Resumen: Con la aprobación del Real Decreto 951/2015, de 23 de
octubre, de modificación del Real Decreto 3/2010, de 8 de enero, por el que se
regula el Esquema Nacional de Seguridad en el ámbito de la Administración
Electrónica, primero, y la aparición de la Resolución
de 13 de octubre de 2016, de la Secretaría de Estado de Administraciones
Públicas, por la que se aprueba la Instrucción
Técnica de Seguridad de Conformidad con el Esquema Nacional de Seguridad, después,
se alcanza la madurez y el despegue definitivo del ENS en España.
Autor del artículo
|
Colaboración
|
|
José Luis Colom Planas
|
||
Actualizado
|
18 de mayo
de 2017
|
|
Índice
1.
Introducción
2.
Marco jurídico
3.
Diferencia entre Declaración y Certificación de Conformidad
3.1 Introducción
3.2 Declaración de Conformidad
3.3 Certificación de Conformidad
3.4 Operadores del sector privado
4.
Ámbito de aplicación del ENS
5. El
ENS y la norma ISO/IEC 27001:2013
6.
Bibliografía consultada
7.
Control de cambios del artículo
8.
Derechos de autor
ANEXO
I: Las 75 medidas de seguridad del ENS
1. Introducción
El año 2010 fue un año muy prolijo para el legislador, ya que se aprobaron
leyes, y reformas de leyes, que han tenido una incidencia notable en la
protección de la sociedad española en sus diferentes aspectos:
- La primera que me viene a la cabeza es la LO 5/2010, de 22 de junio, por la que se modifica la LO 10/1995, de 23 de noviembre, del Código Penal, que todos sabemos acabó con la célebre locución latina “Societas delinquere non potest”.
- La segunda es la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo, transposición de la Directiva 2005/60/CE del Parlamento Europeo y del Consejo, de 26 de octubre de 2005, relativa a la prevención de la utilización del sistema financiero para el blanqueo de capitales y para la financiación del terrorismo (tercera Directiva), desarrollada por la Directiva 2006/70/CE de la Comisión, de 1 de agosto de 2006.
- Y como no, antes de las referidas se aprobó el RD 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad (ENS) en el ámbito de la Administración Electrónica.
Ya que es en base a esta última Norma que escribo este artículo, motivado
también por mi reciente incorporación profesional a la entidad certificadora AUDERTIS especializada en el ENS, diré que su ratio legis es la protección de los
servicios prestados a la ciudadanía, y la información que éstos tratan,
asegurando los sistemas de información de las Administraciones públicas que los
soportan, ya sea directamente, o bien apoyados, o externalizados, en operadores
privados.
Como señala la Guía CCN-STIC 809 “Declaración
y certificación de conformidad con el ENS y distintivos de cumplimiento” [2] en
su introducción: “Una de las piezas fundamentales que vertebran lo
que se ha dado en llamar la Administración Electrónica: la seguridad de los sistemas de
información de las
Administraciones Públicas, seguridad entendida como el conjunto de principios
básicos y requisitos mínimos requeridos para una protección adecuada de la
información tratada y los servicios prestados por las entidades del sector
público de su ámbito de aplicación”.
El esquema de conformidad asociado, mediante la Resolución de 13 de octubre
de 2016 de la Secretaría de Estado de Administraciones Públicas, permite
acreditar al organismo, o a la organización privada que colabora con él, que
cumple con los requerimientos de seguridad determinados por el ENS.
2. Marco jurídico
La Ley 11/2007, de 22 de junio,
de acceso electrónico de los ciudadanos a los Servicios Públicos (LAECSP),
estableció el Esquema Nacional de Seguridad (ENS) que, aprobado mediante el RD 3/2010, de 8 de enero, tiene por
objeto determinar la política de seguridad en la utilización de medios
electrónicos en su ámbito de aplicación, conteniendo los principios básicos y
requisitos mínimos que han de permitir una protección adecuada de los servicios,
y la información que estos tratan, mediante el uso de sistemas de información.
Debe tenerse en cuenta la reforma de 2015 en base al RD
951/2015, de 23 de octubre, de modificación del Real Decreto 3/2010, de 8
de enero, por el que se regula el ENS.
Posteriormente, la Ley 40/2015, de 1 de octubre, de
Régimen Jurídico del Sector Público (LRJSP), recoge el Esquema Nacional de
Seguridad en el artículo 156 apartado 2, en similares términos: “2. El Esquema Nacional de Seguridad tiene por objeto establecer la
política de seguridad en la utilización de medios electrónicos en el ámbito de
la presente Ley, y está constituido por los principios básicos y requisitos
mínimos que garanticen adecuadamente la seguridad de la información tratada”.
