Esquema Nacional de Seguridad

De Wikipedia, la enciclopedia libre
Saltar a: navegación, búsqueda

Esquema Nacional de Seguridad (ENS). En el ámbito de la Administración Electrónica española, el Esquema Nacional de Seguridad (ENS) tiene por objeto establecer la política de seguridad en la utilización de medios electrónicos y está constituido por principios básicos y requisitos mínimos que permitan una protección adecuada de la información. Dicho esquema se regula en Real Decreto 3/2010, de 8 de enero, y es establecido en el artículo 42 de la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos.

Ámbito de aplicación[editar]

El ámbito de aplicación del Esquema Nacional de Seguridad es el establecido en el artículo 2 de la Ley 11/2007:

  • A la Administración General del Estado, Administraciones de las Comunidades Autónomas y las Entidades que integran la Administración Local, así como las entidades de derecho público vinculadas o dependientes de las mismas.
  • A los ciudadanos en sus relaciones con las Administraciones Públicas.
  • A las relaciones entre las distintas Administraciones Públicas.

Elementos principales[editar]

Sus elementos principales son:

  • Los principios básicos a ser tenidos en cuenta en las decisiones en materia de seguridad.
  • Los requisitos mínimos que permitan una protección adecuada de la información.
  • La categorización de los sistemas, en nivel Alto Medio o Bajo, para la adopción de medidas de seguridad proporcionales a la naturaleza de la información, del sistema y de los servicios a proteger y a los riesgos a que están expuestos.
  • Las medidas de seguridad (75) organizadas en: Marco Organizativo (4), Marco Operacional (31) y Medidas de protección (40)
  • La auditoría de la seguridad que verifique el cumplimiento del Esquema Nacional de Seguridad

Principios básicos[editar]

  • Seguridad integral.
  • Gestión de riesgos.
  • Prevención, reacción y recuperación.
  • Líneas de defensa.
  • Reevaluación periódica.
  • Función diferenciada.

Requisitos mínimos[editar]

  • Organización e implantación del proceso de seguridad.
  • Análisis y gestión de los riesgos.
  • Gestión de personal.
  • Profesionalidad.
  • Autorización y control de los accesos.
  • Protección de las instalaciones.
  • Adquisición de productos.
  • Seguridad por defecto.
  • Integridad y actualización del sistema.
  • Protección de la información almacenada y en tránsito.
  • Prevención ante otros sistemas de información interconectados.
  • Registro de actividad.
  • Incidentes de seguridad.
  • Continuidad de la actividad.
  • Mejora continua del proceso de seguridad.

Categorización de los sistemas[editar]

Se definen tres categorías: Básica, Media y Alta y cinco dimensiones de seguridad Disponibilidad, Autenticidad, Integridad, Confidencialidad, Trazabilidad.

  • Un sistema de información será de categoría Alta si alguna de sus dimensiones de seguridad alcanza el nivel Alto.
  • Un sistema de información será de categoría Media si alguna de sus dimensiones de seguridad alcanza el nivel Medio, y ninguna alcanza un nivel superior.
  • Un sistema de información será de categoría Básica si alguna de sus dimensiones de seguridad alcanza el nivel Bajo, y ninguna alcanza un nivel superior.

Herramientas[editar]

  • PILAR: Herramienta que permite realizar el análisis de riesgos.[1]
  • SECITOR: Herramienta de Análisis y Gestión de Riesgos de alto nivel que permite la gestión integral de la Seguridad de la Información siendo un sistema multimarco (ENS, Protección de datos, ISO 27001, ISO 19001, etc), además de una monitorización en tiempo real de la seguridad de la organización, siendo integrable con Nagios, OCS inventory, Splunk, SIEM, directorio activo, pilar, etc.[2]

Referencias[editar]

Enlaces externos[editar]