Els incidents d'alt impacte del sector públic hauran de ser notificats obligatòriament al Centre Criptològic Nacional

Impacte Seguretat

Segons informa a la seva pàgina web el CN-CERT (Centro Criptológico Nacional) totes les incidències informàtica d'alt impacte del sector públic hauran de ser notificades obligatòriament al CN-CERT.   S'ha publicat una Instrucció Tècnica de Seguretat al BOE que així ho expresa, de manera que cada cop que es detecti un incident s'haurà de classificar, recopilar evidències del mateix, documentar-les i quostodiar-les amb les garanties indicades a la Guia CCN-STIC 817 del CCN.

El Butlletí Oficial de l'Estat del passat 19 d'abril, va publicar la Resolució de 13 d'abril de 2018, de la Secretaria d'Estat de Funció Pública, per la qual s'aprova la Instrucció Tècnica de Seguretat (ITS) "Notificació d'Incidents de Seguretat" , que serà d'aplicació l'endemà de la seva publicació (20 d'abril).

Aquesta ITS té per objecte, segons el que disposa el capítol VII del Reial Decret 3/2010, de 8 de gener de l'Esquema Nacional de Seguretat, la notificació i gestió d'incidents de seguretat en els sistemes d'informació de les entitats del sector públic, quan aquests incidents tinguin un impacte significatiu en la seguretat de la informació que manegen o els serveis que presten, en relació amb la categoria del sistema.

La Instrucció assenyala que un cop detectat un incident s'utilitzarà la Guia CCN-STIC 817 per classificar-lo i, en el cas d'aquells amb un impacte Alt, Molt Alt o Crític s'han de notificar a la Capacitat de Resposta a Incidents del Centre Criptològic Nacional (CCN -CERT). Així mateix, es recopilaran evidències de l'incident, que seran documentades i custodiades de manera que es pugui determinar la manera d'obtenció, es garanteixi la cadena de custòdia, i es respecti l'ordenament jurídic que resulti d'aplicació.

Per a la notificació d'aquests incidents, el CCN ha desenvolupat l'eina LUCIA, amb el propòsit d'automatitzar els mecanismes de notificació, comunicació i intercanvi d'informació sobre incidents de seguretat que es mantindrà permanentment actualitzada.

Àmbit d'aplicació

Les administracions públiques (general, autonòmica i local), els organismes públics i entitats de dret públic, les entitats de dret privat (amb potestats administratives), les universitats públiques i les corporacions de dret públic conformen l'àmbit subjectiu d'aplicació d'aquesta Instrucció ( i de l'ENS), així com tots aquelles activitats realitzades per entitats públiques o privades la comesa sigui vetllar per la informació tractada i els serveis prestats (maquinari, programari, suports d'informació, comunicacions, instal·lacions, personal i serveis proveïts per tercers).

Instruccions Tècniques de Seguretat

Aquesta és la quarta ITS publicada d'obligat compliment, a proposta de la Comissió Sectorial d'Administració Electrònica i a iniciativa del Centre Criptològic Nacional, tal com recull l'article 29 del Reial Decret 3/2010, pel qual es regula l'ENS. Les altres dues versen sobre la "Conformitat amb l'Esquema Nacional de Seguretat" i "Informe de l'Estat de la Seguretat".

Aquestes instruccions tècniques entren a regular aspectes concrets que la realitat quotidiana s'ha mostrat especialment significatius, com ara: Informe de l'Estat de la Seguretat; notificació d'incidents de Seguretat; auditoria de la Seguretat; conformitat amb l'Esquema Nacional de Seguretat; adquisició de Productes de Seguretat; criptologia d'ocupació en l'Esquema Nacional de Seguretat; interconnexió en l'Esquema Nacional de Seguretat i Requisits de Seguretat en entorns externalitzats, sense perjudici de les propostes que pugui acordar el Comitè Sectorial d'Administració Electrònica, segons el que estableix l'esmentat article 29.

Font de l'artícle: https://www.ccn-cert.cni.es/seguridad-al-dia/comunicados-ccn-cert/6165-los-incidentes-de-alto-impacto-del-sector-publico-deberan-ser-notificados-obligatoriamente-al-centro-criptologico-nacional.html

 

Membres de:

Col·laboren: