Transcription of Guía nacional de notificación y gestión de ciberincidentes
1 GU A nacional DE NOTIFICACI N Y GESTI N DE ciberincidentes APROBADO POR EL CONSEJO nacional DE ciberseguridad EL D A 21 DE FEBRERO DE 2020 3 NDICE 1. INTRODUCCI N .. 5 2. OBJETO DE LA PRESENTE GU A .. 7 3. ALCANCE .. 10 4. VENTANILLA NICA DE NOTIFICACI N .. 11 REPORTE DE INCIDENTES A CCN-CERT .. 13 REPORTE DE INCIDENTES A INCIBE-CERT .. 13 REPORTE DE INCIDENTES A ESP-DEF-CERT .. 13 5. CLASIFICACI N/TAXONOM A DE LOS ciberincidentes .. 14 6. NOTIFICACI N DE INCIDENTES DE ciberseguridad .. 18 CRITERIOS PARA LA NOTIFICACI N .. 18 Nivel de peligrosidad del ciberincidente .. 18 Nivel de impacto del ciberincidente .. 20 Niveles con notificaci n obligatoria asociada .. 23 INTERACCI N CON EL CSIRT DE REFERENCIA .. 24 APERTURA DEL INCIDENTE .. 24 INFORMACI N A NOTIFICAR .. 25 VENTANA TEMPORAL DE REPORTE .. 27 ESTADOS Y VALORES DE CIERRE .. 28 7. GESTI N DE INCIDENTES DE ciberseguridad .
2 29 PREPARACI N .. 30 IDENTIFICACI N .. 30 CONTENCI N .. 31 MITIGACI N .. 31 RECUPERACI N .. 32 ACTUACIONES POST-INCIDENTE .. 32 8. M TRICAS E INDICADORES .. 33 M TRICAS DE IMPLANTACI N .. 33 M TRICAS DE RESOLUCI N DE ciberincidentes .. 34 M TRICAS DE RECURSOS .. 34 M TRICAS DE GESTI N DE INCIDENTES .. 35 ANEXO 1. NOTIFICACI N EN EL MBITO DE PROTECCI N DE INFRAESTRUCTURAS CR TICAS .. 36 COMUNICACIONES OBLIGATORIAS .. 36 Notificaci n obligatoria en funci n del nivel de peligrosidad del ciberincidente .. 37 Notificaci n obligatoria en funci n del nivel de impacto del ciberincidente .. 37 COMUNICACI N AL MINISTERIO FISCAL Y OTROS ORGANISMOS .. 37 FLUJOGRAMAS DE REPORTE Y RESPUESTA OPERATIVA PIC .. 38 ANEXO 2. NOTIFICACI N EN EL MBITO DEL SECTOR P BLICO .. 40 4 Notificaci n obligatoria de los incidentes con nivel de impacto Alto, Muy alto y Cr tico .. 40 ANEXO 3. NOTIFICACI N EN EL MBITO DEL SECTOR PRIVADO.
3 41 ANEXO 4. MARCO REGULADOR .. 42 DE CAR CTER GENERAL .. 42 DE CAR CTER PARTICULAR AL MBITO DEL SECTOR P BLICO .. 43 DE CAR CTER PARTICULAR AL MBITO DE LAS INFRAESTRUCTURAS CR TICAS .. 43 DE CAR CTER PARTICULAR A LAS REDES MILITARES Y DE DEFENSA .. 44 ANEXO 5. GLOSARIO DE T RMINOS .. 45 CONTENIDO ABUSIVO .. 45 CONTENIDO DA INO .. 46 OBTENCI N DE INFORMACI N .. 47 INTRUSIONES .. 48 DISPONIBILIDAD .. 50 COMPROMISO DE LA INFORMACI N .. 50 FRAUDE .. 51 VULNERABILIDADES .. 51 OTROS .. 52 GENERAL .. 53 5 El Gobierno de Espa a atribuye a diversos organismos de car cter p blico las competencias en materia de ciberseguridad relativas al conocimiento, gesti n y respuesta de incidentes de ciberseguridad acaecidos en las diversas redes de informaci n y comunicaci n del pa s. De forma particular, el Sector P blico, los ciudadanos y empresas, las infraestructuras cr ticas y operadores estrat gicos, las redes acad micas y de investigaci n, as como las redes de defensa de Espa a, tienen a su disposici n una serie de organismos de referencia, en los cuales se fundamenta la capacidad de respuesta a incidentes de ciberseguridad (CSIRT) del Gobierno de Espa a: CCN-CERT, del Centro Criptol gico nacional del Centro nacional de Inteligencia, con un mbito competencial en el Sector P blico general, auton mico y local, y sistemas que manejan informaci n clasificada.
