accesskey_mod_content

Els incidents d'alt impacte del sector públic hauran de notificar-se obligatòriament al Centre Criptològic Nacional

"Notícia disponible únicament amb finalitats històriques i d'hemeroteca. La informació i enllaços mostrats es corresponen amb els quals estaven operatius a la data de la seva publicació. No es garanteix que continuïn actius actualment".

26 abril 2018

Logo del CCN-CERT

Així ho recull la Instrucció Tècnica de Seguretat de Notificació d'Incidents de Seguretat, publicada en el BOE i prevista en l'Esquema Nacional de Seguretat.

El Butlletí Oficial de l'Estat del passat 19 d'abril, va publicar la Resolució de 13 d'abril de 2018, de la Secretaria d'Estat de Funció Pública, per la qual s'aprova la  Instrucció Tècnica de Seguretat (ITS) “Notificació d'Incidents de Seguretat”(Obre en nova finestra) , que serà aplicable l'endemà de la seva publicació (20 d'abril).

Aquesta ITS té per objecte, segons el que es disposa en el Capítol VII de el  Reial decret 3/2010, de 8 de gener de el Esquema Nacional de Seguretat(Obre en nova finestra) , la notificació i gestió d'incidents de seguretat en els sistemes d'informació de les entitats del Sector Públic, quan tals incidents tinguin un impacte significatiu en la seguretat de la informació que manegen o els serveis que presten, en relació amb la categoria del sistema.

La Instrucció assenyala que una vegada detectat un incident s'utilitzarà la  Guia CCN-STIC 817(Obre en nova finestra)  per classificar-ho i, en el cas d'aquells amb un impacte Alt, Molt Alt o Crític hauran de notificar-se a la Capacitat de Resposta a Incidents del Centre Criptològic Nacional (CCN-CERT). Així mateix, es recopilaran evidències de l'incident, que seran documentades i custodiades de manera que es pugui determinar la manera d'obtenció, es garanteixi la cadena de custòdia, i es respecti l'ordenament jurídic que resulti d'aplicació.

Per a la notificació d'aquests incidents, el CCN ha desenvolupat l'eina  LUCIA(Obre en nova finestra) , amb el propòsit d'automatitzar els mecanismes de notificació, comunicació i intercanvi d'informació sobre incidents de seguretat que es mantindrà permanentment actualitzada.

Àmbit d'aplicació

Les Administracions Públiques (General, Autonòmica i Local), els Organismes públics i entitats de dret públic, les entitats de dret privat (amb potestats administratives), les Universitats públiques i les Corporacions de Dret públic conformen l'àmbit subjectiu d'aplicació d'aquesta Instrucció (i de l'ENS), així com tots aquelles activitats realitzades per entitats públiques o privades la comesa de les quals sigui vetllar per la informació tractada i els serveis prestats (maquinari, programari, suports d'informació, comunicacions, instal·lacions, personal i serveis provisionados per tercers).

Instruccions Tècniques de Seguretat

Aquesta és la quarta ITS publicada de compliment obligat, a proposta de la Comissió Sectorial d'Administració Electrònica i a iniciativa del Centre Criptològic Nacional, tal com recull l'article 29 del Reial decret 3/2010, pel qual es regula l'ENS. Les altres dues versen sobre la “Conformitat amb l'Esquema Nacional de Seguretat” i “Informe de l'Estat de la Seguretat”.

Aquestes instruccions tècniques entren a regular aspectes concrets que la realitat quotidiana ha mostrat especialment significatius, tals com: Informe de l'Estat de la Seguretat; notificació d'incidents de Seguretat; auditoria de la Seguretat; conformitat amb l'Esquema Nacional de Seguretat; adquisició de Productes de Seguretat; criptologia d'ocupació en l'Esquema Nacional de Seguretat; interconnexió en l'Esquema Nacional de Seguretat i Requisits de Seguretat en entorns externalitzats, sense perjudici de les propostes que pugui acordar el Comitè Sectorial d'Administració Electrònica, segons l'establert en el citat article 29.

Font original de la notícia(Obre en nova finestra)

  • Seguretat