Por otro lado, y como quiera que las medidas de seguridad contempladas en
el ENS no son sólo exigibles a las relaciones ad intra (relaciones entre entidades o Administraciones Públicas),
sino que deben extenderse también a las relaciones ad extra (relaciones entre las Administraciones y los ciudadanos),
este ámbito de aplicación debe completarse con el recogido en la Ley 39/2015, de 1 de octubre, del
Procedimiento Administrativo Común de las Administraciones Públicas. Dicha ley
contiene significativas referencias a la aplicación del Esquema Nacional de
Seguridad y, en general, a la seguridad de la información, tales como las
realizadas en el art. 13 (Derechos de las personas en sus relaciones con las
Administraciones Públicas), art. 16 (Registros), art. 17 (Archivo de
documentos), art. 27 (Validez y eficacia
de las copias realizadas por las Administraciones Públicas), art. 31 (Cómputo
de plazos en los registros), art. 56 (Medidas provisionales), Disposición
Adicional Segunda (Adhesión de las Comunidades Autónomas y Entidades Locales a
las plataformas y registros de la Administración General del Estado).
Si se asume que el objeto del ENS es proteger los sistemas que soportan los
servicios prestados a la ciudadanía apoyándose en medios electrónicos, y que
éstos tratan datos, algunos de ellos de naturaleza personal, implica que la
legislación vigente en materia de protección de datos también deberá
considerarse. No se cumple con lo dispuesto por el ENS si no se cumple con las
disposiciones respecto a la protección de datos.
En espera de que sea de aplicación en mayo de 2018 el ya aprobado Reglamento (UE) 2016/679 del Parlamento
Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las
personas físicas en lo que respecta al tratamiento de datos personales y a la
libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE
(Reglamento general de protección de datos), significa que en base al Derecho
vigente se debe considerar la LO
15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, y
su Reglamento de desarrollo, el RD
1720/2007, de 21 de diciembre.
Además, el Real Decreto 3/2010, de 8 de enero, en su artículo 29 apartado 2,
sobre Instrucciones Técnicas de Seguridad (ITS) y guías de seguridad, dispone: “2. El Ministerio de Hacienda y
Administraciones Públicas, a propuesta del Comité Sectorial de Administración
Electrónica previsto en el artículo 40 de la Ley 11/2007, de 22 de junio, y a
iniciativa del Centro Criptológico Nacional, aprobará las instrucciones
técnicas de seguridad de obligado cumplimiento y se publicarán mediante
resolución de la Secretaría de Estado de Administraciones Públicas. Para la
redacción y mantenimiento de las instrucciones técnicas de seguridad se
constituirán los correspondientes grupos de trabajo en los órganos colegiados
con competencias en materia de administración electrónica.
En el preámbulo de una de esas Resoluciones, se señala: “Dichas instrucciones técnicas de seguridad son esenciales para lograr
una adecuada, homogénea y coherente implantación de los requisitos y medidas
recogidos en el Esquema” y también “Estas instrucciones
técnicas de seguridad se desarrollarán y perfeccionarán a lo largo del tiempo,
en paralelo al progreso de los servicios de Administración electrónica, las
infraestructuras que los apoyan, la evolución tecnológica y los riesgos derivados
de operar en el ciberespacio”.
En consecuencia la certificación se basa también en la Resolución de 13 de octubre de 2016, de la Secretaría de Estado de
Administraciones Públicas, por la que se aprueba la Instrucción Técnica de
Seguridad de conformidad con el Esquema Nacional de Seguridad, [1] que viene a actualizar el contenido de la
Guía de seguridad CCN-STIC 809 “Declaración
y certificación de conformidad con el ENS y distintivos de cumplimiento”,
de mayo de 2016. [2]
3. Diferencia entre Declaración y
Certificación de Conformidad
3.1 Introducción
Es responsabilidad de las entidades públicas que el esfuerzo desarrollado para
poder garantizar la seguridad sus
sistemas de información se publicite adecuadamente, trasladando a la ciudadanía
la confianza respecto a los servicios que prestan, conforme éstos son eficaces
y seguros. Viene a ser similar al certificado que se otorga por parte de una
entidad acreditada de certificación a una organización cuyo Sistema de Gestión
de la Seguridad de la Información (SGSI) cumple con las disposiciones de la
norma de adscripción voluntaria ISO/IEC 27001:2013. [Vid. Apartado 5 de este
mismo artículo].
Ante esta necesidad de dar publicidad a las garantías adoptadas en el
desenvolvimiento de las Administraciones Públicas y el desarrollo del
procedimiento administrativo prestado apoyándose en medios electrónicos, como
muestra de transparencia, el artículo 41 del ENS señala: “Artículo 41. Publicación de
conformidad. Los órganos y Entidades de Derecho
Público darán publicidad en las correspondientes sedes electrónicas a las
declaraciones de conformidad, y a los distintivos de seguridad de los que sean
acreedores, obtenidos respecto al cumplimiento del Esquema Nacional de
Seguridad”.
Esta publicidad, también es extensiva a los operadores
económicos del sector privado que participen en la prestación de servicios y la
aportación de soluciones a las entidades públicas.
