accesskey_mod_content

Publicada en el BOE Instrucció Tècnica de Seguretat de Notificació d'Incidents de Seguretat

"Notícia disponible únicament amb finalitats històriques i d'hemeroteca. La informació i enllaços mostrats es corresponen amb els quals estaven operatius a la data de la seva publicació. No es garanteix que continuïn actius actualment".

20 abril 2018

Aquesta nova ITS s'uneix a les ja publicades sobre informe de l'estat de la seguretat, conformitat amb l'ENS i auditoria de la seguretat

La Instrucció Tècnica de Seguretat de Notificació d'Incidents de Seguretat(Obre en nova finestra) . estableix els criteris i procediments per a la notificació per part de les entitats que formen part dels àmbits subjectius d'aplicació de les lleis 39/2015 (Obre en nova finestra)40/2015 (Obre en nova finestra) al Centre Criptològic Nacional (CCN) d'aquells incidents que tinguin un impacte significatiu en la seguretat de la informació que manegen i els serveis que presten en relació amb la categoria del sistema, a fi de poder donar adequada resposta al mandat del Capítol VII, Resposta a incidents de seguretat, del Reial decret 3/2010, de 8 de gener, pel qual es regula l'Esquema Nacional de Seguretat en l'àmbit de l'Administració Electrònica (ENS).

En aquesta ITS, després de l'objecte i l'àmbit d'aplicació, es tracten qüestions tals com els criteris de determinació del nivell d'impacte, la notificació obligatòria dels incidents amb nivell d'impacte Alt, Molt alt i Crític, les evidències a lliurar en el cas d'incidents nivell Alt, Molt alt i Crític, l'obligació de remissió d'estadístiques d'incidents, la notificació d'impactes rebuts, el desenvolupament d'eines automatitzades per facilitar les notificacions, el règim legal de les notificacions i comunicació d'informació, més una disposició addicional amb precisions sobre la notificació quan l'incident afecti a dades personals. Els seus aspectes més rellevants són els següents:

  • L'apartat tercer estableix els criteris que permeten determinar el nivell d'impacte de l'incident.
  • L'apartat quart determina els casos en què, pel nivell d'impacte, és obligatori notificar l'incident de seguretat al CCN-CERT.
  • L'apartat cinc estableix les evidències que podrà recaptar el CCN-CERT per a la recerca d'incidents de seguretat significatius.
  • L'apartat sis recull l'obligació de les Administracions Públiques d'elaborar estadístiques d'incidents de seguretat i remetre-les al CCN-CERT, juntament amb la resta d'informació enviada respecte als incidents.
  • L'apartat set està dedicat a la notificació de l'impacte al CCN-CERT quan el seu nivell d'impacte ho requereix.
  • L'apartat vuit descriu les eines automatitzades disponibles per realitzar les notificacions previstes en aquesta Instrucció Tècnica de Seguretat. En particular, se cita l'eina LUCIA(Obre en nova finestra) , Llistat Unificat de Coordinació d'Incidents i Amenaces) desenvolupada pel CCN amb el propòsit d'automatitzar els mecanismes de notificació, comunicació i intercanvi d'informació sobre incidents de seguretat, d'acord a l'establert en Guia CCN-STIC 817(Obre en nova finestra) .
  • L'apartat nou recull el marc legal aplicable a les notificacions i comunicacions d'informacions descrites en aquesta Instrucció.
  • L'apartat deu afegeix una disposició addicional en la qual es recullen diversos aspectes relatius a la protecció de dades i en previsió de l'entrada en vigor del Reglament General de Protecció de Dades (Reglament (UE) 2016/679)(Obre en nova finestra) . De manera que quan l'incident afecti a dades personals la notificació a l'autoritat de control competent es realitzarà amb independència del nivell d'impacte de l'incident en l'Esquema Nacional de Seguretat.

L'ENS preveges, en el seu article 29, apartat 2, les instruccions tècniques de seguretat com a elements essencials per aconseguir una adequada, homogènia i coherent implantació dels requisits i mesures recollits en el mateix. Aquestes instruccions tècniques de seguretat regulen aspectes concrets que la realitat quotidiana ha mostrat especialment significatius, tals com: Informe de l'Estat de la Seguretat; Notificació d'Incidents de Seguretat; Auditoria de la Seguretat; Conformitat amb l'Esquema Nacional de Seguretat; Adquisició de Productes de Seguretat; Criptologia d'ocupació en l'Esquema Nacional de Seguretat; Interconnexió en l'Esquema Nacional de Seguretat i Requisits de Seguretat en entorns externalitzats.

  • Seguretat