Aware of the need to publicize the guarantees adopted in the development of public administration and development of the administrative procedure provided by electronic means, Article 41 of the ENS states:

Article 41. Publication of conformity.

Bodies and Public law bodies give publicity in the corresponding electronic headquarters to the declarations of conformity, and the hallmarks of security of those creditors, obtained regard to compliance with the National security Scheme..

Depending on the category system distinguishes between Declaration of Conformity and Certification of conformity, gathered in Guide 809 (Declaration and Certification of Compliance ENS):

Instrucción Técnica de Seguridad (ITS) de conformidad con el Esquema Nacional de Seguridad.

Accredited certification entities

ENAC

This distinction applies to government entities, services and solutions providers and auditing and certification service providers.

La Entidad Nacional de Acreditación (ENAC) pone a disposición de los interesados el esquema de acreditación de entidades que quieran certificar el cumplimiento con el Esquema Nacional de Seguridad (ENS).

El esquema de acreditación ha sido desarrollado por ENAC en estrecha colaboración con el Ministerio de Hacienda y Función Pública (MINHAFP) y el Centro Criptológico Nacional (CCN).

En el caso de sistemas clasificados con el grado de DIFUSIÓN LIMITADA (DL) o equivalente, una entidad debe estar acreditada por ENAC en el ámbito de aplicación del Esquema Nacional de Seguridad conforme a la norma UNE-EN ISO/IEC 17065:2012 para poder certificar el cumplimiento de requisitos STIC. Además, las entidades auditoras de seguridad deben disponer de Habilitación de Seguridad de Empresa (HSEM) en vigor.

También se podrá certificar el cumplimiento de los requisitos STIC en el ámbito de los sistemas clasificados (DL) entre aquellas entidades auditoras que cumplan alguna de las siguientes opciones (CCN-STIC-101):

  1. Ser una entidad, órgano, organismo y unidad vinculada o dependiente de las Administraciones Públicas cuyas competencias incluyan el desarrollo de auditorías de sistemas de información, así conste en su normativa de creación o decretos de estructura y quede garantizada la debida imparcialidad.
  2. Excepcionalmente, ser una empresa validada por el CCN, que haya demostrado la capacidad técnica suficiente para llevar a cabo auditorías/inspecciones STIC sobre sistemas que manejan información clasificada.

Los interesados en solicitar la acreditación pueden ponerse en contacto con la ENAC en el correo: This email address is being protected from spambots. You need JavaScript enabled to view it.

Se prevén actividades de certificación de forma transitoria hasta transcurridos dos años desde la entrada en vigor de la Instrucción Técnica de Seguridad de conformidad con el Esquema Nacional de Seguridad publicada en B.O.E. nº 265, de 2 de noviembre de 2016, de acuerdo con lo indicado en el Apartado VI de Requisitos de de las Entidades Certificadoras. Durante este periodo, las certificaciones concedidas por una entidad EN PROCESO seguirán siendo válidas aunque la entidad certificadora no supere el proceso de acreditación de ENAC. Para más información, consultar la Instrucción Técnica de Conformidad con el ENS.

 

Entidades de certificación acreditadas o en vías de acreditación para expedir certificaciones de conformidad con el ENS y sistemas clasificados con el grado de DIFUSIÓN LIMITADA (DL) o equivalente:

Nombre Razón social Enlace web Estado Acreditación ENS Estado Acreditación STIC (DL)
AENOR Internacional S.A.U. AENOR Internacional S.A.U. www.aenor.com ACREDITADA
(21/04/2017)		 ACREDITADA
(21/04/2017)
Audertis Audit Services, S.L. Audertis Audit Services, S.L. www.audertis.es

ACREDITADA
(29/12/2017)

 ACREDITADA
(29/12/2017)
BDO Auditores, S.L.P. BDO Auditores, S.L.P. www.bdo.es ACREDITADA
(15/06/2018)		 -
Cámara Certifica Certificación y Confianza, Cámara S.L.U. camaracertifica.es/ EN PROCESO
(DESDE 27/10/2017)		 -
Eurocertificación Eurocert Certification Spain S.L. Desconocida EN PROCESO
(DESDE 27/10/2017)		 -
Ingeniería de Sistemas para la Defensa de España (ISDEFE) Empresa pública de consultoría e ingeniería www.isdefe.es - ACREDITADA
(15/06/2018)
LEET Security, S.L. LEET Security, S.L. www.leetsecurity.com ACREDITADA
(23/02/2018)		 -
LGAI Technological Center, S.A. (APPLUS) LGAI Technological Center, S.A. (APPLUS) www.appluscertification.com/es ACREDITADA
(27/07/2018)		 -
Lloyd´s Register Quality Assurance España, S.L. Lloyd´s Register Quality Assurance España, S.L. www.lrqa.es EN PROCESO
(DESDE 20/10/2017)		 -
Sidertia Solutions, S.L. Sidertia Solutions, S.L. www.sidertia.com - ACREDITADA
(15/06/2018)

