Nueva Guía CCN-STIC a implementar en Sistemas Clasificados

  • Este documento se puede descargar en la parte privada del portal del CCN-CERT.
  • La Guía CCN-STIC-301 de Medidas de Seguridad TIC a Implementar en Sistemas Clasificados es una instrucción técnica de obligado cumplimiento para todos los Sistemas que manejen información clasificada.
  • El documento incluye tres anexos con los requisitos STIC específicos para sistemas que manejan información clasificada, otro para aquellos que son hasta Difusión Limitada, así como un tercero con la declaración de aplicabilidad ENS Categoría ALTA para Difusión Limitada.

Ya se encuentra disponible para su consulta, en la parte privada del portal del CCN-CERT, la Guía CCN-STIC-301 de medidas de seguridad de las TIC a Implementar en Sistemas Clasificados. El objeto de esta instrucción técnica es establecer los requisitos STIC mínimos que deben implementarse en los sistemas de las Administraciones Públicas, cuando manejen información clasificada en los modos seguros de operación “dedicado”, “unificado al nivel superior” o “compartimentado”.

La Guía es especialmente necesaria en un contexto de incremento de los ciberataques, unido a las posibles consecuencias que para un país tendría que un incidente de seguridad afectase a sus Sistemas que manejan información clasificada. Todo ello implica la necesidad de incrementar y mejorar de las capacidades de prevención, monitorización, vigilancia y respuesta, a través de los Centros de Operaciones de Ciberseguridad (SOC), como forma de optimizar sus recursos en función de la información que manejan y los servicios que prestan.

El contenido de esta guía, de obligado cumplimiento para todos los Sistemas que manejen información clasificada, está estructurado en función de tres anexos diferenciados:

  • Anexo A: Requisitos STIC específicos para sistemas que manejan información clasificada
  • Anexo B: Requisitos STIC específicos para sistemas que manejan información clasificada hasta difusión limitada
  • Anexo C: Declaración de Aplicabilidad ENS categoría ALTA para difusión limitada.

Un aspecto importante del documento es que se incluyen, por primera vez, las medidas de seguridad a aplicar con el Anexo II del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica. De este modo, las medidas a las que se refieren los apartados anteriores tomarán estas como referencia.

CCN-CERT (21/01/2020)

Guía CCN-STIC-301

 

Ministerio de Defensa
CNI
CCN
CCN-CERT