001-Seguridad de Las TIC en La Administr - Desconocido

SIN CLASIFICAR
POLÍTICA DE SEGURIDAD DE LAS TIC

(CCN-STIC-001)
SEGURIDAD DE LAS TECNOLOGÍAS DE
LA INFORMACIÓN Y LAS
COMUNICACIONES QUE MANEJAN
INFORMACIÓN NACIONAL CLASIFICADA
EN LA ADMINISTRACIÓN
DICIEMBRE 2006
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-001 v3.0 Seguridad de las TIC que manejan información nacional clasificada en la Administración
Edita:
 Editor y Centro Criptológico Nacional, 2006

NIPO: 076-06-261-8
Tirada: 1000 ejemplares

Fecha de Edición: diciembre de 2006
LIMITACIÓN DE RESPONSABILIDAD
El presente documento se proporciona tal cual, rechazando expresamente cualquier tipo de garantía implícita que se
pueda encontrar relacionada. En ningún caso, el Centro Criptológico Nacional puede ser considerado responsable
del daño directo, indirecto, fortuito o extraordinario derivado de la utilización de la información y software que se
indican incluso cuando se advierta de tal posibilidad.
AVISO LEGAL
Quedan rigurosamente prohibidas, sin la autorización escrita del Centro Criptológico Nacional, bajo las sanciones
establecidas en las leyes, la reproducción parcial o total de este documento por cualquier medio o procedimiento,
comprendidos la reprografía y el tratamiento informático, y la distribución de ejemplares del mismo mediante alquiler
o préstamo públicos.
Centro Criptológico Nacional i
SIN CLASIFICAR
SIN CLASIFICAR
PRÓLOGO
Entre los elementos más característicos del actual escenario nacional e internacional figura el
desarrollo alcanzado por las Tecnologías de la Información y las Comunicaciones (TIC), así como
los riesgos emergentes asociados a su utilización. Como la Administración no es ajena a este
escenario, para garantizar su funcionamiento eficaz al servicio del ciudadano y de los intereses
nacionales, es necesario que el desarrollo, adquisición, conservación y utilización de las TIC, en
su ámbito, se realicen de forma segura.
Partiendo del conocimiento y la experiencia del Centro Nacional de Inteligencia sobre amenazas y
vulnerabilidades en materia de riesgos emergentes, la Ley 11/2002, de 6 de mayo, encomienda a
este Centro el ejercicio de las funciones relativas a la seguridad de las tecnologías de la
información y a la protección de la información clasificada, a la vez que confiere a su Secretario
de Estado Director la responsabilidad de dirigir el Centro Criptológico Nacional.
Como desarrollo de la citada Ley 11/2002, el Real Decreto 421/2004, de 12 de marzo, asigna al
Centro Criptológico Nacional, como una de sus funciones más destacables, la de elaborar y
difundir normas, instrucciones, guías y recomendaciones para garantizar la seguridad de los
sistemas de tecnologías de la información y comunicaciones de la Administración.
La serie de documentos CCN-STIC se ha elaborado para dar cumplimiento a esta función,

considerando la importancia que tiene el establecimiento de un marco de referencia en esta
materia que sirva de apoyo al personal de la Administración en la difícil y, en ocasiones, ingrata
tarea de proporcionar seguridad a los sistemas de las TIC bajo su responsabilidad.
Diciembre de 2006
Centro Criptológico Nacional ii
SIN CLASIFICAR
SIN CLASIFICAR
ÍNDICE
1. ANTECEDENTES......................................................................................................................5
2. INTRODUCCIÓN ......................................................................................................................6
3. OBJETO ......................................................................................................................................7
4. ALCANCE ..................................................................................................................................7
5. CONCEPTOS GENERALES .....................................................................................................7
5.1. INFORMACIÓN NACIONAL CLASIFICADA ..................................................................7
5.2. SEGURIDAD DE LA INFORMACIÓN...............................................................................9
6. PRINCIPIOS DE SEGURIDAD GENERALES ......................................................................11
7. SEGURIDAD DEL ENTORNO DE OPERACIÓN.................................................................12
7.1. DE SEGURIDAD LIGADA AL PERSONAL ....................................................................12
7.2. DE SEGURIDAD FÍSICA...................................................................................................12
7.3. DE SEGURIDAD DE LOS DOCUMENTOS.....................................................................13
8. SEGURIDAD DE LAS TIC .....................................................................................................13
8.1. PRINCIPIOS DE SEGURIDAD..........................................................................................13
8.2. MODOS SEGUROS DE OPERACIÓN..............................................................................14
8.3. ACTIVIDADES DE SEGURIDAD EN EL CICLO DE VIDA..........................................15
8.4. ACREDITACIÓN DE SEGURIDAD .................................................................................15
8.5. SERVICIOS DE SEGURIDAD EN SISTEMAS ACREDITADOS...................................15
8.6. INTERCONEXIÓN DE SISTEMAS ..................................................................................16
8.7. FUNCIONES CRÍTICAS DE SEGURIDAD. GESTIÓN Y ADMINISTRACIÓN...........16
8.7.1. GESTIÓN DE SEGURIDAD ...........................................................................17
8.7.1.1.POLÍTICA DE SEGURIDAD DE LA ORGANIZACIÓN ...................................................17
8.7.1.2.GESTIÓN DE RIESGOS DE SEGURIDAD.........................................................................17
8.7.1.3.MONITORIZACIÓN / AUDITORIA DE SEGURIDAD .....................................................18
8.7.1.4.CAPACIDAD DE RESPUESTA A INCIDENTES DE SEGURIDAD ................................18
8.7.2. ADMINISTRACIÓN DE SEGURIDAD..........................................................19
8.8. ASPECTOS GENERALES INFOSEC................................................................................20
8.8.1. SOPORTES DE ALMACENAMIENTO EXTRAÍBLES ................................20
8.8.2. DISPOSITIVOS PORTÁTILES .......................................................................21
8.8.3. RECURSOS DE PROPIEDAD PARTICULAR O DE CONTRATISTAS .....21
9. SEGURIDAD CRIPTOLÓGICA .............................................................................................21
10. SEGURIDAD DE LAS EMANACIONES ELECTROMAGNÉTICAS..................................22
11. CERTIFICACIÓN ....................................................................................................................23
11.1. CERTIFICACIÓN FUNCIONAL .......................................................................................24
11.2. CERTIFICACIÓN CRIPTOLÓGICA .................................................................................24
11.3. CERTIFICACIÓN TEMPEST.............................................................................................25
12. RESPONSABILIDADES .........................................................................................................26
12.1. AUTORIDAD DE ACREDITACIÓN (AA) .......................................................................26
12.2. AUTORIDAD DE CERTIFICACIÓN CRIPTOLÓGICA (ACC) ......................................27
12.3. AUTORIDAD DE CERTIFICACIÓN TEMPEST (ACT)..................................................27
12.4. AUTORIDAD DELEGADA DE ACREDITACIÓN (ADA)..............................................28
12.5. AUTORIDAD OPERATIVA DEL SISTEMA DE LAS TIC (AOSTIC) ...........................28
13. REGISTRO ...............................................................................................................................28
13.1. DE SISTEMAS ACREDITADOS.......................................................................................28
13.2. DE PRODUCTOS O SISTEMAS CON CERTIFICACIÓN FUNCIONAL ......................29
Centro Criptológico Nacional iii
SIN CLASIFICAR
SIN CLASIFICAR
13.3. DE PRODUCTOS CON CERTIFICACIÓN CRIPTOLÓGICA ........................................29
13.4. DE PRODUCTOS Y LOCALES CON CERTIFICACIÓN DE LA SEGURIDAD DE LAS
EMANACIONES.................................................................................................................29
14. FORMACIÓN Y CONCIENCIACIÓN....................................................................................29
14.1. FORMACIÓN......................................................................................................................29
14.2. CONCIENCIACIÓN ...........................................................................................................30
15. RESPUESTA ANTE INCIDENTES DE SEGURIDAD..........................................................30
15.1. RESPUESTA A INCIDENTES PARA LA ADMINISTRACIÓN .....................................31
15.2. PROMOCIÓN DE LA CAPACIDAD RESPUESTA A INCIDENTES.............................31
16. DESARROLLO NORMATIVO ...............................................................................................31
ANEXOS
ANEXO A. GUÍA DE EQUIVALENCIAS ENTRE GRADOS DE CLASIFICACIÓN DE LA

INFORMACIÓN ........................................................................................................33
ANEXO B. PROTECCIÓN DE LA INFORMACIÓN COMPARTIDA CON OTROS ESTADOS
U ORGANISMOS ......................................................................................................34
ANEXO C. GLOSARIO DE TÉRMINOS Y ABREVIATURAS ................................................36
ANEXO D. REFERENCIAS .........................................................................................................40
TABLAS
Tabla 1. Guía de equivalencias entre grados de clasificación de la información.......................................... 33
Tabla 2. Protección de información nacional clasificada con equipos de cifra certificados por OTAN....... 35
Tabla 3. Protección de información OTAN clasificada con equipos de cifra nacionales certificados.......... 35
Centro Criptológico Nacional iv
SIN CLASIFICAR
SIN CLASIFICAR
1. ANTECEDENTES
1. La Ley 9/1968 de 5 de abril sobre Secretos Oficiales (LSO), modificada por la Ley
48/1978 de 7 de octubre, y el Decreto 242/1969, que la desarrolla, fueron redactados
cuando el uso de las TIC estaba mucho menos extendido que hoy día y, quizá por
esto mismo, el valor de la información tampoco era comparable al que ha llegado a
alcanzar en la sociedad actual.
2. Sin embargo, además de su plena vigencia legal, la LSO incluye principios de gran
interés. Entre otros aspectos establece que para transmitir información clasificada se
deben utilizar medios de cifra adecuados. También señala que la información
clasificada debe ser protegida como tal, independientemente del soporte en el que se
encuentre.
3. Por otra parte, la Ley 11/2002, de 6 de mayo, reguladora del Centro Nacional de
Inteligencia (CNI), establece el objetivo, el ámbito y las actividades de dicho centro.
4. Según el artículo 4.e de esta Ley, una de sus funciones es la de “Coordinar la acción
de los diferentes organismos de la Administración que utilicen medios o
procedimientos de cifra, garantizar la seguridad de las Tecnologías de la
Información en ese ámbito, informar sobre la adquisición coordinada de material
criptológico y formar al personal, propio o de otros servicios de la Administración,
especialista en este campo para asegurar el adecuado cumplimiento de las misiones
del Centro”. Es importante destacar que el ámbito de competencia es la
Administración y que se señalan los fines concretos de garantizar la seguridad de las
Tecnologías de la Información y las Comunicaciones (TIC) y la coordinación en el
uso de medios y procedimientos de cifra.
5. El artículo 4.f de la citada Ley señala asimismo que el CNI debe “Velar por el
cumplimiento de la normativa relativa a la información clasificada”.
6. Por último, el Real Decreto 421/2004, de 12 de marzo, por el que se regula el Centro
Criptológico Nacional (CCN) asigna a este centro las responsabilidades señaladas en
los artículos 4.e. y 4.f. de la Ley 11/2002 aunque, en este último caso,
exclusivamente en el ámbito de la normativa relativa a la información clasificada
cuando ésta es manejada por las TIC.
7. En concreto, las funciones que el Real Decreto asigna al CCN son:
a) Elaborar y difundir normas, instrucciones, guías y recomendaciones para

