Archivo

Posts Tagged ‘esquema nacional de seguridad’

Esquema Nacional de Seguridad (ENS)

12 de febrero de 2019 Deja un comentario

Enlaces:

TEXTO CONSOLIDADO

La Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos estableció el Esquema Nacional de Seguridad que, aprobado mediante Real Decreto 3/2010, de 8 de enero, tiene por objeto determinar la política de seguridad en la utilización de medios electrónicos en su ámbito de aplicación y estará constituido por los principios básicos y requisitos mínimos que permitan una protección adecuada de la información. Posteriormente, la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, recoge el Esquema Nacional de Seguridad en su artículo 156 apartado 2 en similares términos.

En 2015 se publicó la modificación del Esquema Nacional de Seguridad a través del Real Decreto 951/2015, de 23 de octubre, en respuesta a la evolución del entorno regulatorio, en especial de la Unión Europea, de las tecnologías de la información y de la experiencia de la implantación del Esquema.

….

La Ley de Acceso de los Ciudadanos a la administración electrónica avisaba del desarrollo de dos Esquemas que necesariamente acompañarían a la Ley en su ejecución, los Esquemas Nacionales de Seguridad y de Interoperabilidad.

El Esquema Nacional de Seguridad que tiene por objeto establecer la política de seguridad en la utilización de medios electrónicos y está constituido por principios básicos y requisitos mínimos que permitan una protección adecuada de la información.

Organismos Responsables: Ministerio de Política Territorial y Función Pública – Secretaría de Estado de Función Pública – Secretaría General de Administración Digital

Finalidad:

Los ciudadanos confían en que los servicios disponibles por medios electrónicos se presten en unas condiciones de seguridad equivalentes a las que se encuentran cuando se acercan personalmente a las oficinas de la Administración. Además, buena parte de la información contenida en los sistemas de información de las AA.PP. y los servicios que prestan constituyen activos nacionales estratégicos. La información y los servicios prestados están sometidos a amenazas y riesgos provenientes de acciones malintencionadas o ilícitas, errores o fallos y accidentes o desastres.
La Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos , establece principios y derechos relativos a la seguridad en relación con el derecho de los ciudadanos a comunicarse con las AA.PP. a través de medios electrónicos; y su artículo 42 crea el Esquema Nacional de Seguridad.


El Esquema Nacional de Seguridad (ENS), regulado por el Real Decreto 3/2010 , de 8 de enero, determina la política de seguridad que se ha de aplicar en la utilización de los medios electrónicos. El ENS está constituido por los principios básicos y requisitos mínimos para una protección adecuada de la información. Será aplicado por las AA.PP. para asegurar el acceso, integridad, disponibilidad, autenticidad, confidencialidad, trazabilidad y conservación de los datos, informaciones y servicios utilizados en medios electrónicos que gestiones en el ejercicio de sus competencias.

Objetivos

El Esquema Nacional de Seguridad (ENS) persigue los siguientes objetivos :

  • Crear las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de la información y los servicios electrónicos, que permita a los ciudadanos y a las Administraciones Públicas, el ejercicio de derechos y el cumplimiento de deberes a través de estos medios.
  • Establecer la política de seguridad en la utilización de medios electrónicos en el ámbito de la Ley 11/2007, que estará constituida por los principios básicos y los requisitos mínimos para una protección adecuada de la información.
  • Introducir los elementos comunes que han de guiar la actuación de las Administraciones públicas en materia de seguridad de las tecnologías de la información.
  • Aportar un lenguaje común para facilitar la interacción de las Administraciones públicas, así como la comunicación de los requisitos de seguridad de la información a la Industria.
  • Aportar un tratamiento homogéneo de la seguridad que facilite la cooperación en la prestación de servicios de administración electrónica cuando participan diversas entidades.
  • Facilitar un tratamiento continuado de la seguridad.

En el Esquema Nacional de Seguridad se concibe la seguridad como una actividad integral, en la que no caben actuaciones puntuales o tratamientos coyunturales, debido a que la debilidad de un sistema la determina su punto más frágil y, a menudo, este punto es la coordinación entre medidas individualmente adecuadas pero deficientemente ensambladas.

Elementos del Esquema Nacional de Seguridad


Los elementos principales del ENS son los siguientes:

  • Los principios básicos a considerar en las decisiones en materia de seguridad.
  • Los requisitos mínimos que permitan una protección adecuada de la información.
  • El mecanismo para lograr el cumplimiento de los principios básicos y de los requisitos mínimos mediante la adopción de medidas de seguridad proporcionadas a la naturaleza de la información y los servicios a proteger.
  • Las comunicaciones electrónicas.
  • La auditoría de la seguridad.
  • La respuesta ante incidentes de seguridad.
  • La certificación de la seguridad.
  • La conformidad.

El aspecto principal del ENS es, sin duda, que todos los órganos superiores de las AA.PP. deberán disponer de su política de seguridad que se establecerá en base a los principios básicos y que se desarrollará aplicando los requisitos mínimos.

Ámbito de aplicación


Su ámbito de aplicación es el establecido en el artículo 2 de la Ley 11/2007 , de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos.
Estarán excluidos los sistemas que tratan información clasificada regulada por Ley 9/1968 de 5 de abril, de Secretos Oficiales, modificada por Ley 48/1978, de 7 de octubre y normas de desarrollo

Adecuación al Esquema Nacional de Seguridad


En la disposición transitoria del Real Decreto 3/2010 se articula un mecanismo escalonado para la adecuación a lo previsto en el Esquema Nacional de Seguridad de manera que los sistemas de las administraciones deberán estar adecuados a este Esquema en unos plazos en ningún caso superiores a 48 meses desde la entrada en vigor del mismo. El plazo de adecuación vence el 30 de enero de 2014.
La adecuación ordenada al Esquema Nacional de Seguridad requiere el tratamiento de las siguientes cuestiones:

  • Preparar y aprobar la política de seguridad, incluyendo la definición de roles y la asignación de responsabilidades. (Véase CCN-STIC 805 Política de seguridad de la información)
  • Categorizar los sistemas atendiendo a la valoración de la información manejada y de los servicios prestados.( Véase CCN-STIC 803 Valoración de sistemas en el Esquema Nacional de Seguridad )
  • Realizar el análisis de riesgos, incluyendo la valoración de las medidas de seguridad existentes. (Véase Magerit versión 3 y programas de apoyo –Pilar -)
  • Preparar y aprobar la Declaración de aplicabilidad de las medidas del Anexo II del ENS. ( Véase CCN-STIC 804 Medidas e implantación del Esquema Nacional de Seguridad )
  • Elaborar un plan de adecuación para la mejora de la seguridad, sobre la base de las insuficiencias detectadas, incluyendo plazos estimados de ejecución. ( Véase CCN-STIC 806 Plan de adecuación del Esquema Nacional de Seguridad )
  • Implantar operar y monitorizar las medidas de seguridad a través de la gestión continuada de la seguridad correspondiente. ( Véase serie CCN-STIC )
  • Auditar la seguridad ( Véase CCN-STIC 802 Auditoría del Esquema Nacional de Seguridad y CCN-STIC 808 Verificación del cumplimiento de las medidas en el Esquema Nacional de Seguridad ).
  • Informar sobre el estado de la seguridad (Véase CCN-STIC Métricas e Indicadores en el Esquema Nacional de Seguridad y CCN-STIC Informe del Estado de Seguridad )

En construcción…

Categorías: Oposiciones Etiquetas: , , ,