accesskey_mod_content

Introdución

A transformación dixital do Sector Público ha de ir acompañada de medidas organizativas e técnicas de seguridade que protexan a información manexada e os servizos prestados, proporcionadas aos riscos provenientes de accións malintencionadas ou ilícitas, particularmente das ciberamenazas, erros ou fallos e accidentes ou desastres.

A Lei 39/2015, de 1 de outubro, do Procedemento Administrativo Común das Administracións Públicas(Abre en nova xanela) recolle entre os dereitos das persoas nas súas relacións coas Administracións Públicas, establecidos no seu artigo 13, o relativo “á protección de datos de carácter persoal, e en particular á seguridade e confidencialidade dos datos que figuren nos ficheiros, sistemas e aplicacións das Administracións Públicas”. Á vez que a seguridade figura entre os principios de actuación das administracións públicas, así como a garantía da protección dos datos persoais, segundo o establecido na Lei 40/2015, de 1 de outubro, de Réxime Xurídico do Sector Público(Abre en nova xanela) no seu artigo 3 que trata os principios xerais relativos ás relacións das administracións por medios electrónicos.

Para dar resposta a todo o anterior, o artigo 156 da Lei 40/2015 recolle o Esquema Nacional de Seguridade (ENS) que “ten por obxecto establecer a política de seguridade na utilización de medios electrónicos no ámbito da presente Lei, e está constituído polos principios básicos e requisitos mínimos que garantan adecuadamente a seguridade da información tratada”.

O ENS foi establecido anteriormente polo artigo 42 da Lei 11/2007 e está regulado polo Real Decreto 3/2010, de 8 de xaneiro(Abre en nova xanela) , que foi modificado polo Real Decreto 951/2015(Abre en nova xanela) para actualizalo á luz da experiencia obtida na súa implantación, da evolución da tecnoloxía e as ciberamenazas e do contexto regulatorio internacional e europeo.

As instrucións técnicas de seguridade , de obrigado cumprimento, son esenciais para lograr unha adecuada, homoxénea e coherente implantación dos requisitos e medidas recollidos no Esquema e, particularmente, para indicar o modo común de actuar en aspectos concretos: Informe do estado da seguridade; Notificación de incidentes de seguridade; Auditoría da seguridade; Conformidade co Esquema Nacional de Seguridade; Adquisición de produtos de seguridade; Criptología de emprego no Esquema Nacional de Seguridade; Interconexión no Esquema Nacional de Seguridade; e Requisitos de seguridade en contornas externalizados.

As guías de seguridade polo Centro Criptolóxico Nacional, denominadas guías CCN-STIC(Abre en nova xanela) e dispoñibles no Portal do CCN-CERT(Abre en nova xanela) , axudan ao mellor cumprimento do establecido no Esquema Nacional de Seguridade, en particular, da colección de guías da serie 800.

O ENS elaborouse á luz da estado da arte e dos principais referentes en materia de seguridade da información provenientes da Unión Europea, OCDE, normalización nacional e internacional, actuacións similares noutros países, etc.

O ENS é o resultado dun traballo coordinado polo Ministerio de Política Territorial e función Pública xunto co Centro Criptolóxico Nacional (CCN) e a participación de todas as AA.PP., a través dos órganos colexiados con competencias en materia de administración dixital. Tamén se tivo presente a opinión das asociacións da Industria do sector TIC.

Obxectivos

O Esquema Nacional de Seguridade (ENS) persegue os seguintes obxectivos :

  • Crear as condicións necesarias de seguridade no uso dos medios electrónicos, a través de medidas para garantir a seguridade dos sistemas, os datos, as comunicacións, e os servizos electrónicos, que permita o exercicio de dereitos e o cumprimento de deberes a través destes medios.
  • Promover a xestión continuada da seguridade.
  • Promover a prevención detección e corrección, para unha mellor resiliencia no escenario de ciberamenazas e ciberataques.
  • Promover un tratamento homoxéneo da seguridade que facilite a cooperación na prestación de servizos públicos dixitais cando participan diversas entidades. Isto supón proporcionar os elementos comúns que han de guiar a actuación das entidades do Sector Público en materia de seguridade das tecnoloxías da información; tamén achegar unha linguaxe común para facilitar a interacción, así como a comunicación dos requisitos de seguridade da información á Industria.
  • Servir de modelo de boas prácticas, en liña co apuntado nas recomendacións do OCDE « Digital Security Risk Management for Economic and Social Prosperity - OECD Recommendation and Companion Document ».

