Esquema Nacional de Seguridade - ENS

Introdución

A transformación dixital do Sector Público ha de ir acompañada de medidas organizativas e técnicas de seguridade que protexan a información manexada e os servizos prestados, proporcionadas aos riscos provenientes de accións malintencionadas ou ilícitas, particularmente das ciberamenazas, erros ou fallos e accidentes ou desastres.

A Lei 39/2015, do 1 de outubro, do Procedemento Administrativo Común das Administracións Públicas recolle entre os dereitos das persoas nas súas relacións coas Administracións Públicas, establecidos no seu artigo 13, o relativo “á protección de datos de carácter persoal, e en particular á seguridade e confidencialidade dos datos que figuren nos ficheiros, sistemas e aplicacións das Administracións Públicas”. Á vez que a seguridade figura entre os principios de actuación das administracións públicas, así como a garantía da protección dos datos persoais, segundo o establecido na Lei 40/2015, do 1 de outubro, de Réxime Xurídico do Sector Público no seu artigo 3 que trata os principios xerais relativos ás relacións das administracións por medios electrónicos.

Para dar resposta a todo o anterior, o artigo 156 da Lei 40/2015 recolle o Esquema Nacional de Seguridade (ENS) que “ten por obxecto establecer a política de seguridade na utilización de medios electrónicos no ámbito da presente Lei, e está constituído polos principios básicos e requisitos mínimos que garantan adecuadamente a seguridade da información tratada”.

O ENS foi establecido anteriormente polo artigo 42 da Lei 11/2007 e está regulado polo Real Decreto 3/2010, do 8 de xaneiro , que foi modificado polo Real Decreto 951/2015 para actualizalo á luz da experiencia obtida na súa implantación, da evolución da tecnoloxía e as ciberamenazas e do contexto regulatorio internacional e europeo.

As instrucións técnicas de seguridade , de obrigado cumprimento, son esenciais para lograr unha adecuada, homoxénea e coherente implantación dos requisitos e medidas recollidos no Esquema e, particularmente, para indicar o modo común de actuar en aspectos concretos: Informe do estado da seguridade; Notificación de incidentes de seguridade; Auditoría da seguridade; Conformidade co Esquema Nacional de Seguridade; Adquisición de produtos de seguridade; Criptología de emprego no Esquema Nacional de Seguridade; Interconexión no Esquema Nacional de Seguridade; e Requisitos de seguridade en contornas externalizados.

As guías de seguridade polo Centro Criptolóxico Nacional, denominadas guías CCN-STIC e dispoñibles no Portal do CCN-CERT , axudan ao mellor cumprimento do establecido no Esquema Nacional de Seguridade, en particular, da colección de guías da serie 800.

O ENS elaborouse á luz da estado da arte e dos principais referentes en materia de seguridade da información provenientes da Unión Europea, OCDE, normalización nacional e internacional, actuacións similares noutros países, etc.

O ENS é o resultado dun traballo coordinado polo Ministerio de Política Territorial e función Pública xunto co Centro Criptolóxico Nacional (CCN) e a participación de todas as AA.PP., a través dos órganos colexiados con competencias en materia de administración dixital. Tamén se tivo presente a opinión das asociacións da Industria do sector TIC.

Obxectivos

O Esquema Nacional de Seguridade (ENS) persegue os seguintes obxectivos :

• Crear as condicións necesarias de seguridade no uso dos medios electrónicos, a través de medidas para garantir a seguridade dos sistemas, os datos, as comunicacións, e os servizos electrónicos, que permita o exercicio de dereitos e o cumprimento de deberes a través destes medios.
• Promover a xestión continuada da seguridade.
• Promover a prevención detección e corrección, para unha mellor resiliencia no escenario de ciberamenazas e ciberataques.
• Promover un tratamento homoxéneo da seguridade que facilite a cooperación na prestación de servizos públicos dixitais cando participan diversas entidades. Isto supón proporcionar os elementos comúns que han de guiar a actuación das entidades do Sector Público en materia de seguridade das tecnoloxías da información; tamén achegar unha linguaxe común para facilitar a interacción, así como a comunicación dos requisitos de seguridade da información á Industria.
• Servir de modelo de boas prácticas, en liña co apuntado nas recomendacións do OCDE « Digital Security Risk Management for Economic and Social Prosperity - OECD Recommendation and Companion Document ».

No Esquema Nacional de Seguridade concíbese a seguridade como unha actividade integral, na que non caben actuacións puntuais ou tratamentos conxunturais, debido a que a debilidade dun sistema determínaa o seu punto máis fráxil e, a miúdo, este punto é a coordinación entre medidas individualmente adecuadas pero deficientemente ensambladas.

