(VA) ENS - Novetats de l'ENS 2022

Descobreix les principals novetats que trobem en el nou Esquema Nacional de Seguretat (Reial Decret 311/2022, de 3 de maig).

Incorporació de la figura del perfil de compliment

  • Objectiu
    • Capacitat d'adaptació.
    • Aconseguir una adaptació a l'ENS més eficaç i eficient, racionalitzant recursos requerits sense menyscapte de la protecció perseguida i exigible.
  • Aplicació
    • Conjunt de mesures de seguretat, compreses o no l'en Annex II de l'ENS que, a conseqüència de la preceptiva anàlisi de riscos, resulten d'aplicació a una entitat o sector d'activitat concreta i per a una determinada categoria de seguretat.
    • Es persegueix introduir la capacitat d'ajustar els requisits de ENS a necessitats específiques:
      • A determinats col·lectius d'entitats: Entitats locals, Universitats, Organismes pagadors…
      • O a determinats àmbits tecnològics: serveis en núvol…
    • Donant resposta a les noves demandes provinents d'unes organitzacions més madures i uns ciutadans més exigents amb els seus drets, per a una aplicació més eficaç i eficient del *ENS, sense menyscapte de la ciberseguretat.
  • Metodologia
    • En un perfil de compliment específic, respecte d'una declaració d'aplicabilitat inicial per a una categoria determinada es pot:
      • Suprimir mesures o incloure l'aplicabilitat d'unes altres.
      • Augmentar o disminuir l'exigència del nivell d'implantació d'alguna mesura.
      • Proposar mesures compensatòries o complementàries de vigilància.

Establiment de protocol d'actuació davant ciberincidents

  • Objectiu 
    • Articular la resposta a incidents de seguretat de la informació.
    • Establir les condicions de notificació d'incidents al CCN-CERT, coordinador nacional i internacional de la resposta tècnica dels equips de resposta a incidents de seguretat informàtica.
  • Aplicació
    • El Centre Criptológic Nacional articula la resposta als incidents de seguretat. Estableix l'obligació de notificar al *CCN-*CERT els incidents de seguretat:
      • Les entitats del sector públic notificaran al *CCN aquells incidents que tinguen un impacte significatiu en la seguretat dels sistemes d'informació concernits.
      • INCIBE-CERT posarà immediatament en coneixement del *CCN-*CERT els incidents que afecten les organitzacions del sector privat que presten serveis a les entitats públiques.
    • Assigna al *CCN les següents funcions:
      • Determinar tècnicament el risc de reconnexió d'un sistema, després d'un incident de seguretat.
      • Indicar els procediments a seguir i les salvaguardes a implementar per a reduir l'impacte de l'incident.
      • Articular la resposta a incidents de seguretat de la informació.
      • Establir les condicions de notificació d'incidents al *CCN-*CERT, coordinador nacional i internacional de la resposta tècnica dels equips de resposta a incidents de seguretat informàtica.

Nou sistema de codificació dels requisits de les mesures de seguretat

  • Objectiu
    • Facilitar de manera proporcionada la seguretat dels sistemes d'informació, la seua implantació i la seua auditoria.
  • Aplicació
    • S'han codificat els requisits de mesures i s'han organitzat de la següent forma:
      • Requisits base.
      • Possibles reforços de seguretat (R), alineats amb el nivell de seguretat perseguit, que se sumen (+) als requisits base de la mesura, però que no sempre són incrementals entre si; de manera que, en uns certs casos, es pot triar entre aplicar un reforç o un altre.

































SERVEI D'INFORMÀTICA - UNIVERSITAT DE VALÈNCIA - www.uv.es/siuv