Entitats locals

El Centre Criptológico Nacional brinda tot el seu suport perquè les Entitats Locals disposin de sistemes segurs per a l'exercici de les seves competències tant per a les Diputacions, Capítols, Consells Insulars i els Ajuntaments, sigui com sigui la seva dimensió, amb especial atenció a aconseguir una adequació al ENS el més possibilista i pragmàtica possible en aquelles entitats amb dificultats per a aconseguir-ho.

Abstract - Marco de Certificació en el ENS per a Entitats locals

Les especials característiques que emmarquen l'actuació administrativa de les Entitats Locals més petites i els limitats recursos fan que, l'adequació a l'Esquema Nacional del Seguretat (ENS) i la seva ulterior Certificació constitueixin obligacions de difícil compliment de manera individualitzada. Per aquest motiu, sembla necessari desenvolupar accions concretes, que contemplin mecanismes d'adequació i implantació multi-organisme, dirigides a grups homogenis d'aquestes entitats, així com un Marc de Certificació Específic que contempli un procediment d'auditoria i certificació que optimitzi els avantdits recursos.

Descarregar

Diputació o Òrgan equivalent com a entitat de certificació del ENS

Marmitó per a ampliar

Diputación u Órgano equivalente como entidad de certificación del ENS

Entidades locales

__Itinerari d'accions del Marc de Certificació en el ENS per a Entitats Locals

Itinerari d'accions del Marc de Certificació en el ENS per a Entitats Locals

Marmitó per a ampliar

Gráfico general

Pot consultar el detall de cadascuna de les fases d'aplicació del Marc de Certificació en el ENS per a Entitats Locals (14) seleccionant el número en la part superior.

1. Adequació al ENS - Diputació o Òrgan equivalent

Activitat

Adequació dels sistemes d'informació de la Diputació o Òrgan equivalent al que es disposa en el ENS (categoria BÀSICA):

  • Política de Seguretat de la Informació.
  • Normativa Interna.
  • Procediments de Seguretat.
  • Desenvolupament de les Fitxes de Serveis (determinació dels nivells de seguretat per a cada dimensió).
  • Categorització del sistema d'informació.
  • Obtenció de la DONA provisional.
  • Anàlisi de riscos.
  • Obtenció de la DONA definitiva.
  • Implantació de les mesures de seguretat requerides.

Suport

  • CCN
  • A determinar per la Diputació o Òrgan equivalent

Documentació de suport:

  • Guia CCN-STIC 883
  • Annex III CCN-STIC 883

* L'esment al CCN comprèn els recursos propis del CCN, més els assignats pel CCN a aquesta mena de projectes.

2. Adequació al ENS - Diputació o Òrgan equivalent

Activitat

Obtenció de la Certificació de Conformitat amb el ENS (categoria BÀSICA) dels sistemes d'informació usats per a la prestació dels serveis a les EE.LL. dependents de la Diputació o Òrgan equivalent.

Suport

  • Entitat de Certificació acreditada per ENAC

3. Reconeixement de l'Òrgan d'Auditoria Tècnica

Activitat

Reconeixement de l'Òrgan d'Auditoria Tècnica amb capacitats per a la realització d'Auditories i l'emissió de Certificats de Conformitat en el ENS (OAT-Diputació o Òrgan equivalent).

  • Constitució de l'Òrgan d'Auditoria Tècnica de la Diputació o Òrgan Equivalent.
  • Inclusió de l'activitat d'auditoria de sistemes d'informació de les entitats dependents entre les funcions de la Diputació o Òrgan Equivalent.

Suport

  • CCN

Documentació de suport:

  • Guia CCN-STIC 122

4. Infraestructura tecnològica EE.LL.

Activitat

Determinació de la Infraestructura Tecnològica Similar en les EE.LL.

Suport

  • A determinar

5. Selecció de les EE.LL. del MCE-ENS

Activitat

Selecció de les EE.LL. dependents que, en una primera fase, compondran el Marc de Certificació Específic del ENS (MCE-ENS).

Soporte

  • Suport

6. Selecció mostra representativa (MR)

Activitat

Selecció de les EE.LL. adherides al MCE-ENS que formaran part de la mostra representativa (MR).

