Políticas de Ciberseguridad

Políticas de Ciberseguridad.

El Esquema Nacional de Seguridad (ENS) tiene por objeto establecer la política de seguridad en la utilización de medios electrónicos. Está constituido por principios básicos y requisitos mínimos que permitan una protección adecuada de la información.

Dicho esquema se regula en Real Decreto 3/2010, de 8 de enero, y es establecido en el artículo 42 de la Ley 11/2007, de 22 de junio.

 

El ámbito de aplicación del Esquema Nacional de Seguridad es el establecido en el artículo 2 de la Ley 11/2007:

  • A la Administración General del Estado, Administraciones de las Comunidades Autónomas y las Entidades que integran la Administración Local, así como las entidades de derecho público vinculadas o dependientes de las mismas.

  • A los ciudadanos en sus relaciones con las Administraciones Públicas.

  • A las relaciones entre las distintas Administraciones Públicas.

 

Sus elementos principales son:

  • Los principios básicos a ser tenidos en cuenta en las decisiones en materia de seguridad.

  • Los requisitos mínimos que permitan una protección adecuada de la información.

  • La categorización de los sistemas, en nivel Alto Medio o Bajo, para la adopción de medidas de seguridad proporcionales a la naturaleza de la información, del sistema y de los servicios a proteger y a los riesgos a que están expuestos.

  • Las medidas de seguridad organizadas en: Marco Organizativo, Marco Operacional y Medidas de protección

  • La auditoría de la seguridad que verifique el cumplimiento del Esquema Nacional de Seguridad

 

Principios básicos

  • Seguridad integral.

  • Gestión de riesgos.

  • Prevención, reacción y recuperación.

  • Líneas de defensa.

  • Reevaluación periódica.

  • Función diferenciada.

Requisitos mínimos

  • Organización e implantación del proceso de seguridad.

  • Análisis y gestión de los riesgos.

  • Gestión de personal.

  • Profesionalidad.

  • Autorización y control de los accesos.

  • Protección de las instalaciones.

  • Adquisición de productos.

  • Seguridad por defecto.

  • Integridad y actualización del sistema.

  • Protección de la información almacenada y en tránsito.

  • Prevención ante otros sistemas de información interconectados.

  • Registro de actividad.

  • Incidentes de seguridad.

  • Continuidad de la actividad.

  • Mejora continua del proceso de seguridad.

Categorización de los sistemas

Se definen tres categorías: Básica, Media y Alta y cinco dimensiones de seguridad Disponibilidad, Autenticidad, Integridad, Confidencialidad, Trazabilidad.

  • Un sistema de información será de categoría ALTA si alguna de sus dimensiones de seguridad alcanza el nivel ALTO.

  • Un sistema de información será de categoría MEDIA si alguna de sus dimensiones de seguridad alcanza el nivel MEDIO, y ninguna alcanza un nivel superior.

  • Un sistema de información será de categoría BÁSICA si alguna de sus dimensiones de seguridad alcanza el nivel BAJO, y ninguna alcanza un nivel superior.



Scroll to Top

Utilizamos cookies para poder ofrecerte una mejor experiencia de navegación en nuestra Web. Si continúas la navegación, asumimos que estas de acuerdo. Más Información

Los ajustes de cookies en esta web están configurados para «permitir las cookies» y ofrecerte la mejor experiencia de navegación posible. Si sigues usando esta web sin cambiar tus ajustes de cookies o haces clic en «Aceptar», estarás dando tu consentimiento a esto.

Cerrar