accesskey_mod_content

Introducci?n

La transformaci?n digital del Sector P?blico ha d'anar acompa?ada de mesures organitzatives i t?cnicas de seguretat que protegeixin la informaci?n manejada i els serveis prestats, proporcionades als riscos provinents d'accions malintencionades o il?cites, particularment de les ciberamenazas, errors o fallades i accidents o desastres.

La Llei 39/2015, d'1 d'octubre, del Procediment Administratiu Com?n de les Administracions P?blicas(Obre en nova finestra) recull entre els drets de les persones en les seves relacions amb les Administracions P?blicas, establerts en el seu art?cul 13, el relatiu ?a la protecci?n de dades de car?cter personal, i en particular a la seguretat i confidencialitat de les dades que figurin en els fitxers, sistemes i aplicacions de les Administracions P?blicas?. Alhora que la seguretat figura entre els principis d'actuaci?n de les administracions p?blicas, as? com la garant?a de la protecci?n de les dades personals, seg?n l'establert en Llei 40/2015, d'1 d'octubre, de R?gemeguen Jur?dico del Sector P?blico(Obre en nova finestra) en la seva art?cul 3 que tracta els principis generals relatius a les relacions de les administracions per mitjans electr?nicos.

Per donar resposta a tot l'anterior, l'art?cul 156 de la Llei 40/2015 recull l'Esquema Nacional de Seguretat (ENS) que ?t? per objecte establir la pol?tica de seguretat en la utilizaci?n de mitjans electr?nicos en el ?mbito de la present Llei, i est? constitu?t pels principis b?sicos i requisits m?nimos que garanteixin adequadament la seguretat de la informaci?n tractada?.

L'ENS va ser establert anteriorment per l'art?cul 42 de la Llei 11/2007 i est? regulat pel Reial decret 3/2010, de 8 de gener(Obre en nova finestra) , que va ser modificat pel Reial decret 951/2015(Obre en nova finestra) per actualitzar-ho a la llum de l'experi?ncia obtinguda en la seva implantaci?n, de l'evoluci?n de la tecnolog?a i les ciberamenazas i del context regulatori internacional i europeu.

Les instruccions t?cnicas de seguretat , d'obligat compliment, s?n essencials per aconseguir una adequada, homog?nea i coherent implantaci?n dels requisits i mesures recollits en l'Esquema i, particularment, per indicar la manera com?n d'actuar en aspectes concrets: Informe de l'estat de la seguretat; Notificaci?n d'incidents de seguretat; Auditor?a de la seguretat; Conformitat amb l'Esquema Nacional de Seguretat; Adquisici?n de productes de seguretat; Criptolog?a de ocupaci? en l'Esquema Nacional de Seguretat; Interconexi?n en l'Esquema Nacional de Seguretat; i Requisits de seguretat en entorns externalitzats.

Les gu?as de seguretat pel Centre Criptol?gico Nacional, denominades gu?as CCN-STIC(Obre en nova finestra) i disponibles al Portal del CCN-CERT(Obre en nova finestra) , ajuden al millor compliment de l'establert en l'Esquema Nacional de Seguretat, en particular, de la colecci?n de gu?as de la s?rie 800.

L'ENS s'elabor? a la llum de l'estat de l'art i dels principals referents en mat?ria de seguretat de la informaci?n provinents de la Uni?n Europea, OCDE, normalizaci?n nacional i internacional, actuacions similars en altres pa?ses, etc.

L'ENS ?s el resultat d'un treball coordinat pel Ministeri de Pol?tica Territorial i funci?n P?blica juntament amb el Centre Criptol?gico Nacional (CCN) i la participaci?n de totes les AA.PP., a trav?s dels ?rganos col?legiats amb compet?ncies en mat?ria d'administraci?n digital. Tambi?n s'ha tingut present l'opini?n de les associacions de la Ind?stria del sector TIC.

Objectius

L'Esquema Nacional de Seguretat (ENS) persegueix els seg?ents objectius :

  • Crear les condicions necess?ries de seguretat en l'?s dels mitjans electr?nicos, a trav?s de mesures per garantir la seguretat dels sistemes, les dades, les comunicacions, i els serveis electr?nicos, que permeti l'exercici de drets i el compliment de deures a trav?s d'aquests mitjans.
  • Promoure la gesti?n continuada de la seguretat.
  • Promoure la prevenci?n detecci?n i correcci?n, per a una millor resili?ncia en l'escenari de ciberamenazas i ciberatacs.
  • Promoure un tractament homog?neo de la seguretat que faciliti la cooperaci?n en la prestaci?n de serveis p?blicos digitals quan participen diverses entitats. Aix? suposa proporcionar els elements comuns que han de guiar l'actuaci?n de les entitats del Sector P?blico en mat?ria de seguretat de les tecnolog?as de la informaci?n; tambi?n aportar un llenguatge com?n per facilitar la interacci?n, as? com la comunicaci?n dels requisits de seguretat de la informaci?n a la Ind?stria.
  • Servir de model de bones pr?cticas, en l?nea amb l'apuntat en les recomanacions de l'OCDE ? Digital Security Risk Management for Economic and Social Prosperity - OECD Recommendation and Companion Document ?.

