Agencia Estatal Boletín Oficial del Estado

Ministerio de la Presidencia Agencia Estatal Boletín Oficial del Estado

Está Vd. en

Documento BOE-A-2018-4573

Resolucin de 27 de marzo de 2018, de la Secretara de Estado de Funcin Pblica, por la que se aprueba la Instruccin Tcnica de Seguridad de Auditora de la Seguridad de los Sistemas de Informacin.

TEXTO

El Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el mbito de la Administracin Electrnica (ENS en adelante), al que se refiere el apartado segundo del artculo 156 de la Ley 40/2015, de 1 de octubre, de Rgimen Jurdico del Sector Pblico, establece la poltica de seguridad en la utilizacin de medios electrnicos y est constituido por principios bsicos y requisitos mnimos que permitan una proteccin adecuada de la informacin. Dicho Real Decreto prev, en su artculo 29, apartado 2, que el Ministerio de Hacienda y Funcin Pblica, a propuesta de la Comisin Sectorial de Administracin Electrnica y a iniciativa del Centro Criptolgico Nacional, aprobar las instrucciones tcnicas de seguridad de obligado cumplimiento, que se publicarn mediante resolucin de la Secretara de Estado de Funcin Pblica, constituyendo elementos esenciales para lograr una adecuada, homognea y coherente implantacin de los requisitos y medidas recogidos en el ENS.

As pues, tales instrucciones tcnicas de seguridad, enumeradas en la Disposicin Adicional cuarta del citado Real Decreto 3/2010, de 8 de enero, entran a regular aspectos concretos que la realidad cotidiana ha mostrado especialmente significativos, tales como: Informe del Estado de la Seguridad; Notificacin de Incidentes de Seguridad; Auditora de la Seguridad; Conformidad con el Esquema Nacional de Seguridad; Adquisicin de Productos de Seguridad; Criptologa de empleo en el Esquema Nacional de Seguridad; Interconexin en el Esquema Nacional de Seguridad y Requisitos de Seguridad en entornos externalizados, sin perjuicio de las propuestas que pueda acordar la Comisin Sectorial de administracin electrnica, segn lo establecido en el citado artculo 29, en relacin con lo dispuesto en la Disposicin derogatoria nica de la Ley 39/2015, de 1 de octubre, de Procedimiento Administrativo Comn de las Administraciones Pblicas y Disposicin adicional novena de la Ley 40/2015, de 1 de octubre, de Rgimen Jurdico del Sector Pblico.

Estas instrucciones tcnicas de seguridad se desarrollarn y perfeccionarn a lo largo del tiempo, en paralelo al progreso de los servicios de Administracin Electrnica, las infraestructuras que los apoyan, la evolucin tecnolgica y los riesgos derivados de operar en el ciberespacio.

En particular, la instruccin tcnica de seguridad de Auditora de la Seguridad de los sistemas de informacin establece las condiciones para la realizacin de la preceptiva auditora a la que deben someterse los sistemas de informacin del mbito de aplicacin del ENS, tal y como se regula en el artculo 34 y Anexo III de su norma reguladora.

Por otra parte, de acuerdo con el Real Decreto 769/2017, de 28 de julio, por el que se desarrolla la estructura orgnica bsica del Ministerio de Hacienda y Funcin Pblica y se modifica el Real Decreto 424/2016, de 11 de noviembre, por el que se establece la estructura orgnica bsica de los departamentos ministeriales corresponde a la Secretara de Estado de Funcin Pblica el impulso, la programacin y la supervisin de las actuaciones en ejecucin de la poltica de Gobierno en materia de Administracin Digital y del fomento de la administracin electrnica, en especial lo referente al proceso de racionalizacin de las tecnologas de la informacin y de las comunicaciones, y la adopcin de soluciones digitales que permitan la prestacin eficiente de los servicios pblicos incluyendo los servicios pblicos esenciales.

Esta Resolucin se aprueba en aplicacin de lo dispuesto en el Real Decreto 3/2010, de 8 de enero, en el artculo 29, apartado 2, en el captulo V, Auditora de la seguridad, artculo 34, as como en su Anexo III, modificado por Real Decreto 951/2015, de 23 octubre, a propuesta de la Comisin Sectorial de Administracin Electrnica.

En virtud de lo anterior, esta Secretara de Estado resuelve:

Primero.

Aprobar la Instruccin Tcnica de Seguridad Auditora de la Seguridad de los sistemas de informacin, cuyo texto se incluye a continuacin.

Segundo.

Ordenar su publicacin en el Boletn Oficial del Estado.