garantizar la seguridad de los sistemas de las tecnologías de la información y las
comunicaciones de la Administración. Las acciones derivadas del desarrollo de
esta función serán proporcionales a los riesgos a los que esté sometida la
información procesada, almacenada o transmitida por los sistemas.
b) Formar al personal de la Administración especialista en el campo de la seguridad

de los sistemas de las tecnologías de la información y las comunicaciones
Centro Criptológico Nacional 5
SIN CLASIFICAR
SIN CLASIFICAR
c) Constituir el organismo de certificación del Esquema nacional de evaluación y
certificación de la seguridad de las tecnologías de información, de aplicación a
productos y sistemas en su ámbito.
d) Valorar y acreditar la capacidad de los productos de cifra y de los sistemas de las

tecnologías de la información, que incluyan medios de cifra, para procesar,
almacenar o transmitir información de forma segura.
e) Coordinar la promoción, el desarrollo, la obtención, la adquisición y puesta en

explotación y la utilización de la tecnología de seguridad de los sistemas antes
mencionados.
f) Velar por el cumplimiento de la normativa relativa a la protección de la

información clasificada en su ámbito de competencia.
g) Establecer las necesarias relaciones y firmar los acuerdos pertinentes con

organizaciones similares de otros países, para el desarrollo de las funciones
mencionadas.
2. INTRODUCCIÓN
8. Los sistemas que manejan cualquier tipo de datos (información) en formato
electrónico reciben indistintamente las denominaciones de “Tecnologías de la
Información y las Comunicaciones (TIC)”, “Tecnologías de la Información (TI)”,
“Sistemas de Información” o, en terminología inglesa, “Communications and
Information Systems (CIS)”. Estos conceptos quedan englobados en el término
genérico “Sistema”, que se define como el conjunto de equipos y programas
(hardware y software), métodos, procedimientos y personal, organizado de tal forma
que permita almacenar, procesar o transmitir información, y que está bajo la
responsabilidad de una única autoridad.
9. El desarrollo de la llamada Sociedad de la Información implica que, cada vez más, la

información se transmite, se procesa o se almacena (se maneja) en algún momento en
un Sistema. Esto, unido al hecho de que los Sistemas son capaces de manejar mayor
cantidad de información en menos tiempo, ha contribuido a conferir mayor
importancia a la información propiamente dicha, que es considerada como un valor
en sí misma.
10. Como tal valor, la información manejada en un Sistema puede estar sometida a
distintos tipos de amenazas que van a introducir, en su manejo, un determinado nivel
de riesgo.
11. Así, existe riesgo cuando se transmite información por un canal de comunicaciones
porque alguien no autorizado podría estar interesado en conocerla (amenaza) y el
canal de comunicaciones tiene vulnerabilidades (un canal de comunicaciones es, en
la mayoría de los casos, intrínsecamente inseguro).
12. También se introduce un nuevo factor de riesgo con la interconexión entre Sistemas.
Aunque esto permite que la información sea accesible desde un sistema aunque
SIN CLASIFICAR
SIN CLASIFICAR
físicamente esté almacenada en otro, este acceso se produce, en ocasiones, sin que el
propietario de la información tenga conciencia de ello, amenazando la
confidencialidad, disponibilidad o integridad de la información. La implantación
generalizada de las redes corporativas y el uso de Internet han contribuido a
empeorar la situación en este sentido.
13. Otro factor a considerar es que los equipos eléctricos y electrónicos, que componen
un Sistema, pueden producir emisiones electromagnéticas no deseadas que,
detectadas y analizadas con los medios adecuados, pueden llevar a la obtención de
información.
14. Por todo ello, se hace necesario el establecimiento de unos principios básicos y la
definición de unos requisitos mínimos de seguridad que permitan la adecuada
protección de la información nacional clasificada manejada en los Sistemas de la
Administración.
3. OBJETO
15. Establecer los principios básicos y definir los requisitos mínimos que sirvan de
marco de referencia para la adecuada protección de la información clasificada
manejada en los Sistemas de la Administración.
16. Realizar el desarrollo de las actividades expresadas en el el Real Decreto 421/2004,

de 12 de marzo, por el que se regula el Centro Criptológico Nacional (CCN).
4. ALCANCE
17. Esta Política es de aplicación a todos los Sistemas que manejen información nacional
clasificada en la Administración.
18. Los responsables de Sistemas de la Administración que manejen información no

clasificada podrán hacer uso voluntario de este documento.
5. CONCEPTOS GENERALES
5.1. INFORMACIÓN NACIONAL CLASIFICADA
19. Los artículos 23.1 y 105 b) de la Constitución establecen el principio de que una
participación ciudadana responsable de los asuntos públicos exige una necesaria
información, principio que sólo encuentra excepciones en los casos en que sea
necesario proteger la seguridad y defensa del Estado, la averiguación de los delitos y
la intimidad de las personas.
20. El imperativo de proteger la seguridad y defensa del Estado conlleva la necesidad de

restringir aquella información que, por su importancia, pudiera dar lugar a riesgo o
SIN CLASIFICAR
SIN CLASIFICAR
perjuicio graves en el supuesto de ser divulgada o comunicada a personas no
autorizadas.
21. Según la Ley 9/1968 la información nacional puede ser clasificada con el grado de
SECRETO o con el de RESERVADO, siendo el primero de ellos superior al
segundo, es decir, con unos requisitos de protección más estrictos debido a su mayor
importancia.
22. Asimismo, dicha Ley señala que “El personal que sirva en la Administración del
Estado y en las Fuerzas Armadas estará obligado a cumplir cuantas medidas se hallen
previstas para proteger las materias clasificadas”.
23. El Decreto 242/1969, por el que se desarrolla lo dispuesto en la Ley anterior,

especifica, entre otros, los siguientes aspectos:
− los responsables de la protección de las materias clasificadas deberán asegurar el

adecuado tratamiento de las materias clasificadas y mantener el control o registro
de dichas materias.
− la posesión o uso de información o material clasificados estará limitado a lugares

donde se disponga de instalaciones para su almacenaje y segura protección, y a los
cuales no pueden tener acceso otras personas que no sean las que, de manera
fehaciente, hayan sido autorizadas para ello.
− la transmisión del material clasificado se hará “… por medios de transmisión en

forma cifrada”.
24. El Acuerdo de Ministros de 28 de Noviembre de 1986 amplía esta protección a toda

información derivada de los tratados y acuerdos internacionales válidamente
celebrados por España que, una vez publicados oficialmente, se incorporan al
ordenamiento jurídico español, en virtud de lo dispuesto en el artículo 96 de la
Constitución.
25. Una de las consecuencias de lo anterior, tras la adhesión de España al Tratado del
Atlántico Norte (OTAN) y a la Unión Europea y la consecuente adopción de las
normas de seguridad de ambas organizaciones, es la ampliación de los grados de
clasificación de la información con los de CONFIDENCIAL y DIFUSIÓN
LIMITADA, en orden decreciente y, a su vez, ambos inferiores a los ya existentes de
SECRETO y RESERVADO.
26. Determinados Ministerios, en virtud de las especiales características de todo orden

que concurren en el normal desenvolvimiento de su función y de lo dispuesto en el
RD 242/1969, también han introducido en su ámbito, mediante normativa interna, los
grados de clasificación CONFIDENCIAL y DIFUSIÓN LIMITADA.
27. Por tanto, en la Administración es posible encontrar información nacional clasificada

con uno de los cuatro grados señalados anteriormente.
SIN CLASIFICAR
SIN CLASIFICAR
28. A los efectos de la aplicación de la presente Política STIC y la normativa derivada se
considera información nacional clasificada la etiquetada con alguno de los siguientes
grados de clasificación, en orden decreciente de importancia:
− SECRETO
− RESERVADO
− CONFIDENCIAL
− DIFUSIÓN LIMITADA
− SIN CLASIFICAR
29. En el Anexo A se encuentra, con carácter orientativo, un cuadro de equivalencias
entre los grados de clasificación de diferentes ámbitos.
30. Aquellos Organismos que dispongan de información que, no pudiendo ser clasificada
con ninguno de los grados anteriores, requiera cierta protección, por ser de carácter
sensible o de uso interno, podrán regular mediante normativa interna la introducción,
en su ámbito, de la categoría SIN CLASIFICAR o DIFUSION LIMITADA según el
nivel de protección requerido.
31. Se considera conveniente que se apliquen los requisitos de seguridad establecidos

para la categoría de DIFUSIÓN LIMITADA en los Sistemas de Organismos de la
Administración que manejen información de carácter sensible o de uso interno.
5.2. SEGURIDAD DE LA INFORMACIÓN
32. La primera tarea que debería hacer cualquier organización que considere que debe
emplear recursos en seguridad es definir cuidadosamente los bienes o activos que
dicha organización valora como críticos. Sólo se requiere seguridad si realmente
existe un activo valioso que se deba proteger.
33. Se puede hacer una clasificación de “tipos” de seguridad en función de los tipos de
activos que se deben proteger en una organización:
− Seguridad de las personas (Personnel Safety, en terminología inglesa).

− Seguridad de las instalaciones.
− Seguridad de las actividades.
− Seguridad de la información.
34. La seguridad de la información está orientada a garantizar o mantener tres cualidades
propias de esta última: disponibilidad, integridad y, confidencialidad. En algunos
entornos, especialmente en los dedicados a la administración electrónica, pueden
interesar, además, otros aspectos como la autenticidad o la trazabilidad.
35. Aunque la confidencialidad es la cualidad generalmente asociada a la seguridad de la

información, no siempre es necesaria ni tiene que ser la más importante. Es
SIN CLASIFICAR
SIN CLASIFICAR
obligación del propietario de la información determinar y valorar la importancia de
cada una de las características mencionadas.
36. Para garantizar que la información posee y mantiene las cualidades de

disponibilidad, integridad y confidencialidad requeridas tiene que ser adecuadamente
protegida, de forma que se evite que se pierdan o se degraden esas condiciones por
causas accidentales o intencionadas.
37. Otro factor a tener en cuenta cuando se trata de proteger la información es el tipo de
“soporte” en la que ésta se encuentra en cada momento:
− La mente de las personas.

− Los documentos.
− Las TIC.
38. Considerando la clasificación anterior, la seguridad de la información también se
puede dividir en:
− Seguridad ligada al Personal (Personnel Security, en terminología inglesa).

