Esquema Nacional de Seguridad
¿Qué es el Esquema Nacional de Seguridad ENS?
El Esquema Nacional de Seguridad (ENS) se basa en la Ley 11/2007 pubicado en e BOE núm. 150, de 23/06/2007 (y desarrollado posteriormente por el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, el cual a su vez fue modificado por el Real Decreto 951/2015), art. 42 que tiene por objeto
- Implantar una política de Seguridad en el uso de los medios electrónicos de la Administración publica
- Garantizar la protección apropiada de la información mediante:
- Requisitos Básicos para la protección de la información
- Definición de unos Requisitos Mínimos
¿En qué se basa el Esquema Nacional de Seguridad – ENS?
El esquema Nacional de seguridad (ENS) lo desarrolla básicamente el Centro Criptológico Nacional con la colaboración de todas las Administraciones Publicas (AA.PP.) y habiendo consultado también las recomendaciones de:
- Las universidades publicas
- La industria del Sector TIC
- Directrices internacionales y Europeas
- Directrices de seguridad de la información y de las redes:
- Políticas de Seguridad de las organizaciones
- Políticas sobre Firma electrónica
- Plan de acción sobre administración electrónica i2010
- Estudios sobre las buenas prácticas en Seguridad de la Información (Análisis y gestión de riesgos en seguridad de la Información)
Ámbito de aplicación del ENS
Deben cumplir con los requisitos del ENS
- La administración General del Estado
- Las Comunidades Autónomas y
- Las Administraciones Locales
- Las entidades de derecho público vinculadas o dependientes de las mismas
- A los ciudadanos en sus relaciones con las Administraciones Públicas.
- Las relaciones entre las distintas Administraciones Públicas
Únicamente están fuera de los requisitos del ENS aquellos sistemas de información que manejan “Información Clasificada”
Una pregunta típica en este punto es si el ENS afecta o no a las Universidades y Hospitales Públicos
La respuesta es:
Las Universidades y Hospitales Públicos como entidades vinculadas e la administración pública están igualmente afectadas por el ENS
En concreto con las Adversidades públicas se ha establecido un grupo de trabajo denominado “Comisión Sectorial de Tecnologías de la Información y las Comunicaciones” para establecer escenarios de colaboración en la Seguridad de la Información.
¿Que persigue el ENS?
El ENS persigue un triple objetivo
- LA CONFIANZA
Fomentar y conseguir la confianza en el uso de los medios electrónicos de la administración por parte de los usuarios estableciendo medidas de seguridad adecuadas - UNIFICAR CRITERIOS
Mediante el establecimiento de elementos comunes que consigan unificar las medidas de seguridad empleadas por las administraciones en materia de Seguridad de la Información - INTEGRACION DE SISTEMAS
Establecer un idioma común para la interacción entre las distintas administraciones y a la hora de establecer requisitos para la seguridad a los proveedores de la industria de sistemas de información.
OBTENGA EL PRECIO EN MENOS DE UN MINUTO
Los ingredientes del ENS
Para conseguir los objetivos anteriormente descritos el ENS cuenta con los siguientes elementos
LOS PRINCIPIOS BASICOS DEL ENS
Se trata de los criterios que debemos tener en cuenta en el momento de la toma de decisiones en materia de seguridad de la información y se refieren a:
- Seguridad Integral
- Gestión de Riesgos
- Prevención reacción y recuperación
- Líneas de Defensa
- Reevaluación periódica
- La Seguridad como función diferenciada
LOS REQUISITOS MINIMOS DEL ENS
Se trata de la definición de requisitos concretos en seguridad de la información a cumplir por los diferentes tipos de sistemas los cuales se agrupan en:
- Organización e implantación del sistema de seguridad
- Análisis y gestión de riesgos
- Gestión del personal
- Profesionalidad
- Autorización y control de accesos
- Protección de las instalaciones
- Adquisición de productos
- Seguridad por defecto
- Integridad y actualización del sistema
- Protección de la información almacenada en transito
- Prevención ante otros sistemas de información interconectados
- Registro de la actividad
- Incidentes de seguridad
- Continuidad de la actividad
- Mejora de la continuidad del proceso
CLASIFICACION DE LOS SISTEMAS DE INFORMACION
El siguiente elemento a tener en cuenta es la necesidad de categorizar los sistemas de información para determinar la importancia en sí de cada sistema. Para ello se establecen tres tipos de niveles de categorización:
Categorías de sistemas EN EL ENS
- 1. Categoría ALTA
Cuando cualquiera de los riesgos en la seguridad de la información pueda causar un daño catastrófico. - 2. Categoría MEDIA
Cuando cualquiera de los riesgos en la seguridad de la información pueda causar un perjuicio grave no existiendo ninguno de nivel superior - 3. Categoría BAJA
Cuando los riesgos en la seguridad de la información no superan la causa de un perjuicio limitado no existiendo ninguno de nivel grave o superior
Cada sistema de información podrá ser tratado de forma independiente en cuanto a las medidas de seguridad de la Información según su categoría.
