OR-ASIP-04-01 - CNI - Centro Nacional de Inteligencia · 2016-10-26 · OFICINA NACIONAL DE...

OFICINA NACIONAL DE SEGURIDAD

OR-ASIP-04-01.05

ORIENTACIONES PARA EL MANEJO

DE INFORMACIÓN CLASIFICADA CON

GRADO DE “DIFUSIÓN LIMITADA

O EQUIVALENTE”

OFICINA NACIONAL DE SEGURIDAD MANEJO INFORMACIÓN DIFUSIÓN LIMITADA

(OR-ASIP-04-01.05)

- Pág. 2 de 25 -

ÍNDICE

1. INTRODUCCIÓN ............................................................................................................ 3

2. OBJETO ............................................................................................................................ 3

3. ALCANCE ......................................................................................................................... 4

4. INFORMACIÓN CLASIFICADA “DIFUSIÓN LIMITADA O EQUIVALENTE” . 4

5. CLASIFICACIÓN DE SEGURIDAD DE LA INFORMACIÓN ................................ 5

6. ESTRUCTURA DE PROTECCIÓN DE LA INFORMACIÓN CLASIFICADA ..... 6

7. ACCESO A LA INFORMACIÓN DIFUSIÓN LIMITADA ........................................ 8

8. USUARIO DE LA INFORMACIÓN CLASIFICADA ................................................. 8

9. JEFE DE SEGURIDAD ................................................................................................... 9

10. SEGURIDAD EN EL PERSONAL ............................................................................... 10

11. SEGURIDAD FÍSICA .................................................................................................... 11

12. SEGURIDAD DE LA INFORMACIÓN ...................................................................... 13

12.1. GENERALIDADES..................................................................................................... 13

12.2. DISTRIBUCIÓN ......................................................................................................... 13 12.3. ALMACENAMIENTO ................................................................................................. 14 12.4. REPRODUCCIÓN ...................................................................................................... 15

12.5. DESTRUCCIÓN ......................................................................................................... 15 12.6. TRANSMISIÓN ......................................................................................................... 15

12.7. TRATAMIENTO DE LOS ESCRITOS DE REMISIÓN........................................................ 17

12.8. COMPROMETIMIENTO DE LA INFORMACIÓN CLASIFICADA ....................................... 17

13. CESIÓN DE INFORMACIÓN DIFUSIÓN LIMITADA ........................................... 18

14. SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN Y COMUNICACIONES

........................................................................................................................................... 19

14.1. GENERALIDADES..................................................................................................... 19 14.2. ACREDITACIÓN DE SISTEMAS CIS ........................................................................... 20

14.3. DELEGACIÓN DE LA AUTORIDAD DE ACREDITACIÓN ............................................... 20 14.4. PROCEDIMIENTO DE ACREDITACIÓN ........................................................................ 21

14.5. REQUISITOS BÁSICOS PARA “DIFUSIÓN LIMITADA O EQUIVALENTE” ............... 21

15. GLOSARIO ..................................................................................................................... 22

ANEXO I - CERTIFICADO DE INSTRUCCIÓN Y COMPROMISO DE RESERVA .. 25


(OR-ASIP-04-01.05)

- Pág. 3 de 25 -

1. INTRODUCCIÓN

La información es un recurso corporativo, un activo de gran valor para la organización. El

objeto de la información es aportar el conocimiento necesario para poder actuar con seguridad,

eficacia y oportunidad, tanto en el cumplimiento de la misión como en el proceso de toma de

decisiones o consultas.

Existe una responsabilidad individual y colectiva de que la información esté accesible,

disponible y utilizable para aquellas entidades que requieran dicha información para acometer

sus tareas y servicios oficiales. Ello constituye el principio de la responsabilidad de compartir

(en inglés: “Responsibility to Share”), que estará limitado en su alcance por el cumplimiento

previo de las condiciones de acceso, especialmente la necesidad de conocer (en inglés: “Need

to Know”).

La responsabilidad de compartir lleva implícita una difusión mínima de la información; ésta

sólo se difundirá a quien la precise para cumplir con sus cometidos oficiales, al objeto de evitar

las duplicaciones o difusiones innecesarias, que suponen una vulneración de la seguridad.

En este sentido hay que tener en cuenta que cuando hablamos de información no nos estamos

refiriendo sólo a documentos en papel, sino también a cualquier material (armamento, piezas

industriales…), o a aquella información contenida en sistemas de información y

comunicaciones.

En función de su origen, distinguimos entre información clasificada nacional (la que ha sido

generada por los organismos del Estado y clasificada por los órganos con competencias para

ello), e información clasificada internacional (la que ha sido generada por los organismos u

organizaciones internacionales de los que España es país miembro, o por otros países con los

que España ha concluido un acuerdo para la protección de información clasificada).

2. OBJETO

El objeto principal de estas orientaciones es aportar un manual básico de referencia para uso,

principalmente, por aquellos organismos y entidades que necesitan manejar y custodiar

información clasificada hasta un grado máximo de “DIFUSIÓN LIMITADA o equivalente”, y

que, por tanto, no precisan constituir ningún órgano de control.

Por otro lado, estas orientaciones pretenden refundir en un único documento y exponer de

forma clara y concreta, las normas y prácticas de seguridad a aplicar por las personas,

organismos y entidades, para garantizar una adecuada protección de la información clasificada

con grado de “DIFUSION LIMITADA o equivalente”.

