Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
07/04/2017
FAQs sobre el proceso de certificación del ENS
Desde el blog Security Art Work nos plantean algunas de las dudas mas frecuentes que nos surgen ante un proceso de certificación del ENS.
Desde Security Art Work nos indican que gran parte de las consultas o dudas que se plantean no han sido resueltas, pero el autor del artículo, Antonio Huerta, nos comparte sus pesquisas sobre las dudas que surgen desde el punto de vista de un proveedor de servicios que quiere obtener la certificación ENS.
? Por la naturaleza del ENS, ¿para obtener la certificación es necesario cumplir estrictamente todas las medidas de seguridad del ANEXO II? ¿Qué pasa si no se cumple una medida de seguridad?
La certificación no será algo “booleano”, existirán 3 resultados: certificado, certificado con no conformidades y no certificable.
? Si faltan ciertas medidas de seguridad y por tanto tengo varias no conformidades. ¿Qué se tendrá en cuenta para valorar si se cumple en el grado suficiente para obtener la certificación de cumplimiento con no conformidades?
La obtención y cálculo del grado de cumplimiento necesario para obtener la certificación se ciñe a lo dispuesto en la guía CCN 824.
? Si no cumplo con una medida de seguridad el día de la auditoría pero su implantación está prácticamente finalizada, ¿qué pasa?
Será reflejado como un incumplimiento, pero tendrá una valoración positiva en los cálculos del nivel de cumplimiento.
? Tengo que implantar un control que implica un coste económico que no puedo afrontar en estos momentos. ¿Qué puedo hacer?
Si no puede implantar una medida de seguridad por ciertos motivos, deberán ser implementadas medidas de seguridad compensatorias aprobadas por el responsable de seguridad de la organización
? Quiero obtener el certificado de conformidad para nivel alto de todos mi servicios. No obstante, aunque la confidencialidad de mi información está clasificada de nivel alto, los otros parámetros del DICAT no requieren ese nivel de exigencia. ¿Es posible certificarme con un cumplimiento para sistemas de nivel alto, teniendo (por ejemplo) la disponibilidad de nivel bajo y (por tanto) aplicar medidas de nivel bajo para la disponibilidad?
Esta cuestión no fue del todo aclarada, pero las respuestas obtenidas indican que en esa valoración debe de aplicarse el sentido común.
? Si mi metodología de análisis de riesgos toma algunos aspectos de MAGERIT, pero el cálculo del riesgo sigue su propio “fundamento matemático”, ¿se considera este válido para el cumplimiento de los requisitos de nivel alto de la medida de seguridad relativa a análisis de riesgos?
Si la metodología empleada está basada en estándares internacionales y cumple los otros aspectos recogido en esa medida, tendrá una valoración positiva.
? Si en el servicio que presto a mis clientes utilizo una aplicación de desarrollo propio, ¿es necesario que esta herramienta este certificada por el Common Criteria?
De acuerdo con la guía CCN 813, el requerimiento de componentes certificados se circunscribe a las siguientes medidas de seguridad:
- Mecanismo de autenticación.
- Protección de claves criptográficas.
- Protección de la confidencialidad.
- Protección de la autenticidad y de la integridad.
- Criptografía.
- Borrado y destrucción.
- Firma electrónica.
- Sellos de tiempo.
Por tanto, si el objetivo de la aplicación no es por si una de estas medidas de seguridad, no es necesario.
Pueden continuar leyendo el artículo en el siguiente enlace.