Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
RECOMENDACIN
ESQUEMA NACIONAL DE SEGURIDAD
PREGUNTAS FRECUENTES
NOVIEMBRE 2012
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC Recomendacin
Preguntas frecuentes
NDICE
1.
2.
3.
LEY ORGNICA DE PROTECCIN DE DATOS DE CARCTER PERSONAL Y ESQUEMA
NACIONAL DE SEGURIDAD .................................................................................................................... 15
3.1. SE PUEDEN ENTENDER EQUIVALENTES LOS NIVELES LOPD CON LOS NIVELES ENS? ............................ 15
3.2. LA DISPOSICIN ADICIONAL NICA DEL REAL DECRETO 1720/2007, SEALA: LOS PRODUCTOS DE
SOFTWARE DESTINADOS AL TRATAMIENTO AUTOMATIZADO DE DATOS PERSONALES DEBERN INCLUIR EN SU
DESCRIPCIN TCNICA EL NIVEL DE SEGURIDAD, BSICO, MEDIO O ALTO, QUE PERMITAN ALCANZAR DE
ACUERDO CON LO ESTABLECIDO. ES NECESARIO QUE EST CERTIFICADO O AUDITADO POR ALGN AUDITOR
INDEPENDIENTE? ............................................................................................................................................... 15
3.3. PARA EL EJERCICIO DE LOS DERECHOS ARCO (ACCESO, RECTIFICACIN, CANCELACIN Y OPOSICIN)
CONTEMPLADOS EN LA LOPD, LAS AA.PP. SUELEN USAR FORMULARIOS EN FORMATO PDF, EN LOS QUE SE
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC Recomendacin
Preguntas frecuentes
EXPLICA CUAL ES EL PROCEDIMIENTO QUE DEBEN SEGUIR LOS CIUDADANOS PARA EL EJERCICIO DE TALES
DERECHOS. SE CONSIDERAN ESTOS DERECHOS COMO PERTENECIENTES AL ENS?, TIENEN QUE ESTAR ESTOS
DOCUMENTOS EN LA SEDE, O SIMPLEMENTE PUEDEN ESTAR EN UNA PGINA WEB DE INFORMACIN? .............. 15
4.
5.
6.
7.
8.
9.
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC Recomendacin
Preguntas frecuentes
CERTIFICACIONES .......................................................................................................................... 27
10.1. QUIN CERTIFICA QUE UN DETERMINADO PRODUCTO CUMPLE FUNCIONALMENTE CON LAS EXIGENCIAS
DE SEGURIDAD QUE SE REQUIEREN? .................................................................................................................. 27
10.2. EXISTE ALGUNA CERTIFICACIN QUE ACREDITE LA ADECUACIN AL ENS POR PARTE DE UN ORGANISMO
PBLICO? .......................................................................................................................................................... 28
11.
11.1. CMO SE DETERMINAN LAS MEDIDAS DE SEGURIDAD QUE HAY QUE APLICAR? ..................................... 28
11.2. MP.COM.2 QU DEBE ENTENDERSE POR DOMINIO DE SEGURIDAD? CMO PROTEGER SISTEMAS
INTERCONECTADOS? ......................................................................................................................................... 29
11.3. ES DE APLICACIN EL ENS AL CORREO ELECTRNICO CORPORATIVO? ........................... 29
12. EL ENS Y LA NORMALIZACIN VOLUNTARIA RELATIVA A SISTEMAS DE GESTIN DE
SEGURIDAD DE LA INFORMACIN ...................................................................................................... 30
12.1. ES EL ENS COMPATIBLE CON UNE ISO/IEC 27001:2007?, SON NORMAS SIMILARES?, SON
COMPLEMENTARIAS? ........................................................................................................................................ 30
12.2. CUL ES LA RELACIN ENTRE EL ENS Y LA NORMA UNE-ISO/IEC 27002:2009? ................................ 31
12.3. TENIENDO MI SERVICIO/SISTEMA CERTIFICADO CONTRA LA NORMA UNE ISO/IEC 27001:2007, DEBO
ENTENDER QUE YA ESTOY CUMPLIENDO CON EL ENS? ..................................................................................... 31
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC Recomendacin
1.
