Hace algunas semanas se publicó la Guía de Seguridad CCN-STIC-809, “Declaración de conformidad y distintivo de cumplimiento con respecto al ENS” (PDF) que ha venido a desarrollar el requisito establecido por el artículo 41 de dicho esquema (Publicación de conformidad) para que los órganos y Entidades de Derecho Público puedan dar publicidad a las declaraciones de conformidad y a los distintivos de seguridad de cumplimiento articulando el Esquema de Declaración y Certificación de conformidad necesario.

Para ello, la Guía crea un distintivo que da respuesta a las exigencias legales de publicidad sobre el cumplimiento y, además incentiva a los organismos que hayan alcanzado la conformidad con la implantación del ENS.

Pero, para nosotros, lo más importante es que, en el caso de soluciones y servicios prestados por el sector privado a entidades públicas, a los que resulte exigible el cumplimiento del ENS, dichas soluciones deberán estar en condiciones de exhibir la correspondiente Declaración o Certificación de Conformidad con el ENS utilizando los mismos procedimientos que los exigidos para las entidades públicas.

Desde LEET Security estamos dando los pasos oportunos para poder actuar como Entidades de Certificación del ENS. Esta acreditación servirá para que, con carácter general, nuestra actividad esté acreditada, pero lo que es más importante, permitirá a nuestros clientes abordar en paralelo la calificación de sus servicios a la vez que se certifica su cumplimiento con el ENS

En relación a la Guía, no añade ninguna novedad a los criterios y procedimientos de conformidad, es decir:

  • Declaración de conformidad basado en una autoevaluación para sistemas de categoría básica
  • Certificación de conformidad tras una auditoría formal para sistemas de categorías media o alta (o básica, aunque en este caso, de manera voluntaria).

Las características fundamentales del Esquema creado por la Guía CNN-STIC 809 son las siguientes:

  • El Centro Criptológico Nacional (CCN) y la Entidad Nacional de Acreditación (ENAC) participarán en la acreditación de las Entidades de Certificación del ENS
  • Ambas definirán los criterios que deben adoptar dichas Entidades en relación a sus auditorías de conformidad con el ENS mediante una Instrucción Técnica de Seguridad.
  • Será necesario que las organizaciones que quieran certificar el cumplimiento con el ENS envíen al CCN una Memoria de Capacidades, Recursos y Experiencia previa en relación con el ENS que demuestre la suficiencia para expedir los certificados.
  • Se ha establecido un plazo de 24 meses para que dichas organizaciones sean acreditadas por ENAC según establezca el procedimiento de acreditación conforme a normas tales como UNE-EN ISO/IEC 17065:2012, UNE-EN ISO/IEC 17021:2011, ISO/IEC 27001:2011 o UNE-EN ISO/IEC 17020:2012.
  • El CCN mantendrá una relación actualizada de las Entidades de Certificación autorizadas.

Respecto a las declaraciones y certificaciones de conformidad, la guía también establece algunos requisitos: 

  • Deberá presentarse en un documento electrónico con formato PDF-A firmado electrónicamente e incluyendo el correspondiente sello de tiempo.
  • El documento electrónico debe poseer los metadatos mínimos obligatorios contemplados en la Resolución de 19 de julio de 2011, de la Secretaría de Estado para la Función Pública.
  • Podrá presentarse mediante un sello o distintivo de declaración de conformidad enlazado a la Declaración/Certificación de Conformidad correspondiente.
  • Los sellos o distintivos  deben poseer el aspecto y contenido que se indica en la Guía incluyendo: número del certificado, fecha de expedición, categoría del sistema certificado y enlace a la certificación correspondiente.

Puedes seguirnos en twitter.com/leet_security

31 de enero de 2016