FAQ
Atal honen helburua da Segurtasun Eskema Nazionala arautzen duen maiatzaren 3ko 311/2022 Errege Dekretua ren aplikazio-eremuko erakundeei, sektore publikokoak zein pribatukoak izan, mekanismo bat ematea informazio-sistemak betetzearen, egokitzearen eta egiaztatzearen inguruan sortu ohi diren zalantzak azkar eta eraginkortasunez konpontzeko aipatutako lege-testuaren xedapenetara.
Beraz, atal honetako testuak ez dira aginduzko arautzat hartu behar, ezta, inola ere, Segurtasun Eskema Nazionalari buruzko ordenamendu juridikoari dagozkion arautzat ere.
2022ko maiatzaren 5etik, maiatzaren 3ko 311/2022 Errege Dekretuan adierazitakoaren arabera, urtarrilaren 8ko 3/2010 Errege Dekretua indargabetuta geratu da. Hala ere, trantsizio ordenatua errazteko eta ziurtapen-erakundeak arau-esparru berrira egokitzeko, CCNk jakinarazi duen bezala, 311/2022 Errege Dekretua indarrean sartu aurretik zeuden informazio-sistemek, 2024ko maiatzaren 5era arte, ziurtapen-prozedura erabiltzen jarraitu ahal izango dute urtarrilaren 8ko 3/2010 Errege Dekretuaren aurka, jakinda horrela emandako ziurtagirien gehieneko balio-data ezin izango dela 2024.05.5etik gorakoa izan. Bestalde, maiatzaren 3ko 311/2022 Errege Dekretuaren aurkako ziurtagiria 2022ko abenduaren 1etik aurrera egin ahal izango da, eta ziurtagiriek bi urte naturaleko ohiko balioa izango dute.
1. Zertarako balio du Segurtasun Eskema Nazionalak?
ENSek, oinarrizko printzipio eta gutxieneko baldintza batzuk ezartzean eta garatzean oinarrituta, emandako zerbitzuak eta haiek tratatutako informazioa behar bezala babesteko aukera ematen die beren xedapenekin bat datozen eta beren eskumenak erabiliz kudeatzen diren informazio-sistemak dituzten erakundeei, bitarteko elektronikoek zuzenean edo zeharka lagundutako datuak, informazioa eta zerbitzuak eskuratzeko, konfidentzialtasuna, osotasuna, trazabilitatea, benetakotasuna, eskuragarritasuna eta kontserbazioa ziurtatzeko.
Bai sektore publikoko erakundeentzat, bai irtenbideak ematen dizkieten edo eskumen-zerbitzuak ematen dizkieten sektore pribatuko erakundeentzat, SENen xedatutakoak aukera ematen du administrazio publikoen jarduera-printzipioak eta segurtasun-baldintzak betetzeko, helburuak lortzeko aukera izan dezaten.
Herritarrentzat, zerbitzu publikoaren azken hartzaileak baitira, berekin zerikusia duten erakunde publikoek beren informazioa eta eskubideak babesteko beharrezko segurtasun-baldintzak betetzen dituztela bermatzen du.
2. Zein da ENSen aplikazio-eremua?
Segurtasun Eskema Nazionala, bere 2. Sektore publikoko erakundeei, eskumen-zerbitzuak ematen dizkieten sektore pribatuko erakundeei eta, oro har, azken horien hornidura-kateari aplikatu behar zaie, arriskuen aldez aurreko azterketa batek hala erabakitzen duen neurrian.
Gainera, gogoratu behar da ENSen neurriak Datuak Babesteari eta Eskubide Digitalak Bermatzeari buruzko abenduaren 5eko 3/2018 Lege Organikoak zehazten dituen erakundeei ere aplikatuko zaizkiela, datu pertsonalen tratamenduak egiten direnean.
Azkenik, ENS informazio sailkatua tratatzen duten sistemei ere aplikatzen zaie, eta beharrezkoa izan daiteke segurtasun-neurri osagarriak hartzea. Neurri horiek espezifikoak dira sistema horietarako, eta, era berean, 9/1968 Legea, apirilaren 5ekoa, Sekretu Ofizialei buruzkoa (LSO) eta Espainiak hartutako nazioarteko konpromisoetatik eratorritakoak, edo nazioarteko erakunde edo foroetako kide izatearen ondoriozkoak.
3. Zein da ENS arautzen duen araudia?
Segurtasunaren Eskema Nazionala araudi honek arautzen du berariaz:
- 311/2022 Errege Dekretua, maiatzaren 3koa, Segurtasun Eskema Nazionala arautzen duena.
- Ebazpena, 2018ko martxoaren 27koa, Funtzio Publikoaren Estatu Idazkaritzarena, Informazio Sistemen Segurtasunaren Auditoretzako Segurtasun Jarraibide Teknikoa onartzen duena.
- Ebazpena, 2016ko urriaren 13koa, Administrazio Publikoen Estatu Idazkaritzarena, Segurtasun Jarraibidea, Segurtasun Eskema Nazionalaren arabera onartzen duena.
- Ebazpena, 2016ko urriaren 7koa, Administrazio Publikoen Estatu Idazkaritzarena, Segurtasunaren Estatuko Txostenaren Segurtasunerako Jarraibide Teknikoa onartzen duena.
- Ebazpena, 2018ko apirilaren 13koa, Funtzio Publikoaren Estatu Idazkaritzarena, Segurtasun-gorabeherak jakinarazteko segurtasun-jarraibide teknikoa onartzen duena.
4. Zer dira CCN-STIC gidak?
CCN-STIC serieak hainbat serietan sailkatuta daude, eta Zentro Kriptologiko Nazionalak dokumentu, jarraibide, gida eta jardunbide egokien multzo bat biltzen dute, erakundeei beren informazio-sistemen zibersegurtasun-maila hobetzeko tresna egokiak emateko. Zehazkiago, CCN-STIC 800 serieak ENSen ezarpena errazteko eta haren xedapenak hobeto betetzen laguntzeko gida-multzo bat biltzen du.
INES/AMPARO del CCN soluzioan, ENSen Egokitzapen Plana eta haren ezarpen praktikoa egiteko eska daitezkeen dokumentu garrantzitsu ia guztien txantiloiak sartzen dira, bereziki informazio-sistemaren (en) gainean aplikatutako informazioaren segurtasuna kudeatzeko geruzara bideratuak.
5. Nire erakundea ENSen aplikazio-eremuaren barruan dago. Zer egingo dut orain?
Zure erakundea ENSen aplikazio-eremuaren barruan badago, [311/2022 Errege Dekretua] n ezarritakoa bete behar duzu. Horretarako, SENera egokitzeko prozesua hasi behar du, eta, lehen urrats gisa, erakundearen Informazioaren Segurtasunerako Politika (ISP) onartu beharko du, ENSek zehazten dituen rolak esleituz.
6. Zer da µCeENS?
µCeENS metodologia berritzailea da, maiatzaren 3ko 311/2022 Errege Dekretuaren berrikuntzez baliatzen dena, Segurtasun Eskema Nazionalean (ENS) Adostasunaren Ziurtagiria lortzea errazteko, Betetze Profil Espezifiko (PCE) batean oinarrituta.
Metodologia horren bidez, ENSekiko Adostasun Ziurtagiria lortzeko beharrezko laguntza eta laguntza ematen da, egokitzapenaren aurreko fasetik hura lortu arte, hori guztia Zibersegurtasunaren Gobernantzako (INES-AMPARO) tresnetan automatizatuta.
7. Zer da Egokitzapen Plana?
Egokitze Plana SENek eskatutakoa betetzeko ekintzen multzo ordenatua da. Plan horrek honako fase hauek izan beharko ditu:
- Informazioaren Segurtasunerako Politika (ISP) eta Segurtasunerako Barne Araudia prestatzea eta onartzea, rolen definizioa eta horiei erantzukizunak esleitzea barne. Informazio sailkatua erabiltzen duten sistemak badira, halaber, segurtasunaren antolaketa ren irizpide gehigarriei jarraituko zaie.
- Informazio-sistemak aztertzea eta kategorizatzea, erabilitako informazioaren balorazioa kontuan hartuta, datu pertsonalak barne hartzen dituen eta emandako zerbitzuen balorazioa kontuan hartuta.
- ENSen II. eranskineko neurrien hasierako Aplikagarritasun-adierazpena prestatzea, informazio-sistema (k) atxiki dakiokeen betetze-profil jakin bat kontuan hartuta, hala badagokio.
- Arriskuen azterketa bat garatzea, hasierako aplikagarritasun-adierazpenetik eratorritako segurtasun-neurriak egokiak eta nahikoak direla egiaztatzeko.
- Behin betiko aplikagarritasun-adierazpena lortzea.
- Definitutako segurtasun-maila eta -kategoriarako eskatzen diren gainerako neurriak ezartzeko ekintzei ekitea.