Suport

  • A determinar

7. Creació COMSEG

Activitat

Creació del Comitè de Seguretat de la Diputació o òrgan equivalent (amb la participació de les EE.LL. dependents que es determinin)

Suport

    • Guia CCN-STIC 883
    • Annex I, III CCN-STIC 883

8. Pla d'Adequació Conjunt

Activitat

Desenvolupament i aprovació del Pla d'Adequació Conjunt, incloent:

  • Política de Seguretat de la Informació.
  • Normativa Interna.
  • Procediments de Seguretat.
  • Desenvolupament de les Fitxes de Serveis (determinació dels nivells de seguretat per a cada dimensió).
  • Categorització del sistema d'informació.
  • Obtenció de la DA provisional.
  • Anàlisi de riscos.
  • Obtenció de la DA definitiva.

Suport

  • CCN

Documentació de suport:

  • Guia CCN-STIC 883
  • Annex I CCN-STIC 883

9. Adequació al ENS de la MR

Activitat

Implantació de les mesures de seguretat de l'Annex II del ENS (Marc Operacional i Mesures de Protecció) en les EELL de la MR.

Suport

  • A determinar

Documentació de suport:

  • Guia CCN-STIC 883A
  • Guia CCN-STIC 804

10. Auditoria interna

Activitat

Desenvolupament d'una auditoria interna a les EE.LL. de la MR

Suport

  • OAT-Diputació o Òrgan equivalent

Documentació de suport:

  • Guia CCN-STIC 883A
  • Guies CCN-STIC 303, 411, 802, 808

11. Auditoria de Certificació

Activitat

Desenvolupament de les Auditories de Certificació a les EE.LL. de la MR per part d'una (o diverses) Entitat(és) de Certificació del ENS acreditades per ENAC.

Soporte

  • Entitat(és) Certificació del ENS

12. Expedició de les APC

Activitat

Concessió de l'Aprovació Provisional de Conformitat (APC) a les EE.LL. del MCE-ENS

Concessió del Distintiu APC.

Publicació de la concessió en la pàgina Web del CCN.

(En aquest moment arrenca el termini de 2 anys per a obtenir la Certificació de Conformitat amb el ENS)

Suport

  • CCN

13. Adequació definitiva de les EE.LL. adherida al Marc de Certificació

Activitat

Implantació de les mesures de seguretat de l'Annex II del ENS (Marc Operacional i Mesures de Protecció) en les EELL de la resta del MCE-ENS

Suport

  • A determinar

Documentació de suport:

  • Guia CCN-STIC 883A
  • Guia CCN-STIC 804

14. Auditoria(s) de Certificació

Activitat

Desenvolupament de les Auditories de Certificació a les EE.LL. de la MCE-ENS per part de l'Òrgan d'Auditoria Tècnica de la Diputació o organisme equivalent.

(Es disposa de dos anys per a això)

Suport

  • OAT-Diputació o Òrgan equivalent

Documentació de suport:

  • Guies CCN-STIC 122, IC-01, 303, 411, 802, 808

Cicle de millora contínua de la seguretat

Marmitó per a ampliar

Ciclo de mejora continua de la seguridad

Les activitats 13 i 14 comprenen el Cicle de millora contínua de la seguretat, i abasten les següents tasques per part de l'Oficina de Seguretat-vSOC i l'Òrgan d'Auditoria Tècnica (OAT).

__ Documents d'interès

Infografía

Aproximació al marc de governança de la ciberseguretat

Infografía

Prontuario de ciberseguretat per a entitats locals

Infografía

Marco de Certificació ENS per a Entitats Locals. Procés de verificació de conformitat

Infografía

Tom 1 - Guia estratègica en seguretat per a entitats locals

Infografía

Tom 2 - Guia per a entitats locals de menys de 2.000 habitants

CCN-STIC-883 Guia d'implantació del ENS per a Entitats Locals

La Nova Guia 883 proporciona un full de ruta per a facilitar la Implantació de l'Esquema Nacional de Seguretat a les EELL. Es presenten Plans d'Adequació així com el conjunt de mesures de seguretat de l'Annex II del ENS que són aplicable, adaptades i associades als diferents rangs de població (Perfils de Compliment Específics). Per primera vegada s'inclou a les Diputacions.

Aquesta guia substitueix a l'anterior CCN-STIC 883 i a l'Annex II de la Guia CCN-STIC 803 que presentava un exemple de catàleg d'actius i la seva valoració per a EELL.

Descarregar