1
XI JORNADAS sobre Tecnologías de la Información para la Modernización de las Administraciones Públicas
EL PAPEL DEL CENTRO CRIPTOLÓGICO NACIONAL
El Papel de las TIC en Defensa
Centro Criptológico Nacional
CCN
2
XI JORNADAS sobre Tecnologías de la Información para la Modernización de las Administraciones Públicas
Contenido
Presentación de los principales actividades del Centro Criptológico Nacional para garantizar la seguridad de los sistemas de
información y comunicaciones de las administraciones públicas
3
XI JORNADAS sobre Tecnologías de la Información para la Modernización de las Administraciones Públicas
Marco LegalEl CCN actúa según el siguiente marco legal:
Real Decreto 421/2004, 12 de marzo, que regula y define el ámbito y funciones del CCN.
Ley 11/2002, 6 de mayo, reguladora del Centro Nacional de Inteligencia (CNI), que incluye al Centro Criptológico Nacional (CCN).
Orden Ministerio Presidencia PRE/2740/2007, de 19 de septiembre, que regula el Esquema Nacional de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información
Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica
4
XI JORNADAS sobre Tecnologías de la Información para la Modernización de las Administraciones Públicas
Ámbitos de Trabajo
Operadoras
y proveedores de servicios
Sistemas de la
Administración
Ciudadano
y PYME
Seguridad y
Defensa
Infraestructuras críticas
Sectores Estratégicos
Instituto Nacionalde Tecnologíasde la Comunicación
S21Sec
5
XI JORNADAS sobre Tecnologías de la Información para la Modernización de las Administraciones Públicas
Funciones del CCN• Elaborar y difundir normas, instrucciones, guías y recomendaciones para garantizar la seguridad
de las TIC en la Administración.
• Formar al personal de la Administración especialista en el campo de la seguridad de las TIC.
• Constituir el organismo de certificación del Esquema Nacional de Evaluación y Certificación de aplicación a productos y sistemas de su ámbito.
• Valorar y acreditar capacidad productos de cifra y Sistemas de las TIC (incluyan medios de cifra) para manejar información de forma segura.
• Coordinar la promoción, el desarrollo, la obtención, la adquisición y puesta en explotación y la utilización de la tecnología de seguridad de los Sistemas antes mencionados.
• Velar por el cumplimiento normativa relativa a la protección de la información clasificada en su ámbito de competencia (Sistemas de las TIC)
• Establecer las necesarias relaciones y firmar los acuerdos pertinentes con organizaciones similares de otros países,
• Coordinación oportuna con las Comisiones Nacionales a las que la leyes atribuyan responsabilidades en el ámbito de los sistemas TIC
6
XI JORNADAS sobre Tecnologías de la Información para la Modernización de las Administraciones Públicas
Seguridad de las TIC
Hay tres pilares fundamentales en los que se basa la Seguridad de las TIC:
La actividad del Centro Criptológico Nacional está orientada hacia el fortalecimiento de cada uno de estos tres pilares
– La Tecnología– Los Procedimientos– Las Personas
7
XI JORNADAS sobre Tecnologías de la Información para la Modernización de las Administraciones Públicas
El CCN en el ENS
8
XI JORNADAS sobre Tecnologías de la Información para la Modernización de las Administraciones Públicas
NormativaElaborar y difundir normas, instrucciones, guías y recomendaciones para
garantizar la seguridad de los Sistemas de las tecnologías de la información y las comunicaciones de la Administración
– CCN-STIC 000: Instrucciones/Políticas STIC– CCN-STIC 100: Procedimientos– CCN-STIC 200: Normas– CCN-STIC 300: Instrucciones Técnicas – CCN-STIC 400: Guías Generales– CCN-STIC 500: Guías Entornos Windows– CCN-STIC 600: Guías Otros Entornos– CCN-STIC 900: Informes Técnicos
9
XI JORNADAS sobre Tecnologías de la Información para la Modernización de las Administraciones Públicas
FormaciónFormar al personal de la Administración especialista en el campo de la
seguridad de los sistemas de las tecnologías de la información y las comunicaciones.
