A información clasificada manexada nun Sistema debe protexerse contra a perda de confidencialidade, integridade, dispoñibilidade, rastrexabilidade e autenticidade, sexa accidental ou intencionada, e debe impedirse a perda de integridade e dispoñibilidade dos propios sistemas que sustentan dita información. E é o Centro Criptolóxico Nacional o encargado de velar polo cumprimento da normativa relativa á protección desta información clasificada.
Por este motivo, o CCN fixo pública guíaa Guía CCN-STIC 101 Acreditación de Sistemas TIC
onde se define o procedemento de acreditación dos sistemas que manexen información clasificada, segundo o establecido na Política de Seguridade do TIC (establecida na Lei 11/2002 do 6 de maio, reguladora do CNI e do Real Decreto 421/2004, do 12 de marzo, polo que se regula o CCN). Todo iso, entendendo por Acreditación á autorización outorgada a un Sistema para manexar información clasificada ata un grao determinado, ou nunhas determinadas condicións de integridade ou dispoñibilidade, de acordo co seu Concepto de Operación (CO).
La Guía ahora actualizada aborda las responsabilidades sobre la acreditación de un sistema (teniendo en cuenta que el Secretario de Estado director del CNI es Autoridad de Acreditación de Seguridad), el proceso de acreditación o la acreditación de las interconexiones. Asimismo, dedica un capítulo amplio a las condiciones para una acreditación y los requisitos exigidos en todo el proceso:
- Documentación de seguridade
- Seguridade da contorna de operación (seguridade persoal, física e dos documentos)
- Seguridade das emanacións
- Seguridade criptolóxica
- Seguridade do TIC
- Avaliación de Seguridade do TIC
Por último, o documento recolle as situacións posibles da acreditación, a súa validez, o período entre avaliacións, a reacreditación, os informes a remitir entre acreditacións e o rexistro de sistemas acreditados.
