ENS – Esquema Nacional de Seguridad en Valencia

Maniacs ofrece el servicio de adaptación al ENS o Esquema Nacional de Seguridad En Valencia. La Ley 11/2007, de acceso electrónico de los ciudadanos a los Servicios Públicos estableció el Esquema Nacional de Seguridad, aprobado mediante Real Decreto 3/2010, tiene por objeto determinar la política de seguridad en la utilización de medios electrónicos en su ámbito de aplicación y estará constituido por los principios básicos y requisitos mínimos que permitan una protección adecuada de la información. Posteriormente, la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, recoge el Esquema Nacional de Seguridad en su artículo 156 apartado 2 en similares términos. En Maniacs disponemos de la experiencia en este tipo de adaptaciones al Esquema Nacional de Seguridad En Valencia.

En 2015 se publicó la modificación del Esquema Nacional de Seguridad a través del Real Decreto 951/2015, de 23 de octubre, en respuesta a la evolución del entorno regulatorio, en especial de la Unión Europea, de las tecnologías de la información y de la experiencia de la implantación del Esquema.

Los sistemas deberán adecuarse a lo dispuesto en la citada modificación en un plazo de veinticuatro meses (5 de noviembre de 2017).

Entre otras, se introducen las siguientes novedades:

Artículo 11, la gestión continuada de la seguridad como un aspecto clave que ha de acompañar a los servicios disponibles por medios electrónicos.

Artículo 15, la exigencia, de manera objetiva y no discriminatoria, de profesionales cualificados a las organizaciones que presten servicios de seguridad a las Administraciones Públicas.

Artículo 18, la utilización, de forma proporcionada a la categoría del sistema y nivel de seguridad determinados, de aquellos productos que tengan certificada la funcionalidad, de seguridad relacionada con el objeto de su adquisición.

Artículo 24, el despliegue de procedimientos de gestión de incidentes de seguridad, y de debilidades detectadas en los elementos del sistema de información.

Artículo 27, la formalización de las medidas de seguridad en un documento denominado “declaración de aplicabilidad” y la posibilidad de reemplazar medidas de seguridad por otras compensatorias cuando se justifique documentalmente.

Artículo 29, la figura de las “Instrucciones técnicas de seguridad” que regularán aspectos tales como el informe del estado de la seguridad, la auditoria de la seguridad, la conformidad con el Esquema, la notificación de incidentes de seguridad, la adquisición de productos de seguridad, la criptología empleada en el ámbito del Esquema y los requisitos de seguridad en entornos externalizados, entre otras.

Artículo 35, referencias expresas a la articulación de los procedimientos necesarios para la recogida y consolidación de la información para el informe anual de estado de la seguridad, y organismos responsables de su realización.

Artículo 36, la notificación al Centro Criptológico Nacional de aquellos incidentes que tengan un impacto significativo en la seguridad de la información manejada y de los servicios prestados.

Artículo 37, las evidencias necesarias para la investigación de incidentes de seguridad por parte del Centro Criptológico Nacional.

Ámbito de Aplicación del Esquema Nacional de Seguridad

El ámbito de aplicación del Esquema Nacional de Seguridad es el establecido en el artículo 2 de la Ley 11/2007:

  • A la Administración General del Estado, Administraciones de las Comunidades Autónomas y las Entidades que integran la Administración Local, así como las entidades de derecho público vinculadas o dependientes de las mismas.
  • A los ciudadanos en sus relaciones con las Administraciones Públicas.
  • A las relaciones entre las distintas Administraciones Públicas.

Elementos principales del Esquema Nacional de Seguridad

  • Los principios básicos a ser tenidos en cuenta en las decisiones en materia de seguridad.
  • Los requisitos mínimos que permitan una protección adecuada de la información.
  • La categorización de los sistemas, en nivel Alto Medio o Bajo, para la adopción de medidas de seguridad proporcionales a la naturaleza de la información, del sistema y de los servicios a proteger y a los riesgos a que están expuestos.
  • Las medidas de seguridad (75) organizadas en: Marco Organizativo (4), Marco Operacional (31) y Medidas de protección (40)
  • La auditoria de la seguridad que verifique el cumplimiento del Esquema Nacional de Seguridad

Principios básicos del Esquema Nacional de Seguridad

  • Seguridad integral.
  • Gestión de riesgos.
  • Prevención, reacción y recuperación.
  • Líneas de defensa.
  • Reevaluación periódica.
  • Función diferenciada.

Requisitos mínimos del Esquema Nacional de Seguridad

  • Organización e implantación del proceso de seguridad.
  • Análisis y gestión de los riesgos.
  • Gestión de personal.
  • Profesionalidad.
  • Autorización y control de los accesos.
  • Protección de las instalaciones.
  • Adquisición de productos.
  • Seguridad por defecto.
  • Integridad y actualización del sistema.
  • Protección de la información almacenada y en tránsito.
  • Prevención ante otros sistemas de información interconectados.
  • Registro de actividad.
  • Incidentes de seguridad.
  • Continuidad de la actividad.
  • Mejora continua del proceso de seguridad.

Categorización de los sistemas en el Esquema Nacional de Seguridad

Se definen tres categorías en el Esquema Nacional de Seguridad: Básica, Media y Alta

  • Un sistema de información será de categoría Alta si alguna de sus dimensiones de seguridad alcanza el nivel Alto.
  • Un sistema de información será de categoría Media si alguna de sus dimensiones de seguridad alcanza el nivel Medio, y ninguna alcanza un nivel superior.
  • Un sistema de información será de categoría Básica si alguna de sus dimensiones de seguridad alcanza el nivel Bajo, y ninguna alcanza un nivel superior.

Dimensiones de los datos en el Esquema Nacional de Seguridad

  • Disponibilidad.
  • Autenticidad.
  • Integridad.
  • Confidencialidad.
  • Trazabilidad.