8. Zer da Informazioaren Segurtasunari buruzko Politika?
Informazioaren Segurtasunerako Politika (ISP) goi-mailako dokumentua da, erakunde batek informazioaren segurtasunarekin duen konpromisoa erakusten duena, eta erakunde batek tratatzen duen informazioa eta ematen dituen zerbitzuak kudeatzeko eta babesteko modua arautzen duten gidalerroen multzoa zehazten duena. Dokumentu hori erakundeko kide guztiek eskuratu behar dute, eta modu erraz, zehatz eta ulergarrian idatzi behar dute.
Erakundean goi-mailako dokumentua denez, komeni da laburra izatea, eta xehetasun teknikoak beste arau-dokumentu batzuetarako uztea. Dokumentu publikoa denez, ez du agerian utzi behar eragile maltzurrek ustiatu ditzaketen kalteberatasunak.
Segurtasun-politika, ENSen 11. artikuluak aipatzen duen erantzukizun-bereizketaren printzipioa aplikatuz, erakundeko kide guztiek ezagutu beharko dute, eta zalantzarik gabe definitu beharko dituzte politika hori betetzen dela zaintzeko ardura duten rolak. Jardunbide gehigarri komun bat da erakundearen web orritik, ataritik edo egoitza elektronikotik eskuragarri egotea, eta, erakunde publiko jakin batzuentzat, Estatuko Aldizkari Ofizialean (BOE), Autonomia Erkidegoko Aldizkarian edo Probintziako Aldizkari Ofizialean (BOP) argitaratzea, dagokionaren arabera.
Erakundeko Zuzendaritza Nagusiak onartuko du arau hori (dagokion organo gorena, Sektore Publikoan), eta idatzizko dokumentu batean jasoko da. Dokumentu horretan, argi eta garbi adierazi beharko da, gutxienez, honako hau:
- Erakundearen helburuak edo egitekoa.
- Jarduerak garatzeko lege- eta arau-esparrua.
- Segurtasun-rolak edo -funtzioak, bakoitzarentzat karguaren betebeharrak eta erantzukizunak zehaztuta, bai eta horiek izendatzeko eta berritzeko prozedura ere.
- Segurtasuna kudeatzeko eta koordinatzeko lantaldearen edo lantaldeen egitura, haien erantzukizun-eremua, kideak eta erakundeko beste elementu batzuekiko harremana zehaztuz.
- Sistemaren segurtasun-dokumentazioa egituratzeko, kudeatzeko eta eskuratzeko jarraibideak.
8-BIS. Zer dira ENSen rolak?
ENSen rolak horiek betetzen direla zaintzeko ardura duten pertsonek beren gain hartzen dituztenak dira, ENSen 11. artikuluak adierazten duen erantzukizunen bereizketan oinarrituta eta informazio-sistemen segurtasunaren erantzukizunak ustiapenaren gaineko erantzukizunetik bereizita egon behar duela kontuan hartuta.
Zehazki, informazioaren arduraduna, zerbitzuaren arduraduna, segurtasunaren arduraduna eta sistemaren arduraduna bereiziko dira, batez ere.
Erakundearen Informazioaren Segurtasunerako Politikari (ISP) dagokionez adierazi den bezala, arduradun bakoitzaren eskumenak eta gatazkak koordinatzeko eta konpontzeko mekanismoak zehaztuko ditu.
Laburpen gisa:
- Zerbitzuaren arduradunak zehaztuko ditu emandako zerbitzuen betekizunak.
- Informazioaren arduradunak tratatutako informazioaren betekizunak zehaztuko ditu. Informazioaren arduradunaren eta zerbitzuaren arduradunaren rolak haren ordezkari den pertsona fisiko berarenak izan daitezke.
- Segurtasunaren arduradunak erabakiko ditu informazioaren eta zerbitzuen segurtasun-baldintzak betetzeko erabakiak, baldintzak betetzen direla bermatzeko beharrezko neurrien ezarpena gainbegiratuko du, eta gai horiei buruzko informazioa emango dio Informazioaren Segurtasuneko Batzordeari.
- Sistemaren arduraduna arduratuko da, bere kabuz edo baliabide propioen edo kontratatuen bidez, sisteman segurtasuna ezartzeko eta eguneroko lana gainbegiratzeko modu zehatza garatzeaz, eta administratzaileen edo operadoreen esku utzi ahal izango du, haren ardurapean.
Segurtasunaren arduraduna ez da sistemaren arduraduna izango, eta ez da egongo hierarkia-mendetasunik bien artean. Erakundearen tamaina eta baliabide-gabezia dela-eta ezinezkoa bada, konpentsazio-neurri egokiak aplikatu beharko dira, erantzukizunen bereizketa eta interes-gatazkarik eza bermatzeko.
Era berean, ENSek segurtasun-administratzailea (ASEG) baliabide gisa aurreikusten du segurtasun-arduradunak beharrezko ezagutza tekniko guztiak ez dituen eta horretan oinarritu daitekeen erakundeentzat. Kasu horretan, GZESak jarduera estrategikoagoa izango du, eta ASEGk, berriz, operatiboagoa. Adibide bat EE.LL. bat litzateke, Udaleko idazkaria RSEG gisa izendatzen duena, eta hori barneko ASEG batean edo zerbitzuak emateko modalitatean kontratatutako kanpoko ASEG batean oinarritu beharko da.
9. Zer da Informazioaren Segurtasunerako Batzordea?
Erakunde baten segurtasunaren antolaketa instrumentalizatzeari begira, batzordeak sor daitezke, administrazio-araudiaren arabera kide anitzeko organo gisa artikulatu eta funtzionatuko dutenak.
Informazioaren Segurtasunerako Batzordea arduratuko da erakundeak informazioaren segurtasunaren arloan egiten dituen jarduerak lerrokatzeaz.
Osaeran, gutxienez, SENaren rol guztiak sartuko dira (zerbitzuaren arduraduna, informazioaren arduraduna, segurtasunaren arduraduna eta sistemaren arduraduna). Jardunbide egokia da Datuak Babesteko Ordezkaria (DPD) barne hartzea; izan ere, DBLOren lehen xedapen gehigarriak ezartzen duenez, lotutako sektore publikoan eta pribatuan, SENen segurtasun-neurriak informazio pertsonala babesteko erabiliko dira, eta, beraz, DPDk interes komunak ditu SENekiko.
Segurtasun Korporatiboko Batzorde bat dagoen erakundeetan, Informazioaren Segurtasunerako Batzordea bertan sar daiteke, baldin eta erakunde horren erantzukizuna bada erakundearen segurtasun-arloko jarduera guztiak lerrokatzea, hala nola ondare-segurtasuna, segurtasun fisikoa eta abar.
Era berean, erakunde handietan baliagarria izan daiteke Informazioaren Segurtasunerako Batzordea bitan banatzea: Segurtasun Zuzendaritzara gehiago bideratutako Komitea, bere eskumenen esparruan edozein erabaki hartzeko ahalmena duena, eta beste Komite Tekniko bat, segurtasunaren egunerokora eta haren etengabeko jarraipenera bideratuagoa. Banaketa horrek, oro har, erakundetik hurbilago dagoen jarduera ahalbidetzen du.
10. Nire erakundean inork ez du segurtasun-arduraduna izan nahi, ez-betetzea eragin dezaketen zehapenen beldur delako; ENSek zehapen motaren bat aurreikusten du?
ENSek ez du ez-betetzeagatiko zehapenik aurreikusten. Hala eta guztiz ere, herri-administrazioei aplikatu beharreko gainerako legeriarekin gertatzen den bezala, zehapen-araubiderik ez egoteak (edo aplikaezinak izateak, hala badagokio) ez du eragozten herri-administrazioen ondare-erantzukizuna izenekoak bere horretan irautea; izan ere, erantzukizun horren arabera, herri-administrazioen egitez edo ez-egitez eragindako kalteen ondorioz jasandako ondare-kalteak ordaindu behar zaizkio herritarrari, eta jakin badakigu alegatutako kaltea, nolanahi ere, eraginkorra izan beharko dela, ekonomikoki zenbatgarria eta pertsona edo pertsona-talde bati mugatua.
Herri Administrazioen erantzukizuna, gure ordenamendu juridikoan, ez da soilik eskubide eta interes legitimoak gauzatzean aitortzen den benetako babesaren printzipio orokorrean oinarritzen. 24. artikuluan, EKren EKren 106.2 artikuluak xedatu duenez, partikularrek, Legeak ezarritako baldintzetan, eskubidea izango dute beren ondasun eta eskubideetan izandako kalte guztien ordaina jasotzeko, ezinbesteko kasuetan izan ezik, betiere kalte horiek zerbitzu publikoen funtzionamenduaren ondorio badira.
Herri-administrazioek kalte-ordaina emango diete partikularrei zuzenbide-desjabetzaileak ez diren legegintzako egintzak aplikatzeagatik, baldin eta egintza horiek jasateko betebehar juridikorik ez badute, legegintzako egintzetan bertan hala ezartzen denean eta egintza horiek zehazten dituzten baldintzetan.