La Instruccin Tcnica de Seguridad de Auditora de la Seguridad de los sistemas de informacin que se aprueba mediante la presente Resolucin se aplicar desde el da siguiente al de su publicacin en el Boletn Oficial del Estado.

Madrid, 27 de marzo de 2018.–La Secretaria de Estado de Funcin Pblica, Elena Collado Martnez.

INSTRUCCIN TCNICA DE SEGURIDAD DE AUDITORA DE LA SEGURIDAD DE LOS SISTEMAS DE INFORMACIN

NDICE

I. Objeto.

II. mbito de aplicacin.

III. Propsito de la Auditora de la Seguridad, obligatoriedad y normativa reguladora.

IV. Definicin del alcance y objetivo de la Auditora de la Seguridad.

V. Ejecucin de la Auditora de la Seguridad.

VI. El Informe de Auditora.

VII. Entidades Auditoras del Sector Pblico.

VIII. Disposicin adicional. Datos personales.

I. Objeto: La Instruccin Tcnica de Seguridad de Auditora de la Seguridad tiene por objeto establecer las condiciones para la realizacin de las auditoras, ordinarias o extraordinarias, previstas en el artculo 34 del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el mbito de la Administracin Electrnica.

II. mbito de aplicacin: La presente Instruccin Tcnica de Seguridad ser de aplicacin a los sistemas de informacin comprendidos en los mbitos subjetivo y objetivo de aplicacin del Real Decreto 3/2010, de 8 de enero, segn dispone el artculo 3 del mismo, as como al resto de las entidades que forman parte de los mbitos subjetivos de aplicacin de la Ley 39/2015, de 1 de octubre, de Procedimiento Administrativo Comn de las Administraciones Pblicas, y la Ley 40/2015,de 1 de octubre, de Rgimen Jurdico del Sector Pblico.

III. Propsito de la Auditora de la Seguridad, obligatoriedad y normativa reguladora:

III.1 La Auditora de la Seguridad es un proceso sistemtico, independiente y documentado, para la obtencin de evidencias y su evaluacin objetiva, con el fin de determinar el grado de conformidad con el ENS del sistema de informacin auditado. Debe permitir a sus responsables adoptar las medidas oportunas para subsanar las deficiencias y atender a las observaciones o recomendaciones que pudiera haber identificado el Equipo Auditor y, en su caso, posibilitar la obtencin de la correspondiente Certificacin de Conformidad, tal y como dispone la Instruccin Tcnica de Seguridad de Conformidad con el Esquema Nacional de Seguridad, regulada por Resolucin de 13 de octubre de 2016, del Secretario de Estado de Administraciones Pblicas.

III.2 Para obtener la Certificacin de Conformidad con el ENS, los sistemas de informacin de categoras MEDIA o ALTA precisarn superar una Auditora de Seguridad, al menos cada dos aos. Los sistemas de informacin de categora BSICA solo requerirn de una autoevaluacin que, de ser favorable, permitir la exhibicin de la Declaracin de Conformidad, y cuyo resultado deber estar documentado, indicando si cada medida de seguridad est implantada y sujeta a revisin regular, as como las evidencias que sustentan la valoracin anterior. Dicha autoevaluacin podr ser desarrollada por el mismo personal que administra el sistema de informacin o en quin ste delegue.

III.3 Siendo obligatoria la Auditora de Seguridad para los sistemas de categoras MEDIA o ALTA, nada impide que un sistema de categora BSICA se someta asimismo a un proceso de Auditora de Seguridad para la Certificacin de la Conformidad, siendo siempre esta posibilidad la deseable.

III.4 El desarrollo de la Auditora de la Seguridad se realizar con sujecin a la normativa contenida en la presente Instruccin Tcnica de Seguridad y complementariamente, cuando corresponda, atendiendo a las normas nacionales e internacionales sobre auditora de sistemas de informacin, entre ellas las guas CCN-STIC 802 Gua de auditora, CCN-STIC 804 Gua de Implantacin y CCN-STIC 808 Verificacin del cumplimiento de las medidas en el ENS, y aquellas otras de tica y control de calidad interna de los auditores y entidades de auditora, certificacin y acreditacin.

IV. Definicin del alcance y objetivo de la Auditora de la Seguridad:

IV.1 Los criterios metodolgicos de auditora utilizados, el alcance y objetivo de la Auditora de la Seguridad debern estar claramente definidos y documentados, conforme a lo dispuesto en el artculo 34 y en el Anexo III del ENS, debiendo aparecer en el Informe de Auditora que se obtenga.

