Borja Aznar - 🧠

Esquema Nacional de Seguridad

11 min read

Introducción

Es toda la normativa que se aplica en todo el territorio español para la protección de dispositivos, sistemas, redes de la administración pública, para las empresas no es de obligatorio cumplimiento pero se puede aplicar perfectamente.

Se regula con 2 leyes y 2 reales decretos:

Mas información en CNI

Versión Navegable del Esquema Nacional de Seguridad

Capítulo 2

Principios básicos

Artículo 11

Diferenciación de responsabilidades.

  1. En los sistemas de información se diferenciará el responsable de la información, el responsable del servicio, el responsable de la seguridad y el responsable del sistema.

  2. La responsabilidad de la seguridad de los sistemas de información estará diferenciada de la responsabilidad sobre la explotación de los sistemas de información concernidos.

  3. La política de seguridad de la organización detallará las atribuciones de cada responsable y los mecanismos de coordinación y resolución de conflictos.

Capítulo 3

Política de seguridad y requisitos mínimos de seguridad

Artículo 12

Política de seguridad y requisitos mínimos de seguridad.

La política de seguridad de la información es el conjunto de directrices que rigen la forma en que una organización gestiona y protege la información que trata y los servicios que presta.

Artículo 13

Organización e implantación del proceso de seguridad.

  1. La seguridad de los sistemas de información deberá comprometer a todos los miembros de la organización.

  2. La política de seguridad deberá ser conocida por todas las personas que formen parte de la organización e identificar de forma inequívoca a los responsables de velar por su cumplimiento, los cuales tendrán las siguientes funciones:

    a) El responsable de la información determinará los requisitos de la información tratada.

    b) El responsable del servicio determinará los requisitos de los servicios prestados.

    c) El responsable de la seguridad decidirá como satisfacer los requisitos de seguridad de la información y de los servicios, supervisará la implantación de las medidas necesarias para garantizar que se satisfacen los requisitos y reportará sobre estas cuestiones.

    d) El responsable del sistema se encargará de desarrollar la forma concreta de implementar la seguridad en el sistema y de la supervisión de la operación diaria del mismo, pudiendo delegar en administradores u operadores bajo su responsabilidad.

Se delegan funciones, no la responsabilidad. {: .prompt-warning }

Anexo 1

Categorías de seguridad de los sistemas de información

Para dar cumplimiento a lo anterior se determinan las dimensiones de seguridad y sus niveles, la categoría de los sistemas, las medidas de seguridad adecuadas y la auditoría periódica de la seguridad; se implanta la elaboración de un informe para conocer regularmente el estado de seguridad de los sistemas de información a los que se refiere el presente real decreto.

Fundamentos para la determinación de la categoría de seguridad de un sistema de información. : La determinación de la categoría de seguridad de un sistema de información se basará en la valoración del impacto que tendría sobre la organización un incidente que afectase a la seguridad de la información tratada o de los servicios prestados para:

a) Alcanzar sus objetivos.

b) Proteger los activos a su cargo.

c) Garantizar la conformidad con el ordenamiento jurídico.

Anualmente, o siempre que se produzcan modificaciones significativas en los citados criterios de determinación, deberá re-evaluarse la categoría de seguridad de los sistemas de información concernidos

Dimensiones de la seguridad : A fin de determinar el impacto que tendría sobre la organización un incidente que afectara a la seguridad de la información tratada o de los servicios prestados y, en su consecuencia, establecer la categoría de seguridad del sistema de información en cuestión, se tendrán en cuenta las siguientes dimensiones de la seguridad, que se identificarán por sus correspondientes iniciales en mayúsculas:

a) Confidencialidad [C].

b) Integridad [I].

c) Trazabilidad [T].

d) Autenticidad [A].

e) Disponibilidad [D].

Determinación del nivel de seguridad requerido en una dimensión de seguridad : Una información o un servicio pueden verse afectados en una o más de sus dimensiones de seguridad. Cada dimensión de seguridad afectada se adscribirá a uno de los siguientes niveles de seguridad: BAJO, MEDIO o ALTO. Si una dimensión de seguridad no se ve afectada, no se adscribirá a ningún nivel y por lo tanto se colocara como N.A.

