Esquema Nacional de Seguridad: criterios generales de auditoría y certificación

Esquema Nacional de Seguretat: criteris generals d'auditoria i certificació

"Notícia disponible únicament amb finalitats històriques i d'hemeroteca. La informació i enllaços mostrats es corresponen amb els quals estaven operatius a la data de la seva publicació. No es garanteix que continuïn actius actualment".

01 setembre 2020

L'objecte de el Informi CCN-CERT IC-01/19 és servir de referència i establir els criteris generals per a l'Auditoria i Certificació dels sistemes d'informació de l'àmbit d'aplicació de l'Esquema Nacional de Seguretat.

El Centre Criptològic Nacional (Obre en nova finestra) (CCN), adscrit a el Centre Nacional d'Intel·ligència (CNI), ha actualitzat la seva Guia CCN-CERT IC-01/19 ENS: Criteris Generals d'Auditoria i Certificació , un document que es troba disponible per a la seva consulta en la part pública d'aquest portal,

Aquest informe pretén servir de referència i establir els criteris generals per a l'Auditoria i Certificació dels sistemes d'informació de l'àmbit d'aplicació de l'Esquema Nacional de Seguretat, especialment els dirigits a les Entitats de Certificació de l'ENS.

Entre los principales puntos contemplados en el documento, el cual se integra dentro de los informes elaborados por el Consejo de Certificación del ENS (CoCENS), destacan los siguientes:

En relación con los recursos de la Entidad de Certificación (Epígrafe 3.3). Se establecen las condiciones a demostrar por un Auditor Jefe.

En relació amb l'obligatorietat de l'ús de les Guies CCN-STIC (Epígraf 3.5). S'estableix que les Guies CCN-STIC han de considerar-se com a “Millors Pràctiques” podent ser utilitzades com a referents específics en l'actuació judicial o arbitral. En aquest sentit, la inadequació total o parcial del sistema d'informació avaluat al que es disposa en Guia CCN-STIC que resultés d'aplicació en cada cas, podria ser qualificada per l'Equip Auditor com una Observació, No Conformitat Menor o No Conformitat Major, atenent a l'impacte que el seu incompliment pogués tenir en la seguretat d'aquest sistema d'informació.

En relació amb el temps d'auditoria (Epígraf 3.6). El nombre de jornades pot ser objecte d'increment/decremento atenent a diversos factors que no podran suposar una variació major d'un 20% respecte al càlcul inicial de jornades d'auditoria. Davant la determinació de temps d'auditoria anormals, el Centre Criptològic Nacional, en l'exercici de les seves competències, podrà examinar les circumstàncies argumentades per l'Entitat de Certificació per a tal assignació, adoptant les mesures que, en dret, procedeixin.

Epígraf 3.7 En relació amb el desenvolupament de l'auditoria, la qualificació de les desviacions trobades, l'Informe d'Auditoria i el Pla d'Accions Correctives. El Centre Criptològic Nacional es reserva el dret d'acompanyar a les Entitats de Certificació en totes aquelles auditories que aquestes realitzin.

Resumen de los hallazgos de auditoría (Epígrafe 3.8). El CCN-CERT pone a disposición de las Entidades de Certificación una funcionalidad de la solución AMPARO que permite la provisión de datos, favoreciendo la automatización y eficiencia del proceso de cara a la explotación de la información proporcionada.

Auditories de certificació realitzades en manera remota (Epígraf 3.9). Serà possible realitzar inspeccions en manera remota durant les Auditories de Certificació de l'ENS (inicials o de renovació, sobre clients coneguts o desconeguts), usant mitjans telemàtics (com, per exemple, videoconferència i compartició d'escriptori remot), sempre que es consideri aquesta activitat com a viable per part de l'Entitat de Certificació i d'acord amb els procediments d'auditoria establerts, havent-hi prèviament analitzat el risc derivat d'avaluar telemàticament al seu client.

En relació amb la posada a la disposició de l'Informe d'Auditoria (Epígraf 3.12). Entenent que els Informes d'Autoavaluació o Auditoria podrien contenir informació o dades sensibles, de naturalesa personal, comercial o institucional i/o protegits per diferents regulacions, la facultat que la ITS de Conformitat amb l'ENS confereix a les entitats públiques usuàries de solucions o serveis proveïts o prestats per organitzacions del sector privat titulars d'una Declaració o Certificació de Conformitat per sol·licitar a tals operadors aquests Informes d'Autoavaluació o Auditoria, s'instrumentalitzarà dirigint tal sol·licitud i la seva necessitat al compte de correu electrònic cocens@ccn.cni.es del Centre Criptològic Nacional.

En relación con el período de validez de las Certificaciones de Conformidad con el ENS en situaciones excepcionales (Epígrafe 3.13). El Centro Criptológico Nacional podrá, en el ejercicio de sus competencias, prolongar la vigencia de los Certificados de Conformidad mediante la emisión de un comunicado cuando se produzca una situación excepcional, como la provocada por la Covid-19, que exija la apertura de un paréntesis temporal en la relación entre las Entidades de Certificación y sus clientes.

Aprovació Provisional de Conformitat (Epígraf 3.15). El Centre Criptològic Nacional, a petició de l'Entitat de Certificació, podrà emetre una Aprovació Provisional de Conformitat (APC) com a resultat d'un procés de certificació en el qual concorrin, simultàniament, els següents requisits:

Persegueixi l'emissió del primer Certificat de Conformitat.
El Pla d'Accions Correctives, per raons adequades i raonables, requereix un període d'execució superior a tres (3) mesos.
No podrà ser aplicat quan s'hagin detectat No Conformitats Majors.

Solament resultarà d'aplicació a sistemes d'informació amb categories Bàsica o Mitjana.

Font original de la notícia (Obre en nova finestra)

Seguretat