− Seguridad de los Documentos.
− Seguridad de las TIC (STIC), o INFOSEC en terminología inglesa.
39. Para conseguir el óptimo nivel de protección en cada caso, también se deben tener en
cuenta los condicionantes derivados del entorno en el que las TIC operan, donde se
ven involucrados los usuarios de las mismas, los locales en los que se ubican y los
documentos que pueden interoperar con ellas.
40. Por tanto, la STIC, al objeto de conseguir una protección adecuada de la

información, deberá considerar un conjunto equilibrado de medidas de seguridad de
distinta naturaleza (física, de personal, documental, etc.) que permita la creación de
un entorno seguro en el que operen las TIC.
41. Se denomina STIC a la capacidad de los Sistemas para resistir, hasta un determinado
nivel de confianza, accidentes o acciones maliciosas que puedan comprometer la
seguridad de la información que manejan en un entorno dado.
42. Se denomina Política de Seguridad de las TIC (Política STIC) al conjunto de normas,
instrucciones, planes, procedimientos y productos en los que se enmarca la actividad
de la STIC.
SIN CLASIFICAR
SIN CLASIFICAR
6. PRINCIPIOS DE SEGURIDAD GENERALES

43. Esta Política se apoya en los principios de seguridad establecidos para el tratamiento
de la documentación y la información clasificada manejada en los sistemas, y en
concreto en los principios de:
− Clasificación de la información.
− Habilitación/Autorización de seguridad.
− Necesidad de conocer.
− Compartimentación de la información.
− Imputabilidad.
− Equilibrio entre seguridad y eficacia o garantía razonable.
− Segregación de las funciones de administración, administración de seguridad
y supervisión de la seguridad.
44. Los principios de seguridad antes mencionados se identifican los siguientes objetivos
de seguridad para los sistemas CIS:
− Identificar a las personas que acceden a la información manejada por un sistema o

a los recursos del mismo.
− Autenticar a las personas que acceden a la información manejada por un sistema o
a los recursos del mismo.
− Controlar el acceso a la información manejada por un sistema o a los recursos del
mismo.
− Proporcionar confidencialidad a la información manejada por un sistema.
− Proporcionar integridad a la información manejada por un sistema o a los recursos
del mismo.
− Mantener la disponibilidad de la información manejada por un sistema o de los
recursos del mismo.
− No repudio. Proporcionar la prueba de que una determinada transmisión o
recepción ha sido realizada no pudiendo su receptor/transmisor negar que se haya
producido
− Trazabilidad. Proporcionar los controles que determinen en que en todo
momento se podrá determinar quién hizo qué y en qué momento.
45. Por tanto, todos los sistemas que manejan información clasificada deberán satisfacer
estos objetivos de seguridad en la parte que les sea de aplicación.
SIN CLASIFICAR
SIN CLASIFICAR
46. Los objetivos de seguridad a satisfacer se materializarán y verificarán para un
sistema en concreto durante el proceso de Acreditación de la Seguridad de las
Tecnologías de la Información y Comunicaciones.
47. Este proceso, según el nivel de clasificación, verifica que los Sistemas cumplen los
Requisitos de seguridad establecidos en:
− Entorno de Operación
− Sistemas de TIC
− Criptología
− Emanaciones electromagnéticas
7. SEGURIDAD DEL ENTORNO DE OPERACIÓN
7.1. DE SEGURIDAD LIGADA AL PERSONAL
48. La seguridad deberá comprometer a todos los miembros de la organización,

existiendo unos claros responsables de velar por el cumplimiento de la propia
Política STIC y de las normas que de ella se desprendan.
49. La distribución de la información nacional clasificada se llevará a cabo sobre los

principios de necesidad de conocer y de autorización.
50. La autorización para acceder a la información clasificada está establecida en el

Decreto 242/1969 de 20 de febrero por el que se desarrolla la ley 9/1968, sobre
Secretos Oficiales.
51. Todo el personal que necesite acceder, o que por sus obligaciones pueda acceder, a
información nacional clasificada a través de un Sistema, deberá estar
convenientemente concienciado y formado en los distintos aspectos de seguridad, y
poseer la autorización correspondiente. Serán de aplicación los procedimientos
existentes en los diferentes organismos de la Administración que apliquen la
normativa vigente en este aspecto sobre materias clasificadas. Estos procedimientos
deberán haber sido aprobados, previamente a su aplicación, por la Autoridad
correspondiente.
52. Cualquier infracción de seguridad deberá comunicarse a la Autoridad

correspondiente por el medio establecido a tal efecto.
7.2. DE SEGURIDAD FÍSICA
53. Aquellas áreas desde donde se pueda acceder a información nacional clasificada
mediante un Sistema, deberán disponer previamente de las medidas físicas de
protección establecidas en la normativa vigente.
SIN CLASIFICAR
SIN CLASIFICAR
54. Aquellas áreas en las que se ubiquen Sistemas que manejen información nacional
clasificada (RESERVADO-SECRETO), deberán disponer del correspondiente
documento, emitido por la Autoridad correspondiente (según el grado de
clasificación de la información), que certifique que el local cumple las medidas de
seguridad física necesarias.
55. Para los Sistemas que manejen información nacional clasificada CONFIDENCIAL o
de grado inferior, será de aplicación lo previsto en los requisitos establecidos por la
normativa interna de cada Organismo.
7.3. DE SEGURIDAD DE LOS DOCUMENTOS
56. Los documentos que contengan información nacional clasificada RESERVADO o

SECRETO, así como sus soportes informáticos, serán protegidos de acuerdo con lo
establecido en el Decreto 242/1969.
57. Para la protección de los documentos que contengan información nacional

clasificada CONFIDENCIAL o inferior, así como sus soportes informáticos, serán de
aplicación los procedimientos existentes en cada Organismo. Estos procedimientos
deberán haber sido aprobados, previamente a su aplicación, por la Autoridad
correspondiente.
8. SEGURIDAD DE LAS TIC
8.1. PRINCIPIOS DE SEGURIDAD
58. Los principios de seguridad necesarios para cumplir los objetivos de

confidencialidad, integridad y disponibilidad en los sistemas clasificados son:
− Análisis y Gestión del Riesgo. Se realizarán aquellos procesos necesarios de
análisis y gestión de riesgos que permitan monitorizar, reducir, eliminar, evitar o
asumir los riesgos asociados al Sistema.
− Mínima funcionalidad. Solo estarán disponibles las funciones, protocolos y
servicios necesarios para cumplir el requisito operacional o funcional del sistema.
− Mínimo privilegio. Los usuarios de los sistemas que manejen información
clasificada solo dispondrán de los privilegios y autorizaciones que se requieren
para la realización de las obligaciones de su puesto de trabajo.
− Nodo autoprotegido. Cada Sistema interconectado deberá, inicialmente, tratar al
otro Sistema como un entorno no confiable y deberá implementar medidas que
controlen el intercambio de información con el otro Sistema.
− Defensa en Profundidad. Las medidas de protección deberán implementarse en
la medida de lo posible en varios componentes, niveles o capas, y en la máxima
extensión, de manera que no haya una única línea (o componente) de defensa.
SIN CLASIFICAR
SIN CLASIFICAR
− Control de configuración. Se debe mantener una configuración básica del

equipamiento hardware y software en los sistemas clasificados. Establecer con
carácter obligatorio la aplicación de configuraciones de seguridad en las diferentes
tecnologías utilizadas en el Sistema.
− Verificación de la Seguridad. La aplicación de estos principios y su consecuente
implementación en medidas de protección deberá ser inicial y periódicamente
verificada.
− Respuesta ante incidentes. Se debe disponer de una capacidad de respuesta que
permita una rápida reacción ante un incidente de seguridad.
8.2. MODOS SEGUROS DE OPERACIÓN
59. Los Sistemas que manejen información clasificada deben trabajar en lo que se
denominan Modos Seguros de Operación. Dichos modos vienen determinados por la
autorización y la necesidad de conocer de los usuarios, y por el mayor grado de
clasificación de la información manejada en el Sistema.
60. Estos tres aspectos determinan la forma en la que un Sistema que maneje
información nacional clasificada debe llevar a cabo el control de acceso y la
separación de la información. De esta forma se pueden definir los siguientes modos
seguros de operación:
− Dedicado: es aquel en el que todo el personal con acceso al Sistema está

autorizado para acceder al grado más elevado de clasificación de la información
manejada en el Sistema, y además posee la misma necesidad de conocer. La
separación de los datos no es un requisito del Sistema.
− Unificado al nivel superior: es aquel en el que todo el personal con acceso al

Sistema está autorizado para acceder al grado más elevado de clasificación de la
información manejada en el Sistema, pero no tiene la misma necesidad de
conocer. Dicha necesidad de conocer se establece mediante procesos informales, o
a nivel individual. El Sistema realiza de manera fiable la separación de los datos y
dispone de control de acceso selectivo a la información conforme a la diferente
“necesidad de conocer”.
− Compartimentado: es aquel en el que todo el personal con acceso al Sistema está

autorizado para acceder al grado más elevado de clasificación de la información
manejada en el Sistema, pero no todos los individuos con acceso al Sistema tienen
una autorización formal para acceder a toda la información manejada en el
Sistema. Autorización formal implica una gestión centralizada formal para el
control de accesos a diferencia de los criterios individuales de concesión.
− Multinivel: es aquel en el que un Sistema maneja información con diferentes

grados de clasificación. Permite el acceso selectivo y simultáneo a dicha
información al personal autorizado con diferentes grados de clasificación y
distintas necesidades de conocer. El Sistema realiza de manera fiable la completa
separación de los datos y el control del acceso selectivo.
SIN CLASIFICAR
SIN CLASIFICAR
8.3. ACTIVIDADES DE SEGURIDAD EN EL CICLO DE VIDA
61. La seguridad tiene un tratamiento diferente durante todo el ciclo de vida del sistema.
62. Los aspectos de seguridad pueden limitar el número de soluciones que se puedan
implementar. Los requerimientos de seguridad afectan a la operación, el
mantenimiento, el personal y los costes asociados a la solución seleccionada.
63. Con objeto de reducir las amenazas y vulnerabilidades a los sistemas CIS, la
seguridad se tratará desde la fase de diseño y se seleccionarán las salvaguardas que
limiten los riesgos durante esta fase. La introducción de salvaguardas con el sistema
en explotación normalmente es más costosa y menos efectiva. Los responsables de
los proyectos deberán reservar los recursos suficientes para el tratamiento de los
aspectos de seguridad del proyecto. Se deben identificar, además, la necesidad de
productos INFOSEC (equipos de cifra, herramientas de seguridad….)
64. Por ello, el análisis y gestión de riesgos de seguridad estará presente en el proceso de
desarrollo del sistema. Esta actividad será realizada coordinadamente por los
responsables de diseño y operación utilizando la metodología MAGERIT y sus
herramientas de apoyo. El objetivo de esta actividad será asegurara que se cumplen
los requisitos mínimos de aplicación a la información nacional clasificada.
65. Las actividades INFOSEC a realizar durante el ciclo de vida del sistema se
desarrollará en la normativa correspondiente.
8.4. ACREDITACIÓN DE SEGURIDAD
66. Todos los Sistemas que requieran manejar información nacional clasificada en la
Administración deberán ser previamente acreditados, de acuerdo con el
procedimiento que, para tal fin, apruebe la Autoridad de Acreditación (AA).
67. El procedimiento de acreditación de seguridad asegurará que los requisitos

