- Este documento pude consultarse en la parte pública del portal del CCN-CERT
- Los criterios y procedimiento de determinación de la conformidad con el ENS, la declaración y certificación de conformidad, la comunicación de las certificaciones al CCN y su publicación, así como el Consejo de Certificación del Esquema Nacional de Seguridad (COCENS) y sus términos de referencia son los principales contenidos que se pueden encontrar en la guía actualizada.
- La Guía CCN-STIC 809, que forma parte del la Serie CCN-STIC-800 sobre políticas y procedimientos en relación con el ENS, incluye dos anexos con los modelos de declaración de conformidad y distintivo.
El CCN-CERT del Centro Criptológico Nacional ha publicado en su portal web una guía dentro de la Serie CCN-STIC-800, en la que se establece las políticas y procedimientos adecuados para la implementación de las medidas contempladas en el Esquema Nacional de Seguridad (ENS). Concretamente, la actualización de la Guía CCN-STIC 809, disponible en la parte pública del portal, trata sobre la declaración y certificación de conformidad con el ENS y distintivos de cumplimiento.
Entre los contenidos más destacados de esta nueva guía, publicada por primera vez en julio de 2010, se encuentran los criterios y procedimiento de determinación de la conformidad con el ENS, la declaración y certificación de conformidad, la comunicación de las certificaciones al CCN y su publicación, así como el Consejo de Certificación del Esquema Nacional de Seguridad (COCENS).
De especial relevancia es este último apartado, en el que se detallan diversos aspectos referentes al COCENS. Este órgano colegiado, dependiente del CCN, fue creado con el principal objetivo de ayudar a la adecuada implantación del ENS y, en consecuencia, a la mejor y más garante prestación de los servicios públicos, objetivos últimos de este Esquema. Tal y como queda recogido en sus términos de referencia, incluidos en la presente guía, las principales funciones del Consejo son las siguientes:
- Velar por la adecuada implantación de la Certificación del ENS, adoptando las medidas que, en Derecho, correspondan.
- Alentar los procesos de Certificación de la Conformidad con el ENS en las entidades de su ámbito subjetivo de aplicación, de los sectores público y privado.
- Proponer para su análisis y, en su caso, redactar y publicar Normas, Criterios o Buenas Prácticas en materia de Certificación de la Conformidad con el ENS.
- Asesorar a las partes implicadas respecto de los métodos, procedimientos, herramientas y criterios en materia de Certificación de la Conformidad con el ENS y, en general, con su implantación, orientando su gestión al mejor servicio del sector público y la mayor y mejor colaboración con el sector privado, fabricantes y suministradores de productos o servicios.
- Asesorar a las partes implicadas en la identificación de otros esquemas, arreglos o acuerdos, donde la defensa de la validez y reconocimiento mutuo de los certificados emitidos sea de interés para los sectores público y privado.
- Informar a sus Departamentos constituyentes y al Consejo Nacional de Ciberseguridad sobre el grado de implantación de la certificación de Conformidad con el Esquema Nacional de Seguridad.
Por último, el documento incluye dos anexos con los modelos de certificación de conformidad, en los que se puede ver el aspecto final que tendría una Certificación de Conformidad con el ENS.
CCN-CERT (28/06/2019)
Guía CCN-STIC 809
- El nuevo documento se encuentra en la parte pública del portal del CCN-CERT.
- Entre los principales contenidos de esta guía se encuentra la herramienta PILAR, el análisis de riesgos con Micro PILAR, el Esquema Nacional de Seguridad, el Reglamento General de Protección de Datos y un plan de tratamiento de riesgos.
- El objetivo de la Guía CCN-STIC-882 es desarrollar el proceso de Análisis y Gestión de Riesgos utilizando la herramienta Micro PILAR paso a paso.
El CCN-CERT del Centro Criptológico Nacional ha publicado en la parte pública de su portal web una nueva guía sobre análisis de riesgos para entidades locales. Concretamente, la Guía CCN-STIC-882 desarrolla el proceso de Análisis y Gestión de Riesgos utilizando la herramienta Micro PILAR paso a paso, de manera que sirva de ayuda guiada para las personas responsables de realizar este análisis de riesgos en una Entidad Local para el cumplimiento del Esquema Nacional de Seguridad (ENS) y el Reglamento General de Protección de Datos (RGPD).
Los requisitos generales de esta guía, que permite a las Entidades Locales realizar el análisis de manera independiente a su localización geográfica o tamaño, son disponer de la herramienta Micro PILAR en versión 7.3 o superior instalada y con la licencia adecuada para su funcionamiento, así como contar con un inventario de los servicios, datos, tratamientos de datos de carácter personal e infraestructura tecnológica actualizado de la institución.
Entre los principales contenidos que recoge la guía se encuentran la herramienta Pilar, el análisis de riesgos con Micro PILAR, el Esquema Nacional de Seguridad, el Reglamento General de Protección de Datos y un plan de tratamiento de riesgos.
Algunas de las ventajas que aporta la utilización de la herramienta PILAR son conocer los riesgos a fin de poder tratarlos, conocer el grado de cumplimiento de diferentes perfiles de seguridad e implementar la metodología Magerit.
