Transcript Firma Electrónica

P/. Formación Inicial
D/. Administración Electrónica
F/. 13-abr-15
P/. Formación Inicial
D/. Administración Electrónica
INDICE





Introducción
Uso de Certificados Electrónicos
Uso DNI-e
Normativa aplicable
Esquema nacional de seguridad e
interoperatividad
F/. 13-abr-15
P/. Formación Inicial
D/. Administración Electrónica
Introducción
INTERNET
Es un conjunto descentralizado de redes de comunicación interconectadas, que utilizan la
familia de protocolos TCP/IP, garantizando que las redes físicas funcionen como una red
lógica única, de alcance mundial.
Origen
En 1969, se establece la 1ª conexión de computadora por medio de la red
ARPANET (EE.UU).
Desarrollo
A partir de 1990, el conjunto de protocolos Word Wide Web permite la consulta remota de
archivos en formato hipertexto.
Esto permite encontrar y organizar ficheros e información.
En 1991, Tim Berners-Lee fue el primero en desarrollar un implementación basada en red
de concepto de hipertexto.
Sin embargo, el punto decisivo para la World Wide Web comenzó con la introducción de
Mosaic en 1993, un navegador web con interfaz gráfica
Mosaic fue finalmente suplantado en 1994 por Netscape Navigator
F/. 13-abr-15
P/. Formación Inicial
D/. Administración Electrónica
Introducción
CONEXIONES A INTERNET
•
ADSL (Asymmetric Digital Subscriber Line): Es la tecnología mas extendida, usa el par
telefónico para establecer comunicaciones, su ancho de banda de descarga de datos
es muy superior a la de subida.
•
CABLE: Es una tecnología típica de las grandes ciudades, usa sus propias redes de
comunicaciones, normalmente más modernas, su ancho de banda también es
asimétrico.
•
SATELITE: Tecnología de conexión de Banda Ancha, usada cuando no hay opción de
las anteriores, sobre todo en núcleos rurales, su ancho de banda está muy limitado.
•
UMTS: Tecnología que usa las redes de telefonía móvil para la conexión a Internet, de
buena velocidad pero sensiblemente cara.
F/. 13-abr-15
P/. Formación Inicial
D/. Administración Electrónica
Introducción
EL NAVEGADOR WEB
Es una aplicación software que permite al usuario recuperar y visualizar documentos de
hipertexto, comúnmente escritos en HTML, desde servidores Web de todo el mundo a
través de Internet.
Funcionalidad
Permitir la visualización de documentos de texto, posiblemente con recursos multimedia
incrustados.
Los documentos pueden estar ubicados en la computadora en donde está el usuario, pero
también pueden estar en cualquier otro dispositivo que esté conectado a la computadora
del usuario o a través de Internet, y que tenga los recursos necesarios para la transmisión
de los documentos (un software servidor Web).
Tales documentos, comúnmente denominados páginas Web, poseen hipervínculos que
enlazan una porción de texto o una imagen a otro documento, normalmente relacionado
con el texto o la imagen.
F/. 13-abr-15
P/. Formación Inicial
D/. Administración Electrónica
Introducción
Navegadores web más frecuentes
•
•
•
•
Internet Explorer
Mozilla Firefox
Netscape
Chrome
•
•
•
•
•
Opera
Safari
TheWorld
Maxthon
Tencent Traveler
F/. 13-abr-15
P/. Formación Inicial
D/. Administración Electrónica
Introducción
Administración Electrónica
La e-administración o administración electrónica refiere a cualquier mecanismo que
transforma las oficinas tradicionales, convirtiendo los procesos en papel, en procesos
electrónicos, con diversos fines:
•
acercar la Administración al ciudadano,
•
simplificar los trámites administrativos,
•
modernizar la Administración,
•
etc..
La E-administración se ha visto impulsada por la aparición de las TIC, tecnologías de la
información y comunicación (teléfono, internet,...),
•
facilitando a los clientes la interacción con las organizaciones
•
Y a los trabajadores flexibilizando las condiciones de trabajo (flexibilidad horaria,
teletrabajo, movilidad,...) y mejorando dichas condiciones.
F/. 13-abr-15
P/. Formación Inicial
D/. Administración Electrónica
Introducción
Criptografía
La criptografía, es el arte o ciencia de cifrar y descifrar información mediante técnicas
especiales y se emplea frecuentemente para permitir un intercambio de mensajes que sólo
puedan ser leidos por personas a las que van dirigidos y que poseen los medios para
descifrarlos.
