Agencia Estatal Boletín Oficial del Estado

Ministerio de la Presidencia Agencia Estatal Boletín Oficial del Estado

Está Vd. en

Legislación consolidada

Resolucin de 13 de abril de 2018, de la Secretara de Estado de Funcin Pblica, por la que se aprueba la Instruccin Tcnica de Seguridad de Notificacin de Incidentes de Seguridad.

Publicado en: BOE núm. 95, de 19/04/2018.
Entrada en vigor: 20/04/2018
Departamento: Ministerio de Hacienda y Funcin Pblica
Referencia: BOE-A-2018-5370
Permalink ELI: https://www.boe.es/eli/es/res/2018/04/13/(2)/con

TEXTO ORIGINAL: Texto original publicado el 19/04/2018

El Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el mbito de la Administracin Electrnica, ENS en adelante), al que se refiere el apartado segundo del artculo 156 de la Ley 40/2015, de 1 de octubre, de Rgimen Jurdico del Sector Pblico, establece la poltica de seguridad en la utilizacin de medios electrnicos y est constituido por principios bsicos y requisitos mnimos que permitan una proteccin adecuada de la informacin. Dicho Real Decreto prev, en su artculo 29, apartado 2, que el Ministerio de Hacienda y Funcin Pblica, a propuesta de la Comisin Sectorial de Administracin Electrnica y a iniciativa del Centro Criptolgico Nacional, aprobar las instrucciones tcnicas de seguridad de obligado cumplimiento, que se publicarn mediante resolucin de la Secretara de Estado de Funcin Pblica, constituyendo elementos esenciales para lograr una adecuada, homognea y coherente implantacin de los requisitos y medidas recogidos en el ENS.

As pues, tales instrucciones tcnicas de seguridad, enumeradas en la Disposicin Adicional cuarta del citado Real Decreto 3/2010, entran a regular aspectos concretos que la realidad cotidiana ha mostrado especialmente significativos, tales como: Informe del Estado de la Seguridad; Notificacin de Incidentes de Seguridad; Auditora de la Seguridad; Conformidad con el Esquema Nacional de Seguridad; Adquisicin de Productos de Seguridad; Criptologa de empleo en el Esquema Nacional de Seguridad; Interconexin en el Esquema Nacional de Seguridad y Requisitos de Seguridad en entornos externalizados, sin perjuicio de las propuestas que pueda acordar la Comisin Sectorial de administracin electrnica, segn lo establecido en el citado artculo 29, en relacin con lo dispuesto en la Disposicin derogatoria nica de la Ley 39/2015, de 1 de octubre, de Procedimiento Administrativo Comn de las Administraciones Pblicas y Disposicin adicional novena de la Ley 40/2015, de 1 de octubre, de Rgimen Jurdico del Sector Pblico.

Estas instrucciones tcnicas de seguridad se desarrollarn y perfeccionarn a lo largo del tiempo, en paralelo al progreso de los servicios de Administracin electrnica, las infraestructuras que los apoyan, la evolucin tecnolgica y los riesgos derivados de operar en el ciberespacio.

En particular, la instruccin tcnica de seguridad de Notificacin de Incidentes de Seguridad establece los criterios y procedimientos para la notificacin por parte de las entidades que forman parte de los mbitos subjetivos de aplicacin de la Ley 39/2015, de 1 de octubre, de Procedimiento Administrativo Comn de las Administraciones Pblicas, y la Ley 40/2015, de 1 de octubre, de Rgimen Jurdico del Sector Pblico al Centro Criptolgico Nacional (CCN) de aquellos incidentes que tengan un impacto significativo en la seguridad de la informacin que manejan y los servicios que prestan en relacin con la categora del sistema, al objeto de poder dar adecuada respuesta al mandato del Captulo VII, Respuesta a incidentes de seguridad, del Real Decreto 3/2010, de 8 de enero.

