Introdución
A transformación dixital do Sector Público ha de ir acompañada de medidas organizativas e técnicas de seguridade que protexan a información manexada e os servizos prestados, proporcionadas aos riscos provenientes de accións malintencionadas ou ilícitas, particularmente das ciberamenazas, erros ou fallos e accidentes ou desastres.
A Lei 39/2015, do 1 de outubro, do Procedemento Administrativo Común das Administracións Públicas
recolle entre os dereitos das persoas nas súas relacións coas Administracións Públicas, establecidos no seu artigo 13, o relativo “á protección de datos de carácter persoal, e en particular á seguridade e confidencialidade dos datos que figuren nos ficheiros, sistemas e aplicacións das Administracións Públicas”. Á vez que a seguridade figura entre os principios de actuación das administracións públicas, así como a garantía da protección dos datos persoais, segundo o establecido na Lei 40/2015, do 1 de outubro, de Réxime Xurídico do Sector Público
no seu artigo 3 que trata os principios xerais relativos ás relacións das administracións por medios electrónicos.
Para dar resposta a todo o anterior, o artigo 156 da Lei 40/2015 recolle o Esquema Nacional de Seguridade (ENS) que “ten por obxecto establecer a política de seguridade na utilización de medios electrónicos no ámbito da presente Lei, e está constituído polos principios básicos e requisitos mínimos que garantan adecuadamente a seguridade da información tratada”.
O ENS foi establecido anteriormente polo artigo 42 da Lei 11/2007 e está regulado polo Real Decreto 3/2010, do 8 de xaneiro
, que foi modificado polo Real Decreto 951/2015
para actualizalo á luz da experiencia obtida na súa implantación, da evolución da tecnoloxía e as ciberamenazas e do contexto regulatorio internacional e europeo.
As instrucións técnicas de seguridade , de obrigado cumprimento, son esenciais para lograr unha adecuada, homoxénea e coherente implantación dos requisitos e medidas recollidos no Esquema e, particularmente, para indicar o modo común de actuar en aspectos concretos: Informe do estado da seguridade; Notificación de incidentes de seguridade; Auditoría da seguridade; Conformidade co Esquema Nacional de Seguridade; Adquisición de produtos de seguridade; Criptología de emprego no Esquema Nacional de Seguridade; Interconexión no Esquema Nacional de Seguridade; e Requisitos de seguridade en contornas externalizados.
As guías de seguridade polo Centro Criptolóxico Nacional, denominadas guías CCN-STIC
e dispoñibles no Portal do CCN-CERT
, axudan ao mellor cumprimento do establecido no Esquema Nacional de Seguridade, en particular, da colección de guías da serie 800.
O ENS elaborouse á luz da estado da arte e dos principais referentes en materia de seguridade da información provenientes da Unión Europea, OCDE, normalización nacional e internacional, actuacións similares noutros países, etc.
O ENS é o resultado dun traballo coordinado polo Ministerio de Política Territorial e función Pública xunto co Centro Criptolóxico Nacional (CCN) e a participación de todas as AA.PP., a través dos órganos colexiados con competencias en materia de administración dixital. Tamén se tivo presente a opinión das asociacións da Industria do sector TIC.
Obxectivos
O Esquema Nacional de Seguridade (ENS) persegue os seguintes obxectivos :
- Crear as condicións necesarias de seguridade no uso dos medios electrónicos, a través de medidas para garantir a seguridade dos sistemas, os datos, as comunicacións, e os servizos electrónicos, que permita o exercicio de dereitos e o cumprimento de deberes a través destes medios.
- Promover a xestión continuada da seguridade.
- Promover a prevención detección e corrección, para unha mellor resiliencia no escenario de ciberamenazas e ciberataques.
- Promover un tratamento homoxéneo da seguridade que facilite a cooperación na prestación de servizos públicos dixitais cando participan diversas entidades. Isto supón proporcionar os elementos comúns que han de guiar a actuación das entidades do Sector Público en materia de seguridade das tecnoloxías da información; tamén achegar unha linguaxe común para facilitar a interacción, así como a comunicación dos requisitos de seguridade da información á Industria.
- Servir de modelo de boas prácticas, en liña co apuntado nas recomendacións do OCDE «
Digital Security Risk Management for Economic and Social Prosperity - OECD Recommendation and Companion Document
».
No Esquema Nacional de Seguridade concíbese a seguridade como unha actividade integral, na que non caben actuacións puntuais ou tratamentos conxunturais, debido a que a debilidade dun sistema determínaa o seu punto máis fráxil e, a miúdo, este punto é a coordinación entre medidas individualmente adecuadas pero deficientemente ensambladas.
Elementos do Esquema Nacional de Seguridade
Os elementos principais do ENS son os seguintes:
- Os principios básicos a considerar nas decisións en materia de seguridade (arts. 4-10).
- Os requisitos mínimos que permitan unha protección adecuada da información (arts. 11-26).
- O mecanismo para lograr o cumprimento dos principios básicos e dos requisitos mínimos mediante a adopción de medidas de seguridade proporcionadas á natureza da información e os servizos a protexer (arts. 27, 43, 44, Anexo I e Anexo II).
- O uso de infraestruturas e servizos comúns (art. 28).
- As guías de seguridade (art. 29).
- As instrucións técnicas de seguridade (art. 29 e disposición adicional cuarta).
- As comunicacións electrónicas (arts. 31 a 33)
- A auditoría da seguridade (art. 34 e Anexo III).
- A resposta ante incidentes de seguridade (arts. 36 e 37).
- O uso de produtos certificados (art. 18., Anexo II e Anexo V).
- A conformidade (art. 41).
- A formación e a concienciación (disposición adicional primeira).
O mandato principal do ENS é o establecido no artigo 11 ‘Requisitos mínimos de seguridade’, segundo o cal “todos os órganos superiores das Administracións públicas deberán dispor formalmente da súa política de seguridade que articule a xestión continuada da seguridade, que será aprobada polo titular do órgano superior correspondente”, que se establecerá con base nos principios básicos e que se desenvolverá aplicando os requisitos mínimos.
Conformidade co ENS
O ENS no seu artigo 41 sobre ‘Publicación de conformidade’ sinala que os órganos e Entidades de Dereito Público darán publicidade nas correspondentes sedes electrónicas ás declaracións de conformidade, e aos distintivos de seguridade dos que sexan acredores, obtidos respecto ao cumprimento do ENS. Tras a entrada en vigor das leis 39/2015 e 40/2015 afecta a todas as entidades do Sector Público en España, así como aos operadores do Sector Privado que lles prestan solucións e servizos, non só de seguridade, ou que estean interesadas na certificación da conformidade co ENS.
A « Instrución Técnica de Seguridade de Conformidade co ENS » establece os criterios e procedementos para a determinación da conformidade, así como para a publicidade da este conformidade. Precisa os mecanismos de obtención e publicidade das declaracións de conformidade e dos distintivos de seguridade obtidos respecto ao cumprimento do ENS.