Esquema Nacional de Seguridad

En el ámbito de la Administración Electrónica española, el Esquema Nacional de Seguridad (ENS) tiene por objeto establecer la política de seguridad en la utilización de medios electrónicos y está constituido por principios básicos y requisitos mínimos que permitan una protección adecuada de la información. Dicho esquema se regula en Real Decreto 3/2010, de 8 de enero, y fue establecido anteriormente en el artículo 42 de la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicio Públicos, que fue modificado por el Real Decreto 951/2015 para actualizarlo a la luz de la experiencia obtenida en su implantación, de la evolución de la tecnología y las ciberamenazas y del contexto regulatorio internacional y europeo. 

Ámbito de aplicación

El ámbito de aplicación del Esquema Nacional de Seguridad es el establecido en el artículo 2 de la Ley 11/2007:

A la Administración General del Estado, Administraciones de las Comunidades Autónomas y las Entidades que integran la Administración Local, así como las entidades de derecho público vinculadas o dependientes de las mismas.

A los ciudadanos en sus relaciones con las Administraciones Públicas.

A las relaciones entre las distintas Administraciones Públicas.

Elementos principales

Sus elementos principales son:

Los principios básicos a ser tenidos en cuenta en las decisiones en materia de seguridad.

Los requisitos mínimos que permitan una protección adecuada de la información.

La categorización de los sistemas, en nivel Alto Medio o Bajo, para la adopción de medidas de seguridad proporcionales a la naturaleza de la información, del sistema y de los servicios a proteger y a los riesgos a que están expuestos.

Las medidas de seguridad (75) organizadas en: Marco Organizativo (4), Marco Operacional (31) y Medidas de protección (40)

La auditoría de la seguridad que verifique el cumplimiento del Esquema Nacional de Seguridad

Principios básicos

Seguridad integral.

Gestión de riesgos.

Prevención, reacción y recuperación.

Líneas de defensa.

Reevaluación periódica.

Función diferenciada.

Requisitos mínimos

Organización e implantación del proceso de seguridad.

Análisis y gestión de los riesgos.

Gestión de personal.

Profesionalidad.

Autorización y control de los accesos.

Protección de las instalaciones.

Adquisición de productos.

Seguridad por defecto.

Integridad y actualización del sistema.

Protección de la información almacenada y en tránsito.

Prevención ante otros sistemas de información interconectados.

Registro de actividad.

Incidentes de seguridad.

Continuidad de la actividad.

Mejora continua del proceso de seguridad.

Categorización de los sistemas

Se definen tres categorías: Básica, Media y Alta y cinco dimensiones de seguridad Disponibilidad, Autenticidad, Integridad, Confidencialidad, Trazabilidad.

Un sistema de información será de categoría Alta si alguna de sus dimensiones de seguridad alcanza el nivel Alto.

Un sistema de información será de categoría Media si alguna de sus dimensiones de seguridad alcanza el nivel Medio, y ninguna alcanza un nivel superior.

Un sistema de información será de categoría Básica si alguna de sus dimensiones de seguridad alcanza el nivel Bajo, y ninguna alcanza un nivel superior.