ENS - Esquema Nacional de Seguridad
CAPÍTULO I Disposiciones generales
Artículo 1. Objeto.
Artículo 2. Definiciones y estándares.
Artículo 3. Ámbito de aplicación.
CAPÍTULO II Principios básicos
Artículo 4. Principios básicos del Esquema Nacional de Seguridad.
Artículo 5. La seguridad como un proceso integral.
Artículo 6. Gestión de la seguridad basada en los riesgos.
Artículo 7. Prevención, reacción y recuperación.
Artículo 8. Líneas de defensa.
Artículo 9. Reevaluación periódica.
Artículo 10. La seguridad como función diferenciada.
CAPÍTULO III Requisitos mínimos
Artículo 11. Requisitos mínimos de seguridad.
Artículo 12. Organización e implantación del proceso de seguridad.
Artículo 13. Análisis y gestión de los riesgos.
Artículo 14. Gestión de personal.
Artículo 15. Profesionalidad.
Artículo 16. Autorización y control de los accesos.
Artículo 17. Protección de las instalaciones.
Artículo 18. Adquisición de productos de seguridad.
Artículo 19. Seguridad por defecto.
Artículo 20. Integridad y actualización del sistema.
Artículo 21. Protección de información almacenada y en tránsito.
Artículo 22. Prevención ante otros sistemas de información interconectados.
Artículo 23. Registro de actividad.
Artículo 24. Incidentes de seguridad.
Artículo 25. Continuidad de la actividad.
Artículo 26. Mejora continua del proceso de seguridad.
Artículo 27. Cumplimiento de requisitos mínimos.
Artículo 28. Infraestructuras y servicios comunes.
Artículo 29. Instrucciones técnicas de seguridad y guías de seguridad.
Artículo 30. Sistemas de información no afectados.
CAPÍTULO IV Comunicaciones electrónicas
Artículo 31. Condiciones técnicas de seguridad de las comunicaciones electrónicas.
Artículo 32. Requerimientos técnicos de notificaciones y publicaciones electrónicas.
Artículo 33. Firma electrónica.
CAPÍTULO V Auditoría de la seguridad
Artículo 34. Auditoría de la seguridad.
CAPITULO VI Estado de seguridad de los sistemas
Artículo 35. Informe del estado de la seguridad.
CAPÍTULO VII Respuesta a incidentes de seguridad
Artículo 36. Capacidad de respuesta a incidentes de seguridad de la información.
Artículo 37. Prestación de servicios de respuesta a incidentes de seguridad a las Administraciones públicas.
CAPÍTULO VIII Normas de conformidad
Artículo 38. Sedes y registros electrónicos.
Artículo 39. Ciclo de vida de servicios y sistemas.
Artículo 40. Mecanismos de control.
Artículo 41. Publicación de conformidad.
CAPÍTULO IX Actualización
Artículo 42. Actualización permanente.
CAPÍTULO X Categorización de los sistemas de información
Artículo 43. Categorías.
Artículo 44. Facultades.
Disposición adicional primera. Formación.
Disposición adicional segunda. Comité de Seguridad de la Información de las Administraciones Públicas.
Disposición adicional tercera. Modificación del Reglamento de desarrollo de la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal, aprobado por el Real Decreto 1720/2007, de 21 de di...
Disposición adicional cuarta. Desarrollo del Esquema Nacional de Seguridad.
Disposición transitoria. Adecuación de sistemas.
Disposición derogatoria única.
Disposición final primera. Título habilitante.
Disposición final segunda. Desarrollo normativo.
Disposición final tercera. Entrada en vigor.
