Skip to main content

ENS

Nori dago zuzenduta?

SEN Segurtasuneko Eskema Nazionala erakunde publiko guztiei eta haiekin lotutako edota haien mendeko erakundeei aplikatzen zaie, eta erakunde publiko horrek zuzenbide publikoko erregimenean burutzen dituen jarduera guztiei ere aplikatzen zaie. Haatik, honako hau ere ezartzen du: sektoreko operadoreek Segurtasuneko Eskema Nazionala betetzea eska dakiekeen erakunde publikoei zerbitzuak ematen edo soluzioak hornitzen dizkietenean, erakunde pribatu horiek zeharkako moduan bete beharko dute halaber Segurtasuneko Eskema Nazionala. 

ENS

Zer da?

Urtarrilaren 8ko 3/2010 Errege Dekretuan arautzen da Segurtasuneko Eskema Nazionala, zeina urriaren 23an 951/2015 Errege Dekretuak aldatu baitzuen, eta 2021ean berriz ere aztertua izaten ari dena, eta beste aldaketa bat espero dugu 2021. urtearen amaieran edo 2022. urtearen hasieran.

Informazioaren eta zerbitzuen babes egoki bat emateko beharrezkoak diren oinarrizko printzipioak eta gutxieneko eskakizunak ezartzen ditu Segurtasuneko Eskema Nazionalak, izendatzaile komun normatibo bat definituz erakunde publikoetan informazio-sistemen segurtasun-arloan. Jarduera integral gisa ikusten du segurtasuna erregulazio honek, hau da, kontuan izandako sare eta sistemak haien esposiziopean dauden segurtasun-arriskuak aztertzea, eta identifikatutako arriskuak arintzeko beharrezkoak diren segurtasun-neurriak (antolakuntzarekin, zein arauekin, eragiketekin eta teknologiarekin lotutakoak) diseinatzea eta hedatzea, zeregin horiek modu ziklikoan garatuz, eta, hori horrela, emandako zerbitzuen egoera aldakorrari egokitu ahalko zaizkio hartutako segurtasun-neurriak.

Helburuak

Honako puntu hauetan laburbil daitezke Segurtasuneko Eskema Nazionalaren helburuak:

  • Beharrezkoak diren segurtasun-baldintzak sortzea, herritarrak, enpresak eta administrazio publikoak bitarteko elektronikoen erabilerarekin fida daitezen administrazio publikoekin harremanak izateko garaian.
  • Ahal den neurrian bermatzea, sistemen, datuen, komunikazioen eta zerbitzu elektronikoen segurtasuna, eta, hori horrela, herritarrek zein administrazio publikoek beren eskubideak egikaritu eta beren betebeharrak bete ahalko dituzte bitarteko elektronikoen bidez.
  • Konfiantzaren oinarritzat hartzea informazio-sistemek dagozkien zehaztapen funtzionalen arabera emango dituztela beren zerbitzuak eta zainduko dutela informazioa, kontrolik gabeko etenaldirik edo aldaketarik gabe, eta baimendu gabeko pertsonek ez dutela zertan izango informazioaren berri.

Edukitzearen onurak

Honako hau ahalbidetuko du Segurtasuneko Eskema Nazionalerako egokitzapena burutzeak:

  • Mekanismo bat edukitzea zeinaren arabera erakundea eraginpean har dezaketen informazioaren segurtasun-arriskuak modu sistematikoan aztertzen diren.
  • Ziur egotea erakundearen informazioaren segurtasuna jarduera integral gisa kudeatuta eta pentsatuta dagoela, zeinean ez diren sartzen jardun puntualak edo tratamendu koiunturalak.
  • Tratatutako informazioaren erabilgarritasunaren, osotasunaren, konfidentzialtasunaren, benekotasunaren eta trazabilitatearen gutxieneko babes-maila batzuk bermatzen dituen segurtasun-neurrien katalogo bat erabiltzea.
  • Ezarritako segurtasun-mekanismoei noizbehinka auditoria bat egiten zaiela ziurtatzea, bi urtean behin gutxienez, Segurtasuneko Eskema Nazionalak berak ezarritako eskakizunak betetzen direla egiaztatuko duena.

Segurtasuneko Eskema Nazionalera egokitzeko kontuan hartu beharreko faktoreak.

  • Erakundearen tamaina.
  • Eraginpeko zerbitzuak.
  • Eraginpeko informazio-sistemak.
  • Informazio-sistemen kategoria.
  • Segurtasun-arloko heldutasun-maila.
  • Beste antolakuntza-alderdi batzuk.

Segurtasun Eskema Nazionalerako egokitzapen-prozesuaren faseak

1. fasea. Proiektua abiaraztea

Segurtasuneko Eskema Nazionalerako egokitzapenak erakundearen goi-mailako organoaren inplikazioa izan behar du, segurtasun-politika onartu beharko baitu, zeinak informazioaren segurtasunaren kudeaketak arautu behar duen jardun-esparrua ezartzen duen.

2. fasea. Hedadura mugatzea

Segurtasuneko Eskema Nazionalak eraginpean hartutako zerbitzuen zerrenda identifikatu behar du erakundeak, baita zerbitzu horien berme diren informazio-sistemak ere.

Zerbitzu elektronikoen katalogoa edo erakundearen izapide eta prozeduren zerrenda abiapuntu egokia izango lirateke, nahiz eta ezin diren ahaztu betebeharrak betetzearekin lotutako barne-prozedurak.

