/
(VA) ENS - Novetats de l'ENS 2022

(VA) ENS - Novetats de l'ENS 2022

may 10, 2023

Descobreix les principals novetats que trobem en el nou Esquema Nacional de Seguretat (Reial Decret 311/2022, de 3 de maig).

Incorporació de la figura del perfil de compliment

  • Objectiu

    • Capacitat d'adaptació.

    • Aconseguir una adaptació a l'ENS més eficaç i eficient, racionalitzant recursos requerits sense menyscapte de la protecció perseguida i exigible.

  • Aplicació

    • Conjunt de mesures de seguretat, compreses o no l'en Annex II de l'ENS que, a conseqüència de la preceptiva anàlisi de riscos, resulten d'aplicació a una entitat o sector d'activitat concreta i per a una determinada categoria de seguretat.

    • Es persegueix introduir la capacitat d'ajustar els requisits de ENS a necessitats específiques:

      • A determinats col·lectius d'entitats: Entitats locals, Universitats, Organismes pagadors…

      • O a determinats àmbits tecnològics: serveis en núvol…

    • Donant resposta a les noves demandes provinents d'unes organitzacions més madures i uns ciutadans més exigents amb els seus drets, per a una aplicació més eficaç i eficient del *ENS, sense menyscapte de la ciberseguretat.

  • Metodologia

    • En un perfil de compliment específic, respecte d'una declaració d'aplicabilitat inicial per a una categoria determinada es pot:

      • Suprimir mesures o incloure l'aplicabilitat d'unes altres.

      • Augmentar o disminuir l'exigència del nivell d'implantació d'alguna mesura.

      • Proposar mesures compensatòries o complementàries de vigilància.

Establiment de protocol d'actuació davant ciberincidents

  • Objectiu 

    • Articular la resposta a incidents de seguretat de la informació.

    • Establir les condicions de notificació d'incidents al CCN-CERT, coordinador nacional i internacional de la resposta tècnica dels equips de resposta a incidents de seguretat informàtica.

  • Aplicació

    • El Centre Criptológic Nacional articula la resposta als incidents de seguretat. Estableix l'obligació de notificar al *CCN-*CERT els incidents de seguretat:

      • Les entitats del sector públic notificaran al *CCN aquells incidents que tinguen un impacte significatiu en la seguretat dels sistemes d'informació concernits.

      • INCIBE-CERT posarà immediatament en coneixement del *CCN-*CERT els incidents que afecten les organitzacions del sector privat que presten serveis a les entitats públiques.

    • Assigna al *CCN les següents funcions:

      • Determinar tècnicament el risc de reconnexió d'un sistema, després d'un incident de seguretat.

      • Indicar els procediments a seguir i les salvaguardes a implementar per a reduir l'impacte de l'incident.

      • Articular la resposta a incidents de seguretat de la informació.

      • Establir les condicions de notificació d'incidents al *CCN-*CERT, coordinador nacional i internacional de la resposta tècnica dels equips de resposta a incidents de seguretat informàtica.

Nou sistema de codificació dels requisits de les mesures de seguretat

  • Objectiu

    • Facilitar de manera proporcionada la seguretat dels sistemes d'informació, la seua implantació i la seua auditoria.

  • Aplicació

    • S'han codificat els requisits de mesures i s'han organitzat de la següent forma:

      • Requisits base.

      • Possibles reforços de seguretat (R), alineats amb el nivell de seguretat perseguit, que se sumen (+) als requisits base de la mesura, però que no sempre són incrementals entre si; de manera que, en uns certs casos, es pot triar entre aplicar un reforç o un altre.

 
































Rev:

2023 / 05

Lang.

SERVEI D'INFORMÀTICA - UNIVERSITAT DE VALÈNCIA - www.uv.es/siuv