Para más información acudir al Anexo 1 del Esquema Nacional de Seguridad

Anexo 2

Medidas de Seguridad

El Esquema Nacional de Seguridad recoge 75 medidas las cuales se dividen en 3 grupos:

  • Marco Organizativo está constituido por un conjunto de medidas relaccionadas con la organización global de seguridad. Ejemplo:

    • Política de seguridad
    • Normativa de seguridad
    • Procedimientos de seguridad
    • Proceso de autorización

  • Marco Operacional está constituido por las medidas a tomar para proteger la operación del sistema como conjunto integral de componentes para un fin. Ejemplo:

    • Planificación
    • Control de acceso
    • Explotación
    • Servicios externos
    • Continuidad del servicio
    • Monitorización del sistema

  • Medidas de protección se centrarán en activos concretos, según su naturaleza, con el nivel requerido en cada dimensión de seguridad. Ejemplo:

    • Instalaciones e infraestructuras
    • Gestión del personal
    • Protección de los equipos
    • Protección de las comunicaciones
    • Protección soportes de información
    • Protección aplicaciones informáticas
    • Protección de la información
    • Protección de los servicios

Esta obligación afecta a todo el Sector Público, a los sistemas de información clasificada y a las entidades del Sector Privado que prestan servicios a entidades públicas también deben cumplir los requerimientos del ENS según el tipo de servicio e información que tratan. {: .prompt-info }

Desktop View{: width=“972” height=“589” }

Guía CCN-STIC-801

El Esquema Nacional de Seguridad define los roles y las funciones de la Gestión de la Seguridad IT.

Los artículos siguientes son de la [Guía CCN-STIC-801](/assets/img/ens/CCN-STIC 801.pdf)

[Estructura Propuesta en la Guía CCN-STIC-801](/assets/img/ens/CCN-STIC 801.pdf)

Artículo 4

Organización de seguridad

3 Bloques de responsabilidad:

NivelOpción AOpción B
1 - GobiernoComité de seguridad corporativa
Comité de seguridad de la informaciónResponsable del Tratamiento de Protección de Datos
Responsable de la información
Responsable del servicio
2 - Dirección EjecutivaResponsable de la seguridad
3 - OperacionalResponsable del sistema

Artículo 5

Responsables esenciales

La Dirección del organismo es responsable de:

  • Organizar las funciones y responsabilidades.

  • La Política de Segurida del organismo.

  • Facilitar los recursos adecuados para alcanzar los objetivos propuestos.

Los directivos son también responsables de dar buen ejemplo, siguiendo las normas de seguridad establecidas.

En una organización pueden coexistir diferentes informaciones y servicios, debiendo identificarse al responsable (o propietario) de cada uno de ellos.

Una misma persona puede aunar varias responsabilidades.

Artículo 5.1

Responsable de la Información

Tiene la responsabilidad última del uso que se haga de la información, por tanto, de su protección.

Es el responsable últim de cualquier error o negligencia que lleve a un incidente de confidencialidad o de integridad.

Artículo 5.2

Responsable del Servicio

Responsable de Servicio determina los niveles de seguridad en cada dimensión de seguriad deben realizarse dentro del marco establecido en el Anexo 1 del Esquema Nacional de Seguridad, los criterios de valoración estén, respaldados por la Política de Seguridad, se dice que “heredan los requisitos” y suelen añadir requisitos de disponibilidad, accesibilidad, interoperabilidad, etc.

Artículo 5.3

Responsabilidades unificadas

Es posible que la persona física tenga el rol de responsable de la información y responsable del servicio. Aunque se deberían diferenciar:

  • Cuando el servicio maneja información de diferentes procedencias, no necesariamente de la misma unidad departamental que la que presta el servicio.

  • Cuando la prestación del servicio no depende de la unidad que es Responsable de la Información.

Artículo 6

Responsable de la seguridad

  • Mantener la seguridad de la información manejada y de los servicios prestados por los sistemas de información en su ámbito de responsabilidad, de acuerdo a lo establecido en la Política de Seguridad de la Organización.

  • Promover la formación y concienciación en materia de seguridad de la información dentro de su ámbito de responsabilidad.

  • Tareas del Anexo A de la [Guía CCN-STIC-801](/assets/img/ens/CCN-STIC 801.pdf)

Artículo 6.2

Delegación de funciones

Podrán designarse Responsable de Seguridad Delegados en caso de Sistemas de Información complejos, muy distribuidos o separados físicamente, o con muchos usuarios.

La designación corresponde al Responsable de la Seguridad, a quién reportan.

Los Delegados se harán cargo de todas aquillas acciones que delegue el Responsable de la Seguridad.

Se delegan funciones, no la responsabilidad. {: .prompt-danger }

Artículo 7

Responsable del Sistema

Persona designada por la Dirección y figurará en la documentación de seguridad del sistema de información.

Responsabilidades:

  • Desarrollar, operar y mantener el Sistema de Información.

  • Definir la topología y sistemas de gestión del Sistema de Información.

  • Cerciorarse de que las medidas específicas de seguridad se integren adecuadamente.

