/
(ES) ENS - Novedades del ENS 2022

(ES) ENS - Novedades del ENS 2022

may 10, 2023

Descubre las principales novedades que encontramos en el nuevo Esquema Nacional de Seguridad (Real Decreto 311/2022, de 3 de mayo).

Incorporación de la figura del perfil de cumplimiento

  • Objetivo

    • Capacidad de adaptación.

    • Alcanzar una adaptación al ENS más eficaz y eficiente, racionalizando recursos requeridos sin menoscabo de la protección perseguida y exigible.

  • Aplicación

    • Conjunto de medidas de seguridad, comprendidas o no el en Anexo II del ENS que, como consecuencia del preceptivo análisis de riesgos, resulten de aplicación a una entidad o sector de actividad concreta y para una determinada categoría de seguridad.

    • Se persigue introducir la capacidad de ajustar los requisitos del ENS a necesidades específicas:

      • A determinados colectivos de entidades: Entidades locales, Universidades, Organismos pagadores…

      • O a determinados ámbitos tecnológicos: servicios en nube…

    • Dando respuesta a las nuevas demandas provenientes de unas organizaciones más maduras y unos ciudadanos más exigentes con sus derechos, para una aplicación más eficaz y eficiente del ENS, sin menoscabo de la ciberseguridad.

  • Metodología

    • En un perfil de cumplimiento específico, respecto de una declaración de aplicabilidad inicial para una categoría determinada se puede:

      • Suprimir medidas o incluir la aplicabilidad de otras.

      • Aumentar o disminuir la exigencia del nivel de implantación de alguna medida.

      • Proponer medidas compensatorias o complementarias de vigilancia.

Establecimiento de protocolo de actuación ante ciberincidentes

  • Objetivo 

    • Articular la respuesta a incidentes de seguridad de la información.

    • Establecer las condiciones de notificación de incidentes al CCN-CERT, coordinador nacional e internacional de la respuesta técnica de los equipos de respuesta a incidentes de seguridad informática.

  • Aplicación

    • El Centro Criptológico Nacional articula la respuesta a los incidentes de seguridad. Establece la obligación de notificar al CCN-CERT los incidentes de seguridad:

      • Las entidades del sector público notificarán al CCN aquellos incidentes que tengan un impacto significativo en la seguridad de los sistemas de información concernidos.

      • INCIBE-CERT pondrá inmediatamente en conocimiento del CCN-CERT los incidentes que afecten a las organizaciones del sector privado que presten servicios a las entidades públicas.

    • Asigna al CCN las siguientes funciones:

      • Determinar técnicamente el riesgo de reconexión de un sistema, tras un incidente de seguridad.

      • Indicar los procedimientos a seguir y las salvaguardas a implementar para reducir el impacto del incidente.

      • Articular la respuesta a incidentes de seguridad de la información.

      • Establecer las condiciones de notificación de incidentes al CCN-CERT, coordinador nacional e internacional de la respuesta técnica de los equipos de respuesta a incidentes de seguridad informática.

Nuevo sistema de codificación de los requisitos de las medidas de seguridad

  • Objetivo

    • Facilitar de manera proporcionada la seguridad de los sistemas de información, su implantación y su auditoría.

  • Aplicación

    • Se han codificado los requisitos de medidas y se han organizado de la siguiente forma:

      • Requisitos base.

      • Posibles refuerzos de seguridad (R), alineados con el nivel de seguridad perseguido, que se suman (+) a los requisitos base de la medida, pero que no siempre son incrementales entre sí; de forma que, en ciertos casos, se puede elegir entre aplicar un refuerzo u otro.

 

Rev:

2023 / 05

Lang.

SERVEI D'INFORMÀTICA - UNIVERSITAT DE VALÈNCIA - www.uv.es/siuv