Aurrekoa gorabehera, Administrazioaren jokabide desegokiaren arrazoia izan daiteke, halaber, enplegatu publikoen zabarkeria edo behar bezalako arretarik eza. Hori dela eta, aipatutako Administrazio Publikoen Ondare Erantzukizuna alde batera utzita, arau-haustea egin duen funtzionarioari diziplina-zehapenak ezar dakizkioke, eta hori gertatzen da Segurtasunaren arduradunaren kasuan ez ezik, beste edozein lanpostu edo kargu publikotan ere.
11. Zer behar da ENSen segurtasun-arduradun izendatzeko?
Gaur egun, ENSek ez du inolako betekizunik ezartzen Segurtasun Arduradun (GES) izendatua izateko, funtzioak bere horretan betetzeko behar den gaitasunaz haratago.
Hala ere, adierazi behar da Zibersegurtasuneko Foro Nazionala (FNCS) delakoaren esparruan definitu dela Zibersegurtasuneko Arduradunen Eskema Nazionala, eta FNCSren webgunean kontsulta badaiteke ere, oraindik ez da ofizialki aldarrikatu. Hori gertatzen denean, Egiaztatze Erakunde Nazionalak (ENAC) gainbegiratuko du pertsonen ziurtapen-eskema horren instrumentalizazioa, zeina, DPD ziurtagiriarekin gertatzen den bezala, borondatezkoa izango baita.
12. Nola kategorizatu ditzaket nire sistemak?
ENSeko informazio-sistemen kategoriak eta nola zehaztu 311/2022 Errege Dekretuaren I. eranskinean zehaztuta daude. Bertan adierazten denez, sistema baten kategoriaren oinarria da tratatutako informazioaren edo emandako zerbitzuen segurtasunari eragiten dion intzidente batek erakundean izango lukeen eragina baloratzea, honako hauetarako:
- Helburuak lortzea.
- Bere kargura dituen aktiboak babestea.
- Ordenamendu juridikoarekin bat datozela bermatzea.
13. Zertarako balio dit nire sistemen arriskuen analisia egiteak?
Segurtasun-arriskuen analisia prozesu sistematiko bat da, erakunde bateko informazio-sistemek jasaten dituzten arriskuen tamaina kalkulatzeko.
Segurtasunera bideratutako arriskuen kudeaketaren eskakizun-maila sistemaren kategoriaren araberakoa izango da, eta OINARRIZKO kategoriarako nahikoa izango da analisi informal bat egitea.
Sistematika orokor gisa, identifikazioko lehen fasean, sistemaren aktibo garrantzitsuenak zehazten dira eta, horietako bakoitzerako, mehatxu posibleak. Ondoren, analisiko bigarren fase batean, arriskua binomio (aktiboa-mehatxua) bakoitzerako lortzen da, mehatxua gauzatzeko probabilitate estimatuaren arabera, eta aktiboaren inpaktu edo degradazioaren arabera, azkenean hala gertatuz gero. Jarraian, lortutako arrisku-balio bakoitza erakundean definitutako arrisku-atalase edo -apetitu delakoarekin alderatuz, onartezintzat jotzen diren arriskuak ebaluatuko dira, eta horiek tratatu beharko dira, ahal bada, atalasetik beherako balioetara murrizteko.
Hainbat modu daude ebaluatutako arriskuak onartezintzat tratatzeko: arriskuak eragiten dituzten inguruabarrak saihestea, horiek gertatzeko aukerak murriztea, ondorioak mugatzea, beste erakunde batekin transferitzea edo partekatzea, edo, are gehiago, gerta daitezkeela onartzea eta, beharrezkoa denean, jarduteko baliabideak aurreikustea.
Tratamendu- edo arintze-ekintzen jarraipena egiteko, Arriskuak Tratatzeko Plan bat ezarri ohi da. Plan horretan, ekintza bakoitzaren egoera, arduraduna, aurreikusitako hasiera- eta amaiera-data, beharrezko baliabideak eta abar jasotzen dira.
Zenbait erakundetan, LZPa, osorik edo zati batean, Segurtasuneko Plan Zuzentzailea deiturikoan sartzen da. Plan horrek, ezarri eta operatu ondoren, erakundeko Zuzendaritzak onartzen duen arrisku-maila bete beharko du.
14. Nahitaezkoa al da MAGERIT eta PILAR erabiltzea arriskuen analisia egiteko?
ENS delakoak ez du metodologia zehatzik ezartzen arriskuak aztertzeko eta kudeatzeko, metodologia aitortu bat erabiltzeko beharretik harago, metodologia horren funtzionaltasuna eta emaitzak kontrastagarriak izan baitaitezke.
MAGERIT metodologia oso eboluzionatuta eta hedatuta dago sektore publikoan, eta beste metodologia eta arau orokor batzuk daude, hala nola ISO 31000:2018, arriskua kudeatzeko jarraibideei buruzkoa. Ez daude kontraesanean, baizik eta osatu egiten dira.
15. Zer da aplikagarritasun-adierazpena?
ENSen eremuan, 311/2022 Errege Dekretua ren II. eranskinean jasotako segurtasun-neurrien zerrenda formalizatzen duen dokumentua da. Neurri horiek dagokion informazio-sisteman aplikatu behar dira, kategoriaren arabera. Segurtasunaren arduradunak (GES) sinatuta onartu behar da, edo, hala badagokio, GESaren parte den Segurtasun Batzordearen akta baten bidez.
Horrez gain, ENSen 28.2 artikuluan adierazten den bezala, sistemaren kategoriaren arabera tasatutako segurtasun-neurriak, oinarrizko betekizunen eta nahitaezko errefortzuen bidez zehaztuta, goragoko kategoria baterako nahitaezko errefortzuekin edo aukerako errefortzuekin osatu ahal izango dira, hala eskatzen bada erakundean onartezintzat jotako arrisku zehatzak tratatzeko. Halaber, goragoko kategorietarako soilik ezarritako segurtasun-neurriak sartu ahal izango dira. Kasu horretan, aplikagarritasun-adierazpenean ere jasoko dira.
Aitzitik, sistemaren kategoriarako ezarritako segurtasun-neurri jakin batzuk alde batera utzi ahal izango dira, informazio-sisteman aplikaziorik ez dutela agerian geratzen bada; esate baterako, kategoria ALTUKO denbora-zigiluak, erakunde guztietan erabiltzen ez direnak. Aplikagarritasun-adierazpenean justifikatu beharko da.
Era berean, ENSen II. eranskinean aipatutako segurtasun-neurriak konpentsazio-neurriekin ordezkatu ahal izango dira, baldin eta dokumentu bidez justifikatzen bada aktiboen gaineko arriskutik babesten dutela, berdin edo hobeto. Aplikagarritasun-adierazpenean jasoko dira, konpentsazio-neurriei buruzko CCN-STIC 819 gidaliburuan ezarritakoaren arabera egindako azterlana lotuz.
Azkenik, zaintza-neurri osagarriak ezarri ahal izango dira, batzuetan segurtasun-neurri bat erabat ezartzeko beharrezkoa den denbora-tarte mugatu batean. Neurri osagarri horiek neurriaren behin-behineko egoera konpentsatzea lortzen dute. Aplikagarritasun-adierazpenean ere jaso behar dira.
16. Zer da betetze-profil espezifiko bat?
Betetze-profil espezifikoa (PCE) segurtasun-neurrien multzo bat da, 311/2022 Errege Dekretua ren barruan egon ala ez, eta arriskuen nahitaezko azterketaren ondorioz, erakunde edo jarduera-sektore jakin bati aplikatu behar zaizkio, segurtasun-kategoria jakin baterako.
PCEak Zentro Kriptologiko Nazionalak onartu behar ditu, ENSaren egokitzapena eraginkorragoa eta efizienteagoa izan dadin, eskatutako baliabideak arrazionalizatuz, lortu nahi den eta eska daitekeen babesari kalterik egin gabe.
PCE baten ezarpenak berariazko segurtasun-konfigurazioak eskatzen dituenean, teknologia desberdinen arabera, dagozkion konfigurazio-gidekin batera argitaratuko da STIC gidak.
Orain arte, EEErako, Unibertsitateetarako eta Hodeiko Zerbitzuetarako KEPak daude.
17. Zein da SENekiko adostasuna frogatzeko prozedura?
Segurtasun Eskema Nazionalarekiko adostasuna lortzeko prozedura ENS eko 38. artikuluan araututa dago, bai eta Segurtasun Jarraibide Teknikoa (STI) onartzen duen Herri Administrazioen Estatu Idazkaritzaren 2016ko urriaren 13ko Ebazpenean ere, Segurtasun Eskema Nazionalaren arabera. STI hori berrikusteko prozesuan dago, 311/2022 Errege Dekretua ri egokitzeko.
Laburbilduz, bi bide desberdin daude:
- Adostasun-ziurtagiria, sistemako kategoria guztietarako baliagarria (OINARRIZKOA, ERTAINA eta ALTUA).
- Adostasun-adierazpena, OINARRIZKO kategoriako sistemetarako bakarrik balio duena.
18. Une honetan, nire erakundea oso urrun dago ENSen baldintzak betetzetik. Has gaitezke BASICA kategoriara egokitzen, nahiz eta nire sistemetako batzuk goragoko kategoriakoak izan?
