accesskey_mod_content

Introducció

La transformació digital del Sector Públic ha d'anar acompanyada de mesures organitzatives i tècniques de seguretat que protegeixin la informació manejada i els serveis prestats, proporcionades als riscos provinents d'accions malintencionades o il·lícites, particularment de les ciberamenazas, errors o fallades i accidents o desastres.

La Llei 39/2015, d'1 d'octubre, del Procediment Administratiu Comú de les Administracions Públiques(Obre en nova finestra) recull entre els drets de les persones en les seves relacions amb les Administracions Públiques, establerts en el seu article 13, el relatiu “a la protecció de dades de caràcter personal, i en particular a la seguretat i confidencialitat de les dades que figurin en els fitxers, sistemes i aplicacions de les Administracions Públiques”. Alhora que la seguretat figura entre els principis d'actuació de les administracions públiques, així com la garantia de la protecció de les dades personals, segons l'establert en Llei 40/2015, d'1 d'octubre, de Règim Jurídic del Sector Públic(Obre en nova finestra) en el seu article 3 que tracta els principis generals relatius a les relacions de les administracions per mitjans electrònics.

Per donar resposta a tot l'anterior, l'article 156 de la Llei 40/2015 recull l'Esquema Nacional de Seguretat (ENS) que “té per objecte establir la política de seguretat en la utilització de mitjans electrònics en l'àmbit de la present Llei, i està constituït pels principis bàsics i requisits mínims que garanteixin adequadament la seguretat de la informació tractada”.

L'ENS va ser establert anteriorment per l'article 42 de la Llei 11/2007 i està regulat pel Reial decret 3/2010, de 8 de gener(Obre en nova finestra) , que va ser modificat pel Reial decret 951/2015(Obre en nova finestra) per actualitzar-ho a la llum de l'experiència obtinguda en la seva implantació, de l'evolució de la tecnologia i les ciberamenazas i del context regulatori internacional i europeu.

Les instruccions tècniques de seguretat , d'obligat compliment, són essencials per aconseguir una adequada, homogènia i coherent implantació dels requisits i mesures recollits en l'Esquema i, particularment, per indicar la manera comuna d'actuar en aspectes concrets: Informe de l'estat de la seguretat; Notificació d'incidents de seguretat; Auditoria de la seguretat; Conformitat amb l'Esquema Nacional de Seguretat; Adquisició de productes de seguretat; Criptologia d'ocupació en l'Esquema Nacional de Seguretat; Interconnexió en l'Esquema Nacional de Seguretat; i Requisits de seguretat en entorns externalitzats.

Les guies de seguretat pel Centre Criptològic Nacional, denominades guies CCN-STIC(Obre en nova finestra) i disponibles al Portal del CCN-CERT(Obre en nova finestra) , ajuden al millor compliment de l'establert en l'Esquema Nacional de Seguretat, en particular, de la col·lecció de guies de la sèrie 800.

L'ENS es va elaborar a la llum de l'estat de l'art i dels principals referents en matèria de seguretat de la informació provinents de la Unió Europea, OCDE, normalització nacional i internacional, actuacions similars en altres països, etc.

L'ENS és el resultat d'un treball coordinat pel Ministeri de Política Territorial i funció Pública juntament amb el Centre Criptològic Nacional (CCN) i la participació de totes les AA.PP., a través dels òrgans col·legiats amb competències en matèria d'administració digital. També s'ha tingut present l'opinió de les associacions de la Indústria del sector TIC.

Objectius

L'Esquema Nacional de Seguretat (ENS) persegueix els següents objectius :

  • Crear les condicions necessàries de seguretat en l'ús dels mitjans electrònics, a través de mesures per garantir la seguretat dels sistemes, les dades, les comunicacions, i els serveis electrònics, que permeti l'exercici de drets i el compliment de deures a través d'aquests mitjans.
  • Promoure la gestió continuada de la seguretat.
  • Promoure la prevenció detecció i correcció, per a una millor resiliència en l'escenari de ciberamenazas i ciberatacs.
  • Promoure un tractament homogeni de la seguretat que faciliti la cooperació en la prestació de serveis públics digitals quan participen diverses entitats. Això suposa proporcionar els elements comuns que han de guiar l'actuació de les entitats del Sector Públic en matèria de seguretat de les tecnologies de la informació; també aportar un llenguatge comú per facilitar la interacció, així com la comunicació dels requisits de seguretat de la informació a la Indústria.
  • Servir de model de bones pràctiques, en línia amb l'apuntat en les recomanacions de l'OCDE « Digital Security Risk Management for Economic and Social Prosperity - OECD Recommendation and Companion Document ».