Recordaré que el ENS, partiendo de la valoración de los servicios y la
información en cinco dimensiones de la seguridad: Confidencialidad, integridad,
disponibilidad, autenticidad y trazabilidad (La norma ISO/IEC 27001:2013
únicamente considera las tres primeras dimensiones), se categorizan los
sistemas de información que los soportan en nivel básico, medio y alto. Esta
clasificación es necesaria para determinar si se puede optar a la simple
Declaración (si no se dispone de ningún sistema de categoría media o alta,
circunstancia poco probable según mi experiencia) o bien debe optarse a la
Certificación.
3.2 Declaración de Conformidad
La Declaración de Conformidad con el Esquema Nacional
de Seguridad únicamente es posible para sistemas de categoría BÁSICA y será
expedida por la propia entidad (auto-declaración) bajo cuya responsabilidad se
encuentren dichos sistemas.
Se completará mediante un Distintivo de Declaración de Conformidad cuyo uso
estará condicionado a la antedicha Declaración de Conformidad.
Para publicar la Declaración de Conformidad con el Esquema Nacional de
Seguridad bastará con la exhibición en la sede electrónica de la entidad
pública titular o usuaria del sistema de información en cuestión, del Distintivo
de Declaración de Conformidad que incluirá un enlace al documento de
Declaración de Conformidad correspondiente, que también permanecerá accesible a
través de dicha sede electrónica.
La entidad que disponga únicamente de sistemas de categoría BÁSICA puede
optar, en vez de la Declaración, por la Certificación de Conformidad, aportando
mayores garantías a la ciudadanía respecto a su cumplimiento.
3.3 Certificación de
Conformidad
La Certificación de Conformidad
con el Esquema Nacional de Seguridad, preceptiva para sistemas de categorías
MEDIA o ALTA y discrecional para los de categoría BÁSICA, será expedida por una
entidad certificadora y se completará mediante un Distintivo de Certificación
de Conformidad cuyo uso estará condicionado a la antedicha Certificación de
Conformidad.
Dicha Certificación de Conformidad así como su distintivo se expresarán en
documentos electrónicos, en formato no editable.
Para publicar la Certificación de Conformidad con el Esquema Nacional de
Seguridad, bastará con la exhibición en la sede electrónica de la entidad
pública titular o usuaria del sistema de información en cuestión, del
Distintivo de Certificación de Conformidad que incluirá un enlace al documento
de Certificación de Conformidad correspondiente, que también permanecerá
accesible a través de dicha sede electrónica.
3.4 Operadores del
sector privado
Según la Resolución de 13 de octubre
de 2016, de la Secretaría de Estado de Administraciones Públicas, por la
que se aprueba la Instrucción Técnica de
Seguridad de conformidad con el Esquema Nacional de Seguridad: “Cuando los operadores del sector privado presten servicios o provean
soluciones a las entidades públicas, a las que resulte exigible el cumplimiento
del Esquema Nacional de Seguridad, deberán estar en condiciones de exhibir la
correspondiente Declaración de Conformidad con el Esquema Nacional de
Seguridad, cuando se trate de sistemas de categoría BÁSICA, o la Certificación
de Conformidad con el Esquema Nacional de Seguridad, cuando se trate de
sistemas de categorías MEDIA o ALTA, utilizando los mismos procedimientos que
los exigidos en esta Instrucción Técnica de Seguridad para las entidades
públicas”.
Es responsabilidad de las entidades públicas contratantes
notificar a los operadores del sector privado que participen en la provisión de
soluciones tecnológicas o la prestación de servicios, la obligación de que
tales soluciones o servicios sean conformes con lo dispuesto en el Esquema
Nacional de Seguridad y posean las correspondientes Declaraciones o
Certificaciones de Conformidad, según lo señalado en la antedicha Instrucción
Técnica de Seguridad.
Análogamente a las entidades públicas, los Distintivos de Conformidad,
cuando se exhiban por parte de los operadores privados, deberán enlazar con las
correspondientes Declaraciones o Certificaciones de Conformidad, que permanecerán
siempre accesibles en la página Web del operador de que se trate.
Además del Centro Criptológico Nacional y la Entidad Nacional de
Acreditación, las entidades públicas usuarias de soluciones o servicios
provistos o prestados por organizaciones del sector privado que exhiban una
Declaración o Certificación de Conformidad con el Esquema Nacional de Seguridad
podrán solicitar en todo momento a tales operadores privados los Informes de
Autoevaluación o de Auditoría correspondientes, al objeto de verificar la
adecuación e idoneidad de las antedichas manifestaciones.
4. Ámbito de aplicación del ENS
El artículo 2 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del
Sector Público, señala:
“Artículo 2. Ámbito Subjetivo.
1. La presente Ley se aplica al sector público que
comprende:
a)
La Administración General del Estado.
b)
Las Administraciones de las Comunidades Autónomas.
c)
Las Entidades que integran la Administración Local.
d)
El sector público institucional.