OINARRIZKO kategoriako sistema baten eta KATEGORIA ERTAIN edo ALTUKO sistema baten arteko betekizunei dagokienez, gehienak teknikoak edo kudeaketakoak dira, eta segurtasunaren antolaketari dagozkion baldintza guztiak komunak dira.
Informazio-sistemak ENSera egokitzapena pixkanaka egitea erabakitzen bada, lehenik eta behin OINARRIZKO kategoriarekiko adostasunari heltzeko aukera, gero ERTAINA edo ALTUA kategoriaren baldintzak bete arte eboluzionatzen jarraitzeko aukera ona da, betiere Segurtasun Batzordean adosten bada eta hala ezartzen bada akta batean, ibilbide-orri gisa eta ez helburu gisa.
Errorea litzateke pentsatzea OINARRIZKO kategoriaren betekizunekiko adostasuna lortzean ENSek eskatutakoa betetzen ari dela, baldintza horiek sistemaren kategoriak zehazten baititu, eta hori lortutako adostasunaren kategoria baino handiagoa denez, ez lirateke eskatutako baldintza guztiak betetzen ariko.
19. Zer alde dago adostasun-adierazpenaren eta adostasun-ziurtagiriaren artean?
Segurtasun Eskema Nazionalarekiko Adostasunaren Adierazpena soilik OINARRIZKO kategoriako informazio-sistemei aplika dakieke, eta Eskeman jasotako eskakizunak betetzen direla egiaztatzen duen autoebaluazio arrunt bat egin ondoren lortuko da, gutxienez bi urtean behin. Autoebaluazio horrek kontuan hartuko du 311/2022 Errege Dekretuaren 34. artikuluan eta III. eranskinean auditoretzari buruz xedatutakoa, eta informazio-sistema administratzen duten langileek edo horiek eskuordetzen dituztenek garatu ahal izango dute.
Segurtasun Eskema Nazionalarekiko Adostasun Ziurtagiria edozein kategoriatako informazio-sistemei aplika dakieke (OINARRIZKOA, ERTAINA eta ALTUA), eta auditoria formaleko prozedura baten bidez egingo da. Prozedura horrek Eskeman jasotako eskakizunak betetzen direla egiaztatuko du, gutxienez bi urtean behin. Auditoria hori 311/2022 Errege Dekretuaren 34. artikuluan eta III. eranskinean xedatutakoaren arabera egingo da, eta ENACek egiaztatutako ziurtapen-erakundeek (EK) gauzatuko dute, edo egiaztapen-prozesuan daudenek, edo auditoretza teknikoko organoek (AGB), sektore publikoko erakunde jakin batzuei zuzenduak.
Adostasun-adierazpena eta adostasun-ziurtagiria nahitaezkoak dira SENen aplikazio-eremuko erakundeen informazio-sistemetarako, publikoak zein pribatuak izan. Hori frogatzeko, sistemaren kategoriari dagokion egokitasun-bereizgarri ofiziala argitaratu beharko da erakundearen web-orrian, atarian edo egoitza elektronikoan. Zigilu horrek ziurtagiriarekin edo adostasun-adierazpenarekin lotuta egon beharko du.
Horrez gain, adostasun-ziurtagiriak CCN ren webgunean argitaratuko dira, bai sektore publiko ziurtaturako, bai sektore pribatuko enpresa ziurtatuetarako.
20. Nire erakundean zerbitzu batzuk enpresekin esternalizatuta dauzkagu. Zer egin behar dut ENSa betetzeko?
311/2022 Errege Dekretuaren 2.3 artikuluan adierazitakoarekin bat etorriz, sektore publikoko entitateek egiten dituzten kontratuen preskripzio administratibo edo teknikoen agirietan, ENSaren aplikazio-eremuan sartuta daudenean, kontratistek emandako zerbitzuen oinarri diren informazio-sistemak ENSarekin bat datozela ziurtatzeko beharrezkoak diren baldintza guztiak jasoko dira, hala nola dagozkien Adierazpenak edo ziurtagiriak aurkeztea, ENSekin bat etorriz.
Zuhurtzia hori kontratista horien hornidura-katera ere zabalduko da, beharrezkoa den neurrian eta dagokion arriskuen analisiaren emaitzen arabera.
Era berean, Herri Administrazioen Estatu Idazkaritzaren 2016ko urriaren 13ko Ebazpenak, Segurtasuneko Eskema Nazionalaren arabera Segurtasuneko Jarraibide Teknikoa onartzen duenak, gaur egun 311/2022 Errege Dekretua eguneratzen ari denak, sektore pribatuko operadoreek Segurtasuneko Eskema Nazionala betetzea eska dakiekeen erakunde publikoei zerbitzuak ematen dizkietenean edo soluzioak ematen dizkietenean, Segurtasuneko Eskema Nazionalarekin bat etortzeko adierazpena erakusteko moduan egon beharko dute, OINARRIZKO kategoriako sistemak direnean, edo Adostasuneko Ziurtagiria Segurtasuneko Eskema Nazionalarekin, OINARRIZKOA, ERTAINA edo HANDIA kategorietako sistemak direnean, erakunde publikoentzat Segurtasuneko Jarraibide Tekniko horretan eskatzen diren prozedura berberak erabiliz.
Beraz, erakunde publiko kontratatzaileen erantzukizuna da soluzio teknologikoen horniduran edo zerbitzu-eskaintzan parte hartzen duten sektore pribatuko operadoreei jakinaraztea konponbide edo zerbitzu horiek Segurtasunaren Eskema Nazionalean xedatutakoarekin bat datozela eta dagozkien Adostasun-adierazpenak edo -ziurtagiriak dituztela, Segurtasunari buruzko Jarraibide Tekniko honetan adierazitakoaren arabera.
Aurrekoa betetzen dela bermatzeko, Segurtasun Eskema Nazionalarekin Adierazpen edo Adostasun-ziurtagiri bat erakusten duten sektore pribatuko erakundeek emandako edo emandako konponbideak edo zerbitzuak erabiltzen dituzten erakunde publikoek une oro eskatu ahal izango dizkiete erakunde horiei dagozkien Autoebaluazio- edo Auditoretza-txostenak, adierazpen horien egokitasuna egiaztatzeko.
Gaur egun, CCN k operadore pribatuen zerrenda bat mantentzen du bere webgunean, eta horien informazio-sistemek ENSrekiko adostasun-ziurtagiria lortu dute.
21. Kanpora ateratako zerbitzuak kontratatzeko orduan, zer sartu behar dut baldintza-agirietan edo kontratuetan enpresa emaileak ENSa betetzera behartzeko?
Kanpora ateratako zerbitzu bat kontratatzerakoan, soluzio teknologikoak hornitzen edo zerbitzuak ematen parte hartu nahi duten zerbitzu-emaileei jakinarazi beharko zaie konponbide edo zerbitzu horiek Segurtasun Eskema Nazionalean xedatutakoarekin bat datozela eta dagozkien Adostasun-adierazpenak edo -ziurtagiriak izan behar dituztela, Segurtasun Sistema Nazionalaren 2.3 artikuluan eta Segurtasuneko Jarraibide Teknikoan adierazitakoaren arabera. Honako hau litzateke plegu batean sartzeko adibide bat:
“Indarrean dagoen Segurtasun Eskema Nazionala arautzen duen maiatzaren 3ko 311/2022 Errege Dekretuaren 2. artikuluak xedatzen duenez, Segurtasun Sistema Nazionalaren Errege Dekretuaren aplikazio-eremuan sartzen diren sektore publikoko erakundeek egiten dituzten kontratuen preskripzio administratibo edo teknikoen agirietan, kontratistek emandako zerbitzuen oinarri diren informazio-sistemak horrekin bat datozela ziurtatzeko beharrezkoak diren baldintza guztiak jasoko dira, hala nola SENekin bat datozen adierazpenak edo ziurtagiriak aurkeztea. Zuhurtzia hori kontratista horien hornidura-katera ere zabalduko da, beharrezkoa den neurrian eta arriskuen analisiaren emaitzen arabera.
Ondorioz, ERAKUNDE KONTRATATZAILEAk beharrezkotzat jotzen du lizitazioan parte hartuko duten hornitzaileek Segurtasun Eskema Nazionalarekiko Adostasunaren Ziurtagiria erakusteko moduan egon beharko dutela. Hala ere, horren ordez, ENSarekiko Adostasun Adierazpena onartuko da, lehiatzen diren sistemaren OINARRIZKO kategoria izendatu denean soilik.
Horrenbestez, aurrekoan oinarrituta, eta lizitazioaren xede diren hornidura eta zerbitzuek dituzten arriskuen azterketan oinarrituta, ERAKUNDE KONTRATATZAILEAK beharrezkotzat jotzen du ERAKUNDE LIZITATZAILEAK dagokion Segurtasun Eskema Nazionalaren araberako Adierazpena edo Ziurtagiria erakusteko moduan egon beharko duela [adierazi KATEGORIA] edo goragoko kategoriarako, adierazitako zerbitzuak ematen esku hartzen duten sistemetarako, eta kontratua indarrean dagoen bitartean adostasuna indarrean mantendu beharko duela. Adierazpen edo ziurtagiri horrek, ENSekin bat etorriz, bere irismenean, gutxienez, kontratazioaren xede den eremua hartu behar duela ulertzen da.
