Entidades locales
El Centro Criptológico Nacional brinda todo su apoyo para que las Entidades Locales dispongan de sistemas seguros para el ejercicio de sus competencias tanto para las Diputaciones, Cabildos, Consejos Insulares y los Ayuntamientos, sea cual sea su dimensión, con especial atención en conseguir una adecuación al ENS lo más posibilista y pragmática posible en aquellas entidades con dificultades para conseguirlo.
Las especiales características que enmarcan la actuación administrativa de las Entidades Locales más pequeñas y los limitados recursos hacen que, la adecuación al Esquema Nacional del Seguridad (ENS) y su ulterior Certificación constituyan obligaciones de difícil cumplimiento de manera individualizada. Por este motivo, parece necesario desarrollar acciones concretas, que contemplen mecanismos de adecuación e implantación multi-organismo, dirigidas a grupos homogéneos de dichas entidades, así como un Marco de Certificación Específico que contemple un procedimiento de auditoría y certificación que optimice los antedichos recursos.

__ Itinerario de acciones del Marco de Certificación en el ENS para Entidades Locales
1. Adecuación al ENS - Diputación u Órgano equivalente
Actividad
Adecuación de los sistemas de información de la Diputación u Órgano equivalente a lo dispuesto en el ENS (categoría BÁSICA):
- Política de Seguridad de la Información.
- Normativa Interna.
- Procedimientos de Seguridad.
- Desarrollo de las Fichas de Servicios (determinación de los niveles de seguridad para cada dimensión).
- Categorización del sistema de información.
- Obtención de la DA provisional.
- Análisis de riesgos.
- Obtención de la DA definitiva.
- Implantación de las medidas de seguridad requeridas.
Soporte
- CCN *
- A determinar por la Diputación u Órgano equivalente
Documentación de apoyo:
- Guía CCN-STIC 883
- Anexo III CCN-STIC 883
* La mención al CCN comprende los recursos propios del CCN, más los asignados por el CCN a este tipo de proyectos.
2. Adecuación al ENS - Diputación u Órgano equivalente
Actividad
Obtención de la Certificación de Conformidad con el ENS (categoría BÁSICA) de los sistemas de información usados para la prestación de los servicios a las EE.LL. dependientes de la Diputación u Órgano equivalente.
Soporte
- Entidad de Certificación acreditada por ENAC
3. Reconocimiento del Órgano de Auditoría Técnica
Actividad
Reconocimiento del Órgano de Auditoría Técnica con capacidades para la realización de Auditorías y la emisión de Certificados de Conformidad en el ENS (OAT-Diputación u Órgano equivalente).
- Constitución del Órgano de Auditoría Técnica de la Diputación u Órgano Equivalente.
- Inclusión de la actividad de auditoría de sistemas de información de las entidades dependientes entre las funciones de la Diputación u Órgano Equivalente.
Soporte
- CCN
Documentación de apoyo:
- Guía CCN-STIC 122
4. Infraestructura tecnológica EE.LL.
Actividad
Determinación de la Infraestructura Tecnológica Similar en las EE.LL.
Soporte
- A determinar
5. Selección de las EE.LL. del MCE-ENS
Actividad
Selección de las EE.LL. dependientes que, en una primera fase, compondrán el Marco de Certificación Específico del ENS (MCE-ENS).
Soporte
- A determinar
6. Selección muestra representativa (MR)
Actividad
Selección de las EE.LL. adheridas al MCE-ENS que formarán parte de la muestra representativa (MR).
Soporte
- A determinar
7. Creación COMSEG
Actividad
Creación del Comité de Seguridad de la Diputación u órgano equivalente (con la participación de las EE.LL. dependientes que se determinen)
Soporte
- Guía CCN-STIC 883
- Anexo I, III CCN-STIC 883
8. Plan de Adecuación Conjunto
Actividad
Desarrollo y aprobación del Plan de Adecuación Conjunto, incluyendo:
- Política de Seguridad de la Información.
- Normativa Interna.
- Procedimientos de Seguridad.
- Desarrollo de las Fichas de Servicios (determinación de los niveles de seguridad para cada dimensión).
- Categorización del sistema de información.
- Obtención de la DA provisional.
- Análisis de riesgos.
- Obtención de la DA definitiva.
Soporte
- CCN
Documentación de apoyo:
- Guía CCN-STIC 883
- Anexo I CCN-STIC 883
9. Adecuación al ENS de la MR
Actividad
Implantación de las medidas de seguridad del Anexo II del ENS (Marco Operacional y Medidas de Protección) en las EELL de la MR.
Soporte
- A determinar
Documentación de apoyo:
- Guía CCN-STIC 883A
- Guía CCN-STIC 804
10. Auditoría interna
Actividad
Desarrollo de una auditoría interna a las EE.LL. de la MR
Soporte
- OAT-Diputación u Órgano equivalente
Documentación de apoyo:
- Guía CCN-STIC 883A
- Guías CCN-STIC 303, 411, 802, 808
11. Auditoría de Certificación
Actividad
Desarrollo de las Auditorías de Certificación a las EE.LL. de la MR por parte de una (o varias) Entidad(es) de Certificación del ENS acreditadas por ENAC.
Soporte
- Entidad(es) Certificación del ENS
12. Expedición de las APC
Actividad
Concesión de la Aprobación Provisional de Conformidad (APC) a las EE.LL. del MCE-ENS
Concesión del Distintivo APC.
Publicación de la concesión en la página Web del CCN.
(En este momento arranca el plazo de 2 años para obtener la Certificación de Conformidad con el ENS)
Soporte
- CCN
13. Adecuación definitiva de las EE.LL. adherida al Marco de Certificación
Actividad
Implantación de las medidas de seguridad del Anexo II del ENS (Marco Operacional y Medidas de Protección) en las EELL del resto del MCE-ENS
Soporte
- A determinar
Documentación de apoyo:
- Guía CCN-STIC 883A
- Guía CCN-STIC 804
14. Auditoría(s) de Certificación
Actividad
Desarrollo de las Auditorías de Certificación a las EE.LL. de la MCE-ENS por parte del Órgano de Auditoría Técnica de la Diputación u organismo equivalente.
(Se dispone de dos años para ello)
Soporte
- OAT-Diputación u Órgano equivalente
Documentación de apoyo:
- Guías CCN-STIC 122, IC-01, 303, 411, 802, 808
__ Documentos de interés
La Nueva Guía 883 proporciona una hoja de ruta para facilitar la Implantación del Esquema Nacional de Seguridad a las EELL. Se presentan Planes de Adecuación así como el conjunto de medidas de seguridad del Anexo II del ENS que son de aplicación, adaptadas y asociadas a los distintos rangos de población (Perfiles de Cumplimiento Específicos). Por primera vez se incluye a las Diputaciones.
Esta guía sustituye a la anterior CCN-STIC 883 y al Anexo II de la Guía CCN-STIC 803 que presentaba un ejemplo de catálogo de activos y su valoración para EELL.