Preguntas frecuentes
CUESTIONES GENERALES
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC Recomendacin
Preguntas frecuentes
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC Recomendacin
Preguntas frecuentes
Estn excluidos del mbito de aplicacin del ENS los sistemas que tratan informacin
clasificada regulada por Ley 9/1968 de 5 de abril, de Secretos Oficiales y sus normas de
desarrollo.
2.2. Qu aplicaciones, servicios o sistemas estn comprendidos en el
mbito de aplicacin del ENS?
Como regla general, podemos afirmar que el ENS es de aplicacin a:
Sedes electrnicas.
Registros electrnicos.
Sistemas de Informacin accesibles electrnicamente por los ciudadanos.
Sistemas de Informacin para el ejercicio de derechos.
Sistemas de Informacin para el cumplimiento de deberes.
Sistemas de Informacin para recabar informacin y estado del procedimiento
administrativo.
Cualquier caso que se aleje de la lista anterior conviene examinarlo con detalle y determinar si
se encuentra o no comprendido dentro del marco de la Ley 11/2007, de acceso electrnico de
los ciudadanos a los servicios pblicos. Si es as, habr que entender que tambin le es de
aplicacin lo dispuesto en el ENS.
2.3. Cundo un sistema no estara comprendido dentro del mbito de
aplicacin del ENS?
Slo en el caso de que el sistema:
Las AA.PP. podrn determinar incluir tal sistema en el mbito de aplicacin del ENS.
En cualquier otro caso, la aplicacin del ENS al sistema en cuestin es obligatoria.
2.4.
Las responsabilidades derivadas del incumplimiento del ENS seran las que correspondieren a
cada caso concreto, en virtud de lo dispuesto en la Ley 30/1992, de 26 de noviembre, de
Rgimen Jurdico de las Administraciones Pblicas y del Procedimiento Administrativo
Comn.
Centro Criptolgico Nacional
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC Recomendacin
Preguntas frecuentes
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC Recomendacin
Preguntas frecuentes
Sedes electrnicas.
Registros electrnicos.
Sistemas de Informacin accesibles electrnicamente por los ciudadanos.
Sistemas de Informacin para el ejercicio de derechos.
Sistemas de Informacin para el cumplimiento de deberes.
Sistemas de Informacin para recabar informacin y estado del procedimiento
administrativo.
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC Recomendacin
Preguntas frecuentes
10
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC Recomendacin
Preguntas frecuentes
11
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC Recomendacin
Preguntas frecuentes
12
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC Recomendacin
Preguntas frecuentes
2.16. Cules son las medidas de seguridad que deben adoptar los
proveedores externos que proporcionen servicios informticos a las AA.PP.?,
deben cumplir con el ENS? (Por ejemplo: servicios de alojamiento de
servidores, servicios cloud computing, etc.)
La Ley 30/1992, de Rgimen Jurdico de las Administraciones Pblicas y del Procedimiento
Administrativo Comn, en su artculo 15, seala la posibilidad de que, cuando por razones de
eficacia o cuando no se posean los medios tcnicos idneos para su desempeo, la realizacin
de actividades de carcter material, tcnico o de servicios, de la competencia de los rganos
administrativos o de las entidades de derecho pblico, pueda recaer sobre personas fsicas o
jurdicas sujetas a derecho privado.
En tales casos, la realizacin de las actividades indicadas, no supone cesin de titularidad de
la competencia ni de los elementos sustantivos de su ejercicio, siendo responsabilidad del
rgano o entidad de la Administracin contratante dictar cuantos actos o resoluciones de
carcter jurdico den soporte o en los que se integre la concreta actividad material objeto de la
actividad.
Por tanto, las medidas de seguridad que deben adoptar los proveedores de servicios no las fija
el propio proveedor, sino que sern las determinadas por la Administracin contratante, en
virtud de la naturaleza de los servicios prestados.