Kontratua indarrean dagoen bitartean esleipendunak ezin badu ENSekiko adostasuna mantendu – Adostasun Ziurtagiria galdu, kendu edo eteteagatik edo Konformitate Adierazpenari eusteko ezintasunagatik –, horren berri eman beharko dio ERAKUNDE KONTRATATZAILEARI, berehala eta bidegabeko atzerapenik gabe, eta horrek kontuan hartuko du inguruabar horrek kontratuaren xede den prestazioan izango duen eragina”.
22. Nire erakundea 20.000 biztanletik beherako toki-erakunde bat da, nola bete dezaket ENSa Ministerio batek bezala?
Proportzionaltasun-printzipioaren arabera, eta toki-erakundeei Segurtasun Eskema Nazionalarekiko adostasuna errazteko, berariazko betetze-profilak ezarri ahal izango dira. Profil horien artean, arriskuen nahitaezko analisiaren kausa izanik, segurtasun-kategoria jakin baterako aplikatzekoak diren segurtasun-neurrien multzoa sartuko da.
Betetze-profil espezifikoa (PCE) segurtasun-neurrien multzo bat da, 311/2022 Errege Dekretua ren barruan egon ala ez, eta arriskuen nahitaezko azterketaren ondorioz, erakunde edo jarduera-sektore jakin bati aplikatu behar zaizkio, segurtasun-kategoria jakin baterako.
20.000 biztanletik beherako toki-erakundeen kasuan, egoki baderitzote, tamaina txikiko eta ertaineko toki-erakundeen berariazko betetze-profila erabili ahal izango dute.
CCNk gida bat argitaratu du baimendutako PCE bakoitzerako, hala nola unibertsitateentzako berariazko betetze-profila, eta gida horietako batzuk harmonizazio-prozesuan daude 311/2022 Errege Dekretua.
23. Nire erakundea 20.000 biztanletik beherako toki-erakunde bat da, eta zenbait zerbitzu gure Aldundiak/Kabildoak eskaintzen dizkigu. Nola eragiten dit horrek ENSa betetzean?
Bere eskumen-eremuaren barruan toki-erakundeei zerbitzuak ematen dizkien aldundi edo kabildo bat behartuta dago zerbitzu horien euskarri diren informazio-sistemak bat etortzera eta Segurtasun Eskema Nazionalean xedatutakoarekin ziurtatuta egotera.
Zerbitzu horiek erabiltzen dituzten toki-erakundeek, zerbitzuak ematearen titular diren aldetik, sistema horietarako eskatzen den segurtasun-kategoria zehazteko ardura dute, ENSarekin bat etorriz, eta dagokion diputazioari edo kabildoari sistema horien ENSarekiko adostasun-adierazpena edo -ziurtagiria eskatzeko ardura dute.
Hala eta guztiz ere, Ziurtapen Espezifikorako Esparrua SENekin (MCE-ENS) dago EE.LL.rentzat, goragoko organo baten mendeko udal multzo baten ENSaren baterako ziurtapen-prozesua da, hala nola probintzia- edo foru-aldundi batena, kabildo batena edo uharte-kontseilu batena, besteak beste.
MCE-ENS hori jotzen da irtenbiderik onena beren baliabideengatik banaka sartu ezin diren EEAen ENSekiko adostasuna lortzeko.
24. ENS bateragarria al da Datu Pertsonalak Babesteko Araudiarekin?
Segurtasun Eskema Nazionala bere aplikazio-eremuko erakundeen informazio-sistemen, tratatutako informazioaren eta emandako zerbitzuen segurtasuna bermatu nahi duen lege-araua da; Datu Pertsonalak Babesteko Erregelamenduaren helburua, berriz, datu pertsonalen titularren eskubideak babestea da, datuak babesteko duten eskubidea bereziki.
Hala ere, ikuspegi praktikotik, bi arauen helburua da segurtasun-sistemei beren helburuak lortzeko adina ematea. Horregatik, bateraezinak ez izateaz gain, osagarriak ere badira, eta horietako bat betetzeak bestea betetzea errazten du. Hala adierazten du 3/2018 Lege Organikoa, abenduaren 5ekoa, Datu Pertsonalak Babesteari eta eskubide digitalak bermatzeari buruzkoa. Lege horren lehen xedapen gehigarrian, arduradun jakin batzuk behartzen ditu datu pertsonalen tratamenduei Segurtasunaren Eskema Nazionalean aurreikusitakoei dagozkien segurtasun-neurriak aplikatzera, bai eta neurri baliokideen inplementazio-maila bat bultzatzera horiei lotutako enpresetan edo fundazioetan, zuzenbide pribatuari lotuta.
25. Zer da Segurtasun Estatuaren Txosten Nazionala?
Txosten hori Segurtasunaren Estatuko Txostenaren Segurtasunerako Jarraibide Teknikoa k arautzen du, zeina Administrazio Publikoen Estatu Idazkaritzaren 2016ko urriaren 7ko Ebazpenaren bidez onartu baitzen. Arau horrek datuen bilketari eta komunikazioari buruzko baldintzak ezartzen ditu, Segurtasun Eskema Nazionalaren aplikazio-eremuko sistemen informazioaren segurtasunaren aldagai nagusiak ezagutzeko eta administrazio publikoetako zibersegurtasunaren egoeraren profil orokorra osatzeko.
Aurreko betebeharra betetzeko, CCN k INES proiektua (Segurtasun Estatuaren Txosten Nazionala) garatu du, erakunde guztien lana erraztuz. Proiektu honen bidez, informazio antolatua, eskuordetua eta gainbegiratua jaso daiteke.
26. Nire erakundearen sistemak ENSen ziurtatuta daude jada. Amaitu dut?
Ez. Bi aukera daude, sistemaren kategoriaren arabera:
- OINARRIZKO kategoriako informazio-sistemek, bi urtean behin, autoebaluazio bat edo ziurtapen-auditoria formal bat egin behar dute, beren kategoriaren arabera eskatutako baldintzak betetzen jarraitzen dutela egiaztatzeko.
- MEDIA kategoriako informazio-sistemek, eta, bereziki, ALTAkoek, informazioaren segurtasuna kudeatzeko sistema bat behar baitute, haien segurtasuna hobetzeko eta etengabe ikuskatzeko ziklo batean oinarritzen dena, segurtasun-arkitekturari buruzko ENSen II. eranskineko neurriaren arabera. Sistema horiek agerian utzi behar dute, ziurtapen-erakunde batek edo AGB batek bi urtean behin egiten dituen ziurtapen-auditoria formalez gain, betetze-auditoretza bat egiten dutela urtero, aurkitutako desbideratzeen jarraipena oinarri hartuta hobetzeko.
27. Erakunde publikoentzako zerbitzuen enpresa hornitzailea naizen aldetik, zertan eragiten dit ENSek?
Indarrean dagoen maiatzaren 3ko 311/2022 Errege Dekretuaren 2. artikuluan eta Administrazio Publikoen Estatu Idazkaritzaren 2016ko urriaren 13ko Ebazpenean adierazitakoarekin bat etorriz (ebazpen horren bidez Segurtasuneko Jarraibide Teknikoa, Segurtasun Eskema Nazionalaren arabera] onartzen da, [311/2022 Errege Dekretua (ENS) garatzeko), sektore pribatuko operadoreek erakunde publikoei zerbitzuak ematen dizkietenean edo soluzioak ematen dizkietenean, Segurtasuneko Eskema Nazionala betetzea eska dakiekeenean, Segurtasuneko Eskema Nazionalarekin dagokion Adostasun-adierazpena erakusteko moduan egon beharko dute, OINARRIZKO kategoriako sistemak direnean, edo Adostasun-ziurtagiria Segurtasun Eskema Nazionalarekin, ERTAINA edo ERTAINA kategoria-sistemak direnean.
28. Erakunde publikoak hornitzen dituen enpresa naizen aldetik, zer ekarpen egiten dit ENSen nire sistemak ziurtatzeak?
Sektore Publikoko erakundeei irtenbideak ematen dizkieten edo eskumen-zerbitzuak ematen dizkieten informazio-sistemak ENSekin bat etortzea legezko agindua da. Hain zuzen ere, indarrean dagoen maiatzaren 3ko 311/2022 Errege Dekretuaren 2. artikuluan eta Segurtasun Eskema Nazionala (ENS) garatzeko Segurtasun Jarraibide Teknikoa onartzen duen Administrazio Publikoen Estatu Idazkaritzaren 2016ko urriaren 13ko Ebazpenean adierazitakoarekin bat etorriz, sektore pribatuko operadoreek zerbitzuak ematen dituztenean edo irtenbideak ematen dizkietenean erakunde publikoei, Segurtasun Eskema Nazionala betetzea eska dakiekeenean, Segurtasuneko Eskema Nazionalarekin Adostasunaren Adierazpena erakusteko moduan egon beharko dute, OINARRIZKO kategoriako sistemak direnean, edo Adostasunaren Ziurtagiria Segurtasun Eskema Nazionalarekin, ERTAINA edo HANDIA kategorietako sistemak direnean.
