Federico Colas Rubio

1

XI JORNADAS sobre Tecnologías de la Información para la Modernización de las Administraciones Públicas

EL PAPEL DEL CENTRO CRIPTOLÓGICO NACIONAL

El Papel de las TIC en Defensa

Centro Criptológico Nacional

CCN

2


Contenido

Presentación de los principales actividades del Centro Criptológico Nacional para garantizar la seguridad de los sistemas de

información y comunicaciones de las administraciones públicas

3


Marco LegalEl CCN actúa según el siguiente marco legal:

Real Decreto 421/2004, 12 de marzo, que regula y define el ámbito y funciones del CCN.

Ley 11/2002, 6 de mayo, reguladora del Centro Nacional de Inteligencia (CNI), que incluye al Centro Criptológico Nacional (CCN).

Orden Ministerio Presidencia PRE/2740/2007, de 19 de septiembre, que regula el Esquema Nacional de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información

Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica

4


Ámbitos de Trabajo

Operadoras

y proveedores de servicios

Sistemas de la

Administración

Ciudadano

y PYME

Seguridad y

Defensa

Infraestructuras críticas

Sectores Estratégicos

Instituto Nacionalde Tecnologíasde la Comunicación

S21Sec

5


Funciones del CCN• Elaborar y difundir normas, instrucciones, guías y recomendaciones para garantizar la seguridad

de las TIC en la Administración.

• Formar al personal de la Administración especialista en el campo de la seguridad de las TIC.

• Constituir el organismo de certificación del Esquema Nacional de Evaluación y Certificación de aplicación a productos y sistemas de su ámbito.

• Valorar y acreditar capacidad productos de cifra y Sistemas de las TIC (incluyan medios de cifra) para manejar información de forma segura.

• Coordinar la promoción, el desarrollo, la obtención, la adquisición y puesta en explotación y la utilización de la tecnología de seguridad de los Sistemas antes mencionados.

• Velar por el cumplimiento normativa relativa a la protección de la información clasificada en su ámbito de competencia (Sistemas de las TIC)

• Establecer las necesarias relaciones y firmar los acuerdos pertinentes con organizaciones similares de otros países,

• Coordinación oportuna con las Comisiones Nacionales a las que la leyes atribuyan responsabilidades en el ámbito de los sistemas TIC

6


Seguridad de las TIC

Hay tres pilares fundamentales en los que se basa la Seguridad de las TIC:

La actividad del Centro Criptológico Nacional está orientada hacia el fortalecimiento de cada uno de estos tres pilares

– La Tecnología– Los Procedimientos– Las Personas

7


El CCN en el ENS

8


NormativaElaborar y difundir normas, instrucciones, guías y recomendaciones para

garantizar la seguridad de los Sistemas de las tecnologías de la información y las comunicaciones de la Administración

– CCN-STIC 000: Instrucciones/Políticas STIC– CCN-STIC 100: Procedimientos– CCN-STIC 200: Normas– CCN-STIC 300: Instrucciones Técnicas – CCN-STIC 400: Guías Generales– CCN-STIC 500: Guías Entornos Windows– CCN-STIC 600: Guías Otros Entornos– CCN-STIC 900: Informes Técnicos

9


FormaciónFormar al personal de la Administración especialista en el campo de la

seguridad de los sistemas de las tecnologías de la información y las comunicaciones.

Cursos Informativos y de Concienciación

Cursos Básicos de Seguridad

Cursos Específicos de Gestión

Cursos de Especialización

Datos 2009: – 468 funcionarios de 56 organismos diferentes de la Administración (General,

Autonómica y Local)

–1.240 horas lectivas en 18 cursos y 3 Jornadas de Concienciación

10


Plan de Formación 2010

VI Curso STIC - Fase de Correspondencia - Defensa

VII Curso STIC - Fase de Correspondencia

VI Curso STIC VI Curso STIC

V Curso Básico STICEntornos Windows

VII Curso STIC VII Curso STIC

VII Curso Acreditación STICEntornos Windows

V Curso Básico STICEntornos Linux

V Curso Básico STICBase de Datos

V Curso Básico STICInfraestructura de Red

III CursoCommon Criteria

V Curso STICRedes Inalámbricas

VI Curso STICCortafuegos

VI Curso STICDetección de Intrusos

III Curso STICBúsqueda Evidencias

V Curso STICInspecciones de Seguridad

II Jornada de Seguridaden Aplicaciones Web

VII Curso Gestión STIC (Correspondencia)