Arestian identifikatutako zerbitzuak ematea, izapideak edota prozedurak bermatzen dituzten aplikazioen, azpiegituren edota IKT osagaien identifikazioari lotuta etorriko da informazio-sistemen identifikazioa. 

3. fasea. Sistemen kategorizazioa

Lehen identifikatutako zerbitzuen baloraziotik eratorriko da sistemen kategorizazioa (hiru mailatan, txikia, ertaina edo handia) Segurtasun Nazionaleko Eskemak kontuan hartutako segurtasun-dimentsio bakoitzeko (erabilgarritasuna, osotasuna, konfidentzialtasuna, benekotasuna eta trazabilitatea), eta informazio-sistema berak bermatzen dituen zerbitzuetako edozeinek lortzen duen gehieneko balioa zehaztea, balio hori informazio-sistema horren kategoriari egokituko zaiolarik.

4. fasea. Arriskuen azterketa

Informazio-sistema bakoitzak dituen arriskuen azterketa burutuko da ondoren, onartutako metodologia bat erabilita horretarako. Metodologia horren zehaztasun-maila aldakorra izango da arriskua aztergai duten informazio-sistemen kategorien arabera.

5. fasea. Segurtasun-neurri aplikagarriak zehaztea

Segurtasun-neurri aplikagarriak ere zehaztu egin beharko dira, eta neurri horien zerrenda "Aplikagarritasun Deklarazioa" deitutako dokumentu batean bilduko da. Segurtasun Nazionaleko Eskemak berak informazio-sistemen kategoriaren eta zerbitzuen balorazioaren arabera ezartzen dituen segurtasun-neurrien zerrenda identifikatzearen ondorioa izango da zerrenda hori, eta arriskuen azterketaren ondoren gehiegizkoak izan diren arriskuak arintzeko aplikatu beharreko segurtasun-neurrien zerrendarekin osatu beharko da.

6. fasea. Egokitzapen-planaren garapena

Ondoren egokitzapen-plan bat landuko da. Plan horretan Aplikagarritasun Deklarazioak aplikagarritzat ezarri dituen eta erakundeak Segurtasun Nazionaleko Eskemak exijitutakoari jarraikiz garatu gabe dituen segurtasun-neurri guztien garapen- edo hobekuntza-proiektuak planifikatuko dira.

7. fasea. Egokitzapen-planeko proiektuak egikaritzea

Erakundeak Segurtasun Nazionaleko Eskemarako berezko egokitzapena burutuko du, egokitzapen-planean aurreikusitako proiektu guztiak garatuta, eta neurri teknologikoak zein antolamendu-, eragiketa- edo kontratu-arloko neurriak bildu ahalko dituzte egokitzapen-plan horiek, betiere erakunde bakoitzaren plan espezifikoaren mende.

8. fasea. Auditoria

Segurtasuneko Eskema Nazionalerako egokitzapen-proiektuak amaitu ondoren, auditoria global bat burutuko da, zeinean modu objektibo eta independente gisa ebaluatuko den Segurtasuneko Eskema Nazionalaren eskakizunen betetze-maila. Auditoria hori egiaztatutako ziurtapeneko erakunde batek burutu beharko du, sistemen kategoriaren arabera.

9. fasea. Eragiketa eta mantentze-lanak

Segurtasuneko Eskema Nazionalerako egokitzapenak segurtasunaren kudeaketa orokorra dakar prozesu gisa. Horrenbestez, arriskuak berriz ere ebaluatu beharko direneko kudeaketa-ziklo berri bati hasiera ematea baino ez du egingo auditoriak, eta, horrekin batera, egokitzat jotzen diren segurtasun-neurriak egokituko ditu, eta bien bitartean funtzionamendu-baldintza hoberenetan ezarritako segurtasun-neurri guztiak atxikiko dira, segurtasuna kudeatzeko eta hobetzeko ziklo iraunkor bati hasiera emanez.

Non jaso daiteke aholkularitza edo kontratatu daiteke Segurtasuneko Eskema Nazionalerako egokitzapena?

BCSCk erakundeen zein enpresa pribatuen eskueran jartzen du “Zibersegurtasunaren Liburu Zuria Euskadin”, gure toki-ekosistemaren ikuspegi osoa biltzen duen dokumentua, berrikuntzako, ikerketako, ekintzailetzako, eta abarreko, perspektibekin, eta dokumentu horretan biltzen da horrelako zerbitzuak eskaintzen dituzten zibersegurtasuneko hornitzaileen katalogoa, zerbitzu horiek eskatzeko interesa duten erakundeek erabakiak hartzeko lagungarria izango den erreferentzia-puntu bat izateko helburuarekin betiere.

Euskadiko zibersegurtasunaren merkatuaren laburpen edo argazki gisa baliagarria da katalogoa, eta zerrenda bizia, berrikusia eta aldian behin eguneratua da, zerbitzuen digitalizazioaren arloko etengabeko bilakaera eta aurrerabidea, eta sortzen diren aukerak direla eta.

BCSC Liburu Zuria

Erreferentziak

CCN-Cert erakundearen ataria Segurtasuneko Eskema Nazionalarekiko: https://ens.ccn.cni.es/es/

Espainiako Gobernuaren Administrazio Elektronikoko ataria, Segurtasuneko Eskema Nazionalari buruzko informazioarekin: https://administracionelectronica.gob.es/pae_Home/pae_Estrategias/pae_Seguridad_Inicio/pae_Esquema_Nacional_de_Seguridad.html

Partekatu

Linkedin partekatu