1 Implicaciones ENS y ENI. Índice ENS ENI Experiencias ENS y ENI en la URV.
Auditoría y certificación de conformidad con el ENS
-
Upload
miguel-a-amutio -
Category
Technology
-
view
186 -
download
1
Transcript of Auditoría y certificación de conformidad con el ENS
![Page 1: Auditoría y certificación de conformidad con el ENS](https://reader034.fdocument.pub/reader034/viewer/2022042706/58729afd1a28ab07208b48e3/html5/thumbnails/1.jpg)
Seguridad IT (10): Informe del estado de la seguridad,
Auditoría y certificación de conformidad con el ENS
Madrid, 30 de marzo de 2016Miguel A. Amutio Gómez
Subdirector Adjunto de Coordinación de Unidades TICDirección de Tecnologías de la Información y las Comunicaciones
![Page 2: Auditoría y certificación de conformidad con el ENS](https://reader034.fdocument.pub/reader034/viewer/2022042706/58729afd1a28ab07208b48e3/html5/thumbnails/2.jpg)
Contenidos
1. Contexto del ENS2. Conformidad con el ENS
• ¿A quién le interesa participar?• ¿Cuáles son las pautas?• ¿Cuáles son los requisitos?
3. Conclusiones
![Page 3: Auditoría y certificación de conformidad con el ENS](https://reader034.fdocument.pub/reader034/viewer/2022042706/58729afd1a28ab07208b48e3/html5/thumbnails/3.jpg)
1. Contextodel ENS
![Page 4: Auditoría y certificación de conformidad con el ENS](https://reader034.fdocument.pub/reader034/viewer/2022042706/58729afd1a28ab07208b48e3/html5/thumbnails/4.jpg)
El medio electrónico como medio habitual
![Page 5: Auditoría y certificación de conformidad con el ENS](https://reader034.fdocument.pub/reader034/viewer/2022042706/58729afd1a28ab07208b48e3/html5/thumbnails/5.jpg)
+ Referencias específicas: Ley 39/2015: archivo electrónico, validez y eficacia de las copias de documentos y adhesión de CCAA y EELL a las plataformas y registros e la AGE.
Ley 40/2015 y la seguridad
![Page 7: Auditoría y certificación de conformidad con el ENS](https://reader034.fdocument.pub/reader034/viewer/2022042706/58729afd1a28ab07208b48e3/html5/thumbnails/7.jpg)
Estrategia TIC
Objetivo V: Estrategia corporativa de seguridad y usabilidad
![Page 8: Auditoría y certificación de conformidad con el ENS](https://reader034.fdocument.pub/reader034/viewer/2022042706/58729afd1a28ab07208b48e3/html5/thumbnails/8.jpg)
2. Conformidad con el ENS
![Page 9: Auditoría y certificación de conformidad con el ENS](https://reader034.fdocument.pub/reader034/viewer/2022042706/58729afd1a28ab07208b48e3/html5/thumbnails/9.jpg)
Auditoría de la seguridad
Informe del Estado de la seguridad (INES)
Conformidad con el ENS
Auditoría, informe y conformidad
![Page 10: Auditoría y certificación de conformidad con el ENS](https://reader034.fdocument.pub/reader034/viewer/2022042706/58729afd1a28ab07208b48e3/html5/thumbnails/10.jpg)
Art. 41. Publicación de la conformidad: … darán publicidad en las correspondientes sedes electrónicas a las declaraciones de conformidad, y a los distintivos de seguridad de los que sean acreedores, obtenidos respecto al cumplimiento del ENS.
Ley 39/2015
Ley 40/2015
RD 3/2010
Art. 12. Derechos de las personas en sus relaciones con las AA.PP. : … a la seguridad y confidencialidad de los datos que figuren en los ficheros, sistemas y aplicaciones de las Administraciones Públicas.
