Professional Documents
Culture Documents
001-Seguridad de Las TIC en La Administr - Desconocido
001-Seguridad de Las TIC en La Administr - Desconocido
DICIEMBRE 2006
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-001 v3.0 Seguridad de las TIC que manejan información nacional clasificada en la Administración
Edita:
LIMITACIÓN DE RESPONSABILIDAD
El presente documento se proporciona tal cual, rechazando expresamente cualquier tipo de garantía implícita que se
pueda encontrar relacionada. En ningún caso, el Centro Criptológico Nacional puede ser considerado responsable
del daño directo, indirecto, fortuito o extraordinario derivado de la utilización de la información y software que se
indican incluso cuando se advierta de tal posibilidad.
AVISO LEGAL
Quedan rigurosamente prohibidas, sin la autorización escrita del Centro Criptológico Nacional, bajo las sanciones
establecidas en las leyes, la reproducción parcial o total de este documento por cualquier medio o procedimiento,
comprendidos la reprografía y el tratamiento informático, y la distribución de ejemplares del mismo mediante alquiler
o préstamo públicos.
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-001 v3.0 Seguridad de las TIC que manejan información nacional clasificada en la Administración
PRÓLOGO
Entre los elementos más característicos del actual escenario nacional e internacional figura el
desarrollo alcanzado por las Tecnologías de la Información y las Comunicaciones (TIC), así como
los riesgos emergentes asociados a su utilización. Como la Administración no es ajena a este
escenario, para garantizar su funcionamiento eficaz al servicio del ciudadano y de los intereses
nacionales, es necesario que el desarrollo, adquisición, conservación y utilización de las TIC, en
su ámbito, se realicen de forma segura.
Partiendo del conocimiento y la experiencia del Centro Nacional de Inteligencia sobre amenazas y
vulnerabilidades en materia de riesgos emergentes, la Ley 11/2002, de 6 de mayo, encomienda a
este Centro el ejercicio de las funciones relativas a la seguridad de las tecnologías de la
información y a la protección de la información clasificada, a la vez que confiere a su Secretario
de Estado Director la responsabilidad de dirigir el Centro Criptológico Nacional.
Como desarrollo de la citada Ley 11/2002, el Real Decreto 421/2004, de 12 de marzo, asigna al
Centro Criptológico Nacional, como una de sus funciones más destacables, la de elaborar y
difundir normas, instrucciones, guías y recomendaciones para garantizar la seguridad de los
sistemas de tecnologías de la información y comunicaciones de la Administración.
Diciembre de 2006
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-001 v3.0 Seguridad de las TIC que manejan información nacional clasificada en la Administración
ÍNDICE
1. ANTECEDENTES......................................................................................................................5
2. INTRODUCCIÓN ......................................................................................................................6
3. OBJETO ......................................................................................................................................7
4. ALCANCE ..................................................................................................................................7
5. CONCEPTOS GENERALES .....................................................................................................7
5.1. INFORMACIÓN NACIONAL CLASIFICADA ..................................................................7
5.2. SEGURIDAD DE LA INFORMACIÓN...............................................................................9
6. PRINCIPIOS DE SEGURIDAD GENERALES ......................................................................11
7. SEGURIDAD DEL ENTORNO DE OPERACIÓN.................................................................12
7.1. DE SEGURIDAD LIGADA AL PERSONAL ....................................................................12
7.2. DE SEGURIDAD FÍSICA...................................................................................................12
7.3. DE SEGURIDAD DE LOS DOCUMENTOS.....................................................................13
8. SEGURIDAD DE LAS TIC .....................................................................................................13
8.1. PRINCIPIOS DE SEGURIDAD..........................................................................................13
8.2. MODOS SEGUROS DE OPERACIÓN..............................................................................14
8.3. ACTIVIDADES DE SEGURIDAD EN EL CICLO DE VIDA..........................................15
8.4. ACREDITACIÓN DE SEGURIDAD .................................................................................15
8.5. SERVICIOS DE SEGURIDAD EN SISTEMAS ACREDITADOS...................................15
8.6. INTERCONEXIÓN DE SISTEMAS ..................................................................................16
8.7. FUNCIONES CRÍTICAS DE SEGURIDAD. GESTIÓN Y ADMINISTRACIÓN...........16
8.7.1. GESTIÓN DE SEGURIDAD ...........................................................................17
8.7.1.1.POLÍTICA DE SEGURIDAD DE LA ORGANIZACIÓN ...................................................17
8.7.1.2.GESTIÓN DE RIESGOS DE SEGURIDAD.........................................................................17
8.7.1.3.MONITORIZACIÓN / AUDITORIA DE SEGURIDAD .....................................................18
8.7.1.4.CAPACIDAD DE RESPUESTA A INCIDENTES DE SEGURIDAD ................................18
8.7.2. ADMINISTRACIÓN DE SEGURIDAD..........................................................19