INFOSEC se encuentran en operación en los sistemas antes de manejar información
clasificada.
68. La Acreditación es la autorización otorgada a un Sistema para manejar información

clasificada hasta un grado determinado, o en unas determinadas condiciones de
integridad o disponibilidad, con arreglo a su Concepto de Operación (CO).
8.5. SERVICIOS DE SEGURIDAD EN SISTEMAS ACREDITADOS
69. Todos los Sistemas que manejen información nacional clasificada deberán disponer
de un conjunto equilibrado de servicios de seguridad que permitan alcanzar los
objetivos de seguridad necesarios para proteger dicha información. Estos servicios de
seguridad permitirán, con el nivel de profundidad y rigor acorde al grado de
clasificación de la información que cada Sistema maneja, lo siguiente:
− Identificar y autenticar al personal con acceso autorizado.
SIN CLASIFICAR
SIN CLASIFICAR
− Controlar los accesos a la información en base al principio de “la necesidad de

conocer”.
− Verificar la integridad y el origen de la información y de los elementos del
Sistema.
− Mantener la integridad de la información y de los elementos del Sistema.
− Mantener la disponibilidad requerida para la información y los elementos del
Sistema.
− Garantizar y verificar el funcionamiento de los mecanismos de seguridad del
Sistema.
− Registrar y auditar la actividad de los usuarios del Sistema.
− Controlar las conexiones y los enlaces de los Sistemas.
− Prevenir, detectar y corregir los impactos o incidentes que afecten a la
confidencialidad, integridad y disponibilidad de la información, o a la integridad y
disponibilidad del Sistema que la maneja.
8.6. INTERCONEXIÓN DE SISTEMAS
70. La interconexión de Sistemas sólo podrá realizarse entre Sistemas previamente

acreditados. Un Sistema que no esté acreditado, se considerará como un Sistema o
red públicos, a los efectos de su interconexión con otros Sistemas.
71. Las interconexiones de Sistemas que manejen información nacional clasificada

deberán ser previamente acreditadas, de acuerdo con el procedimiento que, para tal
fin, apruebe la Autoridad de Acreditación correspondiente.
72. La Autoridad de Acreditación establecerá los criterios, condiciones y requisitos de

interconexión en la normativa correspondiente.
73. Los flujos de información, los requisitos de seguridad adicionales, y los

procedimientos empleados deberán reflejarse en la documentación de seguridad
correspondiente a cada interconexión.
8.7. FUNCIONES CRÍTICAS DE SEGURIDAD. GESTIÓN Y ADMINISTRACIÓN
74. Para que los principios, requisitos y servicios de seguridad no se degraden durante la
operación del Sistema se deben establecer los procesos y actividades esenciales de
las funciones de:
− Gestión de Seguridad
− Administración de Seguridad
SIN CLASIFICAR
SIN CLASIFICAR
8.7.1. GESTIÓN DE SEGURIDAD
75. El término gestión de la seguridad describe los procesos y actividades esenciales

necesarias para el establecimiento y el mantenimiento del programa de seguridad de
toda organización.
76. Para gestionar la Seguridad adecuadamente hay que establecer cuatro procesos
fundamentales que conjuntamente contribuyen a cubrir el programa completo de la
gestión de la seguridad. En la figura siguiente se muestra la interacción que estos
procesos tienen entre sí.
Establecer políticas de seguridad

de la organización
Establecer un proceso de
Establecer un proceso de
respuesta a incidentes de
gestión de riesgos de seguridad
seguridad
Establecer procesos de :
- Monitorización de la seguridad
- Auditoria
8.7.1.1. POLÍTICA DE SEGURIDAD DE LA ORGANIZACIÓN
77. Es única para todos los sistemas de la organización. Para los sistemas clasificados
tendrá como referencia el presente documento y la normativa derivada.
8.7.1.2. GESTIÓN DE RIESGOS DE SEGURIDAD
78. Cada organismo que desarrolle e implante sistemas realizará su gestión de riesgos de
acuerdo a unos criterios comunes proporcionados por la Autoridad de Acreditación.
Se empleará la metodología MAGERIT y las herramientas que la soporten para
realizar este proceso.
79. La gestión de riesgos de seguridad debe permitir mantener un entorno controlado

minimizando los riesgos hasta niveles aceptables.
80. La reducción de los niveles de riesgo exige el despliegue de controles de seguridad

por lo que será necesario establecer un equilibrio entre los niveles de seguridad y el
coste de las medidas de seguridad a desplegar.
81. La gestión de riesgos de seguridad se desarrolla de forma cíclica. El ciclo de vida del
proceso consta de cuatro fases:
− Fase 1: Evaluación del riesgo. Identificar y priorizar los riesgos.
− Fase 2: Selección de controles de seguridad.
SIN CLASIFICAR
SIN CLASIFICAR
− Fase 3: Despliegue de los controles seleccionados.

− Fase 4: Medir la efectividad del programa. Analizar la efectividad del proceso de
gestión de riesgos de seguridad y verificar que los controles están proporcionando
el esperado grado de protección
Medida de la
efectividad del Evaluación
programa del reisgo
Implementación Guiar la toma de

de los controles decisiones
8.7.1.3. MONITORIZACIÓN / AUDITORIA DE SEGURIDAD
82. La monitorización de la seguridad es un proceso continuo que observa los sistemas e

identifica los intentos de comprometer la seguridad de la organización.
83. El objetivo general de la monitorización es proteger los sistemas y la seguridad de la

información que contienen. Examinar los log,s activados en los sistemas y el
despliegue de sistemas de detección/prevención de intrusos ayudan a conseguir este
objetivo.
84. En los sistemas de la Administración que manejan información clasificada la

actividad de Monitorización será responsabilidad de la AOSTIC en su ámbito de
responsabilidad y de la AA/ADA correspondiente con carácter general con objeto de
centralizar al máximo nivel esta actividad.
85. La auditoria/inspección de seguridad es una actividad periódica que trata de verificar

que todos los sistemas cumplen con las políticas de seguridad establecidas. El
objetivo es evaluar cualquier deficiencia o no cumplimiento de las políticas de
seguridad e identificar y proponer las medidas correctoras apropiadas Debe haber un
proceso único para toda la Organización.
86. En los sistemas que manejan información clasificada la actividad de

Auditoria/Inspección será responsabilidad de la AA / ADA y sus organismos de
apoyo.
8.7.1.4. CAPACIDAD DE RESPUESTA A INCIDENTES DE SEGURIDAD
87. El Proceso de Respuesta ante Incidentes define la forma en la que son comunicados
los incidentes de seguridad y las actividades derivadas. Los objetivos del proceso
son:
SIN CLASIFICAR
SIN CLASIFICAR
− Desarrollar una efectiva y oportuna reacción ante determinados incidentes y

reparar cualquier daño que se haya producido. Incluso ante brechas serias de
seguridad, el objetivo es minimizar el impacto sobre la actividad de la
organización y sobre los usuarios.
− Minimizar la posibilidad de ocurrencia de un incidente de seguridad. Para ello,
tras un análisis profundo que determine exactamente las causas de éste, se
recomendarán la introducción o modificación de los controles de seguridad
necesarios.
88. El proceso de respuesta a incidentes debe asegurar que todos los miembros de la
organización son completamente conscientes de las acciones que deben tomar
cuando ocurre un incidente de seguridad.
89. El resultado de la evaluación de las incidencias de seguridad debe realimentar los

procesos de generación de Políticas de Seguridad y de Análisis de Riesgos para
intentar minimizar el riesgo de nuevos incidentes.
90. La respuesta a incidentes es una responsabilidad compartida entre las siguientes

autoridades:
 AOSTIC. Realizarán la monitorización del sistema. Proporcionará respuesta ante
incidentes de primer nivel.
 AA/ADA. Recibirá información de monitorización y proporcionará la respuesta a
incidentes de seguridad en un segundo nivel. En su caso centralizará la capacidad de
monitorización.
91. La capacidad de respuesta ante incidentes debe articularse en un sistema centralizado
que permita a la estructura INFOSEC el análisis y la rápida reacción ante un
incidente en cualquier sistema que maneje información clasificada.
92. El nivel de respuesta necesario ante un incidente se desarrollará en la normativa

correspondiente.
8.7.2. ADMINISTRACIÓN DE SEGURIDAD
93. La administración de seguridad es el proceso necesario para mantener SEGURO el

entorno de los sistemas de información y comunicaciones. Mantener el nivel
adecuado de seguridad es una de las partes más importantes de la infraestructura de
una organización.
94. Los procesos de administración de la seguridad giran alrededor de los objetivos y

principios generales de seguridad.
95. La administración de seguridad está relacionada con todos los aspectos de la

seguridad necesarios para ayudar a crear y mantener un entorno seguro de sistemas
de información y comunicaciones. En este sentido es necesario tener en cuenta los
siguientes aspectos:
− Control de acceso: es necesario determinar los permisos de acceso adecuados
para cada usuario de la organización.
SIN CLASIFICAR
SIN CLASIFICAR
− Seguridad de aplicaciones: es necesario controlar los permisos y las acciones

que los usuarios pueden ejecutar dentro de los sistemas de la organización.
− Seguridad de los servicios en los que se apoyan las aplicaciones: hay que
proteger las bases de datos y los mensajes intercambiados entre servicios para
evitar que la información sea vista, tergiversada o modificada de alguna forma.
− Seguridad de los sistemas operativos: si el sistema operativo no es seguro, todos
los sistemas y servicios que dependen de él pueden quedar comprometidos.
− Seguridad del hardware: hay que asegurar el hardware (servidores, estaciones
de trabajo, equipos portátiles, cintas de backup, dispositivos de almacenamiento
removibles, portátiles, tarjetas inteligentes, dispositivos de impresión....) deben
ser protegidos para su uso tanto dentro como fuera del entorno de la organización.
− Seguridad de la red: la red transporta la información en formato electrónico por
lo que es necesario evitar el acceso no autorizado a la misma así como su
manipulación.
8.8. ASPECTOS GENERALES INFOSEC
8.8.1. SOPORTES DE ALMACENAMIENTO EXTRAÍBLES
96. Se deberán establecer procedimientos que permitan identificar, controlar, registrar y

proteger aquellos soportes de almacenamiento extraíbles (DVD, CD, discos duros,
disquetes, discos USB, etc.) que contengan información clasificada, de acuerdo al
grado de clasificación de dicha información.
97. Las marcas o etiquetas (en adelante marcas) empleadas para la identificación de estos
soportes deberán adaptarse a las características físicas de los mismos y deberán
reflejar el mayor grado de clasificación de la información que contienen los soportes
sobre los que se apliquen.
98. La colocación de las marcas sobre los soportes se realizará de forma que permita la
mayor visibilidad de las mismas.
99. Se llevará a cabo un inventario anual de los soportes que hayan almacenado
información nacional clasificada de grado RESERVADO o SECRETO, y se
establecerán controles periódicos para comprobar su presencia así como su
contenido.
100. Los soportes que hayan almacenado información nacional clasificada de grado
RESERVADO o SECRETO, no podrán ser desclasificados ni reutilizados para el
almacenamiento de información nacional clasificada con otro grado de clasificación
inferior. Por tanto, una vez finalizado su ciclo de vida, deberá procederse a su
destrucción según el procedimiento establecido.
101. Los soportes que hayan almacenado información nacional clasificada con un grado
de clasificación CONFIDENCIAL, o inferior, podrán ser reutilizados como soportes
de información de grado inferior al que contenían, siempre y cuando se proceda a su
SIN CLASIFICAR
SIN CLASIFICAR
desclasificación previa según el procedimiento que se establezca. De no poder
desclasificarse, se procederá a su destrucción según el procedimiento establecido.
8.8.2. DISPOSITIVOS PORTÁTILES
102. Se establecerán procedimientos para la identificación, control, registro y protección

de todos aquellos dispositivos portátiles (ordenadores portátiles, agendas
electrónicas, “PDA”, etc.) que manejen información nacional clasificada, operando
de forma aislada o en red, de acuerdo al grado de clasificación de dicha información.
103. En la aplicación de los procedimientos anteriores se deberá considerar el mayor

grado de clasificación de la información que hayan manejado, en algún momento,
estos dispositivos, salvo que se procediera a su desclasificación por el procedimiento
establecido.
8.8.3. RECURSOS DE PROPIEDAD PARTICULAR O DE CONTRATISTAS
104. No se podrán utilizar recursos de propiedad particular con capacidad de

almacenamiento y/o procesamiento de información (dispositivos portátiles, soportes
de almacenamiento extraíbles, software, hardware, etc.), para el manejo de
información nacional clasificada CONFIDENCIAL o de grado superior, salvo
autorización de la Autoridad de Acreditación correspondiente en situaciones
excepcionales.
105. La simple introducción de recursos informáticos distintos de los acreditados en las

