio plazo (año 2012): cumplimiento del Marco Organizativo y Operacional Acciones a largo plazo (año 2013): Medidas de Protección Los riesgos no asumibles se tratan mediante acciones asociadas a la implantación de las medidas de seguridad del ENS Se distinguen acciones: Organizativas Procedimentales Soluciones Técnicas SAE – PDS Plan Director de Seguridad SAE – Aplic_Insuf_Plan_Accion El Plan Director de SeguridadEl Plan Director de Seguridad

Adecuación al MEDIDAS DE SEGURIDAD ACTUAL PLANIFICADO 2012 2013 Marco organizativo 75% 88% 91% Política de Seguridad 75% 95% 95% Normativa de seguridad 90% 90% 90% Procedimientos de seguridad 80% 90% 90% Proceso de autorización 54% 77% 90% Marco operacional 43% 89% 90% Planificación 64% 90% 90% Control de acceso 67% 90% 90% Explotación 58% 86% 90% Servicios externos 59% 90% 90% Continuidad del servicio 10% 90% 90% Monitorización del sistema 0% 90% 90% Medidas de protección 53% 53% 90% Protección de las instalaciones e infraestructuras 13% 13% 90% Gestión del personal 78% 78% 90% Protección de los equipos 48% 48% 90% Protección de las comunicaciones 70% 70% 91% Protección de los soportes de información 43% 43% 90% Protección de las aplicaciones informáticas (SW) 68% 68% 90% Protección de la información 65% 65% 90% Protección de los servicios 41% 41% 90% EvoluciEvolucióón del cumplimiento del ENSn del cumplimiento del ENS

Adecuación al La Ley 11/2007, de Acceso Electrónico de los Ciudadanos a los Servicios Públicos (LAECSP) y el Esquema Nacional de Seguridad El Plan de Adecuación al ENS El Plan Director de Seguridad Próximos pasos Documento de Seguridad ÍÍndice de contenidosndice de contenidos

Adecuación al Aprobación de la Política de Seguridad Aprobación del Plan de Adecuación al ENS Publicar la resolución por la que se aprueba la nueva Política Realizar las acciones identificadas en el Plan Director de Seguridad Publicación de la declaración de conformidad al ENS (en su defecto del Plan de Adecuación) según el modelo presentado en la guía CCN-STIC-809 Actualización permanente del sistema (según el artículo 42): reanalizar los riesgos y redefinir la acciones con una periodicidad determinada Actualización periódica tanto del análisis de riesgos como del plan director de seguridad, en función del progreso de las acciones y de los posibles cambios tecnológicos Auditoría bienal de cumplimiento del ENS PrPróóximos Pasosximos Pasos

Adecuación al La Ley 11/2007, de Acceso Electrónico de los Ciudadanos a los Servicios Públicos (LAECSP) y el Esquema Nacional de Seguridad El Plan de Adecuación al ENS El Plan Director de Seguridad Próximos pasos Documento de Seguridad ÍÍndice de contenidosndice de contenidos

Adecuación al Responde a la obligación de cumplir los requisitos previstos en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), y en el Real Decreto 1720/2007, de 21 de diciembre, Reglamento que desarrolla la LOPD (RLOPD). Como Organismo Autónomo, el Servicio Andaluz de Empleo tiene la obligación de cumplir esta normativa. Regularizando, actualizando y reorganizando los ficheros con Datos de Carácter Personal hasta hoy dados de alta a nombre de la Consejería de Empleo y de la antigua Faffe. Publicando una Orden de adecuación de los ficheros y posteriormente declarándolos ante la Agencia Española de Protección de Datos. En el Documento de Seguridad se incluyen 13 procedimientos de gestión automatizada y documental, así como Funciones y Obligaciones del personal con respecto a estos. Documento de SeguridadDocumento de Seguridad

Add a comment

Related presentations

Related pages

SISTEMA SANITARIO ESPAÑOL by Teresa Carmona - issuu

... se define el concepto del Sistema Nacional de Salud y se hace un esquema de las ... SISTEMA NACIONAL DE SALUD SAE ... NACIONAL DE LA SEGURIDAD ...
Read more

Instituto Nacional de Migración | Gobierno | gob.mx

... la seguridad de sus bienes y el pleno conocimiento de sus obligaciones. ... para el Archivo de Concentración del Instituto Nacional de Migración. ...
Read more

Sede Electrónica del SEPE - Información

... por el que se regula el Esquema Nacional de Interoperabilidad en el ... por el que se regula el Esquema Nacional de Seguridad en el ámbito de ...
Read more

Sindicato SAE :: Acción Sindical :: Legislación

SAE es el único sindicato que ha ganado en ... Texto Refundido de la Ley General de la Seguridad ... Ley de Cohesión y Calidad del Sistema Nacional de ...
Read more

PAe - CTT - General - Cl@ve Identificación

... (Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica).
Read more

Jueves 8 de mayo de 2014 DIARIO OFICIAL ... - sae.gob.mx

Esquema de Tiempo y Materiales: los servicios en que el proveedor asigna, ... en la fracción II del artículo 6 de la Ley de Seguridad Nacional, ...
Read more

PROCEDIMIENTO PARA EL DISEÑO DE VEHÍCULO CATEGORÍA MINI ...

... 158 FIGURA 60 Elementos del chasis que dan mayor seguridad ... SAE 2010 de la Universidad Nacional ... SAE será realizado un esquema el ...
Read more

¿Qué es Cl@ve? - clave.gob.es

... (Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica).
Read more

Ministerio de Empleo y Seguridad Social: Guía Laboral - La ...

El empresario deberá garantizar la salud y seguridad de los trabajadores a su ... el Instituto Nacional de Seguridad e Higiene en el Trabajo ha ...
Read more

Áreas de actividad: Servicios a empresas para la ...

El SAE participa en la III ... en las que se registran ofertas de empleo y para las que no existe suficiente personal cualificado en el territorio nacional.
Read more