accesskey_mod_content

Esquema Nacional de Seguridade - ENS

  • Opinar
  • Escoitar
  • Imprimir PDF
  • Compartir

Introdución

O Real Decreto 311/2022, do 3 de maio, polo que se regula o Esquema Nacional de Seguridade(Abre en nova xanela) substitúe ao Real Decreto 3/2010, do 8 de xaneiro, polo que se regula o Esquema Nacional de Seguridade no ámbito da Administración Electrónica.

O Real Decreto 311/2022 actualiza o Esquema Nacional de Seguridade ( ENS ) para:

  • Primeiro, aliñar o ENS co marco normativo e o contexto estratéxico existentes para garantir a seguridade na Administración Dixital. Para logralo, clarifícase o ámbito de aplicación do ENS e actualízanse as referencias ao marco legal vixente, de maneira que se simplifiquen e harmonicen os mandatos do ENS.
  • Segundo, introducir a capacidade de axustar os requisitos do ENS para garantir a súa adaptación á realidade de certos colectivos ou tipos de sistemas, atendendo á semellanza dos riscos aos que están expostos os seus sistemas de información.
  • Terceiro, reforzar a protección fronte ás tendencias en ciberseguridade mediante a revisión dos principios básicos, os requisitos mínimos e as medidas de seguridade que deben adoptarse polas entidades suxeitas ao ENS.

Os sistemas afectados deberán adecuarse ao disposto no real decreto nun prazo de vinte e catro meses contados a partir da súa entrada en vigor.

Obxectivos

O Esquema Nacional de Seguridade ( ENS ) persegue os seguintes grandes obxectivos:

  • Crear as condicións necesarias de seguridade no uso dos medio electrónicos, a través de medidas para garantir a seguridade dos sistemas, os datos, as comunicacións, e os servizos electrónicos, que permita o exercicio de dereitos e o cumprimento de deberes a través destes medios.
  • Promover a xestión continuada da seguridade.
  • Promover a prevención, detección e corrección, para unha mellor resiliencia no escenario de ciberamenazas e ciberataques.
  • Promover un tratamento homoxéneo da seguridade que facilite a cooperación na prestación de servizos públicos dixitais cando participan diversas entidades. Isto supón proporcionar os elementos comúns que han de guiar a actuación das entidades do Sector Público e dos seus provedores tecnolóxicos en materia de seguridade das tecnoloxías da información.
  • Servir de modelo de boas prácticas, en liña co apuntado nas recomendacións do OCDE Digital Security Risk Management for Economic and Social Prosperity OECD Recommendation and Companion Document(Abre en nova xanela) .

Elementos do Esquema Nacional de Seguridade

Os elementos principais do ENS son os seguintes:

  • Os principios básicos a considerar nas decisións en materia de seguridade (arts. 5-11).
  • Os requisitos mínimos que permitan unha protección adecuada da información (arts. 12-27).
  • O mecanismo para lograr o cumprimento dos principios básicos e dos requisitos mínimos mediante a adopción de medidas de seguridade proporcionadas á natureza da información e os servizos a protexer (arts. 28, 40, 41, Anexo I e Anexo II).
  • O uso de infraestruturas e servizos comúns (art. 29).
  • Os perfís de cumprimento específicos (art. 30).
  • O informe de estado da seguridade (art. 32)
  • A auditoría da seguridade (art. 31 e Anexo III).
  • A resposta ante incidentes de seguridade (arts. 33 e 34).
  • O uso de produtos certificados (art. 19 e Anexo II).
  • A conformidade (art. 38).
  • A formación e a concienciación (disposición adicional primeira).
  • As guías de seguridade (disposición adicional segunda).
  • As instrucións técnicas de seguridade (disposición adicional segunda).

O mandato principal do ENS é o establecido no artigo 12 ‘Política de seguridade e requisitos mínimos de seguridade’, segundo o cal “cada administración pública contará cunha política de seguridade formalmente aprobada polo órgano competente”, a cal “é o conxunto de directrices que rexen a forma en que unha organización xestiona e protexe a información que trata e os servizos que presta” e establecerase de acordo con os principios básicos e desenvolverase aplicando os requisitos mínimos, en proporción aos riscos identificados en cada sistema.

As instrucións técnicas de seguridade , de obrigado cumprimento, son esenciais para lograr unha adecuada, homoxénea e coherente implantación dos requisitos e medidas recollidos no Esquema e, particularmente, para indicar o modo común de actuar en aspectos concretos.

As guías de seguridade CCN-STIC(Abre en nova xanela) , publicadas polo Centro Criptolóxico Nacional, en particular, a colección de guías da serie 800, e dispoñibles no Portal do CCN-CERT, axudan ao mellor cumprimento do establecido no Esquema Nacional de Seguridade.

Ámbito de aplicación

O ámbito de aplicación do Esquema Nacional de Seguridade comprende a todo o Sector Público, nos termos previstos no artigo 2 da Lei 40/2015; aos sistemas que tratan información clasificada, sen prexuízo da aplicación da Lei 9/1968, do 5 de abril, de Segredos Oficiais; e aos sistemas de información das entidades do sector privado cando presten servizos ou provean solucións ás entidades do sector público para o exercicio das súas competencias e potestades administrativas.

Adecuación ao Esquema Nacional de Seguridade

Unha adecuación ordenada ao Esquema Nacional de Seguridade require genéricamente o tratamento das seguintes cuestións, expresadas de forma sucinta:

  • Preparar e aprobar a política de seguridade, incluíndo os obxectivos ou misión da organización, o marco regulatorio das actividades, a definición de roles de seguridade, a estrutura e composición do comité para a xestión e coordinación da seguridade, as directrices de estruturación da documentación da seguridade, e os riscos derivados do tratamento de datos persoais.
  • Categorizar os sistemas atendendo á valoración da información manexada e dos servizos prestados.
  • Realizar a análise de riscos, incluíndo a valoración das medidas de seguridade existentes.
  • Preparar e aprobar a Declaración de aplicabilidade das medidas do Anexo II do ENS.
  • Elaborar un plan de adecuación para a mellora da seguridade, sobre a base das insuficiencias detectadas, incluíndo prazos estimados de execución.
  • Implantar, operar e monitorar as medidas de seguridade a través da xestión continuada da seguridade correspondente.
  • Auditar a seguridade para verificar o cumprimento dos requisitos do ENS.
  • Obter e publicitar a conformidade co ENS.
  • Informar o estado da seguridade.

Adecuación al ENS

Figura: Adecuación ao Esquema Nacional de Seguridade.

Conformidade co ENS

O artigo 38 sobre ‘Procedementos de determinación da conformidade co Esquema Nacional de Seguridade’ sinala que todos os suxeitos responsables dos sistemas de información afectados polo ENS darán publicidade das declaracións e certificacións conforme ao ENS nos seus portais de internet ou sedes electrónicas. Esta obriga afecta a todo o Sector Público, aos sistemas de información clasificada  e ás entidades do sector privado que lles presten solucións e servizos para o exercicio de competencias e potestades administrativas.

A Instrución Técnica de Seguridade de conformidade co Esquema Nacional de Seguridade(Abre en nova xanela) establece os criterios e procedementos para a determinación da conformidade, así como para a publicidade da este conformidade. Precisa os mecanismos de obtención e publicidade das declaracións de conformidade e dos distintivos de seguridade obtidos respecto ao cumprimento do ENS.

Máis información

Encha o formulario de  Contacto(Abre en nova xanela)  para enviar o seu pedimento de información.