áreas de seguridad en las que se encuentre un Sistema que maneje información
nacional clasificada CONFIDENCIAL, o de grado superior, deberá contar con la
autorización expresa de la Autoridad Operativa de dicho Sistema.
106. Los Sistemas propiedad de contratistas que vayan a manejar información nacional
clasificada CONFIDENCIAL o superior, deberán ser acreditados mediante los
mismos procedimientos, y aplicando la misma normativa, que los Sistemas de la
Administración. En su defecto, la AA/ADA deberá autorizarlos expresamente y
establecer las directrices bajo las que podrán manejar información nacional
clasificada CONFIDENCIAL o de grado superior.
9. SEGURIDAD CRIPTOLÓGICA
107.Los Sistemas que manejen información nacional clasificada DIFUSIÓN LIMITADA
o superior, y utilicen mecanismos de cifra para su protección, deberán hacer uso de
productos de cifra con certificación criptológica de acuerdo al grado de clasificación
de la información a proteger.
108.La utilización de productos de cifra con certificación criptológica no autoriza a un

Sistema a manejar información nacional clasificada, aunque sí constituye un
elemento indispensable para obtener la correspondiente autorización.
SIN CLASIFICAR
SIN CLASIFICAR
109.Aquellos Organismos en los que se requiera el empleo de material de cifra para la
protección de la información clasificada, deberán establecer una estructura para el
control y el registro de todo el material de cifra utilizado y disponer del personal con
la formación adecuada, de acuerdo a lo que establezca la normativa correspondiente.
110.La seguridad criptológica debe ser evaluada periódicamente, dado que su grado de
eficacia no es estático, sino que varía a lo largo del tiempo en función del nivel de
desarrollo de la tecnología, especialmente aquella asociada al criptoanálisis.
111.Para la protección de información nacional clasificada, los organismos de la

Administración deberán seleccionar, como primera opción, equipos con certificación
criptológica para la protección del nivel de clasificación nacional correspondiente. La
ACC deberá autorizar el empleo de otro equipamiento que no disponga de
certificación nacional para su empleo en Sistemas que manejen información
clasificada.
112.Mediante la normativa correspondiente se regulará la selección / desarrollo /

adquisición / operación / mantenimiento / modificación y retirada del servicio del
equipamiento criptológico.
10. SEGURIDAD DE LAS EMANACIONES ELECTROMAGNÉTICAS

113.La Seguridad de las emanaciones, o en terminología inglesa, Security Emanations
(EMSEC) se refiere a las medidas de seguridad electromagnética aplicadas a los
equipos y locales en los que se procesa información clasificada.
114.El término TEMPEST hace referencia a las investigaciones y estudios de

emanaciones comprometedoras (emisiones radioeléctricas no intencionadas,
producidas por los equipos eléctricos y electrónicos que, detectadas y analizadas,
pueden llevar a la obtención de información procesada por el equipo) y a las medidas
aplicadas para la protección contra dichas emanaciones.
115. Se deberán implantar medidas de seguridad para la protección de todo Sistema que
maneje información clasificada contra los fenómenos de radiación electromagnética
no deseada. Estas medidas serán proporcionales al grado de clasificación de la
información que se maneja y al nivel de riesgo de explotación existente en el entorno
de operación.
116. No obstante, los Sistemas que manejen información clasificada CONFIDENCIAL o

superior, requieren el uso de productos con certificación TEMPEST nacional (en su
caso se podrá autorizar certificaciones emitidas en otras naciones) o clasificación
ZONING adecuada, según lo establecido en la normativa correspondiente.
117. Los locales y plataformas donde se ubiquen sistemas que procesen información
clasificada CONFIDENCIAL o superior deberán disponer de los certificados
ZONING y TEMPEST correspondientes.
118. La ACT podrá autorizar la instalación de sistemas según el modelo de protección de

“Zonas de Seguridad Electromagnética”. Este modelo se basa en las características
SIN CLASIFICAR
SIN CLASIFICAR
técnicas de los equipos y en la atenuación de las instalaciones donde se encuentran
ubicados.
119. La certificación ZONING de un local se conseguirá tras la evaluación realizada por

un equipo autorizado por la ACT que verifica el cumplimiento de la normativa
correspondiente.
120. La certificación TEMPEST de un local se consigue tras la inspección física del

mismo, con el objeto de garantizar una correcta instalación de todo el sistema en su
interior. Dicha inspección será realizada por un equipo autorizado por la ACT que
verifica el cumplimiento de la normativa correspondiente.
121. La certificación TEMPEST de una plataforma se consigue tras la evaluación

realizada por un equipo autorizado que verifica el cumplimiento de la normativa
correspondiente.
122. La Seguridad de las emisiones de un local debe ser evaluada periódicamente o tras
alguna modificación del mismo, que pueda alterar su comportamiento desde el punto
de vista de la atenuación proporcionada.
123. En función de los requisitos de la instalación, un equipo podrá requerir la

certificación completa TEMPEST o bien un certificado ZONING del mismo.
124. Los requisitos TEMPEST de equipos, locales y plataformas se deben tener en cuenta
durantes las fases de selección, desarrollo, operación, mantenimiento y, en su caso,
en la fase de modificación.
11. CERTIFICACIÓN
125.Para la acreditación de un Sistema podrá ser necesario que los productos y elementos
de las TIC que lo componen estén certificados.
126.La certificación es la determinación, realizada mediante un proceso metodológico de

evaluación, de la capacidad de un producto o sistema de las TIC para proteger en
profundidad las condiciones de la información de acuerdo a unos criterios
preestablecidos.
127.Según los criterios en los que se base el proceso de evaluación, es decir, según los
aspectos de seguridad que se evalúen, la certificación del producto o sistema de las
TIC podrá ser funcional, criptológica o TEMPEST (según su grado de protección
contra las emanaciones no deseadas).
128.Cuando las condiciones bajo las que se ha certificado un producto o sistema sufran
alguna modificación (por mantenimiento, actualización, cambio de amenazas, etc.)
podrá ser necesario la re-certificación del producto o sistema.
SIN CLASIFICAR
SIN CLASIFICAR
11.1. CERTIFICACIÓN FUNCIONAL
129.El Esquema Nacional de Evaluación y Certificación de la Seguridad de las

Tecnologías de la Información, establece esta certificación funcional siguiendo los
llamados Criterios Comunes, establecidos y reconocidos como estándar
internacional.
130.Esta certificación es la culminación de un proceso de evaluación de las funciones de

seguridad de un producto o sistema (objeto de evaluación) que, siguiendo una
metodología también estándar, realiza un laboratorio independiente, acreditado y
capacitado técnicamente para tal fin. Se trata de comprobar que el objeto de
evaluación realiza correcta y eficazmente la funcionalidad de seguridad que se
describe en su documentación.
131.Tanto la acreditación de los laboratorios de evaluación como la certificación de los

productos y sistemas se realizan de acuerdo a lo dispuesto en el Reglamento y en los
procedimientos, todos públicos, establecidos por el organismo de certificación.
11.2. CERTIFICACIÓN CRIPTOLÓGICA
132.Tiene la consideración de equipo de cifra nacional con certificación criptológica

aquel que ha sido evaluado y ha obtenido la correspondiente certificación para
proteger un determinado grado de clasificación de la información.
133.Los equipos de cifra nacional con certificación criptológica figuran en el Catálogo de

Productos con Certificación Criptológica publicado por la Autoridad de Certificación
Criptológica (ACC).
134.La ACC establecerá el esquema de certificación CRIPTOLÓGICA, desarrollará la

normativa correspondiente y establecerá los criterios de competencia técnica de los
laboratorios de certificación de productos.
135.Dependiendo del grado de clasificación de la información a proteger, se establecen

los siguientes niveles de certificación criptológica:
− Certificación Criptológica DIFUSIÓN LIMITADA

− Certificación Criptológica CONFIDENCIAL
− Certificación Criptológica RESERVADO
− Certificación Criptológica SECRETO
136.La certificación criptológica se realiza de acuerdo con lo establecido en el Esquema
de Certificación Criptológica. Se seguirán criterios y procedimientos desarrollados
por la ACC y clasificados al nivel correspondiente.
137.La ACC sólo atenderá las solicitudes de certificación que cumplan alguno de los
siguientes criterios:
− Cuando la solicitud provenga de un organismo de la Administración.
SIN CLASIFICAR
SIN CLASIFICAR
− Existe un programa de la Administración con fondos y entidad suficiente que

justifique el esfuerzo de evaluación.
− El equipo para el que se solicita la evaluación satisface una necesidad que no
cubre ninguno de los equipos ya certificados y la ACC lo considera de interés.
138.La solicitud deberá venir acompañada del certificado y del informe técnico
resultantes de la evaluación funcional, a la que previamente se ha debido someter el
equipo, junto con toda la información y documentación que sea necesaria.
139.En la normativa correspondiente se desarrollarán los niveles mínimos de

certificación funcional necesarios para una certificación criptológica determinada.
11.3. CERTIFICACIÓN TEMPEST
140.La ACT establecerá el esquema de certificación TEMPEST, desarrollará la

normativa correspondiente y establecerá los criterios de competencia técnica de los
equipos de inspección de locales y plataformas y los laboratorios de certificación de
productos.
141.Aquellas instalaciones, ya sean fijas o móviles, en las que se ubiquen Sistemas de las
TIC que manejen información nacional clasificada CONFIDENCIAL o superior,
deberán disponer del correspondiente certificado de que la instalación local cumple
las medidas TEMPEST necesarias.
142.Tiene la consideración de plataforma toda instalación que albergue en su interior

equipos o sistemas de Información, y que pueda ser transportable ya sea por tierra,
mar o aire.
143.Tiene la consideración de local toda instalación que albergue en su interior equipos o

sistemas de Información y cuya ubicación es fija a lo largo del tiempo. Se establece
la diferenciación entre local permanente y local temporal cuando la ocupación o uso
del mismo sea superior a 6 meses para un local permanente o inferior para el caso de
temporal.
144.Todos los equipos que procesan información nacional clasificada CONFIDENCIAL

o superior, pueden requerir del correspondiente certificado TEMPEST
145.Tiene la consideración de equipo TEMPEST certificado aquél que ha sido evaluado

y ha obtenido la correspondiente certificación de la ACT.
146.Tiene la consideración de equipo con clasificación ZONING aquél que ha sido

evaluado y ha obtenido la correspondiente clasificación de la ACT.
147.Los equipos certificados TEMPEST y los equipos clasificados ZONING figuran en

la Lista de Productos con Certificación TEMPEST publicado por la ACT.
148.La certificación TEMPEST y la clasificación ZONING de equipos se realiza

siguiendo los criterios marcados en las normativa correspondiente.
SIN CLASIFICAR
SIN CLASIFICAR
12. RESPONSABILIDADES
149.Para conseguir una seguridad efectiva y completa en los Sistemas clasificados, es
imprescindible que se delimiten las funciones y se definan las responsabilidades de
quienes los utilizan y gestionan.
150.En los Sistemas clasificados se determinarán una serie de autoridades y responsables

relacionados con la seguridad de los sistemas a lo largo de su ciclo de vida. En cada
organización deberán existir las siguientes estructuras:
− Estructura STIC Nacional

− Estructura STIC de la organización.
− Estructura de control material de cifra de la organización
− Estructura de operación STIC del sistema
151.Estructura STIC Nacional. Común a todos los sistemas y a todos los Organismos
existirán las siguientes Autoridades:
− Autoridad de Acreditación (AA)

− Organismo de Certificación del Esquema Nacional de Seguridad de las
Tecnologías de Información y Comunicaciones. Este organismo esta designado en
el RD 421/2004 y sus funciones se establecen en la normativa correspondiente.
− Autoridad de Certificación Criptológica (ACC)
− Autoridad de Certificación TEMPEST (ACT)Delegada de Acreditación
152.Las Estructuras STIC y de control de material de cifra de la Organización. Común a

todos los sistemas de la organización existirán, en su caso, las siguientes
Autoridades:
− Autoridad Delegada de Acreditación (ADA)
153.Estructura de Operación STIC del Sistema. Establecida en todos los sistemas

clasificados existirán, en su caso, las siguientes Autoridades:
− Autoridad Operativa del Sistema de las TIC (AOSTIC)

154.En la normativa correspondiente se desarrollarán las diferentes estructuras.
12.1. AUTORIDAD DE ACREDITACIÓN (AA)
155. La Autoridad de Acreditación (AA) de la Administración es el Secretario de Estado

Director del CCN.
SIN CLASIFICAR
SIN CLASIFICAR
156. Sus funciones son:
− Establecer y aplicar la Política STIC de la Administración.