MEDIDAS DE SEGURIDAD EN EL ENS
Finalmente tras un análisis de los requisitos de seguridad y evaluados por el nivel de impacto estimado resultante de un análisis de riesgos se establecerán las medidas de seguridad pertinentes que pueden afectar a:
- Nivel de la organización: medidas en el nivel de la organización del sistema de seguridad que exigen tener:
- Política de Seguridad
- Normativa de Seguridad
- Procedimientos de Seguridad
- Procesos de autorización
- Nivel Operacional : Medidas de protección a nivel de la operación del sistema de la información:
- Planificación
- Control de acceso
- Servicios externos
- Continuidad del servicio
- Monitorización del sistema
- Nivel de protección: Medidas para proteger activos concretos de información
- Protección de las instalaciones e infraestructuras
- Gestión del personal
- Protección de los equipos
- Protección de las comunicaciones
- Protección de los soportes de la información
- Protección de las aplicaciones informáticas
- Protección de la información
- Protección de los servicios
AUDITORIA DE SEGURIDAD
La realización de auditorías de seguridad es obligatoria en los sistemas de información que tengan la categoría de MEDIA o ALTA
¿Qué es una auditoria en ENS?
Se trata de una revisión y examen independiente de los registros y actividades del sistema de información
Sistemas de información
Un “Sistemas de información” es el conjunto organizado de recursos para que la información se pueda recoger, almacenar, procesar o tratar, mantener, usar, compartir, distribuir, poner a disposición, presentar o transmitir
¿Quién realiza las auditorias de Seguridad en el ENS?
El ENS puede ser auditado tanto por internos como externos independientes y capacitados para realizar el proceso de auditoría
¿Qué quiere decir independientes?
La independencia de los auditores quiere decir que no pueden ser auditores los mismos que operan o participan en el sistema de información
Capacidades:
El equipo auditor debe tener un jefe del equipo de auditoría y expertos que demuestren que disponen de los conocimientos suficientes para asegurar la adecuada realización de la auditoría.
certificación ens ¿Quién tiene que realizar las auditorias y cuándo?
- Para los sistemas de información de categoría BASICA no es obligatorio realizar una auditoría, basta con un informe de autoevaluación
- La puede realizar el mismo personal que gestiona el sistema de información
- Se deberá documentar como están implantadas las medidas de seguridad y las evidencias de que son revisadas y mantenidas
- Se deberá informar al responsable de seguridad de los resultados y conclusiones del informe quien adoptara las medidas correctoras necesarias derivadas del informe
- Para los sistemas de categoría MEDIA O ALTA las auditorias son obligatorias
- Periodicidad: Cada 2 años o siempre que se produzcan modificaciones importantes en el sistema de información que puedan afectar a la seguridad.
- Informe de Auditoria: El informe de auditoría tendrá los siguientes elementos
- Alcance y objetivo de la auditoría
- Criterios metodológicos de auditoría utilizados
- Datos, hechos y observaciones en que se basen las conclusiones formuladas.
- Identificación de las deficiencias
- Dictamen sobre el grado de cumplimiento del ENS
- Sugerencia de posibles medidas correctoras o complementarias que sean necesarias
- Recomendaciones
- Resultados: los informes deben ser revisados por el responsable de seguridad del sistema quien deberá:
- Adoptar medidas necesarias
- Comunicarlo al responsable de la organización
- Tenerlos disponibles por si son solicitados por en CCN (Centro Criptológico Nacional)
- Determinar la adopción de medidas extraordinarias si fueran necesarias
Para ampliar información sobre el ENS puede consultar en https://www.ccn.cni.es/index.php/es/esquema-nacional-de-seguridad-ens.