Con más precisión, cuando se habla de esta área de conocimiento como ciencia, se
debería hablar de criptología, que a su vez engloba tanto las técnicas de cifrado, es decir, la
criptografía propiamente dicha, como sus técnicas complementarias, entre las cuales se
incluye el criptoanálisis, que estudia métodos empleados para romper textos cifrados con
objeto de recuperar la información original en ausencia de las claves.
F/. 13-abr-15
P/. Formación Inicial
D/. Administración Electrónica
INDICE





Introducción
Uso de Certificados Electrónicos
Uso DNI-e
Normativa aplicable
Esquema nacional de seguridad e
interoperatividad
F/. 13-abr-15
P/. Formación Inicial
D/. Administración Electrónica
Certificados Electrónicos
Son los documentos expedidos por los prestadores de servicios de certificación que
relacionan las herramientas de firma electrónica que tiene cada usuario con su identidad,
dándole a conocer como firmante en el ámbito telemático.
•
Permite a las partes tener confianza en las transacciones en Internet.
•
Garantiza la identidad del poseedor del certificado.
•
Permite validez legal para:
•
Firmar documentos
•
Entrar en lugares restringidos
•
Identificarse ante la administración
F/. 13-abr-15
P/. Formación Inicial
D/. Administración Electrónica
Certificados Electrónicos. Criptografía
La necesidad de proteger la información.
La criptografía tiene su origen en la época del Emperador Romano Julio César,
para comunicarse con sus generales.
El esquema de César consistía en desplazar cada letra del alfabeto un número
determinado de posiciones
Por ejemplo:
ATAQUEN HOY AL ENEMIGO
MFMCGQZ TAK MX QZQYUSA
En este case se han desplazados las tetras 13 posiciones “A” + 13 = “M”
F/. 13-abr-15
P/. Formación Inicial
D/. Administración Electrónica
Certificados Electrónicos. Criptografía. La clave simétrica.
Criptografía de clave simétrica
Tal y como se ve en el ejemplo anterior es el utilizado por César para codificar y
descodificar la información
Una sola clave cifra y descifra
Descifrado
Beneficio más importante es su velocidad de cifrado
Problema es la necesidad de distribución de la
clave de cifrado.
Si alguien consigue el mensaje y la clave lo puede
descifrar
F/. 13-abr-15
P/. Formación Inicial
D/. Administración Electrónica
Certificados Electrónicos. Criptografía. La clave asimétrica.
Criptografía de clave asimétrica
El usuario necesita:
•
Clave privada: será custodiada por su propietario y no se dará a conocer
a ningún otro. Una sola clave cifra y descifra
•
Clave pública: será conocida por todos los usuarios
La que cifra una sólo la puede descifrar la otra
Cifrado
Clave publica
B
Descifrado
Clave privada
Beneficio seguridad, no se envía la clave
Problema es la lentitud de la operación
F/. 13-abr-15
P/. Formación Inicial
D/. Administración Electrónica
Certificados Electrónicos. Criptografía clave asimétrica.
Cifrado de clave pública
El uso de claves asimétricas ralentiza el proceso de cifrado
SOLUCIÓN
Cifrar mensajes con el algoritmo de clave pública, junto a otro de clave privada
ENVÍA MENSAJE A
CIFRADO
•
•
•
Cifrado del mensaje, con clave
simétrica (clave de sesión)
Esta clave se genera aleatoriamente
Cifrado asimétrico de la clave de
sesión con la clave pública de B
DESCIFRADO
•
Descifra clave de sesión con la
clave privada de B
•
Obtiene la clave de sesión
•
Lee el mensaje
F/. 13-abr-15
P/. Formación Inicial
D/. Administración Electrónica
Certificados Electrónicos. Criptografía clave asimétrica.
Cifrado de clave pública. Beneficios obtenidos por el sistema.
•
Confidencialidad: sólo podrá leer el mensaje el destinatario del
mismo.
•
Integridad: el mensaje no podrá ser modificado.
F/. 13-abr-15
P/. Formación Inicial
D/. Administración Electrónica
Certificados Electrónicos. Criptografía clave asimétrica. Firma Electrónica
Firma Electrónica
•
Permite al receptor de un mensaje verificar la autenticidad del origen de la
información.
•
Verifica de dicha información no ha sido modificada desde su generación.
La firma electrónica ofrece el soporte para la autenticación e integridad de los datos
así como para el no repudio en origen, ya que el originador de un mensaje firmado
electrónicamente no puede argumentar que no lo es.
La firma electrónica es un cifrado del mensaje que se está firmando pero utilizando la
clave privada en lugar de la pública.
