(ES) ENS - Novedades del ENS 2022
Carla Garrido Zanón
Owned by Carla Garrido Zanón
Descubre las principales novedades que encontramos en el nuevo Esquema Nacional de Seguridad (Real Decreto 311/2022, de 3 de mayo).
Incorporación de la figura del perfil de cumplimiento
- Objetivo
- Capacidad de adaptación.
- Alcanzar una adaptación al ENS más eficaz y eficiente, racionalizando recursos requeridos sin menoscabo de la protección perseguida y exigible.
- Aplicación
- Conjunto de medidas de seguridad, comprendidas o no el en Anexo II del ENS que, como consecuencia del preceptivo análisis de riesgos, resulten de aplicación a una entidad o sector de actividad concreta y para una determinada categoría de seguridad.
- Se persigue introducir la capacidad de ajustar los requisitos del ENS a necesidades específicas:
- A determinados colectivos de entidades: Entidades locales, Universidades, Organismos pagadores…
- O a determinados ámbitos tecnológicos: servicios en nube…
- Dando respuesta a las nuevas demandas provenientes de unas organizaciones más maduras y unos ciudadanos más exigentes con sus derechos, para una aplicación más eficaz y eficiente del ENS, sin menoscabo de la ciberseguridad.
- Metodología
- En un perfil de cumplimiento específico, respecto de una declaración de aplicabilidad inicial para una categoría determinada se puede:
- Suprimir medidas o incluir la aplicabilidad de otras.
- Aumentar o disminuir la exigencia del nivel de implantación de alguna medida.
- Proponer medidas compensatorias o complementarias de vigilancia.
- En un perfil de cumplimiento específico, respecto de una declaración de aplicabilidad inicial para una categoría determinada se puede:
Establecimiento de protocolo de actuación ante ciberincidentes
- Objetivo
- Articular la respuesta a incidentes de seguridad de la información.
- Establecer las condiciones de notificación de incidentes al CCN-CERT, coordinador nacional e internacional de la respuesta técnica de los equipos de respuesta a incidentes de seguridad informática.
- Aplicación
- El Centro Criptológico Nacional articula la respuesta a los incidentes de seguridad. Establece la obligación de notificar al CCN-CERT los incidentes de seguridad:
- Las entidades del sector público notificarán al CCN aquellos incidentes que tengan un impacto significativo en la seguridad de los sistemas de información concernidos.
- INCIBE-CERT pondrá inmediatamente en conocimiento del CCN-CERT los incidentes que afecten a las organizaciones del sector privado que presten servicios a las entidades públicas.
- Asigna al CCN las siguientes funciones:
- Determinar técnicamente el riesgo de reconexión de un sistema, tras un incidente de seguridad.
- Indicar los procedimientos a seguir y las salvaguardas a implementar para reducir el impacto del incidente.
- Articular la respuesta a incidentes de seguridad de la información.
- Establecer las condiciones de notificación de incidentes al CCN-CERT, coordinador nacional e internacional de la respuesta técnica de los equipos de respuesta a incidentes de seguridad informática.
- El Centro Criptológico Nacional articula la respuesta a los incidentes de seguridad. Establece la obligación de notificar al CCN-CERT los incidentes de seguridad:
Nuevo sistema de codificación de los requisitos de las medidas de seguridad
- Objetivo
- Facilitar de manera proporcionada la seguridad de los sistemas de información, su implantación y su auditoría.
- Aplicación
- Se han codificado los requisitos de medidas y se han organizado de la siguiente forma:
- Requisitos base.
- Posibles refuerzos de seguridad (R), alineados con el nivel de seguridad perseguido, que se suman (+) a los requisitos base de la medida, pero que no siempre son incrementales entre sí; de forma que, en ciertos casos, se puede elegir entre aplicar un refuerzo u otro.
- Se han codificado los requisitos de medidas y se han organizado de la siguiente forma:
| Rev: | 2023 / 05 |
| Lang. |
|
SERVEI D'INFORMÀTICA - UNIVERSITAT DE VALÈNCIA - www.uv.es/siuv