Certificació SSG

Sobre la certificació

Es pot definir un servei de seguretat gestionat (SSG) com aquell servei prestat a un tercer que consisteix a dur a terme o proporcionar assistència per a activitats relacionades amb la gestió de riscos de ciberseguretat, com, per exemple, la gestió d'incidents, les proves de penetració, les auditories de seguretat i la consultoria relacionada amb l'assistència tècnica.

Els serveis de seguretat gestionats són prestats per proveïdors de serveis de seguretat gestionats, tal com es defineixen a l'article 6, punt 40, de la Directiva (UE) 2022/2555 del Parlament Europeu i del Consell, prestant assistència a les entitats en els seus esforços de prevenció, detecció, resposta i recuperació en relació amb els incidents.

En conseqüència, d'una banda, una organització prestadora de SSG ha de poder evidenciar les seves capacitats operatives, així com la seva competència tècniques en relació amb els SSG que presta en l'àmbit de la ciberseguretat, garantint que aquests seran de qualitat; i d'una altra, els mitjans emprats per l'organització per poder prestar els SSG hauran de complir els requisits necessaris de seguretat que garanteixin al mateix temps que estan protegits i són fiables per realitzar el seu exercici de manera segura per a la mateixa entitat i per a aquelles que contractin els seus serveis.

Per això, cal abordar ambdues aproximacions, les capacitats operatives i competències tècniques mínimes obligatòries, així com la protecció dels propis recursos, de la informació/actius que gestionen. Aquest enfocament proporciona la validació de l'eficiència de les operacions dels serveis, així com el fet que es puguin dur a terme de manera suficientment segura i d'acord amb la normativa vigent.

Racionalitzant els recursos requerits, sense menyscapte de la protecció perseguida i exigible, els sistemes i altres recursos que suporten els esmentats serveis hauran de disposar de la Certificació de Conformitat amb l'Esquema Nacional de Seguretat (RD 311/2022, de 3 de maig) per a categoria MITJANA o superior o, si no n'hi ha, de evidenciar l'adequada (apartat 5.1 d'aquest document) que siguin aplicables a cada cas concret, i que inclouran el compromís formal d'assolir l'esmentada Conformitat amb l'ENS en un termini no superior a 12 mesos.

Per tant, el PCE-SSG inclou els requisits necessaris per garantir la fiabilitat i competència tècnica en el desplegament de SSG i acreditar la conformitat amb les normatives nacionals o europees que demanin evidències de seguretat als SSG.

Les organitzacions prestadores de SSG poden entendre's com un conjunt de persones, processos i tecnologies que, mitjançant la seva interrelació, cooperació i coordinació, desenvolupen activitats de seguretat gestionat per a altres organitzacions, tant públiques com privades, amb la deguda qualitat i seguretat.

Amb la publicació del present PCE-SSG el Centre Criptològic Nacional, en l'exercici de les seves competències, valida i fa públics els requisits esmentats i el seu model d'avaluació i certificació de la conformitat, atenent al que disposa l'article 30 del Reial Decret 311/2022, de 3 de maig, pel qual es regula l'Esquema Nacional de Seguretat (ENS, en endavant) els adequats nivells de seguretat i qualitat en la seva prestació, que permetin traslladar la confiança deguda a les entitats consumidores dels seus serveis.

Acollida actual

3

SOC certificats:

Sector públic: 2

Sector privat: 1

13

Serveis certificats:

Prevenció: 3

Protecció: 2

Detecció: 3

Resposta: 2

Gestió: 3

Llistat de SOC certificats

SOC	Prevenció	Protecció	Detecció	Resposta	Gestió	Venciment	Reconeixement

Informació del SOC

Entitat:

TANCAR

Documentació

CCN-STIC 896

(Perfil de compliment específic per a Serveis de Seguretat Gestionats PCE/SSG)

Accedir al recurs

Eina d'autoavaluació

Accedir al recurs

Guia de preparació d'auditoria

Accedir al recurs

Principis guia

Procés de certificació

Feu clic sobre cada imatge per ampliar-la

Preguntes freqüents

Per a assumptes relacionats amb la certificació de Serveis de Seguretat Gestionats (SSG) podeu posar-vos en contacte a través del següent correu electrònic:

Aquesta adreça de correu-e està protegida dels robots de spam.Necessites Javascript habilitat per veure-la.

Com s'inicia el procés?: L'entitat sol·licitant sol·licita i emplena l'eina d'autoavaluació de la Guia STIC 896 contactant amb el CCN a l'adreça de correu certiMSS@ccn-cert.cni.es. Un cop realitzada, i en cas de superar una puntuació del 50% en tots els apartats que li són aplicables, podreu sol·licitar una auditoria sense cost que us permetrà desenvolupar l'adequació del vostre servei (tal com està descrit a la Guia). En cas que aquesta auditoria obtingui una resolució favorable podrà sol·licitar al CCN el certificat del/s seu/s servei/s.
Qui seria l'Entitat de Certificació o l'OAT?: De moment el mateix CCN, ja que no hi ha cap EC ni OAT acreditada per fer-ho encara. I no s'espera que cap iniciï el procés d'acreditació fins més endavant.
Cal emplenar el qüestionari d'autoavaluació si ja es compta amb el certificat ENS Mitjà+ per al sistema?: Sí, però només cal emplenar les pestanyes dels serveis que apliquin a l'apartat 4. Per exemple, en tenir ENS Mitjà + només s'ha d'emplenar la pestanya CERT.ENS (Una casella).
Quin termini de temps tenen les empreses de SSG per adequar-se a aquest PAC?: No hi ha un termini fixat per adequar-se i certificar-se respecte a la Guia STIC 896. En aquests moments la certificació és voluntària, però recomanable ja que està previst que en un futur proper la certificació comenci a ser obligatòria per optar a prestar Serveis de Seguretat Gestionats a Entitats públiques, Infraestructures de Crítiques i RNS.