Como el principal problema del cifrado de la clave privada es la lentitud, se hace uso de
funciones hash
HASH es una operación que se realiza sobre un conjunto de datos de cualquier tamaño de
tal forma que se obtiene como resultado otro conjunto de datos. El resultado se llama
resumen de los datos originales o huella digital
F/. 13-abr-15
P/. Formación Inicial
D/. Administración Electrónica
Certificados Electrónicos. Criptografía clave asimétrica. Firma Electrónica
Ejemplo con firma electrónica
ENVÍA MENSAJE Y FIRMA
DESCIFRADO
CIFRADO
•
Resume el mensaje con la función
HASH
•
Cifrado del HASH con clave privada
(obtención de firma digital)
Con este sistema conseguimos:
•
Descifra el resumen del mensaje con
con la clave pública de A
•
Aplica función HASH para obtener
mensaje.
•
Check mensaje obtenido con el
recibido si son iguales es ok
•
Autenticación: la firma digital es equivalente a la firma física de un documento.
•
Integridad: el mensaje no podrá ser modificado.
•
No repudio en origen: el emisor no puede negar haber enviado el mensaje..
F/. 13-abr-15
P/. Formación Inicial
D/. Administración Electrónica
Certificados Electrónicos. Uso
Uso de certificados electrónicos.
•
Un certificado electrónico es un documento electrónico que asocia una clave pública y
privada con la identidad de su propietario
¿Qué contienen?
•
Versión del certificado
•
Numero de serie: único para cada certificado.
•
Firma digital de la CA, entidad emisora de
certificados.
•
Nombre de la CA, Entidad emisora.
•
Periodo de validez, fecha de inicio de validez y
finalización.
•
Identificación del cliente
•
Clave pública del cliente
•
Firma digital del cliente (realizada con su clave
privada
F/. 13-abr-15
P/. Formación Inicial
D/. Administración Electrónica
Certificados Electrónicos. Uso
Terceras partes de confianza. ¿Cómo confiar en la validez del certificado?
La validez de un certificado es la confianza en que la clave pública contenida en el
certificado pertenece al usuario indicado en el certificado.
La manera en que se puede confiar en el certificado de un usuario con el que nunca hemos
tenido ninguna relación previa es mediante la confianza en terceras partes.
La idea consiste en que dos usuarios puedan confiar directamente entre sí, si ambos tienen
relación con una tercera parte ya que ésta puede dar fé de la fiabilidad de los dos.
La mejor forma de permitir la distribución de los claves públicas
de los distintos usuarios es que algún agente en quien todos los
usuarios confíen se encargue de su publicación en algún
repositorio.
La forma en que esa tercera parte avalará que el certificado es mediante su firma digital
sobre el certificado. La autoridad que se encarga de la firma digital de los certificados de
los usuarios de un entorno de clave púbica se conoce con el nombre de Autoridad de
Certificación (AC).
F/. 13-abr-15
P/. Formación Inicial
D/. Administración Electrónica
Certificados Electrónicos. Uso
Prestadores de servicios de certificación de firma electrónica
Dentro de la página del MITYC, se podrá comprobar los
prestadores de servicios de certificación de firma electrónica
reconocidos en España.
https://www11.mityc.es/prestadores/busquedaPrestadores.jsp
F/. 13-abr-15
P/. Formación Inicial
D/. Administración Electrónica
INDICE





Introducción
Uso de Certificados Electrónicos
Uso DNI-e
Normativa aplicable
Esquema nacional de seguridad e
interoperatividad
F/. 13-abr-15
P/. Formación Inicial
D/. Administración Electrónica
DNI-e
El desarrollo de la Sociedad de la Información implica la confianza de los ciudadanos en
las comunicaciones telemáticas
La Ley de Firma Electrónica y el RD sobre el Documento Nacional de Identidad
electrónico dan una respuesta a esta necesidad:
•
acreditan la identidad de los usuarios,
•
aseguran la procedencia de sus mensajes electrónicos y
•
la integridad de los mismos
De esta forma, los ciudadanos, podrán realizar diferentes gestiones de forma segura y
asegurando su identidad.
SEGURIDAD
IDENTIFICACIÓN
F/. 13-abr-15
P/. Formación Inicial
D/. Administración Electrónica
DNI-e. Conceptos Básicos
La identidad personal
Art. 6 Declaración Universal de Derechos Humanos, “Todo ser humano tiene derecho,
en todas partes, al reconocimiento de su personalidad jurídica”. Es obligación del Estado
garantizar este derecho.
Esta identidad personal adquiere una nueva cuando se intenta establecer de forma no
presencial y por medios telemáticos.
La identidad siempre es física, esto implica, establecer nuevos mecanismos para
autentificarla por mecanismos electrónicos.
El DNIe cubre ambas necesidades: presencial y telemática
Aceptación social DNI
•
•
•
•
Antigüedad superior a los 50 años
Presente en las relaciones comerciales y administrativas
Registrado en la mayoría de las bases de datos de entidades y organismos públivos y
privados
Es referente para expedir otros documentos: pasaporte, permiso de conducir, NIF,
seguridad social, …
F/. 13-abr-15
P/. Formación Inicial
D/. Administración Electrónica
DNI-e. Conceptos Básicos
Antecedentes legales
•
Artículo 2 del RD 1553/2005, de 23 de diciembre, por el que se regula la expedición
del documento nacional de identidad y sus certificados de firma electrónica,
“Dicho Documento tiene suficiente valor, por sí solo, para acreditar la identidad y los
datos personales de su titular que en él se consignen, así como la nacionalidad
española del mismo”.
•
Ley 59/2003, de 19 de diciembre, de firma electrónica. Incrementa las funciones del
DNI-e a la firma electrónica de documentos.
•
•
•
•
•
Certifica la identidad del ciudadano (física / telemática)
Firma de documentos electrónicos, con los mismos efectos que la firma manuscrita.
Interoperabilidad con los proyectos europeos de identificación digital
Fomentar la confianza en las transacciones electrónicas
Aceptación por parte de las AA.PP y Entidades de Derecho Público al uso del DNI-e
F/. 13-abr-15
P/. Formación Inicial
D/. Administración Electrónica
DNI-e. La firma electrónica
Concepto
La Firma electrónica es un sistema de acreditación que:
• permite verificar la identidad de las personas con el mismo valor que la firma
manuscrita,
• autentificando las comunicaciones generadas por el firmante.
Ley 59/2003, de 19 de diciembre, de firma electrónica
Artículo 3.1, La firma electrónica es:
• el conjunto de datos en forma electrónica,
• consignados junto a otros o asociados con ellos,
• que pueden ser utilizados como medio de identificación del firmante.
F/. 13-abr-15
P/. Formación Inicial
D/. Administración Electrónica
DNI-e. La firma electrónica
Ley 59/2003, de 19 de diciembre, de firma electrónica
Artículo 3.2, Firma electrónica avanzada:
• Identifica al firmante,
• Identifica cambios ulteriores de los datos firmados.
Artículo 3.3, Firma electrónica reconocida:
• Basada en un certificado reconocido
• Generada por un dispositivo de firma seguro
• Tiene el mismo valor que la firma manuscrita (artículo 3.4)
F/. 13-abr-15
P/. Formación Inicial
D/. Administración Electrónica
DNI-e. ¿Qué tiene?
Certificados X509v3 de ciudadano (autenticación y firma)
Claves privadas asociadas (generadas y asociadas en la expedición del DNI-e)
Certificado de autenticación
El Ciudadano podrá, a través de su Certificado de Autenticación, certificar su identidad
frente a terceros, demostrando la posesión y el acceso a la clave privada asociada a
dicho certificado y que acredita su identidad.
Certificado de firma electrónica reconocida
Permitirá realizar y firmar acciones y asumir compromisos de forma electrónica,
pudiéndose comprobar la integridad de los documentos firmados por el ciudadano
haciendo uso de los instrumentos de firma incluidos en él.
F/. 13-abr-15
P/. Formación Inicial
D/. Administración Electrónica
DNI-e. Uso
Como medio de Autenticación de la Identidad.
El Certificado de Autenticación (Digital Signature) asegura que la comunicación
electrónica se realiza con la persona que dice que es. El titular podrá, a través de su
certificado, acreditar su identidad frente a cualquiera, ya que se encuentra en posesión
del certificado de identidad y de la clave privada asociada al mismo.
Como medio de firma electrónica de documentos.
Mediante la utilización del Certificado de Firma (nonRepudition), el receptor de un
mensaje firmado electrónicamente puede verificar la autenticidad de esa firma, pudiendo
de esta forma demostrar la identidad del firmante sin que éste pueda repudiarlo.
Como medio de certificación de Integridad de un documento.
Permite comprobar que el documento no ha sido modificado por ningún agente externo
a la comunicación. La garantía de la integridad del documento se lleva a cabo mediante
la utilización de funciones resumen (hash), utilizadas en combinación con la firma
electrónica. Esto esquema permite comprobar si un mensaje firmado ha sido alterado
posteriormente a su envío.