IV.2 Para asegurar la independencia objetiva de la Entidad Certificadora, las tareas de auditora no incluirn en ningn caso la ejecucin de acciones que puedan ser consideradas actividades de consultora o similares, tales como implantacin o modificacin de aplicaciones, relacionadas con el sistema auditado, redaccin de documentos requeridos por el ENS o procedimientos de actuacin, as como recomendaciones particulares sobre productos o soluciones concretas, entre otros.

V. Ejecucin de la Auditora de la Seguridad:

V.1 La entidad titular del sistema de informacin a auditar facilitar a la Entidad Certificadora cuanta informacin fuera pertinente para realizar los trabajos de auditora, teniendo en cuenta su alcance y las eventuales limitaciones derivadas del ordenamiento jurdico.

V.2 El Equipo Auditor est obligado a requerir y obtener las evidencias pertinentes para verificar los criterios de auditora, cuya evaluacin constituirn los hallazgos en que se basarn las conclusiones recogidas en el Informe de Auditora.

VI. El Informe de Auditora:

VI.1 Atendiendo a la categora del sistema auditado (BSICA, MEDIA o ALTA) el dictamen sobre la conformidad con el ENS se basar en el cumplimiento de los preceptos contenidos en el RD 3/2010, de 8 de enero, y de las medidas de seguridad del Anexo II del ENS que resulten de aplicacin, as como de aquellos requisitos especficos que pudieran documentarse en guas CCN-STIC en funcin del contexto interno o externo del sistema de informacin, identificando, en su caso, las desviaciones que se observen, as como los registros, declaraciones de hechos o cualquier otra informacin pertinente y verificable en que se basen las conclusiones alcanzadas.

VI.2 Los hallazgos de no conformidad se clasificarn atendiendo a los siguientes grados:

– No Conformidad Menor: Se documentar una No Conformidad Menor ante la ausencia o el fallo en la implantacin o mantenimiento de uno o ms de los requisitos del ENS, incluyendo cualquier situacin que pudiese, en base a una evidencia objetiva, sustentar una duda significativa sobre la conformidad del sistema de informacin con uno o ms de tales requisitos.

– No Conformidad Mayor: Se documentar una No Conformidad Mayor cuando se detecten No Conformidades Menores en relacin con cualquiera de los preceptos contenidos en el RD 3/2010, de 8 de enero, o en el Marco organizativo, o en alguno de los subgrupos que integran el Marco operacional o las Medidas de proteccin (Planificacin, Control de Accesos, Explotacin, Servicios Externos, Continuidad del Servicio, Monitorizacin del Sistema, Proteccin de las Infraestructuras, Gestin del Personal, Proteccin de Equipos, Comunicaciones, Soportes de Informacin, Aplicaciones Informticas, Informacin o Servicios) que, evaluadas en su conjunto, puedan implicar el incumplimiento del objetivo del Grupo o Subgrupo considerados.

Se documentar una Observacin cuando se encuentren evidencias de una debilidad, una vulnerabilidad o una situacin que, sin comprometer cualquier rea del sistema de gestin definida en el ENS o por la organizacin, pueda, en la actualidad o en el futuro, derivar en un problema.

VI.3 El dictamen final de la Auditora de la Seguridad ser uno de los tres siguientes:

– FAVORABLE: Cuando no se evidencie ninguna No Conformidad Mayor o No Conformidad Menor.

– FAVORABLE CON NO CONFORMIDADES: Cuando se evidencie cualquier no conformidad, mayor o menor. En este caso, la entidad titular responsable del sistema de informacin auditado deber presentar, en el plazo mximo de un mes, un Plan de Acciones Correctivas sobre tales hallazgos de no conformidad a la entidad certificadora para su evaluacin.

– DESFAVORABLE: Cuando, por el nmero o la transcendencia de las no conformidades detectadas, no sea posible decidir sobre su resolucin a travs de un Plan de Acciones Correctivas. En este caso se requerir la realizacin de una auditora extraordinaria que verifique la adopcin de las medidas correctoras adecuadas.

La Gua CCN-STIC 824 Informe del Estado de Seguridad, que el Centro Criptolgico Nacional mantendr permanentemente actualizada, ofrecer pautas de ayuda para el dictamen final de la Auditora de la Seguridad.

VI.4 La Certificacin de Conformidad con el ENS nicamente podr expedirse si el dictamen fuera FAVORABLE o, si habiendo sido FAVORABLE CON NO CONFORMIDADES, el Plan de Acciones Correctivas presentado por la entidad titular del sistema de informacin, trata y resuelve los hallazgos de no conformidad evidenciados, a criterio de la entidad certificadora.

