accesskey_mod_content

Introducci?n

A transformaci?n dixital do Sector P?blico ha de ir acompa?ada de medidas organizativas e t?cnicas de seguridade que protexan a informaci?n manexada e os servizos prestados, proporcionadas aos riscos provenientes de acci?ns malintencionadas ou il?citas, particularmente das ciberamenazas, erros ou fallos e accidentes ou desastres.

A Lei 39/2015, de 1 de outubro, do Procedemento Administrativo Com?n das Administraci?ns P?blicas(Abre en nova xanela) recolle entre os dereitos das persoas nas s?as relaci?ns coas Administraci?ns P?blicas, establecidos no seu art?cu 13, o relativo ?? protecci?n de datos de car?cter persoal, e en particular ? seguridade e confidencialidade dos datos que figuren nos ficheiros, sistemas e aplicaci?ns das Administraci?ns P?blicas?. ? vez que a seguridade figura entre os principios de actuaci?n das administraci?ns p?blicas, as? como a garant?a de a protecci?n dos datos persoais, seg?n o establecido na Lei 40/2015, de 1 de outubro, de R?gimen Jur?dico do Sector P?blico(Abre en nova xanela) na s?a art?cu 3 que trata os principios xerais relativos ?s relaci?ns das administraci?ns por medios electr?nicos.

Para dar resposta a todo o anterior, o art?cu 156 da Lei 40/2015 recolle o Esquema Nacional de Seguridade (ENS) que ?ten por obxecto establecer a pol?tica de seguridade na utilizaci?n de medios electr?nicos no ?mbito da presente Lei, e est? constitu?do polos principios b?sicos e requisitos m?nimos que garantan adecuadamente a seguridade da informaci?n tratada?.

O ENS foi establecido anteriormente polo art?cu 42 da Lei 11/2007 e est? regulado polo Real Decreto 3/2010, de 8 de xaneiro(Abre en nova xanela) , que foi modificado polo Real Decreto 951/2015(Abre en nova xanela) para actualizalo ? luz da experiencia obtida na s?a implantaci?n, da evoluci?n da tecnolog?a e as ciberamenazas e do contexto regulatorio internacional e europeo.

As instruci?ns t?cnicas de seguridade , de obrigado cumprimento, son esenciais para lograr unha adecuada, homog?nea e coherente implantaci?n dos requisitos e medidas recollidos no Esquema e, particularmente, para indicar o modo com?n de actuar en aspectos concretos: Informe do estado da seguridade; Notificaci?n de incidentes de seguridade; Auditor?a de a seguridade; Conformidade co Esquema Nacional de Seguridade; Adquisici?n de produtos de seguridade; Criptolog?a de emprego no Esquema Nacional de Seguridade; Interconexi?n no Esquema Nacional de Seguridade; e Requisitos de seguridade en contornas externalizados.

As gu?as de seguridade polo Centro Criptol?gico Nacional, denominadas gu?as CCN-STIC(Abre en nova xanela) e dispo?ibles no Portal do CCN-CERT(Abre en nova xanela) , axudan ao mellor cumprimento do establecido no Esquema Nacional de Seguridade, en particular, da colecci?n de gu?as da serie 800.

O ENS se elabor? ? luz da estado da arte e dos principais referentes en materia de seguridade da informaci?n provenientes da Uni?n Europea, OCDE, normalizaci?n nacional e internacional, actuaci?ns similares noutros pa?ses, etc.

O ENS ? o resultado dun traballo coordinado polo Ministerio de Pol?tica Territorial e funci?n P?blica xunto co Centro Criptol?gico Nacional (CCN) e a participaci?n de todas as AA.PP., a trav?s dos ?rganos colexiados con competencias en materia de administraci?n dixital. Tambi?n t?vose presente a opini?n das asociaci?ns da Industria do sector TIC.

Obxectivos

O Esquema Nacional de Seguridade (ENS) persegue os seguintes obxectivos :

  • Crear as condici?ns necesarias de seguridade no uso dos medios electr?nicos, a trav?s de medidas para garantir a seguridade dos sistemas, os datos, as comunicaci?ns, e os servizos electr?nicos, que permita o exercicio de dereitos e o cumprimento de deberes a trav?s destes medios.
  • Promover a gesti?n continuada da seguridade.
  • Promover a prevenci?n detecci?n e correcci?n, para unha mellor resiliencia no escenario de ciberamenazas e ciberataques.
  • Promover un tratamento homog?neo da seguridade que facilite a cooperaci?n na prestaci?n de servizos p?blicos dixitais cando participan diversas entidades. Isto sup?n proporcionar os elementos com?ns que han de guiar a actuaci?n das entidades do Sector P?blico en materia de seguridade das tecnolog?as da informaci?n; tambi?n achegar unha linguaxe com?n para facilitar a interacci?n, as? como a comunicaci?n dos requisitos de seguridade da informaci?n ? Industria.
  • Servir de modelo de boas pr?cticas, en l?nea co apuntado nas recomendaci?ns do OCDE ? Digital Security Risk Management for Economic and Social Prosperity - OECD Recommendation and Companion Document ?.

