accesskey_mod_content

Os incidentes de alto impacto do sector público deberán notificarse obrigatoriamente ao Centro Criptolóxico Nacional

"Noticia dispoñible unicamente con fins históricos e de hemeroteca. A información e ligazóns mostradas correspóndense cos que estaban operativos á data da súa publicación. Non se garante que continúen activos actualmente".

26 abril 2018

Logo do CCN-CERT

Así o recolle a Instrución Técnica de Seguridade de Notificación de Incidentes de Seguridade, publicada no BOE e prevista no Esquema Nacional de Seguridade.

O Boletín Oficial do Estado do pasado 19 de abril, publicou a Resolución do 13 de abril de 2018, da Secretaría de Estado de Función Pública, pola que se aproba a  Instrución Técnica de Seguridade (ITS) “Notificación de Incidentes de Seguridade”(Abre en nova xanela) , que será de aplicación ao día seguinte da súa publicación (20 de abril).

Esta ITS ten por obxecto, segundo o disposto no Capítulo VII de o  Real Decreto 3/2010, do 8 de xaneiro de o Esquema Nacional de Seguridade(Abre en nova xanela) , a notificación e xestión de incidentes de seguridade nos sistemas de información das entidades do Sector Público, cando tales incidentes teñan un impacto significativo na seguridade da información que manexan ou os servizos que prestan, en relación coa categoría do sistema.

A Instrución sinala que unha vez detectado un incidente utilizarase guíaa  Guía CCN-STIC 817(Abre en nova xanela)  para clasificalo e, no caso daqueles cun impacto Alto, Moi Alto ou Crítico deberán notificarse a a Capacidade de Resposta a Incidentes do Centro Criptolóxico Nacional (CCN-CERT). Así mesmo, recompilaranse evidencias do incidente, que serán documentadas e custodiadas de forma que se poida determinar o modo de obtención, garántase a cadea de custodia, e respéctese o ordenamento xurídico que resulte de aplicación.

Para a notificación dos este incidentes, o CCN desenvolveu a ferramenta  LUCIA(Abre en nova xanela) , co propósito de automatizar os mecanismos de notificación, comunicación e intercambio de información sobre incidentes de seguridade que se manterá permanentemente actualizada.

Ámbito de aplicación

As Administracións Públicas (Xeral, Autonómica e Local), os Organismos públicos e entidades de dereito público, as entidades de dereito privado (con potestades administrativas), as Universidades públicas e as Corporacións de Dereito público conforman o ámbito subxectivo de aplicación desta Instrución (e do ENS), así como todos aquelas actividades realizadas por entidades públicas ou privadas cuxo cometido sexa velar pola información tratada e os servizos prestados (hardware, software, soportes de información, comunicacións, instalacións, persoal e servizos provisionados por terceiros).

Instrucións Técnicas de Seguridade

Esta é a cuarta ITS publicada de obrigado cumprimento, por proposta da Comisión Sectorial de Administración Electrónica e a iniciativa do Centro Criptolóxico Nacional, tal e como recolle o artigo 29 do Real Decreto 3/2010, polo que se regula o ENS. As outras dúas versan sobre a “Conformidade co Esquema Nacional de Seguridade” e “Informe do Estado da Seguridade”.

Estas instrucións técnicas entran a regular aspectos concretos que a realidade cotiá ha mostrado especialmente significativos, tales como: Informe do Estado da Seguridade; notificación de incidentes de Seguridade; auditoría da Seguridade; conformidade co Esquema Nacional de Seguridade; adquisición de Produtos de Seguridade; criptología de emprego no Esquema Nacional de Seguridade; interconexión no Esquema Nacional de Seguridade e Requisitos de Seguridade en contornas externalizados, sen prexuízo das propostas que poida acordar o Comité Sectorial de Administración Electrónica, segundo o establecido no citado artigo 29.

Fonte orixinal da noticia(Abre en nova xanela)

  • Seguridade