Beraz, arestian azaldutakoa betez, Administrazio Publikoekin zerbitzu-lizitazioetan parte hartzeko prest egongo da, baldin eta ENSa betetzea eta adostasun horren ebidentzia eskatzen bada.
29. Nork ziurta dezake sistema bat ENSari dagokionez?
Herri Administrazioen Estatu Idazkaritzaren 2016ko urriaren 13ko Ebazpenean adierazitakoarekin bat etorriz, Segurtasuneko Jarraibide Teknikoa, Segurtasun Eskema Nazionalaren arabera onartzen duena, 311/2022 Errege Dekretua (ENS) garatzen duena, sistemen Ziurtapeneko Erakundeak (EK) Egiaztapeneko Erakunde Nazionalak (ENAC) egiaztatu beharko ditu Segurtasun Eskema Nazionalaren aplikazio-eremuko sistemak ziurtatzeko, UNE-EN ISO/IEC 17065:2012 Egokitasunaren ebaluazioa arauaren arabera. Produktuak, prozesuak eta zerbitzuak ziurtatzen dituzten erakundeentzako betekizunak.
Era berean, ENSeko (OAT) Auditoria Teknikoko Organoek ENSi buruzko informazio-sistemak ziurtatu ahal izango dituzte beren eskumen-eremuan.
30. Ziurta al daitezke zerbitzuak ENSen?
Herri Administrazioen Estatu Idazkaritzaren 2016ko urriaren 13ko Ebazpenak, Segurtasun Jarraibide Teknikoa, Segurtasun Eskema Nazionalaren arabera onartzen duenak, ENSen aplikazio-eremuko erakundeen informazio-sistemak bakarrik zehazten ditu haren aplikazio-eremutzat, sistema horiek kasuan kasuko erakunde publikoaren estatutu-eskumenak garatzen dituztenean.
Hala ere, ziurtatutako informazio-sistemek eusten dieten zerbitzuek ziurtagiri hori jasoko dute; izan ere, Adostasun-ziurtagirietan agertu beharko dute, guztiek jakin dezaten.
31. Nola adierazi behar dut nire sistemak bat datozela edo ENSen ziurtatuta daudela?
Administrazio Publikoen Estatu Idazkaritzaren 2016ko urriaren 13ko Ebazpenak, Segurtasuneko Jarraibide Teknikoa, Segurtasun Eskema Nazionalaren arabera onartzen duenak, agintzen du OINARRIZKO kategoriako sistema baten ENSarekiko adostasuna dagokion adostasun-adierazpenarekin erakutsiko dela, haren Adostasun-bereizgarri espezifikoa erabiliz. Era berean, kategoria ERTAIN edo ALTUKO sistemen kasuan, SENekiko adostasun-ziurtagiria bere Adostasun Bereizgarriaren bidez erakutsiko da espezifikoa. Bi kasuetan, dokumentu elektronikoak izango dira, formatu editaezinean, eta jarraibide tekniko horren III. eta IV. eranskinetan agertzen den itxura izango dute.
Adostasun-adierazpena edo Adostasun-ziurtagiria Segurtasun Eskema Nazionalarekin argitaratzeko, nahikoa izango da dagokion informazio-sistemaren erakunde publiko titularraren edo erabiltzailearen egoitza elektronikoan dagokion bereizgarria erakustea. Bereizgarri horrek Adostasun-aitorpenaren edo Adostasun-ziurtagiriaren dokumenturako esteka bat izango du, eta hori ere eskuragarri egongo da egoitza elektroniko horren bidez.
32. Nire enpresa izan al daiteke ENSen ziurtapen-erakundea?
Herri Administrazioen Estatu Idazkaritzaren 2016ko urriaren 13ko Ebazpenak Segurtasun Jarraibide Teknikoa, Segurtasun Eskema Nazionalaren arabera onartzen du. Ebazpen horretan adierazitakoarekin bat etorriz, sistemak ziurtatzen dituzten erakundeek Egiaztatze Erakunde Nazionalak (ENAC) egiaztatu beharko dute Segurtasun Eskema Nazionalaren aplikazio-eremuko sistemak ziurtatzeko, UNE-EN ISO/IEC 17065:2012 arauaren arabera (Egokitasunaren ebaluazioa). Produktuak, prozesuak eta zerbitzuak ziurtatzen dituzten erakundeentzako betekizunak; beraz, ENACek eskema honetarako aurreikusitako egiaztapen-prozedura bete beharko du
33. Kanpora ateratako zerbitzuak kontratatzeko orduan, berdin al da zerbitzariak lurralde nazionaletik kanpo dauden?
Indarrean dagoen maiatzaren 3ko 311/2022 Errege Dekretuaren 2. artikuluan eta Herri Administrazioen Estatu Idazkaritzaren 2016ko urriaren 13ko Ebazpenean adierazitakoarekin bat etorriz ebazpen horren bidez, Segurtasun Jarraibide Teknikoa onartzen da, Segurtasun Eskema Nazionalaren arabera, 311/2022 Errege Dekretua (ENS) garatzen duena, sektore pribatuko operadoreek erakunde publikoei zerbitzuak ematen dizkietenean edo soluzioak ematen dizkietenean, Segurtasunaren Eskema Nazionala betetzea eska dakiekeen kasuetan, Segurtasunaren Eskema Nazionalarekin bat etortzeko adierazpena erakusteko moduan egon beharko dute, OINARRIZKO kategoriako sistemak direnean, edo Adostasun-ziurtagiria Segurtasunaren Eskema Nazionalarekin, kasuan kasuko kasuan.
Kontratua gauzatzeko erabiliko diren informazio-sistemei dagokienez, zerbitzu-emaile pribatuek Adostasun-ziurtagiria erakutsi behar diote ENSri. Hala eta guztiz ere, ez dugu uste komeni denik baldintza-agirietan gogoratzea lizitatzaileek nahitaez egokitu behar dutela lizitazioaren xede diren zerbitzuen zerbitzarien kokapena 14/2019 Errege Lege Dekretuan xedatutakora, eta, ENSekin bat datorrela egiaztatzeko ziurtagiriaz gain, aipatutako errege lege-dekretuaren 5.5 artikuluan jasotako aurreikuspenak ere sartu behar dituztela (errege lege-dekretu horrek aldatu egiten du 9/2017 Legea, azaroaren 8koa, Sektore Publikoko Kontratuena, eta bertan adierazten da datu-kategoria berezien tratamenduek, erabiltzailearen baimena eskatzeaz gain, DBEOn xedatutakoaren arabera), honako hau eskatzen dutela:
34. Atzerriko enpresa bat naiz. Ziurta al ditzaket ENSen Espainiako administrazio publikoei zerbitzuak eskaintzeko erabiltzen ditudan informazio-sistemak?
Nahitaezkoa da edozein erakundetako informazio-sistemek, espainiarrak izan edo ez, Adostasun Ziurtagiria izatea ENSekin, dagokion Ziurtapen Auditoretza gainditu ondoren. Izan ere, Adostasun-ziurtagiria duten enpresen zerrenda n ikus daitekeenez (CCNren web-orrian ikusgai daude), batzuk ez dira espainiarrak eta haien informazio-sistemak ez daude Espainian kokatuta.
Adostasun-ziurtagiria lortzeko prozedura Administrazio Publikoen Estatu Idazkaritzaren 2016ko urriaren 13ko Ebazpenean aurki daiteke. Ebazpen horren bidez, Segurtasuneko Jarraibide Teknikoa, Segurtasun Eskema Nazionalaren arabera onartzen da (BOE, 265. Asteazkena, 2016ko azaroaren 2a. III. Or. 76365).
Informazio gehiago ere aurki daiteke "CCN-STIC 809 gida, ENSarekiko adostasuna eta betetze-bereizgarriak.
35. Gure kategoria ERTAIN edo ALTUKO sisteman badira autentifikazio-faktore bikoitza inplementatzen uzten ez duten elementuak. Zer egin dezakegu?
MEDIA kategoriako sistemetan autentifikazio-faktore bikoitza erabiltzeko eskakizuna modu desberdinetan inplementatu daiteke, hala nola kanpoko tokenak, ziurtagiri digitalak edo erabilera bakarreko pasahitzak (OTP) erabiltzea, SMS bidez edo erabiltzailearen mugikorreko aplikazio baten bidez bidaliak.
Hala ere, ENSek nahitaez eskatzen duen arriskuen analisiak zehaztuko du faktore bikoitza aplikatzearen zorroztasuna eta, hala badagokio, konpentsazio-neurri egokia erabiltzeko aukera (CCN-STIC 819 gida n adierazitakoaren arabera), arriskua kontuan hartuta, faktore bikoitza ez aplikatzea egoki eta justifikatuta konpentsa dezakeena. Gainera, ENS en 27. artikuluak adierazten duen bezala, agiri bidez justifikatu beharko du neurri horiek aktiboen gaineko arriskua berdin edo hobeto babesten dutela eta ENSen II. eta III. kapituluetan aurreikusitako oinarrizko printzipioak eta gutxieneko baldintzak betetzen direla.
