Proceso de adecuación
A Certificación e Conformidade co ENS conleva a elaboración previa dun Plan de Adecuación que inclúa as catro fases previas seguintes: Política de Seguridade, Categorización de sistemas, Análises de Riscos e Declaración de Aplicabilidade/Perfil de Cumprimento.
1. Plan de adecuación
É un documento coa seguinte información: o alcance dos sistemas que se van a someter ao proceso de certificación no ENS, a categoría os mesmos, que medidas do Anexo II van implementar (Declaración de Aplicabilidade), que riscos asúmense, a Política de Seguridade do Organismo coa súa organización da seguridade...
Para abordar de forma eficiente o Plan de Adecuación é necesario realizar os seguintes pasos:
- Identificar o alcance do sistema
- Categorizar o sistema segundo as dimensións de seguridade dos servizos prestados.
- Obter a Declaración de Aplicabilidade Provisional.
- Realizar a Análise de Riscos.
- Validar a Declaración de Aplicabilidade Definitiva ou Perfil de Cumprimento Específico.
- Preparar e aprobar a Política de Seguridade.
2. Implantación da seguridade
Unha vez realizado o Plan de Adecuación, pásase á fase de implantación da Seguridade. Esta fase consta dos seguintes pasos:
- Folla de roteiro: documentos a elaborar, medidas técnicas a implementar e definir as prioridades.
- Elaborar o Marco Normativo e a Implantación da seguridade.
- Aprobar o Sistema de Xestión da Seguridade da Información.
3. Declaración / Certificación de Conformidade
A determinación da conformidade dos sistemas de información do ámbito de aplicación do ENS determinarase segundo dous procedementos distintos segundo trátese de categoría MEDIA e ALTA ou BÁSICA:
- Categorías MEDIA ou ALTA: A conformidade dos sistemas de información con estas categorías realizarase mediante unha auditoría formal que verifique os requirimentos contemplados no ENS, polo menos cada dous anos, ou con carácter extraordinario se se producen modificacións significativas.
- Categoría BÁSICA: A conformidade dos sistemas de información nesta categoría require dunha autoavaliación que verifique o seu cumprimento polo menos cada dous anos ou, con carácter extraordinario se se producen modificacións significativas. Este requisito para a conformidade non impide que un sistema de categoría BÁSICA sométase a unha auditoría formal.
4. Informar sobre o Estado de Seguridade. Métricas e Indicadores
Os organismos aos que se aplica o ENS están obrigados a cumprimentar e informar sobre o Estado de Seguridade. Para cumprir con este mandato, o CCN desenvolveu o proxecto INES (Informe Nacional do Estado de Seguridade):
5. Vixilancia e Mellora Continua
A xestión da seguridade da información é un proceso suxeito a cambios constantes que poden proceder de cambios na organización, ameazas, tecnoloxías e/o lexislación e por iso é necesaria unha mellora continua dos nosos sistemas.
Esta actualización continua conlevará entre outras accións:
- Revisión da Política de Seguridade da Información
- Revisión da información e os servizos, e o seu categorización
- Actualización da análise de riscos, polo menos anualmente
- Revisión da Declaración de Aplicabilidade ou do Perfil de Cumprimento
- Realización de auditorías internas
- Revisión do Plan de Mellora
- Revisión das medidas de seguridade
- Revisión e actualización de procedementos
- Revisión do Estado de Seguridade (INÉS)
6. Procesos de Adecuación para Entidades Locais
A Federación Española de Municipios e Provincias (FEMP), coa colaboración do Centro Criptológico Nacional, fixo público o Libro de recomendacións: Itinerario de adecuación ao Esquema Nacional de Seguridade (ENS) no que se fai unha descrición das pautas, requisitos e pasos a seguir para conseguir definir unha folla de roteiro personalizado para a adecuación ao ENS das entidades locais.
7. Catálogo de Produtos Cualificados
Son produtos adecuados para o seu uso en sistemas baixo o alcance do ENS en calquera das súas categorías (ALTA, MEDIA e BÁSICA). A cualificación dun produto nunha categoría permite o seu uso nas categorías inferiores.