4 INCIBE-CERT, del Instituto nacional de ciberseguridad de Espa a, con un mbito competencial en la ciudadan a y el sector privado. Asimismo, INCIBE-CERT es el CERT que presta servicios de respuesta a incidentes a las instituciones afiliadas a RedIRIS, la red acad mica y de investigaci n espa ola, en coordinaci n con el CCN-CERT en lo que se refiere a organismos p blicos. Centro nacional de Protecci n de Infraestructuras y ciberseguridad (CNPIC), con un mbito competencial en las infraestructuras cr ticas y operadores cr ticos, cuyas capacidades de respuesta t cnica se materializan a trav s de los CSIRT de referencia. Es asimismo autoridad competente para aquellos operadores de servicios esenciales que son adem s cr ticos, siendo en ese caso la Oficina de Coordinaci n Cibern tica la responsable de la coordinaci n en los supuestos previstos en el segundo p rrafo del art culo del Real Decreto-ley 12/2018.
5 1. INTRODUCCI N 1 1 OBJET 6 ESP-DEF-CERT del Mando Conjunto de Ciberdefensa, con un mbito competencial en las redes y los sistemas de informaci n y telecomunicaciones de las Fuerzas Armadas, as como aquellas otras redes y sistemas que espec ficamente se le encomienden y que afecten a la Defensa nacional , apoyando a los operadores de servicios esenciales y, necesariamente, en aquellos operadores que tengan incidencia en la Defensa nacional y que reglamentariamente se determinen. La presente Gu a nacional de notificaci n y gesti n de ciberincidentes se define como la referencia estatal respecto a la notificaci n de ciberincidentes (bien sea la comunicaci n de car cter obligatoria o potestativa), as como en lo relativo a la demanda de capacidad de respuesta a los incidentes de ciberseguridad . Asimismo, este documento se consolida como una referencia de m nimos en el que toda entidad, p blica o privada, ciudadano u organismo, encuentre un esquema y la orientaci n precisa acerca de a qui n y c mo debe reportar un incidente de ciberseguridad acaecido en el seno de su mbito de influencia.
6 Esta gu a se encuentra alineada con la normativa espa ola, transposiciones europeas, as como documentos emanados de organismos supranacionales que pretenden armonizar la capacidad de respuesta ante incidentes de ciberseguridad . 7 El objeto del presente documento es el de generar un marco de referencia consensuado por parte de los organismos nacionales competentes en el mbito de la notificaci n y gesti n de incidentes de ciberseguridad . Esto incluye la implantaci n de una serie de criterios m nimos exigibles y de obligaciones de reporte en aquellos casos que as determine la legislaci n vigente. Esta Gu a nacional de notificaci n y gesti n de ciberincidentes est especialmente dirigida a: Responsables de Seguridad de la Informaci n (RSI), como Responsables Delegados. Equipos de respuesta a ciberincidentes y centros de operaciones de ciberseguridad (SOC) internos a las organizaciones.
