(VA) ENS - Novetats de l'ENS 2022
- Carla Garrido Zanón
Owned by Carla Garrido Zanón
may 10, 2023
Loading data...
Descobreix les principals novetats que trobem en el nou Esquema Nacional de Seguretat (Reial Decret 311/2022, de 3 de maig).
Incorporació de la figura del perfil de compliment
- Objectiu
- Capacitat d'adaptació.
- Aconseguir una adaptació a l'ENS més eficaç i eficient, racionalitzant recursos requerits sense menyscapte de la protecció perseguida i exigible.
- Aplicació
- Conjunt de mesures de seguretat, compreses o no l'en Annex II de l'ENS que, a conseqüència de la preceptiva anàlisi de riscos, resulten d'aplicació a una entitat o sector d'activitat concreta i per a una determinada categoria de seguretat.
- Es persegueix introduir la capacitat d'ajustar els requisits de ENS a necessitats específiques:
- A determinats col·lectius d'entitats: Entitats locals, Universitats, Organismes pagadors…
- O a determinats àmbits tecnològics: serveis en núvol…
- Donant resposta a les noves demandes provinents d'unes organitzacions més madures i uns ciutadans més exigents amb els seus drets, per a una aplicació més eficaç i eficient del *ENS, sense menyscapte de la ciberseguretat.
- Metodologia
- En un perfil de compliment específic, respecte d'una declaració d'aplicabilitat inicial per a una categoria determinada es pot:
- Suprimir mesures o incloure l'aplicabilitat d'unes altres.
- Augmentar o disminuir l'exigència del nivell d'implantació d'alguna mesura.
- Proposar mesures compensatòries o complementàries de vigilància.
- En un perfil de compliment específic, respecte d'una declaració d'aplicabilitat inicial per a una categoria determinada es pot:
Establiment de protocol d'actuació davant ciberincidents
- Objectiu
- Articular la resposta a incidents de seguretat de la informació.
- Establir les condicions de notificació d'incidents al CCN-CERT, coordinador nacional i internacional de la resposta tècnica dels equips de resposta a incidents de seguretat informàtica.
- Aplicació
- El Centre Criptológic Nacional articula la resposta als incidents de seguretat. Estableix l'obligació de notificar al *CCN-*CERT els incidents de seguretat:
- Les entitats del sector públic notificaran al *CCN aquells incidents que tinguen un impacte significatiu en la seguretat dels sistemes d'informació concernits.
- INCIBE-CERT posarà immediatament en coneixement del *CCN-*CERT els incidents que afecten les organitzacions del sector privat que presten serveis a les entitats públiques.
- Assigna al *CCN les següents funcions:
- Determinar tècnicament el risc de reconnexió d'un sistema, després d'un incident de seguretat.
- Indicar els procediments a seguir i les salvaguardes a implementar per a reduir l'impacte de l'incident.
- Articular la resposta a incidents de seguretat de la informació.
- Establir les condicions de notificació d'incidents al *CCN-*CERT, coordinador nacional i internacional de la resposta tècnica dels equips de resposta a incidents de seguretat informàtica.
- El Centre Criptológic Nacional articula la resposta als incidents de seguretat. Estableix l'obligació de notificar al *CCN-*CERT els incidents de seguretat:
Nou sistema de codificació dels requisits de les mesures de seguretat
- Objectiu
- Facilitar de manera proporcionada la seguretat dels sistemes d'informació, la seua implantació i la seua auditoria.
- Aplicació
- S'han codificat els requisits de mesures i s'han organitzat de la següent forma:
- Requisits base.
- Possibles reforços de seguretat (R), alineats amb el nivell de seguretat perseguit, que se sumen (+) als requisits base de la mesura, però que no sempre són incrementals entre si; de manera que, en uns certs casos, es pot triar entre aplicar un reforç o un altre.
- S'han codificat els requisits de mesures i s'han organitzat de la següent forma:
Rev: | 2023 / 05 |
Lang. |
|
SERVEI D'INFORMÀTICA - UNIVERSITAT DE VALÈNCIA - www.uv.es/siuv