Red de información TI para profesionales ITMedia NetWork

miércoles, 26 de febrero de 2020
Actualizado a las 8:22


Búsqueda avanzada

Publicidad

Publicidad

Últimas noticias

Los incidentes de alto impacto del sector público deberán notificarse obligatoriamente al Centro Criptológico Nacional

25 Abril 2018por Redacción

La nueva Instrucción Técnica de Seguridad, la cuarta publicada hasta la fecha, tiene por objeto la notificación y gestión de incidentes de seguridad en los sistemas de información de las entidades del Sector Público e incluye los criterios para determinar su nivel de impacto y la obligatoriedad de notificar aquellos con un nivel Alto, Muy Alto y Crítico, en función de la información manejada o los servicios prestados.

Ámbito subjetivo de aplicación de la instrucción y del ENS - Fuente: CCN-CERT

Ámbito subjetivo de aplicación de la instrucción y del ENS - Fuente: CCN-CERT

El Boletín Oficial del Estado del pasado 19 de abril, publicó la Resolución de 13 de abril de 2018, de la Secretaría de Estado de Función Pública, por la que se aprueba la Instrucción Técnica de Seguridad (ITS) “Notificación de Incidentes de Seguridad”, que será de aplicación al día siguiente de su publicación.

La instrucción señala que una vez detectado un incidente se utilizará la Guía CCN-STIC 817 para clasificarlo y, en el caso de aquellos con un impacto Alto, Muy Alto o Crítico deberán notificarse a la Capacidad de Respuesta a Incidentes del Centro Criptológico Nacional

La ITS tiene por objeto, según lo dispuesto en el Capítulo VII del Real Decreto 3/2010, de 8 de enero del Esquema Nacional de Seguridad, “la notificación y gestión de incidentes de seguridad en los sistemas de información de las entidades del Sector Público, cuando tales incidentes tengan un impacto significativo en la seguridad de la información que manejan o los servicios que prestan, en relación con la categoría del sistema”.

La instrucción señala que una vez detectado un incidente se utilizará la Guía CCN-STIC 817 para clasificarlo y, en el caso de aquellos con un impacto Alto, Muy Alto o Crítico deberán notificarse a la Capacidad de Respuesta a Incidentes del Centro Criptológico Nacional (CCN-CERT). Asimismo, se recopilarán evidencias del incidente, que serán documentadas y custodiadas de forma que se pueda determinar el modo de obtención, se garantice la cadena de custodia, y se respete el ordenamiento jurídico que resulte de aplicación.

Para la notificación de dichos incidentes, el CCN ha desarrollado la herramienta LUCIA, con el propósito de automatizar los mecanismos de notificación, comunicación e intercambio de información sobre incidentes de seguridad que se mantendrá permanentemente actualizada.

Criterios de determinación del Nivel de Impacto según la Guía CCN-STIC 817
ImpactoDescripción
Alto- La categoría más alta de los sistemas de información afectados es ALTA- Afecta a más de 50 equipos con información cuya máxima categoría es BÁSICA- Afecta a más de 10 equipos con información cuya máxima categoría es MEDIA- El ciberincidente precisa para resolverse entre 10 y 20 JP- Daños reputacionales de difícil reparación, con eco mediático (amplia cobertura en los medios de comunicación) y afectando a la reputación de tercera
Muy Alto- Afecta a sistemas clasificados RESERVADO- Afecta a más de 100 equipos con información cuya máxima categoría es BÁSICA- Afecta a más de 100 equipos con información cuya máxima categoría es MEDIA- Afecta a más de 10 equipos con información cuya máxima categoría es ALTA- El ciberincidente precisa para resolverse entre 20 y 50 JP- Daños reputacionales a la imagen del país (marca España)- Afecta apreciablemente a actividades oficiales o misiones en el extranjero- Afecta apreciablemente a una infraestructura crítica
Crítico- Afecta a sistemas clasificados como SECRETO- Afecta a más de 100 equipos con información cuya máxima categoría es MEDIA- Afecta a más de 50 equipos con información cuya máxima categoría es ALTA- Afecta a más de 10 equipos con información clasificada RESERVADO- El ciberincidente precisa para resolverse más de 50 JP- Afecta apreciablemente a la seguridad nacional- Afecta gravemente a una infraestructura crítica