No Esquema Nacional de Seguridade conc?bese a seguridade como unha actividade integral, na que non caben actuaci?ns puntuais ou tratamentos conxunturais, debido a que a debilidade dun sistema determ?naa o seu punto m?s fr?gil e, a mi?do, este punto ? a coordinaci?n entre medidas individualmente adecuadas pero deficientemente ensambladas.

Elementos do Esquema Nacional de Seguridade

Os elementos principais do ENS son os seguintes:

  • Os principios b?sicos a considerar nas decisi?ns en materia de seguridade (arts. 4-10).
  • Os requisitos m?nimos que permitan unha protecci?n adecuada da informaci?n (arts. 11-26).
  • O mecanismo para lograr o cumprimento dos principios b?sicos e dos requisitos m?nimos mediante a adopci?n de medidas de seguridade proporcionadas ? natureza da informaci?n e os servizos a protexer (arts. 27, 43, 44, Anexo I e Anexo II).
  • O uso de infraestruturas e servizos com?ns (art. 28).
  • As gu?as de seguridade (art. 29).
  • As instruci?ns t?cnicas de seguridade (art. 29 e disposici?n adicional cuarta).
  • As comunicaci?ns electr?nicas (arts. 31 a 33)
  • O auditor?a de a seguridade (art. 34 e Anexo III).
  • A resposta ante incidentes de seguridade (arts. 36 e 37).
  • O uso de produtos certificados (art. 18., Anexo II e Anexo V).
  • A conformidade (art. 41).
  • A formaci?n e a concienciaci?n (disposici?n adicional primeira).

O mandato principal do ENS ? o establecido no art?cu 11 ?Requisitos m?nimos de seguridade?, seg?n o cal ?todos os ?rganos superiores das Administraci?ns p?blicas deber?n dispor formalmente do seu pol?tica de seguridade que articule a gesti?n continuada da seguridade, que ser? aprobada polo titular do ?rgano superior correspondente?, que se establecer? en base aos principios b?sicos e que se desenvolver? aplicando os requisitos m?nimos.

?mbito de aplicaci?n

O ?mbito de aplicaci?n do Esquema Nacional de Seguridade ? o Sector P?blico, seg?n o establecido no art?cu 2 das leis 39/2015 e 40/2015 sobre o ?mbito subxectivo e o indicado sobre o sector p?blico institucional. Est?n exclu?dos do seu ?mbito de aplicaci?n os sistemas que tratan informaci?n clasificada regulada pola Lei 9/1968 de 5 de abril, de Segredos Oficiais e as s?as normas de desenvolvemento.

Adecuaci?n ao Esquema Nacional de Seguridade

Unha adecuaci?n ordenada ao Esquema Nacional de Seguridade require o tratamento das seguintes cuesti?ns, expresadas de forma moi sucinta:

Figura Adecuaci?n ao ENS

Conformidade co ENS

O ENS no seu art?cu 41 sobre ?Publicaci?n de conformidade? se?? que os ?rganos e Entidades de Dereito P?blico dar?n publicidade nas correspondentes sedes electr?nicas ?s declaraci?ns de conformidade, e aos distintivos de seguridade dos que sexan acredores, obtidos respecto ao cumprimento do ENS. Tras a entrada en vigor das leis 39/2015 e 40/2015 afecta a todas as entidades do Sector P?blico en Espa?a, as? como aos operadores do Sector Privado que lles prestan soluci?ns e servizos, non s? de seguridade, ou que est?n interesadas na certificaci?n da conformidade co ENS.

A ? Instrucci?n T?cnica de Seguridade de Conformidade co ENS ? establece os criterios e procedementos para a determinaci?n da conformidade, as? como para a publicidade da devandita conformidade. Precisa os mecanismos de obtenci?n e publicidade das declaraci?ns de conformidade e dos distintivos de seguridade obtidos respecto ao cumprimento do ENS.

M?s informaci?n

Encha o formulario de? Contacto(Abre en nova xanela) ?para enviar o seu petici?n de informaci?n.

Punto de Acceso Xeral
Punto de Acceso Xeral