Finalmente, recordar una vez ms que es responsabilidad de la Administracin contratante la
suscripcin del correspondiente contrato de prestacin del servicio (incluyendo, en su caso,
los Acuerdos de Nivel de Servicio a los que hubiere lugar), que deber contener todas las
estipulaciones necesarias para dar cumplimiento a lo dispuesto en el ENS, en virtud de la
naturaleza del servicio prestado.
2.17. Es aplicable el ENS a los sistemas utilizados por las AA.PP. para
mecanizar la informacin obtenida en trmite un presencial?
Como es sabido, el ENS se aplicar por las Administraciones pblicas para asegurar el
acceso, integridad, disponibilidad, autenticidad, confidencialidad, trazabilidad y conservacin
de los datos, informaciones y servicios utilizados en medios electrnicos que gestionen en el
ejercicio de sus competencias.
Las nicas exclusiones expresas de la aplicacin del ENS son los sistemas que tratan
informacin clasificada, las actividades que desarrollen las Administraciones pblicas en
rgimen de derecho privado y aquellas actividades que no sean para gestionar el ejercicio de
sus competencias.
Adems, slo cuando se trate de sistemas no relacionados con el ejercicio de derechos, con el
cumplimiento de deberes por medios electrnicos, y con el acceso de los ciudadanos a la
informacin y procedimientos administrativos por medios electrnicos, la Administracin
correspondiente podr determinar la no aplicacin de lo dispuesto en el ENS (art. 30 ENS).
Por tanto, si las AA.PP. optan por utilizar las tecnologas de la informacin en el desarrollo de
su actividad administrativa, les resulta de aplicacin el Esquema Nacional de Seguridad, con
las exclusiones indicadas.
En relacin con la pregunta, y como quiera que los equipos y sistemas informticos que se
usan en el trmite presencial forman parte de las tecnologas de la informacin, su utilizacin
comporta la necesidad de someterse al ENS, con independencia de que el acceso sea local, o
sea remoto.
13
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC Recomendacin
Preguntas frecuentes
Sedes electrnicas.
Registros electrnicos.
Sistemas de Informacin accesibles electrnicamente por los ciudadanos.
Sistemas de Informacin para el ejercicio de derechos.
Sistemas de Informacin para el cumplimiento de deberes.
Sistemas de Informacin para recabar informacin y/o estado del procedimiento
administrativo.
14
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC Recomendacin
Preguntas frecuentes
15
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC Recomendacin
Preguntas frecuentes
El ejercicio de los derechos ARCO es, como su propio nombre indica, un derecho de los
ciudadanos. Por tanto, el ejercicio de tales derechos debe ser objeto del ENS.
Obsrvese que las medidas de seguridad que sern de aplicacin a cada sistema/servicio
deben estar ponderadas respecto de los riesgos que la organizacin asume. En este caso, toda
vez que se trata de una mera informacin al usuario (informacin que podr encontrarse en la
Sede Electrnica, como expresin del ejercicio de un derecho) las cautelas que deben tomarse
parecen simples: asegurar la disponibilidad de la informacin, su integridad y su autenticidad,
ests dos ltimas dimensiones pueden satisfacerse firmando electrnicamente los PDF o
incorporndoles un CSV (Cdigo Seguro de Verificacin) mediante el cual los interesados
puedan verificar su autenticidad mediante la consulta a la pgina web del organismo.
16
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC Recomendacin
Preguntas frecuentes
4.2. Cules son las funciones que debe desarrollar el Responsable del
Sistema, segn el ENS? Quin debe ser esta persona?
El Responsable del Sistema es un puesto operativo, no un cargo directivo o de gobierno.
Suele recibir tambin la denominacin de Responsable de Produccin o Explotacin, de
manera que en l viene a recaer la responsabilidad de la prestacin material del servicio.
Segn se manifiesta en la Gua CCN-STIC-801, el Responsable del Sistema deber asumir
las siguientes responsabilidades:
Desarrollar, operar y mantener del Sistema durante todo su ciclo de vida, de sus
especificaciones, instalacin y verificacin de su correcto funcionamiento.
Definir la topologa y poltica de gestin del Sistema estableciendo los criterios de uso
y los servicios disponibles en el mismo.
