accesskey_mod_content

Introducció

La transformació digital del Sector Públic ha d'anar acompanyada de mesures organitzatives i tècniques de seguretat que protegisquen la informació manejada i els servicis prestats, proporcionades als riscos provinents d'accions malintencionades o il·lícites, particularment de les ciberamenazas, errors o fallades i accidents o desastres.

La Llei 39/2015, d'1 d'octubre, del Procediment Administratiu Comú de les Administracions Públiques(Obri en nova finestra) arreplega entre els drets de les persones en les seues relacions amb les Administracions Públiques, establits en el seu article 13, el relatiu “a la protecció de dades de caràcter personal, i en particular a la seguretat i confidencialitat de les dades que figuren en els fitxers, sistemes i aplicacions de les Administracions Públiques”. Alhora que la seguretat figura entre els principis d'actuació de les administracions públiques, així com la garantia de la protecció de les dades personals, segons l'establit en Llei 40/2015, d'1 d'octubre, de Règim Jurídic del Sector Públic(Obri en nova finestra) en el seu article 3 que tracta els principis generals relatius a les relacions de les administracions per mitjans electrònics.

Per a donar resposta a tot l'anterior, l'article 156 de la Llei 40/2015 arreplega l'Esquema Nacional de Seguretat (ENS) que “té per objecte establir la política de seguretat en la utilització de mitjans electrònics en l'àmbit de la present Llei, i està constituït pels principis bàsics i requisits mínims que garantisquen adequadament la seguretat de la informació tractada”.

L'ENS va ser establit anteriorment per l'article 42 de la Llei 11/2007 i està regulat pel Reial decret 3/2010, de 8 de gener(Obri en nova finestra) , que va ser modificat pel Reial decret 951/2015(Obri en nova finestra) per a actualitzar-ho a la llum de l'experiència obtinguda en la seua implantació, de l'evolució de la tecnologia i les ciberamenazas i del context regulatori internacional i europeu.

Les instruccions tècniques de seguretat , d'obligat compliment, són essencials per a aconseguir una adequada, homogènia i coherent implantació dels requisits i mesures arreplegats en l'Esquema i, particularment, per a indicar la manera comuna d'actuar en aspectes concrets: Informe de l'estat de la seguretat; Notificació d'incidents de seguretat; Auditoria de la seguretat; Conformitat amb l'Esquema Nacional de Seguretat; Adquisició de productes de seguretat; Criptologia d'ocupació en l'Esquema Nacional de Seguretat; Interconnexió en l'Esquema Nacional de Seguretat; i Requisits de seguretat en entorns externalitzats.

Les guies de seguretat pel Centre Criptològic Nacional, denominades guies CCN-STIC(Obri en nova finestra) i disponibles en Portal del CCN-CERT(Obri en nova finestra) , ajuden al millor compliment de l'establit en l'Esquema Nacional de Seguretat, en particular, de la col·lecció de guies de la sèrie 800.

L'ENS es va elaborar a la llum de l'estat de l'art i dels principals referents en matèria de seguretat de la informació provinents de la Unió Europea, OCDE, normalització nacional i internacional, actuacions similars en altres països, etc.

L'ENS és el resultat d'un treball coordinat pel Ministeri de Política Territorial i funció Pública juntament amb el Centre Criptològic Nacional (CCN) i la participació de totes les AA.PP., a través dels òrgans col·legiats amb competències en matèria d'administració digital. També s'ha tingut present l'opinió de les associacions de la Indústria del sector TIC.

Objectius

L'Esquema Nacional de Seguretat (ENS) perseguix els següents objectius :

  • Crear les condicions necessàries de seguretat en l'ús dels mitjans electrònics, a través de mesures per a garantir la seguretat dels sistemes, les dades, les comunicacions, i els servicis electrònics, que permeta l'exercici de drets i el compliment de deures a través d'estos mitjans.
  • Promoure la gestió continuada de la seguretat.
  • Promoure la prevenció detecció i correcció, per a una millor resiliència en l'escenari de ciberamenazas i ciberatacs.
  • Promoure un tractament homogeni de la seguretat que facilite la cooperació en la prestació de servicis públics digitals quan participen diverses entitats. Açò suposa proporcionar els elements comuns que han de guiar l'actuació de les entitats del Sector Públic en matèria de seguretat de les tecnologies de la informació; també aportar un llenguatge comú per a facilitar la interacció, així com la comunicació dels requisits de seguretat de la informació a la Indústria.
  • Servir de model de bones pràctiques, en línia amb l'apuntat en les recomanacions de l'OCDE « Digital Security Risk Management for Economic and Social Prosperity - OECD Recommendation and Companion Document ».

