Siguiendo lo establecido en el artículo 29 del Real Decreto 3/2010 de 8 de Enero de desarrollo del Esquema Nacional de Seguridad (ENS), el Centro Criptológico Nacional (CCN) y el Ministerio de la Presidencia han elaborado y puesto a disposición de todas las administraciones públicas tres nuevas Guías de Seguridad de las Tecnologías de la Información y las Comunicaciones. Las guías CCN-STIC, englobadas en la nueva serie 800, pretenden fijar un marco de referencia que ayude a todas las administraciones públicas a implantar de forma adecuada el ENS y, principalmente, facilite un mejor cumplimiento de los requisitos mínimos exigibles en el citado Esquema.
Las nuevas guías pueden ser descargadas en el apartado que sobre el Esquema Nacional de Seguridad se ha creado en el portal del CCN-CERT (www.ccn-cert.cni.es) junto con un índice de todas las Guías elaboradas por el Centro Criptológico Nacional (más de 130), unas FAQ del propio ENS, programas de apoyo, así como documentación complementaria del Esquema. Esta nueva serie 800 irá completándose a lo largo del año con otros documentos que faciliten la labor del personal de la Administración a la hora de implantar el ENS.
Las Guías elaboradas y puestas a disposición del personal de la Administración son las siguientes:
- Guía 801 - Responsables y Funciones en el Esquema Nacional de Seguridad. Esta Guía, aún en versión borrador pero de acceso público, ofrece información sobre las distintas figuras recogidas en el RD 3/2010 (responsable de la información, el responsable del servicio, el responsable del sistema y el responsable de seguridad), teniendo siempre en cuenta que la determinación precisa de quién se ocupa de cada función debe adecuarse a las particularidades de cada organización y parece difícil que pueda establecerse una regla única para toda la Administración en todos los niveles.
- Guía 802 - Auditoría del Esquema Nacional de Seguridad. Este documento se encuadra dentro de los requisitos del artículo 34 (Auditoría de la seguridad), y del Anexo III (Auditoría de la Seguridad) del Real Decreto que regula el Esquema. Su principal objetivo es encauzar de una forma homogénea la realización de las auditorías, ordinarias o extraordinarias, estableciendo unas premisas mínimas en su ejecución.
- Guía 803 - Valoración de sistemas en el Esquema Nacional de Seguridad. Esta guía, aún en borrador y sólo accesible para el personal de la AAPP (para descargar desde la parte privada del portal del CCN-CERT), amplía los criterios definidos en el Esquema sobre las medidas de protección de los sistemas, condicionadas a la valoración del nivel de seguridad en cada dimensión (según la información y servicios que soportan).
Con la elaboración de esta nueva Serie, el Centro Criptológico Nacional da cumplimento, no sólo al RD 3/2010, sino también a la función encomendada en el RD 421/2004 en la que se asigna a este Organismo la capacidad de elaborar y difundir normas, instrucciones, guías y recomendaciones para garantizar la seguridad de los sistemas TIC de la Administración. En la actualidad, el CCN cuenta con 130 Guías a las que en breve se unirán otras 25 que se encuentran en estudio o pendientes de aprobación. De ellas, nueve versan sobre el ENS:
- Guía 804: Implementación de Medidas en el ENS
- Guía 805: Modelo de política de seguridad
- Guía 806: Modelo de Plan de Adecuación al ENS
- Guía 807: Criptología de empleo en el ENS
- Guía 808: Verificación del cumplimiento de las medidas en el ENS
- Guía 809: Declaración de conformidad con el ENS
- Guía 810: Guía de Creación de CERTs
- Guía 811: Interconexión en el ENS
- Guía 812: Herramientas de seguridad en el ENS
Centro Criptológico Nacional (15-07-2010)
