"Notícia disponible únicament amb finalitats històriques i d'hemeroteca. La informació i enllaços mostrats es corresponen amb els quals estaven operatius a la data de la seva publicació. No es garanteix que continuïn actius actualment".
El Butlletí Oficial de l'Estat del passat 19 d'abril, va publicar la Resolució de 13 d'abril de 2018, de la Secretaria d'Estat de Funció Pública, per la qual s'aprova la Instrucció Tècnica de Seguretat (ITS) “Notificació d'Incidents de Seguretat”
, que serà aplicable l'endemà de la seva publicació (20 d'abril).
Aquesta ITS té per objecte, segons el que es disposa en el Capítol VII de el Reial decret 3/2010, de 8 de gener de el Esquema Nacional de Seguretat , la notificació i gestió d'incidents de seguretat en els sistemes d'informació de les entitats del Sector Públic, quan tals incidents tinguin un impacte significatiu en la seguretat de la informació que manegen o els serveis que presten, en relació amb la categoria del sistema.
La Instrucció assenyala que una vegada detectat un incident s'utilitzarà la Guia CCN-STIC 817 per classificar-ho i, en el cas d'aquells amb un impacte Alt, Muy Alto o Crític hauran de notificar-se a la Capacidad de Respuesta a Incidents del Centre Criptològic Nacional (CCN-CERT). Així mateix, es recopilaran evidències de l'incident, que seran documentades i custodiades de manera que es pugui determinar la manera d'obtenció, es garanteixi la cadena de custòdia, i es respecti l'ordenament jurídic que resulti d'aplicació.
Per a la notificació d'aquests incidents, el CCN ha desenvolupat l'eina LUCIA , amb el propòsit d'automatitzar els mecanismes de notificació, comunicació i intercanvi d'informació sobre incidents de seguretat que es mantindrà permanentment actualitzada.
Àmbit d'aplicació
Les Administracions Públiques (General, Autonòmica i Local), els Organismes públics i entitats de dret públic, les entitats de dret privat (amb potestats administratives), les Universitats públiques i les Corporacions de Dret públic conformen l'àmbit subjectiu d'aplicació d'aquesta Instrucció (i de l'ENS), així com tots aquelles activitats realitzades per entitats públiques o privades la comesa de les quals sigui vetllar per la informació tractada i els serveis prestats (maquinari, programari, suports d'informació, comunicacions, instal·lacions, personal i serveis provisionados per tercers).
Instruccions Tècniques de Seguretat
Aquesta és la quarta ITS publicada de compliment obligat, a proposta de la Comissió Sectorial d'Administració Electrònica i a iniciativa del Centre Criptològic Nacional, tal com recull l'article 29 del Reial decret 3/2010, pel qual es regula l'ENS. Les altres dues versen sobre la “Conformitat amb l'Esquema Nacional de Seguretat” i “Informe de l'Estat de la Seguretat”.
Aquestes instruccions tècniques entren a regular aspectes concrets que la realitat quotidiana ha mostrat especialment significatius, tals com: Informe de l'Estat de la Seguretat; notificació d'incidents de Seguretat; auditoria de la Seguretat; conformitat amb l'Esquema Nacional de Seguretat; adquisició de Productes de Seguretat; criptologia d'ocupació en l'Esquema Nacional de Seguretat; interconnexió en l'Esquema Nacional de Seguretat i Requisits de Seguretat en entorns externalitzats, sense perjudici de les propostes que pugui acordar el Comitè Sectorial d'Administració Electrònica, segons l'establert en el citat article 29.
Font original de la notícia
- Seguretat i Protecció de Dades
