"Notícia disponible únicament amb finalitats històriques i d'hemeroteca. La informació i enllaços mostrats es corresponen amb els quals estaven operatius a la data de la seua publicació. No es garantix que continuen actius actualment".
El Butlletí Oficial de l'Estat del passat 19 d'abril, va publicar la Resolució de 13 d'abril de 2018, de la Secretaria d'Estat de Funció Pública, per la qual s'aprova la Instrucció Tècnica de Seguretat (ITS) “Notificació d'Incidents de Seguretat”
, que serà aplicable l'endemà de la seua publicació (20 d'abril).
Esta ITS té per objecte, segons el que es disposa en el Capítol VII de el Reial decret 3/2010, de 8 de gener de el Esquema Nacional de Seguretat , la notificació i gestió d'incidents de seguretat en els sistemes d'informació de les entitats del Sector Públic, quan tals incidents tinguen un impacte significatiu en la seguretat de la informació que manegen o els servicis que presten, en relació amb la categoria del sistema.
La Instrucció assenyala que una vegada detectat un incident s'utilitzarà la Guia CCN-STIC 817 per a classificar-ho i, en el cas d'aquells amb un impacte Alt, Muy Alto o Crític hauran de notificar-se a la Capacidad de Respuesta a Incidents del Centre Criptològic Nacional (CCN-CERT). Així mateix, es recopilaran evidències de l'incident, que seran documentades i custodiades de manera que es puga determinar la manera d'obtenció, es garantisca la cadena de custòdia, i es respecte l'ordenament jurídic que resulte d'aplicació.
Per a la notificació d'aquests incidents, el CCN ha desenvolupat la ferramenta LUCIA , amb el propòsit d'automatitzar els mecanismes de notificació, comunicació i intercanvi d'informació sobre incidents de seguretat que es mantindrà permanentment actualitzada.
Àmbit d'aplicació
Les Administracions Públiques (General, Autonòmica i Local), els Organismes públics i entitats de dret públic, les entitats de dret privat (amb potestats administratives), les Universitats públiques i les Corporacions de Dret públic conformen l'àmbit subjectiu d'aplicació d'esta Instrucció (i de l'ENS), així com tots aquelles activitats realitzades per entitats públiques o privades la comesa de les quals siga vetlar per la informació tractada i els servicis prestats (maquinari, programari, suports d'informació, comunicacions, instal·lacions, personal i servicis provisionados per tercers).
Instruccions Tècniques de Seguretat
Esta és la quarta ITS publicada de compliment obligat, a proposta de la Comissió Sectorial d'Administració Electrònica i a iniciativa del Centre Criptològic Nacional, tal com arreplega l'article 29 del Reial decret 3/2010, pel qual es regula l'ENS. Les altres dos versen sobre la “Conformitat amb l'Esquema Nacional de Seguretat” i “Informe de l'Estat de la Seguretat”.
Estas instrucciones técnicas entran a regular aspectos concretos que la realidad cotidiana ha mostrado especialmente significativos, tales como: Informe del Estado de la Seguridad; notificación de incidentes de Seguridad; auditoría de la Seguridad; conformidad con el Esquema Nacional de Seguridad; adquisición de Productos de Seguridad; criptología de empleo en el Esquema Nacional de Seguridad; interconexión en el Esquema Nacional de Seguridad y Requisitos de Seguridad en entornos externalizados, sin perjuicio de las propuestas que pueda acordar el Comité Sectorial de Administración Electrónica, según lo establecido en el citado artículo 29.
Font original de la notícia
- Seguretat i Protecció de Dades
