FRAMEWORK · ENS

ENS — Hiszpański Narodowy Schemat Bezpieczeństwa.
RD 311/2022. Trzy kategorie pokryte.

Obowiązkowe dla hiszpańskiej administracji publicznej i krytycznych dostawców. Itamite pokrywa rodziny mp.eq (ochrona sprzętu), op.exp (eksploatacja), mp.com (komunikacja) w Kategoriach Podstawowej, Średniej i Wysokiej. Podpisany raport dla CCN-CERT i organu certyfikującego.

Zobacz cennik Demo ENS

Kto podlega ENS

ENS stosuje się do: Generalnej Administracji Państwa hiszpańskiego, Wspólnot Autonomicznych, Jednostek Lokalnych, organów publicznych i podmiotów prawa publicznego. Dostawców administracji publicznej świadczących usługi lub zarządzających informacjami sektora publicznego (większość firmowego IT). Regulowanego sektora prywatnego w sektorach, gdzie inna norma odsyła do ENS (np. NIS2 może powołać się na ENS dla podmiotów hiszpańskich).

Kategoria jest określana przez analizę wpływu na wymiarach C-I-D-A-T (poufność, integralność, dostępność, autentyczność, śledzenie): Podstawowa (niski wpływ we wszystkich), Średnia (średni wpływ w niektórych), Wysoka (wysoki wpływ w niektórych).

RODZINY KONTROLI

Co Itamite pokrywa z Aneksu II ENS

mp.eq — Ochrona sprzętu

mp.eq.1 Uporządkowane stanowisko pracy. mp.eq.2 Blokada stanowiska pracy (blokada ekranu). mp.eq.3 Ochrona laptopów (szyfrowanie). mp.eq.4 Inne urządzenia podłączone do sieci.

op.exp — Eksploatacja

op.exp.1 Inwentaryzacja zasobów. op.exp.2 Konfiguracja bezpieczeństwa. op.exp.3 Zarządzanie konfiguracją. op.exp.4 Konserwacja (łatki). op.exp.5 Zarządzanie zmianami. op.exp.6 Ochrona przed złośliwym kodem (AV). op.exp.7 Zarządzanie incydentami. op.exp.8-11 Dzienniki i ochrona.

mp.com — Ochrona komunikacji

mp.com.1 Bezpieczny perymetr (firewall). mp.com.2 Ochrona poufności (szyfrowanie w tranzycie). mp.com.3 Ochrona autentyczności/integralności. mp.com.4 Segregacja sieci.

op.acc — Kontrola dostępu

op.acc.1 Identyfikacja. op.acc.2 Wymagania dostępu. op.acc.3 Segregacja obowiązków. op.acc.5 Mechanizm uwierzytelniania. op.acc.6 Dostęp lokalny. op.acc.7 Dostęp zdalny.

op.mon — Monitorowanie systemu

op.mon.1 Wykrywanie włamań (z integracją EDR). op.mon.2 System metryk (zmierzona postawa). op.mon.3 Nadzór (ciągłe alerty).

mp.s — Ochrona usług

mp.s.1 Ochrona przed odmową usługi. mp.s.2 Ochrona serwerów. mp.s.8 Ochrona publikowanych informacji.

PROCES CERTYFIKACJI

Jak uzyskać zgodność ENS

01

Kategoryzacja systemu

Analiza wpływu C-I-D-A-T → określasz kategorię (Podstawowa/Średnia/Wysoka). Itamite pomaga z danymi inwentaryzacji, ale formalna kategoryzacja jest wykonywana przez Twojego CISO lub konsultanta.

02

Analiza ryzyka

Metodologia MAGERIT v3 (standard hiszpańskiej administracji publicznej) lub ISO 27005. Itamite dostarcza pełną inwentaryzację i dane postawy jako wkład. Metodologię prowadzi Twój zespół lub konsultant.

03

Wdrożenie środków

Stosujesz kontrole z Aneksu II zgodnie ze swoją kategorią. Itamite pokrywa środki techniczne mp.eq, op.exp, mp.com automatycznie. Środki organizacyjne (polityki, szkolenia, zarządzanie dostawcami) to praca manualna.

04

Audyt zgodności

Dla Kategorii Średniej lub Wysokiej: obowiązkowy audyt przez akredytowany podmiot (odnowienie co dwa lata). Raport Itamite jest dowodem technicznym, który przekazujesz audytorowi dla pokrytych kontroli. Dla Podstawowej: deklaracja zgodności podpisana przez odpowiedzialnego.

05

Wyróżnienie i rejestr

Po zgodności: otrzymujesz odpowiednie wyróżnienie ENS i jest ono rejestrowane w CCN-CERT. Odnowienie co 2 lata z pełnym audytem. Ciągła konserwacja z corocznymi przeglądami.

CZĘSTO ZADAWANE PYTANIA

Typowe pytania o ENS

Czy moja prywatna firma jest zobowiązana do ENS?
Jeśli świadczysz usługi hiszpańskiej administracji publicznej, które wymagają dostępu do ich systemów lub informacji, tak. Administracja musi tego wymagać w umowie. Jeśli Twój sektor jest w NIS2 z odniesieniem do ENS, również. Dla czystego sektora prywatnego, ENS jest dobrowolne, ale daje przewagę konkurencyjną w przetargach publicznych.
Jaką kategorię powinienem certyfikować?
Określa to analiza wpływu Twojego systemu. Dla typowej lokalnej administracji publicznej z danymi niesklasyfikowanymi: Podstawowa. Dla autonomicznej lub państwowej administracji publicznej z wrażliwymi danymi osobowymi: Średnia. Dla infrastruktury krytycznej, obronności, regionalnej ochrony zdrowia: Wysoka. Twój inspektor ochrony danych lub konsultant Cię ukierunkuje.
Czy Itrion Software jest certyfikowana w ENS?
Tak, Kategoria Średnia certyfikowana (europejski hosting IONOS jest również w ENS Wysoka). Pracujemy nad wewnętrzną Kategorią Wysoką. Dokumentacja zgodności dostępna na żądanie dla klientów administracji publicznej.
Ile czasu zajmuje uzyskanie zgodności ENS Średnia z Itamite?
Typowy czas całkowity: 3-6 miesięcy. Część techniczna (środki Itamite) jest gotowa w 4-6 tygodni po wdrożeniu agenta. Część organizacyjna (polityki, analiza ryzyka MAGERIT, plan dostosowania) i audyt przez akredytowany podmiot zajmują pozostały czas.
Jakie podmioty akredytują ENS?
ENAC prowadzi oficjalną listę: AENOR, Bureau Veritas, DNV, SGS, TÜV, LEET Security, Audisec, BDO, między innymi. Poproś o oferty od kilku, aby porównać. Typowy koszt audytu początkowego: 8.000-15.000 € + 4.000-7.000 € odnowienie biennale.

Administracja publiczna lub krytyczny dostawca potrzebujący ENS?

Demo dostosowane do Twojej kategorii z prawdziwym przypadkiem administracji publicznej. Pokazujemy Ci plan dostosowania.

Zobacz cennik Poproś o demo ENS