Recientemente el Centro Criptológico Nacional (CCN-CERT) ha publicado la Declaración de Aplicabilidad en el ámbito del Esquema Nacional de Seguridad (ENS). Esta Declaración es el documento en el que se formaliza la relación de medidas de seguridad que resultan de aplicación al sistema de información de que se trate, conforme a su categoría. Asimismo, el CCN nos facilita el trabajo adjuntando un simulador (anexo a la Guía) para hacerlo de forma automática, introduciendo los niveles de seguridad para cada una de las dimensiones del activo.
La Declaración incluye la categorización y la determinación de los niveles de seguridad por dimensión, la categoría y las medidas de aplicación. El tercer capítulo incluye un ejemplo de categorización y de determinación de aplicabilidad. Seguidamente, se incluye un apartado con que define el Perfil de Cumplimiento Específico (PCE).
Finalmente, se incluyen el siguiente decálogo de recomendaciones para la declaración de aplicabilidad en el Esquema Nacional de Seguridad.
Decálogo de recomendaciones para la Declaración de Aplicabilidad (ENS) | |
1 | Valorar, en primer lugar, los activos esenciales (de los tipos “Información” y “Servicio”). |
2 | Para valorar los activos, determinar el nivel de seguridad por cada una de las dimensiones: confidencialidad [C], integridad [I], disponibilidad [D], autenticidad [A] y trazabilidad [T]. Dicho nivel se determinará en función de las consecuencias de un incidente de seguridad sobre alguna de las dimensiones. |
3 | Si el activo esencial es del tipo “Servicio”, se recomienda valorar en primer lugar la dimensión de disponibilidad [D], pues los requisitos en materia de confidencialidad, integridad, autenticidad y trazabilidad suelen venir heredados por la valoración de los activos del tipo “Información”. |
4 | Establecer la categoría del sistema (BÁSICA, MEDIA o ALTA) en función de los niveles de seguridad asignados a las distintas dimensiones, teniendo en cuenta que la asignación de una categoría al sistema requiere fijar un grado de implementación de las medidas que resulten de aplicación y que la categoría del sistema será el mayor de los niveles de seguridad asignados. |
5 | Seleccionar las medidas que aplican al sistema en función de su categoría, de un total de 45 medidas. |
6 | Seleccionar las medidas que aplican al sistema en función de sus niveles de seguridad, de un total de 28 medidas. |
7 | Emplear el simulador elaborado por el CCN-CERT, que ayuda a determinar la Declaración de Aplicabilidad de forma automática, introduciendo los niveles de seguridad para cada una de las dimensiones del activo. |
8 | Indicar de forma detallada la correspondencia entre las medidas compensatorias implementadas y las medidas del Anexo II que compensan; análogamente respecto a las posibles medidas complementarias de vigilancia. El conjunto será objeto de la aprobación formal por parte del responsable de Seguridad. |
9 | En caso de que en la Declaración de Aplicabilidad se incluya alguna medida compensatoria, detallar, por cada una de ellas, los siguientes parámetros: ámbito de aplicación, limitaciones o restricciones, objetivo, riesgo identificado, definición de la compensatoria, validación de la medida compensatoria y mantenimiento. El contenido de dichos parámetros es recogido en la Guía CCN-STIC-819 Medidas Compensatorias. |
10 | Para la redacción del documento de Declaración de Aplicabilidad, hacer uso de un documento de elaboración propia, o de la plantilla elaborada por el CCN-CERT, debiendo tener en cuenta los perfiles de cumplimiento validados por el CCN en las correspondientes guías CCN-STIC. |