

El ENS fue establecido anteriormente por el artículo 42 de la Ley 11/2007 y está regulado por el Real Decreto 3/2010, de 8 de enero , que fue modificado por el Real Decreto 951/2015
para actualizarlo a la luz de la experiencia obtenida en su implantación, de la evolución de la tecnología y las ciberamenazas y del contexto regulatorio internacional y europeo.
Las instrucciones técnicas de seguridad , de obligado cumplimiento, son esenciales para lograr una adecuada, homogénea y coherente implantación de los requisitos y medidas recogidos en el Esquema y, particularmente, para indicar el modo común de actuar en aspectos concretos: Informe del estado de la seguridad; Notificación de incidentes de seguridad; Auditoría de la seguridad; Conformidad con el Esquema Nacional de Seguridad; Adquisición de productos de seguridad; Criptología de empleo en el Esquema Nacional de Seguridad; Interconexión en el Esquema Nacional de Seguridad; y Requisitos de seguridad en entornos externalizados.
Las guías de seguridad por el Centro Criptológico Nacional, denominadas guías CCN-STIC y disponibles en el Portal del CCN-CERT
, ayudan al mejor cumplimiento de lo establecido en el Esquema Nacional de Seguridad, en particular, de la colección de guías de la serie 800.
El ENS se elaboró a la luz del estado del arte y de los principales referentes en materia de seguridad de la información provenientes de la Unión Europea, OCDE, normalización nacional e internacional, actuaciones similares en otros países, etc.
El ENS es el resultado de un trabajo coordinado por el Ministerio de Política Territorial y función Pública junto con el Centro Criptológico Nacional (CCN) y la participación de todas las AA.PP., a través de los órganos colegiados con competencias en materia de administración digital. También se ha tenido presente la opinión de las asociaciones de la Industria del sector TIC.
Objetivos
El Esquema Nacional de Seguridad (ENS) persigue los siguientes objetivos :
- Crear las condiciones necesarias de seguridad en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones, y los servicios electrónicos, que permita el ejercicio de derechos y el cumplimiento de deberes a través de estos medios.
- Promover la gestión continuada de la seguridad.
- Promover la prevención detección y corrección, para una mejor resiliencia en el escenario de ciberamenazas y ciberataques.
- Promover un tratamiento homogéneo de la seguridad que facilite la cooperación en la prestación de servicios públicos digitales cuando participan diversas entidades. Esto supone proporcionar los elementos comunes que han de guiar la actuación de las entidades del Sector Público en materia de seguridad de las tecnologías de la información; también aportar un lenguaje común para facilitar la interacción, así como la comunicación de los requisitos de seguridad de la información a la Industria.
- Servir de modelo de buenas prácticas, en línea con lo apuntado en las recomendaciones de la OCDE «Digital Security Risk Management for Economic and Social Prosperity – OECD Recommendation and Companion Document».
En el Esquema Nacional de Seguridad se concibe la seguridad como una actividad integral, en la que no caben actuaciones puntuales o tratamientos coyunturales, debido a que la debilidad de un sistema la determina su punto más frágil y, a menudo, este punto es la coordinación entre medidas individualmente adecuadas pero deficientemente ensambladas.
Elementos del Esquema Nacional de Seguridad
Los elementos principales del ENS son los siguientes:
- Los principios básicos a considerar en las decisiones en materia de seguridad (arts. 4-10).
- Los requisitos mínimos que permitan una protección adecuada de la información (arts. 11-26).
- El mecanismo para lograr el cumplimiento de los principios básicos y de los requisitos mínimos mediante la adopción de medidas de seguridad proporcionadas a la naturaleza de la información y los servicios a proteger (arts. 27, 43, 44, Anexo I y Anexo II).
- El uso de infraestructuras y servicios comunes (art. 28).
- Las guías de seguridad (art. 29).
- Las instrucciones técnicas de seguridad (art. 29 y disposición adicional cuarta).
- Las comunicaciones electrónicas (arts. 31 a 33)
- La auditoría de la seguridad (art. 34 y Anexo III).
- La respuesta ante incidentes de seguridad (arts. 36 y 37).
