accesskey_mod_content

Publicada en el BOE la Instrucció Tècnica de Seguretat d'Auditoria de la Seguretat dels Sistemes d'Informació

  • Escoltar
  • Imprimir PDF
  • Compartir

"Notícia disponible únicament amb finalitats històriques i d'hemeroteca. La informació i enllaços mostrats es corresponen amb els quals estaven operatius a la data de la seva publicació. No es garanteix que continuïn actius actualment".

04 abril 2018

Aquesta nova ITS s'uneix a les ja publicades sobre informe de l'estat de la seguretat i conformitat amb l'ENS.

La Instrucció Tècnica de Seguretat d'Auditoria de la Seguretat(Obre en nova finestra) estableix les condicions per a la realització de les auditories, ordinàries o extraordinàries, previstes en l'article 34 del Reial decret 3/2010, de 8 de gener, pel qual es regula l'Esquema Nacional de Seguretat en l'àmbit de l'Administració Electrònica (ENS)(Obre en nova finestra)

Les auditories han de realitzar-se amb la finalitat de determinar el grau de conformitat amb l'ENS i ha de permetre als seus responsables adoptar les mesures oportunes per esmenar les deficiències oposades i, si escau, possibilitar l'obtenció de la corresponent Certificació de Conformitat.

cal recordar que per obtenir aquesta Certificació, els sistemes d'informació de categoria MITJANA o ALTA precisaran superar una Auditoria de Seguretat, almenys cada dos anys. Així mateix, els informes d'auditoria emesos podran ser requerits pel CCN-CERT(Obre en nova finestra) davant qualsevol agressió rebuda en els sistemes d'informació de les Administracions Públiques (article 37 de l'ENS).

Per al desenvolupament de les auditories, la Resolució ara publicada assenyala que hauran de realitzar-se conforme a la pròpia ITS i, quan correspongui, a les normes nacionals i internacionals sobre auditories, entre elles les Guies CCN-STIC 802 Guia d'Auditoria(Obre en nova finestra) , CCN-STIC 804 Guia d'Implantació(Obre en nova finestra) i CCN-STIC 808 Verificació del compliment de les mesures en l'ENS(Obre en nova finestra) .

En aquesta ITS, després de l'objecte i l'àmbit d'aplicació, es tracten qüestions tals com el propòsit de l'auditoria de la seguretat, obligatorietat i normativa reguladora; la definició de l'abast i objectiu de l'auditoria de la seguretat; l'execució de l'auditoria de la seguretat; l'informe d'auditoria; les entitats Auditores del Sector Públic; i en una disposició addicional, qüestions relatives a dades personals.

L'ENS preveges, en el seu article 29, apartat 2, les instruccions tècniques de seguretat(Obre en nova finestra) com a elements essencials per aconseguir una adequada, homogènia i coherent implantació dels requisits i mesures recollits en el mateix. Aquestes instruccions tècniques de seguretat regulen aspectes concrets que la realitat quotidiana ha mostrat especialment significatius, tals com: Informe de l'Estat de la Seguretat; Notificació d'Incidents de Seguretat; Auditoria de la Seguretat; Conformitat amb l'Esquema Nacional de Seguretat; Adquisició de Productes de Seguretat; Criptologia d'ocupació en l'Esquema Nacional de Seguretat; Interconnexió en l'Esquema Nacional de Seguretat i Requisits de Seguretat en entorns externalitzats.

  • Seguretat i Protecció de Dades
  • Interoperabilitat i Normalització