No Esquema Nacional de Seguridade concíbese a seguridade como unha actividade integral, na que non caben actuacións puntuais ou tratamentos conxunturais, debido a que a debilidade dun sistema determínaa o seu punto máis fráxil e, a miúdo, este punto é a coordinación entre medidas individualmente adecuadas pero deficientemente ensambladas.

Elementos do Esquema Nacional de Seguridade

Os elementos principais do ENS son os seguintes:

  • Os principios básicos a considerar nas decisións en materia de seguridade (arts. 4-10).
  • Os requisitos mínimos que permitan unha protección adecuada da información (arts. 11-26).
  • O mecanismo para lograr o cumprimento dos principios básicos e dos requisitos mínimos mediante a adopción de medidas de seguridade proporcionadas á natureza da información e os servizos a protexer (arts. 27, 43, 44, Anexo I e Anexo II).
  • O uso de infraestruturas e servizos comúns (art. 28).
  • As guías de seguridade (art. 29).
  • As instrucións técnicas de seguridade (art. 29 e disposición adicional cuarta).
  • As comunicacións electrónicas (arts. 31 a 33)
  • A auditoría da seguridade (art. 34 e Anexo III).
  • A resposta ante incidentes de seguridade (arts. 36 e 37).
  • O uso de produtos certificados (art. 18., Anexo II e Anexo V).
  • A conformidade (art. 41).
  • A formación e a concienciación (disposición adicional primeira).

O mandato principal do ENS é o establecido no artigo 11 ‘Requisitos mínimos de seguridade’, segundo o cal “todos os órganos superiores das Administracións públicas deberán dispor formalmente da súa política de seguridade que articule a xestión continuada da seguridade, que será aprobada polo titular do órgano superior correspondente”, que se establecerá en base aos principios básicos e que se desenvolverá aplicando os requisitos mínimos.

Ámbito de aplicación

O ámbito de aplicación do Esquema Nacional de Seguridade é o Sector Público, segundo o establecido no artigo 2 das leis 39/2015 e 40/2015 sobre o ámbito subxectivo e o indicado sobre o sector público institucional. Están excluídos do seu ámbito de aplicación os sistemas que tratan información clasificada regulada pola Lei 9/1968 de 5 de abril, de Segredos Oficiais e as súas normas de desenvolvemento.

Adecuación ao Esquema Nacional de Seguridade

Unha adecuación ordenada ao Esquema Nacional de Seguridade require o tratamento das seguintes cuestións, expresadas de forma moi sucinta:

Figura Adecuación ao ENS

Conformidade co ENS

O ENS no seu artigo 41 sobre ‘Publicación de conformidade’ sinala que os órganos e Entidades de Dereito Público darán publicidade nas correspondentes sedes electrónicas ás declaracións de conformidade, e aos distintivos de seguridade dos que sexan acredores, obtidos respecto ao cumprimento do ENS. Tras a entrada en vigor das leis 39/2015 e 40/2015 afecta a todas as entidades do Sector Público en España, así como aos operadores do Sector Privado que lles prestan solucións e servizos, non só de seguridade, ou que estean interesadas na certificación da conformidade co ENS.

A « Instrución Técnica de Seguridade de Conformidade co ENS » establece os criterios e procedementos para a determinación da conformidade, así como para a publicidade da devandita conformidade. Precisa os mecanismos de obtención e publicidade das declaracións de conformidade e dos distintivos de seguridade obtidos respecto ao cumprimento do ENS.

Máis información

Encha o formulario de  Contacto(Abre en nova xanela)  para enviar a súa petición de información.

0 Comentarios

Non hai comentarios

 
Punto de Acceso Xeral
Punto de Acceso Xeral