 

La fecha indicada cuando una entidad está en proceso de acreditación corresponde a la fecha en la que dicha acreditación fue solicitada a ENAC. Durante el plazo de 12 meses, la empresa en proceso de acreditación podrá realizar auditorías y emitir certificados. Si durante ese periodo no se ha obtenido la acreditación, la entidad en proceso deberá cesar en sus actividades de certificación.

CCN-STIC Guides

800 Series establishes policies and procedures for the implementation of the measures contained in the ENS and especially the following documents:

Audits Web Services

For this action review the following CCN-STIC guides:

PILAR: Risk Analysis Tool

CLARA: ENS compliance tool

MAGERIT: Methodology of analysis and risk management information systems

Certified products: Organismo de Certificación

REYES es una solución desarrollada por el CCN-CERT para agilizar la labor de análisis de ciberincidentes y compartir información de ciberamenazas.

A través de este portal centralizado de información puede realizarse cualquier investigación de forma rápida y sencilla, accediendo desde una única plataforma a la información más valiosa sobre ciberincidentes. Una información contextualizada y correlada con las principales fuentes de información, tanto públicas como privadas.

El núcleo de información de REYES está basado en la tecnología MISP (Malware Information Sharing Platform), que es enriquecida con fuentes externas de información que permiten agilizar la prevención y la respuesta a incidentes.

¿Qué hace de REYES una solución única?

REYES

Existen distintos aspectos que hacen de REYES una solución única:

  • Múltiples fuentes
    REYES se nutre de múltiples fuentes de información, especialmente analizadas y escogidas para englobarlas en una única solución
  • Grafo de asociación o de inteligencia
    A través del grafo de asociación o de inteligencia se crean relaciones entre los diferentes indicadores y eventos que permiten al analista pivotar entre los distintos indicadores para establecer una visión más completa del atacante y la infraestructura que emplea.
  • Priorización de la información
    REYES además procesa y analiza la información. De este modo muestra al analista la información más relevante que le permita agilizar su respuesta a incidentes
  • Información exclusiva
    Al ser MISP su núcleo de información y estar federado con organismos internaciones, a través de REYES tendrá acceso a gran información privilegiada
  • Descarga de información
    REYES facilita la descarga de informes, muestras y de indicadores de compromiso

El acceso a esta plataforma está restringido a todas aquellas organizaciones que cuentan con un certificado del SAT-INET (con las mismas credenciales) y se realiza por el siguiente enlace: https://reyes.ccn-cert.cni.es

Puede encontrar más información en las siguientes Guías CCN-STIC:

REYES

  • Guía CCN-STIC-423 Indicadores de Compromiso, que muestra las herramientas existentes para identificar indicadores de compromiso (IoC), así como los pasos que se deben dar para actuar frente a amenazas desconocidas. También se muestran las etapas necesarias para compartir estos ficheros de inteligencia en la plataforma disponible REYES , así como los pasos de creación y exportación de manera manual.
  • Guía CCN-STIC-424 Intercambio de Información de Ciberamenazas. STIX-TAXII, que presenta las últimas tendencias en materia de compartición de la información y de los estándares más utilizados en el sector (STIX, TAXII) así como las numerosas ventajas de su uso para la mejora de las capacidades defensivas de una organización. Se ofrece, además, un caso práctico de uso con la herramienta REYES en el que se pueden seguir las operaciones básicas – como importar y exportar inteligencia -, todo ello basado en un ataque conocido.
  • Guía CCN-STIC-425 Ciclo de Inteligencia y Análisis de Intrusiones, cuyo objeto es ofrecer una explicación, simple y concisa, de lo que en ciberseguridad constituye la llamada Ciberinteligencia y el Ciclo de Inteligencia, desarrollando una de sus fases más significativas: el Análisis. Con este propósito se desarrolla un Modelo para el Análisis Formal de Intrusiones.

REYES

 

Contacto:

Clave PGP [Descargar]

FINGERPRINT 5F9B 0A27 E5E6 B0A1 DFD7 A0BD 1906 C4EF 45D9 D4E8

UE

This section offers updated cybersecurity information, compiled by own sources and third parties and focused on daily news from external links, warnings and vulnerabilities from the main manufacturers and CCN-CERT’s activity.

More Articles …

Page 2 of 7

Ministerio de Defensa
CNI
CCN
CCN-CERT