accesskey_mod_content

Publicada no BOE a Instrución Técnica de Seguridade de Auditoría da Seguridade dos Sistemas de Información

04 abril 2018

Esta nova ITS únese ás xa publicadas sobre informe do estado da seguridade e conformidade co ENS.

A Instrución Técnica de Seguridade de Auditoría da Seguridade(Abre en nova xanela) establece as condicións para a realización das auditorías, ordinarias ou extraordinarias, previstas no artigo 34 do Real Decreto 3/2010, de 8 de xaneiro, polo que se regula o Esquema Nacional de Seguridade no ámbito da Administración Electrónica (ENS)(Abre en nova xanela)

As auditorías deben realizarse co fin de determinar o grao de conformidade co ENS e debe permitir aos seus responsables adoptar as medidas oportunas para emendar as deficiencias atopadas e, no seu caso, posibilitar a obtención da correspondente Certificación de Conformidade.

Cabe lembrar que para obter esta Certificación, os sistemas de información de categoría MEDIA ou ALTA precisarán superar unha Auditoría de Seguridade, polo menos cada dous anos. Así mesmo, os informes de auditoría emitidos poderán ser requiridos polo CCN-CERT(Abre en nova xanela) ante calquera agresión recibida nos sistemas de información das Administracións Públicas (artigo 37 do ENS).

Para o desenvolvemento das auditorías, a Resolución agora publicada sinala que deberán realizarse conforme á propia ITS e, cando corresponda, ás normas nacionais e internacionais sobre auditorías, entre elas Guíalas CCN-STIC 802 Guía de Auditoría(Abre en nova xanela) , CCN-STIC 804 Guía de Implantación(Abre en nova xanela) e CCN-STIC 808 Verificación do cumprimento das medidas no ENS(Abre en nova xanela) .

Nesta ITS, tras o obxecto e o ámbito de aplicación, trátanse cuestións tales como o propósito da auditoría da seguridade, obrigatoriedade e normativa reguladora; a definición do alcance e obxectivo da auditoría da seguridade; a execución da auditoría da seguridade; o informe de auditoría; as entidades Auditoras do Sector Público; e nunha disposición adicional, cuestións relativas a datos persoais.

O ENS prevé, no seu artigo 29, apartado 2, as instrucións técnicas de seguridade(Abre en nova xanela) como elementos esenciais para lograr unha adecuada, homoxénea e coherente implantación dos requisitos e medidas recollidos no mesmo. Ditas instrucións técnicas de seguridade regulan aspectos concretos que a realidade cotiá ha mostrado especialmente significativos, tales como: Informe do Estado da Seguridade; Notificación de Incidentes de Seguridade; Auditoría da Seguridade; Conformidade co Esquema Nacional de Seguridade; Adquisición de Produtos de Seguridade; Criptología de emprego no Esquema Nacional de Seguridade; Interconexión no Esquema Nacional de Seguridade e Requisitos de Seguridade en contornas externalizados.

  • Seguridade
  • Interoperabilidade
Punto de Acceso Xeral
 
Punto de Acceso Xeral