O Centro Criptolóxico Nacional (CCN), adscrito a o Centro Nacional de Intelixencia (CNI), actualizou o seu Guía CCN-CERT IC-01/19 ENS: Criterios Xerais de Auditoría e Certificación , un documento que se atopa dispoñible para a súa consulta na parte pública deste portal,
Este informe pretende servir de referencia e establecer os criterios xerais para a Auditoría e Certificación dos sistemas de información do ámbito de aplicación do Esquema Nacional de Seguridade, especialmente os dirixidos ás Entidades de Certificación do ENS.
Entre os principais puntos considerados no documento, o cal se integra dentro dos informes elaborados polo Consello de Certificación do ENS (CoCENS), destacan os seguintes:
- En relación cos recursos da Entidade de Certificación (Epígrafe 3.3). Establécense as condicións a demostrar por un Auditor Xefe.
- En relación coa obrigatoriedade do uso de Guíalas CCN-STIC (Epígrafe 3.5). Establécese que as Guías CCN-STIC deben considerarse como “Mellores Prácticas” podendo ser utilizadas como referentes específicos na actuación xudicial ou arbitral. Neste sentido, a inadecuación total ou parcial do sistema de información avaliado ao disposto en Guíaa Guía CCN-STIC que resultase de aplicación en cada caso, podería ser cualificada polo Equipo Auditor como unha Observación, Non Conformidade Menor ou Non Conformidade Maior, atendendo ao impacto que o seu incumprimento puidese ter na seguridade do este sistema de información.
- En relación con el tiempo de auditoría (Epígrafe 3.6). El número de jornadas puede ser objeto de incremento/decremento atendiendo a diversos factores que no podrán suponer una variación mayor de un 20% respecto al cálculo inicial de jornadas de auditoría. Ante la determinación de tiempos de auditoría anormales, el Centro Criptológico Nacional, en el ejercicio de sus competencias, podrá examinar las circunstancias argumentadas por la Entidad de Certificación para tal asignación, adoptando las medidas que, en derecho, procedan.
- Epígrafe 3.7 En relación co desenvolvemento da auditoría, a cualificación das desviacións achadas, o Informe de Auditoría e o Plan de Accións Correctivas. O Centro Criptolóxico Nacional resérvase o dereito de acompañar ás Entidades de Certificación en todas aquelas auditorías que estas realicen.
- Resumo dos achados de auditoría (Epígrafe 3.8). O CCN-CERT pon a disposición das Entidades de Certificación unha funcionalidade da solución AMPARO que permite a provisión de datos, favorecendo a automatización e eficiencia do proceso de face á explotación da información proporcionada.
- Auditorías de certificación realizadas en modo remoto (Epígrafe 3.9). Será posible realizar inspecciones en modo remoto durante las Auditorías de Certificación del ENS (iniciales o de renovación, sobre clientes conocidos o desconocidos), usando medios telemáticos (como, por ejemplo, videoconferencia y compartición de escritorio remoto), siempre que se considere dicha actividad como viable por parte de la Entidad de Certificación y acorde con los procedimientos de auditoria establecidos, habiendo previamente analizado el riesgo derivado de evaluar telemáticamente a su cliente.
- En relación coa posta a disposición do Informe de Auditoría (Epígrafe 3.12). Entendendo que os Informes de Autoevaluación ou Auditoría poderían conter información ou datos sensibles, de natureza persoal, comercial ou institucional e/ou protexidos por distintas regulacións, a facultade que a ITS de Conformidade co ENS confire ás entidades públicas usuarias de solucións ou servizos provistos ou prestados por organizacións do sector privado titulares dunha Declaración ou Certificación de Conformidade para solicitar a tales operadores este Informes de Autoevaluación ou Auditoría, se instrumentalizará dirixindo tal solicitude e a súa necesidade á conta de correo electrónico cocens@ccn.cni.es do Centro Criptolóxico Nacional.
- En relación co período de validez das Certificacións de Conformidade co ENS en situacións excepcionais (Epígrafe 3.13). O Centro Criptolóxico Nacional poderá, no exercicio das súas competencias, prolongar a vixencia dos Certificados de Conformidade mediante a emisión dun comunicado cando se produza unha situación excepcional, como a provocada pola Covid-19, que esixa a apertura dunha paréntese temporal na relación entre as Entidades de Certificación e os seus clientes.
- Aprobación Provisional de Conformidade (Epígrafe 3.15). O Centro Criptolóxico Nacional, a pedimento da Entidade de Certificación, poderá emitir unha Aprobación Provisional de Conformidade (APC) como resultado dun proceso de certificación no que concorran, simultaneamente, os seguintes requisitos:
- Persiga a emisión do primeiro Certificado de Conformidade.
- O Plan de Accións Correctivas, por razóns adecuadas e razoables, require un período de execución superior a tres (3) meses.
- Non poderá ser aplicado cando se detectaron Non Conformidades Maiores.
Só resultará de aplicación a sistemas de información con categorías Básica ou Media.