Por otra parte, de acuerdo con el Real Decreto 769/2017, de 28 de julio, por el que se desarrolla la estructura orgnica bsica del Ministerio de Hacienda y Funcin Pblica y se modifica el Real Decreto 424/2016, de 11 de noviembre, por el que se establece la estructura orgnica bsica de los departamentos ministeriales corresponde a la Secretara de Estado de Funcin Pblica el impulso, la programacin y la supervisin de las actuaciones en ejecucin de la poltica de Gobierno en materia de Administracin Digital y del fomento de la administracin electrnica, en especial lo referente al proceso de racionalizacin de las tecnologas de la informacin y de las comunicaciones, y la adopcin de soluciones digitales que permitan la prestacin eficiente de los servicios pblicos incluyendo los servicios pblicos esenciales. Adems, dado que la resolucin impone obligaciones no solo en el mbito competencial de esta Secretaria de Estado sino tambin al Centro Criptolgico Nacional (CCN) integrado en el CNI, organismo adscrito al Ministerio de la Presidencia y para las Administraciones Territoriales procede recabar el parecer del citado Departamento.

Esta Resolucin se aprueba en aplicacin de lo dispuesto en el artculo 29, apartado 2 del Real Decreto 3/2010, de 8 de enero, a propuesta de la Comisin Sectorial de Administracin Electrnica y habindose solicitado informe al Ministerio de la Presidencia y para las Administraciones Territoriales.

En virtud de lo anterior, esta Secretara de Estado resuelve:

Primero.

Aprobar la Instruccin Tcnica de Seguridad Notificacin de incidentes de seguridad, cuyo texto se incluye a continuacin.

Segundo.

Ordenar su publicacin en el Boletn Oficial del Estado.

La Instruccin Tcnica de Seguridad de Notificacin de incidentes de seguridad de los sistemas de informacin que se aprueba mediante la presente Resolucin se aplicar desde el da siguiente al de su publicacin en el Boletn Oficial del Estado.

Madrid, 13 de abril de 2018.–La Secretaria de Estado de Funcin Pblica, Elena Collado Martnez.

INSTRUCCIN TCNICA DE SEGURIDAD DE NOTIFICACIN DE INCIDENTES DE SEGURIDAD

NDICE

I. Objeto.

II. mbito de aplicacin.

III. Criterios de determinacin del nivel de impacto.

IV. Notificacin obligatoria de los incidentes con nivel de impacto Alto, Muy alto y Crtico.

V. Evidencias a entregar en el caso de incidentes nivel Alto, Muy alto y Crtico.

VI. Obligacin de remisin de estadsticas de incidentes.

VII. Notificacin de impactos recibidos.

VIII. Desarrollo de herramientas automatizadas para facilitar las notificaciones.

IX. Rgimen legal de las notificaciones y comunicacin de informacin.

X. Disposicin adicional.

I. Objeto

La Instruccin Tcnica de Seguridad de Notificacin de Incidentes de Seguridad tiene por objeto, segn lo dispuesto en el Captulo VII del Real Decreto 3/2010, de 8 de enero, la notificacin y gestin de incidentes de seguridad en los sistemas de informacin de las entidades del Sector Pblico del mbito de aplicacin de dicho cuerpo legal, cuando tales incidentes tengan un impacto significativo en la seguridad de la informacin que manejan o los servicios que prestan, en relacin con la categora del sistema y con independencia de los requerimientos adicionales que cada organismo o entidad implemente para adaptarlos a sus entornos singulares.

II. mbito de aplicacin

La presente Instruccin Tcnica de Seguridad ser de aplicacin a los sistemas de informacin comprendidos en los mbitos subjetivo y objetivo de aplicacin del Real Decreto 3/2010, de 8 de enero, segn dispone el artculo 3 del mismo, as como al resto de las entidades que forman parte de los mbitos subjetivos de aplicacin de la Ley 39/2015, de 1 de octubre, de Procedimiento Administrativo Comn de las Administraciones Pblicas, y la Ley 40/2015, de 1 de octubre, de Rgimen Jurdico del Sector Pblico.