Cursos Informativos y de Concienciación
Cursos Básicos de Seguridad
Cursos Específicos de Gestión
Cursos de Especialización
Datos 2009: – 468 funcionarios de 56 organismos diferentes de la Administración (General,
Autonómica y Local)
–1.240 horas lectivas en 18 cursos y 3 Jornadas de Concienciación
10
XI JORNADAS sobre Tecnologías de la Información para la Modernización de las Administraciones Públicas
Plan de Formación 2010
VI Curso STIC - Fase de Correspondencia - Defensa
VII Curso STIC - Fase de Correspondencia
VI Curso STIC VI Curso STIC
V Curso Básico STICEntornos Windows
VII Curso STIC VII Curso STIC
VII Curso Acreditación STICEntornos Windows
V Curso Básico STICEntornos Linux
V Curso Básico STICBase de Datos
V Curso Básico STICInfraestructura de Red
III CursoCommon Criteria
V Curso STICRedes Inalámbricas
VI Curso STICCortafuegos
VI Curso STICDetección de Intrusos
III Curso STICBúsqueda Evidencias
V Curso STICInspecciones de Seguridad
II Jornada de Seguridaden Aplicaciones Web
VII Curso Gestión STIC (Correspondencia)
VI I Curso Gestión STIC (Correspondencia) VII Curso Gestión STIC (Presencial)
XXII Curso de Especialidades Criptológicas (presencial)
XXII Curso de Especialidades Criptológicas (correspondencia)
XXII Curso de Especialidades Criptológicas (correspondencia)
XXI CEC (Correspondencia)
X CursoHerramienta PILAR
VII Curso Gestión STIC (Presencial)
XXII Curso de Especialidades Criptológicas (presencial)
XXII CEC
XXII CEC
XXII CEC
11
XI JORNADAS sobre Tecnologías de la Información para la Modernización de las Administraciones Públicas
Funciones CCN (Formación)• Cursos Informativos y de Concienciación en Seguridad
– Jornada STIC– Curso STIC
• Cursos Básicos de Seguridad
– Curso Básico STIC - Entornos Windows– Curso Básico STIC - Entornos Linux– Curso Básico STIC - Infraestructura de Red– Curso Básico STIC - Bases de Datos
• Cursos Específicos de Gestión en Seguridad
– Curso Gestión STIC– Curso Especialidades Criptológicas
12
XI JORNADAS sobre Tecnologías de la Información para la Modernización de las Administraciones Públicas
Funciones CCN (Formación)
• Cursos de Especialización en seguridad
– Curso Acreditación STIC - Entornos Windows– Curso Acreditación STIC - Entornos Unix– Curso Acreditación STIC - Entornos Linux– Curso STIC - Cortafuegos– Curso STIC - Detección de Intrusos– Curso STIC - Redes Inalámbricas– Curso STIC - Herramientas de Seguridad– Curso STIC - Inspecciones de Seguridad
13
XI JORNADAS sobre Tecnologías de la Información para la Modernización de las Administraciones Públicas
Evaluación
Valorar y Acreditar la capacidad de los productos de cifra y Sistemas de las TIC (incluyan medios de cifra)
para manejar información de forma segura
• CRIPTOLÓGICA
• Verificación fortaleza criptología empleada en cifrador• Comprobación de la correcta implementación de la criptología• Estudio de los mecanismos de autoprotección del cifrador
• FUNCIONAL DE SEGURIDAD Common Criteria e ITSEC• Expedientes administrativos de certificación de productos y de
acreditación de laboratorios
• TEMPEST• Medición de equipos, plataformas y locales• Validación mediciones realizadas por Laboratorios
14
XI JORNADAS sobre Tecnologías de la Información para la Modernización de las Administraciones Públicas
Certificación
Constituir el organismo de certificación del Esquema Nacional de Evaluación y Certificación de aplicación a productos y
sistemas de su ámbito
• CRIPTOLÓGICA
• Lista de productos certificados (Secreto, Reservado, Confidencial, Difusión Limitada)
• FUNCIONAL DE SEGURIDAD • Certificados Common Criteria e ITSEC por resolución del
SED con publicación en el BOE
• TEMPEST• Equipos y Plataformas (Clase 3 - 0)• Zonificación (Clases 0 -3)
57 8
15
28
17
0
5
10
15
20
25
30
2004 2005 2006 2007 2008 2009
15
XI JORNADAS sobre Tecnologías de la Información para la Modernización de las Administraciones Públicas
Esquema de Evaluación y Certificación
Producto/Sistema
Solicitud de CertificadoPatrocinador/Fabricante
Informe de Evaluación
Entidades de Evaluación
Supervisa/Autoriza
AcreditaciónISO 17025
AcreditaciónEN 45011Organismo de Acreditación
Certificado
Organismo de Certificación
Informe de Evaluación
16
XI JORNADAS sobre Tecnologías de la Información para la Modernización de las Administraciones Públicas
ProductosCoordinar la promoción, el desarrollo, la obtención, la adquisición y puesta en explotación y la utilización de la tecnología de seguridad
17
XI JORNADAS sobre Tecnologías de la Información para la Modernización de las Administraciones Públicas
• El objetivo principal del equipo de respuesta a incidentes del CCN (CCN-CERT) es contribuir a la mejora del nivel de seguridad de los sistemas de información de las AA.PP. de España.
• Misión es ser el centro de alerta y respuesta de incidentes de seguridad, ayudando a las AAPP a responder de forma más rápida y eficiente ante las amenazas de seguridad que afecten a sus sistemas de información.