8.8. ASPECTOS GENERALES INFOSEC................................................................................20
8.8.1. SOPORTES DE ALMACENAMIENTO EXTRAÍBLES ................................20
8.8.2. DISPOSITIVOS PORTÁTILES .......................................................................21
8.8.3. RECURSOS DE PROPIEDAD PARTICULAR O DE CONTRATISTAS .....21
9. SEGURIDAD CRIPTOLÓGICA .............................................................................................21
10. SEGURIDAD DE LAS EMANACIONES ELECTROMAGNÉTICAS..................................22
11. CERTIFICACIÓN ....................................................................................................................23
11.1. CERTIFICACIÓN FUNCIONAL .......................................................................................24
11.2. CERTIFICACIÓN CRIPTOLÓGICA .................................................................................24
11.3. CERTIFICACIÓN TEMPEST.............................................................................................25
12. RESPONSABILIDADES .........................................................................................................26
12.1. AUTORIDAD DE ACREDITACIÓN (AA) .......................................................................26
12.2. AUTORIDAD DE CERTIFICACIÓN CRIPTOLÓGICA (ACC) ......................................27
12.3. AUTORIDAD DE CERTIFICACIÓN TEMPEST (ACT)..................................................27
12.4. AUTORIDAD DELEGADA DE ACREDITACIÓN (ADA)..............................................28
12.5. AUTORIDAD OPERATIVA DEL SISTEMA DE LAS TIC (AOSTIC) ...........................28
13. REGISTRO ...............................................................................................................................28
13.1. DE SISTEMAS ACREDITADOS.......................................................................................28
13.2. DE PRODUCTOS O SISTEMAS CON CERTIFICACIÓN FUNCIONAL ......................29
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-001 v3.0 Seguridad de las TIC que manejan información nacional clasificada en la Administración
13.3. DE PRODUCTOS CON CERTIFICACIÓN CRIPTOLÓGICA ........................................29
13.4. DE PRODUCTOS Y LOCALES CON CERTIFICACIÓN DE LA SEGURIDAD DE LAS
EMANACIONES.................................................................................................................29
14. FORMACIÓN Y CONCIENCIACIÓN....................................................................................29
14.1. FORMACIÓN......................................................................................................................29
14.2. CONCIENCIACIÓN ...........................................................................................................30
15. RESPUESTA ANTE INCIDENTES DE SEGURIDAD..........................................................30
15.1. RESPUESTA A INCIDENTES PARA LA ADMINISTRACIÓN .....................................31
15.2. PROMOCIÓN DE LA CAPACIDAD RESPUESTA A INCIDENTES.............................31
16. DESARROLLO NORMATIVO ...............................................................................................31
ANEXOS
TABLAS
Tabla 2. Protección de información nacional clasificada con equipos de cifra certificados por OTAN....... 35
Tabla 3. Protección de información OTAN clasificada con equipos de cifra nacionales certificados.......... 35
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-001 v3.0 Seguridad de las TIC que manejan información nacional clasificada en la Administración
1. ANTECEDENTES
1. La Ley 9/1968 de 5 de abril sobre Secretos Oficiales (LSO), modificada por la Ley
48/1978 de 7 de octubre, y el Decreto 242/1969, que la desarrolla, fueron redactados
cuando el uso de las TIC estaba mucho menos extendido que hoy día y, quizá por
esto mismo, el valor de la información tampoco era comparable al que ha llegado a
alcanzar en la sociedad actual.
2. Sin embargo, además de su plena vigencia legal, la LSO incluye principios de gran
interés. Entre otros aspectos establece que para transmitir información clasificada se
deben utilizar medios de cifra adecuados. También señala que la información
clasificada debe ser protegida como tal, independientemente del soporte en el que se
encuentre.
3. Por otra parte, la Ley 11/2002, de 6 de mayo, reguladora del Centro Nacional de
Inteligencia (CNI), establece el objetivo, el ámbito y las actividades de dicho centro.
4. Según el artículo 4.e de esta Ley, una de sus funciones es la de “Coordinar la acción
de los diferentes organismos de la Administración que utilicen medios o
procedimientos de cifra, garantizar la seguridad de las Tecnologías de la
Información en ese ámbito, informar sobre la adquisición coordinada de material
criptológico y formar al personal, propio o de otros servicios de la Administración,
especialista en este campo para asegurar el adecuado cumplimiento de las misiones
del Centro”. Es importante destacar que el ámbito de competencia es la
Administración y que se señalan los fines concretos de garantizar la seguridad de las
Tecnologías de la Información y las Comunicaciones (TIC) y la coordinación en el
uso de medios y procedimientos de cifra.
5. El artículo 4.f de la citada Ley señala asimismo que el CNI debe “Velar por el
cumplimiento de la normativa relativa a la información clasificada”.
6. Por último, el Real Decreto 421/2004, de 12 de marzo, por el que se regula el Centro
Criptológico Nacional (CCN) asigna a este centro las responsabilidades señaladas en
los artículos 4.e. y 4.f. de la Ley 11/2002 aunque, en este último caso,
exclusivamente en el ámbito de la normativa relativa a la información clasificada
cuando ésta es manejada por las TIC.
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-001 v3.0 Seguridad de las TIC que manejan información nacional clasificada en la Administración
c) Constituir el organismo de certificación del Esquema nacional de evaluación y
certificación de la seguridad de las tecnologías de información, de aplicación a
productos y sistemas en su ámbito.
2. INTRODUCCIÓN
8. Los sistemas que manejan cualquier tipo de datos (información) en formato
electrónico reciben indistintamente las denominaciones de “Tecnologías de la
Información y las Comunicaciones (TIC)”, “Tecnologías de la Información (TI)”,
“Sistemas de Información” o, en terminología inglesa, “Communications and
Information Systems (CIS)”. Estos conceptos quedan englobados en el término
genérico “Sistema”, que se define como el conjunto de equipos y programas
(hardware y software), métodos, procedimientos y personal, organizado de tal forma
que permita almacenar, procesar o transmitir información, y que está bajo la
responsabilidad de una única autoridad.
10. Como tal valor, la información manejada en un Sistema puede estar sometida a
distintos tipos de amenazas que van a introducir, en su manejo, un determinado nivel
de riesgo.
11. Así, existe riesgo cuando se transmite información por un canal de comunicaciones
porque alguien no autorizado podría estar interesado en conocerla (amenaza) y el
canal de comunicaciones tiene vulnerabilidades (un canal de comunicaciones es, en
la mayoría de los casos, intrínsecamente inseguro).
12. También se introduce un nuevo factor de riesgo con la interconexión entre Sistemas.
Aunque esto permite que la información sea accesible desde un sistema aunque
Centro Criptológico Nacional 6
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-001 v3.0 Seguridad de las TIC que manejan información nacional clasificada en la Administración
físicamente esté almacenada en otro, este acceso se produce, en ocasiones, sin que el
propietario de la información tenga conciencia de ello, amenazando la
confidencialidad, disponibilidad o integridad de la información. La implantación
generalizada de las redes corporativas y el uso de Internet han contribuido a
empeorar la situación en este sentido.
13. Otro factor a considerar es que los equipos eléctricos y electrónicos, que componen
un Sistema, pueden producir emisiones electromagnéticas no deseadas que,
detectadas y analizadas con los medios adecuados, pueden llevar a la obtención de
información.
14. Por todo ello, se hace necesario el establecimiento de unos principios básicos y la
definición de unos requisitos mínimos de seguridad que permitan la adecuada
protección de la información nacional clasificada manejada en los Sistemas de la
Administración.
3. OBJETO
15. Establecer los principios básicos y definir los requisitos mínimos que sirvan de
marco de referencia para la adecuada protección de la información clasificada
manejada en los Sistemas de la Administración.
4. ALCANCE
17. Esta Política es de aplicación a todos los Sistemas que manejen información nacional
clasificada en la Administración.
5. CONCEPTOS GENERALES
19. Los artículos 23.1 y 105 b) de la Constitución establecen el principio de que una
participación ciudadana responsable de los asuntos públicos exige una necesaria
información, principio que sólo encuentra excepciones en los casos en que sea
necesario proteger la seguridad y defensa del Estado, la averiguación de los delitos y
la intimidad de las personas.
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-001 v3.0 Seguridad de las TIC que manejan información nacional clasificada en la Administración
perjuicio graves en el supuesto de ser divulgada o comunicada a personas no
autorizadas.
21. Según la Ley 9/1968 la información nacional puede ser clasificada con el grado de
SECRETO o con el de RESERVADO, siendo el primero de ellos superior al
segundo, es decir, con unos requisitos de protección más estrictos debido a su mayor
importancia.
22. Asimismo, dicha Ley señala que “El personal que sirva en la Administración del
Estado y en las Fuerzas Armadas estará obligado a cumplir cuantas medidas se hallen
previstas para proteger las materias clasificadas”.
25. Una de las consecuencias de lo anterior, tras la adhesión de España al Tratado del
Atlántico Norte (OTAN) y a la Unión Europea y la consecuente adopción de las
normas de seguridad de ambas organizaciones, es la ampliación de los grados de
clasificación de la información con los de CONFIDENCIAL y DIFUSIÓN
LIMITADA, en orden decreciente y, a su vez, ambos inferiores a los ya existentes de
SECRETO y RESERVADO.
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-001 v3.0 Seguridad de las TIC que manejan información nacional clasificada en la Administración
28. A los efectos de la aplicación de la presente Política STIC y la normativa derivada se
considera información nacional clasificada la etiquetada con alguno de los siguientes
grados de clasificación, en orden decreciente de importancia:
− SECRETO
− RESERVADO
− CONFIDENCIAL
− DIFUSIÓN LIMITADA
− SIN CLASIFICAR
29. En el Anexo A se encuentra, con carácter orientativo, un cuadro de equivalencias
entre los grados de clasificación de diferentes ámbitos.
30. Aquellos Organismos que dispongan de información que, no pudiendo ser clasificada
con ninguno de los grados anteriores, requiera cierta protección, por ser de carácter
sensible o de uso interno, podrán regular mediante normativa interna la introducción,
en su ámbito, de la categoría SIN CLASIFICAR o DIFUSION LIMITADA según el
nivel de protección requerido.