III. Criterios de determinacin del nivel de Impacto

Una vez detectado un incidente se utilizar la Gua CCN-STIC 817 Esquema Nacional de Seguridad - Gestin de Ciberincidentes, para clasificarlo de acuerdo con su tabla Criterios de determinacin del nivel de impacto potencial. El nivel de impacto potencial de los ciberincidentes en la organizacin, ser: Irrelevante, Bajo, Medio, Alto, Muy Alto y Crtico.

IV. Notificacin obligatoria de los incidentes con nivel de impacto Alto, Muy alto y Crtico

IV.1 Las notificaciones efectuadas por las entidades del mbito de aplicacin de la presente Instruccin Tcnica de Seguridad al Centro Criptolgico Nacional (CCN), en el marco de la articulacin de respuesta a los incidentes de seguridad y la prestacin de servicios de respuesta por parte del Equipo de Respuesta a Incidentes de Seguridad del CCN-CERT, (Centro Criptolgico Nacional - Computer Emergency Response Team) se realizar en los trminos indicados en los artculos 36 y 37 del Real Decreto 3/2010, de 8 de enero.

IV.2 Para ello, se notificarn los incidentes de seguridad que tengan un impacto significativo en la seguridad de la informacin manejada o los servicios prestados en relacin con la categora del sistema, determinada de acuerdo con lo dispuesto en los artculos 43, 44 y Anexo I del Real Decreto 3/2010, de 8 de enero. Se dice que un incidente tiene impacto significativo cuando, por su magnitud o caractersticas, impide el tratamiento de la informacin o los servicios prestados. A estos efectos, se considerar que tienen un impacto significativo los niveles Alto, Muy Alto y Crtico recogidos en la tabla Criterios de Determinacin del Nivel de Impacto de la Gua CCN-STIC 817.

IV.3 En todo caso, sern de obligatoria notificacin al CCN en el momento en que se produzcan, los incidentes de seguridad que por su nivel de impacto potencial sean calificados con el nivel de CRTICO, MUY ALTO o ALTO, mediante el empleo de las herramientas desarrolladas al efecto de la notificacin de incidentes.

V. Evidencias a entregar en el caso de incidentes nivel Alto, Muy alto y Crtico

V.1 Tras la deteccin de un incidente de seguridad y con carcter inmediato se recopilarn evidencias del incidente, que sern documentadas y custodiadas de forma que se pueda determinar el modo de obtencin, se garantice la cadena de custodia, y respetando el ordenamiento jurdico que resulte de aplicacin. En la recoleccin y custodia de evidencia se aplicarn las recomendaciones establecidas al efecto en la Gua CCN-STIC 817.

V.2 De acuerdo con lo dispuesto en el artculo 37 del Real Decreto 3/2010, de 8 de enero, el CCN podr recabar stas y cualesquiera otras informaciones que se consideren relevantes para el anlisis del incidente, as como los soportes informticos que se estimen necesarios para la investigacin, sin perjuicio de lo dispuesto en la Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de Datos de carcter personal y su normativa de desarrollo, as como la posible confidencialidad de datos de carcter institucional u organizativo.

VI. Obligacin de remisin de estadsticas de incidentes

De conformidad con lo dispuesto en el artculo 24.2 del Real Decreto 3/2010, de 8 de enero, el registro de todos los incidentes de seguridad que se produzcan y de las acciones de tratamiento que se sigan, ser utilizado para la mejora continua de la seguridad del sistema, a cuyo fin las entidades del mbito de aplicacin de la presente Instruccin Tcnica de Seguridad elaborarn estadsticas de incidentes de seguridad que, al menos, con carcter anual, remitirn al CCN, incluyendo el resto de la antedicha informacin relativa a los incidentes.

VII. Notificacin de impactos recibidos

Una vez determinado el impacto del ciberincidente y calificado como de carcter significativo a los efectos de lo establecido en el artculo 36 del ENS, ser notificado al CCN en los trminos previsto en el artculo IV de la presente Instruccin Tcnica de Seguridad.

