Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
07/04/2017
FAQs sobre el procés de certificació de l'ENS
Des del blog Security Art Work ens plantegen alguns dels dubtes mes freqüents que ens sorgeixen davant d’un procés de certificació de l’ENS.
Des de Security Art Work ens indiquen que gran part de les consultes o dubtes que es plantegen no han sigut resoltes, però l’autor de l’article, Antonio Huerta, ens comparteix les seues perquisicions sobre els dubtes que sorgeixen des del punt de vista d’un proveïdor de serveis que vol obtindre la certificació ENS.
? Per la naturalesa de l’ENS, per a obtindre la certificació cal complir estrictament totes les mesures de seguretat del ANNEX II? Què passa si no es compleix una mesura de seguretat?
La certificació no serà quelcom “booleà”, hi haurà 3 resultats: certificat, certificat amb no conformitats i no certificable.
? Si falten certes mesures de seguretat i per tant tinc diverses no conformitats. Què es tindrà en compte per a valorar si es compleix en el grau suficient per a obtindre la certificació de compliment amb no conformitats?
L'obtenció i càlcul del grau de compliment necessari per a obtindre la certificació se cenyeix al que disposa la guia CCN 824.
? Si no complisc una mesura de seguretat el dia de l’auditoria però la seua implantació està pràcticament finalitzada, què passa?
Serà reflectit com un incompliment, però tindrà una valoració positiva en els càlculs del nivell de compliment.
? He d’implantar un control que implica un cost econòmic que no puc afrontar en aquests moments. Què puc fer?
Si no pot implantar una mesura de seguretat per certs motius, hauran de ser implementades mesures de seguretat compensatòries aprovades pel responsable de seguretat de l’organització.
? Vull obtindre el certificat de conformitat per a nivell alt de tots els meus serveis. No obstant això, encara que la confidencialitat de la meua informació està classificada de nivell alt, els altres paràmetres del DICAT no requereixen aquest nivell d’exigència. És possible certificar-me amb un compliment per a sistemes de nivell alt, tenint (per exemple) la disponibilitat de nivell baix i (per tant) aplicar mesures de nivell baix per a la disponibilitat?
Aquesta qüestió no va ser del tot aclarida, però les respostes obtingudes indiquen que en aqueixa valoració ha d'aplicar-se el sentit comú.
? Si la meua metodologia d’anàlisi de riscos pren alguns aspectes de MAGERIT, però el càlcul del risc segueix el seu propi “fonament matemàtic”, es considera aquest vàlid per al compliment dels requisits de nivell alt de la mesura de seguretat relativa a anàlisi de riscos?
Si la metodologia emprada està basada en estàndards internacionals i compleix els altres aspectes arreplegats en aqueixa mesura, tindrà una valoració positiva.
? Si en el servei que preste als meus clients utilitze una aplicació de desenvolupament propi, cal que aquesta ferramenta estiga certificada pel Common Criteria?
D'acord amb la guia CCN 813, el requeriment de components certificats se circumscriu a les següents mesures de seguretat:
- Mecanisme d’autenticació.
- Protecció de claus criptogràfiques.
- Protecció de la confidencialitat.
- Protecció de l’autenticitat i de la integritat.
- Criptografia.
- Esborrament i destrucció.
- Firma electrònica.
- Segells de temps.
Per tant, si l’objectiu de l’aplicació no és per si una d’aquestes mesures de seguretat, no cal.
Podeu continuar llegint l’article en l'enllaç següent.