2. El sector público institucional se integra por:
a)
Cualesquiera organismos públicos y entidades de derecho público vinculados o
dependientes de las Administraciones Públicas.
b)
Las entidades de derecho privado vinculadas o dependientes de las
Administraciones Públicas que quedarán sujetas a lo dispuesto en las normas de
esta Ley que específicamente se refieran a las mismas, en particular a los
principios previstos en el artículo 3, y en todo caso, cuando ejerzan
potestades administrativas.
c)
Las Universidades públicas que se regirán por su normativa específica y
supletoriamente por las previsiones de la presente Ley.
3. Tienen la consideración de Administraciones
Públicas la Administración General del Estado, las Administraciones de las
Comunidades Autónomas, las Entidades que integran la Administración Local, así
como los organismos públicos y entidades de derecho público previstos en la
letra a) del apartado 2”.
Este ámbito de aplicación debe completarse con el recogido en la Ley
39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las
Administraciones Públicas.:
“4.
Las Corporaciones de Derecho Público se regirán por su normativa específica en
el ejercicio de las funciones públicas que les hayan sido atribuidas por Ley o
delegadas por una Administración Pública, y supletoriamente por la presente
Ley”.
En consecuencia, quedan también obligadas por el ENS las entidades de
Derecho privado pertenecientes al sector público institucional, como pueden
ser, por citar algunas, la Agencia Efe SA, Aeropuertos Españoles y Navegación
Aérea (AENA), Red Nacional de Ferrocarriles Españoles (RENFE) (…) y las entidades
de Derecho privado vinculadas o dependientes de las comunidades autónomas,
como pueden ser, por citar también algunas, Ciudad de las Artes y las Ciencias
SA, Instituto Valenciano de Investigaciones Económicas SA, Centro Alto
Rendimiento Región de Murcia SAU, etc.
Luego, según la Guía CCN-STIC 830 “Ámbito
de aplicación del Esquema Nacional de Seguridad”, de septiembre de 2016 [3]: “El RD 3/2010 será de aplicación a
las entidades de derecho privado vinculadas o dependientes de las Comunidades
Autónomas cuando ejerzan potestades administrativas por atribución directa o
delegación, de acuerdo a la legislación autonómica aplicable, así como en
cuanto a su régimen de patrimonio y en materia de responsabilidad patrimonial
ante terceros por el funcionamiento de sus servicios, cuando se rijan por las
previsiones de la Ley 39/2015, de 1 de octubre, de Procedimiento Administrativo
Común de las Administraciones Públicas en los términos establecidos por esta”.
También quedan obligadas al ENS las entidades de Derecho privado vinculadas
o dependientes de la Administración de las entidades locales, como pueden ser,
por citar algunas, Barcelona de Serveis
Municipals SA, Empresa Municipal
de Transportes de Madrid SA, Asociación Navarra de Informática Municipal SA,
etc.
Luego, según la Guía CCN-STIC 830 “Ámbito
de aplicación del Esquema Nacional de Seguridad”, de septiembre de 2016: “El RD 3/2010 será de aplicación a
las entidades de derecho privado vinculadas o dependientes de la Administración
de las Entidades Locales en las materias en que les sea de aplicación la
normativa presupuestaria, contable, de control financiero, de control de
eficacia y contratación, de acuerdo a lo dispuesto por la Ley 7/1985, de 2 de
abril, Reguladora de las Bases del Régimen Local, así como en el ejercicio de
las funciones públicas que les hayan sido atribuidas estatutariamente, cuando
se rijan por las previsiones de la Ley 39/2015, de 1 de octubre, de
Procedimiento Administrativo Común de las Administraciones Públicas en los
términos establecidos por esta”.
También quedan obligadas las entidades de Derecho privado vinculadas o
dependientes de las Administraciones Públicas en la medida que están sujetas a
las normas de la Ley de Régimen Jurídico del Sector Público que específicamente
se refieran a las mismas y, en todo caso, cuando ejerzan potestades
administrativas.
Las fundaciones, tanto las privadas como las del sector público estatal,
tienen personalidad jurídica privada y, por tanto, también les resulta de
aplicación el ENS en los mismos casos que ya se han indicado.
Los operadores privados que prestan servicios u ofrecen servicios al sector
público, o a las entidades de Derecho privado obligadas, también quedan sometidos a dicha ley en el
ámbito de los servicios o soluciones que aporten. Adicionalmente, su
Certificación de Conformidad les situará en óptimas condiciones, si no
obligadas como condición sine qua non,
para poder presentarse a pliegos de la Administración pública.
5. El ENS y la norma ISO/IEC 27001:2013
Como se afirma en la Guía CCN-STIC 825 “Esquema Nacional de Seguridad:
Certificaciones 27001”, de noviembre de 2013 [4] “la correspondencia no
es una relación matemática de equivalencia. (…) Si el organismo tiene una
certificación 27001 y se han cubierto los controles referenciados de la 27002,
con incorporar lo adicional se puede considerar cumplido el Anexo II del ENS”.
