sector de la seguridad privada, empresas de seguridad, empresas de servicios, revista Seguritecnia
Revista Seguritecnia Edición impresa
Valoración
  • Actualmente 0 de 5 Estrellas.
Tu valoración
  • Actualmente 0 de 5 Estrellas.
  • 1
  • 2
  • 3
  • 4
  • 5
NOTICIA

Los ciberincidentes de alto impacto del sector público deberán notificarse al CCN

05/06/2018
Los incidentes de ciberseguridad del sector público con un alto impacto deberán notificarse al Centro Criptológico Nacional (CCN), según la Instrucción Técnica de Seguridad de Notificación de Incidentes de Seguridad, publicada en el Boletín Oficial del Estado el 19 de abril y prevista en el Esquema Nacional de Seguridad (ENS).

Para la notificación de dichos incidentes, el CCN ha desarrollado la herramienta llamada “LUCIA” con el propósito de automatizar los mecanismos de notificación, comunicación e intercambio de información sobre incidentes de seguridad, que se mantendrá permanentemente actualizada.

De esta manera, las administraciones públicas (general, autonómica y local), los organismos públicos, entidades de derecho público y privado (con potestades administrativas), las universidades públicas y las corporaciones de derecho público conforman el ámbito de aplicación de esta Instrucción, así como todas aquellas actividades realizadas por entidades públicas o privadas cuyo cometido sea velar por la información tratada y los servicios prestados (hardware, software, soportes de información, comunicaciones, instalaciones, personal y servicios provisionados por terceros).

La Instrucción señala que, una vez detectado un incidente, se utilizará la Guía CCN-STIC 817 para clasificarlo y, en el caso de aquellos con un impacto Alto, Muy Alto o Crítico, deberán notificarse a la Capacidad de Respuesta a Incidentes del Centro Criptológico Nacional (CCN-CERT). Asimismo, deberán recopilarse evidencias del incidente, las cuales serán documentadas y custodiadas de forma que se pueda determinar el modo de obtención, se garantice la cadena de custodia y se respete el ordenamiento jurídico que resulte de la aplicación.

Instrucciones técnicas

La ITS de Notificación de Incidentes de Seguridad tiene por objeto la notificación y la gestión de incidentes de seguridad en los sistemas de información de las entidades del sector público cuando tengan un impacto significativo en la seguridad de la información que manejan o los servicios que prestan, en relación con la categoría del sistema.

En concreto, se trata de la cuarta ITS publicada de obligado cumplimiento a propuesta de la Comisión Sectorial de Administración Electrónica y a iniciativa del Centro Criptológico Nacional, tal y como recoge el artículo 29 del Real Decreto 3/2010, por el que se regula el ENS. El resto versan sobre la conformidad con el ENS y sobre el Informe del Estado de la Seguridad.

Volver