32. La primera tarea que debería hacer cualquier organización que considere que debe
emplear recursos en seguridad es definir cuidadosamente los bienes o activos que
dicha organización valora como críticos. Sólo se requiere seguridad si realmente
existe un activo valioso que se deba proteger.
33. Se puede hacer una clasificación de “tipos” de seguridad en función de los tipos de
activos que se deben proteger en una organización:
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-001 v3.0 Seguridad de las TIC que manejan información nacional clasificada en la Administración
obligación del propietario de la información determinar y valorar la importancia de
cada una de las características mencionadas.
37. Otro factor a tener en cuenta cuando se trata de proteger la información es el tipo de
“soporte” en la que ésta se encuentra en cada momento:
41. Se denomina STIC a la capacidad de los Sistemas para resistir, hasta un determinado
nivel de confianza, accidentes o acciones maliciosas que puedan comprometer la
seguridad de la información que manejan en un entorno dado.
42. Se denomina Política de Seguridad de las TIC (Política STIC) al conjunto de normas,
instrucciones, planes, procedimientos y productos en los que se enmarca la actividad
de la STIC.
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-001 v3.0 Seguridad de las TIC que manejan información nacional clasificada en la Administración
− Clasificación de la información.
− Habilitación/Autorización de seguridad.
− Necesidad de conocer.
− Compartimentación de la información.
− Imputabilidad.
− Equilibrio entre seguridad y eficacia o garantía razonable.
− Segregación de las funciones de administración, administración de seguridad
y supervisión de la seguridad.
44. Los principios de seguridad antes mencionados se identifican los siguientes objetivos
de seguridad para los sistemas CIS:
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-001 v3.0 Seguridad de las TIC que manejan información nacional clasificada en la Administración
46. Los objetivos de seguridad a satisfacer se materializarán y verificarán para un
sistema en concreto durante el proceso de Acreditación de la Seguridad de las
Tecnologías de la Información y Comunicaciones.
47. Este proceso, según el nivel de clasificación, verifica que los Sistemas cumplen los
Requisitos de seguridad establecidos en:
− Entorno de Operación
− Sistemas de TIC
− Criptología
− Emanaciones electromagnéticas
51. Todo el personal que necesite acceder, o que por sus obligaciones pueda acceder, a
información nacional clasificada a través de un Sistema, deberá estar
convenientemente concienciado y formado en los distintos aspectos de seguridad, y
poseer la autorización correspondiente. Serán de aplicación los procedimientos
existentes en los diferentes organismos de la Administración que apliquen la
normativa vigente en este aspecto sobre materias clasificadas. Estos procedimientos
deberán haber sido aprobados, previamente a su aplicación, por la Autoridad
correspondiente.
53. Aquellas áreas desde donde se pueda acceder a información nacional clasificada
mediante un Sistema, deberán disponer previamente de las medidas físicas de
protección establecidas en la normativa vigente.
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-001 v3.0 Seguridad de las TIC que manejan información nacional clasificada en la Administración
54. Aquellas áreas en las que se ubiquen Sistemas que manejen información nacional
clasificada (RESERVADO-SECRETO), deberán disponer del correspondiente
documento, emitido por la Autoridad correspondiente (según el grado de
clasificación de la información), que certifique que el local cumple las medidas de
seguridad física necesarias.
55. Para los Sistemas que manejen información nacional clasificada CONFIDENCIAL o
de grado inferior, será de aplicación lo previsto en los requisitos establecidos por la
normativa interna de cada Organismo.
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-001 v3.0 Seguridad de las TIC que manejan información nacional clasificada en la Administración
59. Los Sistemas que manejen información clasificada deben trabajar en lo que se
denominan Modos Seguros de Operación. Dichos modos vienen determinados por la
autorización y la necesidad de conocer de los usuarios, y por el mayor grado de
clasificación de la información manejada en el Sistema.
60. Estos tres aspectos determinan la forma en la que un Sistema que maneje
información nacional clasificada debe llevar a cabo el control de acceso y la
separación de la información. De esta forma se pueden definir los siguientes modos
seguros de operación:
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-001 v3.0 Seguridad de las TIC que manejan información nacional clasificada en la Administración
8.3. ACTIVIDADES DE SEGURIDAD EN EL CICLO DE VIDA
61. La seguridad tiene un tratamiento diferente durante todo el ciclo de vida del sistema.
62. Los aspectos de seguridad pueden limitar el número de soluciones que se puedan
implementar. Los requerimientos de seguridad afectan a la operación, el
mantenimiento, el personal y los costes asociados a la solución seleccionada.
63. Con objeto de reducir las amenazas y vulnerabilidades a los sistemas CIS, la
seguridad se tratará desde la fase de diseño y se seleccionarán las salvaguardas que
limiten los riesgos durante esta fase. La introducción de salvaguardas con el sistema
en explotación normalmente es más costosa y menos efectiva. Los responsables de
los proyectos deberán reservar los recursos suficientes para el tratamiento de los
aspectos de seguridad del proyecto. Se deben identificar, además, la necesidad de
productos INFOSEC (equipos de cifra, herramientas de seguridad….)
64. Por ello, el análisis y gestión de riesgos de seguridad estará presente en el proceso de
desarrollo del sistema. Esta actividad será realizada coordinadamente por los
responsables de diseño y operación utilizando la metodología MAGERIT y sus
herramientas de apoyo. El objetivo de esta actividad será asegurara que se cumplen
los requisitos mínimos de aplicación a la información nacional clasificada.
65. Las actividades INFOSEC a realizar durante el ciclo de vida del sistema se
desarrollará en la normativa correspondiente.
66. Todos los Sistemas que requieran manejar información nacional clasificada en la
Administración deberán ser previamente acreditados, de acuerdo con el
procedimiento que, para tal fin, apruebe la Autoridad de Acreditación (AA).
69. Todos los Sistemas que manejen información nacional clasificada deberán disponer
de un conjunto equilibrado de servicios de seguridad que permitan alcanzar los
objetivos de seguridad necesarios para proteger dicha información. Estos servicios de
seguridad permitirán, con el nivel de profundidad y rigor acorde al grado de
clasificación de la información que cada Sistema maneja, lo siguiente:
− Identificar y autenticar al personal con acceso autorizado.
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-001 v3.0 Seguridad de las TIC que manejan información nacional clasificada en la Administración
74. Para que los principios, requisitos y servicios de seguridad no se degraden durante la
operación del Sistema se deben establecer los procesos y actividades esenciales de
las funciones de:
− Gestión de Seguridad
− Administración de Seguridad
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-001 v3.0 Seguridad de las TIC que manejan información nacional clasificada en la Administración
8.7.1. GESTIÓN DE SEGURIDAD
76. Para gestionar la Seguridad adecuadamente hay que establecer cuatro procesos
fundamentales que conjuntamente contribuyen a cubrir el programa completo de la
gestión de la seguridad. En la figura siguiente se muestra la interacción que estos
procesos tienen entre sí.
Establecer un proceso de
Establecer un proceso de
respuesta a incidentes de
gestión de riesgos de seguridad
seguridad
Establecer procesos de :
- Monitorización de la seguridad
- Auditoria
77. Es única para todos los sistemas de la organización. Para los sistemas clasificados
tendrá como referencia el presente documento y la normativa derivada.
78. Cada organismo que desarrolle e implante sistemas realizará su gestión de riesgos de
acuerdo a unos criterios comunes proporcionados por la Autoridad de Acreditación.
Se empleará la metodología MAGERIT y las herramientas que la soporten para
realizar este proceso.
81. La gestión de riesgos de seguridad se desarrolla de forma cíclica. El ciclo de vida del
proceso consta de cuatro fases:
− Fase 1: Evaluación del riesgo. Identificar y priorizar los riesgos.
− Fase 2: Selección de controles de seguridad.
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-001 v3.0 Seguridad de las TIC que manejan información nacional clasificada en la Administración
Medida de la
efectividad del Evaluación
programa del reisgo
87. El Proceso de Respuesta ante Incidentes define la forma en la que son comunicados
los incidentes de seguridad y las actividades derivadas. Los objetivos del proceso
son:
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-001 v3.0 Seguridad de las TIC que manejan información nacional clasificada en la Administración
88. El proceso de respuesta a incidentes debe asegurar que todos los miembros de la
organización son completamente conscientes de las acciones que deben tomar
cuando ocurre un incidente de seguridad.
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-001 v3.0 Seguridad de las TIC que manejan información nacional clasificada en la Administración
97. Las marcas o etiquetas (en adelante marcas) empleadas para la identificación de estos
soportes deberán adaptarse a las características físicas de los mismos y deberán
reflejar el mayor grado de clasificación de la información que contienen los soportes
sobre los que se apliquen.
98. La colocación de las marcas sobre los soportes se realizará de forma que permita la
mayor visibilidad de las mismas.
99. Se llevará a cabo un inventario anual de los soportes que hayan almacenado
información nacional clasificada de grado RESERVADO o SECRETO, y se
establecerán controles periódicos para comprobar su presencia así como su
contenido.
100. Los soportes que hayan almacenado información nacional clasificada de grado
RESERVADO o SECRETO, no podrán ser desclasificados ni reutilizados para el
almacenamiento de información nacional clasificada con otro grado de clasificación
inferior. Por tanto, una vez finalizado su ciclo de vida, deberá procederse a su
destrucción según el procedimiento establecido.
101. Los soportes que hayan almacenado información nacional clasificada con un grado
de clasificación CONFIDENCIAL, o inferior, podrán ser reutilizados como soportes
de información de grado inferior al que contenían, siempre y cuando se proceda a su
Centro Criptológico Nacional 20
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-001 v3.0 Seguridad de las TIC que manejan información nacional clasificada en la Administración
desclasificación previa según el procedimiento que se establezca. De no poder
desclasificarse, se procederá a su destrucción según el procedimiento establecido.
106. Los Sistemas propiedad de contratistas que vayan a manejar información nacional
clasificada CONFIDENCIAL o superior, deberán ser acreditados mediante los
mismos procedimientos, y aplicando la misma normativa, que los Sistemas de la
Administración. En su defecto, la AA/ADA deberá autorizarlos expresamente y
establecer las directrices bajo las que podrán manejar información nacional
clasificada CONFIDENCIAL o de grado superior.
9. SEGURIDAD CRIPTOLÓGICA
107.Los Sistemas que manejen información nacional clasificada DIFUSIÓN LIMITADA
o superior, y utilicen mecanismos de cifra para su protección, deberán hacer uso de
productos de cifra con certificación criptológica de acuerdo al grado de clasificación
de la información a proteger.
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-001 v3.0 Seguridad de las TIC que manejan información nacional clasificada en la Administración
109.Aquellos Organismos en los que se requiera el empleo de material de cifra para la
protección de la información clasificada, deberán establecer una estructura para el
control y el registro de todo el material de cifra utilizado y disponer del personal con
la formación adecuada, de acuerdo a lo que establezca la normativa correspondiente.
110.La seguridad criptológica debe ser evaluada periódicamente, dado que su grado de
eficacia no es estático, sino que varía a lo largo del tiempo en función del nivel de
desarrollo de la tecnología, especialmente aquella asociada al criptoanálisis.
115. Se deberán implantar medidas de seguridad para la protección de todo Sistema que
maneje información clasificada contra los fenómenos de radiación electromagnética
no deseada. Estas medidas serán proporcionales al grado de clasificación de la
información que se maneja y al nivel de riesgo de explotación existente en el entorno
de operación.
117. Los locales y plataformas donde se ubiquen sistemas que procesen información
clasificada CONFIDENCIAL o superior deberán disponer de los certificados
ZONING y TEMPEST correspondientes.
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-001 v3.0 Seguridad de las TIC que manejan información nacional clasificada en la Administración
técnicas de los equipos y en la atenuación de las instalaciones donde se encuentran
ubicados.
122. La Seguridad de las emisiones de un local debe ser evaluada periódicamente o tras
alguna modificación del mismo, que pueda alterar su comportamiento desde el punto
de vista de la atenuación proporcionada.
124. Los requisitos TEMPEST de equipos, locales y plataformas se deben tener en cuenta
durantes las fases de selección, desarrollo, operación, mantenimiento y, en su caso,
en la fase de modificación.
11. CERTIFICACIÓN
125.Para la acreditación de un Sistema podrá ser necesario que los productos y elementos
de las TIC que lo componen estén certificados.
127.Según los criterios en los que se base el proceso de evaluación, es decir, según los
aspectos de seguridad que se evalúen, la certificación del producto o sistema de las
TIC podrá ser funcional, criptológica o TEMPEST (según su grado de protección
contra las emanaciones no deseadas).
128.Cuando las condiciones bajo las que se ha certificado un producto o sistema sufran
alguna modificación (por mantenimiento, actualización, cambio de amenazas, etc.)
podrá ser necesario la re-certificación del producto o sistema.
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-001 v3.0 Seguridad de las TIC que manejan información nacional clasificada en la Administración
11.1. CERTIFICACIÓN FUNCIONAL
137.La ACC sólo atenderá las solicitudes de certificación que cumplan alguno de los
siguientes criterios:
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-001 v3.0 Seguridad de las TIC que manejan información nacional clasificada en la Administración
141.Aquellas instalaciones, ya sean fijas o móviles, en las que se ubiquen Sistemas de las
TIC que manejen información nacional clasificada CONFIDENCIAL o superior,
deberán disponer del correspondiente certificado de que la instalación local cumple
las medidas TEMPEST necesarias.
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-001 v3.0 Seguridad de las TIC que manejan información nacional clasificada en la Administración
12. RESPONSABILIDADES
149.Para conseguir una seguridad efectiva y completa en los Sistemas clasificados, es
imprescindible que se delimiten las funciones y se definan las responsabilidades de
quienes los utilizan y gestionan.
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-001 v3.0 Seguridad de las TIC que manejan información nacional clasificada en la Administración
156. Sus funciones son:
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-001 v3.0 Seguridad de las TIC que manejan información nacional clasificada en la Administración
12.4. AUTORIDAD DELEGADA DE ACREDITACIÓN (ADA)
163. Será designada por el responsable del Organismo propietario del Sistema y su
nombramiento será comunicado a la AA o ADA, correspondiente.
164. La AOSTIC podrá establecer una estructura de seguridad del Sistema, como apoyo
para la realización de sus funciones.
13. REGISTRO
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-001 v3.0 Seguridad de las TIC que manejan información nacional clasificada en la Administración
166. Las ADA,s deberán mantener, igualmente, un Registro de Sistemas Acreditados bajo
su responsabilidad. Estas ADA,s remitirán semestralmente una actualización de sus
propios registros a la AA, según se establezca en el procedimiento correspondiente.
14.1. FORMACIÓN
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-001 v3.0 Seguridad de las TIC que manejan información nacional clasificada en la Administración
14.2. CONCIENCIACIÓN
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-001 v3.0 Seguridad de las TIC que manejan información nacional clasificada en la Administración
179. El objetivo principal del equipo de respuesta a incidentes del CCN (CCN-CERT) es
contribuir a la mejora del nivel de seguridad de los sistemas de información
(clasificados o no) de las Administraciones Públicas (AA.PP.) de España.
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-001 v3.0 Seguridad de las TIC que manejan información nacional clasificada en la Administración
186. El desarrollo normativo se desglosará en los siguientes tipos de documentos:
− Procedimientos STIC
− Normas STIC
− Instrucciones Técnicas STIC
− Guías STIC
− Informes Técnicos
− Alertas de seguridad
187. Los Procedimientos STIC establecerán el marco común de actuación en los procesos
de acreditación y certificación de las TIC así como en cualquier otro proceso
relacionado con la seguridad de las TIC. Estos procedimientos serán sancionados y
publicados por la AA.
188. Las Normas STIC serán reglas generales que deben seguirse, o a las que se deben
ajustar las conductas, tareas o actividades de las personas y organizaciones en
relación con la protección de la información clasificada cuando es manejada por un
Sistema. Establecerán las directrices para la redacción de la documentación de
seguridad, para la realización de análisis de riesgos, o para cualquier otra actividad
que se considere necesaria en relación con la seguridad de las TIC. Serán
responsabilidad de la Autoridad emisora y vinculantes dentro del ámbito que
compete a cada Autoridad.
190. Las Guías STIC son recomendaciones o informaciones relativas a temas concretos de
STIC, y estarán basadas generalmente en una o más Instrucciones previas. Estas
guías establecerán las configuraciones mínimas de seguridad de los diferentes
elementos de un Sistema, recomendaciones de uso, u otro tipo de recomendaciones.
191. Los Informes Técnicos son documentos de carácter técnico que recogen el resultado
y las conclusiones de un estudio o de una evaluación.
192. Las Alertas de Seguridad son documentos de carácter técnico que recogen amenazas
y vulnerabilidades a sistemas CIS. Son responsabilidad de los equipos de respuesta
ante incidentes de seguridad.
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-001 v3.0 Seguridad de las TIC que manejan información nacional clasificada en la Administración
COSMIC TOP
SECRETO TRES SECRET UE
SECRET
NATO
CONFIDENCIAL CONDIFENTIEL UE
CONFIDENTIAL
ALTO
MEDIO (2)
(1)
Reglamento de aplicación de la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal.
(2)
Existe un nivel intermedio de aplicación entre los niveles básico y medio.
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-001 v3.0 Seguridad de las TIC que manejan información nacional clasificada en la Administración
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-001 v3.0 Seguridad de las TIC que manejan información nacional clasificada en la Administración
Tabla 2. Protección de información nacional clasificada con equipos de cifra certificados por
OTAN.
NATO RESTRICTED Sí Sí Sí Sí
NATO CONFIDENTIAL Sí Sí Sí
NATO SECRET
COSMIC TOP SECRET
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-001 v3.0 Seguridad de las TIC que manejan información nacional clasificada en la Administración
Situación alcanzada por los Sistemas que hayan superado con éxito
Acreditación
el proceso de acreditación.
Son los recursos del Sistema, o relacionados con éste, necesarios
Activos
para que la Organización funcione correctamente y alcance los
objetivos propuestos por su Dirección.
Cualquier circunstancia o evento que puede explotar,
Amenaza
intencionadamente o no, una vulnerabilidad específica en un Sistema
de las TIC resultando en una pérdida de confidencialidad, integridad
o disponibilidad de la información manejada o de la integridad o
disponibilidad del propio Sistema.
Es el proceso por el cuál se identifican y valoran los riesgos.
Análisis de riesgos
Autoridad responsable de conceder la autorización a un Sistema para
Autoridad de Acreditación (AA)
manejar información clasificada hasta un grado determinado, o en
unas determinadas condiciones de integridad o disponibilidad, con
arreglo a su concepto de operación.
Autoridad responsable de la evaluación y certificación de productos
Autoridad de Certificación Criptológica
y Sistemas (de tecnologías de la información y telecomunicaciones)
(ACC)
que incorporen mecanismos criptológicos.
Autoridad en la que ha delegado la Acreditación la AA, y que es
Autoridad Delegada Acreditación (ADA)
responsable de la aplicación de la normativa de acreditación vigente.
Autoridad responsable del desarrollo, la operación y mantenimiento
Autoridad Operativa del Sistema de las
del Sistema durante su ciclo de vida, de sus especificaciones, de su
Tecnologías de la Información y las
instalación y de la verificación de su correcto funcionamiento.
Comunicaciones (AOSTIC)
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-001 v3.0 Seguridad de las TIC que manejan información nacional clasificada en la Administración
Declaración de Requisitos de Seguridad Documento base para la acreditación. Consiste en una exposición
(DRES). completa y detallada de los principios de seguridad que deben
observarse y de los requisitos de seguridad que se han de implantar.
En su caso, será conforme al análisis de riesgos realizado
previamente (en base a la política de seguridad vigente).
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-001 v3.0 Seguridad de las TIC que manejan información nacional clasificada en la Administración
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-001 v3.0 Seguridad de las TIC que manejan información nacional clasificada en la Administración
AA Autoridad de Acreditación.
ACC Autoridad de Certificación Criptológica
ADA Autoridad Delegada de Acreditación.
AGR Análisis y Gestión de Riesgos.
AOSTIC Autoridad Operativa del Sistema de las Tecnologías de la Información y las Comunicaciones.
CC Common Criteria
CCN Centro Criptológico Nacional.
CEM Common Evaluation Methodology.
CIS Communication and Information System.
CNI Centro Nacional de Inteligencia.
CO Concepto de Operación.
DVD Digital Video Disk.
Digital Versatile Disk.
INFOSEC Electronic Information Security.
LOPD Ley Orgánica de Protección de Datos de Carácter Personal.
LSO Ley de Secretos Oficiales.
O.M. Orden Ministerial.
OTAN Organización del Tratado del Atlántico Norte.
PDA Personal Digital Assistant.
R.D. Real Decreto.
Sistema Sistema de las Tecnologías de la Información y las Comunicaciones.
STIC Seguridad de las Tecnologías de la Información y las Comunicaciones.
TEMPEST TEMPorary Emanations and Spurious Transmission.
TI Tecnologías de la Información.
TIC Tecnologías de la Información y las Comunicaciones.
UE Unión Europea.
USB Universal Serial Bus.
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-001 v3.0 Seguridad de las TIC que manejan información nacional clasificada en la Administración
ANEXO D. REFERENCIAS
[Ref.- 1] Ley 9/1968, de 5 de abril, modificada por la Ley 48/78, de 7 de octubre sobre Secretos Oficiales.
[Ref.- 2] Decreto 242/1969, de 20 de febrero, por el que se desarrollan las disposiciones de la Ley 9/1968, de 5
de Abril, sobre Secretos Oficiales.
[Ref.- 3] Constitución Española.
[Ref.- 4] Orden Ministerial Comunicada 1/1982, de 25 de enero, por la que se aprueban las “Normas para la
Protección de la Documentación y Material Clasificado”.
[Ref.- 5] Acuerdo del Consejo de Ministros 28 de noviembre de 1986.
[Ref.- 6] Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
[Ref.- 7] Real Decreto 994/1999, de 11 de junio, por el que se aprueba el Reglamento de medidas de seguridad
de los ficheros automatizados que contengan datos de carácter personal.
[Ref.- 8] Orden Ministerial Comunicada número 17/2001, de 29 de enero, por la que se aprueba el Manual de
Protección de Materias Clasificadas del Ministerio de Defensa en poder de las empresas.
[Ref.- 9] Orden Ministerial 76/2002, de 18 de abril, por la que se establece la “Política de Seguridad para la
Protección de la Información del Ministerio de Defensa almacenada, procesada, procesada o
transmitida por sistemas de información y telecomunicaciones.
[Ref.- 10] Ley 11/2002 reguladora del Centro Nacional de Inteligencia de 6 de Mayo de 2002.
[Ref.- 11] Real Decreto 421/2004, de 12 de marzo, por el que se regula el Centro Criptológico Nacional.
[Ref.- 12] CCN-STIC-002. Coordinación Criptológica.
[Ref.- 13] CCN-STIC-003. Uso de Cifradores Certificados.
[Ref.- 14] UNE-ISO/IEC 17799:2002. Tecnología de la Información. Código de buenas prácticas para la
Gestión de la Seguridad de la Información.
[Ref.- 15] MAGERIT – versión 2. Metodología de Análisis y Gestión de Riesgos de los Sistemas de
Información. Ministerio de Administraciones Públicas (MAP).
[Ref.- 16] C-M(2002)49. “Security within The North Atlantic Treaty Organisation (NATO)”.
[Ref.- 17] AC/35-D/2004. Primary Directive on INFOSEC. 17 June 2002.
AC/322-D/0052.
[Ref.- 18] AC/35-D/2005. INFOSEC Management Directive for Communication and Information Systems
(CIS).
[Ref.- 19] 2001/264/CE. Decisión del Consejo de 19 de marzo de 2001 por la que se adoptan las normas de
seguridad del Consejo.
[Ref.- 20] Propuesta de Decisión marco 2002/C 203 E/16 de 19 de abril de 2002, relativa a los ataques de los
que son objeto los sistemas de información.
[Ref.- 21] 2004/194/CE. Decisión del Consejo de 10 de febrero de 2004 que modifica la Decisión 2001/264/CE
por la que se adoptan las normas de seguridad del Consejo.
[Ref.- 22] FIPS PUB 199. Standards for Security Categorization of Federal Information and Information
Systems. December 2003.
SIN CLASIFICAR