accesskey_mod_content

Publicada en el BOE Instrucció Tècnica de Seguretat de Notificació d'Incidents de Seguretat

"Notícia disponible únicament amb finalitats històriques i d'hemeroteca. La informació i enllaços mostrats es corresponen amb els quals estaven operatius a la data de la seua publicació. No es garantix que continuen actius actualment".

20 abril 2018

Esta nova ITS s'unix a les ja publicades sobre informe de l'estat de la seguretat, conformitat amb l'ENS i auditoria de la seguretat

La Instrucció Tècnica de Seguretat de Notificació d'Incidents de Seguretat(Obri en nova finestra) . establix els criteris i procediments per a la notificació per part de les entitats que formen part dels àmbits subjectius d'aplicació de les lleis 39/2015 (Obri en nova finestra)40/2015 (Obri en nova finestra) al Centre Criptològic Nacional (CCN) d'aquells incidents que tinguen un impacte significatiu en la seguretat de la informació que manegen i els servicis que presten en relació amb la categoria del sistema, a fi de poder donar adequada resposta al mandat del Capítol VII, Resposta a incidents de seguretat, del Reial decret 3/2010, de 8 de gener, pel qual es regula l'Esquema Nacional de Seguretat en l'àmbit de l'Administració Electrònica (ENS).

En esta ITS, després de l'objecte i l'àmbit d'aplicació, es tracten qüestions tals com els criteris de determinació del nivell d'impacte, la notificació obligatòria dels incidents amb nivell d'impacte Alt, Molt alt i Crític, les evidències a entregar en el cas d'incidents nivell Alt, Molt alt i Crític, l'obligació de remissió d'estadístiques d'incidents, la notificació d'impactes rebuts, el desenvolupament de ferramentes automatitzades per a facilitar les notificacions, el règim legal de les notificacions i comunicació d'informació, més una disposició addicional amb precisions sobre la notificació quan l'incident afecte a dades personals. Els seus aspectes més rellevants són els següents:

  • L'apartat tercer establix els criteris que permeten determinar el nivell d'impacte de l'incident.
  • L'apartat quart determina els casos en què, pel nivell d'impacte, és obligatori notificar l'incident de seguretat al CCN-CERT.
  • L'apartat cinc establix les evidències que podrà recaptar el CCN-CERT per a la investigació d'incidents de seguretat significatius.
  • L'apartat sis arreplega l'obligació de les Administracions Públiques d'elaborar estadístiques d'incidents de seguretat i remetre-les al CCN-CERT, juntament amb la resta d'informació enviada respecte als incidents.
  • L'apartat set està dedicat a la notificació de l'impacte al CCN-CERT quan el seu nivell d'impacte ho requerix.
  • L'apartat huit descriu les ferramentes automatitzades disponibles per a realitzar les notificacions previstes en esta Instrucció Tècnica de Seguretat. En particular, se cita la ferramenta LUCIA(Obri en nova finestra) , Llistat Unificat de Coordinació d'Incidents i Amenaces) desenvolupada pel CCN amb el propòsit d'automatitzar els mecanismes de notificació, comunicació i intercanvi d'informació sobre incidents de seguretat, d'acord a l'establit en Guia CCN-STIC 817(Obri en nova finestra) .
  • L'apartat nou arreplega el marc legal aplicable a les notificacions i comunicacions d'informacions descrites en esta Instrucció.
  • L'apartat deu afig una disposició addicional en la qual s'arrepleguen diversos aspectes relatius a la protecció de dades i en previsió de l'entrada en vigor del Reglament General de Protecció de Dades (Reglament (UE) 2016/679)(Obri en nova finestra) . De manera que quan l'incident afecte a dades personals la notificació a l'autoritat de control competent es realitzarà amb independència del nivell d'impacte de l'incident en l'Esquema Nacional de Seguretat.

L'ENS preveges, en el seu article 29, apartat 2, les instruccions tècniques de seguretat com a elements essencials per a aconseguir una adequada, homogènia i coherent implantació dels requisits i mesures arreplegats en el mateix. Aquestes instruccions tècniques de seguretat regulen aspectes concrets que la realitat quotidiana ha mostrat especialment significatius, tals com: Informe de l'Estat de la Seguretat; Notificació d'Incidents de Seguretat; Auditoria de la Seguretat; Conformitat amb l'Esquema Nacional de Seguretat; Adquisició de Productes de Seguretat; Criptologia d'ocupació en l'Esquema Nacional de Seguretat; Interconnexió en l'Esquema Nacional de Seguretat i Requisits de Seguretat en entorns externalitzats.

  • Seguretat