Definir la poltica de conexin o desconexin de equipos y usuarios nuevos en el
Sistema.
Aprobar los cambios que afecten a la seguridad del modo de operacin del Sistema.
Decidir las medidas de seguridad que aplicarn los suministradores de componentes
del Sistema durante las etapas de desarrollo, instalacin y prueba del mismo.
Implantar y controlar las medidas especficas de seguridad del Sistema y cerciorarse
de que stas se integren adecuadamente dentro del marco general de seguridad.
Determinar la configuracin autorizada de hardware y software a utilizar en el
Sistema.
Aprobar toda modificacin sustancial de la configuracin de cualquier elemento del
Sistema.
Llevar a cabo el preceptivo proceso de anlisis y gestin de riesgos en el Sistema.
Determinar la categora del sistema segn el procedimiento descrito en el Anexo I del
ENS y determinar las medidas de seguridad que deben aplicarse segn se describe en
el Anexo II del ENS.
Elaborar y aprobar la documentacin de seguridad del Sistema.
Delimitar las responsabilidades de cada entidad involucrada en el mantenimiento,
explotacin, implantacin y supervisin del Sistema.
Velar por el cumplimiento de las obligaciones del Administrador de Seguridad del
Sistema (ASS).
Investigar los incidentes de seguridad que afecten al Sistema, y en su caso,
comunicacin al Responsable de Seguridad o a quin ste determine.
Establecer planes de contingencia y emergencia, llevando a cabo frecuentes ejercicios
para que el personal se familiarice con ellos.
Adems, el responsable del sistema puede acordar la suspensin del manejo de una
cierta informacin o la prestacin de un cierto servicio si es informado de deficiencias
graves de seguridad que pudieran afectar a la satisfaccin de los requisitos
establecidos. Esta decisin debe ser acordada con los responsables de la informacin
afectada, del servicio afectado y el responsable de seguridad, antes de ser ejecutada.
Por tanto, este profesional debe poseer los conocimientos tcnicos adecuados, as como la
capacidad de gestionar la actividad de los operadores o tcnicos de sistemas que tenga a su
cargo (si los hubiere).
Por otro lado, nada impide que esta funcin sea asumida por una persona (o personas)
externas a la propia organizacin (previa formalizacin contractual) y que pueda reportar al
Comit de Seguridad o a los Responsables TIC del organismo. Hacemos notar de nuevo que
puede delegarse la funcin, no la responsabilidad, que ser siempre del organismo pblico.
Centro Criptolgico Nacional
17
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC Recomendacin
Preguntas frecuentes
18
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC Recomendacin
Preguntas frecuentes
19
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC Recomendacin
Preguntas frecuentes
Obsrvese, en primer lugar, que la Informacin puede ser generada por el propio organismo, o
provenir de un organismo externo. Si la informacin se importa desde un organismo externo,
ser el Responsable de la Informacin de aquel organismo el que sealar su nivel de
seguridad y, en su consecuencia, marcar las medidas de seguridad que habr de adoptar el
organismo receptor de la informacin.
Por otro lado, obsrvese que una misma informacin puede alimentar varios servicios, que
podrn tener, cada uno su propio Responsable del Servicio.
Finalmente, y aunque no se trate de un caso frecuente, obsrvese que un mismo servicio
puede ser explotado por uno o varios sistemas de informacin distintos, para cada uno de los
cuales puede haber sido designado un Responsable de Seguridad distinto.
Como resumen diremos que, dejando a salvo lo preceptuado por el ENS, en relacin con la
exigencia de diferenciacin personal entre el Responsable del Sistema y el Responsable de
Seguridad, la posibilidad de hacer coincidir en una nica persona las responsabilidades de la
informacin, los servicios y la seguridad, se har tanto ms inconveniente cuanto mayor sea la
multiplicidad de las informaciones manejadas y los servicios prestados, o cuanto mayor
relacin o interdependencia tengan los sistemas de informacin del organismo con otros
sistemas de informacin exteriores.
4.8. Es obligatoria la divisin de responsabilidades citada en la Gua CCNSTIC 801?
Aunque su confeccin obedece a criterios amplia e internacionalmente reconocidos, los
contenidos de las Guas CCN-STIC son recomendaciones, no mandatos imperativos.