VI.5 Ante un dictamen DESFAVORABLE, la entidad titular del sistema de informacin auditado, en un plazo no superior a seis meses desde la fecha de emisin del Informe de Auditora, deber someterse a una Auditora Extraordinaria, exclusivamente sobre los hallazgos de no conformidad evidenciados que, de resultar satisfactorio, permitir la expedicin del correspondiente Certificado de Conformidad con el ENS.

VI.6 En caso de un sistema certificado sobre el que se detecten No Conformidades Mayores, durante el perodo de resolucin de las No Conformidades Mayores el Certificado de Conformidad quedar en suspenso. En caso de no cerrar las No Conformidades Mayores en un plazo de seis meses el Certificado de Conformidad quedara revocado y la entidad auditada deber eliminar el Distintivo de Conformidad de su sede hasta su prxima recertificacin.

VI.7 El informe de Auditora deber contener la informacin adecuada y suficiente para facilitar y justificar la decisin de certificacin, como mnimo:

– Las reas organizativas, mdulos o funciones del sistema de informacin cubiertas por la auditora, incluyendo los requisitos de certificacin y las ubicaciones que fueron auditadas, las pistas de auditora seguidas y las metodologas de auditora utilizadas.

– Los hallazgos identificados, tanto de conformidad como de no conformidad, incluyendo las Observaciones.

– Los detalles de las no conformidades identificadas se justificarn mediante evidencias objetivas y su correspondencia con los requisitos del ENS u otros documentos requeridos para la Certificacin.

– Comentarios sobre la conformidad del Sistema de Gestin de Seguridad de la Informacin del auditado con los requisitos de certificacin, con una redaccin clara de las no conformidades que hubieran podido evidenciarse, una referencia a la versin de la Declaracin de Aplicabilidad, que incluya el nivel en cada dimensin para cada medida de seguridad del ENS aplicable, as como cualquier comparacin til con los resultados de Auditoras de la Seguridad previas.

– La Categora del Sistema, con detalle del nivel de seguridad en cada una de las dimensiones recogidas en el ENS.

– El grado de confianza en las revisiones de la Direccin y auditoras internas del auditado.

– La conclusin o dictamen del Equipo de Auditora sobre si el sistema de informacin del auditado debe ser certificado o no, con informacin que soporte esa conclusin.

VI.8 Los informes de auditora podrn ser requeridos por el CCN-CERT, en los trminos previstos en el artculo 37 del ENS.

VII. Entidades Auditoras del Sector Pblico: La presente Instruccin Tcnica de Seguridad tambin ser de aplicacin a las actividades de auditora y a la emisin de los correspondientes informes que se realicen por entidades, rganos, organismos y unidades vinculadas o dependientes de las Administraciones Pblicas cuyas competencias se correspondan con el desarrollo de auditoras de sistemas de informacin, as conste en su normativa de creacin o decretos de estructura y quede garantizada la debida imparcialidad.

VIII. Disposicin adicional. Datos personales:

VIII.1 Cuando el sistema auditado tenga por objeto o incluya el tratamiento de datos personales se tendr en cuenta lo previsto en la Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de Datos de Carcter Personal y su normativa de desarrollo.

VIII.2 A partir del 25 de mayo de 2018, cuando el sistema auditado tenga por objeto o incluya el tratamiento de datos personales, se tendr en cuenta el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la proteccin de las personas fsicas en lo que respecta al tratamiento de datos personales y a la libre circulacin de estos datos y por el que se deroga la Directiva 95/46/CE. A partir de dicha fecha en todo momento se informar al Delegado de Proteccin de Datos en calidad de responsable de la supervisin del cumplimiento del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016.

Análisis

  • Rango: Resolucin
  • Fecha de disposición: 27/03/2018
  • Fecha de publicación: 03/04/2018
  • Aplicable desde 4 de abril de 2018.
Referencias anteriores
  • DE CONFORMIDAD con el Real Decreto 3/2010, de 8 de enero (Ref. BOE-A-2010-1330).
Materias
  • Administracin electrnica
  • Administraciones Pblicas
  • Control de calidad
  • Ficheros con datos personales
  • Informtica
  • Normas de calidad
  • Redes de telecomunicacin
  • Secretara de Estado de Administraciones Pblicas

subir

Agencia Estatal Boletín Oficial del Estado

Avda. de Manoteras, 54 - 28050 Madrid