Certificación SSX

Acerca da certificación

Un servizo de seguridade xestionado (MSS) pódese definir como un servizo prestado a un terceiro que consiste na realización ou prestación de asistencia para actividades relacionadas coa xestión de riscos de ciberseguridade, como a xestión de incidentes, as probas de penetración, as auditorías de seguridade e a consultoría relacionada coa asistencia técnica, incluíndo coñecementos especializados.

Os servizos de seguridade xestionados son prestados por provedores de servizos de seguridade xestionados, tal como se define no artigo 6, punto 40, da Directiva (UE) 2022/2555 do Parlamento Europeo e do Consello, que axudan ás entidades nos seus esforzos para previr, detectar, responder e recuperarse dos incidentes.

En consecuencia, por unha banda, unha organización que presta MSS debe ser capaz de demostrar as súas capacidades operativas, así como a súa competencia técnica en relación cos MSS que presta no campo da ciberseguridade, garantindo que estes serán de calidade; e, por outra banda, os medios empregados pola organización para prestar o SSG deben cumprir os requisitos de seguridade necesarios que tamén garantan que estean protexidos e sexan fiables para realizar o seu traballo de forma segura para a propia entidade e para aqueles que contratan os seus servizos.

Polo tanto, é necesario abordar ambas as dúas abordaxes: as capacidades operativas mínimas obrigatorias e as competencias técnicas, así como a protección dos recursos propios da organización e da información/activos que xestionan. Esta abordaxe proporciona validación da eficiencia das operacións de servizo, así como do feito de que se poden levar a cabo dun xeito suficientemente seguro e de acordo coa normativa vixente.

Racionalizando os recursos necesarios, sen prexuízo da protección buscada e exixible, os sistemas e outros recursos que dan soporte aos servizos antes mencionados deben contar coa Certificación de Conformidade co Esquema Nacional de Seguridade (RD 311/2022, do 3 de maio) para a categoría MEDIA ou superior ou, no seu defecto, demostrar a adopción axeitada dun conxunto mínimo de 36 medidas de seguridade (enumeradas no apartado 5.1 deste documento) que sexan aplicables a cada caso específico. Estas medidas incluirán un compromiso formal para lograr o cumprimento do ENS nun prazo non superior a 12 meses.

Polo tanto, o PCE-SSG inclúe os requisitos necesarios para garantir a fiabilidade e a competencia técnica no despregamento do SSG e para certificar o cumprimento da normativa. Organizacións nacionais ou europeas que requiren evidencias de seguridade nos SSG.

As organizacións provedoras de SSG poden entenderse como un conxunto de persoas, procesos e tecnoloxías que, a través da súa interrelación, cooperación e coordinación, desenvolven actividades de seguridade xestionadas para outras organizacións, tanto públicas como privadas, coa calidade e seguridade axeitadas.

Coa publicación deste PCE-SSG, o Centro Criptolóxico Nacional, no exercicio das súas competencias, valida e fai públicos os requisitos antes mencionados e o seu modelo de avaliación e certificación da conformidade, de acordo co disposto no artigo 30 do Real Decreto 311/2022, do 3 de maio, polo que se regula o Esquema Nacional de Seguridade (ENS, en diante). Isto permite que as organizacións provedoras de SSG alcancen niveis axeitados de seguridade e calidade nos seus servizos, o que lles permite inculcar a confianza necesaria nas entidades que usan os seus servizos.

Recepción actual

3

SOC certificados:

Sector público: 2

Sector privado: 1

13

Servizos certificados:

Prevención: 3

Protección: 2

Detección: 3

Resposta: 2

Xestión: 3

Lista de SOC certificados

SOC	Prevención	Protección	Detección	Resposta	Xestión	Caducidade	Recoñecemento

Información do SOC

Entidade:

PECHAR

Documentación

CCN-STIC 896

(Perfil de conformidade específico para servizos de seguridade xestionados PCE/SSG)

Acceder ao recurso

Ferramenta de autoavaliación

Acceder ao recurso

Guía de preparación de auditorías

Acceder ao recurso

Principios reitores

Proceso de certificación

Fai clic en cada imaxe para ampliala

Preguntas frecuentes

Para asuntos relacionados coa certificación de Servizos de Seguridade Xestionados (SSX), póñase en contacto connosco a través do seguinte enderezo de correo electrónico:

Este enderezo de correo electrónico está a ser protexido dos robots de correo lixo. Precisa activar o JavaScript para velo.

Como inicio o proceso?: A entidade solicitante solicita e completa a ferramenta de autoavaliación da Guía STIC 896 poñéndose en contacto co CCN no enderezo de correo electrónico certiMSS@ccn-cert.cni.es. Unha vez completada, e se se obtén unha puntuación do 50 % ou superior en todos os apartados aplicables, a entidade pode solicitar unha auditoría gratuíta que lle permitirá avaliar a idoneidade do seu servizo (segundo se describe na Guía). Se a auditoría ten éxito, a entidade pode solicitar o certificado para o(s) seu(s) servizo(s) ao CCN.
Quen sería a Autoridade de Certificación ou a OAT?: Por agora, é a propia CCN, xa que aínda non se acreditou ningunha CE nin OAT para este fin. Non se espera que ningunha das dúas comece o seu proceso de acreditación ata máis tarde.
Debería completarse o cuestionario de autoavaliación se xa se ten o certificado ENS Medio+ para o sistema?: Si, pero só é necesario completar as pestanas dos servizos que se aplican na sección 4. Por exemplo, se se ten ENS Medio+, só se precisa completar a pestana CERT.ENS (unha caixa).
Cal é o prazo para que as empresas SSG se adapten a este PEC?: Non hai unha data límite establecida para adaptarse e obter a certificación con respecto á Guía STIC 896. Actualmente, a certificación é voluntaria, pero recomendable, xa que se espera que nun futuro próximo a certificación sexa obrigatoria para proporcionar Servizos de Seguridade Xestionados a entidades públicas, Infraestruturas Críticas e/ou Esenciais, ou para formar parte do RNS.