ENS. Valoración de los niveles de seguridad

Introducción al ENS

El Esquema Nacional de Seguridad (ENS), regulado por el Real Decreto 3/2010, de 8 de enero (y actualizado a través del Real Decreto 951/2015, de 23 de octubre), recoge los requisitos mínimos para una protección adecuada de los servicios e información que soportan las competencias de las Administraciones Públicas.

El ENS es un conjunto normativo que posibilita crear y mantener las condiciones necesarias de seguridad de la información en el uso de los medios electrónicos, a través de medidas que garanticen la seguridad de los activos de la información, para facilitar el ejercicio de derechos y cumplimiento de deberes públicos a través de estos medios.

Para las Administraciones Públicas y sus proveedores, lo dispuesto en el Esquema Nacional de Seguridad permite cumplir sus principios de actuación y requisitos de seguridad de la información.

Para la ciudadanía, destinataria última del servicio público, lo dispuesto en el ENS supone la garantía de que las Administraciones Públicas con las que se relacionan reúnen las condiciones de seguridad de la información necesarias para salvaguardar su información y sus derechos.

El ENS determina la política de seguridad de la información que se ha de aplicar en la utilización de los medios electrónicos, así como, los principios básicos y medidas de seguridad mínimas (en un total de 75) para una protección adecuada de la información.

Para demostrar el cumplimiento del Esquema Nacional de Seguridad, a partir del 24 de octubre de 2017 las organizaciones con sistemas de información de categoría media o alta deben certificarlos a través de entidades acreditadas por la Entidad Nacional de Acreditación y Certificación (ENAC).

La valoración de los niveles de seguridad en el ENS

El pasado 29 de noviembre el Centro Criptológico Nacional (CCN-CERT) publicó la Guía CCN-STIC 803 Valoración de los Sistemas en el Esquema Nacional de Seguridad (ENS), en donde se definen los criterios para determinar el nivel de seguridad requerido en cada dimensión y se ofrecen las recomendaciones considerando también los marcos normativos mencionados, que podrán ser desarrollados posteriormente en su propia legislación.

En el Esquema Nacional de Seguridad, los posibles niveles de seguridad, en función del impacto de un incidente de seguridad, son Bajo, Medio y Alto:

  • Nivel Bajo. Se utilizará cuando las consecuencias de un incidente de seguridad de la información que afecte a alguna de las dimensiones de seguridad de la información supongan un perjuicio limitado sobre las funciones, procesos y actividades de la organización, sobre sus activos o sobre las personas afectadas.
  • Nivel Medio. Se utilizará cuando las consecuencias de un incidente de seguridad de la información que afecte a alguna de las dimensiones de seguridad de la información supongan un perjuicio grave sobre las funciones, procesos y actividades de la organización, sobre sus activos o sobre las personas afectadas.
  • Nivel Alto. Se utilizará cuando las consecuencias de un incidente de seguridad de la información que afecte a alguna de las dimensiones de seguridad de la información supongan un perjuicio muy grave sobre las funciones, procesos y actividades de la organización, sobre sus activos o sobre las personas afectadas.

Haga click, si desea información acerca del Esquema Nacional de Seguridad (ENS).