accesskey _ mod _ content

Introduction

La transformación digital del Sector Público ha de ir acompañada de medidas organizativas y técnicas de seguridad que protejan la información manejada y los servicios prestados, proporcionadas a los riesgos provenientes de acciones malintencionadas o ilícitas, particularmente de las ciberamenazas, errores o fallos y accidentes o desastres.

The Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas (Opens in new window) collects between the rights of persons in their relations with public administrations, set out in article 13, the relative “ to the protection of personal data, and in particular the security and confidentiality of the data included in the files, systems and applications of the public administrations ”. At the same time that security is among the principles of action of the public administrations, as well as the guarantee of protection of personal data, as provided for in the Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público (Opens in new window) in its article 3 which deals with the general principles relating to the relations of the administrations by electronic means.

In response to the foregoing, article 156 of the law 40/2015 reflects the National security scheme (NHIS) que “tiene por objeto establecer la política de seguridad en la utilización de medios electrónicos en el ámbito de la presente Ley, y está constituido por los principios básicos y requisitos mínimos que garanticen adecuadamente la seguridad de la información tratada”.

El ENS fue establecido anteriormente por el artículo 42 de la Ley 11/2007 y está regulado por el Royal Decree 3/2010, of 8 january (Opens in new window) , which was amended by the Royal Decree 951/2015 (Opens in new window) para actualizarlo a la luz de la experiencia obtenida en su implantación, de la evolución de la tecnología y las ciberamenazas y del contexto regulatorio internacional y europeo.

The technical instructions of the security council binding, are essential for proper, uniform and consistent implementation of the requirements and measures contained in the outline and, in particular, to indicate the common way to act in specific areas: Report of the state security; Notice of security incidents; Audit of security; Accordance with the national security; Adquisición de productos de seguridad; Criptología de empleo en el Esquema Nacional de Seguridad; Interconexión en el Esquema Nacional de Seguridad; y Requisitos de seguridad en entornos externalizados.

Safety guides for the so-called National Cryptologic, CCN-STIC guides (Opens in new window) and commercially available Portal del CCN-CERT (Opens in new window) , ayudan al mejor cumplimiento de lo establecido en el Esquema Nacional de Seguridad, en particular, de la colección de guías de la serie 800.

The NHIS was prepared in the light of the state of art and the main actors in the area of security of information from the european Union, oecd, national and international standardization, similar actions in other countries, etc.

The NHIS is the result of a coordinated by the ministry of Territorial policy and Public role together with the centre National Cryptologic (NCC) and the participation of all public administrations, through the Collegiate bodies with competence in respect of digital administration. It also has borne in mind the views of industry associations of the ict sector.

Objectives

The national security (NHIS) pursues the following objectives:

  • Create the conditions of security in the use of electronic means , a través de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones, y los servicios electrónicos, que permita el ejercicio de derechos y el cumplimiento de deberes a través de estos medios.
  • Promote the management of security .
  • Promote the prevention, detection and correction for better resilience in the scene of cyber threats and cyber attacks.
  • Promoting equal treatment of security to facilitate cooperation in the provision of public services when they involve digital various entities. This involves providing the common elements that guide the actions of public Sector entities in the area of security of information technologies; also provide a common language to facilitate interaction, as well as communication security requirements of the information to the Industry.
  • Serve as a model of good practices, in line with what was said in the recommendations of the OECD ' Digital Security Risk Management for Economic and Social Prosperity - OECD Recommendation and Companion Document

En el Esquema Nacional de Seguridad se concibe la seguridad como una actividad integral, en la que no caben actuaciones puntuales o tratamientos coyunturales, debido a que la debilidad de un sistema la determina su punto más frágil y, a menudo, este punto es la coordinación entre medidas individualmente adecuadas pero deficientemente ensambladas.

Elements of the national security

The main elements of the NHIS are as follows:

  • The basic principles to be considered in decision-making on the security council (arts. 4-10).
  • The minimum requirements that would allow adequate protection of information (arts. 11-26).
  • The mechanism for achieving compliance with the basic principles and minimum requirements through security measures provided the nature of information and services to protect (arts. 27, 43, 44, annex I and Annex II).
  • The use of infrastructures and common services (item 28).
  • Safety guides (item 29).
  • The technical instructions of the security council (item 29 and additional provision fourth).
  • Electronic communications (arts. 31 to 33)
  • The audit of the security council (item 34 and Annex III).
  • The response to security incidents (arts. 36 and 37).
  • The use of certificates (item 18., annex II and Annex V).
  • Compliance (item 41).
  • Training and awareness-raising (additional provision first).

El mandato principal del ENS es el establecido en el artículo 11 ‘Requisitos mínimos de seguridad’, según el cual “todos los órganos superiores de las Administraciones públicas deberán disponer formalmente de su política de seguridad que articule la gestión continuada de la seguridad, que será aprobada por el titular del órgano superior correspondiente”, que se establecerá en base a los principios básicos y que se desarrollará aplicando los requisitos mínimos.

Ámbito of implementation

The Scope of application del Esquema Nacional de Seguridad es el Sector Público, según lo establecido en el artículo 2 de las leyes 39/2015 y 40/2015 sobre el ámbito subjetivo y lo indicado sobre el sector público institucional. Están excluidos de su ámbito de aplicación los sistemas que tratan información clasificada regulada por la Ley 9/1968 de 5 de abril, de Secretos Oficiales y sus normas de desarrollo.

Adequacy of national security

Una adecuación ordenada al Esquema Nacional de Seguridad requiere el tratamiento de las siguientes cuestiones, expresadas de forma muy sucinta:

See the NHIS Adequacy

The NHIS

El ENS en su artículo 41 sobre ‘Publicación de conformidad’ señala que los órganos y Entidades de Derecho Público darán publicidad en las correspondientes sedes electrónicas a las declaraciones de conformidad, y a los distintivos de seguridad de los que sean acreedores, obtenidos respecto al cumplimiento del ENS. Tras la entrada en vigor de las leyes 39/2015 y 40/2015 afecta a todas las entidades del Sector Público en España, así como a los operadores del Sector Privado que les prestan soluciones y servicios, no solo de seguridad, o que estén interesadas en la certificación de la conformidad con el ENS.

' Technical instruction of the security council in accordance with the NHIS » Establishes the criteria and procedures for the ascertainment of responsiveness, as well as for advertising that conformity. Precise mechanism for generating and publicity of the declarations of conformity and the features of the security council achieved in the implementation of the TEAMS.

Further information,

Fill in the form of Contact (Opens in new window) to send your request for information.

Subscribe to the youtube channel of OBSAE
Subscribe to the youtube channel of OBSAE