En l'Esquema Nacional de Seguretat es concep la seguretat com una activitat integral, en la qual no caben actuacions puntuals o tractaments conjunturals, a causa que la feblesa d'un sistema la determina el seu punt m?s fr?gil i, sovint, aquest punt ?s la coordinaci?n entre mesures individualment adequades per? deficientment assemblades.

Elements de l'Esquema Nacional de Seguretat

Els elements principals de l'ENS s?n els seg?ents:

  • Els principis b?sicos a considerar en les decisions en mat?ria de seguretat (arts. 4-10).
  • Els requisits m?nimos que permetin una protecci?n adequada de la informaci?n (arts. 11-26).
  • El mecanisme per aconseguir el compliment dels principis b?sicos i dels requisits m?nimos mitjan?ant l'adopci?n de mesures de seguretat proporcionades a la naturalesa de la informaci?n i els serveis a protegir (arts. 27, 43, 44, Annex I i Annex II).
  • L'?s d'infraestructures i serveis comuns (art. 28).
  • Les gu?as de seguretat (art. 29).
  • Les instruccions t?cnicas de seguretat (art. 29 i disposici?n addicional quarta).
  • Les comunicacions electr?nicas (arts. 31 a 33)
  • L'auditor?a de la seguretat (art. 34 i Annex III).
  • La resposta davant incidents de seguretat (arts. 36 i 37).
  • L'?s de productes certificats (art. 18., Annex II i Annex V).
  • La conformitat (art. 41).
  • La formaci?n i la concienciaci?n (disposici?n addicional primera).

El mandat principal de l'ENS ?s l'establert en l'art?cul 11 ?Requisits m?nimos de seguretat?, seg?n el qual ?tots els ?rganos superiors de les Administracions p?blicas haver de?n disposar formalment de la seva pol?tica de seguretat que articuli la gesti?n continuada de la seguretat, que ser? aprovada pel titular del ?rgano superior corresponent?, que s'establir? sobre la base dels principis b?sicos i que es desenvolupar? aplicant els requisits m?nimos.

?mbito d'aplicaci?n

El ?mbito d'aplicaci?n de l'Esquema Nacional de Seguretat ?s el Sector P?blico, seg?n l'establert en l'art?cul 2 de les lleis 39/2015 i 40/2015 sobre el ?mbito subjectiu i l'indicat sobre el sector p?blico institucional. Est?n exclosos de la seva ?mbito d'aplicaci?n els sistemes que tracten informaci?n classificada regulada per la Llei 9/1968 de 5 d'abril, de Secrets Oficials i les seves normes de desenvolupament.

Adecuaci?n a l'Esquema Nacional de Seguretat

Una adecuaci?n ordenada a l'Esquema Nacional de Seguretat requereix el tractament de les seg?ents q?estions, expressades de forma molt succinta:

Figura Adecuaci?n a l'ENS

Conformitat amb l'ENS

L'ENS en el seu art?cul 41 sobre ?Publicaci?n de conformitat? es?ala que els ?rganos i Entitats de Dret P?blico donar?n publicitat a les corresponents seus electr?nicas a les declaracions de conformitat, i als distintius de seguretat dels quals siguin creditors, obtinguts respecte al compliment de l'ENS. Despr?s de l'entrada en vigor de les lleis 39/2015 i 40/2015 afecta a totes les entitats del Sector P?blico en Espa?a, as? com als operadors del Sector Privat que els presten solucions i serveis, no solament de seguretat, o que est?n interessades en la certificaci?n de la conformitat amb l'ENS.

La Instrucci?n T?cnica de Seguretat de Conformitat amb l'ENS ? estableix els criteris i procediments per la determinaci?n de la conformitat, as? com per a la publicitat d'aquesta conformitat. Precisa els mecanismes d'obtenci?n i publicitat de les declaracions de conformitat i dels distintius de seguretat obtinguts respecte al compliment de l'ENS.

M?s informaci?n

Empleni el formulari de? Contacte(Obre en nova finestra) ?per enviar el seu petici?n d'informaci?n.

Punt d'Acc?s General
Punt d'Acc?s General