La Instrucción Técnica de Seguridad de Auditoría de la Seguridad establece las condiciones para la realización de las auditorías, ordinarias o extraordinarias, previstas en el artículo 34 del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica (ENS)
Las auditorías deben realizarse con el fin de determinar el grado de conformidad con el ENS y debe permitir a sus responsables adoptar las medidas oportunas para subsanar las deficiencias encontradas y, en su caso, posibilitar la obtención de la correspondiente Certificación de Conformidad.
Cabe recordar que para obtener esta Certificación, los sistemas de información de categoría MEDIA o ALTA precisarán superar una Auditoría de Seguridad, al menos cada dos años. Asimismo, los informes de auditoría emitidos podrán ser requeridos por el CCN-CERT ante cualquier agresión recibida en los sistemas de información de las Administraciones Públicas (artículo 37 del ENS).
Para el desarrollo de las auditorías, la Resolución ahora publicada señala que deberán realizarse conforme a la propia ITS y, cuando corresponda, a las normas nacionales e internacionales sobre auditorías, entre ellas las Guías CCN-STIC 802 Guía de Auditoría , CCN-STIC 804 Guía de Implantación y CCN-STIC 808 Verificación del cumplimiento de las medidas en el ENS .
En esta ITS, tras el objeto y el ámbito de aplicación, se tratan cuestiones tales como el propósito de la auditoría de la seguridad, obligatoriedad y normativa reguladora; la definición del alcance y objetivo de la auditoría de la seguridad; la ejecución de la auditoría de la seguridad; el informe de auditoría; las entidades Auditoras del Sector Público; y en una disposición adicional, cuestiones relativas a datos personales.
El ENS prevé, en su artículo 29, apartado 2, las instrucciones técnicas de seguridad como elementos esenciales para lograr una adecuada, homogénea y coherente implantación de los requisitos y medidas recogidos en el mismo. Dichas instrucciones técnicas de seguridad regulan aspectos concretos que la realidad cotidiana ha mostrado especialmente significativos, tales como: Informe del Estado de la Seguridad; Notificación de Incidentes de Seguridad; Auditoría de la Seguridad; Conformidad con el Esquema Nacional de Seguridad; Adquisición de Productos de Seguridad; Criptología de empleo en el Esquema Nacional de Seguridad; Interconexión en el Esquema Nacional de Seguridad y Requisitos de Seguridad en entornos externalizados.