Lo primero que se debe tener en cuenta es:
- La norma ISO/IEC 27001:2013 es una norma internacional certificable y de adscripción voluntaria para cualquier Sistema de Gestión de Seguridad de la Información (SGSI). Su cumplimiento se evidencia erga omnes mediante una certificación, expedida por un auditor certificado, perteneciente a una entidad certificadora acreditada, y previa auditoría con resultado satisfactorio.
- Por su parte, el ENS es una disposición de carácter legal, de obligado cumplimiento para los sistemas de información del ámbito de aplicación de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas. Su cumplimiento se evidencia erga omnes mediante una [Declaración aparte] Certificación de conformidad legal, previa auditoría por una entidad certificadora acreditada, y previa auditoría con resultado satisfactorio.
Además, como evidencia de esa falta
de correspondencia directa, la simple comparación de los controles o medidas de
seguridad determinados en ambos anexos nos muestra una apreciable diferencia: 75
en el “anexo II” del ENS y 114 en el “anexo A” de la norma ISO/IEC 27001:2013. No
obstante, esa diferencia en el número no debe hacernos creer que es más
completa la norma ISO que el ENS, ya que algunos controles de una norma se
desarrollan en varios de la otra.
Podemos plantear el siguiente cuadro resumen:
Concepto
|
ISO/IEC
27001:2013
|
RD
3/2010 (ENS)
|
Ontología
|
Norma internacional de seguridad, sin rango legal.
|
Regulación legal de carácter estatal, perteneciente al
ordenamiento jurídico español derivado de la ya derogada Ley 11/2007.
|
Carácter
|
Certificación voluntaria
|
Cumplimiento obligatorio
|
Ámbito
de aplicación
|
Para cualquier sistema de gestión de seguridad de la
información.
|
Para los sistemas de información de las
Administraciones públicas comprendidos en el ámbito de aplicación de la Ley
39/2015.
|
Modulación
de las medidas
|
Según criterio del auditor, en base a la norma
internacional.
|
Regulado en función de los tipos de activos y los
niveles de seguridad requeridos
|
Evidencia
de cumplimiento o Conformidad
|
Mediante certificación, expedida por un auditor perteneciente
a una entidad acreditada, previa auditoría con resultado satisfactorio.
|
Mediante Certificación de Conformidad legal, previa
auditoría por entidad acreditada por ENAC con resultado satisfactorio.
|
Cuadro actualizado partiendo de la Guía CCN-STIC 825
En el apartado 5.1 de la Guía CCN-STIC 825 “Esquema Nacional de Seguridad: Certificaciones 27001”, de noviembre
de 2013, [4] puede verse una tabla a modo de cuadro
resumen con las diferencias que cabe esperar entre una certificación ISO 27001
y el cumplimiento de cada una de las 75 medidas de seguridad que determina el
ENS.
Advierto que debe analizarse con precaución ya que la mayor o menor
exactitud de dicha tabla dependerá de:
- Que la medida de seguridad se haya visto modificada, o no, por el RD 951/2015, de 23 de octubre, de modificación del RD 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.
- Que el alcance del SGSI coincida, o no, con el ámbito del ENS en el ente u organización que le presta servicios o aporta soluciones.
- De la categorización de los sistemas, dado que algunas medidas de seguridad del ENS son más o menos restrictivas en función de dicha categorización en (BÁSICO, MEDIO O ALTO).
- De los controles excluidos justificadamente en ambas Declaraciones de Aplicabilidad: la que se establece en el Plan de Adecuación del ENS y la que se determina en el apartado 6.1.3 d) de la norma ISO/IEC 27001:2013 (SOA) y, en su caso, los controles compensatorios alternativos.
6. Bibliografía consultada
- [1] Secretaría de Estado de
Administraciones Públicas. “Resolución
de 13 de octubre de 2016, por la que se aprueba la Instrucción Técnica de Seguridad de Conformidad con el Esquema
Nacional de Seguridad”.
- [2] Ministerio
de Hacienda y Administraciones Públicas. Centro Criptológico Nacional. Guía
de seguridad CCN-STIC 809. “Declaración y
certificación de conformidad con el ENS y distintivos de cumplimiento”. Mayo
de 2016.
-
[3] Ministerio
de Hacienda y Administraciones Públicas. Centro Criptológico Nacional. Guía de seguridad CCN-STIC 830. “Ámbito de aplicación del Esquema Nacional de Seguridad”. Septiembre
de 2016.
- [4] Ministerio de Hacienda y Administraciones
Públicas. Centro Criptológico Nacional. Guía CCN-STIC 825. “Esquema Nacional de Seguridad:
Certificaciones 27001”. Noviembre de 2013.