ANEXO I Categorías de los sistemas
1. Fundamentos para la determinación de la categoría de un sistema
2. Dimensiones de la seguridad
3. Determinación del nivel requerido en una dimensión de seguridad
4. Determinación de la categoría de un sistema de información
5. Secuencia de actuaciones para determinar la categoría de un sistema
ANEXO II Medidas de seguridad
1 Disposiciones generales
2 Selección de medidas de seguridad
3 Marco organizativo [org]
3.1 Política de seguridad [org.1]
3.2 Normativa de seguridad [org.2]
3.3 Procedimientos de seguridad [org.3]
3.4 Proceso de autorización [org.4]
4 Marco operacional [op]
4.1 Planificación [op.pl]
4.1.1 Análisis de riesgos [op.pl.1]
4.1.2 Arquitectura de seguridad [op.pl.2]
4.1.3 Adquisición de nuevos componentes [op.pl.3]
4.1.4 Dimensionamiento / gestión de capacidades [op.pl.4]
4.1.5 Componentes certificados [op.pl.5]
4.2 Control de acceso [op.acc]
4.2.1 Identificación [op.acc.1]
4.2.2 Requisitos de acceso [op.acc.2]
4.2.3 Segregación de funciones y tareas [op.acc.3]
4.2.4 Proceso de gestión de derechos de acceso [op.acc.4]
4.2.5 Mecanismo de autenticación [op.acc.5]
4.2.6 Acceso local [op.acc.6]
4.2.7 Acceso remoto [op.acc.7]
4.3 Explotación [op.exp]
4.3.1 Inventario de activos [op.exp.1]
4.3.2 Configuración de seguridad [op.exp.2]
4.3.3 Gestión de la configuración [op.exp.3]
4.3.4 Mantenimiento [op.exp.4]
4.3.5 Gestión de cambios [op.exp.5]
4.3.6 Protección frente a código dañino [op.exp.6]
4.3.7 Gestión de incidentes [op.exp.7]
4.3.8 Registro de la actividad de los usuarios [op.exp.8]
4.3.9 Registro de la gestión de incidentes [op.exp.9]
4.3.10 Protección de los registros de actividad [op.exp.10]
4.3.11 Protección de claves criptográficas [op.exp.11]
4.4 Servicios externos [op.ext]
4.4.1 Contratación y acuerdos de nivel de servicio [op.ext.1]
4.4.2 Gestión diaria [op.ext.2]
4.4.3 Medios alternativos [op.ext.9]
4.5 Continuidad del servicio [op.cont]
4.5.1 Análisis de impacto [op.cont.1]
4.5.2 Plan de continuidad [op.cont.2]
4.5.3 Pruebas periódicas [op.cont.3]
4.6 Monitorización del sistema [op.mon]
4.6.1 Detección de intrusión [op.mon.1]
4.6.2 Sistema de métricas [op.mon.2]
5 Medidas de protección [mp]
5.1 Protección de las instalaciones e infraestructuras [mp.if]
5.1.1 Áreas separadas y con control de acceso [mp.if.1]
5.1.2 Identificación de las personas [mp.if.2]
5.1.3 Acondicionamiento de los locales [mp.if.3]
5.1.4 Energía eléctrica [mp.if.4]
5.1.5 Protección frente a incendios [mp.if.5]
5.1.6 Protección frente a inundaciones [mp.if.6]
5.1.7 Registro de entrada y salida de equipamiento [mp.if.7]
5.1.8 Instalaciones alternativas [mp.if.9]
5.2 Gestión del personal [mp.per]
5.2.1 Caracterización del puesto de trabajo [mp.per.1]
5.2.2 Deberes y obligaciones [mp.per.2]
5.2.3 Concienciación [mp.per.3]
5.2.4 Formación [mp.per.4]
5.2.5 Personal alternativo [mp.per.9]
5.3 Protección de los equipos [mp.eq]
5.3.1 Puesto de trabajo despejado [mp.eq.1]
5.3.2 Bloqueo de puesto de trabajo [mp.eq.2]
5.3.3 Protección de portátiles [mp.eq.3]
5.3.4 Medios alternativos [mp.eq.9]
5.4 Protección de las comunicaciones [mp.com]
5.4.1 Perímetro seguro [mp.com.1]
5.4.2 Protección de la confidencialidad [mp.com.2]
5.4.3 Protección de la autenticidad y de la integridad [mp.com.3]
5.4.4 Segregación de redes [mp.com.4]
5.4.5 Medios alternativos [mp.com.9]
5.5 Protección de los soportes de información [mp.si]
5.5.1 Etiquetado [mp.si.1]
5.5.2 Criptografía.[mp.si.2]
5.5.3 Custodia [mp.si.3]
5.5.4 Transporte [mp.si.4]
5.5.5 Borrado y destrucción [mp.si.5]
5.6 Protección de las aplicaciones informáticas [mp.sw]
5.6.1 Desarrollo de aplicaciones [mp.sw.1]
5.6.2 Aceptación y puesta en servicio [mp.sw.2]
5.7 Protección de la información [mp.info]
5.7.1 Datos de carácter personal [mp.info.1]
5.7.2 Calificación de la información [mp.info.2]
5.7.3 Cifrado de la información [mp.info.3]
5.7.4 Firma electrónica [mp.info.4]
5.7.5 Sellos de tiempo [mp.info.5]
5.7.6 Limpieza de documentos [mp.info.6]
5.7.7 Copias de seguridad (backup) [mp.info.9]
5.8 Protección de los servicios [mp.s]
5.8.1 Protección del correo electrónico (e-mail) [mp.s.1]
5.8.2 Protección de servicios y aplicaciones web [mp.s.2]
5.8.3 Protección frente a la denegación de servicio [mp.s.8]
5.8.4 Medios alternativos [mp.s.9]
6. Desarrollo y complemento de las medidas de seguridad
7. Interpretación
ANEXO III AUDITORÍA DE LA SEGURIDAD
1. Objeto de la auditoría.
2. Niveles de auditoría.
3. Interpretación.
ANEXO IV GLOSARIO
Acrónimos
ANEXO V MODELO DE CLÁUSULA ADMINISTRATIVA PARTICULAR
Disposición transitoria única. Adecuación de sistemas.
Disposición final única. Entrada en vigor.