Esquema Nacional de Seguridad

Obligaciones de los proveedores en el Esquema Nacional de Seguridad

El Centro Criptológico Nacional (CCN-CERT) ha publicado un nuevo documento en el que se recogen las obligaciones de los proveedores de las Administraciones Públicas, cuando tales servicios estén sujetos al cumplimiento del Esquema Nacional de Seguridad.

Todas las organizaciones, ya sean públicas o privadas, que prestan servicios a las entidades del sector público, han de tener en cuenta una serie de obligaciones cuando estas estén sujetas al cumplimiento del Esquema Nacional de Seguridad.

El Esquema Nacional de Seguridad

El Esquema Nacional de Seguridad (ENS), regulado por el Real Decreto 3/2010, de 8 de enero (y actualizado a través del Real Decreto 951/2015, de 23 de octubre), recoge los requisitos mínimos para una protección adecuada de los servicios e información que soportan las competencias de las Administraciones Públicas.

El Esquema Nacional de Seguridad es aplicable a las Administraciones Públicas y a sus proveedores de servicios y soluciones en los citados servicios públicos.

Para demostrar el cumplimiento del Esquema Nacional de Seguridad, a partir del 24 de octubre de 2017 las organizaciones con sistemas de información de categoría media o alta deben certificarlos a través de entidades acreditadas por la Entidad Nacional de Acreditación y Certificación (ENAC).

Esta aplicación se recoge en los siguientes requisitos y medidas de seguridad del Esquema Nacional de Seguridad:

• Artículo 15.3 “Profesionalidad”.
• 4.4 Servicios externos [op.ext]:
  • 4.4.1 Contratación y acuerdos de nivel de servicio [op.ext.1].
  • 4.4.2 Gestión diaria [op.ext.2].
  • 4.4.3 Medios alternativos [op.ext.9].

Contenido del documento

Obligaciones

Las obligaciones desarrolladas en este documento son:

• Descripción de los servicios y modalidad de estos, indicando el alcance y sus limitaciones.
• Información sobre la arquitectura de seguridad de la información, en especial a efectos de definición de requisitos de interconexión (mapas y diagramas de red, esquemas físicos, lógicos, inventario de activos, CMDB, …).
• Lugar donde se aloja la información. Este aspecto es importante ya que evaluar el cumplimiento de la normativa de protección de datos de carácter personal (transferencias internacionales de datos), y de la legislación en materia de administración digital, contratación del sector público y telecomunicaciones.
• Medidas de seguridad de la información implementadas, además de la correspondiente Declaración o Certificación de Conformidad con el Esquema Nacional de Seguridad.
• Cumplimiento de la normativa vigente de protección de datos de carácter personal (RGPD, LOPDGDD).
• Notificación de los incidentes de seguridad de la información (Plataforma Lucia, incidentes@ccn-cert.cni.es), además de su gestión.
• Portabilidad de la información, para facilitar la gestión del cambio de proveedor en caso de cese o cambio.
• Gestión y control de la cadena de prestación del servicio (posibles subcontrataciones) y sus cambios.
• Gestión de la capacidad de la capacidad, dimensionamiento, procesamiento y rendimiento de los sistemas de información.
• Seguimiento a intervalos planificados de los SLAs (acuerdos de nivel de servicio) y gestión de los incumplimientos.

Recomendaciones

Las recomendaciones desarrolladas en este documento son:

• Plan de continuidad del servicio para garantizar su prestación en el tiempo, ante escenarios de indisponibilidad.
• Definición, conservación, gestión y tratamiento de los registros de actividad (logs).
• Control operacional o comprobación de la correcta implementación y mantenimiento de las medidas de seguridad (p.e. Auditorías internas y externas de seguridad, técnica, ISO 27001, hacking ético, pentesting, Red, Blue, Purple Team, renovación de certificaciones de seguridad, …).

Haga click, si desea información acerca del Esquema Nacional de Seguridad (ENS).