(VA) ENS - És aplicable l'ENS al correu electrònic corporatiu?

Owned by Former user (Deleted)
Last updated: sept 12, 2022 by SERVEI D'INFORMÀTICA - QUALITAT I COMUNICACIÓ
3 min read


En la mesura en què el correu electrònic corporatiu s'utilitze en tot o en part per a la prestació de serveis o el desenvolupament de les competències o potestats de l'entitat, resultarà d'aplicació el que es disposa en l'ENS.

D'altra banda, hem de tindre present el que es disposa en l'ENS en relació amb la
protecció del correu electrònic, quan disposa:
5.8.1 Protecció del correu electrònic (e-mail) mp.s.1.

El correu electrònic es protegirà enfront de les amenaces que li són pròpies, actuant de la següent manera:


  1. La informació distribuïda per mitjà de     correu electrònic, es protegirà, tant en  el cos de   els missatges, com en  els annexos.

2. Es protegirà la informació d'encaminament  de missatges i establiment de connexions.

3. Es protegirà a   l'organització enfront de   problemes que es materialitzen per mitjà del     correu electrònic, en concret:

4. Correu no sol·licitat, en  la seua expressió anglesa «spam».

5.  Programes nocius, constituïts per virus, cucs, troyanos, espies, o uns altres de naturalesa anàloga.

6. Codi mòbil de tipus «miniaplicació».

7.  S'establiran  normes  d'ús del correu electrònic per part del personal determinat. Aquestes normes  d'ús contindran:

8. Limitacions a l'ús  com a suport de comunicacions privades.

9.Activitats de conscienciació i formació relatives a l'ús  del correu electrònic.


Quan el servei  de correu electrònic es presta externament, caldrà  assegurar que el prestador del servei compleix amb  l'assenyalat anteriorment, cirunstancia que sol escometre's mitjançant la subscripció del corresponent Contracte i Acord de Nivell  de Servei, que es complementarà  amb  la facultat  de l'entitat  d'auditar  la prestació del servei i l'adopció  de   les preceptives mesurades de seguretat. 

L'ENS  I LA NORMALITZACIÓ VOLUNTÀRIA RELATIVA A SISTEMES DE GESTIÓ DE SEGURETAT DE   LA INFORMACIÓ

 És l'ENS  compatible amb UNEIX ISO/IEC 27001:2007?, són normes similars?, són compl ementarias?

 L'Esquema  Nacional de Seguretat és una norma jurídica, el   Reial decret 3/2010, que es troba al servei  de la realització del dret de   els ciutadans a relacionar-se per mitjans electrònics amb  les Administracions Públiques establit en  la Llei 11/2007, de 22 de juny, d'accés  electrònic de   els ciutadans a   els Serveis Públics i és  d'obligat compliment per a les  Administracions Públiques. L'ENS  , sustentat en principis internacionals de seguretat de   la informació, tracta la PROTECCIÓ de   la informació, els sistemes i els serveis.


 L'ENS  contempla i exigeix la gestió continuada de   la seguretat, per a això   cal aplicar un sistema de gestió. Vegen-se els principis bàsics relatius a 'La seguretat com  un procés integral' (art. 5) i a   la 'Reavaluació periòdica' (art. 9); els requisits mínims relatius a

'Organització i implantació del procés  de seguretat' (art. 12), 'Millora contínua del procés  de seguretat' (art. 26); vegeu també l'annex  III sobre Auditoria de   la seguretat que desenvolupa l'article  34 i que inclou entre els termes considerar en  l'auditoria de   la seguretat de   els sistemes d'informació  de   una organització "f) Que existeix un sistema de gestió de   la seguretat de   la informació, documentat i amb un procés regular d'aprovació  per   la direcció."


Per a satisfer els citats principis bàsics i requisits mínims es pot aplicar un model de tipus PCDA per a això   la normalització voluntària ofereix eines com la norma UNEIX ISO/IEC 27001:2007 "Tecnologia de   la informació. Tècniques de seguretat. Sistemes de Gestió de   la Seguretat de   la Informació (SGSI). Requisits. (ISO/IEC 27001:2005)".


Com  és sabut, la norma UNEIX ISO/IEC 27001:2007 conté els requisits per a la  construcció (i ulterior certificació, si escau)   de   un Sistema de Gestió de Seguretat de   la Informació. En  l'Annex A   d'aquesta norma s'enumeren  els controls que desenvolupa la norma ISO 27002. Ambdues normes, per tant, han d'examinar-se  de   manera complementària.


Per tant, en conclusió: 

ENS  és una norma jurídica, el   Reial decret 3/2010, que es troba al servei  de la realització de drets de   els ciutadans i és d'aplicació   obligatòria a   totes les Administracions Públiques.

ENS  que tracta la 'protecció'  de   la informació i els serveis, contempla i exigeix la gestió continuada de   la seguretat, per a això   cal aplicar un sistema de gestió. La normalització nacional i internacional, de compliment voluntari, ofereix

eines com la norma UNEIX ISO/IEC 27001:2007 que és una norma  de 'gestió' que conté els requisits per a la  construcció de   un sistema de gestió de seguretat de   la informació, contra  la qual pot, si escau,   de   forma voluntària, certificar-se una entitat (pública o privada) mitjançant un procés  d'auditoria realitzat per   un auditor certificat extern.

Si bé cal assenyalar que aquelles organitzacions que es troben certificades contra ISO 27001 tenen una bona part del camí recorregut per a aconseguir la seua conformitat amb  l'ENS, atès que   les mesures de protecció que assenyala l'ENS  coincideixen, en  el substancial, amb  els controls que preveu la norma internacional.

Per tant, l'Esquema  Nacional de Seguretat i la norma UNEIX ISO/IEC 27001:2007 difereixen en  la seua naturalesa, en  el seu àmbit d'aplicació,  en  la seua obligatorietat i en  els objectius que persegueixen.














Rev:2019 / 02
Lang.

SERVEI D'INFORMÀTICA - UNIVERSITAT DE VALÈNCIA