La Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos estableció el Esquema Nacional de Seguridad que, aprobado mediante Real Decreto 3/2010, de 8 de enero, tiene por objeto determinar la política de seguridad en la utilización de medios electrónicos en su ámbito de aplicación y estará constituido por los principios básicos y requisitos mínimos que permitan una protección adecuada de la información. Posteriormente, la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, recoge el Esquema Nacional de Seguridad en su artículo 156 apartado 2 en similares términos.

En 2015 se publicó la modificación del Esquema Nacional de Seguridad a través del Real Decreto 951/2015, de 23 de octubre, en respuesta a la evolución del entorno regulatorio, en especial de la Unión Europea, de las tecnologías de la información y de la experiencia de la implantación del Esquema. Los sistemas deberán adecuarse a lo dispuesto en la citada modificación en un plazo de veinticuatro meses (5 de noviembre de 2017). Entre otras, se introducen las siguientes novedades:

  • Artículo 11, la gestión continuada de la seguridad como un aspecto clave que ha de acompañar a los servicios disponibles por medios electrónicos.

  • Artículo 15, la exigencia, de manera objetiva y no discriminatoria, de profesionales cualificados a las organizaciones que presten servicios de seguridad a las Administraciones Públicas.

  • Artículo 18, la utilización, de forma proporcionada a la categoría del sistema y nivel de seguridad determinados, de aquellos productos que tengan certificada la funcionalidad de seguridad relacionada con el objeto de su adquisición.

  • Artículo 24, el despliegue de procedimientos de gestión de incidentes de seguridad, y de debilidades detectadas en los elementos del sistema de información.

  • Artículo 27, la formalización de las medidas de seguridad en un documento denominado “declaración de aplicabilidad” y la posibilidad de reemplazar medidas de seguridad por otras compensatorias cuando se justifique documentalmente.

  • Artículo 29, la figura de las “Instrucciones técnicas de seguridad” que regularán aspectos tales como el informe del estado de la seguridad, la auditoría de la seguridad, la conformidad con el Esquema, la notificación de incidentes de seguridad, la adquisición de productos de seguridad, la criptología empleada en el ámbito del Esquema y los requisitos de seguridad en entornos externalizados, entre otras.

  • Artículo 35, referencias expresas a la articulación de los procedimientos necesarios para la recogida y consolidación de la información para el informe anual de estado de la seguridad, y organismos responsables de su realización.

  • Artículo 36, la notificación al Centro Criptológico Nacional de aquellos incidentes que tengan un impacto significativo en la seguridad de la información manejada y de los servicios prestados.

  • Artículo 37, las evidencias necesarias para la investigación de incidentes de seguridad por parte del Centro Criptológico Nacional.

    Auditorías de Seguridad

  • El Artículo 34 del ENS señala que los sistemas de información a los que se refiere el real decreto serán objeto de una auditoría regular ordinaria, al menos cada dos años, que verifique el cumplimiento de los requerimientos del presente Esquema Nacional de Seguridad.

    Con carácter extraordinario, deberá realizarse dicha auditoría siempre que se produzcan modificaciones sustanciales en el sistema de información, que puedan repercutir en las medidas de seguridad requeridas.

    Conformidad con el ENS

  • El Artículo 41 señala que: “Los órganos y Entidades de Derecho Público darán publicidad en las correspondientes sedes electrónicas a las declaraciones de conformidad, y a los distintivos de seguridad de los que sean acreedores, obtenidos respecto al cumplimiento del Esquema Nacional de Seguridad”


    75 MEDIDAS DE SEGURIDAD RECOGIDAS EN EL ENS

    Marco Organizativo

    El marco organizativo esta constituido por un conjunto de medidas relacionadas con la organización global de la seguridad.


    Marco Operacional

    El marco operacional esta constituido por las medidas a tomar para proteger la operación del sistema como conjunto integral de componentes para un fin.


    Medidas de Protección

    Las medidas de protección, se centrarán en activos concretos, según su naturaleza, con el nivel requerido en cada dimensión de seguridad.



    Contacto:

    Este sitio web utiliza cookies propias y de terceros para el correcto funcionamiento y visualización del sitio web por parte del usuario, así como la recogida de estadísticas. Si continúa navegando, consideramos que acepta su uso. Puede cambiar la configuración u obtener más información consultando nuestra Política de Cookies.