7. Control de cambios del artículo
Siguiendo voluntariamente
las disposiciones de la cláusula 7.5.3 del “Anexo SL” en las normas ISO, se
incorpora el control de cambios a los artículos de este Blog permitiendo
conocer la trazabilidad de los mismos una vez han sido publicados por primera
vez. Todo ello en concordancia con el último párrafo de la cláusula general de
exclusión de responsabilidad del Blog.
Fecha
|
Cambio
|
Responsable
|
06/12/2016
|
Redacción
inicial del artículo
|
Autor
|
18/05/2017
|
Se actualizan las referencias a la derogada ley 11/2007, mediante las leyes 39/2015 y 40/2015.
|
Autor
|
8. Derechos de autor
Imágenes bajo licencia 123RF
internacional. La licencia únicamente es válida para su publicación en este
blog.
Tablas adaptadas por el autor.
La presente obra y su título
están protegidos por el derecho de autor. Las denominadas obras derivadas, es
decir, aquellas que son el resultado de la transformación de ésta para generar
otras basadas en ella, también se ven afectadas por dicho derecho.
Sobre
el autor:
José Luis Colom Planas
Posee un doble perfil, jurídico y técnico, que le facilita el desempeño
profesional en el ámbito de los diferentes marcos normativos, especialmente en
el Derecho de las nuevas tecnologías y las normas ISO de adscripción
voluntaria. A
partir de su dilatada experiencia, edita el Blog temático “Aspectos
Profesionales”.
A
nivel de especialización jurídica, ha realizado el postgrado
de Especialista Universitario en Protección de Datos y Privacidad en la
Facultad de Derecho de la Universidad de Murcia, disponiendo de la
certificación CDPP (Certified Data
Privacy Professional) del ISMS Fórum Spain. También ha cursado el programa
superior de Compliance Officer (Controller jurídico) en la Escuela Legal WKE y
se ha especializado respecto a los delitos de blanqueo de capitales en la UOC,
en colaboración con el Ilustre Colegio de Abogados de Barcelona (ICAB). Es
experto externo en prevención de blanqueo de capitales, certificado por INBLAC
y registrado en el Servicio Ejecutivo de la Comisión de Blanqueo de Capitales
(SEPBLAC).
A
nivel de especialización técnica y de gestión, ha
cursado Ingeniería técnica de Telecomunicaciones en “la Salle BCN” estando
adscrito a la AEGITT (Asociación Española de Graduados e Ingenieros Técnicos de
Telecomunicación). Es Auditor e Implantador de SGSI (Gestión de la Seguridad de
la Información) por AENOR (Asociación Española de Certificación y
Normalización). Leader Auditor
& Implanter ISO 27001 e ISO 22301 by BSI (British Standards Institution). Auditor
del esquema de certificación STAR para prestadores de servicios de Cloud
Computing (BSI + Cloud Security Alliance). Ha obtenido la certificación
internacional CISA (Certified Information Systems Auditor) by ISACA
(Information Systems Audit and Control Association). Dispone de las certificaciones
ISO 20000 PMI (Process Management Improvement) e ITIL Service Management by
EXIN (Examination Institute for Information Science).
Desempeña su labor
profesional en la entidad de
certificación AUDERTIS
como Director de Auditoría y Cumplimiento Normativo. También colabora con la
entidad certificadora British Standards Institution (BSI) como auditor jefe de
certificación e impartiendo formación para la obtención de la acreditación como
lead auditor, en diferentes marcos normativos, incluidas las especificaciones
del IRCA. Ha trabajado en Govertis Advisory Services cómo Compliance,
Management & IT Advisor, incidiendo en Compliance Penal, PBC/FT,
asesoramiento respecto a cumplimiento normativo, privacidad y gestión de
la seguridad de la información. Ha participado como lead implementer y
lead auditor de diferentes sistemas de gestión basados en Normas ISO,
individuales o integrados, y en la optimización de sus procesos. Ha realizado
diferentes niveles de auditorías de cumplimiento legal ya sea para organizaciones
sujetas a Derecho público o privado. Anteriormente ha ostentado la posición de
Director de Consultoría en ANTARA, asesorando respecto a Privacidad, seguridad
de la información y PBC/FT.
Convencido del valor que aportan las organizaciones
profesionales, es asociado sénior de la APEP (Asociación Profesional
Española de Privacidad), miembro de ISACA (Information Systems Audit and
Control Association), miembro de ISMS Forum Spain (Asociación Española
para el Fomento de la Seguridad de la Información), miembro de itSMF (IT
Service Management Forum), ATI (Asociación de Técnicos de Informática), ENATIC
(Asociación de expertos nacionales de la abogacía TIC), CUMPLEN (Asociación
de Profesionales de Cumplimiento Normativo) y asociado de INBLAC
(Instituto de expertos en prevención del Blanqueo de
Capitales), habiendo sido ponente o colaborado en casi todas las
referidas organizaciones. También lo es de la iniciativa del Observatorio
Iberoamericano de Protección de Datos (OIPRODAT) habiendo obtenido,
junto a algunos colaboradores del mismo, un premio compartido otorgado por la
AEPD.
