Esquema Nacional de Seguridad - ENS

La transformación digital del Sector Público ha de ir acompañada de medidas organizativas y técnicas de seguridad que protejan la información manejada y los servicios prestados, proporcionadas a los riesgos provenientes de acciones malintencionadas o ilícitas, particularmente de las ciberamenazas, errores o fallos y accidentes o desastres.La Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas (Abre en nueva ventana)

recoge entre los derechos de las personas en sus relaciones con las Administraciones Públicas, establecidos en su artículo 13, el relativo “a la protección de datos de carácter personal, y en particular a la seguridad y confidencialidad de los datos que figuren en los ficheros, sistemas y aplicaciones de las Administraciones Públicas”. A la vez que la seguridad figura entre los principios de actuación de las administraciones públicas, así como la garantía de la protección de los datos personales, según lo establecido en la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público (Abre en nueva ventana)

en su artículo 3 que trata los principios generales relativos a las relaciones de las administraciones por medios electrónicos.Para dar respuesta a todo lo anterior, el artículo 156 de la Ley 40/2015 recoge el Esquema Nacional de Seguridad (ENS) que “tiene por objeto establecer la política de seguridad en la utilización de medios electrónicos en el ámbito de la presente Ley, y está constituido por los principios básicos y requisitos mínimos que garanticen adecuadamente la seguridad de la información tratada”.

El ENS fue establecido anteriormente por el artículo 42 de la Ley 11/2007 y está regulado por el Real Decreto 3/2010, de 8 de enero (Abre en nueva ventana) , que fue modificado por el Real Decreto 951/2015 para actualizarlo a la luz de la experiencia obtenida en su implantación, de la evolución de la tecnología y las ciberamenazas y del contexto regulatorio internacional y europeo.

Las instrucciones técnicas de seguridad , de obligado cumplimiento, son esenciales para lograr una adecuada, homogénea y coherente implantación de los requisitos y medidas recogidos en el Esquema y, particularmente, para indicar el modo común de actuar en aspectos concretos: Informe del estado de la seguridad; Notificación de incidentes de seguridad; Auditoría de la seguridad; Conformidad con el Esquema Nacional de Seguridad; Adquisición de productos de seguridad; Criptología de empleo en el Esquema Nacional de Seguridad; Interconexión en el Esquema Nacional de Seguridad; y Requisitos de seguridad en entornos externalizados.

Las guías de seguridad por el Centro Criptológico Nacional, denominadas guías CCN-STIC (Abre en nueva ventana) y disponibles en el Portal del CCN-CERT , ayudan al mejor cumplimiento de lo establecido en el Esquema Nacional de Seguridad, en particular, de la colección de guías de la serie 800.

El ENS se elaboró a la luz del estado del arte y de los principales referentes en materia de seguridad de la información provenientes de la Unión Europea, OCDE, normalización nacional e internacional, actuaciones similares en otros países, etc.

El ENS es el resultado de un trabajo coordinado por el Ministerio de Política Territorial y función Pública junto con el Centro Criptológico Nacional (CCN) y la participación de todas las AA.PP., a través de los órganos colegiados con competencias en materia de administración digital. También se ha tenido presente la opinión de las asociaciones de la Industria del sector TIC.

Objetivos

El Esquema Nacional de Seguridad (ENS) persigue los siguientes objetivos :

Crear las condiciones necesarias de seguridad en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones, y los servicios electrónicos, que permita el ejercicio de derechos y el cumplimiento de deberes a través de estos medios.
Promover la gestión continuada de la seguridad.
Promover la prevención detección y corrección, para una mejor resiliencia en el escenario de ciberamenazas y ciberataques.
Promover un tratamiento homogéneo de la seguridad que facilite la cooperación en la prestación de servicios públicos digitales cuando participan diversas entidades. Esto supone proporcionar los elementos comunes que han de guiar la actuación de las entidades del Sector Público en materia de seguridad de las tecnologías de la información; también aportar un lenguaje común para facilitar la interacción, así como la comunicación de los requisitos de seguridad de la información a la Industria.
Servir de modelo de buenas prácticas, en línea con lo apuntado en las recomendaciones de la OCDE «Digital Security Risk Management for Economic and Social Prosperity – OECD Recommendation and Companion Document».

En el Esquema Nacional de Seguridad se concibe la seguridad como una actividad integral, en la que no caben actuaciones puntuales o tratamientos coyunturales, debido a que la debilidad de un sistema la determina su punto más frágil y, a menudo, este punto es la coordinación entre medidas individualmente adecuadas pero deficientemente ensambladas.

