accesskey_mod_content

Actualización de las Guías de Gestión de Ciberincidentes y Declaración y Certificación de conformidad con el ENS, así como el Índice de Guías CCN-STIC

"Noticia disponible únicamente con fines históricos y de hemeroteca. La información y enlaces mostrados se corresponden con los que estaban operativos a la fecha de su publicación. No se garantiza que continúen activos actualmente".

09 septiembre 2016

logo CCN-CERT

Ayudan a las entidades públicas a tipificar los ciberincidentes y a determinar su peligrosidad, ofreciendo una metodología de notificación al CCN-CERT. La Guía 809 señala cuál debe ser el aspecto y contenido de las declaraciones de conformidad y distintivos de seguridad.

Guía Gestión de Ciberincidentes

El CCN-CERT, del Centro Criptológico Nacional (CCN), adscrito al Centro Nacional de Inteligencia (CNI), ha actualizado su Guía CCN-STIC 817 de Gestión de Ciberincidentes(Abre en nueva ventana) . Con ella, el CERT Gubernamental Nacional pretende ayudar a las entidades públicas del ámbito de aplicación del ENS al establecimiento de las capacidades de respuesta a ciberincidentes y su adecuado tratamiento, eficaz y eficiente.

La Guía recoge una clasificación con nueve tipos de ciberincidentes distintos y 36 subcategorías, entre las que se incluyen algunos de los ataques y vulnerabilidades más detectados como Troyanos, Spyware, Cross-Site Scripting (XSS), Inyección SQL, DDoS, Exfiltración de Información, Phishing o Ransomware. Además, y en función de distintos parámetros (como la amenaza subyacente, el vector de ataque o las características potenciales del ciberincidente), se recoge una tabla para determinar la peligrosidad potencial y, de esta forma, poder asignar prioridades y recursos.

La tipificación de causas y hechos del ciberincidente, la recolección y custodia de evidencias, así como el intercambio de información y comunicación de los ciberincidentes son otros de los aspectos abordados en este documento.

La Guía, ahora actualizada, incluye además un Anexo con métricas e indicadores (de implantación, de eficacia y eficiencia e indicadores críticos de riesgo), otro con los elementos para el informe de cierre de un ciberincidente y una introducción a la Herramienta Lucia .

Declaración y Certificación de Conformidad con el ENS

El Centro Criptológico Nacional (CCN) también ha publicado la actualización de su Guía CCN-STIC 809 Declaración y Certificación de conformidad con el ENS(Abre en nueva ventana) , así como el Índice de Guías CCN-STIC(Abre en nueva ventana) . En total, 258 Guías (346 documentos) que engloban nueve series de normas, instrucciones, guías y recomendaciones desarrolladas por el CCN con el fin de mejorar el grado de ciberseguridad de las organizaciones.

En cuanto a la Guía 809 viene a desarrollar el artículo 41 del Esquema Nacional de Seguridad (ENS) que señala: “Los órganos y Entidades de Derecho Público darán publicidad en las correspondientes sedes electrónicas a las declaraciones de conformidad, y a los distintivos de seguridad de los que sean acreedores, obtenidos respecto al cumplimiento del ENS”.

Así, y según la categoría del sistema se distingue entre:

  • Declaración de conformidad: de aplicación a sistemas de información de categoría Básica. Podrá representarse mediante Sello o Distintivo de Declaración de Conformidad generado por la entidad bajo cuya responsabilidad esté el sistema.
  • Certificación de conformidad: de aplicación obligatoria a sistemas de información de categoría Media o Alta y voluntaria en el caso de sistemas de información de categoría Básica.

El documento ahora actualizado precisa cuál debe ser el aspecto y el contenido de las declaraciones y certificaciones de conformidad y sus distintivos de seguridad mencionados en el citado artículo 41 del ENS, quién puede solicitarlos, quién puede concederlos y cómo deben hacerse visibles en los espacios públicos tecnológicos de los organismos afectados o en los privados de los operadores económicos concernidos.

Fuente original de la noticia [1](Abre en nueva ventana) [2](Abre en nueva ventana)

  • Seguridad