- Actualizada la Guía CCN-STIC 301. Requisitos STIC de Difusión Limitada.
- Entre los cambios introducidos en este nuevo documento figura la actualización de los requisitos específicos para las infraestructuras inalámbricas.
- Esta instrucción técnica es de obligado cumplimiento para todos los sistemas que manejen información clasificada y aborda requisitos específicos para estaciones de trabajo, redes de área local, dispositivos móviles, herramientas de seguridad e infraestructuras inalámbricas (WLAN).
El CCN ha actualizado la Guía CCN-STIC 301. Requisitos STIC, de Difusión Limitada, cuyo objeto es establecer los requisitos STIC mínimos, que deben implementarse en los sistemas que manejen información clasificada. Esta instrucción técnica es de obligado cumplimiento para todos los sistemas que manejen información clasificada constituyendo el nivel mínimo de protección exigible.
Los requisitos específicos recogidos en la Guía CCN-STIC 301 se han agrupado en los siguientes apartados: Identificación y Autenticación, Control de Acceso, Auditoría de Seguridad, Integridad, Disponibilidad, Gestión de la configuración, Gestión de la seguridad, Garantía, Pruebas de Seguridad, Respuesta a Incidentes y Virtualización. Todos ellos han sido definidos de acuerdo a los principios de mínima funcionalidad y mínimo privilegio.
Además, el documento incluye un anexo actualizado con los requisitos específicos para las infraestructuras inalámbricas basadas en el estándar 802.11 (Wi-Fi) que manejan información clasificada. Éstos solo se podrán emplear en sistemas que manejen información clasificada DIFUSIÓN LIMITADA o equivalente, aunque excepcionalmente, la AAS/AAS-D podría autorizar su uso para el tratamiento de información clasificada con el grado de CONFIDENCIAL o superior. En todos los casos, las soluciones de infraestructura inalámbrica basadas en el estándar 802.11 y los productos o mecanismos criptográficos utilizados en la VPN para proteger la confidencialidad de la información deberán estar incluidos en la guía CCN-STIC 105 Catálogo de Productos STIC.
Los responsables de la implantación de este tipo de infraestructuras deben determinar los riesgos y amenazas que implican utilizar transmisiones inalámbricas aplicando las medidas de seguridad apropiadas para cumplir con los requisitos y objetivos marcados.
Acreditación de un Sistema
Recordemos que una de las condiciones para la acreditación de un Sistema es el cumplimiento de los requisitos STIC determinados en este documento que, por otra parte, constituyen el nivel mínimo de protección exigible, que deberá ser completado con los requisitos obtenidos en el análisis de riesgos preceptivo. El procedimiento de acreditación de seguridad, entre otros requisitos, confirmará que las medidas de seguridad que satisfacen los requisitos STIC se encuentran implementadas en los sistemas antes de manejar información clasificada.
CCN-CERT (21/07/2017)