Elementos do Esquema Nacional de Seguridade

Os elementos principais do ENS son os seguintes:

• Os principios básicos a considerar nas decisións en materia de seguridade (arts. 4-10).
• Os requisitos mínimos que permitan unha protección adecuada da información (arts. 11-26).
• O mecanismo para lograr o cumprimento dos principios básicos e dos requisitos mínimos mediante a adopción de medidas de seguridade proporcionadas á natureza da información e os servizos a protexer (arts. 27, 43, 44, Anexo I e Anexo II).
• O uso de infraestruturas e servizos comúns (art. 28).
• As guías de seguridade (art. 29).
• As instrucións técnicas de seguridade (art. 29 e disposición adicional cuarta).
• As comunicacións electrónicas (arts. 31 a 33)
• A auditoría da seguridade (art. 34 e Anexo III).
• A resposta ante incidentes de seguridade (arts. 36 e 37).
• O uso de produtos certificados (art. 18., Anexo II e Anexo V).
• A conformidade (art. 41).
• A formación e a concienciación (disposición adicional primeira).

O mandato principal do ENS é o establecido no artigo 11 ‘Requisitos mínimos de seguridade’, segundo o cal “todos os órganos superiores das Administracións públicas deberán dispor formalmente da súa política de seguridade que articule a xestión continuada da seguridade, que será aprobada polo titular do órgano superior correspondente”, que se establecerá con base nos principios básicos e que se desenvolverá aplicando os requisitos mínimos.

Ámbito de aplicación

O ámbito de aplicación do Esquema Nacional de Seguridade é o Sector Público, segundo o establecido no artigo 2 das leis 39/2015 e 40/2015 sobre o ámbito subxectivo e o indicado sobre o sector público institucional. Están excluídos do seu ámbito de aplicación os sistemas que tratan información clasificada regulada pola Lei 9/1968 do 5 de abril, de Segredos Oficiais e as súas normas de desenvolvemento.

Adecuación ao Esquema Nacional de Seguridade

Unha adecuación ordenada ao Esquema Nacional de Seguridade require o tratamento das seguintes cuestións, expresadas de forma moi sucinta:

• Preparar e aprobar a política de seguridade, incluíndo a definición de roles e a asignación de responsabilidades. (Véxase CCN-STIC 805 Política de seguridade da información )
• Categorizar os sistemas atendendo á valoración da información manexada e dos servizos prestados.(Véxase CCN-STIC 803 Valoración de sistemas no Esquema Nacional de Seguridade )
• Realizar a análise de riscos, incluíndo a valoración das medidas de seguridade existentes. (Véxase Magerit versión 3 e programas de apoio -Pilar- )
• Preparar e aprobar a Declaración de aplicabilidade das medidas do Anexo II do ENS. (Véxase CCN-STIC 804 Medidas e implantación do Esquema Nacional de Seguridade )
• Elaborar un plan de adecuación para a mellora da seguridade, sobre a base das insuficiencias detectadas, incluíndo prazos estimados de execución. (Véxase CCN-STIC 806 Plan de adecuación do Esquema Nacional de Seguridade )
• Implantar operar e monitorar as medidas de seguridade a través da xestión continuada da seguridade correspondente. (Véxase serie CCN-STIC )
• Auditar a seguridade para verificar o cumprimento dos requisitos do ENS. (Véxase CCN-STIC 802 Auditoría do Esquema Nacional de Seguridade e CCN-STIC 808 Verificación do cumprimento das medidas no Esquema Nacional de Seguridade ).
• Obter e publicitar a conformidade co ENS. (Véxase CCN-STIC 809 Declaración e certificación de conformidade co ENS e distintivos de cumprimento )
• Informar o estado da seguridade. (Véxase CCN-STIC 815 Métricas e Indicadores no Esquema Nacional de Seguridade e CCN-STIC 824 Informe do Estado de Seguridade )

Conformidade co ENS

O ENS no seu artigo 41 sobre ‘Publicación de conformidade’ sinala que os órganos e Entidades de Dereito Público darán publicidade nas correspondentes sedes electrónicas ás declaracións de conformidade, e aos distintivos de seguridade dos que sexan acredores, obtidos respecto ao cumprimento do ENS. Tras a entrada en vigor das leis 39/2015 e 40/2015 afecta a todas as entidades do Sector Público en España, así como aos operadores do Sector Privado que lles prestan solucións e servizos, non só de seguridade, ou que estean interesadas na certificación da conformidade co ENS.

A « Instrución Técnica de Seguridade de Conformidade co ENS » establece os criterios e procedementos para a determinación da conformidade, así como para a publicidade da este conformidade. Precisa os mecanismos de obtención e publicidade das declaracións de conformidade e dos distintivos de seguridade obtidos respecto ao cumprimento do ENS.

Instrumentos para a adecuación ao ENS

Instrumentos para abordar a adecuación ao ENS:

• Guías CCN-STIC.
• Solucións de Ciberseguridade do CCN .
• Magerit – v.3 Metodoloxía de Análise e Xestión de Riscos dos Sistemas de Información.
• Infraestruturas e servizos comúns .
• Produtos certificados .
   

Evolución do ENS

Real Decreto 3/2010, do 8 de xaneiro, polo que se regula o Esquema Nacional de Seguridade no ámbito da Administración Electrónica (texto consolidado) .

Máis información

Encha o formulario de  Contacto  para enviar o seu pedimento de información.