ANEXO I: Las 75
medidas de seguridad del ENS
Se detallan a continuación de forma esquemática las 75 medidas de seguridad
que determina el Anexo II del Real Decreto 3/2010, de 8 de enero, por el que se
regula el Esquema Nacional de Seguridad en el ámbito de la Administración
Electrónica, contemplando el RD 951/2015, de 23 de octubre, de modificación del
ENS.
Pueden verse las medidas que aplican en función de la categorización de los
sistemas y, en su caso, de la dimensión de seguridad afectada.
Categoría de los Sistemas
|
Medidas de seguridad
|
||||
Dimensión
|
B
|
M
|
A
|
||
org
|
Marco organizativo
|
||||
categoría
|
aplica
|
=
|
=
|
org.1
|
Política de seguridad
|
categoría
|
aplica
|
=
|
=
|
org.2
|
Normativa de seguridad
|
categoría
|
aplica
|
=
|
=
|
org.3
|
Procedimientos de
seguridad
|
categoría
|
aplica
|
=
|
=
|
org.4
|
Proceso de autorización
|
op
|
Marco operacional
|
||||
op.pl
|
Planificación
|
||||
categoría
|
aplica
|
+
|
++
|
op.pl.1
|
Análisis de riesgos
|
categoría
|
aplica
|
+
|
++
|
op.pl.2
|
Arquitectura de seguridad
|
categoría
|
aplica
|
=
|
=
|
op.pl.3
|
Adquisición de nuevos
componentes
|
D
|
n.a.
|
aplica
|
=
|
op.pl.4
|
Dimensionamiento/Gestión
de capacidades
|
categoría
|
n.a.
|
n.a.
|
aplica
|
op.pl.5
|
Componentes certificados
|
op.acc
|
Control de acceso
|
||||
A T
|
aplica
|
=
|
=
|
op.acc.1
|
Identificación
|
I C A T
|
aplica
|
=
|
=
|
op.acc.2
|
Requisitos de acceso
|
I C A T
|
n.a.
|
aplica
|
=
|
op.acc.3
|
Segregación de funciones
y tareas
|
I C A T
|
aplica
|
=
|
=
|
op.acc.4
|
Proceso de gestión de
derechos de acceso
|
I C A T
|
aplica
|
+
|
++
|
op.acc.5
|
Mecanismo de
autenticación
|
I C A T
|
aplica
|
+
|
++
|
op.acc.6
|
Acceso local (local logon)
|
I C A T
|
aplica
|
+
|
=
|
op.acc.7
|
Acceso remoto (remote login)
|
op.exp
|
Explotación
|
||||
categoría
|
aplica
|
=
|
=
|
op.exp.1
|
Inventario de activos
|
categoría
|
aplica
|
=
|
=
|
op.exp.2
|
Configuración de
seguridad
|
categoría
|
n.a.
|
aplica
|
=
|
op.exp.3
|
Gestión de la
configuración
|
categoría
|
aplica
|
=
|
=
|
op.exp.4
|
Mantenimiento
|
categoría
|
n.a.
|
aplica
|
=
|
op.exp.5
|
Gestión de cambios
|
categoría
|
aplica
|
=
|
=
|
op.exp.6
|
Protección frente a
código dañino
|
categoría
|
n.a.
|
aplica
|
=
|
op.exp.7
|
Gestión de incidentes
|
T
|
aplica
|
+
|
++
|
op.exp.8
|
Registro de la actividad
de los usuarios
|
categoría
|
n.a.
|
aplica
|
=
|
op.exp.9
|
Registro de la gestión de
incidentes
|
T
|
n.a.
|
n.a.
|
aplica
|
op.exp.10
|
Protección de los
registros de actividad
|
categoría
|
aplica
|
+
|
=
|
op.exp.11
|
Protección de claves
criptográficas
|
op.ext
|
Servicios externos
|
||||
categoría
|
n.a.
|
aplica
|
=
|
op.ext.1
|
Contratación y acuerdos
de nivel de servicio
|
categoría
|
n.a.
|
aplica
|
=
|
op.ext.2
|
Gestión diaria
|
D
|
n.a.
|
n.a.
|
aplica
|
op.ext.9
|
Medios alternativos
|
op.cont
|
Continuidad del servicio
|
||||
D
|
n.a.
|
aplica
|
=
|
op.cont.1
|
Análisis de impacto
|
D
|
n.a.
|
n.a.
|
aplica
|
op.cont.2
|
Plan de continuidad
|
D
|
n.a.
|
n.a.
|
aplica
|
op.cont.3
|
Pruebas periódicas
|
op.mon
|
Monitorización del
sistema
|
||||
categoría
|
n.a.
|
aplica
|
=
|
op.mon.1
|
Detección de intrusión
|
categoría
|
n.a.
|
n.a.
