Abrir sesión
logo

DEFENSA FRENTE A LAS CIBERAMENAZAS

Nivel de alerta
MUY ALTO
barra de nivel de alerta
barra-separadora

La Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos estableció el Esquema Nacional de Seguridad que, aprobado mediante Real Decreto 3/2010, de 8 de enero, tiene por objeto determinar la política de seguridad en la utilización de medios electrónicos en su ámbito de aplicación y estará constituido por los principios básicos y requisitos mínimos que permitan una protección adecuada de la información. Posteriormente, la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, recoge el Esquema Nacional de Seguridad en su artículo 156 apartado 2 en similares términos.

En 2015 se publicó la modificación del Esquema Nacional de Seguridad a través del Real Decreto 951/2015, de 23 de octubre, en respuesta a la evolución del entorno regulatorio, en especial de la Unión Europea, de las tecnologías de la información y de la experiencia de la implantación del Esquema.

Los sistemas deberán adecuarse a lo dispuesto en la citada modificación en un plazo de veinticuatro meses (4 de noviembre de 2017).

Entre otras, se introducen las siguientes novedades:

Artículo 11, la gestión continuada de la seguridad como un aspecto clave que ha de acompañar a los servicios disponibles por medios electrónicos.

Artículo 15, la exigencia, de manera objetiva y no discriminatoria, de profesionales cualificados a las organizaciones que presten servicios de seguridad a las Administraciones Públicas.

Artículo 18, la utilización, de forma proporcionada a la categoría del sistema y nivel de seguridad determinados, de aquellos productos que tengan certificada la funcionalidad, de seguridad relacionada con el objeto de su adquisición.

Artículo 24, el despliegue de procedimientos de gestión de incidentes de seguridad, y de debilidades detectadas en los elementos del sistema de información.

Artículo 27, la formalización de las medidas de seguridad en un documento denominado “declaración de aplicabilidad” y la posibilidad de reemplazar medidas de seguridad por otras compensatorias cuando se justifique documentalmente.

Artículo 29, la figura de las “Instrucciones técnicas de seguridad” que regularán aspectos tales como el informe del estado de la seguridad, la auditoría de la seguridad, la conformidad con el Esquema, la notificación de incidentes de seguridad, la adquisición de productos de seguridad, la criptología empleada en el ámbito del Esquema y los requisitos de seguridad en entornos externalizados, entre otras.

Artículo 35, referencias expresas a la articulación de los procedimientos necesarios para la recogida y consolidación de la información para el informe anual de estado de la seguridad, y organismos responsables de su realización.

Artículo 36, la notificación al Centro Criptológico Nacional de aquellos incidentes que tengan un impacto significativo en la seguridad de la información manejada y de los servicios prestados.

Artículo 37, las evidencias necesarias para la investigación de incidentes de seguridad por parte del Centro Criptológico Nacional.

Auditorías de Seguridad

El Artículo 34 del ENS señala que los sistemas de información a los que se refiere el real decreto serán objeto de una auditoría regular ordinaria, al menos cada dos años, que verifique el cumplimiento de los requerimientos del presente Esquema Nacional de Seguridad.

Con carácter extraordinario, deberá realizarse dicha auditoría siempre que se produzcan modificaciones sustanciales en el sistema de información, que puedan repercutir en las medidas de seguridad requeridas.

Conformidad con el ENS

El Artículo 41 señala que: “Los órganos y Entidades de Derecho Público darán publicidad en las correspondientes sedes electrónicas a las declaraciones de conformidad, y a los distintivos de seguridad de los que sean acreedores, obtenidos respecto al cumplimiento del Esquema Nacional de Seguridad”

Volver

Esta web utiliza cookies, puedes ver nuestra política de cookies Si continuas navegando estás aceptándola Modificar configuración