VIII. Desarrollo de herramientas automatizadas para facilitar las notificaciones

El CCN ha desarrollado la herramienta LUCIA, Listado Unificado de Coordinacin de Incidentes y Amenazas) con el propsito de automatizar los mecanismos de notificacin, comunicacin e intercambio de informacin sobre incidentes de seguridad, de acuerdo a lo establecido en la Gua CCN-STIC 817. Esta herramienta se mantendr permanentemente actualizada para atender dicho propsito.

IX. Rgimen legal de las notificaciones y comunicacin de informacin

Para la articulacin de respuesta a los incidentes de seguridad y gestin de ciberincidentes a los que se refiere la presente Resolucin, el suministro de informacin por las entidades del mbito de aplicacin de la presente Instruccin Tcnica de Seguridad al CCN, motu proprio o a su requerimiento, se realizar teniendo en cuenta lo siguiente:

a) La comunicacin de informacin que tenga la consideracin de datos de carcter personal se efectuar con pleno cumplimiento de lo dispuesto en la Ley Orgnica 15/1999, de 13 de diciembre y su normativa de desarrollo, atendiendo a que la comunicacin de datos se realiza para el cumplimiento de fines directamente relacionados con la funcin legtima de las entidades cedentes y del CCN como cesionario, sin que sea preciso el consentimiento del afectado toda vez que tales datos han sido recabados para el ejercicio de las funciones propias de unos y otro, en los trminos previstos en el artculo 6.2 de la citada Ley Orgnica.

Tampoco resultar de aplicacin lo dispuesto en los prrafos uno y dos del artculo 5 de la reiterada Ley Orgnica, en base a lo dispuesto en su artculo 24.1, por afectar a la Ciberseguridad, como mbito de especial inters para la Seguridad Nacional.

b) La comunicacin de informacin de datos de carcter institucional u organizativo a la que se refiere el artculo 37.1.a) ltimo prrafo, del Real Decreto 3/2010, de 8 de enero, ser suministrada y comunicada en funcin de su confidencialidad, atendiendo a lo dispuesto en el artculo 43 y anexo I, en relacin con el citado artculo 37.1.a) del ENS.

X. Disposicin adicional

X.1 Las referencias contenidas en la presente Instruccin a la Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de Datos de Carcter Personal, y su normativa de desarrollo se entendern hechas, a partir del 25 de mayo de 2018, al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la proteccin de las personas fsicas en lo que respecta al tratamiento de datos personales y a la libre circulacin de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Proteccin de Datos).

X.2 Se aade un segundo prrafo al apartado VII de la Instruccin, con efectos a partir del 25 de mayo de 2018, con la siguiente redaccin:

Cuando el incidente afecte a datos personales la notificacin a la autoridad de control competente se realizar con independencia del nivel de impacto del incidente en el Esquema Nacional de Seguridad. En aquellos casos en los que el impacto de un incidente o violacin de la seguridad afecte a datos personales, la notificacin se realizar segn lo previsto en el artculo 33 del Reglamento General de Proteccin de Datos.

X.3 La referencia contenida en el apartado IX, letra a), primer prrafo, de la Instruccin, al artculo 6.2 de la Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de Datos de Carcter Personal, se entender realizada, a partir del 25 de mayo de 2018, al artculo 6.1.c) del Reglamento General de Proteccin de Datos.

X.4 La referencia contenida en el apartado IX, letra a), segundo prrafo, a los prrafos uno y dos del artculo 5 de la reiterada Ley Orgnica, en base a lo dispuesto en su artculo 24.1, se entender sustituida, a partir del 25 de mayo de 2018, por el captulo III del Reglamento General de Proteccin de Datos, en base a lo dispuesto en el artculo 23.1.a) del mismo.

Este documento es de carácter informativo y no tiene valor jurídico.

Dudas o sugerencias: Servicio de atención al ciudadano

subir

Agencia Estatal Boletín Oficial del Estado

Avda. de Manoteras, 54 - 28050 Madrid