En l'Esquema Nacional de Seguretat es concep la seguretat com una activitat integral, en la qual no caben actuacions puntuals o tractaments conjunturals, a causa que la debilitat d'un sistema la determina el seu punt més fràgil i, sovint, este punt és la coordinació entre mesures individualment adequades però deficientment assemblades.

Elements de l'Esquema Nacional de Seguretat

Els elements principals de l'ENS són els següents:

  • Els principis bàsics a considerar en les decisions en matèria de seguretat (arts. 4-10).
  • Els requisits mínims que permeten una protecció adequada de la informació (arts. 11-26).
  • El mecanisme per a aconseguir el compliment dels principis bàsics i dels requisits mínims mitjançant l'adopció de mesures de seguretat proporcionades a la naturalesa de la informació i els servicis a protegir (arts. 27, 43, 44, Annex I i Annex II).
  • L'ús d'infraestructures i servicis comuns (art. 28).
  • Les guies de seguretat (art. 29).
  • Les instruccions tècniques de seguretat (art. 29 i disposició addicional quarta).
  • Les comunicacions electròniques (arts. 31 a 33)
  • L'auditoria de la seguretat (art. 34 i Annex III).
  • La resposta davant incidents de seguretat (arts. 36 i 37).
  • L'ús de productes certificats (art. 18., Annex II i Annex V).
  • La conformitat (art. 41).
  • La formació i la conscienciació (disposició addicional primera).

El mandat principal de l'ENS és l'establit en l'article 11 ‘Requisits mínims de seguretat’, segons el qual “tots els òrgans superiors de les Administracions públiques hauran de disposar formalment de la seua política de seguretat que articule la gestió continuada de la seguretat, que serà aprovada pel titular de l'òrgan superior corresponent”, que s'establirà sobre la base dels principis bàsics i que es desenvoluparà aplicant els requisits mínims.

Àmbit d'aplicació

L'àmbit d'aplicació de l'Esquema Nacional de Seguretat és el Sector Públic, segons l'establit en l'article 2 de les lleis 39/2015 i 40/2015 sobre l'àmbit subjectiu i l'indicat sobre el sector públic institucional. Estan exclosos del seu àmbit d'aplicació els sistemes que tracten informació classificada regulada per la Llei 9/1968 de 5 d'abril, de Secrets Oficials i les seues normes de desenvolupament.

Adequació a l'Esquema Nacional de Seguretat

Una adequació ordenada a l'Esquema Nacional de Seguretat requerix el tractament de les següents qüestions, expressades de forma molt succinta:

Figura Adequació a l'ENS

Conformitat amb l'ENS

L'ENS en el seu article 41 sobre ‘Publicació de conformitat’ assenyala que els òrgans i Entitats de Dret Públic donaran publicitat en les corresponents seus electròniques a les declaracions de conformitat, i als distintius de seguretat dels quals siguen creditors, obtinguts respecte al compliment de l'ENS. Després de l'entrada en vigor de les lleis 39/2015 i 40/2015 afecta a totes les entitats del Sector Públic a Espanya, així com als operadors del Sector Privat que els presten solucions i servicis, no solament de seguretat, o que estiguen interessades en la certificació de la conformitat amb l'ENS.

La Instrucció Tècnica de Seguretat de Conformitat amb l'ENS » establix els criteris i procediments per a la determinació de la conformitat, així com per a la publicitat d'aquesta conformitat. Precisa els mecanismes d'obtenció i publicitat de les declaracions de conformitat i dels distintius de seguretat obtinguts respecte al compliment de l'ENS.

Més informació

Òmpliga el formulari de  Contacte(Obri en nova finestra)  per a enviar la seua petició d'informació.

Punt d'Accés General
Punt d'Accés General