accesskey_mod_content

Acreditación de Sistemas que manejan información Clasificada

"Noticia disponible únicamente con fines históricos y de hemeroteca. La información y enlaces mostrados se corresponden con los que estaban operativos a la fecha de su publicación. No se garantiza que continúen activos actualmente".

26 julio 2016

logo CCN-CERT

Actualizada la Guía CCN-STIC 101. Este documento define el procedimiento de acreditación de los sistemas que manejan información clasificada, según lo establecido en la Política de Seguridad de las TIC.

La información clasificada manejada en un Sistema debe protegerse contra la pérdida de confidencialidad, integridad, disponibilidad, trazabilidad y autenticidad, sea accidental o intencionada, y debe impedirse la pérdida de integridad y disponibilidad de los propios sistemas que sustentan dicha información. Y es el Centro Criptológico Nacional el encargado de velar por el cumplimiento de la normativa relativa a la protección de esta información clasificada.

Por este motivo, el CCN ha hecho pública la Guía CCN-STIC 101 Acreditación de Sistemas TIC(Abre en nueva ventana) en donde se define el procedimiento de acreditación de los sistemas que manejen información clasificada, según lo establecido en la Política de Seguridad de las TIC (establecida en la Ley 11/2002 de 6 de mayo, reguladora del CNI y del Real Decreto 421/2004, de 12 de marzo, por el que se regula el CCN). Todo ello, entendiendo por Acreditación a la autorización otorgada a un Sistema para manejar información clasificada hasta un grado determinado, o en unas determinadas condiciones de integridad o disponibilidad, con arreglo a su Concepto de Operación (CO).

La Guía ahora actualizada aborda las responsabilidades sobre la acreditación de un sistema (teniendo en cuenta que el Secretario de Estado director del CNI es Autoridad de Acreditación de Seguridad), el proceso de acreditación o la acreditación de las interconexiones. Asimismo, dedica un capítulo amplio a las condiciones para una acreditación y los requisitos exigidos en todo el proceso:

  • Documentación de seguridad
  • Seguridad del entorno de operación (seguridad personal, física y de los documentos)
  • Seguridad de las emanaciones
  • Seguridad criptológica
  • Seguridad de las TIC
  • Evaluación de Seguridad de las TIC

Por último, el documento recoge las situaciones posibles de la acreditación, su validez, el período entre evaluaciones, la reacreditación, los informes a remitir entre acreditaciones y el registro de sistemas acreditados.

Fuente original de la noticia(Abre en nueva ventana)

 

 

  • Seguridad
Suscríbete al canal de youtube del OBSAE
 
Suscríbete al canal de youtube del OBSAE