Capacidad de Respuesta
18
XI JORNADAS sobre Tecnologías de la Información para la Modernización de las Administraciones Públicas
El CCN-CERT en el ENS
19
XI JORNADAS sobre Tecnologías de la Información para la Modernización de las Administraciones Públicas
• SERVICIOS PROACTIVOS
– ANUNCIOS Y AVISOS. A usuarios autorizados.
– AUDITORÍAS O EVALUACIONES DE SEGURIDAD• Sistemas clasificados
– CONFIGURACIÓN Y MANTENIMIENTO DE ELEMENTOS DE SEGURIDAD
– DESARROLLO DE HERRAMIENTAS DE SEGURIDAD
– DETECCIÓN DE INTRUSIONES
– DISEMINACIÓN DE INFORMACIÓN.
– CERTIFICACIÓN DE CALIDAD
• SERVICIOS DE GESTIÓN– ANÁLISIS DE RIESGOS
– CONSULTORÍA SEGURIDAD INFORMÁTICA
– MENTALIZACIÓN Y FORMACIÓN:. • Cursos STIC• Seminarios / workshops• Foros de discusión
– EVALUACIÓN Y CERTIFICACIÓN DE PRODUCTOS:
• COMMON CRITERIA / TEMPEST / CIFRA.
• SERVICIOS REACTIVOS– ALERTAS Y AVISOS.
– GESTIÓN DE INCIDENTES. • Sistemas Clasificados y• Sistemas No Clasificados
– GESTIÓN DE VULNERABILIDADES. – ANÁLISIS CÓDIGO DAÑINO.
SERVICIOS CCN-CERT
20
XI JORNADAS sobre Tecnologías de la Información para la Modernización de las Administraciones Públicas
SISTEMA ALERTA TEMPRANA (SAT) RED SARA
NASSTORAGE
SISTEMA CENTRAL
PORTAL INFORMES
NFS
iSCSI
IDS
LOGSFW
LogICA AGENTE
ANTIVIRUS
STORAGE
INTRANET ADMINISTRATIV
A
RED MINISTERIAL
MINISTERIO
SISTEMA CENTRAL CCN-CERT
AC SARA
NODOLANCERT
Air Gap
CONSOLAS DE
USUARIONOO 1
CONSOLAS DE
USUARIO NODO 2
XI JORNADAS sobre Tecnologías de la Información para la Modernización de las Administraciones Públicas
SAT Red SARA – Descripción
• Situación Actual:– Sondas de recolección en 22 Áreas de Conexión.– Sistemas Centrales de correlación en instalaciones de CCN-CERT.– Conexión a Red SARA vía Ministerio Defensa.– Integración de fuentes de datos IDS Snort y Firewalls Stonegate.– Generación de reglas IDS adaptadas por CCN-CERT.– Generación de informes sobre incidentes detectados.– Generación de informes estadísticos periódicos.– Generación de informes por Organismo en Portal Web SAT:
• Se cargan manualmente también en Portal InfoSARA.
22
XI JORNADAS sobre Tecnologías de la Información para la Modernización de las Administraciones Públicas
SENSORES EN LAS SALIDAS DE INTERNET AAPP
23
XI JORNADAS sobre Tecnologías de la Información para la Modernización de las Administraciones Públicas
Situación Actual SAT Sondas Internet
• Gran número de incidentes de seguridad o ataques a través de internet.• Incidentes cada vez están más dirigidos.• Necesidad de sistema que permita detección de este tipo de incidentes
lo más rápido posible Reducción del riesgo sobre los activos.• SAT CCN-CERT para la detección de incidentes en las redes públicas
de las Administraciones Públicas.– Sonda recolecta información de seguridad relevante que se detecte.
– Remisión de alertas / logs a CCN-CERT para análisis.
– Posibilidad de actualización de firmas recibidas de diversas fuentes del CCN.
– Necesidad de convenio.
XI JORNADAS sobre Tecnologías de la Información para la Modernización de las Administraciones Públicas
Beneficios del SAT CCN_CERT
• El Sistema de Alerta Temprana permitirá a los organismos adscritos:• Detección de incidentes de seguridad en Tiempo Real,
con capacidad de análisis para evaluar su importancia / impacto,
• Mayor capacidad y soporte en la resolución de incidentes,• La posibilidad de detectar nuevos tipos de amenazas, por el
uso de reglas de detección optimizadas y actualizadas según nuevas vulnerabilidades detectadas,
• Establecer reglas complejas de correlación que permitan detectar incidentes multi-organismo, que en otras condiciones podrían pasar desapercibidas.
25
XI JORNADAS sobre Tecnologías de la Información para la Modernización de las Administraciones Públicas
Muchas Gracias por su atención
Correo:• [email protected] • [email protected]• [email protected]
Portales:
• www.ccn-cert.cni.es• www.ccn.cni.es• www.oc.ccn.cni.es