Ads 468x60px

21 de enero de 2013

ENS vs ISO 27001


En la anterior entrada vimos de forma resumida cada uno de los módulos y medidas de seguridad de los que está compuesto el Esquema Nacional de Seguridad, a la hora de implantar el ENS en una Administración Pública es importante previamente tener claro los conceptos de categoría, niveles y dimensiones:
  • Dimensiones de Seguridad: Para conocer el impacto de un incidente que afecte a la seguridad de la información o de los sistemas, y así poder fijar la categoría del sistema, se debe tener en cuenta las dimensiones de seguridad (Disponibilidad, Autenticidad, Integridad, Confidencialidad, Trazabilidad)
  • Niveles: Cada dimensión de seguridad se asignará a los niveles Bajo, Medio o Alto dependiendo de las consecuencias del incidente de seguridad.
  • Categoría: El sistema de información tendrá el nivel más alto de entre todas las dimensiones de seguridad que pertenezcan al mismo sistema de información.
A continuación se expondrá un breve resumen de la relación que existe entre el ENS y la ISO 27001, de tal manera que podemos ver claramente la asociación que hay entre cada uno de los controles de la ISO y el ENS.

Política de Seguridad
  • Marco Organizativo
Aspectos Organizativos de la Seguridad de la Organización
  • Marco Organizativo
  • Medidas de Protección → Gestión del Personal
Gestión de Activos
  • Marco Operacional → Planificación
  • Marco Operacional → Explotación
Seguridad Ligada a los Recursos Humanos
  • Medidas de Protección → Gestión del Personal
Seguridad Física y Ambiental
  • Medidas de Protección → Protección de los Equipos
  • Medidas de Protección → Protección de las Instalaciones e Infraestructuras
Gestión de Comunicaciones y Operaciones
  • Marco Operacional → Monitorización del Sistema
  • Marco Operacional → Servicios Externos
  • Medidas de Protección → Protección de las Comunicaciones
  • Medidas de Protección → Protección de los Soportes de Información
Control de Acceso
  • Marco Operacional → Control de Acceso
Adquisición, Desarrollo y Mantenimiento de los Sistemas de Información
  • Marco Operacional → Explotación
  • Marco Operacional → Planificación
  • Medidas de Protección → Protección de las Aplicaciones Informáticas
  • Medidas de Protección → Protección de los Servicios
Gestión de Incidentes en la Seguridad de la Información
  • Marco Operacional → Explotación
Gestión de la Continuidad del Negocio
  • Marco Operacional → Continuidad del Servicio
  • Medidas de Protección → Protección de la Información
Cumplimiento
  • Medidas de Protección → Protección de la Información
Mediante esta relación de controles y medidas, los responsables de seguridad de empresas privadas certificadas en ISO 27001 podrán relacionar y entender los requisitos que deben cumplir las Administraciones Públicas para alcanzar el nivel de seguridad exigible en el ENS, y así como proveedores de servicios a Administraciones Públicas podrán tomar las medidas adecuadas para ayudarlas a ejecutar y comprender el ENS.

0 comentarios :

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...

Entradas populares