Esquema Nacional de Seguridad: criterios generales de auditoría y certificación

Esquema Nacional de Seguretat: criteris generals d'auditoria i certificació

"Notícia disponible únicament amb finalitats històriques i d'hemeroteca. La informació i enllaços mostrats es corresponen amb els quals estaven operatius a la data de la seva publicació. No es garanteix que continuïn actius actualment".

01 setembre 2020

L'objecte de el Informi CCN-CERT IC-01/19 és servir de referència i establir els criteris generals per a l'Auditoria i Certificació dels sistemes d'informació de l'àmbit d'aplicació de l'Esquema Nacional de Seguretat.

El Centre Criptològic Nacional (Obre en nova finestra) (CCN), adscrit a el Centre Nacional d'Intel·ligència (CNI), ha actualitzat la seva Guia CCN-CERT IC-01/19 ENS: Criteris Generals d'Auditoria i Certificació , un document que es troba disponible per a la seva consulta en la part pública d'aquest portal,

Aquest informe pretén servir de referència i establir els criteris generals per a l'Auditoria i Certificació dels sistemes d'informació de l'àmbit d'aplicació de l'Esquema Nacional de Seguretat, especialment els dirigits a les Entitats de Certificació de l'ENS.

Entre els principals punts contemplats en el document, el qual s'integra dins dels informes elaborats pel Consell de Certificació de l'ENS (CoCENS), destaquen els següents:

En relació amb els recursos de l'Entitat de Certificació (Epígraf 3.3). S'estableixen les condicions a demostrar per un Auditor Cap.

En relació amb l'obligatorietat de l'ús de les Guies CCN-STIC (Epígraf 3.5). S'estableix que les Guies CCN-STIC han de considerar-se com a “Millors Pràctiques” podent ser utilitzades com a referents específics en l'actuació judicial o arbitral. En aquest sentit, la inadequació total o parcial del sistema d'informació avaluat al que es disposa en Guia CCN-STIC que resultés d'aplicació en cada cas, podria ser qualificada per l'Equip Auditor com una Observació, No Conformitat Menor o No Conformitat Major, atenent a l'impacte que el seu incompliment pogués tenir en la seguretat d'aquest sistema d'informació.

En relació amb el temps d'auditoria (Epígraf 3.6). El nombre de jornades pot ser objecte d'increment/decremento atenent a diversos factors que no podran suposar una variació major d'un 20% respecte al càlcul inicial de jornades d'auditoria. Davant la determinació de temps d'auditoria anormals, el Centre Criptològic Nacional, en l'exercici de les seves competències, podrà examinar les circumstàncies argumentades per l'Entitat de Certificació per a tal assignació, adoptant les mesures que, en dret, procedeixin.

Epígraf 3.7 En relació amb el desenvolupament de l'auditoria, la qualificació de les desviacions trobades, l'Informe d'Auditoria i el Pla d'Accions Correctives. El Centre Criptològic Nacional es reserva el dret d'acompanyar a les Entitats de Certificació en totes aquelles auditories que aquestes realitzin.

Resum de les troballes d'auditoria (Epígraf 3.8). El CCN-CERT posa a la disposició de les Entitats de Certificació una funcionalitat de la solució EMPARO que permet la provisió de dades, afavorint l'automatització i eficiència del procés amb vista a l'explotació de la informació proporcionada.

Auditories de certificació realitzades en manera remota (Epígraf 3.9). Serà possible realitzar inspeccions en manera remota durant les Auditories de Certificació de l'ENS (inicials o de renovació, sobre clients coneguts o desconeguts), usant mitjans telemàtics (com, per exemple, videoconferència i compartició d'escriptori remot), sempre que es consideri aquesta activitat com a viable per part de l'Entitat de Certificació i d'acord amb els procediments d'auditoria establerts, havent-hi prèviament analitzat el risc derivat d'avaluar telemàticament al seu client.

En relació amb la posada a la disposició de l'Informe d'Auditoria (Epígraf 3.12). Entenent que els Informes d'Autoavaluació o Auditoria podrien contenir informació o dades sensibles, de naturalesa personal, comercial o institucional i/o protegits per diferents regulacions, la facultat que la ITS de Conformitat amb l'ENS confereix a les entitats públiques usuàries de solucions o serveis proveïts o prestats per organitzacions del sector privat titulars d'una Declaració o Certificació de Conformitat per sol·licitar a tals operadors aquests Informes d'Autoavaluació o Auditoria, s'instrumentalitzarà dirigint tal sol·licitud i la seva necessitat al compte de correu electrònic cocens@ccn.cni.es del Centre Criptològic Nacional.

En relació amb el període de validesa de les Certificacions de Conformitat amb l'ENS en situacions excepcionals (Epígraf 3.13). El Centre Criptològic Nacional podrà, en l'exercici de les seves competències, perllongar la vigència dels Certificats de Conformitat mitjançant l'emissió d'un comunicat quan es produeixi una situació excepcional, com la provocada per la Covid-19, que exigeixi l'obertura d'un parèntesi temporal en la relació entre les Entitats de Certificació i els seus clients.

Aprovació Provisional de Conformitat (Epígraf 3.15). El Centre Criptològic Nacional, a petició de l'Entitat de Certificació, podrà emetre una Aprovació Provisional de Conformitat (APC) com a resultat d'un procés de certificació en el qual concorrin, simultàniament, els següents requisits:

Persegueixi l'emissió del primer Certificat de Conformitat.
El Pla d'Accions Correctives, per raons adequades i raonables, requereix un període d'execució superior a tres (3) mesos.
No podrà ser aplicat quan s'hagin detectat No Conformitats Majors.

Solament resultarà d'aplicació a sistemes d'informació amb categories Bàsica o Mitjana.

Font original de la notícia (Obre en nova finestra)

Seguretat