  • Puede suspender el manejo de información debido a deficiencias graves de seguridad.

  • Las Tareas mencionadas en el Anexo A de la Guía CCN-STIC-801.

Artículo 8

Administrador de Seguridad del Sistema (ASS)

La persona designada figurará en la documentación de seguridad del sistema de información puede depender del Responsable de Sistema o del Responsable de la Seguridad.

  • Las Tareas mencionadas en el Anexo A de la Guía CCN-STIC-801.

Artículo 9

Comités

Algunas responsabilidades pueden instrumentarse por medio de comités, que se articularán y funcionarán como órganos colegiados de acuerdo con la normativa administrativa.

Son habituales los siguientes:

  • Comité de Seguridad de la Información, que se responsabiliza de alinear las actividades de la organización e materia de seguridad de la información.

  • Comité de Seguridad Corporativa, que se responsabiliza de alinear todas las actividades de la organización en materia de seguridad, cabiendo destacar los aspectos de seguridad patrimonial (seguridad de las instalaciones) y planes de continguencia.

Jerarquía:

flowchart TD
    A(Comité de Segurida de la Información) --> B(Responable de Segurida de la Información)
    B --> C(Administradores y Operadore)

¿Quién informa a Quién?

flowchart TD
    A(Administrador de Seguridad) --> B(Responsable del Sistema)
    A --> C(Responsable de Seguridad)
    B --> D(Responsable de la Información)
    B --> E(Responsable del Servicio)
    B --> C
    C --> D
    C --> E
    C --> F(Comité de Seguridad de la Información)
    F --> G(Comité de Seguridad Corporativa)

Artículo 12

Gestión de los riesgos

El Responsable de la Información es el propietario de los riesgos sobre la información.

El Responsable del Servicio es el propietario de los riesgos sobre los servicios.

El propietario de un riesgo debe ser informado de los riesgos que afectan a su propiedad y del riesgo residual al que está sometida.

Cuando un sistema de información entra en operación, los riesgos residuales deben haber sido aceptados formalmente por su correspondiente propietario.

Los responsable de monitorizar un riesgo son sus propietarios.

Guía CCN-STIC-801 y Anexo 1 & 2 ENS

CCN-STIC-801

Categorizar : Establecer los niveles de seguridad que se requieren.

  • Responsable de información manejada establece los nieveles requeridos. (Anexo I ENS y [Guía CCN-STIC 803](/assets/img/ens/CCN-STIC 803.pdf))

  • Responsable de sercicios prestados establece los niveles requeridos. (Anexo I ENS y Guía CCN-STIC 803)

  • En base a lo anterior se deduce la categoría del sistema de información (Anexo I ENS)

Anexo I ENS y [Guía CCN-STIC 803](/assets/img/ens/CCN-STIC 803.pdf) y [Anexo 1 universidades STIC 803](/assets/img/ens/Anexo 1 universidades STIC 803.pdf)

Seleccionar : Selecionar medidas de seguridad.

: Responsable de seguridad realiza el análisis de riesgos.

: Responsable de seguridad determina la Declaración de Aplicabilidad, teniendo en cuenta requisitos mínimos (Anexo 2 ENS) y medidas adicionales que se estimen oportunas.

Guía CCN-STIC-804

Implementar : Implementar dichas medidas de serguridad.

: Administrador de seguridad del sistema se encarga de aplicar las medidas acordadas ([Guía CCN STIC 804](/assets/img/ens/CCN-STIC 804.pdf))

Evaluar : Evaluar si se estan implementando correctamente las medidas

: Se evalúa el riesgo residual.

El riesgo residual es el riesgo que permanece aunque se haya decidido aplicar las medidas de seguridad. {: .prompt-info }

Autorizar : Autorizamos las medidas que se han decidido llevar a cabo para implementar la seguridad.

: Responsable de la Información acepta el riesgo residual sobre la información que le compete.

: Responsable del Servicio acepta el riesgo residual sobre los servicios que le competen.

: Puede ser necesario plan de mejora de la seguridad para atender los riesgos que no son aceptables. (Volver al paso 2)

Monitorizar : Administrador de Seguridad del Sistema (ASS) recopila información sobre el desempeño del sistema de información en materia de seguridad.

: Responsable de Seguridad monitoriza si el sistema de información se comporta dentro de los márgenes aceptados de riesgo.

: Responsables de la Información y de los Servicios son informados de desviaciones significativas del riesgo sobre los activos de los que son propietarios.

: Si desviación elevada → Responsable del Sistema puede acordar suspensión temporal del servicio hasta garantizar niveles aceptables de riesgo.

Resumen de fases

Buscador Guías CCN-STIC

resumen de fases ens

Graph View