INES es una solución desarrollada por el CCN para la gobernanza de la ciberseguridad, que permite evaluar regularmente el estado de la seguridad de los sistemas TIC de las entidades, organismos y organizaciones, además de su adecuación e implantación al Esquema Nacional de Seguridad (ENS) adaptándose a otros estándares o normas reguladoras en caso necesario.
Existen dos (2) modalidades de INES:
- Entidad matriz: entidad con entidades vinculadas o dependientes de ella.
- Entidad individual: una única entidad sin entidades vinculadas o dependientes.
La plataforma permite la recogida de información organizada, delegada y supervisada de forma continua a lo largo de todo el año. De tal manera, que cada organización puede acceder, completar o consultar sus datos, en cualquier momento y ver su evolución.
Módulos y asistentes para la adecuación/implantación del ENS
Además, el CCN ha desarrollado una serie de módulos y asistentes para llevar a cabo todas las acciones relacionadas con la creación de un Plan de Adecuación para priorizar, planificar las tareas a realizar en las primeras fases de la adecuación al ENS, así como la hoja de ruta de implantación de medidas de seguridad.
- Preparar y elaborar la Política de Seguridad, incluyendo la organización del Comité de Seguridad.
- Determinar el Alcance de la Certificación, mediante la identificación de los servicios prestados y los sistemas en los que están sustentados.
- Categorización del Sistema, atendiendo a la valoración de las dimensiones de seguridad de los servicios prestados y de la información que manejan.
- Descargar los modelos de procedimientos y normativas necesarios para la adecuación al ENS y gestionar la documentación del marco normativo.
- Recabar una postura de seguridad adaptada en base a una Declaración de Aplicabilidad provisional.
- Utilización del Módulo de Verificación de Perfiles de Cumplimiento en cuanto al Riesgo (MVPCR) para realizar un análisis de riesgos formal, incluyendo la valoración de las medidas definidas en la Declaración de Aplicabilidad.
- Validar la Declaración de Aplicabilidad definitiva y la postura de seguridad asociada.
- Llevar a cabo el proceso de implantación y así adecuarse al ENS de forma guiada gracias a sus Asistentes de Implantación (estándar, µCeENS y µCeENS-NG), que señalan los pasos que se deben seguir, muestran ayudas a lo largo de todo el proceso y evalúan automáticamente la conformidad del sistema para detectar carencias.
- Gestionar la seguridad del sistema, donde será posible llevar a cabo los registros de usuarios, registros de soportes, formación y cualquier otro registro necesario para mantener la seguridad en el ENS.
- Solicitar la auditoría de Certificación de Conformidad.
Conviene reseñar que el siguiente paso sería la implantación de medidas de seguridad, a través de la solución AMPARO.
El Centro Criptológico Nacional ha desarrollado las herramientas INES y AMPARO, ambas del Marco de Gobernanza del ENS, al objeto de poner a disposición de sus entidades usuarias elementos de apoyo para la Adecuación al ENS, la Obtención y Gestión de las Declaraciones o Certificaciones de Conformidad con el ENS y la gestión de las correspondientes evidencias, que, junto al resto de soluciones del ecosistema de herramientas del CCN-CERT contribuyen a la Gestión Continua de la Ciberseguridad.
- Instrucción Técnica de Seguridad (ITS) de Informe del Estado de la Seguridad
- Manual Asistente Plan de Adecuación INES
- Manual Asistente µCeENS
- Manual Asistente DOCSEG
- FAQ
- Resultados generales INES
Con el fin de mejorar la seguridad, garantizar la autenticidad del usuario y la confidencialidad de la información de los organismos, el acceso a las herramientas del CCN-CERT destinadas a la Gobernanza de la Ciberseguridad Nacional se realiza a través del sistema cl@ve, reconocido y aprobado por Resolución de 14 de diciembre de 2015, de la Dirección de Tecnologías de la Información y las Comunicaciones.
Clave PGP Descargar
FINGERPRINT B919 42A0 6F2D 7E40 9DDE 1165 E361 6FE1 BB13 7A55