Entidades locais

O Centro Criptológico Nacional brinda todo o seu apoio para que as Entidades Locais dispoñan de sistemas seguros para o exercicio das súas competencias tanto para as Deputacións, Cabidos, Consellos Insulares e os Concellos, sexa cal for a súa dimensión, con especial atención en conseguir unha adecuación ao ENS o máis posibilista e pragmática posible naquelas entidades con dificultades para conseguilo.

Abstract - Marco de Certificación no ENS para Entidades locais

As especiais características que enmarcan a actuación administrativa das Entidades Locais máis pequenas e os limitados recursos fan que, a adecuación ao Esquema Nacional do Seguridade (ENS) e a súa ulterior Certificación constitúan obrigacións de difícil cumprimento de maneira individualizada. Por este motivo, parece necesario desenvolver accións concretas, que contemplen mecanismos de adecuación e implantación multi-organismo, dirixidas a grupos homoxéneos das devanditas entidades, así como un Marco de Certificación Específico que contemple un procedemento de auditoría e certificación que optimice os antedichos recursos.

Descargar

Deputación ou Órgano equivalente como entidade de certificación do ENS

Pique para ampliar

Diputación u Órgano equivalente como entidad de certificación del ENS

Entidades locales

__ Itinerario de accións do Marco de Certificación no ENS para Entidades Locais

Itinerario de accións do Marco de Certificación no ENS para Entidades Locais

Pique para ampliar

Gráfico general

Pode consultar o detalle de cada unha das fases de aplicación do Marco de Certificación no ENS para Entidades Locais (14) seleccionando o número na parte superior.

1. Adecuación ao ENS - Deputación ou Órgano equivalente

Actividade

Adecuación dos sistemas de información da Deputación ou Órgano equivalente ao disposto no ENS (categoría BÁSICA):

  • Política de Seguridade da Información.
  • Normativa Interna.
  • Procedementos de Seguridade.
  • Desenvolvemento das Fichas de Servizos (determinación dos niveis de seguridade para cada dimensión)..
  • Categorización do sistema de información.
  • Obtención de DA provisional.
  • Análise de riscos.
  • Obtención de DA definitiva.
  • Implantación das medidas de seguridade requiridas.

Soporte

  • CCN *
  • A determinar pola Deputación ou Órgano equivalente

Documentación de apoio:

  • Guía CCN-STIC 883
  • Anexo III CCN-STIC 883

* A mención ao CCN comprende os recursos propios do CCN, máis os asignados polo CCN a este tipo de proxectos.

2. Adecuación ao ENS - Deputación ou Órgano equivalente

Actividade

Obtención da Certificación de Conformidade co ENS (categoría BÁSICA) dos sistemas de información usados para a prestación dos servizos ás EE.LL. dependentes da Deputación ou Órgano equivalente.

Soporte

  • Entidade de Certificación acreditada por ENAC

3. Recoñecemento do Órgano de Auditoría Técnica

Actividade

Recoñecemento do Órgano de Auditoría Técnica con capacidades para a realización de Auditorías e a emisión de Certificados de Conformidade no ENS (OAT-Deputación ou Órgano equivalente).

  • Constitución do Órgano de Auditoría Técnica da Deputación ou Órgano Equivalente.
  • Inclusión da actividade de auditoría de sistemas de información das entidades dependentes entre as funcións da Deputación ou Órgano Equivalente.

Soporte

  • CCN

Documentación de apoio:

  • Guía CCN-STIC 122

4. Infraestrutura tecnolóxica EE.LL.

Actividade

Determinación da Infraestrutura Tecnolóxica Similar nas EE.LL.

Soporte

  • A determinar

5. Selección das EE.LL. do MCE-ENS

Actividade

Selección das EE.LL. dependentes que, nunha primeira fase, compoñerán o Marco de Certificación Específico do ENS (MCE-ENS).

Soporte

  • A determinar

6. Selección mostra representativa (MR)

Actividade

Selección das EE.LL. adheridas ao MCE-ENS que formarán parte da mostra representativa (MR).