F/. 13-abr-15
P/. Formación Inicial
D/. Administración Electrónica
DNI-e. Escenario
Un ciudadano establece una comunicación a través de Internet con un organismo de la
Administración Pública (o una Entidad Privada) que ofrece un servicio telemático para
que el ciudadano cumplimente un trámite administrativo que requiere su consentimiento
explicito para la realización.
Se plantean dos tipos de certificados electrónicos:
Certificado de Autenticación (Digital Signature), cuyo propósito exclusivo es el de
identificar al ciudadano. Este certificado no vincula al ciudadano en ninguna forma y es
exclusivamente utilizado para el establecimiento de canales privados y confidenciales
con los prestadores de servicio. Permite cerrar el túnel SSL con el certificado del
ciudadano y el del prestador de servicios, así como facilitar su identidad a éste ultimo.
Certificado de Firma (nonRepudiation), cuyo fin es permitir al ciudadano firmar
tramites o documentos. Este certificado (certificado cualificado según ETSI y las
RFC3039, RFC3739) permite sustituir la firma manuscrita por la electrónica en las
relaciones del ciudadano con terceros (Ley 59/2003, de firma electrónica, artículos 3.4 y
15.2).
F/. 13-abr-15
P/. Formación Inicial
D/. Administración Electrónica
DNI-e. Descripción de uso
Conexión privada con Organismo Público
1.
El Ciudadano hace una petición de conexión segura autenticada.
2.
El Organismo Público (o Entidad Privada) crea un mensaje autenticado y lo envía al ciudadano.
3.
El Ciudadano verifica la validez del certificado de servidor ofrecido.
4.
Se genera la clave de sesión y cifrado de la misma con la clave pública del El Organismo Público
(o Entidad Privada).
5.
Se construye el mensaje de intercambio de claves.
6.
El Ciudadano introduce el DNI electrónico en el lector y, con el certificado electrónico de
autenticación, valida el mensaje de intercambio de claves.
7.
Se establece el canal privado.
8.
El Organismo Público (o Entidad Privada) verifica el mensaje de establecimiento de sesión.
9.
El Organismo Público (o Entidad Privada) comprueba en la Autoridad de Validación el estado
validez del Certificado de Autenticación del Ciudadano.
10. Se establece un canal seguro, se cierra túnel SSL.
F/. 13-abr-15
P/. Formación Inicial
D/. Administración Electrónica
DNI-e. Descripción de uso
Firma de trámites administrativos con DNI-e
1.
El Organismo Público (o Entidad Privada) envía el formulario para el trámite administrativo.
2.
El Ciudadano cumplimenta el formulario y lo envía.
3.
El Organismo Público (o Entidad Privada) reconstruye el formulario en formato texto y lo reenvía
nuevamente al ciudadano.
4.
El Ciudadano verifica que el trámite administrativo se corresponde exactamente con el
cumplimentado.
5.
Se solicita al ciudadano la firma electrónica del formulario.
6.
El Ciudadano introduce su clave de acceso personal (PIN) para el acceso al certificado de Firma
(nonRepudiation).
7.
El DNI electrónico firma electrónicamente el formulario.
8.
El Ciudadano envía formulario firmado al El Organismo Público (o Entidad Privada)
9.
El Organismo Público (o Entidad Privada) verifica validez de la firma, para comprobar integridad
formulario.
10. El Organismo Público (o Entidad Privada) comprueba en la Autoridad de Validación estado
validez certificado de Firma (nonRepudiation) del ciudadano.
11. Si es correcto, continuar el procedimiento…
F/. 13-abr-15
P/. Formación Inicial
D/. Administración Electrónica
DNI-e. Descripción de uso
Confirmación por parte del organismo de la correcta recepción del trámite
1.
El Organismo Público (o Entidad Privada) confecciona el recibo para el trámite cumplimentado
por el ciudadano.
2.
El Organismo Público (o Entidad Privada) firma el recibo.
3.
El recibo es firmado y sellado por una Tercera parte de confianza, denominada Autoridad de
Sellos de Tiempo (que garantiza el instante exacto en el que un trámite fue aceptado por el
prestador de servicios, y debe ser evidentemente una entidad externa a dicho prestador y
reconocida en el ámbito de la legislación española).
4.
Se envía al Ciudadano el recibo firmado y sellado.
F/. 13-abr-15
P/. Formación Inicial
D/. Administración Electrónica
Uso DNI-e. Estadísticas
•
•
•
•
•
•
•
Más de 13 millones de españoles disponen ya del DNI electrónico (más del 27,5% de
la población española).
