"Noticia dispoñible unicamente con fins históricos e de hemeroteca. A información e ligazóns mostradas correspóndense cos que estaban operativos á data da súa publicación. Non se garante que continúen activos actualmente".
O Boletín Oficial do Estado do pasado 19 de abril, publicou a Resolución do 13 de abril de 2018, da Secretaría de Estado de Función Pública, pola que se aproba a Instrución Técnica de Seguridade (ITS) “Notificación de Incidentes de Seguridade” , que será de aplicación ao día seguinte da súa publicación (20 de abril).
Esta ITS ten por obxecto, segundo o disposto no Capítulo VII de o Real Decreto 3/2010, do 8 de xaneiro de o Esquema Nacional de Seguridade , a notificación e xestión de incidentes de seguridade nos sistemas de información das entidades do Sector Público, cando tales incidentes teñan un impacto significativo na seguridade da información que manexan ou os servizos que prestan, en relación coa categoría do sistema.
A Instrución sinala que unha vez detectado un incidente utilizarase guíaa Guía CCN-STIC 817 para clasificalo e, no caso daqueles cun impacto Alto, Moi Alto ou Crítico deberán notificarse a a Capacidade de Resposta a Incidentes do Centro Criptolóxico Nacional (CCN-CERT). Así mesmo, recompilaranse evidencias do incidente, que serán documentadas e custodiadas de forma que se poida determinar o modo de obtención, garántase a cadea de custodia, e respéctese o ordenamento xurídico que resulte de aplicación.
Para a notificación dos este incidentes, o CCN desenvolveu a ferramenta LUCIA , co propósito de automatizar os mecanismos de notificación, comunicación e intercambio de información sobre incidentes de seguridade que se manterá permanentemente actualizada.
Ámbito de aplicación
As Administracións Públicas (Xeral, Autonómica e Local), os Organismos públicos e entidades de dereito público, as entidades de dereito privado (con potestades administrativas), as Universidades públicas e as Corporacións de Dereito público conforman o ámbito subxectivo de aplicación desta Instrución (e do ENS), así como todos aquelas actividades realizadas por entidades públicas ou privadas cuxo cometido sexa velar pola información tratada e os servizos prestados (hardware, software, soportes de información, comunicacións, instalacións, persoal e servizos provisionados por terceiros).
Instrucións Técnicas de Seguridade
Esta é a cuarta ITS publicada de obrigado cumprimento, por proposta da Comisión Sectorial de Administración Electrónica e a iniciativa do Centro Criptolóxico Nacional, tal e como recolle o artigo 29 do Real Decreto 3/2010, polo que se regula o ENS. As outras dúas versan sobre a “Conformidade co Esquema Nacional de Seguridade” e “Informe do Estado da Seguridade”.
Estas instrucións técnicas entran a regular aspectos concretos que a realidade cotiá ha mostrado especialmente significativos, tales como: Informe do Estado da Seguridade; notificación de incidentes de Seguridade; auditoría da Seguridade; conformidade co Esquema Nacional de Seguridade; adquisición de Produtos de Seguridade; criptología de emprego no Esquema Nacional de Seguridade; interconexión no Esquema Nacional de Seguridade e Requisitos de Seguridade en contornas externalizados, sen prexuízo das propostas que poida acordar o Comité Sectorial de Administración Electrónica, segundo o establecido no citado artigo 29.
Fonte orixinal da noticia
- Seguridade e Protección de Datos