the accesskey _ mod _ content

Introduction

La transformación digital del Sector Público ha de ir acompañada de medidas organizativas y técnicas de seguridad que protejan la información manejada y los servicios prestados, proporcionadas a los riesgos provenientes de acciones malintencionadas o ilícitas, particularmente de las ciberamenazas, errores o fallos y accidentes o desastres.

The Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas (Opens in new window) recoge entre los derechos de las personas en sus relaciones con las Administraciones Públicas, establecidos en su artículo 13, el relativo “a la protección de datos de carácter personal, y en particular a la seguridad y confidencialidad de los datos que figuren en los ficheros, sistemas y aplicaciones de las Administraciones Públicas”. A la vez que la seguridad figura entre los principios de actuación de las administraciones públicas, así como la garantía de la protección de los datos personales, según lo establecido en la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público (Opens in new window) en su artículo 3 que trata los principios generales relativos a las relaciones de las administraciones por medios electrónicos.

In response to the foregoing, article 156 of law 40 / 2015 reflects the National security scheme (NHIS) que “tiene por objeto establecer la política de seguridad en la utilización de medios electrónicos en el ámbito de la presente Ley, y está constituido por los principios básicos y requisitos mínimos que garanticen adecuadamente la seguridad de la información tratada”.

El ENS fue establecido anteriormente por el artículo 42 de la Ley 11/2007 y está regulado por el Royal Decree 3 / 2010, of January 8th (Opens in new window) , which was modified by the Royal Decree 951 / 2015 (Opens in new window) para actualizarlo a la luz de la experiencia obtenida en su implantación, de la evolución de la tecnología y las ciberamenazas y del contexto regulatorio internacional y europeo.

The technical safety instructions , de obligado cumplimiento, son esenciales para lograr una adecuada, homogénea y coherente implantación de los requisitos y medidas recogidos en el Esquema y, particularmente, para indicar el modo común de actuar en aspectos concretos: Report of the state of security; Notification of security incidents; Audit of safety; Line with the national security Scheme; Acquisition of security products; Cryptology of employment in the national security Scheme; Interconnection in the national security Scheme; and security requirements in environments outsourced.

The guides of security by the National PKIX Centre, called CCN-STIC guides (Opens in new window) and available in the Portal del CCN-CERT (Opens in new window) help with best compliance with the national security Scheme, in particular, the collection of guides of the series 800.

The ENS was developed in the light of the state of the art and the main referents in safety of information from the European Union, OCDE, national and international standardization, like in other countries, etc.

The ENS is the result of a work coordinated by the Ministry of Territorial Policy and Public function together with the National PKIX Centre (CCN) and the participation of all the AA.PP., through the collegiate bodies responsible for digital administration. They have been designed with the view of industry associations TIC sector.

Goals

El Esquema Nacional de Seguridad (ENS) persigue los siguientes objetivos :

  • Create the conditions of safety in the use of electronic media , a través de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones, y los servicios electrónicos, que permita el ejercicio de derechos y el cumplimiento de deberes a través de estos medios.
  • Promote continuing management security .
  • Promote prevention detection and correction, for better resilience in the scene of cyber threats and cyber attacks.
  • Promote a homogeneous treatment security to facilitate cooperation in the provision of public services digitales when participating various entities. This means providing the common elements that guide the performance of public Sector entities in safety of information technologies; also provide a common language to facilitate interaction, as well as the communication of the requirements of information security industry.
  • Serve as a model of good practices, en línea con lo apuntado en las recomendaciones de la OCDE « Digital Security Risk Management for Economic and Social Prosperity - OECD Recommendation and Companion Document

In the national security Scheme is conceived security as an integral activity, in which there can be no action punctual or cyclical treatments, due to the weakness of a system is determined by its point more fragile and often this point is the coordination between individual measures appropriate but poorly assembled.

Elements of the national security Scheme

The main elements of ENS are as follows:

  • The basic principles to consider in decisions on security (arts. 4-10).
  • The minimum requirements allow adequate protection of information (arts. 11-26).
  • El mecanismo para lograr el cumplimiento de los principios básicos y de los requisitos mínimos through security measures provided the nature of the information and services to protect (arts. 27, 43, 44, annex I and Annex (II).
  • The use of common infrastructure and services (art. 28).
  • Safety guides (art. 29).
  • The instructions security techniques (art. 29 and additional provision 4th).
  • Electronic communications (arts. 31-33)
  • The audit of safety (art. 34 and Annex (III).
  • The response to security incidents (arts. 36 and 37).
  • The use of certified products (art. 18., annex II and annex V).
  • The line (art. 41).
  • The training and awareness (additional provision first).

The principal mandate of ENS is established in Article 11 ‘ minimum requirements of security ’, whereby “ all the higher level of public administrations should formally have its security policy that articulates continued management of security, which shall be adopted by the holder of the corresponding upper Body ”, which was established in base to the basic principles and will run through the minimum requirements.

Scope

The Scope del Esquema Nacional de Seguridad es el Sector Público, según lo establecido en el artículo 2 de las leyes 39/2015 y 40/2015 sobre el ámbito subjetivo y lo indicado sobre el sector público institucional. Están excluidos de su ámbito de aplicación los sistemas que tratan información clasificada regulada por la Ley 9/1968 de 5 de abril, de Secretos Oficiales y sus normas de desarrollo.

Alignment with national security Scheme

Una adecuación ordenada al Esquema Nacional de Seguridad requiere el tratamiento de las siguientes cuestiones, expresadas de forma muy sucinta:

ENS alignment to the figure

Accordance with ENS

El ENS en su artículo 41 sobre ‘Publicación de conformidad’ señala que los órganos y Entidades de Derecho Público darán publicidad en las correspondientes sedes electrónicas a las declaraciones de conformidad, y a los distintivos de seguridad de los que sean acreedores, obtenidos respecto al cumplimiento del ENS. Tras la entrada en vigor de las leyes 39/2015 y 40/2015 afecta a todas las entidades del Sector Público en España, así como a los operadores del Sector Privado que les prestan soluciones y servicios, no solo de seguridad, o que estén interesadas en la certificación de la conformidad con el ENS.

The ‘ Technical safety instruction in accordance with the ENS » Establishes criteria and procedures for the conformity assessment, as well as for advertising of that line. Precise obtaining mechanisms and publicity declarations of conformity and of the hallmarks of security obtained with regard to compliance with ENS.

More information

Fill the form Contact (Opens in new window) to send your request for information.

General access point
General access point