Esquema Nacional de Seguridad (ENS)

Entidades locales

El Centro Criptológico Nacional brinda todo su apoyo para que las Entidades Locales dispongan de sistemas seguros para el ejercicio de sus competencias tanto para las Diputaciones, Cabildos, Consejos Insulares y los Ayuntamientos, sea cual sea su dimensión, con especial atención en conseguir una adecuación al ENS lo más posibilista y pragmática posible en aquellas entidades con dificultades para conseguirlo.

Abstract - Marco de Certificación en el ENS para Entidades locales

Las especiales características que enmarcan la actuación administrativa de las Entidades Locales más pequeñas y los limitados recursos hacen que, la adecuación al Esquema Nacional del Seguridad (ENS) y su ulterior Certificación constituyan obligaciones de difícil cumplimiento de manera individualizada. Por este motivo, parece necesario desarrollar acciones concretas, que contemplen mecanismos de adecuación e implantación multi-organismo, dirigidas a grupos homogéneos de dichas entidades, así como un Marco de Certificación Específico que contemple un procedimiento de auditoría y certificación que optimice los antedichos recursos.

Descargar

Diputación u Órgano equivalente como entidad de certificación del ENS

Pinche para ampliar

__ Itinerario de acciones del Marco de Certificación en el ENS para Entidades Locales

Itinerario de acciones del Marco de Certificación en el ENS para Entidades Locales

Pinche para ampliar

Puede consultar el detalle de cada una de las fases de aplicación del Marco de Certificación en el ENS para Entidades Locales (14) seleccionando el número en la parte superior.

1. Adecuación al ENS - Diputación u Órgano equivalente

Actividad

Adecuación de los sistemas de información de la Diputación u Órgano equivalente a lo dispuesto en el ENS (categoría BÁSICA):

Política de Seguridad de la Información.
Normativa Interna.
Procedimientos de Seguridad.
Desarrollo de las Fichas de Servicios (determinación de los niveles de seguridad para cada dimensión).
Categorización del sistema de información.
Obtención de la DA provisional.
Análisis de riesgos.
Obtención de la DA definitiva.
Implantación de las medidas de seguridad requeridas.

Soporte

CCN *
A determinar por la Diputación u Órgano equivalente

Documentación de apoyo:

Guía CCN-STIC 883
Anexo III CCN-STIC 883

* La mención al CCN comprende los recursos propios del CCN, más los asignados por el CCN a este tipo de proyectos.

2. Adecuación al ENS - Diputación u Órgano equivalente

Actividad

Obtención de la Certificación de Conformidad con el ENS (categoría BÁSICA) de los sistemas de información usados para la prestación de los servicios a las EE.LL. dependientes de la Diputación u Órgano equivalente.

Soporte

Entidad de Certificación acreditada por ENAC

3. Reconocimiento del Órgano de Auditoría Técnica

Actividad

Reconocimiento del Órgano de Auditoría Técnica con capacidades para la realización de Auditorías y la emisión de Certificados de Conformidad en el ENS (OAT-Diputación u Órgano equivalente).

Constitución del Órgano de Auditoría Técnica de la Diputación u Órgano Equivalente.
Inclusión de la actividad de auditoría de sistemas de información de las entidades dependientes entre las funciones de la Diputación u Órgano Equivalente.

Soporte

CCN

Documentación de apoyo:

Guía CCN-STIC 122

4. Infraestructura tecnológica EE.LL.

Actividad

Determinación de la Infraestructura Tecnológica Similar en las EE.LL.

Soporte

A determinar

5. Selección de las EE.LL. del MCE-ENS

Actividad

Selección de las EE.LL. dependientes que, en una primera fase, compondrán el Marco de Certificación Específico del ENS (MCE-ENS).

Soporte

A determinar

6. Selección muestra representativa (MR)

Actividad

Selección de las EE.LL. adheridas al MCE-ENS que formarán parte de la muestra representativa (MR).