La divisin de responsabilidades expresada en la Gua CCN-STIC 801 responde al mandato
del art. 10 del ENS, cuando seala:
En los sistemas de informacin se diferenciar el responsable de la informacin, el
responsable
del
servicio
y
el
responsable
de
la
seguridad.
El responsable de la informacin determinar los requisitos de la informacin tratada;
el responsable del servicio determinar los requisitos de los servicios prestados; y el
responsable de seguridad determinar las decisiones para satisfacer los requisitos de
seguridad
de
la
informacin
y
de
los
servicios.
La responsabilidad de la seguridad de los sistemas de informacin estar diferenciada
de
la
responsabilidad
sobre
la
prestacin
de
los
servicios.
La poltica de seguridad de la organizacin detallar las atribuciones de cada
responsable y los mecanismos de coordinacin y resolucin de conflictos.
La divisin de responsabilidades enunciada en la Gua CCN-STIC 801 es una recomendacin,
desarrollada para el mejor cumplimiento de lo dispuesto en el ENS, recomendacin que se
contiene de nuevo en la medida de seguridad Segregacin de funciones y tareas [op.acc.3].
del Anexo II y que vuelve a encontrarse, como uno de los objetivos de la Auditora de
Seguridad, en el Anexo III.1.
Llegado este punto, merece la pena insistir en la precisa exigencia que enuncia el antedicho
art. 10 del ENS, cuando prohbe que la funcin del Responsable de Seguridad recaiga en la
misma persona que el Responsable del Servicio.
20
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC Recomendacin
5.
Preguntas frecuentes
5.1.
CCN-STIC 801
CCN-STIC 803
Adecuarse al
CCN-STIC 809
CCN-STIC 815
Magerit
Pilar
PILAR
CCN-STIC 802
CCN-STIC 808
CCN-STIC 806
807, 811, 812,813, 814, ...
CCN-STIC 804
UNE ISO IEC 27001
UNE ISO IEC 27002
21
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC Recomendacin
Preguntas frecuentes
c) Los roles o funciones de seguridad, definiendo para cada uno, los deberes y
responsabilidades del cargo, as como el procedimiento para su designacin y
renovacin.
d) La estructura del comit o los comits para la gestin y coordinacin de la seguridad,
detallando su mbito de responsabilidad, los miembros y la relacin con otros
elementos de la organizacin.
e) Las directrices para la estructuracin de la documentacin de seguridad del sistema,
su gestin y acceso.
5.3.
22
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC Recomendacin
Preguntas frecuentes
23
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC Recomendacin
6.
Preguntas frecuentes
6.1. Es obligatorio para las AA.PP. seguir lo que se indica en las Guas STIC
del CCN?
El art. 29 del ENS seala la utilidad de las Guas CCN-STIC. En concreto, dice: Para el
mejor cumplimiento de lo establecido en el Esquema Nacional de Seguridad, el Centro
Criptolgico Nacional, en el ejercicio de sus competencias, elaborar y difundir las
correspondientes guas de seguridad de las tecnologas de la informacin y las
comunicaciones.
No se trata, por tanto, de normas imperativas, sino de la expresin de metodologas y
recomendaciones para el adecuado cumplimiento de lo dispuesto en el ENS.
Recomendaciones que tendrn especial significacin para aquel organismo administrativo
afectado por un incidente grave de seguridad, motivado por la inobservancia de las
recomendaciones descritas.
6.2.
7.
24
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC Recomendacin
Preguntas frecuentes
Se entiende que existe incumplimiento formal de una ley, cuando el obligado a llega
efectivamente a cumplirla, pero hacindolo sin acomodarse al procedimiento
explcitamente sealado en la norma (o implcitamente contemplado por ella). En este
caso, por tanto, puede alcanzarse el objetivo perseguido por la norma, pero no de la
manera (forma) que prescribe el precepto. En general, se trata de un incumplimiento
menos grave que el anterior.
8.
