Comunicados CCN-CERT

Acreditación de Sistemas que manejan información Clasificada

  • Actualizada la Guía CCN-STIC 101 en la parte pública del portal del CCN-CERT.
  • El documento define el procedimiento de acreditación de los sistemas que manejan información clasificada, según lo establecido en la Política de Seguridad de las TIC de la Ley 11/2002, de 6 de mayo, reguladora del Centro Nacional de Inteligencia (CNI) y del Real Decreto 421/2004, de 12 de marzo, por el que se regula el Centro Criptológico Nacional (CCN).
  • Responsabilidades; condiciones, proceso y validez de una acreditación; acreditación de las interconexiones o la reacreditación de un sistema son algunos de los aspectos abordados en esta Guía CCN-STIC.

La información clasificada manejada en un Sistema debe protegerse contra la pérdida de confidencialidad, integridad, disponibilidad, trazabilidad y autenticidad, sea accidental o intencionada, y debe impedirse la pérdida de integridad y disponibilidad de los propios sistemas que sustentan dicha información. Y es el Centro Criptológico Nacional el encargado de velar por el cumplimiento de la normativa relativa a la protección de esta información clasificada.

Por este motivo, el CCN ha hecho pública la Guía CCN-STIC 101 Acreditación de Sistemas TIC en donde se define el procedimiento de acreditación de los sistemas que manejen información clasificada, según lo establecido en la Política de Seguridad de las TIC (establecida en la Ley 11/2002 de 6 de mayo, reguladora del CNI y del Real Decreto 421/2004, de 12 de marzo, por el que se regula el CCN). Todo ello, entendiendo por Acreditación a la autorización otorgada a un Sistema para manejar información clasificada hasta un grado determinado, o en unas determinadas condiciones de integridad o disponibilidad, con arreglo a su Concepto de Operación (CO).

La Guía ahora actualizada aborda las responsabilidades sobre la acreditación de un sistema (teniendo en cuenta que el Secretario de Estado director del CNI es Autoridad de Acreditación de Seguridad), el proceso de acreditación o la acreditación de las interconexiones. Asimismo, dedica un capítulo amplio a las condiciones para una acreditación y los requisitos exigidos en todo el proceso:

  • Documentación de seguridad
  • Seguridad del entorno de operación (seguridad personal, física y de los documentos)
  • Seguridad de las emanaciones
  • Seguridad criptológica
  • Seguridad de las TIC
  • Evaluación de Seguridad de las TIC

Por último, el documento recoge las situaciones posibles de la acreditación, su validez, el período entre evaluaciones, la reacreditación, los informes a remitir entre acreditaciones y el registro de sistemas acreditados.

Comunicado CCN-CERT (26-07-2016)

 

Ministerio de Defensa
CNI
CCN
CCN-CERT