Konpentsazio-neurriaren aplikazio egokia sistemaren aldizkako auditoretzan edo ziurtapenean aztertuko da.
Azkenik, gogoratu behar da [op.acc.6] neurrian, 311/2022 Errege Dekretuaren antolaketaren erabiltzaileentzako autentifikazio-mekanismoei buruzkoan, R1 errefortzuak faktore bakar bat onartzen duela, pasahitzean oinarritua, autentifikazio-mekanismo gisa, sarbidea eremu kontrolatuetatik eta kontrolatu gabeko eremuak zeharkatu gabe egiten denean.
36. Kategoria ERTAIN edo ALTUKO sistema baterako produktuak erosi behar ditugu. Zer baldintza bete behar dituzte?
CCNren Informazioaren eta Komunikazioaren Teknologien Segurtasuneko Produktu eta Zerbitzuen Katalogoa (CPSTIC) erabiliko da, CCN-STIC 105 gidaren pean argitaratua, sistemaren segurtasun-arkitekturaren parte diren hirugarren batek emandako produktuak edo zerbitzuak eta ENSaren neurrietan berariaz aipatzen direnak hautatzeko.
CPSTICen ez badago eskatutako funtzionaltasunak ezartzen dituen produktu edo zerbitzurik, ENSeko 19. artikuluan deskribatutakoaren arabera ziurtatutako produktuak erabiliko dira. Aukera bat Common Criteria da, edo nazioartean aitortutako produktuaren beste ziurtagiri bat.
Aukera bat, fabrikatzaile ospetsuen produktuetan inbertsio teknologiko handia egin berri bada, hainbat zaintza-neurri osagarri aplikatzea da, programatutako birjarpenera arte; adibidez, egungo produktuen monitorizazioa handitzea eta fabrikatzailearen eta erreferentziako CERTaren kalteberatasun-abisuei (CVE) adi egotea, beharrezko partxeak eta eguneratzeak berehala aplikatuz, besteak beste.
37. Zer da STIC produktuen katalogoa?
Informazioaren eta Komunikazioaren Teknologien Segurtasun Produktuen Katalogoa (CPSTIC) k informazio sailkatua maneiatzeko onartutako produktuak eta informazio sentikorra maneiatzeko produktu kualifikatuak biltzen ditu, ENSek behartutako erakundeen erreferentzia izan dadin.
Katalogo hori CCN-STIC 105 Informazioaren eta Komunikazioaren Teknologien Segurtasun Produktuen Katalogoan argitaratu da.
38. Zenbatean behin egin behar da auditoria ENSen adostasuna/ziurtagiria berritzeko?
ENSen 38. artikuluak adierazten duen bezala, informazio-sistemei auditoria erregular arrunta egin behar zaie, gutxienez bi urtean behin, SENen eskakizunak betetzen direla egiaztatzeko.
Gainera, ezohiko moduan, auditoretza hori egin beharko da informazio-sisteman funtsezko aldaketak gertatzen badira eta aldaketa horiek eskatutako segurtasun-neurrietan eragina izan badezakete. Aparteko auditoria hori, osoa bada, aurreko paragrafoan adierazitako ohiko hurrengo auditoretza egiteko ezarritako bi urteak kalkulatzeko data zehaztuko da. Ez bada osoa, sisteman egindako aldaketek bakarrik eragin dieten neurri zehatz batzuetan mugatuta dagoenez, ez da aldatuko ziurtagiria berritu beharko den bi urteak kalkulatzeko data.
Bestalde, 2016ko urriaren 13ko Ebazpenak, Administrazio Publikoen Estatu Idazkaritzarenak, Segurtasuneko Jarraibide Teknikoa, Segurtasun Eskema Nazionalaren arabera onartzen duenak, adierazten duenez, kategoria ERTAIN edo ALTUKO informazio-sistemen ENSarekiko adostasun-ziurtagiria auditoretza formaleko prozedura baten bidez egingo da, eta prozedura horrek eskeman jasotako eskakizunak betetzen direla egiaztatuko du, gutxienez bi urtean behin. Auditoria hori 311/2022 Errege Dekretuaren 38. artikuluan eta III. eranskinean xedatutakoaren arabera egingo da.
Segurtasuneko Jarraibide Tekniko horrek berak adierazten du ENSekiko Adostasunaren Ziurtagiria aipatutako auditoria horren emaitzan oinarrituko dela, eta bi urteko baliozkotasun eraginkorra izango duela, betiere, adierazitakoagatik, aurretik aparteko auditoretzarik egin behar ez bada.
Esandako guztiagatik, Adostasun-ziurtagirian agertzen den adostasun-ziurtagiriaren berritze-data ezin izango da inoiz bi urte natural baino luzeagoa izan hasierako adostasun-ziurtagiriaren datatik (egiaztapen-erakundeak edo, hala badagokio, Auditoria Teknikoko Organoak (AGB), ziurtagiri hori ematea erabakitzen duten datatzat hartu behar da), eta txikiagoa izan daiteke egoerak hala eskatzen badu.
Horregatik guztiagatik, auditoretza behar bezala planifikatu beharko da, ondorengo ziurtagiriaren erabakia aurreko ziurtagiriaren balio-epearen barruan hartu ahal izateko.
39. Nire erakundean MAILA ERTAINEKO sistemetarako ENS ziurtagiria daukagu. Aparteko auditoretza bat egiten denean kategoria ALTUKO sistema horietakoren bat ziurtatzeko, automatikoki 2 urtez luzatzen da ziurtagiriaren data?
Erakunde batek Adostasun-ziurtagiri bat badu indarrean dagoen kategoria ertaineko ENSekin bere sistemetakoren baterako, eta, ondoren, Ziurtapen-erakunde ak kategoria handitzeko aparteko auditoria bat egiten badu, eta horretan kategoria alturako neurriak baino ez baditu ikuskatu, Adostasun-ziurtagiri altua ezin da joan kategoria ertaineko aurretiko Adostasun-ziurtagirian adierazitako iraungitze-datatik harago. Beste era batera esanda, aparteko auditoretza batek (apartekoa ez bada, osoa izan behar du) ez du aldatzen abiapuntuko ziurtagiriaren indarraldia, bai irismena handitzeko, bai kategoria handitzeko, bai ziurtagiria informazio-sistemako aldaketa jakin batzuetara egokitzeko.
Hala ere, auditoria oso bat egin izan balitz (beraz, neurri guztiak ikuskatuz), ENSekiko Adostasun Ziurtagiria k bi (2) urteko ohiko indarraldia izan lezake.
40. ENSen arabera, zenbatean behin egin behar da informazio-sistemen arriskuen azterketa?
311/2022 Errege Dekretua ren III. eranskinean (Segurtasun-auditoriak) zehazten denez, arriskuen azterketa bat egin dela egiaztatuko da, eta azterketa hori urtero berrikusi eta onartuko da.
Hala ere, sistemak bere segurtasunari eragin diezaioketen aldaketak jasaten dituenean, ezohiko arrisku-azterketa bat egin behar da, aldaketa horren ondoriozko arrisku-mailetan izandako aldaketak identifikatu ahal izateko.
41. Gure erakundean ondo amaitu dugu OINARRIZKO kategoriako sistemetarako autoebaluazio-prozesua. Nola islatu dezakegu?
Zure informazio-sistema oinarrizko kategoriakotzat jo bada eta nahitaezko autoebaluazioa behar bezala gainditu bada, Segurtasun Sistema Nazionalarekin dagokion Adostasun-adierazpena egin daiteke, betiere Herri Administrazioen Estatu Idazkaritzaren 2016ko urriaren 13ko Ebazpenean xedatutakoa errespetatuz. Ebazpen horren bidez, gaur egun 311/2022 Errege Dekretuaren eguneratze-prozesuan dagoen Segurtasuneko Jarraibide Teknikoa, Segurtasun Eskema Nazionalaren arabera onartzen da.
42. Gure erakundean telelaneko neurriak ezarri behar ditugu, baina katalogoan ez dago produkturik GOI-KATEGORIAKO ENSerako. Zer egin dezakegu?
CPSTICen ez badago eskatutako funtzionaltasunak ezartzen dituen produktu edo zerbitzurik, ENSeko 19. artikuluan deskribatutakoaren arabera ziurtatutako produktuak erabiliko dira. Aukera bat Common Criteria da, edo nazioartean aitortutako produktuaren beste ziurtagiri bat.
Katalogoan horrelako produkturik ez dagoen bitartean, aldi baterako aukera bat da fabrikatzaile ospetsuen produktuak erostea eta tartean zaintza-neurri osagarri batzuk aplikatzea; adibidez, horien monitorizazioa handitzea eta fabrikatzailearen eta erreferentziako CERTaren kalteberatasun-abisuei (CVE) adi egotea, beharrezko partxeak eta eguneratzeak berehala aplikatuz, besteak beste, eta, betiere, ondoriozko arriskua ebaluatuz.