Puede consultas la lista de empresas certificadas en https://www.ccn.cni.es/index.php/es/esquema-nacional-de-seguridad-ens/empresas-certificadas,
Para consultas las guías del CCN, los requisitos, productos certificados puede consultar en https://www.ccn-cert.cni.es/evens/
Los ingredientes del ENS
Entre las principales modificaciones que se introducirán podemos mencionar:
Cualificación del Personal para las Auditorias de Seguridad
Según el artículo 15, se requerirá la cualificación del personal para las labores de auditoría de seguridad, exigiéndose a los proveedores la necesaria participación de profesionales cualificados para la prestación de servicios.
Medidas compensatorias de Seguridad
Como novedad, según el Artículo 19 será posible reemplazar las medidas de seguridad del Anexo II por otras compensatorias que permitan protegerse equivalente o mejorada frente a los riesgos identificados. La aplicación de medidas compensatorias deberá detallarse y justificarse en la Declaración de Aplicabilidad, que estará firmada por el Responsable de Seguridad.
Especificación Técnica para Auditorias de seguridad
Está previsto el desarrollo de una instrucción técnica con el objeto de regular el desarrollo de las auditorías de seguridad previstas por el ENS
Notificación de Incidentes
El artículo 36 introduce la necesidad de notificar al Centro Criptológico Nacional todos los incidentes que tengan un impacto significativo en la seguridad de los servicios e información.
Nuevo Conjunto de Instrucciones Técnicas
Además está previsto desarrollar un conjunto de Instrucciones Técnicas de Seguridad de obligado cumplimiento, relativas a:
- Elaboración de un Informe de estado de seguridad.
- Procedimiento de Notificación de incidentes de seguridad.
- Procedimiento de Auditoría de la seguridad.
- Especificaciones de Conformidad con el Esquema Nacional de Seguridad.
- Procedimientos de Adquisición de productos de seguridad.
- Instrucciones sobre criptología de empleo en el Esquema Nacional de Seguridad.
- Especificaciones de Interconexión en el Esquema Nacional de Seguridad.
- Requisitos de seguridad en entornos externalizados.
Por otro lado, se incluyen otras modificaciones en las medidas de seguridad del Anexo II del ENS que afectan a tanto a los requisitos de seguridad como a sus niveles aplicables.
MEDIAS COMPENSATORIAS
¿CUÁNDO PODEMOS UTILIZAR ESTAS MEDIDAS COMPENSATORIAS?
El mismo ENS nos lo explica:
“cuando se justifique documentalmente que protegen igual o mejor del riesgo sobre los activos (Anexo I) y se satisfacen los principios básicos y los requisitos mínimos “
¿EN BASE A QUÉ CRITERIOS PODEMOS ADOPTAR LA APLICACIÓN DE MEDIDAS COMPENSATORIAS?
“en base a razones técnicas, operativas, presupuestarias o de otro tipo, debidamente documentadas y justificadas, no esté en condiciones de aplicar alguna de las antedichas medidas de seguridad, podrá adoptar una medida compensatoria”
Y siempre que:
- Se incluya esta excepción en la declaración de aplicabilidad
- Sean aprobadas formalmente por el responsable de Seguridad
¿QUÉ REQUISITOS DEBEN CUMPLIR LAS MEDIDAS COMPENSATORIAS?
- Dar respuesta al propósito de la medida de seguridad que compensa, en toda su extensión y rigurosidad.
- Proporcionar, al menos, un nivel de protección similar al de la medida de seguridad que compensa
EXCLUSIONES
Están excluidos del ámbito de aplicación los sistemas que tratan información clasificada regulada por Ley 9/1968,
Si desea conocer los costes asociados a la implantación de la Norma, en los siguientes enlaces puede obtener la información que necesita:
Obtenga Aquí un Presupuesto On line de la implantación de la Norma.
Solicite Aquí Asesoría Personalizada de la implantación de la Norma.