Elementos del Esquema Nacional de Seguridad

Los elementos principales del ENS son los siguientes:

Los principios básicos a considerar en las decisiones en materia de seguridad (arts. 4-10).
Los requisitos mínimos que permitan una protección adecuada de la información (arts. 11-26).
El mecanismo para lograr el cumplimiento de los principios básicos y de los requisitos mínimos mediante la adopción de medidas de seguridad proporcionadas a la naturaleza de la información y los servicios a proteger (arts. 27, 43, 44, Anexo I y Anexo II).
El uso de infraestructuras y servicios comunes (art. 28).
Las guías de seguridad (art. 29).
Las instrucciones técnicas de seguridad (art. 29 y disposición adicional cuarta).
Las comunicaciones electrónicas (arts. 31 a 33)
La auditoría de la seguridad (art. 34 y Anexo III).
La respuesta ante incidentes de seguridad (arts. 36 y 37).
El uso de productos certificados (art. 18., Anexo II y Anexo V).
La conformidad (art. 41).
La formación y la concienciación (disposición adicional primera).

El mandato principal del ENS es el establecido en el artículo 11 ‘Requisitos mínimos de seguridad’, según el cual “todos los órganos superiores de las Administraciones públicas deberán disponer formalmente de su política de seguridad que articule la gestión continuada de la seguridad, que será aprobada por el titular del órgano superior correspondiente”, que se establecerá en base a los principios básicos y que se desarrollará aplicando los requisitos mínimos.

Ámbito de aplicación

El ámbito de aplicación del Esquema Nacional de Seguridad es el Sector Público, según lo establecido en el artículo 2 de las leyes 39/2015 y 40/2015 sobre el ámbito subjetivo y lo indicado sobre el sector público institucional. Están excluidos de su ámbito de aplicación los sistemas que tratan información clasificada regulada por la Ley 9/1968 de 5 de abril, de Secretos Oficiales y sus normas de desarrollo.

Adecuación al Esquema Nacional de Seguridad

Una adecuación ordenada al Esquema Nacional de Seguridad requiere el tratamiento de las siguientes cuestiones, expresadas de forma muy sucinta:

Preparar y aprobar la política de seguridad, incluyendo la definición de roles y la asignación de responsabilidades. (Véase CCN-STIC 805 Política de seguridad de la información )
Categorizar los sistemas atendiendo a la valoración de la información manejada y de los servicios prestados.(Véase CCN-STIC 803 Valoración de sistemas en el Esquema Nacional de Seguridad )
Realizar el análisis de riesgos, incluyendo la valoración de las medidas de seguridad existentes. (Véase Magerit versión 3 y programas de apoyo -Pilar- )
Preparar y aprobar la Declaración de aplicabilidad de las medidas del Anexo II del ENS. (Véase CCN-STIC 804 Medidas e implantación del Esquema Nacional de Seguridad )
Elaborar un plan de adecuación para la mejora de la seguridad, sobre la base de las insuficiencias detectadas, incluyendo plazos estimados de ejecución. (Véase CCN-STIC 806 Plan de adecuación del Esquema Nacional de Seguridad )
Implantar operar y monitorizar las medidas de seguridad a través de la gestión continuada de la seguridad correspondiente. (Véase serie CCN-STIC )
Auditar la seguridad para verificar el cumplimiento de los requisitos del ENS.(Véase CCN-STIC 802 Auditoría del Esquema Nacional de Seguridad y CCN-STIC 808 Verificación del cumplimiento de las medidas en el Esquema Nacional de Seguridad ).
Obtener y publicitar la conformidad con el ENS. (Véase CCN-STIC 809 Declaración y certificación de conformidad con el ENS y distintivos de cumplimiento )
Informar sobre el estado de la seguridad. (Véase CCN-STIC 815 Métricas e Indicadores en el Esque ma Nacional de Seguridad y CCN-STIC 824 Informe del Estado de Seguridad )

Figura Adecuación al ENS

Conformidad con el ENS

El ENS en su artículo 41 sobre ‘Publicación de conformidad’ señala que los órganos y Entidades de Derecho Público darán publicidad en las correspondientes sedes electrónicas a las declaraciones de conformidad, y a los distintivos de seguridad de los que sean acreedores, obtenidos respecto al cumplimiento del ENS. Tras la entrada en vigor de las leyes 39/2015 y 40/2015 afecta a todas las entidades del Sector Público en España, así como a los operadores del Sector Privado que les prestan soluciones y servicios, no solo de seguridad, o que estén interesadas en la certificación de la conformidad con el ENS.

La « Instrucción Técnica de Seguridad de Conformidad con el ENS » establece los criterios y procedimientos para la determinación de la conformidad, así como para la publicidad de dicha conformidad. Precisa los mecanismos de obtención y publicidad de las declaraciones de conformidad y de los distintivos de seguridad obtenidos respecto al cumplimiento del ENS.