Procés d'adequació
La Certificació i Conformitat amb el ENS comporta l'elaboració prèvia d'un Pla d'Adequació que inclogui les quatre fases prèvies següents: Política de Seguretat, Categorització de sistemes, Anàlisis de Riscos i Declaració d'Aplicabilitat/Perfil de Compliment.
1. Procés d'adequació
És un document amb la següent informació: l'abast dels sistemes que se sotmetran al procés de certificació en el ENS, la categoria els mateixos, quines mesures de l'Annex II s'implementaran (Declaració d'Aplicabilitat), quins riscos s'assumeixen, la Política de Seguretat de l'Organisme amb la seva organització de la seguretat...
Per a abordar de manera eficient el Pla d'Adequació és necessari realitzar els següents passos:
- Identificar l'abast del sistema
- Categoritzar el sistema segons les dimensions de seguretat dels serveis prestats.
- Obtenir la Declaració d'Aplicabilitat Provisional.
- Realitzar l'Anàlisi de Riscos.
- Validar la Declaració d'Aplicabilitat Definitiva o Perfil de Compliment Específic.
- Preparar i aprovar la Política de Seguretat.
2. Implantació de la seguretat
Una vegada realitzat el Pla d'Adequació, es passa a la fase d'implantació de la Seguretat. Aquesta fase consta dels següents passos:
- Full de ruta: documents a elaborar, mesures tècniques a implementar i definir les prioritats.
- Elaborar el Marc Normatiu i la Implantació de la seguretat.
- Aprovar el Sistema de Gestió de la Seguretat de la Informació.
3. Declaració / Certificació de Conformitat
La determinació de la conformitat dels sistemes d'informació de l'àmbit d'aplicació del ENS es determinarà segons dos procediments diferents segons es tracti de categoria MITJANA i ALTA o BÀSICA:
- Categories MITJANA o ALTA: La conformitat dels sistemes d'informació amb aquestes categories es realitzarà mitjançant una auditoria formal que verifiqui els requeriments contemplats en el ENS, almenys cada dos anys, o amb caràcter extraordinari si es produeixen modificacions significatives.
- Categoria BÀSICA: La conformitat dels sistemes d'informació en aquesta categoria requereix d'una autoavaluació que verifiqui el seu compliment almenys cada dos anys o, amb caràcter extraordinari si es produeixen modificacions significatives. Aquest requisit per a la conformitat no impedeix que un sistema de categoria BÀSICA se sotmeti a una auditoria formal.
4. Informar sobre l'Estat de Seguretat. Mètriques i Indicadors
Els organismes als quals s'aplica el ENS estan obligats a emplenar i informar sobre l'Estat de Seguretat. Per a complir amb aquest mandat, el CCN ha desenvolupat el projecte INES (Informe Nacional de l'Estat de Seguretat):
5. Vigilància i Millora Contínua
La gestió de la seguretat de la informació és un procés subjecte a canvis constants que poden procedir de canvis en l'organització, amenaces, tecnologies i/o legislació i per això és necessària una millora contínua dels nostres sistemes.
Aquesta actualització contínua comportarà entre altres accions:- Revisió de la Política de Seguretat de la Informació
- Revisió de la informació i els serveis, i la seva categorització
- Actualització de l'anàlisi de riscos, almenys anualment
- Revisió de la Declaració d'Aplicabilitat o del Perfil de Compliment
- Realització d'auditories internes
- Revisió del Pla de Millora
- Revisió de les mesures de seguretat
- Revisió i actualització de procediments
- Revisió de l'Estat de Seguretat (INÉS)
6. Processos d'Adequació per a Entitats Locals
La Federació Espanyola de Municipis i Províncies (FEMP), amb la col·laboració del Centre Criptológico Nacional, ha fet públic el Llibre de recomanacions: Itinerari d'adequació a l'Esquema Nacional de Seguretat (ENS) en el qual es fa una descripció de les pautes, requisits i passos a seguir per a aconseguir definir un full de ruta personalitzat per a l'adequació al ENS de les entitats locals.
7. Catàleg de Productes Qualificats
Són productes adequats per al seu ús en sistemes sota l'abast del ENS en qualsevol de les seves categories (ALTA, MITJANA i BÀSICA). La qualificació d'un producte en una categoria permet el seu ús en les categories inferiors.
