Instrucción Técnica de Seguridad: Informe Estado de Seguridad
Resolución de 7 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad de Informe del Estado de la Seguridad.[sc name=»plataforma» ]
BOE de 2 de noviembre de 2016
TEXTO
La Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos estableció el Esquema Nacional de Seguridad que, aprobado mediante Real Decreto 3/2010, de 8 de enero, tiene por objeto determinar la política de seguridad en la utilización de medios electrónicos en su ámbito de aplicación y estará constituido por los principios básicos y requisitos mínimos que permitan una protección adecuada de la información. Posteriormente, la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, recoge el Esquema Nacional de Seguridad en su artículo 156 apartado 2 en similares términos.
El Real Decreto 3/2010, de 8 de enero, prevé en su artículo 29 apartado 2 que el Ministerio de Hacienda y Administraciones Públicas, a propuesta del Comité Sectorial de Administración Electrónica previsto en el artículo 40 de la Ley 11/2007, de 22 de junio, y a iniciativa del Centro Criptológico Nacional, aprobará las instrucciones técnicas de seguridad de obligado cumplimiento y se publicarán mediante resolución de la Secretaría de Estado de Administraciones Públicas. Dichas instrucciones técnicas de seguridad son esenciales para lograr una adecuada, homogénea y coherente implantación de los requisitos y medidas recogidos en el Esquema.
Así, estas instrucciones técnicas de seguridad, enumeradas en la Disposición Adicional cuarta del citado Real Decreto, entran a regular aspectos concretos que la realidad cotidiana ha mostrado especialmente significativos, tales como: Informe del Estado de la Seguridad; notificación de incidentes de Seguridad; auditoría de la Seguridad; conformidad con el Esquema Nacional de Seguridad; adquisición de Productos de Seguridad; criptología de empleo en el Esquema Nacional de Seguridad; interconexión en el Esquema Nacional de Seguridad y Requisitos de Seguridad en entornos externalizados, sin perjuicio de las propuestas que pueda acordar el Comité Sectorial de Administración Electrónica, según lo establecido en el citado artículo 29.
Estas instrucciones técnicas de seguridad se desarrollarán y perfeccionarán a lo largo del tiempo, en paralelo al progreso de los servicios de Administración electrónica, las infraestructuras que los apoyan, la evolución tecnológica y los riesgos derivados de operar en el ciberespacio.
En particular, la Instrucción Técnica de Seguridad de Informe Nacional del Estado de la Seguridad, establece las condiciones relativas a la recopilación y comunicación de datos que permita conocer las principales variables de la seguridad de la información de los sistemas comprendidos en el ámbito de aplicación del Esquema Nacional de Seguridad, y confeccionar un perfil general del estado de la ciberseguridad en las Administraciones públicas, al objeto de poder dar adecuada respuesta al mandato del artículo 35 del Real Decreto 3/2010, de 8 de enero.
Esta Resolución se aprueba en aplicación de lo dispuesto en el artículo 29 apartado 2 del Real Decreto 3/2010, de 8 de enero, a propuesta del Comité Sectorial de Administración Electrónica y a iniciativa del Centro Criptológico Nacional. En virtud de lo anterior, esta Secretaría de Estado resuelve:
Primero.
Aprobar la Instrucción Técnica de Seguridad «Informe del Estado de la Seguridad», cuyo texto se incluye a continuación.
Segundo.
Ordenar su publicación en el «Boletín Oficial del Estado».
Madrid, 7 de octubre de 2016.–El Secretario de Estado de Administraciones Públicas, Antonio Germán Beteta Barreda.
INSTRUCCIÓN TÉCNICA DE SEGURIDAD DE INFORME DEL ESTADO DE LA SEGURIDAD
ÍNDICE
- Objeto.
- Ámbito de aplicación.
III. Recopilación y comunicación de datos.
- Tratamiento de datos.
- Objeto: La Instrucción Técnica de Seguridad de Informe del Estado de la Seguridad tiene por objeto establecer las condiciones relativas a la recopilación y comunicación de datos que permita conocer las principales variables de la seguridad de la información de los sistemas comprendidos en el ámbito de aplicación del Esquema Nacional de Seguridad, y confeccionar un perfil general del estado de la ciberseguridad en las Administraciones públicas.
- Ámbito de aplicación: La presente Instrucción Técnica de Seguridad será de aplicación a los sistemas de información comprendidos en lo dispuesto en el artículo 3 del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la administración electrónica.
III. Recopilación y comunicación de datos:
III.1 Las entidades públicas comprendidas en el ámbito de aplicación de la presente Instrucción Técnica de Seguridad recopilarán los datos de las diferentes variables de seguridad conforme a lo dispuesto en la medida «sistema de métricas [op.mon.2]» del Anexo II del Real Decreto 3/2010, de 8 de enero.
III.2 Las entidades públicas a las que se refiere el punto anterior comunicarán, al menos con carácter anual, el estado de las principales variables de seguridad de aquellos sistemas de información que se encuentren bajo su responsabilidad.
III.3 Para la comunicación a la que se refiere el punto anterior, el Responsable de Seguridad de los sistemas de información afectados de la entidad pública, o en quien este delegue, utilizará la herramienta relativa al Informe Nacional del Estado de la Seguridad (INES), al que tendrá acceso, previa identificación, en el siguiente enlace: https://www.ccn-cert.cni.es/herramientas-de-ciberseguridad/ines.html
III.4 El Centro Criptológico Nacional, en cumplimiento del artículo 29 apartado 1 del Real Decreto 3/2010, de 8 de enero mantendrá un Manual de Usuario de la herramienta INES, permanentemente actualizado a través de la guía de seguridad CCN-STIC 844.
- Tratamiento de datos:
IV.1 Los datos que la herramienta INES requerirá de la entidad pública del ámbito de aplicación de la presente Instrucción Técnica de Seguridad son los que se señalan en la guía de seguridad CCN-STIC 824 Informe del Estado de Seguridad, que el Centro Criptológico Nacional mantendrá permanentemente actualizada y, en general, estarán referidos a identificación de la entidad, datos generales, organización de la seguridad, procesos críticos, concienciación y formación, gestión de incidentes, recursos y presupuestos, auditoría, indicadores críticos de riesgo y medidas de seguridad, según lo descrito en la guía de seguridad CCN-STIC-815 sobre Métricas e Indicadores para el Esquema Nacional de Seguridad.
Dejar un comentario
¿Quieres unirte a la conversación?Siéntete libre de contribuir!