Soporte

A determinar

7. Creación COMSEG

Actividad

Creación del Comité de Seguridad de la Diputación u órgano equivalente (con la participación de las EE.LL. dependientes que se determinen)

Soporte

Guía CCN-STIC 883
Anexo I, III CCN-STIC 883

8. Plan de Adecuación Conjunto

Actividad

Desarrollo y aprobación del Plan de Adecuación Conjunto, incluyendo:

Política de Seguridad de la Información.
Normativa Interna.
Procedimientos de Seguridad.
Desarrollo de las Fichas de Servicios (determinación de los niveles de seguridad para cada dimensión).
Categorización del sistema de información.
Obtención de la DA provisional.
Análisis de riesgos.
Obtención de la DA definitiva.

Soporte

CCN

Documentación de apoyo:

Guía CCN-STIC 883
Anexo I CCN-STIC 883

9. Adecuación al ENS de la MR

Actividad

Implantación de las medidas de seguridad del Anexo II del ENS (Marco Operacional y Medidas de Protección) en las EELL de la MR.

Soporte

A determinar

Documentación de apoyo:

Guía CCN-STIC 883A
Guía CCN-STIC 804

10. Auditoría interna

Actividad

Desarrollo de una auditoría interna a las EE.LL. de la MR

Soporte

OAT-Diputación u Órgano equivalente

Documentación de apoyo:

Guía CCN-STIC 883A
Guías CCN-STIC 303, 411, 802, 808

11. Auditoría de Certificación

Actividad

Desarrollo de las Auditorías de Certificación a las EE.LL. de la MR por parte de una (o varias) Entidad(es) de Certificación del ENS acreditadas por ENAC.

Soporte

Entidad(es) Certificación del ENS

12. Expedición de las APC

Actividad

Concesión de la Aprobación Provisional de Conformidad (APC) a las EE.LL. del MCE-ENS

Concesión del Distintivo APC.

Publicación de la concesión en la página Web del CCN.

(En este momento arranca el plazo de 2 años para obtener la Certificación de Conformidad con el ENS)

Soporte

CCN

13. Adecuación definitiva de las EE.LL. adherida al Marco de Certificación

Actividad

Implantación de las medidas de seguridad del Anexo II del ENS (Marco Operacional y Medidas de Protección) en las EELL del resto del MCE-ENS

Soporte

A determinar

Documentación de apoyo:

Guía CCN-STIC 883A
Guía CCN-STIC 804

14. Auditoría(s) de Certificación

Actividad

Desarrollo de las Auditorías de Certificación a las EE.LL. de la MCE-ENS por parte del Órgano de Auditoría Técnica de la Diputación u organismo equivalente.

(Se dispone de dos años para ello)

Soporte

OAT-Diputación u Órgano equivalente

Documentación de apoyo:

Guías CCN-STIC 122, IC-01, 303, 411, 802, 808

Ciclo de mejora continua de la seguridad

Pinche para ampliar

Las actividades 13 y 14 comprenden el Ciclo de mejora continua de la seguridad, y abarcan las siguientes tareas por parte de la Oficina de Seguridad-vSOC y el Órgano de Auditoría Técnica (OAT).

__ Documentos de interés

Aproximación al marco de gobernanza de la ciberseguridad

Prontuario de ciberseguridad para entidades locales

Marco de Certificación ENS para Entidades Locales. Proceso de verificación de conformidad

Tomo 1 - Guía estratégica en seguridad para entidades locales

Tomo 2 - Guía para entidades locales de menos de 2.000 habitantes

CCN-STIC-883 Guía de implantación del ENS para Entidades Locales

La Nueva Guía 883 proporciona una hoja de ruta para facilitar la Implantación del Esquema Nacional de Seguridad a las EELL. Se presentan Planes de Adecuación así como el conjunto de medidas de seguridad del Anexo II del ENS que son de aplicación, adaptadas y asociadas a los distintos rangos de población (Perfiles de Cumplimiento Específicos). Por primera vez se incluye a las Diputaciones.

Esta guía sustituye a la anterior CCN-STIC 883 y al Anexo II de la Guía CCN-STIC 803 que presentaba un ejemplo de catálogo de activos y su valoración para EELL.

Descargar

Anexos guía CCN-STIC-883