(VA) ENS - És aplicable l'ENS al correu electrònic corporatiu?
En la mesura en què el correu electrònic corporatiu s'utilitze en tot o en part per a la prestació de serveis o el desenvolupament de les competències o potestats de l'entitat, resultarà d'aplicació el que es disposa en l'ENS.
D'altra banda, hem de tindre present el que es disposa en l'ENS en relació amb la
protecció del correu electrònic, quan disposa:
5.8.1 Protecció del correu electrònic (e-mail) mp.s.1.
El correu electrònic es protegirà enfront de les amenaces que li són pròpies, actuant de la següent manera:
- La informació distribuïda per mitjà de correu electrònic, es protegirà, tant en el cos de els missatges, com en els annexos.
2. Es protegirà la informació d'encaminament de missatges i establiment de connexions.
3. Es protegirà a l'organització enfront de problemes que es materialitzen per mitjà del correu electrònic, en concret:
4. Correu no sol·licitat, en la seua expressió anglesa «spam».
5. Programes nocius, constituïts per virus, cucs, troyanos, espies, o uns altres de naturalesa anàloga.
6. Codi mòbil de tipus «miniaplicació».
7. S'establiran normes d'ús del correu electrònic per part del personal determinat. Aquestes normes d'ús contindran:
8. Limitacions a l'ús com a suport de comunicacions privades.
9.Activitats de conscienciació i formació relatives a l'ús del correu electrònic.
Quan el servei de correu electrònic es presta externament, caldrà assegurar que el prestador del servei compleix amb l'assenyalat anteriorment, cirunstancia que sol escometre's mitjançant la subscripció del corresponent Contracte i Acord de Nivell de Servei, que es complementarà amb la facultat de l'entitat d'auditar la prestació del servei i l'adopció de les preceptives mesurades de seguretat.
L'ENS I LA NORMALITZACIÓ VOLUNTÀRIA RELATIVA A SISTEMES DE GESTIÓ DE SEGURETAT DE LA INFORMACIÓ
És l'ENS compatible amb UNEIX ISO/IEC 27001:2007?, són normes similars?, són compl ementarias?
L'Esquema Nacional de Seguretat és una norma jurídica, el Reial decret 3/2010, que es troba al servei de la realització del dret de els ciutadans a relacionar-se per mitjans electrònics amb les Administracions Públiques establit en la Llei 11/2007, de 22 de juny, d'accés electrònic de els ciutadans a els Serveis Públics i és d'obligat compliment per a les Administracions Públiques. L'ENS , sustentat en principis internacionals de seguretat de la informació, tracta la PROTECCIÓ de la informació, els sistemes i els serveis.
L'ENS contempla i exigeix la gestió continuada de la seguretat, per a això cal aplicar un sistema de gestió. Vegen-se els principis bàsics relatius a 'La seguretat com un procés integral' (art. 5) i a la 'Reavaluació periòdica' (art. 9); els requisits mínims relatius a
'Organització i implantació del procés de seguretat' (art. 12), 'Millora contínua del procés de seguretat' (art. 26); vegeu també l'annex III sobre Auditoria de la seguretat que desenvolupa l'article 34 i que inclou entre els termes considerar en l'auditoria de la seguretat de els sistemes d'informació de una organització "f) Que existeix un sistema de gestió de la seguretat de la informació, documentat i amb un procés regular d'aprovació per la direcció."
Per a satisfer els citats principis bàsics i requisits mínims es pot aplicar un model de tipus PCDA per a això la normalització voluntària ofereix eines com la norma UNEIX ISO/IEC 27001:2007 "Tecnologia de la informació. Tècniques de seguretat. Sistemes de Gestió de la Seguretat de la Informació (SGSI). Requisits. (ISO/IEC 27001:2005)".
Com és sabut, la norma UNEIX ISO/IEC 27001:2007 conté els requisits per a la construcció (i ulterior certificació, si escau) de un Sistema de Gestió de Seguretat de la Informació. En l'Annex A d'aquesta norma s'enumeren els controls que desenvolupa la norma ISO 27002. Ambdues normes, per tant, han d'examinar-se de manera complementària.
Per tant, en conclusió:
ENS és una norma jurídica, el Reial decret 3/2010, que es troba al servei de la realització de drets de els ciutadans i és d'aplicació obligatòria a totes les Administracions Públiques.
ENS que tracta la 'protecció' de la informació i els serveis, contempla i exigeix la gestió continuada de la seguretat, per a això cal aplicar un sistema de gestió. La normalització nacional i internacional, de compliment voluntari, ofereix
eines com la norma UNEIX ISO/IEC 27001:2007 que és una norma de 'gestió' que conté els requisits per a la construcció de un sistema de gestió de seguretat de la informació, contra la qual pot, si escau, de forma voluntària, certificar-se una entitat (pública o privada) mitjançant un procés d'auditoria realitzat per un auditor certificat extern.
Si bé cal assenyalar que aquelles organitzacions que es troben certificades contra ISO 27001 tenen una bona part del camí recorregut per a aconseguir la seua conformitat amb l'ENS, atès que les mesures de protecció que assenyala l'ENS coincideixen, en el substancial, amb els controls que preveu la norma internacional.
Per tant, l'Esquema Nacional de Seguretat i la norma UNEIX ISO/IEC 27001:2007 difereixen en la seua naturalesa, en el seu àmbit d'aplicació, en la seua obligatorietat i en els objectius que persegueixen.
Rev: | 2019 / 02 |
Lang. |
SERVEI D'INFORMÀTICA - UNIVERSITAT DE VALÈNCIA