Beste aukera bat da urruneko sarbidea ematea, mahaigainak birtualizatzeko azpiegitura bat erabiliz, hala nola Akamaiko Citrix Cloud, Enterprise Application Access edo antzekoa. Horri esker, mahaigainetara sar daiteke segurtasun-geruza bat erantsita, eta, horren bidez, autentifikazio-faktore bikoitza inplementatu ahal izango da, ekipoak zuzenean Interneten erakutsi gabe, eta, aldi berean, erabiltzaileen ekintzen trazabilitatea mantendu ahal izango da. Gainera, EDR motako endpoint-babesa instalatzea gomendatzen da.
Nolanahi ere, ekipoek zuzenean Internetera eramaten dituzten konponbideak saihestu behar dira, baina beste irtenbiderik ezin bada, segurtasun-neurri gehigarriak ezarri behar dira, hala nola autentifikazio-faktore bikoitza, edo erabiltzaileak konektatzen diren IP helbideratzea mugatu eta kontrolatu.
Zalantzak argitzeko "Abstract - Urruneko sarbiderako segurtasun-neurriak" argitaratu da. Bertan, erakunde baten baliabideetarako urruneko sarbidea modu arinean ezartzea ahalbidetzen duten soluzioak jasotzen dira, IT baliabideetan eragina minimizatuz eta horiek ekoizteko denbora optimizatuz. Gainera, dokumentu hau ere eskuragarri dago: CCN-CERT BP/18 Telelanerako eta zaintza-errefortzurako segurtasun-gomendioak (2020ko martxoa).
Nolanahi ere, ENSen barruan produktuen kualifikazioari buruzko kontsulta gehigarriren bat egin nahi izanez gero, zuzenean jar zaitezke harremanetan [IKT Segurtasun Produktuen Katalogoa (CPSTIC)] argitaratzeaz arduratzen den taldearekin cpstic.ccn@cni.es helbide elektronikoan.
43. Zein da ENSek onartutako prestakuntza?
Une honetan ez dago ENSerako prestakuntza arauturik. Hala ere, Balidazio Ingurunea ENS (EVENS) delakoaren gaikuntza-atalean CCN k ematen duen prestakuntza aurki daiteke.
Gai zehatzagoetarako, kontsulta bidali daiteke formacion.ccn@cni.es helbide elektronikora.
44. Alarma-egoera deklaratu bada eta ENSen araberako ziurtagiria berritzeko data hurbil badago, ba al dago atzerapenik?
4/1981 Lege Organikoa, ekainaren 1ekoa, alarma-, salbuespen- eta setio-egoerei buruzkoa, xedatzen duen arauak berak adieraziko du norainokoa eta mugak. Irismen horrek ziurtapen-jarduerak normaltasunez garatzea eragozten duenean, Zentro Kriptologiko Nazionalak, bere eskumenak erabiliz, informazio-ohar bat argitaratuko du eta/edo ENSeko ziurtapen-erakundeei jakinarazpen bat bidaliko die, gorabehera horren aurrean har daitezkeen jarduketak eta neurriak adieraziz. Neurri horiek izan daitezke Adostasun-ziurtagiriak iraungitzeko eta preskribatzeko epeak etetea, aitortutako alarma-egoerak irauten duen bitartean.
45. Nire informazio-sistemen kategorizazioa ALTUA da, baina gaur egun ezin ditut bete ENSen eskatzen diren neurri guztiak. Eska al diezaioket ziurtapen-erakunde bati MEDIA kategoriarako auditoretza bat?
ENSrekiko adostasun-auditoretza ziurtapen-erakundeak egingo du, dimentsio bakoitzeko segurtasun-mailen eta erakunde kontratatzaileak erabakitako segurtasun-kategoriaren arabera, kontuan hartuta 40. artikuluan aipatzen diren balorazioak egiteko ahalmena eta, hala badagokio, ondoren aldatzekoa, erakunde kontratatzaileari dagokiola beti, informazioaren eta eragindako zerbitzuen arduradunaren edo arduradunen bitartez, eta balorazio horietan oinarrituta, segurtasunaren arduradunak edo arduradunek erabakiko dutela sistemaren segurtasun-kategoria.
Beraz, erakunde kontratatzaileak ziurtapen-erakundeari eskatzen badio bere informazio-sistema ebaluatzeko MEDIA segurtasun-kategoriaren betekizunen aurka, auditoria ENSen arabera egingo da, bezeroak eskatutakoaren arabera.
Nolanahi ere, fase hori amaitutakoan, komeni da etengabeko hobekuntzarako ibilbide-orri bat ezartzea, segurtasun-estaldura lortu nahi den azken kategoriarantz zabaltzeko.
Beraz, erakunde kontratatzaileak ziurtapen-erakundeari eskatzen badio bere informazio-sistema ebaluatzeko MEDIA segurtasun-kategoriaren betekizunen aurka, auditoria ENSen arabera egingo da, bezeroak eskatutakoaren arabera.
Nolanahi ere, fase hori amaitutakoan, komeni da etengabeko hobekuntzarako ibilbide-orri bat ezartzea, segurtasun-estaldura lortu nahi den azken kategoriarantz zabaltzeko.
46. Nire informazio-sistemen kategorizazioa HANDIA da. Eska al diezaioket ziurtapen-erakunde bati auditoria bat HANDIA kategoriarako, eta horretan zehar, segurtasun-neurri guztiak betetzen ez ditudala egiaztatzean, ziurta al dezaket sistema ERTAINA kategoriarekin?
Adierazi den bezala, Egiaztatze Erakundeak (EK) egingo du SENekin adostasun-auditoretza, dimentsio bakoitzeko segurtasun-mailen eta erakunde kontratatzaileak erabakitako segurtasun-kategoriaren arabera, kontuan hartuta 40. artikuluan aipatzen diren balorazioak egiteko ahalmena eta, hala badagokio, ondoren aldatzekoa, erakunde kontratatzaileari dagokiola beti, informazioaren arduradunaren edo arduradunen eta eragindako zerbitzuen bitartez, eta balorazio horietan oinarrituta, segurtasunaren arduradunak edo arduradunek erabakiko dutela sistemaren segurtasun-kategoria.
Beraz, erakunde kontratatzaileak ebaluatu nahi duen segurtasun-kategoriari buruz dituen asmoen arabera, eta bere bezeroak auditatu beharreko informazio-sistemari edo -sistemei buruz emandako dokumentu-azterketaren emaitzaren arabera, ziurtapen-erakundeak Kontratu-Eskaintza bat egingo du eta bezeroari bidaliko dio, onar dezan. Eskaintza horrek ebaluazioari buruzko alderdi zehatz guztiak jasoko ditu, honako hauek barne: beharrezko auditoretza-jardunaldiak, horiek egiteko modua (aurrez aurrekoa, telematikoa edo mistoa), alde bakoitzaren eskubideak eta erantzukizunak, eta kostua.
Auditoretzaren hasiera-data iritsita, sistemaren kategoria aldatzeak, ALTAtik ERTAINAra jaisteko, aurreikusitako auditoretza-denboran eragina izan lezake, eta horrek, era berean, auditoretza-prozesuaren azken kostua alda lezake.
Hala ere, kategoria jaistea onartzeko eragozpen operatibo edo teknikorik ez dagoela egiaztatzen bada, auditoretza-prozesua geldiarazteari edo jarraitzeari buruzko azken erabakia ziurtapen-erakundearen eta haren bezeroaren esku geratuko da, kontratazioan alderdiek duten borondatearen autonomia-printzipioan oinarrituta.
Beraz, erakunde kontratatzaileak ebaluatu nahi duen segurtasun-kategoriari buruz dituen asmoen arabera, eta bere bezeroak auditatu beharreko informazio-sistemari edo -sistemei buruz emandako dokumentu-azterketaren emaitzaren arabera, ziurtapen-erakundeak Kontratu-Eskaintza bat egingo du eta bezeroari bidaliko dio, onar dezan. Eskaintza horrek ebaluazioari buruzko alderdi zehatz guztiak jasoko ditu, honako hauek barne: beharrezko auditoretza-jardunaldiak, horiek egiteko modua (aurrez aurrekoa, telematikoa edo mistoa), alde bakoitzaren eskubideak eta erantzukizunak, eta kostua.
Auditoretzaren hasiera-data iritsita, sistemaren kategoria aldatzeak, ALTAtik ERTAINAra jaisteko, aurreikusitako auditoretza-denboran eragina izan lezake, eta horrek, era berean, auditoretza-prozesuaren azken kostua alda lezake.
Hala ere, kategoria jaistea onartzeko eragozpen operatibo edo teknikorik ez dagoela egiaztatzen bada, auditoretza-prozesua geldiarazteari edo jarraitzeari buruzko azken erabakia ziurtapen-erakundearen eta haren bezeroaren esku geratuko da, kontratazioan alderdiek duten borondatearen autonomia-printzipioan oinarrituta.