caes

Actualidad

Conformidad con el ENS

¿Cómo determinar la conformidad con el ENS? El Esquema Nacional de Seguridad (ENS) fomenta la confianza en el uso de los medios electrónicos garantizando la seguridad. A partir del 5 de noviembre 2017, debían adecuarse todos los sistemas a lo dispuesto en la modificación del Esquema Nacional de Seguridad a través del Real Decreto 951/2015. Con esta modificación se amplía el ámbito de aplicación del ENS. Las exigencias de seguridad que dispone, no sólo son de aplicación a las AAPP sino también a los prestadores de servicios del sector privado. Sigue leyendo para saber más sobre la conformidad con el ENS.

Publicado el

CONFORMIDAD CON EL ENS

Tal y como ibamos diciendo, el Sector Privado que participa en la prestación de servicios a las Entidades Públicas (por ejemplo a través de servicios en la nube) quedan incluidos en el ámbito de la publicidad del cumplimiento del ENS que establece el art 41 del RD 3/2010: “Los órganos y Entidades de Derecho Público darán publicidad en las correspondientes sedes electrónicas a las declaraciones de conformidad, y a los distintivos de seguridad de los que sean acreedores, obtenidos respecto al cumplimiento del Esquema Nacional de Seguridad”

Respecto a los distintivos, existe el Plan de Seguridad de los Sistemas de Información y Telecomunicaciones (PSSIAP) que establece la creación del distintivo y a su vez, existe la Guía de Declaración y Certificación de Conformidad con el ENS que establece el contenido, quién puede solicitarlos, quién puede concederlos y cómo publicitarlos.

CRITERIOS DE DEERMINACIÓN DE LA CONFORMIDAD

Elementos a tener en cuenta para determinar la conformidad con el ENS:

  1. Cumplir los mandatos del RD ENS e implantar las medidas de seguridad del Anexo II del ENS

  2. Las guías:

    1. CCN-STIC 802 (ENS guía de auditoría)
    2. CCN-STIC 804 (ENS guía de implantación)
    3. CCN-STIC 808 (ENS verificación del cumplimiento de medidas ENS)

Estas guías proporcionan los elementos necesarios para definir:

  •  Los criterios de determinación de la conformidad
  • La implantación y verificación de las medidas de seguridad, incluyendo el proceso de auditoría.
  1. Para sistemas de información de Categoría MEDIA y ALTA à La determinación de conformidad se hará mediante auditoría al menos cada 2 años y con carácter extraordinario siempre que haya modificaciones significativas en el sistema que puedan repercutir en las medidas de seguridad.
  2. Para sistemas de información de Categoría BAJA à basta Autoevaluación que deberá ser también mínimo cada 2 años y con carácter extraordinario siempre que haya modificaciones significativas en el sistema que puedan repercutir en las medidas de seguridad.

PROCEDIMIENTOS DE DETERMINACIÓN DE CONFORMIDAD

La conformidad con el ENS consiste en adoptar y manifestar que se han implantado las medidas necesarias en función de la categoría del sistema (Baja. Media, Alta) y asegurar que se mantienen a lo largo del ciclo de vida del sistema, mediante auditorías regulares de las que deberá elaborarse un informe en el que se reflejen el grado de cumplimiento de las medidas de seguridad,  se identifiquen deficiencias y sugieran medidas correctoras o complementarias así como las recomendaciones que se consideren oportunas. También se deberán incluir los criterios metodológicos utilizados, el alcance y el objetivo de la auditoría y los datos, hechos y observaciones en que se basan las conclusiones.

El Anexo III ENS precisa el alcance de la verificación prescribiendo los 2 procedimientos que se resumen en la siguiente tabla:

Procedimiento de verificación

Categoría de los

Sistemas Afectados

Manifestación de conformidad

Resultado de la    

   verificación

Análisis de la    

 verificación

AUTOEVALUACIÓN

Realizada por el mismo personal que administra el sistema de información o aquel otro en quién hubiere delegado

 

 

 

  

      BÁSICA

 

 

DECLARACIÓN

           DE CONFORMIDAD

Documento de

autoevaluación,

indicando si cada medida de seguridad está implantada y Sujeta a revisión regular y las evidencias que sustentan la valoración anterior

 

Los documentos de autoevaluación serán analizados por el responsable de seguridad competente,

que elevará las

conclusiones al

responsable del sistema para que adopte las medidas correctoras

adecuadas.

 

 

 

 

 

AUDITORÍA FORMAL

con las garantías metodológicas y de

Independencia, profesionalidad y adecuación requeridas.

 

 

 

 

 

 

  MEDIA/ALTA

 

 

 

 

CERTIFICACIÓN

           DE CONFORMIDAD

Informe de auditoría,

dictaminando sobre el grado de cumplimiento con el ENS, identificando

sus deficiencias y

Sugiriendo, en su caso, posibles medidas correctoras o complementarias y las recomendaciones que se consideren oportunas.

Deberá incluir o

referenciar los criterios

metodológicos de

auditoría utilizados, el alcance y el objetivo de la auditoría, y los datos, hechos y observaciones

en que se basen las

conclusiones formuladas

Los informes de

auditoría serán

analizados por el

responsable de

seguridad competente,

que presentará sus conclusiones al responsable del sistema para que adopte las

medidas correctoras

adecuadas

PUBLICIDAD DE LA CONFORMIDAD

Como hemos comentado, hay dos formas de acreditar la conformidad con el ENS según la categoría del sistema del que se trate:

  • Categoría Básica -> DECLARACIÓN DE CONFORMIDAD: Debe ser en documento electrónico no editable firmado por la entidad responsable del sistema de información con la estructura y contenido siguiente:

NOTA: Los textos señalados en letra cursiva deben ser adaptados a cada caso

  • Categoría Media o Alta -> CERTIFICACIÓN DE CONFORMIDAD: Debe ser en documento electrónico no editable firmado por la entidad certificadora y que contenga almenos la información siguiente:

Tanto la declaración como la certificación de conformidad, deben publicarse en la Sede electrónica o la página web de la Entidad pública o privada de que se trate mediante un distintivo con un enlace al documento en cuestión.

Los distintivos son los siguientes:

SOLUCIONES Y SERVICIOS PRESTADOS POR EL SECTOR PRIVADO

Cada vez es más frecuente que el sector privado proporcione soluciones tecnológicas o preste servicios a las AAPP (por ejemplo en la nube) y que a estos servicios o soluciones pueda serles de aplicación el ENS. En estos casos, los proveedores privados deberán poder mostrar la correspondiente declaración o certificación de conformidad según corresponda en fucnión de la categoría del sistema, mediante los mismos procedimientos que las AAPP.

Es responsabilidad de las AAPP contratantes comunicar dicha obligación al sector privado, que deberá usar los mismos modelos documentales pero cambiando las referencias a las AAPP por el sector privado y publicarlo en sus páginas web en las mismas condiciones que las AAPP en sus sedes electrónicas (es decir el correspondiente distintivo con un enlace al documento electrónico no editable).

Las AAPP y el CCN podrán solicitar a las organizaciones del sector privado los informes de las Autoevaluciones y Auditorías correspondientes para verificar el cumplimiento.

Este post ha sido escrito por Mireia Puig, nuestra consultora en Administración electrònica y especialista en temas legales relacionados con la Administración electrònica.