− Realizar los procesos de acreditación que le correspondan, y mantener el Registro
de Sistemas Acreditados.
− Verificar el cumplimiento de los procesos de acreditación para Sistemas que
manejan información nacional clasificada realizados por aquellas Autoridades en
las que haya delegado esta función.
− Elaborar y aprobar los Procedimientos, Normas, Instrucciones Técnicas y Guías
que emanen de la Política STIC de aplicación a toda la Administración.
− Desarrollar la capacidad de respuestas ante incidentes de seguridad en los
Sistemas de la Administración.
157. La AA designará las Autoridades Delegadas de Acreditación (ADA,s) en los

Organismos que considere, a propuesta de cada Ministerio. Esta responsabilidad
deberá ejercerse por altos cargos próximos al titular del Departamento, o miembros
de su propio Gabinete.
12.2. AUTORIDAD DE CERTIFICACIÓN CRIPTOLÓGICA (ACC)
158. La Autoridad de Certificación Criptológica (ACC) es el Secretario de Estado

Director del Centro Criptológico Nacional. La ACC es responsable de:
− La selección de los criptosistemas adecuados para la protección de la información

clasificada nacional.
− Dar normas para el correcto empleo de los criptosistemas anteriores.
− Establecer los procedimientos de control del material de cifra y de las claves
utilizadas.
− Formar al personal especialista.
− Desarrollar la normativa de aplicación
12.3. AUTORIDAD DE CERTIFICACIÓN TEMPEST (ACT)
159. La Autoridad de Certificación TEMPEST (ACT) es el Secretario de Estado Director

del Centro Criptológico Nacional. La ACT es responsable de:
− Supervisar el proceso de evaluación y certificación de equipos, Sistemas STIC,s e

instalaciones que deban cumplir requisitos TEMPEST.
− Desarrollar la normativa de aplicación
− Promocionar la creación de equipos de inspección TEMPEST que realicen las
mediciones de equipos e instalaciones.
− Formar al personal especialista
SIN CLASIFICAR
SIN CLASIFICAR
12.4. AUTORIDAD DELEGADA DE ACREDITACIÓN (ADA)
160. Las ADA,s serán responsables, en sus ámbitos respectivos, de la aplicación de la

presente Política y de la normativa derivada remitida por la AA.
161. Sus funciones son:
− Mantener la seguridad de la información clasificada manejada en los Sistemas

bajo su responsabilidad.
− Garantizar la realización de evaluaciones periódicas que permitan la verificación
del cumplimiento de los requisitos establecidos.
− Definir y actualizar el organigrama de la estructura STIC correspondiente a su
ámbito.
− Establecer las distintas figuras que constituyen la estructura de control de material
de cifra de su organización, cuando en su ámbito de competencia se emplee
material de cifra para la protección de la información nacional clasificada.
− Acreditar o renovar la acreditación de los Sistemas.
− Solicitar la certificación de productos o sistemas y, en su caso, promover su
adquisición.
− Promover la formación STIC del personal adscrito a su organización que se
considere necesaria.
− Elaborar y/o aprobar normativa específica.
− Todas aquellas funciones que la AA delegue en materia de STIC.
12.5. AUTORIDAD OPERATIVA DEL SISTEMA DE LAS TIC (AOSTIC)
162. La AOSTIC será responsable del desarrollo, operación, mantenimiento, y seguridad

del Sistema durante su ciclo de vida, de sus especificaciones, de su instalación y de la
verificación de su correcto funcionamiento.
163. Será designada por el responsable del Organismo propietario del Sistema y su
nombramiento será comunicado a la AA o ADA, correspondiente.
164. La AOSTIC podrá establecer una estructura de seguridad del Sistema, como apoyo
para la realización de sus funciones.
13. REGISTRO
13.1. DE SISTEMAS ACREDITADOS
165. La AA mantendrá un Registro General de Sistemas Acreditados para manejar

información nacional clasificada.
SIN CLASIFICAR
SIN CLASIFICAR
166. Las ADA,s deberán mantener, igualmente, un Registro de Sistemas Acreditados bajo
su responsabilidad. Estas ADA,s remitirán semestralmente una actualización de sus
propios registros a la AA, según se establezca en el procedimiento correspondiente.
167. Las ADA,s deberán comunicar a la AA cualquier incidente de seguridad que se

produzca en los Sistemas de su responsabilidad, durante el tiempo de validez de la
acreditación.
13.2. DE PRODUCTOS O SISTEMAS CON CERTIFICACIÓN FUNCIONAL
168. El Organismo de Certificación del Esquema Nacional de Evaluación y Certificación

de la Seguridad de las Tecnologías de la Información mantendrá actualizado un
Registro de Productos y Sistemas con Certificación Funcional.
13.3. DE PRODUCTOS CON CERTIFICACIÓN CRIPTOLÓGICA
169. La ACC mantendrá actualizado un Registro de Productos con Certificación

Criptológica.
13.4. DE PRODUCTOS Y LOCALES CON CERTIFICACIÓN DE LA SEGURIDAD

DE LAS EMANACIONES
170. La ACT mantendrá actualizado un Registro de Productos y Locales con Certificación

de la seguridad de las emanaciones (TEMPEST).
14. FORMACIÓN Y CONCIENCIACIÓN
14.1. FORMACIÓN
171. La AA establecerá un plan de formación anual que incluirá los cursos de

especialización necesarios para la aplicación de la presente Política.
172. El Plan de formación se compone de:
− Cursos Informativos y de Concienciación de Seguridad. Se componen de

seminarios generales de concienciación de la amenaza, seminarios temáticos y
cursos generales sobre seguridad de las TIC.
− Cursos Básicos de Seguridad. Cursos de iniciación en las funcionalidades de
seguridad de las diferentes tecnologías.
− Cursos Específicos de Gestión de Seguridad. Cursos que capaciten al personal
de los diferentes organismos a realizar la función de Gestión de Seguridad y todos
los procesos y actividades asociadas.
SIN CLASIFICAR
SIN CLASIFICAR
− Cursos de Especialización de Seguridad. Cursos que capaciten al personal

técnico en el empleo y aplicación de configuraciones de seguridad de las
diferentes tecnologías de los Sistemas.
173. Las ADA´s deberán elaborar y mantener el plan de formación y especialización para
la aplicación de la presente Política en sus respectivos ámbitos.
14.2. CONCIENCIACIÓN
174. La AA establecerá un plan de concienciación que incluirán seminarios los cursos de

especialización necesarios para la aplicación de la presente Política.
15. RESPUESTA ANTE INCIDENTES DE SEGURIDAD

175. El objetivo de la Respuesta ante incidentes de seguridad es responder a las amenazas
de forma rápida y efectiva con objeto de minimizar cualquier impacto contra la
confidencialidad, integridad o disponibilidad. Es la materialización de los planes de
contingencia, continuidad y de recuperación de desastres que deben estar diseñados
en los diferentes sistemas.
176. Debido a la especificad técnica de esta actividad es conveniente centralizarla al más

alto nivel posible y evitar duplicidad de esfuerzos. Asimismo, es necesaria la
cooperación de todos los usuarios para asegura que los incidentes son comunicados,
resueltos y se toman las acciones preventivas para evitar que se vuelvan a reproducir.
177. La respuesta ante incidentes tiene como objetivos:
− Facilitar una gestión de incidentes de seguridad centralizada

− Coordinar una respuesta a unos tipos de incidentes de seguridad específicos
− Proporcionar la asistencia técnica directa que se requiera
− Proporcionar referencias en configuraciones de seguridad
− Forzar a proveedores a una respuesta adecuada ante vulnerabilidades detectadas
− Establecer relaciones con otros CERT,s
− Establecer relaciones con los organismos encargados de investigación criminal
178. Los servicios de seguridad que puede ofrecer un CERT suelen clasificarse bajo tres
agrupaciones:
− Servicios reactivos destinados a minimizar el impacto de una amenaza o

incidentes
− Servicios proactivos cuya función es reducir los riesgos de seguridad mediante
distribución de información e implantación se sistema de protección y detección
− Servicios de gestión mediante los cuales se pretende mejorar las funciones de
gestión y administración de seguridad y los procesos y tareas asociados de las
Administraciones Públicas.
SIN CLASIFICAR
SIN CLASIFICAR
15.1. RESPUESTA A INCIDENTES PARA LA ADMINISTRACIÓN
179. El objetivo principal del equipo de respuesta a incidentes del CCN (CCN-CERT) es
contribuir a la mejora del nivel de seguridad de los sistemas de información
(clasificados o no) de las Administraciones Públicas (AA.PP.) de España.
180. La misión del CCN-CERT es la de ser el centro de alerta y respuesta de incidentes de

seguridad, ayudando a las AA.PP. a responder de forma más rápida y eficiente ante
las amenazas de seguridad que afecten a sus sistemas de información.
181. La comunidad del CCN-CERT serán las Administraciones Públicas de España:
− Administración General y organismos asociados

− Administración Autonómica
− Administración local
182. La autoridad es compartida con los organismos de la comunidad, consensuando con
ellos las acciones necesarias para cumplir con la misión del CCN-CERT. En el caso
de Sistemas clasificados la Autoridad es completa en cumplimiento del RD
421/2004.
183. El CCN-CERT desarrollará las siguientes líneas de actuación:
− La prestación de servicios de información, como los servicios de alerta de nuevas

amenazas,
− La realización de labores de investigación, formación y divulgación de seguridad
de la información,
− El soporte a la respuesta ante incidentes, mediante la prestación de servicios de
apoyo técnico y coordinación.
15.2. PROMOCIÓN DE LA CAPACIDAD RESPUESTA A INCIDENTES
184. El CCN-CERT desarrollará un programa que ofrezca la información, formación y

herramientas necesarias para que la comunidad pueda desarrollar sus propias
capacidades CERT permitiendo a éste actuar como coordinador a nivel
gubernamental.
16. DESARROLLO NORMATIVO

185. Deberán basarse en la presente Política, los Procedimientos, Normas, Instrucciones
Técnicas, Guías e Informes Técnicos que se elaboren concernientes a la seguridad de
los Sistemas que manejen información nacional clasificada en la Administración.
SIN CLASIFICAR
SIN CLASIFICAR
186. El desarrollo normativo se desglosará en los siguientes tipos de documentos:
− Procedimientos STIC
− Normas STIC
− Instrucciones Técnicas STIC
− Guías STIC
− Informes Técnicos
− Alertas de seguridad
187. Los Procedimientos STIC establecerán el marco común de actuación en los procesos
de acreditación y certificación de las TIC así como en cualquier otro proceso
relacionado con la seguridad de las TIC. Estos procedimientos serán sancionados y
publicados por la AA.
188. Las Normas STIC serán reglas generales que deben seguirse, o a las que se deben
ajustar las conductas, tareas o actividades de las personas y organizaciones en
relación con la protección de la información clasificada cuando es manejada por un
Sistema. Establecerán las directrices para la redacción de la documentación de
seguridad, para la realización de análisis de riesgos, o para cualquier otra actividad
que se considere necesaria en relación con la seguridad de las TIC. Serán
responsabilidad de la Autoridad emisora y vinculantes dentro del ámbito que
compete a cada Autoridad.
189. Las Instrucciones Técnicas STIC atenderán a un objetivo de seguridad específico.

