TRABAJAMOS PARA FORTALECER LA CIBERSEGURIDAD DE ESPAÑA
Ayudamos a mejorar las capacidades de prevención, detección y respuesta a ciberamenazas de la Administración Pública. Impulsamos la creación de un ciberescudo único para nuestro país.
Ponemos a disposición de la Administración nuestras soluciones de ciberseguridad para una mejor protección de la información y los servicios públicos españoles.
Coordinamos la respuesta nacional a incidentes de seguridad. En situaciones críticas, brindamos apoyo humano y técnico a nivel nacional e internacional para limitar el impacto de los incidentes.
Detectamos ciberamenazas activas. Investigamos las tácticas, técnicas y procedimientos de los actores de la amenaza para alertar de acciones contra los intereses nacionales.
BOE Núm. 28. Resolución de 15 de noviembre de 2011 donde se establecen los contenidos mínimos de los planes de seguridad del operador y planes de protección específicos conforme a lo dispuesto en el Real Decreto 704/2011
Real Decreto 770/2017 de 28 de julio (BOE Nª 180) por el que se desarrolla la estructura orgánica del Ministerio del Interior, modificando nombre y logotipo del CNPIC, que pasa a denominarse Centro Nacional de Protección de Infraestructuras y Ciberseguridad (CNPIC)
INES es una solución desarrollada por el CCN para la gobernanza de la ciberseguridad, que permite evaluar regularmente el estado de la seguridad de los sistemas TIC de las entidades, organismos y organizaciones, además de su adecuación e implantación al Esquema Nacional de Seguridad (ENS) adaptándose a otros estándares o normas reguladoras en caso necesario.
Existen dos (2) modalidades de INES:
Entidad matriz: entidad con entidades vinculadas o dependientes de ella.
Entidad individual: una única entidad sin entidades vinculadas o dependientes.
La plataforma permite la recogida de información organizada, delegada y supervisada de forma continua a lo largo de todo el año. De tal manera, que cada organización puede acceder, completar o consultar sus datos, en cualquier momento y ver su evolución.
Módulos y asistentes para la adecuación/implantación del ENS
Además, el CCN ha desarrollado una serie de módulos y asistentes para llevar a cabo todas las acciones relacionadas con la creación de un Plan de Adecuación para priorizar, planificar las tareas a realizar en las primeras fases de la adecuación al ENS, así como la hoja de ruta de implantación de medidas de seguridad.
Preparar y elaborar la Política de Seguridad, incluyendo la organización del Comité de Seguridad.
Determinar el Alcance de la Certificación, mediante la identificación de los servicios prestados y los sistemas en los que están sustentados.
Categorización del Sistema, atendiendo a la valoración de las dimensiones de seguridad de los servicios prestados y de la información que manejan.
Descargar los modelos de procedimientos y normativas necesarios para la adecuación al ENS y gestionar la documentación del marco normativo.
Recabar una postura de seguridad adaptada en base a una Declaración de Aplicabilidad provisional.
Utilización del Módulo de Verificación de Perfiles de Cumplimiento en cuanto al Riesgo (MVPCR) para realizar un análisis de riesgos formal, incluyendo la valoración de las medidas definidas en la Declaración de Aplicabilidad.
Validar la Declaración de Aplicabilidad definitiva y la postura de seguridad asociada.
Llevar a cabo el proceso de implantación y así adecuarse al ENS de forma guiada gracias a sus Asistentes de Implantación (estándar, µCeENS y µCeENS-NG), que señalan los pasos que se deben seguir, muestran ayudas a lo largo de todo el proceso y evalúan automáticamente la conformidad del sistema para detectar carencias.
Gestionar la seguridad del sistema,donde será posible llevar a cabo los registros de usuarios, registros de soportes, formación y cualquier otro registro necesario para mantener la seguridad en el ENS.
Solicitar la auditoría de Certificación de Conformidad.
Conviene reseñar que el siguiente paso sería la implantación de medidas de seguridad, a través de la solución AMPARO.
El Centro Criptológico Nacional ha desarrollado las herramientas INES y AMPARO, ambas del Marco de Gobernanza del ENS, al objeto de poner a disposición de sus entidades usuarias elementos de apoyo para la Adecuación al ENS, la Obtención y Gestión de las Declaraciones o Certificaciones de Conformidad con el ENS y la gestión de las correspondientes evidencias, que, junto al resto de soluciones del ecosistema de herramientas del CCN-CERT contribuyen a la Gestión Continua de la Ciberseguridad.
Con el fin de mejorar la seguridad, garantizar la autenticidad del usuario y la confidencialidad de la información de los organismos, el acceso a las herramientas del CCN-CERT destinadas a la Gobernanza de la Ciberseguridad Nacional se realiza a través del sistema cl@ve, reconocido y aprobado por Resolución de 14 de diciembre de 2015, de la Dirección de Tecnologías de la Información y las Comunicaciones.
La Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos estableció el Esquema Nacional de Seguridad que, aprobado mediante Real Decreto 3/2010, de 8 de enero, tiene por objeto determinar la política de seguridad en la utilización de medios electrónicos en su ámbito de aplicación y estará constituido por los principios básicos y requisitos mínimos que permitan una protección adecuada de la información. Posteriormente, la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, recoge el Esquema Nacional de Seguridad en su artículo 156 apartado 2 en similares términos.
En 2015 se publicó la modificación del Esquema Nacional de Seguridad a través del Real Decreto 951/2015, de 23 de octubre, en respuesta a la evolución del entorno regulatorio, en especial de la Unión Europea, de las tecnologías de la información y de la experiencia de la implantación del Esquema.
Herramienta para analizar las características de seguridad técnicas definidas a través del Real Decreto 3/2010 por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica. El análisis del cumplimiento está basado en las normas proporcionadas a través de las plantillas de seguridad de las Guías CCN-STIC 850A, 850B, 851B, 870A, 870B, 570A, 570B, 599A18, 599B18, 599A19, 599B19, 619 y 619B.
Se tiene en consideración que los ámbitos de aplicación de este tipo de plantillas son muy variados y por lo tanto dependerán de su aplicación las peculiaridades y funcionalidades de los servicios prestados por las diferentes organizaciones. Por lo tanto, las plantillas y normas de seguridad se han generado definiendo unas pautas generales de seguridad que permitan el cumplimiento de los mínimos establecidos en el ENS. No obstante, las diferentes organizaciones deberán tener en consideración el hecho de que las plantillas definidas habrán podido ser modificadas para adaptarlas a sus necesidades operativas.
La aplicación se compone de CLARA ENS (versión 32 y 64 bits), para análisis independiente en entornos Microsoft Windows y CLARA ENS LINUX para entornos Linux.
La herramienta para el análisis de cumplimiento es funcional exclusivamente en sistemas Windows y Linux, tanto en sus versiones cliente como servidor, miembros de un dominio o independientes al mismo. Las versiones soportadas en esta primera versión son: