OR.3 Definir los mecanismos para el contacto formal con autoridades y equipo de respuesta
Requisito OR.3 | Definir los mecanismos para el contacto formal con autoridades y equipo de respuesta. |
---|---|
Objetivos | Contribuir con las buenas prácticas de gestión dentro de la organización definiendo un procedimiento documentado de contacto con autoridades (internas y externas), vinculadas a regulación y cumplimiento en materia de seguridad de la información y ciberseguridad, particularmente, las que deban ser contactadas antes un incidente de ciberseguridad. |
Controles | Nivel 1
Nivel 2
Nivel 3
Nivel 4
|
Guía de implementación | Procedimiento o plan de comunicación Relacionamiento con autoridades y equipos de respuesta ante incidentes Dicho procedimiento debe definir específicamente cómo, y ante qué casos, contactar al CERTuy (responsables, canales de comunicación, difusión del procedimiento) así como con URCDP, el Ministerio del Interior u otras autoridades; este procedimiento deberá basarse en las guías y normativa asociada vigente. |
Instituciones de salud | Ante incidentes de seguridad que afecten o puedan afectar a la infraestructura de HCEN (por ejemplo, incidentes en sistemas que procesan o almacenan información de salud) o sus sistemas circundantes (por ejemplo, servidores DNS, Firewalls, Correo, etc.), deben reportarse siempre al CERTuy o equipo de respuesta que corresponda. |
Instituciones Emisoras de Dinero Electrónico (IEDE) | Los incidentes deben ser comunicados al BCU conforme normativa vigente. |
Guía de evidencia para auditoría |
|
Normativa asociada | Ley 20.212, art. 78 Decreto 66/025, art. 8 literial i, 10, 11 |