Ziurtagiriari buruz

Kudeatutako segurtasun-zerbitzua (KSE) hirugarren bati ematen zaion zerbitzu gisa defini daiteke, zibersegurtasun-arriskuen kudeaketarekin lotutako jarduerak egitean edo horietarako laguntza ematean datzana, hala nola, gertakarien kudeaketa, sartze-probak, segurtasun-auditoriak eta laguntza teknikoarekin lotutako aholkularitza, espezializazio espezifikoa barne.

Kudeatutako segurtasun-zerbitzuak kudeatutako segurtasun-zerbitzu hornitzaileek ematen dituzte, Europako Parlamentuaren eta Kontseiluaren 2022/2555 (EB) Zuzentarauaren 6. artikuluko 40. puntuan definitzen den bezala, erakundeei gertakariak prebenitzeko, detektatzeko, erantzuteko eta horietatik berreskuratzeko ahaleginetan lagunduz.

Ondorioz, alde batetik, KSE eskaintzen duen erakunde batek bere gaitasun operatiboak eta gaitasun teknikoa erakutsi ahal izan behar ditu zibersegurtasunaren arloan eskaintzen dituen KSEei dagokienez, hauek kalitatezkoak izango direla ziurtatuz; eta bestetik, erakundeak SSG emateko erabiltzen dituen bitartekoek beharrezko segurtasun-eskakizunak bete behar dituzte, eta horrek bermatu behar du babestuta eta fidagarriak direla beren lana modu seguruan egiteko, erakundearentzat berarentzat eta bere zerbitzuak kontratatzen dituztenentzat.

Beraz, bi ikuspegiak jorratu behar dira: nahitaezko gutxieneko gaitasun operatiboak eta gaitasun teknikoak, baita erakundearen baliabide propioen eta kudeatzen dituen informazioaren/aktiboen babesa ere. Ikuspegi honek zerbitzu-eragiketen eraginkortasuna balioztatzen du, baita modu nahikoa seguruan eta indarrean dagoen araudiaren arabera egin daitezkeela ere.

Beharrezko baliabideak arrazionalizatuz, bilatu eta bete beharreko babesa kaltetu gabe, aipatutako zerbitzuak laguntzen dituzten sistemek eta beste baliabideek Segurtasun Eskema Nazionalarekin (maiatzaren 3ko 311/2022 ED) Bat etortzearen Ziurtagiria izan behar dute ERTAIN kategoriarako edo goragoko kategoriarako edo, halakorik ezean, kasu zehatz bakoitzari aplikatzen zaizkion 36 segurtasun-neurri multzo minimo bat behar bezala hartu dutela erakutsi behar dute (dokumentu honen 5.1 atalean zerrendatuta). Neurri hauek ENSrekin 12 hilabeteko epean betetzea lortzeko konpromiso formala barne hartuko dute.

Beraz, PCE-SSG-k SSG-ren hedapenean fidagarritasuna eta gaitasun teknikoa bermatzeko eta araudia betetzen dela ziurtatzeko beharrezko eskakizunak barne hartzen ditu. SSG-etan segurtasunaren frogak behar dituzten erakunde nazionalak edo europarrak.

SSG hornitzaileak pertsona, prozesu eta teknologia multzo gisa uler daitezke, elkarren arteko harremanaren, lankidetzaren eta koordinazioaren bidez, beste erakunde publiko zein pribatu batzuentzat kudeatutako segurtasun jarduerak garatzen dituztenak, kalitate eta segurtasun egokiarekin.

PCE-SSG hau argitaratzearekin batera, Zentro Kriptologiko Nazionalak, bere eskumenak erabiliz, aipatutako eskakizunak eta bere adostasun ebaluazio eta ziurtapen eredua baliozkotu eta publiko egiten ditu, Segurtasun Eskema Nazionala (ENS, aurrerantzean) arautzen duen maiatzaren 3ko 311/2022 Errege Dekretuaren 30. artikuluan xedatutakoaren arabera. Horri esker, SSG hornitzaileek segurtasun eta kalitate maila egokiak lortu ditzakete beren zerbitzuetan, eta horrela, beharrezko konfiantza txertatu dezakete beren zerbitzuak erabiltzen dituzten erakundeetan.

Uneko harrera

3
Ziurtatutako SOCak:
Sektore Publikoa: 2
Sektore Pribatua: 1
13
Zerbitzu ziurtagiridunak:
Prebentzioa: 3
Babesa: 2
Detekzioa: 3
Erantzuna: 2
Kudeaketa: 3

Ziurtagiridun SOCen zerrenda

SOC
Prebentzioa
Babesa
Detekzioa
Erantzuna
Kudeaketa
 Iraungipena Onarpena
SOC informazioa
Entitatea:
ITXI

Dokumentazioa

CCN-STIC 896

(PCE / SSG Segurtasun Zerbitzu Kudeatuen betetze-profil espezifikoa)
Baliabidera sartu

Autoebaluazio tresna

Baliabidera sartu

Auditoria Prestatzeko Gida

Baliabidera sartu
Gida-printzipioak
Ziurtapen prozesua
Egin klik irudi bakoitzean handitzeko

Maiz egiten diren galderak

Kudeatutako Segurtasun Zerbitzuen (KSZ) ziurtagiriarekin lotutako gaietarako, jarri gurekin harremanetan helbide elektroniko honen bidez:

This email address is being protected from spambots. You need JavaScript enabled to view it.

Nola hasi behar dut prozesua?

Eskatzaileak STIC 896 Gidaren autoebaluazio tresna eskatu eta betetzen du CCNrekin harremanetan jarriz, certiMSS​@ccn-cert.cni.es helbide elektronikoan. Behin beteta, eta % 50eko edo gehiagoko puntuazioa lortzen bada aplikagarri diren atal guztietan, erakundeak doako auditoria bat eska dezake, bere zerbitzuaren egokitasuna (Gida deskribatzen den bezala) ebaluatzeko aukera emango diona. Auditoria arrakastatsua bada, erakundeak bere zerbitzu(ar)en ziurtagiria eska diezaioke CCNri.

Nor izango litzateke Ziurtapen Agintaritza edo OAT?

Oraingoz, CCN bera da, ez baita oraindik EC edo OATrik akreditatu horretarako. Ez bata ez bestea ez dira espero akreditazio prozesua geroago arte hastea.

Autoebaluazio galdetegia bete behar al da sistemarako ENS Medio+ ziurtagiria baduzu?

Bai, baina 4. atalean aplikatzen diren zerbitzuen fitxak bakarrik bete behar dira. Adibidez, ENS Medio+ baduzu, CERT.ENS fitxa bakarrik bete behar duzu (laukitxo bat).

Zein da SSG enpresek PEC honetara egokitzeko epea?

Ez dago STIC 896 Gidari dagokionez egokitzeko eta ziurtagiria lortzeko eperik. Gaur egun, ziurtagiria borondatezkoa da, baina gomendagarria, etorkizun hurbilean ziurtagiria derrigorrezkoa izango dela espero baita erakunde publikoei, Azpiegitura Kritikoei eta/edo Ezinbestekoei Segurtasun Zerbitzu Kudeatuak emateko edo RNSren parte izateko.