caes

Actualitat

Conformitat amb l'ENS

Com determinar la conformitat amb l'ENS? L'Esquema Nacional de Seguretat (ENS) fomenta la confiança en l'ús dels mitjans electrònics garantint la seguretat. A partir Del 5 de novembre 2017, s'havien d'adequar tots els sistemes al que disposa la modificació de l'Esquema Nacional de Seguretat a través del Reial Decret 951/2015. Amb aquesta modificació s'amplia l'àmbit d'aplicació de l'ENS. Les exigències de seguretat que disposa, no només són d'aplicació a les AAPP sinó també als prestadors de serveis del sector privat. Segueix llegint per saber més sobre la conformitat amb l'ENS.

Publicat el

CONFORMITAT AMB L'ENS

Tal com anàvem dient, al Sector Privat que participa en la prestació de serveis a les entitats públiques (per exemple a través de serveis en el núvol) queden inclosos en l'àmbit de la publicitat del compliment de l'ENS que estableix l'art 41 del RD 3/2010: "els òrgans i entitats de dret públic donaran publicitat en les corresponents seus electròniques a les declaracions de conformitat, i als distintius de seguretat dels quals siguin creditors, obtinguts respecte al compliment de l'Esquema Nacional de seguretat"

Pel que fa als distintius, hi ha el Pla de Seguretat dels Sistemes d'Informació i Telecomunicacions (PSSIAP) que estableix la creació del distintiu i al seu torn, hi ha la Guia de Declaració i Certificació de Conformitat amb l'ENS que estableix el contingut, qui pot sol·licitar- , qui pot concedir i com publicitar-los.

CRITERIS DE DETERMINACIÓ DE LA CONFORMITAT

Elements a tenir en compte per determinar la conformitat amb l'ENS:

  1. Complir els mandats del RD ENS i implantar les mesures de seguretat de l'Annex II de l'ENS

  2. Les guies:

    1. CCN-STIC 802 (ENS guia d'auditoria)
    2. CCN-STIC 804 (ENS guia d'implantació)
    3. CCN-STIC 808 (ENS verificació del compliment de mesures ENS)

Aquestes guies proporcionen els elements necessaris per definir:

  •  Els criteris de determinació de la conformitat
  • La implantació i verificació de les mesures de seguretat, incloent el procés d'auditoria.
  1. Per a sistemes d'informació de Categoria MITJANA i ALTA à La determinació de conformitat es farà mitjançant auditoria almenys cada 2 anys i amb caràcter extraordinari sempre que hi hagi modificacions significatives en el sistema que puguin repercutir en les mesures de seguretat.
  2. Per a sistemes d'informació de Categoria BAIXA à n'hi ha prou Autoavaluació que ha de ser també a mínim cada 2 anys i amb caràcter extraordinari sempre que hi hagi modificacions significatives en el sistema que puguin repercutir en les mesures de seguretat.

PROCEDIMIENTS DE DETERMINACIÓ DE CONFORMITAT

La conformitat amb l'ENS consisteix a adoptar i manifestar que s'han implantat les mesures necessàries en funció de la categoria del sistema (Baixa. Mitjana, Alta) i assegurar que es mantenen al llarg del cicle de vida del sistema, mitjançant auditories regulars de les que s'ha d'elaborar un informe en què es reflecteixin el grau de compliment de les mesures de seguretat, s'identifiquin deficiències i suggereixin mesures correctores o complementàries així com les recomanacions que es considerin oportunes. També s'hauran d'incloure els criteris metodològics utilitzats, l'abast i l'objectiu de l'auditoria i les dades, fets i observacions en què es basen les conclusions.

L'Annex III ENS precisa l'abast de la verificació prescrivint als 2 procediments que es resumeixen en la següent taula:

Procedimiento de verificación

Categoría de los

Sistemas Afectados

Manifestación de conformidad

Resultado de la    

   verificación

Análisis de la    

 verificación

AUTOEVALUACIÓN

Realizada por el mismo personal que administra el sistema de información o aquel otro en quién hubiere delegado

 

 

 

  

      BÁSICA

 

 

DECLARACIÓN

           DE CONFORMIDAD

Documento de

autoevaluación,

indicando si cada medida de seguridad está implantada y Sujeta a revisión regular y las evidencias que sustentan la valoración anterior

 

Los documentos de autoevaluación serán analizados por el responsable de seguridad competente,

que elevará las

conclusiones al

responsable del sistema para que adopte las medidas correctoras

adecuadas.

 

 

 

 

 

AUDITORÍA FORMAL

con las garantías metodológicas y de

Independencia, profesionalidad y adecuación requeridas.

 

 

 

 

 

 

  MEDIA/ALTA

 

 

 

 

CERTIFICACIÓN

           DE CONFORMIDAD

Informe de auditoría,

dictaminando sobre el grado de cumplimiento con el ENS, identificando

sus deficiencias y

Sugiriendo, en su caso, posibles medidas correctoras o complementarias y las recomendaciones que se consideren oportunas.

Deberá incluir o

referenciar los criterios

metodológicos de

auditoría utilizados, el alcance y el objetivo de la auditoría, y los datos, hechos y observaciones

en que se basen las

conclusiones formuladas

Los informes de

auditoría serán

analizados por el

responsable de

seguridad competente,

que presentará sus conclusiones al responsable del sistema para que adopte las

medidas correctoras

adecuadas

PUBLICITAT DE LA CONFORMITAT

Com hem comentat, hi ha dues formes d'acreditar la conformitat amb l'ENS segons la categoria del sistema de què es tracti:

  • Categoria Bàsica -> DECLARACIÓ DE CONFORMITAT: Ha de ser en document electrònic no editable signat per l'entitat responsable del sistema d'informació amb l'estructura i contingut següent:

NOTA: Los textos señalados en letra cursiva deben ser adaptados a cada caso

  • Categoria Mitjana o Alta -> CERTIFICACIÓ DE CONFORMITAT: Ha de ser en document electrònic no editable signat per l'entitat certificadora i que contingui almenys la informació següent:

Tant la declaració com la certificació de conformitat, s'han de publicar a la Seu electrònica o la pàgina web de l'entitat pública o privada que es tracti mitjançant un distintiu amb un enllaç al document en qüestió.

Els distintius són els següents:

SOLUCIONS I SERVEIS PRESTATS PEL SECTOR PRIVAT

Cada vegada és més freqüent que el sector privat proporcioni solucions tecnològiques o presti serveis a les AAPP (per exemple en el núvol) i que a aquests serveis o solucions pugui ser-los d'aplicació l'ENS. En aquests casos, els proveïdors privats han de poder mostrar la corresponent declaració o certificació de conformitat segons correspongui en fucnión de la categoria del sistema, mitjançant els mateixos procediments que les AAPP.

És responsabilitat de les administracions públiques contractants comunicar aquesta obligació al sector privat, que haurà de fer servir els mateixos models documentals però canviant les referències a les AAPP pel sector privat i publicar-ho en les seves pàgines web en les mateixes condicions que les AAPP en les seves seus electròniques (és dir el corresponent distintiu amb un enllaç al document electrònic no editable).

Les AAPP i el CCN podran sol·licitar a les organitzacions del sector privat els informes de les Autoevaluciones i Auditories corresponents per verificar el compliment.

Aquest post ha estat escrit per Mireia Puig, la nostra consultora en Administració electrònica i especialista en temes legals relacionats amb l'Administració electrònica.