VI I Curso Gestión STIC (Correspondencia) VII Curso Gestión STIC (Presencial)

XXII Curso de Especialidades Criptológicas (presencial)

XXII Curso de Especialidades Criptológicas (correspondencia)

XXII Curso de Especialidades Criptológicas (correspondencia)

XXI CEC (Correspondencia)

X CursoHerramienta PILAR

VII Curso Gestión STIC (Presencial)

XXII Curso de Especialidades Criptológicas (presencial)

XXII CEC

XXII CEC

XXII CEC

11


Funciones CCN (Formación)• Cursos Informativos y de Concienciación en Seguridad

– Jornada STIC– Curso STIC

• Cursos Básicos de Seguridad

– Curso Básico STIC - Entornos Windows– Curso Básico STIC - Entornos Linux– Curso Básico STIC - Infraestructura de Red– Curso Básico STIC - Bases de Datos

• Cursos Específicos de Gestión en Seguridad

– Curso Gestión STIC– Curso Especialidades Criptológicas

12


Funciones CCN (Formación)

• Cursos de Especialización en seguridad

– Curso Acreditación STIC - Entornos Windows– Curso Acreditación STIC - Entornos Unix– Curso Acreditación STIC - Entornos Linux– Curso STIC - Cortafuegos– Curso STIC - Detección de Intrusos– Curso STIC - Redes Inalámbricas– Curso STIC - Herramientas de Seguridad– Curso STIC - Inspecciones de Seguridad

13


Evaluación

Valorar y Acreditar la capacidad de los productos de cifra y Sistemas de las TIC (incluyan medios de cifra)

para manejar información de forma segura

• CRIPTOLÓGICA

• Verificación fortaleza criptología empleada en cifrador• Comprobación de la correcta implementación de la criptología• Estudio de los mecanismos de autoprotección del cifrador

• FUNCIONAL DE SEGURIDAD Common Criteria e ITSEC• Expedientes administrativos de certificación de productos y de

acreditación de laboratorios

• TEMPEST• Medición de equipos, plataformas y locales• Validación mediciones realizadas por Laboratorios

14


Certificación

Constituir el organismo de certificación del Esquema Nacional de Evaluación y Certificación de aplicación a productos y

sistemas de su ámbito

• CRIPTOLÓGICA

• Lista de productos certificados (Secreto, Reservado, Confidencial, Difusión Limitada)

• FUNCIONAL DE SEGURIDAD • Certificados Common Criteria e ITSEC por resolución del

SED con publicación en el BOE

• TEMPEST• Equipos y Plataformas (Clase 3 - 0)• Zonificación (Clases 0 -3)

57 8

15

28

17

0

5

10

15

20

25

30

2004 2005 2006 2007 2008 2009

15


Esquema de Evaluación y Certificación

Producto/Sistema

Solicitud de CertificadoPatrocinador/Fabricante

Informe de Evaluación

Entidades de Evaluación

Supervisa/Autoriza

AcreditaciónISO 17025

AcreditaciónEN 45011Organismo de Acreditación

Certificado

Organismo de Certificación

Informe de Evaluación

16


ProductosCoordinar la promoción, el desarrollo, la obtención, la adquisición y puesta en explotación y la utilización de la tecnología de seguridad

17


• El objetivo principal del equipo de respuesta a incidentes del CCN (CCN-CERT) es contribuir a la mejora del nivel de seguridad de los sistemas de información de las AA.PP. de España.

• Misión es ser el centro de alerta y respuesta de incidentes de seguridad, ayudando a las AAPP a responder de forma más rápida y eficiente ante las amenazas de seguridad que afecten a sus sistemas de información.

Capacidad de Respuesta

18


El CCN-CERT en el ENS

19


• SERVICIOS PROACTIVOS

– ANUNCIOS Y AVISOS. A usuarios autorizados.

– AUDITORÍAS O EVALUACIONES DE SEGURIDAD• Sistemas clasificados

– CONFIGURACIÓN Y MANTENIMIENTO DE ELEMENTOS DE SEGURIDAD

– DESARROLLO DE HERRAMIENTAS DE SEGURIDAD

– DETECCIÓN DE INTRUSIONES

– DISEMINACIÓN DE INFORMACIÓN.

– CERTIFICACIÓN DE CALIDAD

• SERVICIOS DE GESTIÓN– ANÁLISIS DE RIESGOS

– CONSULTORÍA SEGURIDAD INFORMÁTICA

– MENTALIZACIÓN Y FORMACIÓN:. • Cursos STIC• Seminarios / workshops• Foros de discusión

– EVALUACIÓN Y CERTIFICACIÓN DE PRODUCTOS:

• COMMON CRITERIA / TEMPEST / CIFRA.

• SERVICIOS REACTIVOS– ALERTAS Y AVISOS.

– GESTIÓN DE INCIDENTES. • Sistemas Clasificados y• Sistemas No Clasificados

– GESTIÓN DE VULNERABILIDADES. – ANÁLISIS CÓDIGO DAÑINO.

SERVICIOS CCN-CERT

20


SISTEMA ALERTA TEMPRANA (SAT) RED SARA

NASSTORAGE

SISTEMA CENTRAL

PORTAL INFORMES

NFS

iSCSI

IDS

LOGSFW

LogICA AGENTE

ANTIVIRUS

STORAGE

INTRANET ADMINISTRATIV

A

RED MINISTERIAL

MINISTERIO

SISTEMA CENTRAL CCN-CERT

AC SARA

NODOLANCERT

Air Gap

CONSOLAS DE

USUARIONOO 1

CONSOLAS DE

USUARIO NODO 2


SAT Red SARA – Descripción

• Situación Actual:– Sondas de recolección en 22 Áreas de Conexión.– Sistemas Centrales de correlación en instalaciones de CCN-CERT.– Conexión a Red SARA vía Ministerio Defensa.– Integración de fuentes de datos IDS Snort y Firewalls Stonegate.– Generación de reglas IDS adaptadas por CCN-CERT.– Generación de informes sobre incidentes detectados.– Generación de informes estadísticos periódicos.– Generación de informes por Organismo en Portal Web SAT:

• Se cargan manualmente también en Portal InfoSARA.

22


SENSORES EN LAS SALIDAS DE INTERNET AAPP

23


Situación Actual SAT Sondas Internet

• Gran número de incidentes de seguridad o ataques a través de internet.• Incidentes cada vez están más dirigidos.• Necesidad de sistema que permita detección de este tipo de incidentes

lo más rápido posible Reducción del riesgo sobre los activos.• SAT CCN-CERT para la detección de incidentes en las redes públicas

de las Administraciones Públicas.– Sonda recolecta información de seguridad relevante que se detecte.

– Remisión de alertas / logs a CCN-CERT para análisis.

– Posibilidad de actualización de firmas recibidas de diversas fuentes del CCN.

– Necesidad de convenio.


Beneficios del SAT CCN_CERT

• El Sistema de Alerta Temprana permitirá a los organismos adscritos:• Detección de incidentes de seguridad en Tiempo Real,

con capacidad de análisis para evaluar su importancia / impacto,

• Mayor capacidad y soporte en la resolución de incidentes,• La posibilidad de detectar nuevos tipos de amenazas, por el

uso de reglas de detección optimizadas y actualizadas según nuevas vulnerabilidades detectadas,

• Establecer reglas complejas de correlación que permitan detectar incidentes multi-organismo, que en otras condiciones podrían pasar desapercibidas.

25


Muchas Gracias por su atención

Correo:• [email protected] • [email protected]• [email protected]

Portales:

• www.ccn-cert.cni.es• www.ccn.cni.es• www.oc.ccn.cni.es

Federico Colas Rubio

News & Politics

Transcript of Federico Colas Rubio