accesskey_mod_content

Publicada no BOE Instrución Técnica de Seguridade de Notificación de Incidentes de Seguridade

"Noticia dispoñible unicamente con fins históricos e de hemeroteca. A información e ligazóns mostradas correspóndense cos que estaban operativos á data da súa publicación. Non se garante que continúen activos actualmente".

20 abril 2018

Esta nova ITS únese ás xa publicadas sobre informe do estado da seguridade, conformidade co ENS e auditoría da seguridade

A Instrución Técnica de Seguridade de Notificación de Incidentes de Seguridade(Abre en nova xanela) . establece os criterios e procedementos para a notificación por parte das entidades que forman parte dos ámbitos subxectivos de aplicación das leis 39/2015 (Abre en nova xanela)40/2015 (Abre en nova xanela) ao Centro Criptolóxico Nacional (CCN) daqueles incidentes que teñan un impacto significativo na seguridade da información que manexan e os servizos que prestan en relación coa categoría do sistema, co obxecto de poder dar adecuada resposta ao mandato do Capítulo VII, Resposta a incidentes de seguridade, do Real Decreto 3/2010, do 8 de xaneiro, polo que se regula o Esquema Nacional de Seguridade no ámbito da Administración Electrónica (ENS).

Nesta ITS, tras o obxecto e o ámbito de aplicación, trátanse cuestións tales como os criterios de determinación do nivel de impacto, a notificación obrigatoria dos incidentes con nivel de impacto Alto, Moi alto e Crítico, as evidencias a entregar no caso de incidentes nivel Alto, Moi alto e Crítico, a obriga de remisión de estatísticas de incidentes, a notificación de impactos recibidos, o desenvolvemento de ferramentas automatizadas para facilitar as notificacións, o réxime legal das notificacións e comunicación de información, máis unha disposición adicional con precisións sobre a notificación cando o incidente afecte a datos persoais. Os seus aspectos máis relevantes son os seguintes:

  • O apartado terceiro establece os criterios que permiten determinar o nivel de impacto do incidente.
  • O apartado cuarto determina os casos en que, polo nivel de impacto, é obrigatorio notificar o incidente de seguridade ao CCN-CERT.
  • O apartado cinco establece as evidencias que poderá solicitar o CCN-CERT para a investigación de incidentes de seguridade significativos.
  • O apartado seis recolle a obriga das Administracións Públicas de elaborar estatísticas de incidentes de seguridade e remitilas ao CCN-CERT, xunto co resto de información enviada respecto dos incidentes.
  • O apartado sete está dedicado á notificación do impacto ao CCN-CERT cando o seu nivel de impacto requíreo.
  • O apartado oito describe as ferramentas automatizadas dispoñibles para realizar as notificacións previstas nesta Instrución Técnica de Seguridade. En particular, cítase a ferramenta LUCIA(Abre en nova xanela) , Listaxe Unificada de Coordinación de Incidentes e Ameazas) desenvolvida polo CCN co propósito de automatizar os mecanismos de notificación, comunicación e intercambio de información sobre incidentes de seguridade, de acordo ao establecido en Guíaa Guía CCN-STIC 817(Abre en nova xanela) .
  • O apartado nove recolle o marco legal aplicable ás notificacións e comunicacións de informacións descritas nesta Instrución.
  • O apartado dez engade unha disposición adicional na que se recollen varios aspectos relativos á protección de datos e en previsión da entrada en vigor do Regulamento Xeral de Protección de Datos (Regulamento (UE) 2016/679)(Abre en nova xanela) . De forma que cando o incidente afecte a datos persoais a notificación á autoridade de control competente realizarase con independencia do nivel de impacto do incidente no Esquema Nacional de Seguridade.

O ENS prevé, no seu artigo 29, apartado 2, as instrucións técnicas de seguridade como elementos esenciais para lograr unha adecuada, homoxénea e coherente implantación dos requisitos e medidas recollidos no mesmo. Ditas instrucións técnicas de seguridade regulan aspectos concretos que a realidade cotiá ha mostrado especialmente significativos, tales como: Informe do Estado da Seguridade; Notificación de Incidentes de Seguridade; Auditoría da Seguridade; Conformidade co Esquema Nacional de Seguridade; Adquisición de Produtos de Seguridade; Criptología de emprego no Esquema Nacional de Seguridade; Interconexión no Esquema Nacional de Seguridade e Requisitos de Seguridade en contornas externalizados.

  • Seguridade