- Su inclusión en el Boletín Oficial del Estado ratifica la obligación de todos los organismos públicos de cumplir con ambas Instrucciones
- Las ITS de Conformidad con el Esquema Nacional de Seguridad y del Informe del Estado de la Seguridad son las primeras en ser publicadas de la serie prevista en el artículo 29 del Real Decreto 3/2010
Las resoluciones de 7 y 13 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba las Instrucciones Técnicas de Seguridad (ITS) de Informe del Estado de la Seguridad y de Conformidad con el Esquema Nacional de Seguridad, respectivamente, han sido publicadas en el Boletín Oficial del Estado, BOE, de 2 de noviembre de 2016. De este modo, se ratifica la obligación de los órganos y Entidades de Derecho Público de facilitar, al menos con carácter anual, el estado de las principales variables de seguridad de sus sistemas y dar publicidad en las correspondientes sedes electrónicas a las declaraciones de conformidad con el ENS y los distintivos de seguridad de los que sean acreedores.
En la primera de las ITS, relativa al Informe del Estado de la Seguridad, se establecen las condiciones relativas a la recopilación y comunicación de datos que permita conocer las principales variables de la seguridad de la información de los sistemas comprendidos en el ámbito del ENS, y confeccionar un perfil general del estado de la ciberseguridad en las Administraciones públicas. Para este fin el Centro Criptológico Nacional (CCN) ha desarrollado la herramienta INES (Informe Nacional del Estado de Seguridad) en donde todos los organismos públicos deben introducir sus datos antes del 31 de enero de 2017 (la herramienta está disponible en el portal del CCN-CERT.
En cuanto a la segunda de las Instrucciones, relativa a la Conformidad con el ENS, tiene por objeto establecer los procedimientos para dar publicidad a la conformidad con el Esquema, así como los requisitos exigibles a las entidades que quieran certificar el cumplimiento con el ENS.
Estas instrucciones técnicas entran a regular aspectos concretos que la realidad cotidiana ha mostrado especialmente significativos, tales como: Informe del Estado de la Seguridad; notificación de incidentes de Seguridad; auditoría de la Seguridad; conformidad con el Esquema Nacional de Seguridad; adquisición de Productos de Seguridad; criptología de empleo en el Esquema Nacional de Seguridad; interconexión en el Esquema Nacional de Seguridad y Requisitos de Seguridad en entornos externalizados, sin perjuicio de las propuestas que pueda acordar el Comité Sectorial de Administración Electrónica, según lo establecido en el citado artículo 29.
Existen varias Guías CCN-STIC que aportan más información sobre ambas obligaciones:
- Guía CCN-STIC 815 Indicadores y métricas en el ENS
- Guía CCN-STIC 824 Informe del Estado de Seguridad
- Guía CCN-STIC 844 Manual de Usuario de INES / Anexo
- Guía CCN-STIC 809 (Declaración y Certificación de Conformidad con el ENS)
CCN-CERT (02-11-2016)
