El Centre Criptològic Nacional (CCN), adscrit a el Centre Nacional d'Intel·ligència (CNI), ha actualitzat la seva Guia CCN-CERT IC-01/19 ENS: Criteris Generals d'Auditoría i Certificació , un document que es troba disponible per a la seva consulta en la part pública d'aquest portal,
Aquest informe pretén servir de referència i establir els criteris generals per a l'Auditoria i Certificació dels sistemes d'informació de l'àmbit d'aplicació de l'Esquema Nacional de Seguretat, especialment els dirigits a les Entitats de Certificació de l'ENS.
Entre els principals punts contemplats en el document, el qual s'integra dins dels informes elaborats pel Consell de Certificació de l'ENS (CoCENS), destaquen els següents:
- En relació amb els recursos de l'Entitat de Certificació (Epígraf 3.3). Se estableixen les condicions a demostrar per un Auditor Jefe.
- En relació amb l'obligatorietat de l'ús de les Guies CCN-STIC (Epígraf 3.5). Se estableix que les Guies CCN-STIC han de considerar-se com “Mejores Prácticas” podent ser utilitzades com a referents específics en l'actuació judicial o arbitral. En aquest sentit, la inadequació total o parcial del sistema d'informació avaluat al que es disposa en Guia CCN-STIC que resultés d'aplicació en cada cas, podria ser qualificada per l'Equip Auditor com una Observació, No Conformidad Menor o No Conformidad Mayor, atenent a l'impacte que el seu incompliment pogués tenir en la seguretat d'aquest sistema d'informació.
- En relació amb el temps d'auditoria (Epígraf 3.6). El nombre de jornades pot ser objecte d'increment/decremento atenent a diversos factors que no podran suposar una variació major d'un 20% respecte al càlcul inicial de jornades d'auditoria. Davant la determinació de temps d'auditoria anormals, el Centre Criptològic Nacional, en l'exercici de les seves competències, podrà examinar les circumstàncies argumentades per l'Entitat de Certificació per a tal assignació, adoptant les mesures que, en dret, procedeixin.
- Epígrafe 3.7 En relación con el desarrollo de la auditoría, la calificación de las desviaciones halladas, el Informe de Auditoría y el Plan de Acciones Correctivas. El Centro Criptológico Nacional se reserva el derecho de acompañar a las Entidades de Certificación en todas aquellas auditorías que estas realicen.
- Resum de les troballes d'auditoria (Epígraf 3.8). El CCN-CERT posa a la disposició de les Entitats de Certificació una funcionalitat de la solució EMPARO que permet la provisió de dades, afavorint l'automatització i eficiència del procés amb vista a l'explotació de la informació proporcionada.
- Auditories de certificació realitzades en manera remota (Epígraf 3.9). Será possible realitzar inspeccions en manera remota durant les Auditories de Certificació de l'ENS (inicials o de renovació, sobre clients coneguts o desconeguts), usant mitjans telemàtics (com, per exemple, videoconferència i compartició d'escriptori remot), sempre que es consideri aquesta activitat com a viable per part de l'Entitat de Certificació i d'acord amb els procediments d'auditoria establerts, havent-hi prèviament analitzat el risc derivat d'avaluar telemàticament al seu client.
- En relació amb la posada a la disposició de l'Informe d'Auditoria (Epígraf 3.12). Entendiendo que els Informes de Autoevaluación o Auditoria podrien contenir informació o dades sensibles, de naturalesa personal, comercial o institucional i/o protegits per diferents regulacions, la facultat que la ITS de Conformitat amb l'ENS confereix a les entitats públiques usuàries de solucions o serveis proveïts o prestats per organitzacions del sector privat titulars d'una Declaració o Certificació de Conformitat per sol·licitar a tals operadors aquests Informes d'Autoavaluació o Auditoria, s'instrumentalitzarà dirigint tal sol·licitud i la seva necessitat al compte de correu electrònic cocens@ccn.cni.es del Centre Criptològic Nacional.
- En relació amb el període de validesa de les Certificacions de Conformitat amb l'ENS en situacions excepcionals (Epígraf 3.13). El Centre Criptològic Nacional podrà, en l'exercici de les seves competències, perllongar la vigència dels Certificats de Conformitat mitjançant l'emissió d'un comunicat quan es produeixi una situació excepcional, com la provocada per la Covid-19, que exigeixi l'obertura d'un parèntesi temporal en la relació entre les Entitats de Certificació i els seus clients.
- Aprovació Provisional de Conformitat (Epígraf 3.15). El Centre Criptològic Nacional, a petició de l'Entitat de Certificació, podrà emetre una Aprovació Provisional de Conformitat (APC) com a resultat d'un procés de certificació en el qual concorrin, simultàniament, els següents requisits:
- Persegueixi l'emissió del primer Certificat de Conformitat.
- El Pla d'Accions Correctives, per raons adequades i raonables, requereix un període d'execució superior a tres (3) mesos.
- No podrà ser aplicat quan s'hagin detectat No Conformidades Mayores.
Solament resultarà d'aplicació a sistemes d'informació amb categories Bàsica o Mitjana.