7 CSIRT (Computer Security Incident Response Team). Administradores de Sistemas de Informaci n y/o Comunicaci n. Personal de Seguridad. Personal de apoyo t cnico. Gestores del mbito de la ciberseguridad . 2. OBJETO DE LA PRESENTE GU A 2 1 OBJET 8 La presente gu a proporciona a los Responsables de Seguridad de la Informaci n (RSI) las directrices para el cumplimiento de las obligaciones de reporte de incidentes de ciberseguridad acaecidos en el seno de las Administraciones P blicas, las infraestructuras cr ticas y operadores estrat gicos de su competencia, as como el resto de entidades comprendidas en el mbito de aplicaci n del Real Decreto-Ley 12/2018. Se expone a continuaci n un esquema orientativo acerca de autoridades competentes y CSIRT de referencia: AUTORIDAD COMPETENTE Tipo de operador Subtipo Caracter sticas Organismo competente Operador de servicios esenciales Operador Cr tico - CENTRO nacional DE PROTECCI N DE INFRAESTRUCTURAS Y ciberseguridad (CNPIC) No operador cr tico Comprendido en el mbito de aplicaci n de la Ley 40/2015, de 1 de octubre, de R gimen Jur dico del Sector P blico CENTRO CRIPTOL GICO nacional (CCN) Resto AUTORIDAD SECTORIAL Proveedor de Servicios Digitales Sector privado - SECRETAR A DE ESTADO DE DIGITALIZACI N E INTELIGENCIA ARTIFICIAL Sector p blico Comprendido en el mbito de aplicaci n de la Ley 40/2015, de 1 de octubre, de R gimen Jur dico del Sector P blico CENTRO CRIPTOL GICO nacional (CCN) Tabla 1.
8 Autoridad competente EQUIPO DE RESPUESTA A INCIDENTES DE SEGURIDAD INFORM TICA (CSIRT) DE REFERENCIA Tipo de operador Caracter sticas Organismo competente Operador de servicios esenciales Sector P blico (entidades incluidas en el mbito subjetivo de aplicaci n de la Ley 40/2015) CCN-CERT Sector Privado (entidades no incluidas en el mbito subjetivo de aplicaci n de la Ley 40/2015) INCIBE-CERT Proveedor de Servicios Digitales Sector P blico (entidades incluidas en el mbito subjetivo de aplicaci n de la Ley 40/2015) CCN-CERT Sector Privado (entidades no incluidas en el mbito subjetivo de aplicaci n de la Ley 40/2015) INCIBE-CERT Tabla 2. CSIRT de referencia 9 Asimismo se referencian directrices en el mismo sentido, potestativas para los RSI de las empresas privadas no englobadas en otras ya referenciadas con anterioridad, de sistemas de informaci n y comunicaci n de instituciones afiliadas a RedIRIS y ciudadanos que a t tulo particular deseen contactar con los organismos competentes.
9 De este documento emanan los siguientes tems: Taxonom a homog nea en cuanto a clasificaci n, peligrosidad e impacto de los incidentes de ciberseguridad . Especificaciones de las autoridades competentes y CSIRT de referencia a nivel nacional , en materia de conocimiento, gesti n y resoluci n de incidentes de ciberseguridad . Definici n expresa de los incidentes de ciberseguridad que deben de notificarse a la autoridad competente seg n establece la legislaci n vigente y por los canales definidos a tal efecto, en funci n de la peligrosidad e impacto de los mismos. Metodolog a de notificaci n y seguimiento de incidentes de ciberseguridad (ventanilla nica). Requerimientos particulares seg n la particularidad del afectado, emanados de las autoridades competentes. Los criterios que se recogen en esta gu a atienden a buenas pr cticas generalmente reconocidas en la gesti n de incidentes y, como tales, pueden servir de referencia en el dise o e implementaci n de este tipo de servicios en cualquier otro mbito.
10 10 Los organismos p blicos o empresas privadas obligadas a notificar un ciberincidente bajo alguna regulaci n, deber n notificar aquellos ciberincidentes acaecidos en su infraestructura tecnol gica que se encuadren dentro del alcance de la norma, los niveles de peligrosidad y los niveles de impacto referenciados en el presente documento. De igual forma podr n reportar otros ciberincidentes o ciberamenazas que consideren oportuno, atendiendo a los siguientes criterios: Necesidad o conveniencia para el organismo de contar con el apoyo del CSIRT de referencia para la investigaci n o resoluci n de ciberincidentes . Beneficios o inter s general para la seguridad del conjunto de la comunidad de ciberseguridad , as como para el aumento de la toma de consciencia situacional del estado de la ciberseguridad a nivel estatal por parte de los organismos p blicos competentes.
