Introdución
O Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad sustituye al Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.
O Real Decreto 311/2022 actualiza o Esquema Nacional de Seguridade (
ENS
) para:
- Primero, alinear el ENS con el marco normativo y el contexto estratégico existentes para garantizar la seguridad en la Administración Digital. Para lograrlo, se clarifica el ámbito de aplicación del ENS y se actualizan las referencias al marco legal vigente, de manera que se simplifiquen y armonicen los mandatos del ENS.
- Segundo, introducir la capacidad de ajustar los requisitos del ENS para garantizar su adaptación a la realidad de ciertos colectivos o tipos de sistemas, atendiendo a la semejanza de los riesgos a los que están expuestos sus sistemas de información.
- Tercero, reforzar la protección frente a las tendencias en ciberseguridad mediante la revisión de los principios básicos, los requisitos mínimos y las medidas de seguridad que deben adoptarse por las entidades sujetas al ENS.
Los sistemas afectados deberán adecuarse a lo dispuesto en el real decreto en un plazo de veinticuatro meses contados a partir de su entrada en vigor.
Obxectivos
O Esquema Nacional de Seguridade (
ENS
) persegue os seguintes grandes obxectivos:
- Crear as condicións necesarias de seguridade no uso dos medio electrónicos, a través de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones, y los servicios electrónicos, que permita el ejercicio de derechos y el cumplimiento de deberes a través de estos medios.
- Promover a xestión continuada da seguridade.
- Promover a prevención, detección e corrección, para unha mellor resiliencia no escenario de ciberamenazas e ciberataques.
- Promover un tratamento homoxéneo da seguridade que facilite a cooperación na prestación de servizos públicos dixitais cando participan diversas entidades. Isto supón proporcionar os elementos comúns que han de guiar a actuación das entidades do Sector Público e dos seus provedores tecnolóxicos en materia de seguridade das tecnoloxías da información.
- Servir de modelo de boas prácticas, en liña co apuntado nas recomendacións do OCDE Digital Security Risk Management for Economic and Social Prosperity OECD Recommendation and Companion Document .
Elementos do Esquema Nacional de Seguridade
Os elementos principais do
ENS
son os seguintes:
- Os principios básicos a considerar en las decisiones en materia de seguridad (arts. 5-11).
- Os requisitos mínimos que permitan unha protección adecuada da información (arts. 12-27).
- O mecanismo para lograr o cumprimento dos principios básicos e dos requisitos mínimos mediante a adopción de medidas de seguridade proporcionadas á natureza da información e os servizos a protexer (arts. 28, 40, 41, Anexo I e Anexo II).
- O uso de infraestruturas e servizos comúns (art. 29).
- Os perfís de cumprimento específicos (art. 30).
- O informe de estado da seguridade (art. 32)
- A auditoría da seguridade (art. 31 e Anexo III).
- A resposta ante incidentes de seguridade (arts. 33 e 34).
- O uso de produtos certificados (art. 19 e Anexo II).
- A conformidade (art. 38).
- A formación e a concienciación (disposición adicional primeira).
- As guías de seguridade (disposición adicional segunda).
- As instrucións técnicas de seguridade (disposición adicional segunda).
O mandato principal do
ENS
é o establecido no artigo 12 ‘Política de seguridade e requisitos mínimos de seguridade’, segundo o cal “cada administración pública contará cunha política de seguridade formalmente aprobada polo órgano competente”, a cal “é o conxunto de directrices que rexen a forma en que unha organización xestiona e protexe a información que trata e os servizos que presta” e establecerase de acordo con os principios básicos e desenvolverase aplicando os requisitos mínimos, en proporción aos riscos identificados en cada sistema.
As instrucións técnicas de seguridade , de obrigado cumprimento, son esenciais para lograr unha adecuada, homoxénea e coherente implantación dos requisitos e medidas recollidos no Esquema e, particularmente, para indicar o modo común de actuar en aspectos concretos.
As guías de seguridade CCN-STIC , publicadas polo Centro Criptolóxico Nacional, en particular, a colección de guías da serie 800, e dispoñibles no Portal do CCN-CERT, axudan ao mellor cumprimento do establecido no Esquema Nacional de Seguridade.
Ámbito de aplicación
O ámbito de aplicación do Esquema Nacional de Seguridade comprende a todo o Sector Público, nos termos previstos no artigo 2 da Lei 40/2015; aos sistemas que tratan información clasificada, sen prexuízo da aplicación da Lei 9/1968, do 5 de abril, de Segredos Oficiais; e aos sistemas de información das entidades do sector privado cando presten servizos ou provean solucións ás entidades do sector público para o exercicio das súas competencias e potestades administrativas.
Adecuación ao Esquema Nacional de Seguridade
Unha adecuación ordenada ao Esquema Nacional de Seguridade require genéricamente o tratamento das seguintes cuestións, expresadas de forma sucinta:
- Preparar e aprobar a política de seguridade, incluíndo os obxectivos ou misión da organización, o marco regulatorio das actividades, a definición de roles de seguridade, a estrutura e composición do comité para a xestión e coordinación da seguridade, as directrices de estruturación da documentación da seguridade, e os riscos derivados do tratamento de datos persoais.
- Categorizar os sistemas atendendo á valoración da información manexada e dos servizos prestados.
- Realizar a análise de riscos, incluíndo a valoración das medidas de seguridade existentes.
- Preparar e aprobar a Declaración de aplicabilidade das medidas do Anexo II do ENS.
- Elaborar un plan de adecuación para a mellora da seguridade, sobre a base das insuficiencias detectadas, incluíndo prazos estimados de execución.
- Implantar, operar e monitorar as medidas de seguridade a través da xestión continuada da seguridade correspondente.
- Auditar a seguridade para verificar o cumprimento dos requisitos do ENS.
- Obter e publicitar a conformidade co ENS.
- Informar o estado da seguridade.
Figura: Adecuación ao Esquema Nacional de Seguridade.
Conformidade co ENS
O artigo 38 sobre ‘Procedementos de determinación da conformidade co Esquema Nacional de Seguridade’ sinala que todos os suxeitos responsables dos sistemas de información afectados polo ENS darán publicidade das declaracións e certificacións conforme ao ENS nos seus portais de internet ou sedes electrónicas. Esta obriga afecta a todo o Sector Público, aos sistemas de información clasificada e ás entidades do sector privado que lles presten solucións e servizos para o exercicio de competencias e potestades administrativas.
A Instrución Técnica de Seguridade de conformidade co Esquema Nacional de Seguridade establece os criterios e procedementos para a determinación da conformidade, así como para a publicidade da este conformidade. Precisa os mecanismos de obtención e publicidade das declaracións de conformidade e dos distintivos de seguridade obtidos respecto ao cumprimento do ENS.
Instrumentos para a adecuación ao ENS
Instrumentos para abordar a adecuación ao ENS:
Evolución do ENS
Máis información
Encha o formulario de Contacto para enviar o seu pedimento de información.
0 Comentarios
Non hai comentarios