accesskey_mod_content

Publicada en el BOE la Instrucción Técnica de Seguridad de Auditoría de la Seguridad de los Sistemas de Información

04 abril 2018

Esta nueva ITS se une a las ya publicadas sobre informe del estado de la seguridad y conformidad con el ENS.

La Instrucción Técnica de Seguridad de Auditoría de la Seguridad(Abre en nueva ventana) establece las condiciones para la realización de las auditorías, ordinarias o extraordinarias, previstas en el artículo 34 del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica (ENS)(Abre en nueva ventana)

Las auditorías deben realizarse con el fin de determinar el grado de conformidad con el ENS y debe permitir a sus responsables adoptar las medidas oportunas para subsanar las deficiencias encontradas y, en su caso, posibilitar la obtención de la correspondiente Certificación de Conformidad.

Cabe recordar que para obtener esta Certificación, los sistemas de información de categoría MEDIA o ALTA precisarán superar una Auditoría de Seguridad, al menos cada dos años. Asimismo, los informes de auditoría emitidos podrán ser requeridos por el CCN-CERT(Abre en nueva ventana) ante cualquier agresión recibida en los sistemas de información de las Administraciones Públicas (artículo 37 del ENS).

Para el desarrollo de las auditorías, la Resolución ahora publicada señala que deberán realizarse conforme a la propia ITS y, cuando corresponda, a las normas nacionales e internacionales sobre auditorías, entre ellas las Guías CCN-STIC 802 Guía de Auditoría(Abre en nueva ventana) , CCN-STIC 804 Guía de Implantación(Abre en nueva ventana) y CCN-STIC 808 Verificación del cumplimiento de las medidas en el ENS(Abre en nueva ventana) .

En esta ITS, tras el objeto y el ámbito de aplicación, se tratan cuestiones tales como el propósito de la auditoría de la seguridad, obligatoriedad y normativa reguladora; la definición del alcance y objetivo de la auditoría de la seguridad; la ejecución de la auditoría de la seguridad; el informe de auditoría; las entidades Auditoras del Sector Público; y en una disposición adicional, cuestiones relativas a datos personales.

El ENS prevé, en su artículo 29, apartado 2, las instrucciones técnicas de seguridad(Abre en nueva ventana) como elementos esenciales para lograr una adecuada, homogénea y coherente implantación de los requisitos y medidas recogidos en el mismo. Dichas instrucciones técnicas de seguridad regulan aspectos concretos que la realidad cotidiana ha mostrado especialmente significativos, tales como: Informe del Estado de la Seguridad; Notificación de Incidentes de Seguridad; Auditoría de la Seguridad; Conformidad con el Esquema Nacional de Seguridad; Adquisición de Productos de Seguridad; Criptología de empleo en el Esquema Nacional de Seguridad; Interconexión en el Esquema Nacional de Seguridad y Requisitos de Seguridad en entornos externalizados.

  • Seguridad
  • Interoperabilidad
Punto de Acceso General
 
Punto de Acceso General