Comunicados CCN-CERT

Publicada en el BOE la Instrucción Técnica de Seguridad de Auditoría

  • Tercera ITS publicada en el Boletín Oficial del Estado de la serie prevista en el Real Decreto del Esquema Nacional de Seguridad.
  • Esta ITS establece las condiciones para la realización de la preceptiva auditoría de seguridad a la que deben someterse los sistemas de información del ámbito de aplicación del ENS, teniendo en cuenta que los sistemas de categoría MEDIA o ALTA están obligados a superar una auditoría al menos cada dos años.
  • Objeto, ámbito de aplicación, propósito de la Auditoría, obligatoriedad y normativa reguladora, definición del alcance, ejecución, informe de Auditoría, entidades auditoras del Sector Público y una disposición adicional sobre el Reglamento General de Protección de Datos, son los principales capítulos de esta Resolución de 27 de marzo de 2018, de la Secretaría de Estado de Función Pública.

El Boletín Oficial del Estado, de hoy 3 de abril de 2018, ha publicado la Resolución de 27 de marzo de 2018, de la Secretaría de Estado de Función Pública, por la que se aprueba la Instrucción Técnica de Seguridad (ITS) “Auditoría de la Seguridad de los sistemas de información”, que será de aplicación al día siguiente de su publicación (4 de abril).

Esta ITS tiene por objeto establecer las condiciones para la realización de las auditorías, ordinarias o extraordinarias, previstas en el artículo 34 del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad. Las auditorías deben realizarse con el fin de determinar el grado de conformidad con el ENS y debe permitir a sus responsables adoptar las medidas oportunas para subsanar las deficiencias encontradas y, en su caso, posibilitar la obtención de la correspondiente Certificación de Conformidad.

Cabe recordar que para obtener esta Certificación, los sistemas de información de categoría MEDIA o ALTA precisarán superar una Auditoría de Seguridad, al menos cada dos años. Asimismo, los informes de auditoría emitidos podrán ser requeridos por el CCN-CERT ante cualquier agresión recibida en los sistemas de información de las Administraciones Públicas (artículo 37 del ENS).

Para el desarrollo de las auditorías, la Resolución ahora publicada señala que deberán realizarse conforme a la propia ITS y, cuando corresponda, a las normas nacionales e internacionales sobre auditorías, entre ellas las Guías CCN-STIC 802 Guía de Auditoría, CCN-STIC 804 Guía de Implantación y CCN-STIC 808 Verificación del cumplimiento de las medidas en el ENS.

Instrucciones Técnicas de Seguridad

Esta es la tercera ITS publicada de obligado cumplimiento, a propuesta de la Comisión Sectorial de Administración Electrónica y a iniciativa del Centro Criptológico Nacional, tal y como recoge el artículo 29 del Real Decreto 3/2010, por el que se regula el ENS. Las otras dos versan sobre la “Conformidad con el Esquema Nacional de Seguridad” e “Informe del Estado de la Seguridad”.

Estas instrucciones técnicas entran a regular aspectos concretos que la realidad cotidiana ha mostrado especialmente significativos, tales como: Informe del Estado de la Seguridad; notificación de incidentes de Seguridad; auditoría de la Seguridad; conformidad con el Esquema Nacional de Seguridad; adquisición de Productos de Seguridad; criptología de empleo en el Esquema Nacional de Seguridad; interconexión en el Esquema Nacional de Seguridad y Requisitos de Seguridad en entornos externalizados, sin perjuicio de las propuestas que pueda acordar el Comité Sectorial de Administración Electrónica, según lo establecido en el citado artículo 29.

CCN-CERT (03/04/2018)

Acceso a la Instrucción Técnica de Seguridad (ITS) “Auditoría de la Seguridad de los sistemas de información”

 

 

Ministerio de Defensa
CNI
CCN
CCN-CERT