Puntos Clave del Esquema Nacional de Seguridad

Enviado por Chuletator online y clasificado en Formación y Orientación Laboral

Escrito el en español con un tamaño de 6,5 KB

Artículo 1 – Objeto

El ENS protege la información y los servicios que usan medios electrónicos en la administración pública. ¿Cómo? Asegurando:

  • Acceso controlado.
  • Confidencialidad.
  • Integridad.
  • Disponibilidad.
  • Autenticidad.
  • Trazabilidad.

Artículo 2 – Ámbito de aplicación

  • Sector público.
  • Empresas privadas que trabajen para la administración.
  • Sistemas de información clasificados.
  • Empresas que usen 5G en servicios públicos.

Artículo 3 – Sistemas con datos personales

  • Cumplir ENS + RGPD + ley de protección de datos.
  • Hacer análisis de riesgos y evaluaciones de impacto.

Artículo 4 – Glosario

  • Crear un glosario común para evitar confusiones jurídicas.

CAPÍTULO II - Principios básicos

Artículo 5 – Principios básicos del ENS

  • Seguridad integral.
  • Gestión basada en riesgos.
  • Prevención, detección y respuesta.
  • Múltiples líneas de defensa.
  • Vigilancia continua.
  • Revisiones periódicas.
  • Responsabilidades diferenciadas.

Artículo 6 – Seguridad como proceso integral

  • Proteger personas, procesos, normas y tecnología.
  • Seguridad permanente.

Artículo 7 – Gestión de riesgos

  • Identificar y minimizar riesgos continuamente.
  • Medidas proporcionales al valor de la información.

Artículo 8 – Prevención, detección, respuesta y conservación

  • Prevenir ataques.
  • Detectar incidentes.
  • Restaurar servicios.
  • Conservar registros.

Artículo 9 – Líneas de defensa

  • Varias capas de protección: física, lógica y organizativa.

Artículo 10 – Vigilancia continua y reevaluación

  • Monitorizar siempre.
  • Revisar y mejorar medidas periódicamente.

Artículo 11 – Diferenciación de responsabilidades

  • Separar los roles de responsable de información, servicio, seguridad y sistema.

Artículo 12 – Política de seguridad

Documento que define cómo proteger la información y gestionar los riesgos.

Artículo 13 – Organización del proceso de seguridad

  • Claridad en tareas de cada responsable.
  • Empresas externas deben tener su propio POC.

Artículo 14 – Gestión de riesgos

  • Basarse en metodologías reconocidas (ISO, etc).

Artículo 15 – Gestión del personal

  • Formar y supervisar al personal.
  • Cumplir normas internas de seguridad.

Artículo 16 – Profesionalidad

  • Personal cualificado para la gestión de la seguridad.

Artículo 17 – Control de accesos

  • Solo accede quien esté autorizado.

Artículo 18 – Protección de instalaciones

  • Proteger físicamente servidores y redes.

Artículo 19 – Compra de productos de seguridad

  • Adquirir productos certificados.
  • Vigilar la cadena de suministro.

Artículo 20 – Mínimo privilegio

  • Dar solo accesos mínimos necesarios.

Artículo 21 – Integridad y actualización

  • Supervisar cambios y actualizaciones.

Artículo 22 – Protección de información en tránsito y almacenada

  • Proteger datos guardados y en red.

Artículo 23 – Conexión con otros sistemas

  • Controlar los riesgos de conexiones externas.

Artículo 24 – Registro de actividad y detección de código dañino

  • Guardar logs y detectar malware.
  • Cumplir la ley de protección de datos.

Artículo 25 – Incidentes de seguridad

  • Tener procedimientos claros para gestionarlos.
  • Registrar cada incidente.

Artículo 26 – Continuidad del servicio

  • Tener copias de seguridad y plan de recuperación.

Artículo 27 – Mejora continua

  • Revisar y mejorar la seguridad constantemente.

Artículo 28 – Cumplimiento de mínimos

  • Cumplir el Anexo II (mínimos) y aplicar medidas adicionales si es necesario.

Artículo 29 – Infraestructuras y servicios comunes

  • Se pueden usar servicios compartidos para cumplir el ENS.

Artículo 30 – Perfiles de cumplimiento

  • Adaptar las medidas según el sector o actividad.

CAPÍTULO IV - Seguridad de los sistemas

Artículo 31 – Auditoría de seguridad

  • Auditoría obligatoria cada 2 años.
  • Si el sistema es de categoría ALTA y falla, puede suspenderse.

Artículo 32 – Informe de seguridad

  • Informe global de auditorías para mejorar la seguridad pública.

Artículo 33 – Respuesta a incidentes

  • Notificar incidentes graves al CCN-CERT o INCIBE-CERT.

Artículo 34 – Servicios del CCN-CERT

  • Asistencia técnica, formación y alertas.
  • Guías y recomendaciones (CCN-STIC).

Artículo 35 – Administración digital

  • Cumplir el ENS y asegurar la interoperabilidad entre administraciones.

Artículo 36 – Ciclo de vida

  • Aplicar seguridad desde el inicio hasta la retirada de un sistema.

Artículo 37 – Mecanismos de control

  • Crear controles internos que verifiquen el cumplimiento del ENS.

Artículo 38 – Evaluación de conformidad

  • Categoría básica: autoevaluación.
  • Categoría media/alta: auditoría externa.

CAPÍTULO V - Actualización del ENS

Artículo 39 – Actualización permanente

  • Actualización continua para adaptarse a nuevas tecnologías y amenazas.

CAPÍTULO VI - Categorización

Artículo 40 – Categorías de seguridad

  • Clasificar sistemas según el impacto en:
    • Disponibilidad.
    • Autenticidad.
    • Integridad.
    • Confidencialidad.
    • Trazabilidad.

Artículo 41 – Facultades

  • Los responsables definen la categoría según los riesgos y la importancia de la información.
Karma: 15%
Visitas: 0

Entradas relacionadas:

Etiquetas:
Seguridad Nacional Incidentes de Seguridad RGPD CCN-CERT Ciberseguridad Auditoría de Seguridad Gestión de Riesgos ENS Protección de Datos Administración Pública Cumplimiento Normativo