accesskey_mod_content

Esquema Nacional de Seguretat: criteris generals d'auditoria i certificació

01 setembre 2020

L'objecte de el Informe CCN-CERT IC-01/19 és servir de referència i establir els criteris generals per a l'Auditoria i Certificació dels sistemes d'informació de l'àmbit d'aplicació de l'Esquema Nacional de Seguretat.

El Centre Criptològic Nacional(Obri en nova finestra) (CCN), adscrit a el Centre Nacional d'Intel·ligència (CNI), ha actualitzat la seua Guia CCN-CERT IC-01/19 ENS: Criteris Generals d'Auditoria i Certificació(Obri en nova finestra) , un document que es troba disponible per a la seua consulta en la part pública d'este portal,

Este informe pretén servir de referència i establir els criteris generals per a l'Auditoria i Certificació dels sistemes d'informació de l'àmbit d'aplicació de l'Esquema Nacional de Seguretat, especialment els dirigits a les Entitats de Certificació de l'ENS.

Entre els principals punts contemplats en el document, el qual s'integra dins dels informes elaborats pel Consell de Certificació de l'ENS (CoCENS), destaquen els següents:

  • En relació amb els recursos de l'Entitat de Certificació (Epígraf 3.3). S'establixen les condicions a demostrar per un Auditor Cap.
  • En relació amb l'obligatorietat de l'ús de les Guies CCN-STIC (Epígraf 3.5). S'establix que les Guies CCN-STIC han de considerar-se com a “Millors Pràctiques” podent ser utilitzades com a referents específics en l'actuació judicial o arbitral. En este sentit, la inadequació total o parcial del sistema d'informació avaluat al que es disposa en Guia CCN-STIC(Obri en nova finestra) que resultara d'aplicació en cada cas, podria ser qualificada per l'Equip Auditor com una Observació, No Conformitat Menor o No Conformitat Major, atenent a l'impacte que el seu incompliment poguera tindre en la seguretat d'aquest sistema d'informació.
  • En relació amb el temps d'auditoria (Epígraf 3.6). El nombre de jornades pot ser objecte d'increment/decremento atenent a diversos factors que no podran suposar una variació major d'un 20% respecte al càlcul inicial de jornades d'auditoria. Davant la determinació de temps d'auditoria anormals, el Centre Criptològic Nacional, en l'exercici de les seues competències, podrà examinar les circumstàncies argumentades per l'Entitat de Certificació per a tal assignació, adoptant les mesures que, en dret, procedisquen.
  • Epígraf 3.7 En relació amb el desenvolupament de l'auditoria, la qualificació de les desviacions trobades, l'Informe d'Auditoria i el Pla d'Accions Correctives. El Centre Criptològic Nacional es reserva el dret d'acompanyar a les Entitats de Certificació en totes aquelles auditories que estes realitzen.
  • Resum de les troballes d'auditoria (Epígraf 3.8). El CCN-CERT posa a la disposició de les Entitats de Certificació una funcionalitat de la solució EMPARE que permet la provisió de dades, afavorint l'automatització i eficiència del procés de cara a l'explotació de la informació proporcionada.
  • Auditories de certificació realitzades en manera remota (Epígraf 3.9). Serà possible realitzar inspeccions en manera remota durant les Auditories de Certificació de l'ENS (inicials o de renovació, sobre clients coneguts o desconeguts), usant mitjans telemàtics (com, per exemple, videoconferència i compartició d'escriptori remot), sempre que es considere aquesta activitat com a viable per part de l'Entitat de Certificació i d'acord amb els procediments d'auditoria establits, havent-hi prèviament analitzat el risc derivat d'avaluar telemàticament al seu client.
  • En relació amb la posada a la disposició de l'Informe d'Auditoria (Epígraf 3.12). Entenent que els Informes d'Autoavaluació o Auditoria podrien contindre informació o dades sensibles, de naturalesa personal, comercial o institucional i/o protegits per diferents regulacions, la facultat que la ITS de Conformitat amb l'ENS conferix a les entitats públiques usuàries de solucions o servicis proveïts o prestats per organitzacions del sector privat titulars d'una Declaració o Certificació de Conformitat per a sol·licitar a tals operadors aquests Informes d'Autoavaluació o Auditoria, s'instrumentalitzarà dirigint tal sol·licitud i la seua necessitat al compte de correu electrònic  cocens@ccn.cni.es  del Centre Criptològic Nacional.
  • En relació amb el període de validesa de les Certificacions de Conformitat amb l'ENS en situacions excepcionals (Epígraf 3.13). El Centre Criptològic Nacional podrà, en l'exercici de les seues competències, perllongar la vigència dels Certificats de Conformitat mitjançant l'emissió d'un comunicat quan es produïsca una situació excepcional, com la provocada per la Covid-19, que exigisca l'obertura d'un parèntesi temporal en la relació entre les Entitats de Certificació i els seus clients.
  • Aprovació Provisional de Conformitat (Epígraf 3.15). El Centre Criptològic Nacional, a petició de l'Entitat de Certificació, podrà emetre una Aprovació Provisional de Conformitat (APC) com a resultat d'un procés de certificació en el qual concórreguen, simultàniament, els següents requisits:
  1. Perseguisca l'emissió del primer Certificat de Conformitat.
  2. El Pla d'Accions Correctives, per raons adequades i raonables, requerix un període d'execució superior a tres (3) mesos.
  3. No podrà ser aplicat quan s'hagen detectat No Conformitats Majors.

Solament resultarà d'aplicació a sistemes d'informació amb categories Bàsica o Mitjana.

Font original de la notícia(Obri en nova finestra)

  • Seguretat