Establecerán los requisitos de seguridad generales o específicos a implantar en los
Sistemas. Serán responsabilidad de la Autoridad emisora y vinculantes dentro del
ámbito que compete a cada Autoridad.
190. Las Guías STIC son recomendaciones o informaciones relativas a temas concretos de
STIC, y estarán basadas generalmente en una o más Instrucciones previas. Estas
guías establecerán las configuraciones mínimas de seguridad de los diferentes
elementos de un Sistema, recomendaciones de uso, u otro tipo de recomendaciones.
191. Los Informes Técnicos son documentos de carácter técnico que recogen el resultado
y las conclusiones de un estudio o de una evaluación.
192. Las Alertas de Seguridad son documentos de carácter técnico que recogen amenazas
y vulnerabilidades a sistemas CIS. Son responsabilidad de los equipos de respuesta
ante incidentes de seguridad.
SIN CLASIFICAR
SIN CLASIFICAR
ANEXO A. GUÍA DE EQUIVALENCIAS ENTRE GRADOS

DE CLASIFICACIÓN DE LA INFORMACIÓN
La siguiente tabla es meramente orientativa y no tiene ningún carácter normativo. Pretende

representar las equivalencias entre los grados de clasificación de la información, en lo que a
medidas de protección de refiere.
NACIONAL UE OTAN LOPD (1)
COSMIC TOP
SECRETO TRES SECRET UE
SECRET
RESERVADO SECRET UE NATO SECRET
NATO
CONFIDENCIAL CONDIFENTIEL UE
CONFIDENTIAL
ALTO
DIFUSIÓN LIMITADA RESTREINT UE NATO RESTRICTED
MEDIO (2)
SIN CLASIFICAR ---- NATO UNCLASSIFIED

BASICO (2)
(1)
Reglamento de aplicación de la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal.
(2)
Existe un nivel intermedio de aplicación entre los niveles básico y medio.
Tabla 1. Guía de equivalencias entre grados de clasificación de la información
SIN CLASIFICAR
SIN CLASIFICAR
ANEXO B. PROTECCIÓN DE LA INFORMACIÓN

COMPARTIDA CON OTROS ESTADOS U
ORGANISMOS
1 PROTECCIÓN DE LA INFORMACIÓN NACIONAL CLASIFICADA

CON EQUIPOS DE CIFRA CERTIFICADOS POR OTAN
193. Se seguirán las siguientes pautas:
a. No existe un producto con certificación criptológica adecuado a las necesidades de

transmisión y con certificación igual o superior a la de la información a proteger.
b. Los cifradores deberán tener una certificación OTAN igual o superior a la

correspondiente a la información nacional a proteger, que en ningún caso será de
grado SECRETO.
c. El CCN deberá autorizar su empleo. Para conseguir esa autorización, el organismo

interesado deberá solicitarlo por escrito al CCN detallando la necesidad planteada
y, en cualquier caso, el sistema de generación de claves para dichos dispositivos
deberá ser certificada por el CCN como requisito previo.
d. El CCN remitirá, en su caso, la correspondiente autorización en la que se marcarán

las condiciones de utilización de los cifradores certificados por OTAN para
proteger información nacional clasificada. Para la concesión de dicha autorización
se valorará la seguridad requerida para el criptosistema solicitado.
194. Sobre lo expresado en el Artículo anterior se contemplan dos excepciones:
a. Para proteger información nacional clasificada DIFUSIÓN LIMITADA se puede

utilizar cualquier cifrador certificado OTAN.
b. Para proteger información nacional clasificada CONFIDENCIAL, se puede

solicitar al CCN el uso de cifradores certificados OTAN, con certificación NATO
CONFIDENTIAL o superior, aunque exista un equipo de cifra certificado por el
CCN.
SIN CLASIFICAR
SIN CLASIFICAR
195. No se contempla ningún otro caso de validez recíproca de cifradores OTAN/Nacional.

NATO NATO COSMIC TOP
NATO SECRET
RESTRICTED CONFIDENTIAL SECRET
DIF. LIMITADA Sí Sí Sí Sí
CONFIDENCIAL Sí (1) Sí (1) Sí (1)
RESERVADO Sí (2) Sí (2)
SECRETO
(1)
Requiere autorización.
(2)
Requiere autorización y requisitos adicionales.
Tabla 2. Protección de información nacional clasificada con equipos de cifra certificados por
OTAN.
2 PROTECCIÓN DE LA INFORMACIÓN OTAN CLASIFICADA CON

EQUIPOS DE CIFRA NACIONALES CON CERTIFICACIÓN
CRIPTOLÓGICA
196. La información OTAN clasificada NATO CONFIDENTIAL e inferior puede ser
protegida con cifradores nacionales con certificación criptológica CONFIDENCIAL o
superior.
DIF. LIMITADA CONFIDENCIAL RESERVADO SECRETO
NATO RESTRICTED Sí Sí Sí Sí
NATO CONFIDENTIAL Sí Sí Sí
NATO SECRET
COSMIC TOP SECRET
Tabla 3. Protección de información OTAN clasificada con equipos de cifra nacionales

certificados.
3 PROTECCIÓN DE LA INFORMACIÓN NACIONAL CLASIFICADA

CON EQUIPOS DE CIFRA CERTIFICADOS POR UE
197. Está pendiente de ser establecida la validez recíproca de cifradores Unión Europea /
Nacional.
SIN CLASIFICAR
SIN CLASIFICAR
ANEXO C. GLOSARIO DE TÉRMINOS Y ABREVIATURAS
Situación alcanzada por los Sistemas que hayan superado con éxito
Acreditación
el proceso de acreditación.
Son los recursos del Sistema, o relacionados con éste, necesarios
Activos
para que la Organización funcione correctamente y alcance los
objetivos propuestos por su Dirección.
Cualquier circunstancia o evento que puede explotar,
Amenaza
intencionadamente o no, una vulnerabilidad específica en un Sistema
de las TIC resultando en una pérdida de confidencialidad, integridad
o disponibilidad de la información manejada o de la integridad o
disponibilidad del propio Sistema.
Es el proceso por el cuál se identifican y valoran los riesgos.
Análisis de riesgos
Autoridad responsable de conceder la autorización a un Sistema para
Autoridad de Acreditación (AA)
manejar información clasificada hasta un grado determinado, o en
unas determinadas condiciones de integridad o disponibilidad, con
arreglo a su concepto de operación.
Autoridad responsable de la evaluación y certificación de productos
Autoridad de Certificación Criptológica
y Sistemas (de tecnologías de la información y telecomunicaciones)
(ACC)
que incorporen mecanismos criptológicos.
Autoridad en la que ha delegado la Acreditación la AA, y que es
Autoridad Delegada Acreditación (ADA)
responsable de la aplicación de la normativa de acreditación vigente.
Autoridad responsable del desarrollo, la operación y mantenimiento
Autoridad Operativa del Sistema de las
del Sistema durante su ciclo de vida, de sus especificaciones, de su
Tecnologías de la Información y las
instalación y de la verificación de su correcto funcionamiento.
Comunicaciones (AOSTIC)
Clase I Un área de seguridad clase I es un recinto en el que lograr el acceso

equivale a acceder a información clasificada. Dicho recinto requiere:
1. Disponer de un perímetro claramente definido y protegido a
través del cual toda entrada y salida esté controlada.
2. Disponer de un control de entrada que sólo permitirá el
acceso al recinto al personal que disponga de la habilitación
correspondiente y esté especialmente autorizado en los
Procedimientos Operativos de Seguridad (POS) a entrar en
el mismo.
Clase II Un área de seguridad clase II es un recinto con las mismas
condiciones de seguridad que el anterior, pero donde el sistema de
control de entrada permite el acceso, además de al personal
habilitado, al resto del personal con escolta o un control equivalente
que evite el acceso no autorizado a la información clasificada.
Cualidad o condición de la información que asegura que ésta no es

Confidencialidad
conocida por individuos, entidades o procesos no autorizados.
SIN CLASIFICAR
SIN CLASIFICAR
Concepto de Operación Declaración expresa que se realiza sobre el objeto o función de un

Sistema o de una interconexión, el tipo de información que va a ser
manejada, las condiciones de explotación (perfil de seguridad de los
usuarios, clasificación de la información, modo de operación…), las
entradas y salidas de información y las amenazas a las que estará
sometido. Es responsabilidad de la Autoridad Operativa del Sistema
de las Tecnologías de la Información (AOSTIC).
Conexión Se produce una conexión, cuando se proveen los medios físicos y

lógicos de transmisión adecuados (por ejemplo enlace satélite, fibra
óptica, etc.) susceptibles de ser empleados para el intercambio de
información entre Sistemas.
Declaración de Requisitos de Seguridad Documento base para la acreditación. Consiste en una exposición
(DRES). completa y detallada de los principios de seguridad que deben
observarse y de los requisitos de seguridad que se han de implantar.
En su caso, será conforme al análisis de riesgos realizado
previamente (en base a la política de seguridad vigente).
Declaración de Requisitos de Seguridad Documento base para la acreditación de la interconexión de

de la Interconexión Sistemas. Consiste en la exposición completa y detallada de los
principios de seguridad que deben observarse en la interconexión, y
de los requisitos de seguridad que se han de implantar conforme al
correspondiente análisis de riesgos realizado previamente.
Cualidad o condición de la información que permite, a las personas
Disponibilidad
o procesos autorizados, acceder a ella cuando se requiera de acuerdo
a los requisitos establecidos.
Proceso de comprobación de que un producto o Sistema satisface las

Evaluación de la Seguridad
características de seguridad que proclama tener. Dicho proceso
consiste en el examen detallado con el fin de encontrar una posible
vulnerabilidad y confirmar el nivel de seguridad establecido. El
examen se realiza de acuerdo a un procedimiento o metodología
determinado y siguiendo unos criterios de evaluación perfectamente
definidos y establecidos.
Proceso, que se basa en los resultados de la evaluación del riesgo,
Gestión del riesgo
consistente en seleccionar las salvaguardas.
Consecuencia sobre un activo de la materialización de una amenaza.

