- Ya está disponible en el portal del CCN-CERT, la última versión de la guía de seguridad de las TIC 120, que define el procedimiento utilizado para acreditar la capacidad técnica y los requisitos exigibles de las entidades que demuestren competencias para realizar inspecciones STIC de información clasificada hasta el grado de DL.
El Centro Criptológico Nacional (CCN) informa de la actualización de la guía CCN-STIC 120 sobre el procedimiento de acreditación de entidades auditoras para verificar los requisitos STIC en sistemas que manejan información clasificada del grado de difusión limitada, evidenciando que queda garantizada la debida imparcialidad y la ausencia de conflicto de intereses entre las partes auditora y auditada.
Tales entidades serán designadas como Entidad de Inspección STIC (EI-STIC) pudiendo tratarse de Entidades de Certificación (EC), Órganos de Auditoría Técnica del ENS (OAT) y, excepcionalmente, entidades acreditadas por el CCN con capacidad técnica suficiente.
El presente documento está organizado en diversos capítulos, entre los que encontramos el procedimiento para la acreditación de las EI-STIC, la solicitud misma y la revisión de las condiciones de la acreditación.
Seguidamente, el capítulo 8 detalla los requisitos generales de las EI-STIC que contempla aspectos como la competencia técnica, la confidencialidad, independencia e imparcialidad, así como los requisitos procedimentales y metodológicos.
El capítulo 9 define la estructura de las EI-STIC seguido de los acuerdos suscritos por las EI-STIC con los auditados y los criterios generales de auditoría. El proceso de acreditación de una EI-STIC y las obligaciones adicionales constituyen los capítulos 12 y 13 y, finalmente se detalla la concesión de la acreditación, la publicidad de la misma y su vigencia.
Finalmente, la presente guía consta de un anexo con la revisión de los requisitos para las EI-STIC.
Más información:
