accesskey_mod_content

Actualització de les Guies de Gestió de Ciberincidentes i Declaració i Certificació de conformitat amb l'ENS, així com l'Índex de Guies CCN-STIC

"Notícia disponible únicament amb finalitats històriques i d'hemeroteca. La informació i enllaços mostrats es corresponen amb els quals estaven operatius a la data de la seva publicació. No es garanteix que continuïn actius actualment".

09 setembre 2016

logo CCN-CERT

Ajuden a les entitats públiques a tipificar els ciberincidentes i a determinar la seva perillositat, oferint una metodologia de notificació al CCN-CERT. La Guia 809 assenyala quin ha de ser l'aspecte i contingut de les declaracions de conformitat i distintius de seguretat.

Guia Gestió de Ciberincidentes

El CCN-CERT, del Centre Criptològic Nacional (CCN), adscrit al Centre Nacional d'Intel·ligència (CNI), ha actualitzat la seva Guia CCN-STIC 817 de Gestió de Ciberincidentes(Obre en nova finestra) . Amb ella, el CERT Governamental Nacional pretén ajudar a les entitats públiques de l'àmbit d'aplicació de l'ENS a l'establiment de les capacitats de resposta a ciberincidentes i el seu adequat tractament, eficaç i eficient.

La Guia recull una classificació amb nou tipus de ciberincidentes diferents i 36 subcategories, entre les quals s'inclouen alguns dels atacs i vulnerabilitats més detectats com Troyanos, Spyware, Cross-Site Scripting (XSS), Injecció SQL, DDoS, Exfiltración d'Informació, Phishing o Ransomware. A més, i en funció de diferents paràmetres (com l'amenaça subjacent, el vector d'atac o les característiques potencials del ciberincidente), es recull una taula per determinar la perillositat potencial i, d'aquesta forma, poder assignar prioritats i recursos.

La tipificació de causes i fets del ciberincidente, la recol·lecció i custòdia d'evidències, així com l'intercanvi d'informació i comunicació dels ciberincidentes són uns altres dels aspectes abordats en aquest document.

La Guia, ara actualitzada, inclou a més un Annex amb mètriques i indicadors (d'implantació, d'eficàcia i eficiència i indicadors crítics de risc), un altre amb els elements per a l'informe de tancament d'un ciberincidente i una introducció a l'Eina Eina Lucia .

Declaració i Certificació de Conformitat amb l'ENS

El Centre Criptològic Nacional (CCN) també ha publicat l'actualització de Guia CCN-STIC 809 Declaració i Certificació de conformitat amb l'ENS(Obre en nova finestra) , així com l'Índex Índex de Guies CCN-STIC(Obre en nova finestra) . En total, 258 Guies (346 documents) que engloben nou sèries de normes, instruccions, guies i recomanacions desenvolupades pel CCN amb la finalitat de millorar el grau de ciberseguretat de les organitzacions.

Quant a la Guia 809 ve a desenvolupar l'article 41 de l'Esquema Nacional de Seguretat (ENS) que assenyala: “Els òrgans i Entitats de Dret Públic donaran publicitat a les corresponents seus electròniques a les declaracions de conformitat, i als distintius de seguretat dels quals siguin creditors, obtinguts respecte al compliment de l'ENS”.

Així, i segons la categoria del sistema es distingeix entri:

  • Declaració de conformitat: d'aplicació a sistemes d'informació de categoria Bàsica. Podrà representar-se mitjançant Segell o Distintiu de Declaració de Conformitat generat per l'entitat sota la responsabilitat de la qual estigui el sistema.
  • Certificació de conformitat: d'aplicació obligatòria a sistemes d'informació de categoria Mitjana o Alta i voluntària en el cas de sistemes d'informació de categoria Bàsica.

El document ara actualitzat precisa quin ha de ser l'aspecte i el contingut de les declaracions i certificacions de conformitat i els seus distintius de seguretat esmentats en el citat article 41 de l'ENS, qui pot sol·licitar-los, qui pot concedir-los i com han de fer-se visibles als espais públics tecnològics dels organismes afectats o en els privats dels operadors econòmics concernits.

Font original de la notícia [1](Obre en nova finestra) [2](Obre en nova finestra)

  • Seguretat