Impacto
Cualidad o condición de la información que garantiza que no ha sido
Integridad
modificada por personas no autorizadas.
Interconexión Se produce una interconexión entre Sistemas, cuando existe una

conexión y se habilitan flujos de información entre los mismos, con
diferentes políticas de seguridad, diferentes niveles de confianza,
diferentes Autoridades Operativas de los Sistemas de las
Tecnologías de la Información y las Comunicaciones (AOSTIC) o
una combinación de las anteriores.
SIN CLASIFICAR
SIN CLASIFICAR
Presentar, elaborar, almacenar, procesar, transportar o destruir

Manejar Información
información.
Procedimientos Operativos de Seguridad Descripción precisa de la aplicación de los requisitos de seguridad,

(POS). detallando las responsabilidades y todas las acciones y
procedimientos de seguridad a seguir, con el objetivo de garantizar y
mantener la seguridad del Sistema. En su caso será la descripción de
la aplicación de la DRS correspondiente
Es la posibilidad de que se materialice una amenaza sobre un activo,
Riesgo
ocasionando una pérdida en la Organización.
Es el riesgo resultante de la aplicación de contramedidas y, por

Riesgo residual
tanto, constituye el riesgo a asumir.
Procedimiento o mecanismo tecnológico que reduce el riesgo.
Salvaguardas (contramedidas)
Protección de la información almacenada, procesada o transmitida,
Seguridad de las Tecnologías de la
por Sistemas de las Tecnologías de la Información y las
Información y las Comunicaciones
Comunicaciones (Sistemas), mediante la aplicación de las medidas
(STIC)
necesarias que aseguren o garanticen la confidencialidad, integridad
y disponibilidad de la información y la integridad y disponibilidad
de los propios Sistemas.
Conjunto de medidas destinadas a evitar fugas de información
Seguridad de las Emanaciones o
derivadas de emisiones electromagnéticas no deseadas de equipos
Seguridad TEMPEST
electrónicos.
Conjunto de equipos, métodos, procedimientos y personal,
Sistema de las Tecnologías de la
organizado de tal forma que permita almacenar, procesar o
Información y las Comunicaciones
transmitir información que está bajo responsabilidad de una única
(Sistema)
Autoridad.
Término que hace referencia a las investigaciones y estudios de
TEMPEST
emanaciones comprometedoras (emisiones electromagnéticas no
intencionadas, producidas por equipos eléctricos y electrónicos que,
detectadas y analizadas, puedan llevar a la obtención de
información) y a las medidas aplicadas a la protección contra dichas
emanaciones.
Debilidad o falta de control que permitiría o facilitaría que una
Vulnerabilidad
amenaza actuase contra un objetivo o recurso del Sistema.
SIN CLASIFICAR
SIN CLASIFICAR
AA Autoridad de Acreditación.
ACC Autoridad de Certificación Criptológica
ADA Autoridad Delegada de Acreditación.
AGR Análisis y Gestión de Riesgos.
AOSTIC Autoridad Operativa del Sistema de las Tecnologías de la Información y las Comunicaciones.
CC Common Criteria
CCN Centro Criptológico Nacional.
CEM Common Evaluation Methodology.
CIS Communication and Information System.
CNI Centro Nacional de Inteligencia.
CO Concepto de Operación.
DVD Digital Video Disk.
Digital Versatile Disk.
INFOSEC Electronic Information Security.
LOPD Ley Orgánica de Protección de Datos de Carácter Personal.
LSO Ley de Secretos Oficiales.
O.M. Orden Ministerial.
OTAN Organización del Tratado del Atlántico Norte.
PDA Personal Digital Assistant.
R.D. Real Decreto.
Sistema Sistema de las Tecnologías de la Información y las Comunicaciones.
STIC Seguridad de las Tecnologías de la Información y las Comunicaciones.
TEMPEST TEMPorary Emanations and Spurious Transmission.
TI Tecnologías de la Información.
TIC Tecnologías de la Información y las Comunicaciones.
UE Unión Europea.
USB Universal Serial Bus.
SIN CLASIFICAR
SIN CLASIFICAR
ANEXO D. REFERENCIAS
[Ref.- 1] Ley 9/1968, de 5 de abril, modificada por la Ley 48/78, de 7 de octubre sobre Secretos Oficiales.
[Ref.- 2] Decreto 242/1969, de 20 de febrero, por el que se desarrollan las disposiciones de la Ley 9/1968, de 5
de Abril, sobre Secretos Oficiales.
[Ref.- 3] Constitución Española.
[Ref.- 4] Orden Ministerial Comunicada 1/1982, de 25 de enero, por la que se aprueban las “Normas para la
Protección de la Documentación y Material Clasificado”.
[Ref.- 5] Acuerdo del Consejo de Ministros 28 de noviembre de 1986.
[Ref.- 6] Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
[Ref.- 7] Real Decreto 994/1999, de 11 de junio, por el que se aprueba el Reglamento de medidas de seguridad
de los ficheros automatizados que contengan datos de carácter personal.
[Ref.- 8] Orden Ministerial Comunicada número 17/2001, de 29 de enero, por la que se aprueba el Manual de
Protección de Materias Clasificadas del Ministerio de Defensa en poder de las empresas.
[Ref.- 9] Orden Ministerial 76/2002, de 18 de abril, por la que se establece la “Política de Seguridad para la
Protección de la Información del Ministerio de Defensa almacenada, procesada, procesada o
transmitida por sistemas de información y telecomunicaciones.
[Ref.- 10] Ley 11/2002 reguladora del Centro Nacional de Inteligencia de 6 de Mayo de 2002.
[Ref.- 11] Real Decreto 421/2004, de 12 de marzo, por el que se regula el Centro Criptológico Nacional.
[Ref.- 12] CCN-STIC-002. Coordinación Criptológica.
[Ref.- 13] CCN-STIC-003. Uso de Cifradores Certificados.
[Ref.- 14] UNE-ISO/IEC 17799:2002. Tecnología de la Información. Código de buenas prácticas para la
Gestión de la Seguridad de la Información.
[Ref.- 15] MAGERIT – versión 2. Metodología de Análisis y Gestión de Riesgos de los Sistemas de
Información. Ministerio de Administraciones Públicas (MAP).
[Ref.- 16] C-M(2002)49. “Security within The North Atlantic Treaty Organisation (NATO)”.
[Ref.- 17] AC/35-D/2004. Primary Directive on INFOSEC. 17 June 2002.
AC/322-D/0052.
[Ref.- 18] AC/35-D/2005. INFOSEC Management Directive for Communication and Information Systems
(CIS).
[Ref.- 19] 2001/264/CE. Decisión del Consejo de 19 de marzo de 2001 por la que se adoptan las normas de
seguridad del Consejo.
[Ref.- 20] Propuesta de Decisión marco 2002/C 203 E/16 de 19 de abril de 2002, relativa a los ataques de los
que son objeto los sistemas de información.
[Ref.- 21] 2004/194/CE. Decisión del Consejo de 10 de febrero de 2004 que modifica la Decisión 2001/264/CE
por la que se adoptan las normas de seguridad del Consejo.
[Ref.- 22] FIPS PUB 199. Standards for Security Categorization of Federal Information and Information
Systems. December 2003.
SIN CLASIFICAR

001-Seguridad de Las TIC en La Administr - Desconocido

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

001-Seguridad de Las TIC en La Administr - Desconocido

Uploaded by

Copyright:

Available Formats

SIN CLASIFICAR

POLÍTICA DE SEGURIDAD DE LAS TIC

 Editor y Centro Criptológico Nacional, 2006

Tirada: 1000 ejemplares

Centro Criptológico Nacional i

La serie de documentos CCN-STIC se ha elaborado para dar cumplimiento a esta función,

Centro Criptológico Nacional ii

Centro Criptológico Nacional iii

ANEXO A. GUÍA DE EQUIVALENCIAS ENTRE GRADOS DE CLASIFICACIÓN DE LA

Tabla 1. Guía de equivalencias entre grados de clasificación de la información.......................................... 33

Centro Criptológico Nacional iv

7. En concreto, las funciones que el Real Decreto asigna al CCN son:

a) Elaborar y difundir normas, instrucciones, guías y recomendaciones para

b) Formar al personal de la Administración especialista en el campo de la seguridad

Centro Criptológico Nacional 5

d) Valorar y acreditar la capacidad de los productos de cifra y de los sistemas de las

e) Coordinar la promoción, el desarrollo, la obtención, la adquisición y puesta en

f) Velar por el cumplimiento de la normativa relativa a la protección de la

g) Establecer las necesarias relaciones y firmar los acuerdos pertinentes con

9. El desarrollo de la llamada Sociedad de la Información implica que, cada vez más, la

16. Realizar el desarrollo de las actividades expresadas en el el Real Decreto 421/2004,

18. Los responsables de Sistemas de la Administración que manejen información no

5.1. INFORMACIÓN NACIONAL CLASIFICADA

20. El imperativo de proteger la seguridad y defensa del Estado conlleva la necesidad de

Centro Criptológico Nacional 7

23. El Decreto 242/1969, por el que se desarrolla lo dispuesto en la Ley anterior,

− los responsables de la protección de las materias clasificadas deberán asegurar el

− la posesión o uso de información o material clasificados estará limitado a lugares

− la transmisión del material clasificado se hará “… por medios de transmisión en

24. El Acuerdo de Ministros de 28 de Noviembre de 1986 amplía esta protección a toda

26. Determinados Ministerios, en virtud de las especiales características de todo orden

27. Por tanto, en la Administración es posible encontrar información nacional clasificada

Centro Criptológico Nacional 8

31. Se considera conveniente que se apliquen los requisitos de seguridad establecidos

5.2. SEGURIDAD DE LA INFORMACIÓN

− Seguridad de las personas (Personnel Safety, en terminología inglesa).

35. Aunque la confidencialidad es la cualidad generalmente asociada a la seguridad de la

Centro Criptológico Nacional 9

36. Para garantizar que la información posee y mantiene las cualidades de

− La mente de las personas.

− Seguridad ligada al Personal (Personnel Security, en terminología inglesa).

40. Por tanto, la STIC, al objeto de conseguir una protección adecuada de la

Centro Criptológico Nacional 10

6. PRINCIPIOS DE SEGURIDAD GENERALES

− Identificar a las personas que acceden a la información manejada por un sistema o

Centro Criptológico Nacional 11

7. SEGURIDAD DEL ENTORNO DE OPERACIÓN

7.1. DE SEGURIDAD LIGADA AL PERSONAL

48. La seguridad deberá comprometer a todos los miembros de la organización,

49. La distribución de la información nacional clasificada se llevará a cabo sobre los

50. La autorización para acceder a la información clasificada está establecida en el

52. Cualquier infracción de seguridad deberá comunicarse a la Autoridad

7.2. DE SEGURIDAD FÍSICA

Centro Criptológico Nacional 12

7.3. DE SEGURIDAD DE LOS DOCUMENTOS

56. Los documentos que contengan información nacional clasificada RESERVADO o

57. Para la protección de los documentos que contengan información nacional

8. SEGURIDAD DE LAS TIC

8.1. PRINCIPIOS DE SEGURIDAD

58. Los principios de seguridad necesarios para cumplir los objetivos de

Centro Criptológico Nacional 13

− Control de configuración. Se debe mantener una configuración básica del

8.2. MODOS SEGUROS DE OPERACIÓN