El CCN-CERT del Centro Criptológico Nacional ha publicado en la parte pública de su portal web dos nuevas guías sobre análisis de riesgos para entidades locales y sobre políticas y procedimientos adecuados para la implementación de las medidas contempladas en el Esquema Nacional de Seguridad (ENS).
Publicadas las guías CCN-STIC sobre el análisis de riesgos para EELL y sobre la Declaración y Certificación de Conformidad con el ENS
"Noticia disponible únicamente con fines históricos y de hemeroteca. La información y enlaces mostrados se corresponden con los que estaban operativos a la fecha de su publicación. No se garantiza que continúen activos actualmente".
01 julio 2019
Las guías CCN-STIC sobre el Análisis de Riesgos para Entidades Locales (882) y sobre la Declaración y Certificación de Conformidad con el ENS y Distintivos de Cumplimiento (809) acaban de hacerse públicas en el portal web del CCN-CERT.
La Guía CCN-STIC 882 de Análisis de Riesgos para Entidades Locales
En cuanto a la Guía CCN-STIC-882 desarrolla el proceso de Análisis y Gestión de Riesgos utilizando la herramienta Micro PILAR paso a paso, de manera que sirva de ayuda guiada para las personas responsables de realizar este análisis de riesgos en una Entidad Local para el cumplimiento del Esquema Nacional de Seguridad (ENS) y el Reglamento General de Protección de Datos (RGPD).
Los requisitos generales de esta guía, que permite a las Entidades Locales realizar el análisis de manera independiente a su localización geográfica o tamaño, son disponer de la herramienta Micro PILAR en versión 7.3 o superior instalada y con la licencia adecuada para su funcionamiento, así como contar con un inventario de los servicios, datos, tratamientos de datos de carácter personal e infraestructura tecnológica actualizado de la institución.
Entre los principales contenidos que recoge la guía se encuentran la herramienta Pilar, el análisis de riesgos con Micro PILAR, el Esquema Nacional de Seguridad, el Reglamento General de Protección de Datos y un plan de tratamiento de riesgos.
Algunas de las ventajas que aporta la utilización de la herramienta PILAR son conocer los riesgos a fin de poder tratarlos, conocer el grado de cumplimiento de diferentes perfiles de seguridad e implementar la metodología Magerit
La Actualización de la Guía CCN-STIC 809 sobre declaración y certificación de conformidad con el ENS y distintivos de cumplimiento
Dentro de la Serie CCN-STIC-800 , en la que se establece las políticas y procedimientos adecuados para la implementación de las medidas contempladas en el Esquema Nacional de Seguridad (ENS), se engloba esta nueva actualización de la Guía CCN-STIC 809 . Aborda, como no podía ser de otra forma, temas sobre la declaración y certificación de conformidad con el ENS y los distintivos de cumplimiento.
Entre los contenidos más destacados de esta nueva guía, publicada por primera vez en julio de 2010, se encuentran los criterios y procedimiento de determinación de la conformidad con el ENS, la declaración y certificación de conformidad, la comunicación de las certificaciones al CCN y su publicación, así como el Consejo de Certificación del Esquema Nacional de Seguridad (COCENS).
De especial relevancia es este último apartado, en el que se detallan diversos aspectos referentes al COCENS. Este órgano colegiado, dependiente del CCN, fue creado con el principal objetivo de ayudar a la adecuada implantación del ENS y, en consecuencia, a la mejor y más garante prestación de los servicios públicos, objetivos últimos de este Esquema. Tal y como queda recogido en sus términos de referencia, incluidos en la presente guía, las principales funciones del Consejo son las siguientes:
- Velar por la adecuada implantación de la Certificación del ENS, adoptando las medidas que, en Derecho, correspondan.
- Alentar los procesos de Certificación de la Conformidad con el ENS en las entidades de su ámbito subjetivo de aplicación, de los sectores público y privado.
- Proponer para su análisis y, en su caso, redactar y publicar Normas, Criterios o Buenas Prácticas en materia de Certificación de la Conformidad con el ENS.
- Asesorar a las partes implicadas respecto de los métodos, procedimientos, herramientas y criterios en materia de Certificación de la Conformidad con el ENS y, en general, con su implantación, orientando su gestión al mejor servicio del sector público y la mayor y mejor colaboración con el sector privado, fabricantes y suministradores de productos o servicios.
- Asesorar a las partes implicadas en la identificación de otros esquemas, arreglos o acuerdos, donde la defensa de la validez y reconocimiento mutuo de los certificados emitidos sea de interés para los sectores público y privado.
- Informar a sus Departamentos constituyentes y al Consejo Nacional de Ciberseguridad sobre el grado de implantación de la certificación de Conformidad con el Esquema Nacional de Seguridad.
Por último, el documento incluye dos anexos con los modelos de certificación de conformidad, en los que se puede ver el aspecto final que tendría una Certificación de Conformidad con el ENS.
- Seguridad y Protección de Datos