Soporte

  • A determinar

7. Creación COMSEG

Actividade

Creación do Comité de Seguridade da Deputación ou órgano equivalente (coa participación das EE.LL. dependentes que se determinen)

Soporte

    • Guía CCN-STIC 883
    • Anexo I, III CCN-STIC 883

8. Plan de Adecuación Conxunto

Actividade

Desenvolvemento e aprobación do Plan de Adecuación Conxunto, incluíndo:

  • Política de Seguridade da Información.
  • Normativa Interna.
  • Procedementos de Seguridade.
  • Desenvolvemento das Fichas de Servizos (determinación dos niveis de seguridade para cada dimensión).
  • Categorización do sistema de información.
  • Obtención de DÁA provisional.
  • Análise de riscos.
  • Obtención de DÁA definitiva.

Soporte

  • CCN

Documentación de apoio:

  • Guía CCN-STIC 883
  • Anexo I CCN-STIC 883

9. Adecuación ao ENS da MR

Actividade

Implantación das medidas de seguridade do Anexo II do ENS (Marco Operacional e Medidas de Protección) nas EELL da MR.

Soporte

  • A determinar

Documentación de apoio:

  • Guía CCN-STIC 883A
  • Guía CCN-STIC 804

10. Auditoría interna

Actividade

Desenvolvemento dunha auditoría interna ás EE.LL. da MR

Soporte

  • OAT-Deputación ou Órgano equivalente

Documentación de apoio:

  • Guía CCN-STIC 883A
  • Guías CCN-STIC 303, 411, 802, 808

11. Auditoría de Certificación

Actividade

Desenvolvemento das Auditorías de Certificación ás EE.LL. da MR por parte dunha (ou varias) Entidade(é) de Certificación do ENS acreditadas por ENAC..

Soporte

  • Entidade(é) Certificación do ENS

12. Expedición das APC

Actividade

Concesión da Aprobación Provisional de Conformidade (APC) ás EE.LL. do MCE-ENS

Concesión do Distintivo APC.

Publicación da concesión na páxina Web do CCN.

(Neste momento arrinca o prazo de 2 anos para obter a Certificación de Conformidade co ENS))

Soporte

  • CCN

13. Adecuación definitiva das EE.LL. adherida ao Marco de Certificación

Actividade

Implantación das medidas de seguridade do Anexo II do ENS (Marco Operacional e Medidas de Protección) nas EELL do resto do MCE-ENS

Soporte

  • A determinar

Documentación de apoio:

  • Guía CCN-STIC 883A
  • Guía CCN-STIC 804

14. Auditoría(s) de Certificación

Actividade

Desenvolvemento das Auditorías de Certificación ás EE.LL. da MCE-ENS por parte do Órgano de Auditoría Técnica da Deputación ou organismo equivalente.

(Disponse de dous anos para iso)

Soporte

  • OAT-Deputación ou Órgano equivalente

Documentación de apoio:

  • Guías CCN-STIC 122, IC-01, 303, 411, 802, 808

Ciclo de mellora continua da seguridade

Pique para ampliar

Ciclo de mejora continua de la seguridad

As actividades 13 e 14 comprenden o Ciclo de mellora continua da seguridade, e abarcan as seguintes tarefas por parte da Oficina de Seguridade-vSOC e o Órgano de Auditoría Técnica (OAT).

__ Documentos de interese:

Infografía

Aproximación ao marco de gobernanza da ciberseguridade

Infografía

Prontuario de ciberseguridade para entidades locais

Infografía

Marco de Certificación ENS para Entidades Locais. Proceso de verificación de conformidade

Infografía

Tomo 1 - Guía estratéxica en seguridade para entidades locais

Infografía

Tomo 2 - Guía para entidades locais de menos de 2.000 habitantes

CCN-STIC-883 Guía de implantación do ENS para Entidades Locais
A Nova Guía 883 proporciona unha folla de roteiro para facilitar a Implantación do Esquema Nacional de Seguridade ás EELL. Preséntanse Plans de Adecuación así como o conxunto de medidas de seguridade do Anexo II do ENS que son de aplicación, adaptadas e asociadas aos distintos rangos de poboación (Perfís de Cumprimento Específicos). Por primeira vez inclúese ás Deputacións.
Esta guía substitúe á anterior CCN-STIC 883 e ao Anexo II da Guía CCN-STIC 803 que presentaba un exemplo de catálogo de activos e a súa valoración para EELL.

Descargar