El Esquema Nacional de Seguridad se publica en el BOE

Se ha publicado en el Boletín Oficial de Estado, BOE, el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica. Ver entrada anterior: El Consejo de Ministros aprueba los Esquemas nacionales de interoperabilidad y de seguridad para la administración electrónica.

La finalidad del Esquema Nacional de Seguridad es la creación de las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones, y los servicios electrónicos, que permita a los ciudadanos y a las Administraciones públicas, el ejercicio de derechos y el cumplimiento de deberes a través de estos medios.

Este real decreto establece los principios básicos y requisitos mínimos que, de acuerdo con el interés general, naturaleza y complejidad de la materia regulada, permiten una protección adecuada de la información y los servicios, lo que exige incluir el alcance y procedimiento para gestionar la seguridad electrónica de los sistemas que tratan información de las Administraciones públicas en el ámbito de la Ley 11/2007, de 22 de junio. Con ello, se logra un común denominador normativo, que no agota la regulación de más objetivos  de seguridad, aparte de estos básicos, por políticas legislativas que se adopten en el futuro a nivel territorial.

El Esquema pretende asegurar la confianza en que los sistemas de información prestarán sus servicios y custodiarán la información de acuerdo con sus especificaciones funcionales, sin interrupciones o modificaciones fuera de control, y sin que la información pueda llegar al conocimiento de personas no autorizadas.

El texto determina las dimensiones de seguridad y sus niveles basada en los riesgos, la categoría de los sistemas, las medidas de seguridad adecuadas y la auditoría periódica de la seguridad; se implanta la elaboración de un informe para conocer regularmente el estado de seguridad de los sistemas de información,  y se establece el papel de la capacidad de respuesta ante incidentes de seguridad de la información del Centro Criptológico Nacional.

Establece una política de seguridad con unos requisitos mínimos:

  • Organización e implantación del proceso de seguridad.
  • Análisis y gestión de los riesgos.
  • Gestión de personal.
  • Profesionalidad.
  • Autorización y control de los accesos.
  • Protección de las instalaciones.
  • Adquisición de productos.
  • Seguridad por defecto.
  • Integridad y actualización del sistema.
  • Protección de la información almacenada y en tránsito.
  • Prevención ante otros sistemas de información interconectados.
  • Registro de actividad.
  • Incidentes de seguridad.
  • Continuidad de la actividad.
  • Mejora continua del proceso de seguridad.

Los sistemas de información de las administraciones públicas serán objeto de una auditoría regular ordinaria, al menos cada dos años, que verifique el cumplimiento de los requerimientos del Esquema. Con carácter extraordinario, deberá realizarse dicha auditoría siempre que se produzcan modificaciones sustanciales en el sistema de información, que puedan repercutir en las medidas de seguridad requeridas.

En la realización de esta auditoría se utilizarán los criterios, métodos de trabajo y de conductas generalmente reconocidas, así como la normalización nacional e internacional aplicables a este tipo de auditorías de sistemas de información.  El informe de auditoría deberá dictaminar sobre el grado de cumplimiento del presente real decreto, identificar sus deficiencias y sugerir las posibles medidas correctoras o complementarias necesarias, así como las recomendaciones que se consideren oportunas. Deberá, igualmente, incluir los criterios metodológicos de auditoría utilizados, el alcance y el objetivo de la auditoría, y los datos, hechos y observaciones en que se basen las conclusiones formuladas. Los informes de auditoría serán presentados al responsable del sistema y al responsable de seguridad competentes. Estos informes serán analizados por este último que presentará sus conclusiones al responsable del sistema para que adopte las medidas correctoras adecuadas.

El decreto establece los plazos para cumplir esta norma, sin duda se abre un nuevo mercado, para las empresas dedicadas a la Seguridad de la Información. Si a los doce meses de la entrada en vigor del Esquema Nacional de Seguridad hubiera circunstancias que impidan la plena aplicación de lo exigido en el mismo, se dispondrá de un plan de adecuación que marque los plazos de ejecución los cuales, en ningún caso, serán superiores a 48 meses.

El texto del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica puede obtenerse en el siguiente enlace.

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s