Art. 3. Principios generales: Las AA.PP. se relacionarán entre sí… a través de medios electrónicos, que aseguren la interoperabilidad y seguridad de los sistemas y soluciones adoptadas por cada una de ellas…Art. 156. ENI y ENS
La conformidad con el ENS, ¿por qué?
![Page 11: Auditoría y certificación de conformidad con el ENS](https://reader034.fdocument.pub/reader034/viewer/2022042706/58729afd1a28ab07208b48e3/html5/thumbnails/11.jpg)
La conformidad con el ENS, ¿a quién le interesa participar?
Órganos de la Administración
Pública y Entidades de
Derecho Público
Prestadores de servicios de auditoría
y certificación
Proveedores de servicios y soluciones
Escuchados los actores interesados
![Page 12: Auditoría y certificación de conformidad con el ENS](https://reader034.fdocument.pub/reader034/viewer/2022042706/58729afd1a28ab07208b48e3/html5/thumbnails/12.jpg)
La conformidad con el ENS, ¿cuáles son las pautas?
En preparación una Instrucción Técnica de Seguridad de Conformidad con el ENS.
![Page 13: Auditoría y certificación de conformidad con el ENS](https://reader034.fdocument.pub/reader034/viewer/2022042706/58729afd1a28ab07208b48e3/html5/thumbnails/13.jpg)
Sistemas de información de categoría BÁSICA
• Realizar Autoevaluación• Elaborar el documento de autoevaluación • Exhibir una Declaración de Conformidad
¿Cuáles son los requisitos paraentidades de la Administración?
![Page 14: Auditoría y certificación de conformidad con el ENS](https://reader034.fdocument.pub/reader034/viewer/2022042706/58729afd1a28ab07208b48e3/html5/thumbnails/14.jpg)
Declaración de Conformidad,podrá representarse:
Mediante Sello o Distintivo de Declaración de Conformidad
Generado por la entidad bajo cuya responsabilidad esté el sistema
Con uso condicionado a la Declaración de Conformidad con el ENS.
¿Cuáles son los requisitos paraentidades de la Administración?Sistemas de información de categoría BÁSICA
(Imágenes ilustrativas sometidas a cambios)
![Page 15: Auditoría y certificación de conformidad con el ENS](https://reader034.fdocument.pub/reader034/viewer/2022042706/58729afd1a28ab07208b48e3/html5/thumbnails/15.jpg)
Sistemas de información de categorías MEDIA o ALTA
• Realizar Auditoría formal• Elaborar Informe de auditoría• Exhibir una Certificación de Conformidad(Voluntaria para categoría Básica)
¿Cuáles son los requisitos paraentidades de la Administración?
![Page 16: Auditoría y certificación de conformidad con el ENS](https://reader034.fdocument.pub/reader034/viewer/2022042706/58729afd1a28ab07208b48e3/html5/thumbnails/16.jpg)
Certificación de Conformidad, podrá representarse:
Mediante un Sello o Distintivo de Certificación de Conformidad
Expedido por una entidad certificadora Con uso condicionado a la posesión
del Certificado de Conformidad con el ENS.
¿Cuáles son los requisitos paraentidades de la Administración?Sistemas de información de categorías MEDIA o ALTA
(Imágenes ilustrativas sometidas a cambios)
![Page 17: Auditoría y certificación de conformidad con el ENS](https://reader034.fdocument.pub/reader034/viewer/2022042706/58729afd1a28ab07208b48e3/html5/thumbnails/17.jpg)
Prestadores de servicios o soluciones a la Administración, a los que resulte exigible el cumplimiento del ENS.
Mismos procedimientos que para la Administración:
¿Cuáles son los requisitos para operadores del sector privado?
Sistemas de información de categoría BÁSICA
Sistemas de información de categorías MEDIA o ALTA
Las entidades de la Administración usuarias podrán solicitar los Informes de Autoevaluación o Auditoría correspondientes
![Page 18: Auditoría y certificación de conformidad con el ENS](https://reader034.fdocument.pub/reader034/viewer/2022042706/58729afd1a28ab07208b48e3/html5/thumbnails/18.jpg)
Acreditación por la ENAC para la certificación de sistemas conforme a UNE-EN ISO/IEC 17065:2012, para la certificación de sistemas del ámbito de aplicación del ENS.
