El CCN, consciente de la existencia de diferentes marcos normativos, tanto a nivel europeo como internacional, actualiza la guía CCN-SITC 825 sobre el ENS y la Certificación ISO 27001

La guía pretende facilitar la integración e implantación de las normas citadas, señalando lo que de común tienen. Como marco [legal] de ciberseguridad, el Esquema Nacional de Seguridad, requiere el cumplimiento de los principios y requisitos mínimos establecidos, adoptando las medidas y refuerzos de seguridad correspondientes, establecidas en su Anexo II.

Para implementar estas medidas, se hace necesario considerar previamente la categoría del sistema, tal y como se prevé en el artículo 40 y se detalla en el Anexo I, los activos que forman parte del sistema de información y la propia gestión de los riesgos de seguridad de la información.

El propio Esquema Nacional de Seguridad, reconoce la posibilidad de desplegar medidas de seguridad adicionales, a criterio del Responsable de Seguridad. Es más, dentro de esta flexibilidad para adaptarse a las necesidades del sistema de información y de los riesgos detectados, las propias medidas, pueden ser “moduladas” o “reemplazadas” por medidas compensatorias o  complementarias, que cumpliendo el mismo fin que las sustituidas, puedan lograr una seguridad y protección, al menos, equivalente.

Objeto de la Guía

La guía muestra las medidas compatibles entre el Esquema Nacional de Seguridad con el estándar ISO/ IEC 27001:2022.

Dicha compatibilidad no debe ser interpretada como una relación aritmética de equivalencia, sino una interpretación bajo un análisis general de los contenidos de ambas normas. Este análisis incluye los requisitos mínimos desplegados en el articulado del Real Decreto 311/2022, de 3 de mayo, y cláusulas [requisitos] de la ISO.

Esta guía pretende ofrecer una herramienta ágil para aquellas entidades que pretenden enriquecer su marco de seguridad asociado al cumplimiento del Esquema Nacional de Seguridad, mediante el despliegue de un sistema de gestión de seguridad de la información, con fuentes complementarias de la ISO 27002:2022 e incluso, capaz de soportar una certificación de la ISO 27001. Para la integración de sistemas de gestión, es recomendable realizar siempre un análisis de convergencias, por lo que la labor iniciada en esta guía solo es una aproximación general que deben ser particularizada para cada organización.

Esta guía también puede ser empleada a la inversa, es decir para aquellas entidades que ya disponiendo de sistemas de gestión de seguridad de la información bajo la ISO 27001, pretendan validar la conformidad de sus sistemas con el Real Decreto 311/2022 de 3 de mayo.

 

Fuente: Centro Criptológico Nacional (CCN)