|
aplica
|
op.mon.2
|
Sistema de métricas
|
mp
|
Medidas de protección
|
||||
mp.if
|
Protección de las
instalaciones e infraestructuras
|
||||
categoría
|
aplica
|
=
|
=
|
mp.if.1
|
Áreas separadas y con
control de acceso
|
categoría
|
aplica
|
=
|
=
|
mp.if.2
|
Identificación de las
personas
|
categoría
|
aplica
|
=
|
=
|
mp.if.3
|
Acondicionamiento de los
locales
|
D
|
aplica
|
+
|
=
|
mp.if.4
|
Energía eléctrica
|
D
|
aplica
|
=
|
=
|
mp.if.5
|
Protección frente a
incendios
|
D
|
n.a.
|
aplica
|
=
|
mp.if.6
|
Protección frente a
inundaciones
|
categoría
|
aplica
|
=
|
=
|
mp.if.7
|
Registro de entrada y
salida de equipamiento
|
D
|
n.a.
|
n.a.
|
aplica
|
mp.if.9
|
Instalaciones
alternativas
|
mp.per
|
Gestión del personal
|
||||
categoría
|
n.a.
|
aplica
|
=
|
mp.per.1
|
Caracterización del
puesto de trabajo
|
categoría
|
aplica
|
=
|
=
|
mp.per.2
|
Deberes y obligaciones
|
categoría
|
aplica
|
=
|
=
|
mp.per.3
|
Concienciación
|
categoría
|
aplica
|
=
|
=
|
mp.per.4
|
Formación
|
D
|
n.a.
|
n.a.
|
aplica
|
mp.per.9
|
Personal alternativo
|
mp.eq
|
Protección de los equipos
|
||||
categoría
|
aplica
|
+
|
=
|
mp.eq.1
|
Puesto de trabajo
despejado
|
A
|
n.a.
|
aplica
|
+
|
mp.eq.2
|
Bloqueo de puesto de
trabajo
|
categoría
|
aplica
|
=
|
+
|
mp.eq.3
|
Protección de equipos
portátiles
|
D
|
n.a.
|
aplica
|
=
|
mp.eq.9
|
Medios alternativos
|
mp.com
|
Protección de las
comunicaciones
|
||||
categoría
|
aplica
|
=
|
+
|
mp.com.1
|
Perímetro seguro
|
C
|
n.a.
|
aplica
|
+
|
mp.com.2
|
Protección de la
confidencialidad
|
I A
|
aplica
|
+
|
++
|
mp.com.3
|
Protección de la
autenticidad y de la integridad
|
categoría
|
n.a.
|
n.a.
|
aplica
|
mp.com.4
|
Segregación de redes
|
D
|
n.a.
|
n.a.
|
aplica
|
mp.com.9
|
Medios alternativos
|
mp.si
|
Protección de los
soportes de información
|
||||
C
|
aplica
|
=
|
=
|
mp.si.1
|
Etiquetado
|
I C
|
n.a.
|
aplica
|
+
|
mp.si.2
|
Criptografía
|
categoría
|
aplica
|
=
|
=
|
mp.si.3
|
Custodia
|
categoría
|
aplica
|
=
|
=
|
mp.si.4
|
Transporte
|
C
|
aplica
|
+
|
=
|
mp.si.5
|
Borrado y destrucción
|
mp.sw
|
Protección de las
aplicaciones informáticas
|
||||
categoría
|
n.a.
|
aplica
|
=
|
mp.sw.1
|
Desarrollo
|
categoría
|
aplica
|
+
|
++
|
mp.sw.2
|
Aceptación y puesta en
servicio
|
mp.info
|
Protección de la
información
|
||||
categoría
|
aplica
|
=
|
=
|
mp.info.1
|
Datos de carácter
personal
|
C
|
aplica
|
+
|
=
|
mp.info.2
|
Calificación de la
información
|
C
|
n.a.
|
n.a.
|
aplica
|
mp.info.3
|
Cifrado
|
I A
|
aplica
|
+
|
++
|
mp.info.4
|
Firma electrónica
|
T
|
n.a.
|
n.a.
|
aplica
|
mp.info.5
|
Sellos de tiempo
|
C
|
aplica
|
=
|
=
|
mp.info.6
|
Limpieza de documentos
|
D
|
aplica
|
=
|
=
|
mp.info.9
|
Copias de seguridad (backup)
|
mp.s
|
Protección de los
servicios
|
||||
categoría
|
aplica
|
=
|
=
|
mp.s.1
|
Protección del correo
electrónico
|
categoría
|
aplica
|
=
|
+
|
mp.s.2
|
Protección de servicios y
aplicaciones web
|
D
|
n.a.
|
aplica
|
+
|
mp.s.8
|
Protección frente a la
denegación de servicio
|
D
|
n.a.
|
n.a.
|
aplica
|
mp.s.9
|
Medios alternativos»
|
Twittear
No hay comentarios:
Publicar un comentario
Nota: solo los miembros de este blog pueden publicar comentarios.