accesskey_mod_content

Esquema Nacional de Seguridade: criterios xerais de auditoría e certificación

  • Escoitar
  • Copiar
  • Imprimir PDF
  • Compartir

"Noticia dispoñible unicamente con fins históricos e de hemeroteca. A información e ligazóns mostradas correspóndense cos que estaban operativos á data da súa publicación. Non se garante que continúen activos actualmente".

01 setembro 2020

El obxecto de o Informe CCN-CERT IC-01/19 é servir de referencia e establecer os criterios xerais para a Auditoría e Certificación dos sistemas de información do ámbito de aplicación do Esquema Nacional de Seguridade.

O Centro Criptolóxico Nacional(Abre en nova xanela) (CCN), adscrito a o Centro Nacional de Intelixencia (CNI), actualizou o seu Guía CCN-CERT IC-01/19 ENS: Criterios Xerais de Auditoría e Certificación(Abre en nova xanela) , un documento que se atopa dispoñible para a súa consulta na parte pública deste portal,

Este informe pretende servir de referencia e establecer os criterios xerais para a Auditoría e Certificación dos sistemas de información do ámbito de aplicación do Esquema Nacional de Seguridade, especialmente os dirixidos ás Entidades de Certificación do ENS.

Entre os principais puntos considerados no documento, o cal se integra dentro dos informes elaborados polo Consello de Certificación do ENS (CoCENS), destacan os seguintes:

  • En relación cos recursos da Entidade de Certificación (Epígrafe 3.3). Se establecen as condicións a demostrar por un Auditor Jefe.
  • En relación coa obrigatoriedade do uso de Guíalas CCN-STIC (Epígrafe 3.5). Se establece que as Guías CCN-STIC deben considerarse como “Mejores Prácticas” podendo ser utilizadas como referentes específicos na actuación xudicial ou arbitral. Neste sentido, a inadecuación total ou parcial do sistema de información avaliado ao disposto en Guíaa Guía CCN-STIC(Abre en nova xanela) que resultase de aplicación en cada caso, podería ser cualificada polo Equipo Auditor como unha Observación, No Conformidad Menor ou No Conformidad Mayor, atendendo ao impacto que o seu incumprimento puidese ter na seguridade do este sistema de información.
  • En relación co tempo de auditoría (Epígrafe 3.6). O número de xornadas pode ser obxecto de incremento/decremento atendendo a diversos factores que non poderán supor unha variación maior dun 20% respecto ao cálculo inicial de xornadas de auditoría. Ante a determinación de tempos de auditoría anormais, o Centro Criptolóxico Nacional, no exercicio das súas competencias, poderá examinar as circunstancias argumentadas pola Entidade de Certificación para tal asignación, adoptando as medidas que, en dereito, procedan.
  • Epígrafe 3.7 En relación co desenvolvemento da auditoría, a cualificación das desviacións achadas, o Informe de Auditoría e o Plan de Accións Correctivas. O Centro Criptolóxico Nacional resérvase o dereito de acompañar ás Entidades de Certificación en todas aquelas auditorías que estas realicen.
  • Resumo dos achados de auditoría (Epígrafe 3.8). O CCN-CERT pon a disposición das Entidades de Certificación unha funcionalidade da solución AMPARO que permite a provisión de datos, favorecendo a automatización e eficiencia do proceso de face á explotación da información proporcionada.
  • Auditorías de certificación realizadas en modo remoto (Epígrafe 3.9). Será posible realizar inspeccións en modo remoto durante as Auditorías de Certificación do ENS (iniciais ou de renovación, sobre clientes coñecidos ou descoñecidos), usando medios telemáticos (como, por exemplo, videoconferencia e compartición de escritorio remoto), sempre que se considere dita actividade como viable por parte da Entidade de Certificación e acorde cos procedementos de auditoria establecidos, habendo previamente analizado o risco derivado de avaliar telematicamente ao seu cliente.
  • En relación coa posta a disposición do Informe de Auditoría (Epígrafe 3.12). Entendiendo que os Informes de Autoevaluación ou Auditoría poderían conter información ou datos sensibles, de natureza persoal, comercial ou institucional e/ou protexidos por distintas regulacións, a facultade que a ITS de Conformidade co ENS confire ás entidades públicas usuarias de solucións ou servizos provistos ou prestados por organizacións do sector privado titulares dunha Declaración ou Certificación de Conformidade para solicitar a tales operadores este Informes de Autoevaluación ou Auditoría, se instrumentalizará dirixindo tal solicitude e a súa necesidade á conta de correo electrónico  cocens@ccn.cni.es  do Centro Criptolóxico Nacional.
  • En relación co período de validez das Certificacións de Conformidade co ENS en situacións excepcionais (Epígrafe 3.13). O Centro Criptolóxico Nacional poderá, no exercicio das súas competencias, prolongar a vixencia dos Certificados de Conformidade mediante a emisión dun comunicado cando se produza unha situación excepcional, como a provocada pola Covid-19, que esixa a apertura dunha paréntese temporal na relación entre as Entidades de Certificación e os seus clientes.
  • Aprobación Provisional de Conformidade (Epígrafe 3.15). O Centro Criptolóxico Nacional, a pedimento da Entidade de Certificación, poderá emitir unha Aprobación Provisional de Conformidade (APC) como resultado dun proceso de certificación no que concorran, simultaneamente, os seguintes requisitos:
  1. Persiga a emisión do primeiro Certificado de Conformidade.
  2. O Plan de Accións Correctivas, por razóns adecuadas e razoables, require un período de execución superior a tres (3) meses.
  3. Non poderá ser aplicado cando se detectaron No Conformidades Mayores.

Só resultará de aplicación a sistemas de información con categorías Básica ou Media.

Fonte orixinal da noticia(Abre en nova xanela)

  • Seguridade e Protección de Datos