- El uso de productos certificados (art. 18., Anexo II y Anexo V).
- La conformidad (art. 41).
- La formación y la concienciación (disposición adicional primera).
El mandato principal del ENS es el establecido en el artículo 11 ‘Requisitos mínimos de seguridad’, según el cual “todos los órganos superiores de las Administraciones públicas deberán disponer formalmente de su política de seguridad que articule la gestión continuada de la seguridad, que será aprobada por el titular del órgano superior correspondiente”, que se establecerá en base a los principios básicos y que se desarrollará aplicando los requisitos mínimos.
Ámbito de aplicación
El ámbito de aplicación del Esquema Nacional de Seguridad es el Sector Público, según lo establecido en el artículo 2 de las leyes 39/2015 y 40/2015 sobre el ámbito subjetivo y lo indicado sobre el sector público institucional. Están excluidos de su ámbito de aplicación los sistemas que tratan información clasificada regulada por la Ley 9/1968 de 5 de abril, de Secretos Oficiales y sus normas de desarrollo.
Adecuación al Esquema Nacional de Seguridad
Una adecuación ordenada al Esquema Nacional de Seguridad requiere el tratamiento de las siguientes cuestiones, expresadas de forma muy sucinta:
- Preparar y aprobar la política de seguridad, incluyendo la definición de roles y la asignación de responsabilidades. (Véase CCN-STIC 805 Política de seguridad de la información
)
- Categorizar los sistemas atendiendo a la valoración de la información manejada y de los servicios prestados.(Véase CCN-STIC 803 Valoración de sistemas en el Esquema Nacional de Seguridad
)
- Realizar el análisis de riesgos, incluyendo la valoración de las medidas de seguridad existentes. (Véase Magerit versión 3 y programas de apoyo -Pilar-
)
- Preparar y aprobar la Declaración de aplicabilidad de las medidas del Anexo II del ENS. (Véase CCN-STIC 804 Medidas e implantación del Esquema Nacional de Seguridad
)
- Elaborar un plan de adecuación para la mejora de la seguridad, sobre la base de las insuficiencias detectadas, incluyendo plazos estimados de ejecución. (Véase CCN-STIC 806 Plan de adecuación del Esquema Nacional de Seguridad
)
- Implantar operar y monitorizar las medidas de seguridad a través de la gestión continuada de la seguridad correspondiente. (Véase serie CCN-STIC
)
- Auditar la seguridad para verificar el cumplimiento de los requisitos del ENS.(Véase CCN-STIC 802 Auditoría del Esquema Nacional de Seguridad
y CCN-STIC 808 Verificación del cumplimiento de las medidas en el Esquema Nacional de Seguridad
).
- Obtener y publicitar la conformidad con el ENS. (Véase CCN-STIC 809 Declaración y certificación de conformidad con el ENS y distintivos de cumplimiento
)
- Informar sobre el estado de la seguridad. (Véase CCN-STIC 815 Métricas e Indicadores en el Esquema Nacional de Seguridad
y CCN-STIC 824 Informe del Estado de Seguridad
)
Conformidad con el ENS
El ENS en su artículo 41 sobre ‘Publicación de conformidad’ señala que los órganos y Entidades de Derecho Público darán publicidad en las correspondientes sedes electrónicas a las declaraciones de conformidad, y a los distintivos de seguridad de los que sean acreedores, obtenidos respecto al cumplimiento del ENS. Tras la entrada en vigor de las leyes 39/2015 y 40/2015 afecta a todas las entidades del Sector Público en España, así como a los operadores del Sector Privado que les prestan soluciones y servicios, no solo de seguridad, o que estén interesadas en la certificación de la conformidad con el ENS.
La « Instrucción Técnica de Seguridad de Conformidad con el ENS » establece los criterios y procedimientos para la determinación de la conformidad, así como para la publicidad de dicha conformidad. Precisa los mecanismos de obtención y publicidad de las declaraciones de conformidad y de los distintivos de seguridad obtenidos respecto al cumplimiento del ENS.
Instrumentos para la adecuación al ENS
Instrumentos para abordar la adecuación al ENS: