accesskey_mod_content

Els incidents d'alt impacte del sector públic hauran de notificar-se obligatòriament al Centre Criptològic Nacional

"Notícia disponible únicament amb finalitats històriques i d'hemeroteca. La informació i enllaços mostrats es corresponen amb els quals estaven operatius a la data de la seua publicació. No es garantix que continuen actius actualment".

26 abril 2018

Logo del CCN-CERT

Així ho arreplega la Instrucció Tècnica de Seguretat de Notificació d'Incidents de Seguretat, publicada en el BOE i prevista en l'Esquema Nacional de Seguretat.

El Butlletí Oficial de l'Estat del passat 19 d'abril, va publicar la Resolució de 13 d'abril de 2018, de la Secretaria d'Estat de Funció Pública, per la qual s'aprova la  Instrucció Tècnica de Seguretat (ITS) “Notificació d'Incidents de Seguretat”(Obri en nova finestra) , que serà aplicable l'endemà de la seua publicació (20 d'abril).

Esta ITS té per objecte, segons el que es disposa en el Capítol VII de el  Reial decret 3/2010, de 8 de gener de el Esquema Nacional de Seguretat(Obri en nova finestra) , la notificació i gestió d'incidents de seguretat en els sistemes d'informació de les entitats del Sector Públic, quan tals incidents tinguen un impacte significatiu en la seguretat de la informació que manegen o els servicis que presten, en relació amb la categoria del sistema.

La Instrucció assenyala que una vegada detectat un incident s'utilitzarà la  Guia CCN-STIC 817(Obri en nova finestra)  per a classificar-ho i, en el cas d'aquells amb un impacte Alt, Molt Alt o Crític hauran de notificar-se a la Capacitat de Resposta a Incidents del Centre Criptològic Nacional (CCN-CERT). Així mateix, es recopilaran evidències de l'incident, que seran documentades i custodiades de manera que es puga determinar la manera d'obtenció, es garantisca la cadena de custòdia, i es respecte l'ordenament jurídic que resulte d'aplicació.

Per a la notificació d'aquests incidents, el CCN ha desenvolupat la ferramenta  LUCIA(Obri en nova finestra) , amb el propòsit d'automatitzar els mecanismes de notificació, comunicació i intercanvi d'informació sobre incidents de seguretat que es mantindrà permanentment actualitzada.

Àmbit d'aplicació

Les Administracions Públiques (General, Autonòmica i Local), els Organismes públics i entitats de dret públic, les entitats de dret privat (amb potestats administratives), les Universitats públiques i les Corporacions de Dret públic conformen l'àmbit subjectiu d'aplicació d'esta Instrucció (i de l'ENS), així com tots aquelles activitats realitzades per entitats públiques o privades la comesa de les quals siga vetlar per la informació tractada i els servicis prestats (maquinari, programari, suports d'informació, comunicacions, instal·lacions, personal i servicis provisionados per tercers).

Instruccions Tècniques de Seguretat

Esta és la quarta ITS publicada de compliment obligat, a proposta de la Comissió Sectorial d'Administració Electrònica i a iniciativa del Centre Criptològic Nacional, tal com arreplega l'article 29 del Reial decret 3/2010, pel qual es regula l'ENS. Les altres dos versen sobre la “Conformitat amb l'Esquema Nacional de Seguretat” i “Informe de l'Estat de la Seguretat”.

Estes instruccions tècniques entren a regular aspectes concrets que la realitat quotidiana ha mostrat especialment significatius, tals com: Informe de l'Estat de la Seguretat; notificació d'incidents de Seguretat; auditoria de la Seguretat; conformitat amb l'Esquema Nacional de Seguretat; adquisició de Productes de Seguretat; criptologia d'ocupació en l'Esquema Nacional de Seguretat; interconnexió en l'Esquema Nacional de Seguretat i Requisits de Seguretat en entorns externalitzats, sense perjuí de les propostes que puga acordar el Comité Sectorial d'Administració Electrònica, segons l'establit en el citat article 29.

Font original de la notícia(Obri en nova finestra)

  • Seguretat