the accesskey _ mod _ content

Introduction

Digital transformation of the public Sector must be accompanied by organizational and technical measures of security to protect the information managed and services provided to the risks from malicious or illicit actions, particularly of cyber threats, errors or mistakes and accidents or disasters.

The Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas (Opens in new window) collects between the rights of people in their relations with public administrations, established in Article 13, the relative “ to the protection of personal data, and in particular the security and confidentiality of the data contained in the files, systems and applications of public administrations ”. While the security is among the principles of action of public administrations, as well as the guarantee of protection of personal data, as established in the Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público (Opens in new window) en su artículo 3 que trata los principios generales relativos a las relaciones de las administraciones por medios electrónicos.

In response to the foregoing, article 156 of law 40/2015 reflects the National security scheme (NHIS) que “tiene por objeto establecer la política de seguridad en la utilización de medios electrónicos en el ámbito de la presente Ley, y está constituido por los principios básicos y requisitos mínimos que garanticen adecuadamente la seguridad de la información tratada”.

El ENS fue establecido anteriormente por el artículo 42 de la Ley 11/2007 y está regulado por el Royal Decree 3/2010, of January 8th (Opens in new window) , which was modified by the Royal Decree 951/2015 (Opens in new window) to update it in the light of experience in their implantation of the evolution of technology and cyber threats and international regulatory context and European.

The technical safety instructions , binding, are essential to ensure adequate, uniform and consistent implementation of the requirements and measures contained in the outline and, particularly, to indicate the common way of acting on specific aspects: Report of the state of security; Notification of security incidents; Audit of safety; Line with the national security Scheme; Adquisición de productos de seguridad; Criptología de empleo en el Esquema Nacional de Seguridad; Interconexión en el Esquema Nacional de Seguridad; y Requisitos de seguridad en entornos externalizados.

The guides of security by the National PKIX Centre, called CCN-STIC guides (Opens in new window) and available in the Portal del CCN-CERT (Opens in new window) , ayudan al mejor cumplimiento de lo establecido en el Esquema Nacional de Seguridad, en particular, de la colección de guías de la serie 800.

El ENS se elaboró a la luz del estado del arte y de los principales referentes en materia de seguridad de la información provenientes de la Unión Europea, OCDE, normalización nacional e internacional, actuaciones similares en otros países, etc.

El ENS es el resultado de un trabajo coordinado por el Ministerio de Política Territorial y función Pública junto con el Centro Criptológico Nacional (CCN) y la participación de todas las AA.PP., a través de los órganos colegiados con competencias en materia de administración digital. También se ha tenido presente la opinión de las asociaciones de la Industria del sector TIC.

Goals

The national security Scheme (NHIS) has the following objectives:

  • Create the conditions of safety in the use of electronic media through measures to ensure the safety systems, data, communications, and electronic services, allowing the exercise of rights and duties through these means.
  • Promote continuing management security .
  • Promote prevention detection and correction, for better resilience in the scene of cyber threats and cyber attacks.
  • Promote a homogeneous treatment security to facilitate cooperation in the provision of public services digitales when participating various entities. This means providing the common elements that guide the performance of public Sector entities in safety of information technologies; also provide a common language to facilitate interaction, as well as the communication of the requirements of information security industry.
  • Serve as a model of good practices, in line with the recommendations of the ‘ OCDE Digital Security Risk Management for Economic and Social Prosperity - OECD Recommendation and Companion Document

In the national security Scheme is conceived security as an integral activity, in which there can be no action punctual or cyclical treatments, due to the weakness of a system is determined by its point more fragile and often this point is the coordination between individual measures appropriate but poorly assembled.

Elements of the national security Scheme

The main elements of ENS are as follows:

  • The basic principles a considerar en las decisiones en materia de seguridad (arts. 4-10).
  • The minimum requirements allow adequate protection of information (arts. 11-26).
  • The mechanism for achieving compliance with the basic principles and minimum requirements through security measures provided the nature of the information and services to protect (arts. 27, 43, 44, annex I and Annex (II).
  • The use of common infrastructure and services (art. 28).
  • Safety guides (art. 29).
  • The instructions security techniques (art. 29 and additional provision 4th).
  • Electronic communications (arts. 31-33)
  • The audit of safety (art. 34 and Annex (III).
  • The response to security incidents (arts. 36 and 37).
  • The use of certified products (art. 18., annex II and annex V).
  • The line (art. 41).
  • The training and awareness (additional provision first).

El mandato principal del ENS es el establecido en el artículo 11 ‘Requisitos mínimos de seguridad’, según el cual “todos los órganos superiores de las Administraciones públicas deberán disponer formalmente de su política de seguridad que articule la gestión continuada de la seguridad, que será aprobada por el titular del órgano superior correspondiente”, que se establecerá en base a los principios básicos y que se desarrollará aplicando los requisitos mínimos.

Scope

The Scope del Esquema Nacional de Seguridad es el Sector Público, según lo establecido en el artículo 2 de las leyes 39/2015 y 40/2015 sobre el ámbito subjetivo y lo indicado sobre el sector público institucional. Están excluidos de su ámbito de aplicación los sistemas que tratan información clasificada regulada por la Ley 9/1968 de 5 de abril, de Secretos Oficiales y sus normas de desarrollo.

Alignment with national security Scheme

Una adecuación ordenada al Esquema Nacional de Seguridad requiere el tratamiento de las siguientes cuestiones, expresadas de forma muy sucinta:

ENS alignment to the figure

Accordance with ENS

The ENS in its Article 41 on ‘ Publication in accordance ’ notes that the bodies and public entities give publicity in the corresponding electronic headquarters declarations of conformity, and the hallmarks of security of those who are creditors, obtained with regard to compliance with ENS. After the entry into force of laws 39/2015 and 40/2015 affects all public Sector entities in Spain, as well as private Sector operators providing solutions and services, not only of security, or interested in the certification of conformity with the ENS.

The ‘ Technical safety instruction in accordance with the ENS » establece los criterios y procedimientos para la determinación de la conformidad, así como para la publicidad de dicha conformidad. Precisa los mecanismos de obtención y publicidad de las declaraciones de conformidad y de los distintivos de seguridad obtenidos respecto al cumplimiento del ENS.

More information

Fill the form Contact (Opens in new window) to send your request for information.

General access point
General access point