Usar una herramienta, que nos sirva de ayuda para desarrollar eficazmente un Anlisis de
Riesgos, es sin duda una buena opcin.
Aadiremos, no obstante, un par de precisiones sobre el uso de tales herramientas:
1. Conviene que la herramienta de Anlisis de Riesgos est suficientemente contrastada,
mejor an si existe una comunidad amplia de usuarios (pblicos y privados) que la
Centro Criptolgico Nacional
25
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC Recomendacin
Preguntas frecuentes
9.
9.1.
LA AUDITORA DE LA SEGURIDAD
Contempla el ENS algn mecanismo de auditora?
El ENS alienta y propicia una gestin continua de la seguridad. Todas las actuaciones deben
estar formalizadas permitiendo una auditora de la seguridad, prevista en el artculo 34 del
ENS.
Esta auditora de la seguridad se describe en el Anexo III del ENS, indicndose que la
seguridad de los sistemas de informacin que debe estar formalizada por medio de un
sistema de gestin de seguridad de la informacin- debe ser auditada, al menos cada dos aos,
para las categoras media y alta.
26
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC Recomendacin
Preguntas frecuentes
10. CERTIFICACIONES
10.1. Quin certifica que un determinado producto cumple funcionalmente
con las exigencias de seguridad que se requieren?
El CCN, como Organismo de Certificacin del Esquema Nacional de Evaluacin y
Certificacin de la Seguridad de las Tecnologas de la Informacin (segn lo dispuesto en la
Ley 11/2002, de 6 de mayo, reguladora del Centro Nacional de Inteligencia, y el Real Decreto
421/2004, de 12 de marzo, por el que se regula el Centro Criptolgico Nacional), emite esta
certificacin funcional en base a criterios establecidos y reconocidos como estndar
internacional: los llamados Information Technology Security Evaluation Criteria (ITSEC) y
Common Criteria for Information Technology Security Evaluation, estos ltimos
publicados tambin como norma ISO/IEC 15408.
Esta certificacin es la culminacin de un proceso de evaluacin de las funciones de
seguridad de un producto o sistema (objeto de evaluacin) que, siguiendo una metodologa,
tambin estndar, realiza un laboratorio independiente, acreditado y capacitado tcnicamente
para tal fin. Se trata de comprobar que el objeto de evaluacin realiza correcta y eficazmente
la funcionalidad de seguridad que se describe en su documentacin.
El mbito de actuacin del Organismo de Certificacin comprende a las entidades pblicas o
privadas que quieran ejercer de laboratorios de evaluacin de la seguridad de las TI en el
marco del Esquema, y a las entidades pblicas o privadas fabricantes de productos o sistemas
de TI que quieran certificar la seguridad de dichos productos en el marco del Esquema y
Centro Criptolgico Nacional
27
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC Recomendacin
Preguntas frecuentes
28
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC Recomendacin
Preguntas frecuentes
29
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC Recomendacin
Preguntas frecuentes
El ENS es una norma jurdica, el Real Decreto 3/2010, que se encuentra al servicio de
la realizacin de derechos de los ciudadanos y es de aplicacin obligatoria a todas las
Administraciones Pblicas.
El ENS que trata la proteccin de la informacin y los servicios, contempla y exige la
gestin continuada de la seguridad, para lo cual cabe aplicar un sistema de gestin.
La normalizacin nacional e internacional, de cumplimiento voluntario, ofrece
herramientas como la norma UNE ISO/IEC 27001:2007 que es una norma de gestin
que contiene los requisitos para la construccin de un sistema de gestin de seguridad
de la informacin, contra la que puede, en su caso, de forma voluntaria, certificarse
una entidad (pblica o privada) mediante un proceso de auditora realizado por un
auditor certificado externo.
Si bien cabe sealar que aquellas organizaciones que se encuentren certificadas contra
ISO 27001 tienen una buena parte del camino recorrido para lograr su conformidad
con el ENS, toda vez que las medidas de proteccin que seala el ENS coinciden, en lo
sustancial, con los controles que prev la norma internacional.
30
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC Recomendacin
Preguntas frecuentes
31
SIN CLASIFICAR