Esquema Nacional de Seguridad: criterios generales de auditoría y certificación
- El Informe CCN-CERT IC-01/19 se encuentra disponible en la parte pública del portal.
- El objeto del presente documento es servir de referencia y establecer los criterios generales para la Auditoría y Certificación de los sistemas de información del ámbito de aplicación del Esquema Nacional de Seguridad, especialmente los dirigidos a las Entidades de Certificación del ENS.
- La redacción final del documento es el resultado de un trabajo pormenorizado y exhaustivo, desarrollado con la colaboración y el consenso de todos los miembros del Consejo de Certificación del ENS (CoCENS), a los que el CCN expresa públicamente el reconocimiento por su inmejorable labor.
El Centro Criptológico Nacional (CCN), adscrito al Centro Nacional de Inteligencia (CNI), ha actualizado su Guía CCN-CERT IC-01/19 ENS: Criterios Generales de Auditoría y Certificación, un documento que se encuentra disponible para su consulta en la parte pública de este portal,
Este informe pretende servir de referencia y establecer los criterios generales para la Auditoría y Certificación de los sistemas de información del ámbito de aplicación del Esquema Nacional de Seguridad, especialmente los dirigidos a las Entidades de Certificación del ENS.
Entre los principales puntos contemplados en el documento, el cual se integra dentro de los informes elaborados por el Consejo de Certificación del ENS (CoCENS), destacan los siguientes:
- Epígrafe 3.3 En relación con los recursos de la Entidad de Certificación. Se establecen las condiciones a demostrar por un Auditor Jefe.
- Epígrafe 3.5 En relación con la obligatoriedad del uso de las Guías CCN-STIC. Se establece que las Guías CCN-STIC deben considerarse como “Mejores Prácticas” pudiendo ser utilizadas como referentes específicos en la actuación judicial o arbitral. En este sentido, la inadecuación total o parcial del sistema de información evaluado a lo dispuesto en la Guía CCN-STIC que resultase de aplicación en cada caso (https://www.ccn.cni.es/index.php/es/menu-guias-ccn-stic-es), podría ser calificada por el Equipo Auditor como una Observación, No Conformidad Menor o No Conformidad Mayor, atendiendo al impacto que su incumplimiento pudiera tener en la seguridad de dicho sistema de información.
- Epígrafe 3.6 En relación con el tiempo de auditoría. El número de jornadas puede ser objeto de incremento/decremento atendiendo a diversos factores que no podrán suponer una variación mayor de un 20% respecto al cálculo inicial de jornadas de auditoría. Ante la determinación de tiempos de auditoría anormales, el Centro Criptológico Nacional, en el ejercicio de sus competencias, podrá examinar las circunstancias argumentadas por la Entidad de Certificación para tal asignación, adoptando las medidas que, en derecho, procedan.
- Epígrafe 3.7 En relación con el desarrollo de la auditoría, la calificación de las desviaciones halladas, el Informe de Auditoría y el Plan de Acciones Correctivas. El Centro Criptológico Nacional se reserva el derecho de acompañar a las Entidades de Certificación en todas aquellas auditorías que estas realicen.
- Epígrafe 3.8 Resumen de los hallazgos de auditoría. El CCN-CERT pone a disposición de las Entidades de Certificación una funcionalidad de la solución AMPARO que permite la provisión de datos, favoreciendo la automatización y eficiencia del proceso de cara a la explotación de la información proporcionada.
- Epígrafe 3.9 Auditorías de certificación realizadas en modo remoto. Será posible realizar inspecciones en modo remoto durante las Auditorías de Certificación del ENS (iniciales o de renovación, sobre clientes conocidos o desconocidos), usando medios telemáticos (como, por ejemplo, videoconferencia y compartición de escritorio remoto), siempre que se considere dicha actividad como viable por parte de la Entidad de Certificación y acorde con los procedimientos de auditoria establecidos, habiendo previamente analizado el riesgo derivado de evaluar telemáticamente a su cliente.
- Epígrafe 3.12 En relación con la puesta a disposición del Informe de Auditoría. Entendiendo que los Informes de Autoevaluación o Auditoría podrían contener información o datos sensibles, de naturaleza personal, comercial o institucional y/o protegidos por distintas regulaciones, la facultad que la ITS de Conformidad con el ENS confiere a las entidades públicas usuarias de soluciones o servicios provistos o prestados por organizaciones del sector privado titulares de una Declaración o Certificación de Conformidad para solicitar a tales operadores dichos Informes de Autoevaluación o Auditoría, se instrumentalizará dirigiendo tal solicitud y su necesidad a la cuenta de correo electrónico This email address is being protected from spambots. You need JavaScript enabled to view it. del Centro Criptológico Nacional.
- Epígrafe 3.13 En relación con el período de validez de las Certificaciones de Conformidad con el ENS en situaciones excepcionales. El Centro Criptológico Nacional podrá, en el ejercicio de sus competencias, prolongar la vigencia de los Certificados de Conformidad mediante la emisión de un comunicado cuando se produzca una situación excepcional, como la provocada por la Covid-19, que exija la apertura de un paréntesis temporal en la relación entre las Entidades de Certificación y sus clientes.
- Epígrafe 3.15 Aprobación Provisional de Conformidad. El Centro Criptológico Nacional, a petición de la Entidad de Certificación, podrá emitir una Aprobación Provisional de Conformidad (APC) como resultado de un proceso de certificación en el que concurran, simultáneamente, los siguientes requisitos:
- Persiga la emisión del primer Certificado de Conformidad.
- El Plan de Acciones Correctivas, por razones adecuadas y razonables, requiere un período de ejecución superior a tres (3) meses.
- No podrá ser aplicado cuando se hayan detectado No Conformidades Mayores.
Solo resultará de aplicación a sistemas de información con categorías BÁSICA o MEDIA.
CCN (31/08/2020)