Ámbito de aplicación

Las Administraciones Públicas (General, Autonómica y Local), los Organismos públicos y entidades de derecho público, las entidades de derecho privado (con potestades administrativas), las Universidades públicas y las Corporaciones de Derecho público conforman el ámbito subjetivo de aplicación de esta Instrucción (y del ENS), así como todos aquellas actividades realizadas por entidades públicas o privadas cuyo cometido sea velar por la información tratada y los servicios prestados (hardware, software, soportes de información, comunicaciones, instalaciones, personal y servicios provisionados por terceros).

Instrucciones Técnicas de Seguridad

Esta es la cuarta ITS publicada de obligado cumplimiento, a propuesta de la Comisión Sectorial de Administración Electrónica y a iniciativa del Centro Criptológico Nacional, tal y como recoge el artículo 29 del Real Decreto 3/2010, por el que se regula el ENS. Las otras dos versan sobre la “Conformidad con el Esquema Nacional de Seguridad” e “Informe del Estado de la Seguridad”.

Estas instrucciones técnicas entran a regular aspectos concretos que la realidad cotidiana ha mostrado especialmente significativos, tales como: Informe del Estado de la Seguridad; notificación de incidentes de Seguridad; auditoría de la Seguridad; conformidad con el Esquema Nacional de Seguridad; adquisición de Productos de Seguridad; criptología de empleo en el Esquema Nacional de Seguridad; interconexión en el Esquema Nacional de Seguridad y Requisitos de Seguridad en entornos externalizados, sin perjuicio de las propuestas que pueda acordar el Comité Sectorial de Administración Electrónica, según lo establecido en el citado artículo 29. Más información en www.ccn-cert.cni.es

ShareThis

Publicidad

Publicidad

Publicidad

Opinión

Carlos Sanchiz, Manager Solutions Architecture en Amazon Web Services

La seguridad, la nube y el equipo de dirección

Aunque los directivos reconocen y confían en la seguridad de infraestructuras y servicios en la nube, es posible contribuir a la protección de datos y de organizaciones con otros esfuerzos como “invertir en talento” o que los directivos también participen en la seguridad. Carlos Sanchiz, manager de Arquitectura de Soluciones en AWS, valora estas iniciativas que tanto favorecen a la ciberseguridad

Soluciones

Bahía Software participa en el proyecto Huter para la creación de un mapa celular del útero

La compañía gallega Bahía Software, especializada en servicios e integración de soluciones de TI, forma parte del consorcio internacional del proyecto Huter, que tiene como objetivo la creación de un mapa celular del útero humano para comprender, célula a célula, todas las relaciones y cambios genéticos y proteómicos, incluyendo información espacial, involucrados en ese órgano

techWEEK info

TechWEEK forma parte de la red de información TI para profesionales de IDG Communications.


Sitios especializados de ITMedia NetWork: IT CIO.es, IT PYMES.es, IT SEGURIDAD.es, Strategic Partner, NUEVAempresa.com.

ITMedia NetWork. © 2006 - 2020 Information Technology & Media S.A. (CIF A-84950211). Todos los derechos reservados.

Envío de artículos por email de techWEEK.es

Por favor, introduzca la siguiente información











Cerrar

Envío de artículos por email de techWEEK.es

Procesando envíos...

Envío de artículos por email de techWEEK.es

Email enviado. Cerrar

Envío de artículos por email de techWEEK.es

Error en el envio. Pulse aqui para cerrar.Cerrar