El 100% de las comisarías cuentan ya con equipamiento para expedir el DNI-e
España es ya líder mundial de en ciudadano que poseen firma electrónica (mas de 15
millones)
Más de 2.500 servicios públicos disponibles para usar el DNI-e (nacional, regional y
local)
6,9 millones de ciudadanos han hecho la renta por internet en el 2009. Esto supone el
35% de las declaraciones
4,2 millones de ciudadanos usan certificado digital para hacer su gestiones con la
Administración Pública (menos pago de tasas)
49% de las empresas usan firma digital
F/. 13-abr-15
P/. Formación Inicial
D/. Administración Electrónica
Uso DNI-e. Estadísticas
Ciudadanos con DNI-e
14
12
13 M
10
8
6
7M
4
2
0,2 M
1,4 M
0
2006
2007
2008
2009
Fuente RED.ES
F/. 13-abr-15
P/. Formación Inicial
D/. Administración Electrónica
Uso DNI-e. Estadísticas
Penetración de INTERNET por rango de edad en España y la Europa de los 27
100
90
82
85
92
83
78
2008 UE27
2008 España
80
2009 España
71
64
64
68
53 51
55
38
25
29
17
9
11
0
0
10 a 15
16 a 24
25 a 34
35 a 44
45 a 54
55 a 64
65 a 74
Fuente ONTSI con datos del INE y Eurostat
F/. 13-abr-15
P/. Formación Inicial
D/. Administración Electrónica
Uso DNI-e. Administración en red. Estadísticas.
Penetración de INTERNET por rango de edad en España y la Europa de los 27
100
90
82
85
92
83
78
2008 UE27
2008 España
80
2009 España
71
64
64
68
53 51
55
38
25
29
17
9
11
0
0
10 a 15
16 a 24
25 a 34
35 a 44
45 a 54
55 a 64
65 a 74
Fuente ONTSI con datos del INE y Eurostat
F/. 13-abr-15
P/. Formación Inicial
D/. Administración Electrónica
INDICE





Introducción
Uso de Certificados Electrónicos
Uso DNI-e
Normativa aplicable
Esquema nacional de seguridad e
interoperatividad
F/. 13-abr-15
P/. Formación Inicial
D/. Administración Electrónica
Normativa aplicable
•
Directiva 1999/93/CE del Parlamento Europeo y del Consejo, de 13 de
diciembre por la que se establece un marco comunitario para la firma
electrónica.
•
Ley 59/2003, de 19 de diciembre, de Firma Electrónica.
•
Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de
Carácter Personal.
•
Real Decreto 1553/2005, de 23 de diciembre, por el que se regula documento
nacional de identidad y sus certificados de firma electrónica.
•
Real Decreto 1586/2009, de 16 de octubre, por el que se modifica el Real
Decreto 1553/2005, de 23 de diciembre, por el que se regula la expedición del
Documento Nacional de Identidad y sus certificados de firma electrónica.
F/. 13-abr-15
P/. Formación Inicial
D/. Administración Electrónica
INDICE





Introducción
Uso de Certificados Electrónicos
Uso DNI-e
Normativa aplicable
Esquema nacional de seguridad e
interoperatividad
F/. 13-abr-15
P/. Formación Inicial
D/. Administración Electrónica
Esquema Nacional de Seguridad - ENS
•
El Real Decreto 3/2010, de 8 de enero (BOE de 29 de enero), por el que se regula el
Esquema Nacional de Seguridad en el ámbito de la administración electrónica regula el
citado Esquema previsto en el artículo 42 de la Ley 11/2007, de 22 de junio, de
acceso electrónico de los ciudadanos a los Servicios Públicos.
•
OBJETIVO. Establecer la política de seguridad en la utilización de medios electrónicos y
está constituido por principios básicos y requisitos mínimos que permitan una protección
adecuada de la información.
•
La finalidad del Esquema Nacional de Seguridad es:
•
Crear las condiciones necesarias para la confianza en el uso de los medios electrónicos.
•
Establecer medidas para garantizar la seguridad de los sistemas, los datos, las
comunicaciones, y los servicios electrónicos,
•
Permitir el ejercicio de derechos y el cumplimiento de deberes a través de estos medios.
F/. 13-abr-15
P/. Formación Inicial
D/. Administración Electrónica
Esquema Nacional de Seguridad - ENS
Otros objetivos del ENS
•
Establecer la política de seguridad en la utilización de medios electrónicos en el ámbito
de la Ley 11/2007, que estará constituida por los principios básicos y los requisitos
mínimos para una protección adecuada de la información.
•
Introducir los elementos comunes que han de guiar la actuación de las administraciones
públicas en materia de seguridad de las tecnologías de la información.
•
Aportar un lenguaje común para facilitar la interacción de las administraciones públicas,
así como la comunicación de los requisitos de seguridad de la información a la industria.
F/. 13-abr-15
P/. Formación Inicial
D/. Administración Electrónica
Esquema Nacional de Seguridad - ENS
Ámbito de aplicación
•
El establecido en el artículo 2 de la Ley 11/2007, de 22 de junio, de acceso electrónico
de los ciudadanos a los Servicios Públicos..
•
Estarán excluidos los sistemas que tratan información clasificada regulada por Ley
9/1968 de 5 de abril, de Secretos Oficiales, modificada por Ley 48/1978, de 7 de
octubre y normas de desarrollo.
•
Real Decreto 3/2010, de 8 de enero (BOE de 29 de enero), por el que se regula el
Esquema Nacional de Seguridad en el ámbito de la administración electrónica.
•
Corrección de errores del Real Decreto 3/2010, de 8 de enero, por el que se regula el
Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica (BOE de
11 de marzo).
•
Texto consolidado Real Decreto 3/2010, de 8 de enero. (Incluye corrección de errores
publicada el día 11 de marzo)
F/. 13-abr-15
P/. Formación Inicial
D/. Administración Electrónica
Esquema Nacional de Seguridad – ENS. Ley 11/2007
Ley 11/2007, acceso electrónico de los ciudadanos a los servicios públicos
•
La Ley establece un derecho para los ciudadanos a relacionarse con la administración
de forma electrónica y una obligación para las Administraciones que van a verse
obligadas a dotarse de los medios necesarios para que los derechos de esta Ley
puedan ejercerse
Estos son los principales derechos y obligaciones que se interpretan de esta Ley:
•
Los ciudadanos podrán realizar todas sus gestiones administrativas por medios
electrónicos.
•
Las administraciones públicas, obligadas a ofrecer sus servicios por Internet,
móviles, televisión o cualquier medio electrónico futuro
•
Las administraciones públicas deberán garantizar el acceso a las personas que
carezcan de medios propios o conocimientos suficientes con oficinas de atención
presencial, puntos de acceso telefónico y servicios de atención telefónica.
F/. 13-abr-15
P/. Formación Inicial
D/. Administración Electrónica
Esquema Nacional de Seguridad – ENS. Ley 11/2007
•
Se crearán los registros electrónicos a través de los que se podrán enviar
documentos en soporte electrónico en cualquier momento.
•
La Administración estará obligada a facilitar información sobre la marcha de las
gestiones al ciudadano que lo desee por el medio que lo solicite.
¿Cómo va lo mío?
•
Los datos personales de los ciudadanos se tratarán siempre bajo las máximas
garantías de seguridad y confidencialidad.
L.O.P.D.
•
Las administraciones garantizarán la comunicación para que intercambien datos
que ya posean en lugar de pedírselo a los ciudadanos, siempre y cuando éstos lo
autoricen. Esta interoperabilidad asegura el derecho de los ciudadanos a realizar
trámites de forma conjunta.
•
Se podrán utilizar las lenguas co-oficiales para comunicarse con las administraciones.
•
Se crea el concepto de sede electrónica, lugar oficial de prestación de servicios
electrónicos al ciudadano.
F/. 13-abr-15
P/. Formación Inicial
D/. Administración Electrónica
ENS. Ley 11/2007 Interoperabilidad y Seguridad (artículo 42)
1.
El Esquema Nacional de Interoperabilidad comprenderá el conjunto de criterios y
recomendaciones en materia de seguridad, conservación y normalización de la
información, de los formatos y de las aplicaciones que deberán ser tenidos en cuenta
por las Administraciones Públicas para la toma de decisiones tecnológicas que
garanticen la interoperabilidad.
2.
El Esquema Nacional de Seguridad tiene por objeto establecer la política de
seguridad en la utilización de medios electrónicos en el ámbito de la presente Ley, y
está constituido por los principios básicos y requisitos mínimos que permitan una
protección adecuada de la información.
3.
Ambos Esquemas se elaborarán con la participación de todas las
Administraciones y se aprobarán por Real Decreto del Gobierno, a propuesta de la
Conferencia Sectorial de Administración Pública y previo informe de la Comisión
Nacional de Administración Local, debiendo mantenerse actualizados de manera
permanente.
4.
En la elaboración de ambos Esquemas se tendrán en cuenta las
recomendaciones de la Unión Europea, la situación tecnológica de las diferentes
Administraciones Públicas, así como los servicios electrónicos ya existentes. A estos
efectos considerarán la utilización de estándares abiertos así como, en su caso y de
forma complementaria, estándares que sean de uso generalizado por los ciudadanos.
