Extraído de las FAQ de CCN-CERT. (Si no tiene a la FNMT como entidad certificadora de confianza, le saldrá un sitio diciendo que NO ES FIABLE. No estaría de más que la Administración hiciera lo posible porque los navegadores incluyan a la FNMT como CA de confianza).
¿Se debe desarrollar un SGSI formalizado y adecuado a las normas y buenas prácticas establecidas en estándares internacionales como, por ejemplo, ISO/IEC 27001?
El ENS impulsa que debe haber una gestión continuada de la seguridad, necesaria para poder satisfacer al menos:
- los principios a) Seguridad integral, b) Gestión de riesgos, e) Reevaluación periódica y
- los requisitos mínimos: a) Organización e implantación del proceso de seguridad y o) Mejora continua del proceso de seguridad.
Todas las actuaciones deben estar formalizadas permitiendo una auditoría.
La norma ISO/IEC 27001, en resumen, especifica un sistema de gestión certificable.
El ENS no exige específicamente que el sistema de gestión de la seguridad de la información sea el especificado por la norma ISO/IEC 27001, si bien éste es aplicable. En su caso corresponderá al auditor juzgar si su sustitución por otro sistema de gestión satisface los principios y requisitos mínimos exigidos por el ENS y permite verificar que la seguridad del sistema de información está efectivamente bajo control.
La certificación de la conformidad con ISO/IEC 27001 NO es obligatoria en el ENS.
¿Cuál es la relación entre el ENS y la norma ISO/IEC 27002?
La norma ISO/IEC 27002 es un conjunto de controles de seguridad para sistemas de información genéricos.
Numerosas medidas de seguridad del ENS coinciden con controles de ISO/IEC 27002.
El ENS es más preciso y establece un sistema de protección proporcionado a la información y servicios a proteger para racionalizar la implantación de medidas de seguridad y reducir la discrecionalidad.
La norma ISO/IEC 27002 carece de esta proporcionalidad, quedando a la mejor opinión del auditor que certifica la conformidad con ISO/IEC 27001.
Por otra parte, el ENS contempla diversos aspectos, por ejemplo, relativos a la firma electrónica no recogidos en la norma ISO/IEC 27002.
Las instalaciones las he subcontratado a un proveedor, ¿tengo que aplicar los requisitos mínimos y las medidas de seguridad relativos a instalaciones?
Usted, no. Pero debe tener en cuenta los requisitos mínimos y las medidas de seguridad correspondientes a la categoría del sistema y a los niveles requeridos en cada dimensión de seguridad, para exigírselos a su proveedor en el acuerdo de prestación de servicios.
