- El documento BP/14 se encuentra en la parte pública del portal del CCN-CERT.
- El informe incluye el procedimiento para definir la declaración de aplicabilidad, la categorización de un sistema, la determinación de los niveles de seguridad por dimensión, de la categoría y de las medidas de aplicación, ejemplos y el perfil de cumplimiento.
- Al final de la publicación se puede consultar un decálogo de recomendaciones a tener en cuenta para determinar una Declaración de Aplicabilidad en el ámbito del Esquema Nacional de Seguridad.
El CERT del Centro Criptológico Nacional (CCN-CERT) ha publicado un nuevo Informe de Buenas Prácticas en la parte pública de su portal. El documento CCN-CERT BP/14 tiene por objetivo explicar el procedimiento para definir la declaración de aplicabilidad en el Esquema Nacional de Seguridad (ENS).
El informe incluye la determinación de la categoría de un sistema (Básica, Media o Alta), la cual se basa en la valoración del impacto que tendría sobre la organización un incidente que afectara a la seguridad de la información o de los sistemas. Asimismo, el documento contempla la determinación de los niveles de seguridad en función de la dimensión.
Otro de los puntos principales es el relativo a la determinación de las medidas de aplicación, necesarias para lograr el cumplimiento de los principios básicos y requisitos mínimos establecidos en el ENS. En este sentido, el Anexo II del Real Decreto 3/2010 recoge la correspondencia entre los niveles de seguridad exigidos en cada dimensión y las medidas de seguridad aplicables.
El informe finaliza con una serie de ejemplos, un apartado dedicado al perfil de cumplimiento, conformado este por un conjunto de medidas de seguridad y su implementación concreta resultado de un análisis de riesgos, así como un decálogo de recomendaciones.
CCN-CERT (05/07/2019)