Las Entidades de Certificación que no posean la acreditación, podrán iniciar sus actividades de certificación de forma transitoria, disponiendo de 12 meses para obtener la acreditación.
El CCN mantendrá en su sede electrónica una relación actualizada de las Entidades de Certificación, acreditadas o en vías de acreditación, para expedir Certificaciones de Conformidad con el ENS.
Exentas aquellas entidades, órganos, organismos y unidades de las AA.PP. cuyas competencias se correspondan con el desarrollo de auditorías de sistemas de información y así conste en su normativa de creación.
¿Cuáles son los requisitos paraentidades de auditoría y certificación?
![Page 19: Auditoría y certificación de conformidad con el ENS](https://reader034.fdocument.pub/reader034/viewer/2022042706/58729afd1a28ab07208b48e3/html5/thumbnails/19.jpg)
¿Cuáles son los requisitos paraentidades de auditoría y certificación?
Para iniciar el proceso de acreditación: cumplimentar el formulario de solicitud como entidad de certificación de producto, proceso o servicio, según norma UNE EN ISO/IEC 17065
http://www.enac.es/web/enac/descarga-de-solicitudes
Documentos: https://www.enac.es/web/enac/documentos-descarga
![Page 20: Auditoría y certificación de conformidad con el ENS](https://reader034.fdocument.pub/reader034/viewer/2022042706/58729afd1a28ab07208b48e3/html5/thumbnails/20.jpg)
3. Conclusiones
![Page 21: Auditoría y certificación de conformidad con el ENS](https://reader034.fdocument.pub/reader034/viewer/2022042706/58729afd1a28ab07208b48e3/html5/thumbnails/21.jpg)
ConclusionesRequisitos Entidades de la Administración:Categoría BÁSICA: Autoevaluación -> Declaración de conformidadCategorías MEDIA o ALTA: Auditoría -> Certificación de conformidadRequisitos prestadores de servicios y soluciones desde el sector privado -> mismos procedimientosRequisitos servicios de auditoría y certificación
Acreditación por la ENAC para la certificación de sistemas conforme a UNE-EN ISO/IEC 17065:2012Actividades de certificación de forma transitoria, disponiendo de 12 meses para obtener la acreditación
![Page 22: Auditoría y certificación de conformidad con el ENS](https://reader034.fdocument.pub/reader034/viewer/2022042706/58729afd1a28ab07208b48e3/html5/thumbnails/22.jpg)
El RD 3/2010, Guías CCN-STIC (Serie 800), seguimiento, herramientas, …
Pero sobre todo:Esfuerzo colectivo de todas las AA.PP. (AGE, CC.AA., EE.LL. (FEMP),
Universidades (CRUE), ámbito de Justicia (EJIS), coordinado por MINHAP y CCN.+ Industria sector seguridad TIC.Convencimiento común: gestión continuada de la seguridad, con un
tratamiento homogéneo y adaptado al quehacer de la Administración.
Esfuerzo colectivo
![Page 23: Auditoría y certificación de conformidad con el ENS](https://reader034.fdocument.pub/reader034/viewer/2022042706/58729afd1a28ab07208b48e3/html5/thumbnails/23.jpg)
Guías y herramientas
![Page 24: Auditoría y certificación de conformidad con el ENS](https://reader034.fdocument.pub/reader034/viewer/2022042706/58729afd1a28ab07208b48e3/html5/thumbnails/24.jpg)
Correos electrónicos – ens@ccn‐cert.cni.es – [email protected]– [email protected] – sondas@ccn‐cert.cni.es – redsara@ccn‐cert.cni.es – [email protected]
Páginas Web: – administracionelectronica.gob.es– www.ccn‐cert.cni.es– www.ccn.cni.es – www.oc.ccn.cni.es
Muchas gracias