Esquema Nacional de Seguridad

En el ámbito de la administración electrónica en España, el Esquema Nacional de Seguridad (ENS) es una normativa que tiene por objetivo establecer la política de seguridad en la utilización de medios electrónicos relacionados con la administración pública, y está constituido por principios básicos y requisitos mínimos que permitan una protección adecuada de la información.

Historia

El Esquema Nacional de Seguridad fue establecido en el artículo 42 de la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicio Públicos[1] y regulado por el Real Decreto 3/2010, de 8 de enero.[2] Posteriormente fue modificado por el Real Decreto 951/2015 para actualizarlo a la luz de la experiencia obtenida en su implantación, de la evolución de la tecnología y las ciberamenazas y del contexto regulatorio internacional y europeo.[3]

El 5 de mayo de 2022 entró en vigor una nueva versión del ENS.[4] Los sistemas ya existentes tienen 24 meses para adaptarse a los cambios.

Ámbito de aplicación

El ámbito de aplicación del Esquema Nacional de Seguridad comprende todo el sector público, los sistemas de información de entidades del sector privado cuando presten servicios a entidades del sector público y los sistemas que traten información clasificada.[4][5]

Elementos del Esquema Nacional de Seguridad

Los elementos principales del ENS, tal como queda legislado en 2022, son los siguientes:

  • Las disposiciones generales, objeto, ámbito de aplicación, sistemas de información que traten datos personales y definiciones (artículos 1 a 4).
  • Los principios básicos a considerar en las decisiones en materia de seguridad (artículos 5 a 11).
  • Los requisitos mínimos que permitan una protección adecuada de la información (artículos 12 a 27).
  • El mecanismo para lograr el cumplimiento de los principios básicos y de los requisitos mínimos mediante la adopción de medidas de seguridad proporcionadas a la naturaleza de la información y los servicios a proteger (artículos 28, 40, 41, Anexo I y Anexo II).
  • El uso de productos certificados y el papel del organismo de certificación OC-CCN (artículo 19 y Anexo II).
  • El uso de infraestructuras y servicios comunes (artículo 29).
  • Los perfiles de cumplimiento específicos (artículo 30).
  • La auditoría de seguridad que verifique el cumplimiento del ENS (artículo 31 y Anexo III).
  • El informe del estado de la seguridad (artículo 32).
  • La respuesta ante incidentes de seguridad (artículos 33 y 34).
  • La conformidad con el ENS (artículos 35 a 38).
  • La actualización permanente (artículo 39).
  • La categorización de los sistemas de información (artículos 40 y 41).
  • La formación (disposición adicional primera).
  • Las instrucciones técnicas de seguridad (disposición adicional segunda).
  • Las guías de seguridad (disposición adicional segunda).
  • Respeto del principio de «no causar un perjuicio significativo» al medioambiente (disposición adicional tercera).
  • Adecuación de sistemas (disposición transitoria única).[4]

Categorización de los sistemas

Se definen cinco dimensiones de seguridad: Disponibilidad, Autenticidad, Integridad, Confidencialidad, Trazabilidad (identificadas por sus correspondientes iniciales).

A cada una de las dimensiones de seguridad se le asigna un nivel de seguridad (bajo, medio o alto) acorde a la severidad del perjuicio ocasionado en caso de incidente de seguridad. Si una dimensión de seguridad no se ve afectada, no se le asigna ningún nivel.

Finalmente, el sistema de información es categorizado de acuerdo al nivel más alto alcanzado por sus dimensiones de seguridad. Así, un sistema de información es de categoría:

  • alta si alguna de sus dimensiones de seguridad alcanza el nivel alto;
  • media si alguna de sus dimensiones de seguridad alcanza el nivel medio, y ninguna alcanza un nivel superior;
  • básica si alguna de sus dimensiones de seguridad alcanza el nivel bajo, y ninguna alcanza un nivel superior.[4][5]

Véase también

Referencias

Enlaces externos

Este artículo ha sido escrito por Wikipedia. El texto está disponible bajo la licencia Creative Commons - Atribución - CompartirIgual. Pueden aplicarse cláusulas adicionales a los archivos multimedia.