F/. 13-abr-15
P/. Formación Inicial
D/. Administración Electrónica
RD 3/2010, por el que se regula el E.N.S. en el ámbito de la Admón. Electrónica.
Principios básicos de seguridad
El objeto último de la seguridad de la información es asegurar que una organización
administrativa podrá cumplir sus objetivos utilizando sistemas de información. En las
decisiones en materia de seguridad deberán tenerse en cuenta los siguientes principios
básicos:
1. Seguridad integral.
2. Gestión de riesgos.
3. Prevención, reacción y recuperación.
4. Líneas de defensa.
5. Reevaluación periódica.
6. Función diferenciada.
F/. 13-abr-15
P/. Formación Inicial
D/. Administración Electrónica
RD 3/2010, por el que se regula el E.N.S. en el ámbito de la Admón. Electrónica.
1. Seguridad Integral
Es un proceso constituido por todos los elementos técnicos, humanos, materiales y
organizativos, relacionados con el sistema.
Se prestará la máxima atención a la concienciación de las personas que intervienen en
el proceso y a sus responsables jerárquicos, para que, ni la ignorancia, ni la falta de
organización y coordinación, ni instrucciones inadecuadas, sean fuentes de riesgo para la
seguridad.
2. Gestión de Riesgos
Es parte esencial del proceso de seguridad y deberá mantenerse permanentemente
actualizado.
Permitirá el mantenimiento de un entorno controlado, minimizando los riesgos hasta niveles
aceptables. La reducción de estos niveles se realizará mediante el despliegue de medidas
de seguridad, que establecerá un equilibrio entre la naturaleza de los datos y los
tratamientos, los riesgos a los que estén expuestos y las medidas de seguridad.
F/. 13-abr-15
P/. Formación Inicial
D/. Administración Electrónica
RD 3/2010, por el que se regula el E.N.S. en el ámbito de la Admón. Electrónica.
3. Prevención, reacción y recuperación.
Detección y corrección, para conseguir que las amenazas no se materialicen y no afecte a la
información y servicios que se manejan.
Las medidas de prevención deben eliminar o, al menos reducir, la posibilidad de que las
amenazas lleguen a materializarse con perjuicio para el sistema. Estas medidas de
prevención contemplarán, entre otras, la disuasión y la reducción de la exposición.
Las medidas de detección estarán acompañadas de medidas de reacción (reducir el
incidente en el mínimo tiempo)
Las medidas de recuperación permitirán la restauración de la información y los servicios,
de forma que se pueda hacer frente a las situaciones en las que un incidente de seguridad
inhabilite los medios habituales.
El sistema garantizará la conservación de los datos e informaciones en soporte electrónico.
El sistema mantendrá disponibles los servicios durante todo el ciclo vital de la información
digital
F/. 13-abr-15
P/. Formación Inicial
D/. Administración Electrónica
RD 3/2010, por el que se regula el E.N.S. en el ámbito de la Admón. Electrónica.
4. Líneas de defensa.
Disponer de una estrategia de protección constituida por múltiples capas de seguridad,
dispuesta de forma que, cuando una de las capas falle:
•
Ganar tiempo para una reacción adecuada frente a los incidentes que no han
podido evitarse.
•
Reducir la probabilidad de que el sistema sea comprometido en su conjunto.
•
Minimizar el impacto final sobre el mismo.
Constituidas por medidas de naturaleza organizativa, física y lógica.
5. Reevaluación periódica
Las medidas de seguridad se reevaluarán y actualizarán periódicamente, para adecuar su
eficacia a la constante evolución de los riesgos y sistemas de protección, llegando incluso a
un replanteamiento de la seguridad, si fuese necesario..
F/. 13-abr-15
P/. Formación Inicial
D/. Administración Electrónica
RD 3/2010, por el que se regula el E.N.S. en el ámbito de la Admón. Electrónica.
6. Función diferenciada.
Se diferenciará el responsable de la información, el responsable del servicio y el
responsable de la seguridad.
El responsable de la información determinará los requisitos de la información tratada.
El responsable del servicio determinará los requisitos de los servicios prestados.
El responsable de seguridad determinará las decisiones para satisfacer los requisitos de
seguridad de la información y de los servicios.
La responsabilidad de la seguridad de los sistemas de información estará diferenciada de la
responsabilidad sobre la prestación de los servicios.
La política de seguridad de la organización detallará las atribuciones de cada responsable y
los mecanismos de coordinación y resolución de conflictos.
F/. 13-abr-15