En l'Esquema Nacional de Seguretat es concep la seguretat com una activitat integral, en la qual no caben actuacions puntuals o tractaments conjunturals, a causa que la feblesa d'un sistema la determina el seu punt més fràgil i, sovint, aquest punt és la coordinació entre mesures individualment adequades però deficientment assemblades.

Elements de l'Esquema Nacional de Seguretat

Els elements principals de l'ENS són els següents:

  • Els principis bàsics a considerar en les decisions en matèria de seguretat (arts. 4-10).
  • Els requisits mínims que permetin una protecció adequada de la informació (arts. 11-26).
  • El mecanisme per aconseguir el compliment dels principis bàsics i dels requisits mínims mitjançant l'adopció de mesures de seguretat proporcionades a la naturalesa de la informació i els serveis a protegir (arts. 27, 43, 44, Annex I i Annex II).
  • L'ús d'infraestructures i serveis comuns (art. 28).
  • Les guies de seguretat (art. 29).
  • Les instruccions tècniques de seguretat (art. 29 i disposició addicional quarta).
  • Les comunicacions electròniques (arts. 31 a 33)
  • L'auditoria de la seguretat (art. 34 i Annex III).
  • La resposta davant incidents de seguretat (arts. 36 i 37).
  • L'ús de productes certificats (art. 18., Annex II i Annex V).
  • La conformitat (art. 41).
  • La formació i la conscienciació (disposició addicional primera).

El mandat principal de l'ENS és l'establert en l'article 11 ‘Requisits mínims de seguretat’, segons el qual “tots els òrgans superiors de les Administracions públiques hauran de disposar formalment de la seva política de seguretat que articuli la gestió continuada de la seguretat, que serà aprovada pel titular de l'òrgan superior corresponent”, que s'establirà sobre la base dels principis bàsics i que es desenvoluparà aplicant els requisits mínims.

Àmbit d'aplicació

L'àmbit d'aplicació de l'Esquema Nacional de Seguretat és el Sector Públic, segons l'establert en l'article 2 de les lleis 39/2015 i 40/2015 sobre l'àmbit subjectiu i l'indicat sobre el sector públic institucional. Estan exclosos del seu àmbit d'aplicació els sistemes que tracten informació classificada regulada per la Llei 9/1968 de 5 d'abril, de Secrets Oficials i les seves normes de desenvolupament.

Adequació a l'Esquema Nacional de Seguretat

Una adequació ordenada a l'Esquema Nacional de Seguretat requereix el tractament de les següents qüestions, expressades de forma molt succinta:

Figura Adequació a l'ENS

Conformitat amb l'ENS

L'ENS en el seu article 41 sobre ‘Publicació de conformitat’ assenyala que els òrgans i Entitats de Dret Públic donaran publicitat a les corresponents seus electròniques a les declaracions de conformitat, i als distintius de seguretat dels quals siguin creditors, obtinguts respecte al compliment de l'ENS. Després de l'entrada en vigor de les lleis 39/2015 i 40/2015 afecta a totes les entitats del Sector Públic a Espanya, així com als operadors del Sector Privat que els presten solucions i serveis, no solament de seguretat, o que estiguin interessades en la certificació de la conformitat amb l'ENS.

La Instrucció Tècnica de Seguretat de Conformitat amb l'ENS » estableix els criteris i procediments per a la determinació de la conformitat, així com per a la publicitat d'aquesta conformitat. Precisa els mecanismes d'obtenció i publicitat de les declaracions de conformitat i dels distintius de seguretat obtinguts respecte al compliment de l'ENS.

Més informació

Empleni el formulari de  Contacte(Obre en nova finestra)  per enviar la seva petició d'informació.

Punt d'Accés General
Punt d'Accés General