CCN-CERT (27/06/2019)
Guía CCN-STIC-882
- El evento se celebra el próximo 27 de junio en el Instituto de la Ingeniería de España y está organizado por el Comité de Sociedad Digital de dicha entidad.
- En el curso de la jornada, los asistentes tendrán la ocasión de conocer, de la mano de los expertos invitados, el alcance de la Estrategia: el marco en el que se formula, los objetivos que pretende, las acciones y medidas que contempla, así como el modelo de gobernanza adoptado.
- Javier Candau, jefe del Departamento de Ciberseguridad del Centro Criptológico Nacional, intervendrá en la mesa redonda que conforma el programa, junto a otros expertos de los principales organismos que contribuyeron a la formulación de la Estrategia.
El Comité de Sociedad Digital del Instituto de la Ingeniería de España (IIE) organiza, el próximo 27 de junio, una jornada para tratar diferentes temas con relación a la Estrategia de Ciberseguridad Nacional 2019, publicada en el BOE el pasado 30 de abril. El evento, que tendrá lugar en el Salón de Actos del IIE General Arrando, dará comienzo a las 19:00 h.
Tras la inauguración por parte del presidente del IIE y el presidente del Comité de Sociedad Digital, se dará paso a una mesa redonda en la que estarán presentes diferentes expertos de algunos de los principales organismos que contribuyeron a la formulación de la Estrategia. Durante esta, se hablará sobre el marco en el que se formula, los objetivos que pretende, las acciones y medidas que contempla, así como el modelo de gobernanza adoptado.
Javier Candau, jefe del Departamento de Ciberseguridad del Centro Criptológico Nacional (CCN), será uno de los profesionales que participen en esta mesa. Además, intervendrán Alejandro Pinto González, del Departamento de Seguridad Nacional (DSN), Fernando J. Sánchez Gómez, director del Centro Nacional de Protección de Infraestructuras y Ciberseguridad (CNPIC) e Ignacio González Ubierna, subdirector de Tecnologías de Ciberseguridad del Instituto Nacional de Ciberseguridad (INCIBE).
Para desarrollar los diferentes puntos que se contemplan en la jornada, se tomará como punto de partida las amenazas y desafíos que hoy se viven en el ciberespacio, así como las tendencias de dichas amenazas, recogidas en el informe anual elaborado por el CCN correspondiente al año 2019, publicado el pasado 10 de junio.
CCN-CERT (25/06/2019)
Más información
La Guía CCN-STIC-576 puede consultarse en la parte pública del portal del CCN-CERT
Seguridad de dominios y autenticación Mutua TLS, filtrado de transporte y agentes de conformidad, cuarentena de Exchange Server 2016, cuenta administrativa de instalación, permisos, auditoría y conformidad son los principales contenidos incluidos en el nuevo documento.
El propósito de esta guía es proporcionar los procedimientos para implementar y garantizar la seguridad para una instalación completa del sistema de correo electrónico y colaboración “Exchange Server 2016” en su versión Standard o Enterprise en un servidor miembro de una infraestructura de dominio.
Ya está disponible, en la parte pública del portal del CCN-CERT, la Guía CCN-STIC-576 sobre Microsoft Exchange Server 2016 en Windows Server 2016. El objetivo principal de este documento es proporcionar los procedimientos para implementar y garantizar la seguridad para una instalación completa del sistema de correo electrónico y colaboración “Exchange Server 2016” en su versión Standard o Enterprise en un servidor miembro de una infraestructura de dominio.
El escenario en el que se basa el documento tiene las siguientes características técnicas:
- Un único bosque de Directorio Activo.
- Un único dominio dentro del bosque de Directorio Activo.
- Nivel funcional del bosque y del domino en Windows Server 2016.
- Un controlador de dominio basado en Windows Server 2016 Standard.
- Un servidor miembro del dominio basados en Windows Server 2016 Standard.
- La instalación de SQL Server 2016 se realiza en modo limpio, es decir, no se contemplan procedimientos de migración desde versiones anteriores.
- En el servidor miembro se instala el rol de servidor de buzones (Mailbox) de Exchange Server 2016.
- No se contemplan mecanismos de alta disponibilidad ni balanceo de carga en el escenario planteado.
En cuanto a los contenidos que se incluyen en la guía, algunos de los más destacados son una descripción de las nuevas funcionalidades, los mecanismos para la implementación de la solución y la aplicación de configuraciones, la descripción de la seguridad en Exchange Server 2016, una guía paso a paso y otra de administración, así como una lista de comprobación.
El documento dispone de las siguientes configuraciones divididas en dos grandes anexos, los cuales se definen a continuación:
- Anexo A: En este anexo se define la configuración necesaria para adaptar los sistemas Microsoft Windows Server 2016 en su versión Standard con el producto Exchange Server 2016, a las necesidades requeridas por el Esquema Nacional de Seguridad (ENS). Se encuentra disponible en la parte pública del portal del CCN-CERT.
- Anexo B: En este anexo se define la configuración necesaria para adaptar los sistemas Microsoft Windows Server 2016 en su versión Standard con el producto Exchange Server 2016 a las necesidades requeridas en los entornos clasificados. Este documento se puede consultar en la parte privada.
CCN-CERT (24/06/2019)
CCN-STIC-576 Microsoft Exchange Server 2016 en Windows Server 2016