Las especiales características de la información clasificada con este grado, al no requerir de

una habilitación personal de seguridad (HPS), ni de una instrucción de seguridad tan

exhaustiva de las personas que han de acceder a la misma, aconsejan el hacer un documento

específico que defina las pautas para el adecuado tratamiento de dicha información.

No obstante lo anterior, para un tratamiento más en detalle se pueden consultar las Normas de

la Autoridad Nacional para la Protección de la Información Clasificada, promulgadas por la

ANPIC (en adelante, Normas de la ANPIC).


(OR-ASIP-04-01.05)

- Pág. 4 de 25 -

3. ALCANCE

Estas orientaciones son de aplicación a todas las personas que por sus funciones deban acceder

a información clasificada con el grado de “DIFUSION LIMITADA o equivalente”, y a los

organismos y entidades en que se maneje.

4. INFORMACIÓN CLASIFICADA “DIFUSIÓN LIMITADA O EQUIVALENTE”

Información clasificada es aquella información (lo que incluye también a material) sobre la que

se ha decidido que requiere un nivel de protección para evitar su revelación o acceso no

autorizado, dado el perjuicio que ello produciría a los intereses y seguridad nacionales. El nivel

de protección viene determinado por su clasificación de seguridad. Su clasificación de

seguridad, o grado de clasificación, será mayor en tanto que el perjuicio potencial resultante de

su difusión no autorizada sea también mayor.

El grado de clasificación de DIFUSION LIMITADA se aplicará a la información cuya

revelación no autorizada o utilización indebida pueda ser contraria a los intereses de España en

los siguientes ámbitos:

a) El efectivo desarrollo de las políticas del Estado o el funcionamiento del sector

público;

b) negociaciones políticas o comerciales de España frente a otros Estados;

c) los intereses económicos o industriales;

d) funcionamiento de los servicios públicos;

e) dificultar la investigación o facilitar la comisión de delitos, o

f) cualquier otro que pueda causar una amenaza o perjuicio para los intereses de España.

La información clasificada procedente de organizaciones internacionales de las que España

forma parte, o de países con los que España ha firmado acuerdos de seguridad, se basa en

grados de clasificación similares y asimilables a los utilizados en España, según se definen en

las respectivas políticas de seguridad. La información clasificada de grado DIFUSIÓN

LIMITADA tiene equivalencia con NATO RESTRICTED, RESTREINT UE/EU

RESTRICTED, ESA RESTRICTED, etc. Todos ellos están sometidos a requisitos de

protección similares.

En este sentido, en adelante se utilizará la expresión “DIFUSIÓN LIMITADA o equivalente”

para referirse a información clasificada tanto nacional como internacional que merezca el

mismo tratamiento de seguridad, con independencia de su tipo (ámbito de origen), y que solo

dependerá del grado de clasificación. Por tanto refiere tanto a información DIFUSIÓN

LIMITADA, como a NATO RESTRICTED, ESA RESTRICTED, RESTREINT UE/EU

RESTRICTED, etc.

La información clasificada con grado de “DIFUSIÓN LIMITADA o equivalente”, conforme se

explica en detalle en la norma NS/04 de las Normas de la ANPIC, es información clasificada

registrable, pero no es información clasificada controlada. Esto significa que no está sometida

al estricto régimen de control del sistema de registro de la información “CONFIDENCIAL o

equivalente” y superior.


(OR-ASIP-04-01.05)

- Pág. 5 de 25 -

La información tendrá un originador, bajo cuya autoridad o tutela la información es producida,

dentro del ámbito de una organización internacional, estado u organismo subordinado. El

originador define quién ostenta la propiedad inicial de la información clasificada.

La información tendrá un propietario claramente establecido que, en este caso, es la

organización internacional, estado u organismo dueño de la información, es decir, que ostenta

su propiedad. En último extremo, si no es posible determinarlo, vendrá determinado por la

propia marca de clasificación de origen.

El propietario de la información es el que define las reglas por las que se rige su manejo, en

línea con la normativa aplicable, y define los criterios para que pueda producirse una

transferencia de la propiedad, si admite esa posibilidad.

La propiedad de la información puede ser transferida. No debe confundirse con la distribución

o la cesión de información, que no implica un cambio de propietario de la misma, sino

únicamente de custodio. En este sentido, cuando España recibe por ejemplo información

OTAN, con la marca NATO estampillada en su clasificación de seguridad (por ejemplo,

NATO RESTRICTED), la propiedad de dicha información continúa siendo de OTAN, aunque

su custodia y usuarios serán de España.

5. CLASIFICACIÓN DE SEGURIDAD DE LA INFORMACIÓN

Por clasificación se entiende el acto formal por el cual la autoridad de clasificación, u órgano

legislativo, asigna a una información un grado de clasificación en atención al riesgo que

supone su revelación no autorizada para la seguridad y defensa del Estado o sus intereses, con

la finalidad de protegerla.

Una vez aprobado por la autoridad u órgano legislativo correspondiente, el grado de

clasificación de la información no podrá cambiarse, reducirse ni eliminarse sin un nuevo acto

formal por parte de dicha autoridad u órgano, salvo que en el acto de su clasificación inicial se

indique que el grado de clasificación de la información puede reducirse o eliminarse en cierta

fecha o ante ciertos eventos.

Tendrán facultad para clasificar de DIFUSIÓN LIMITADA las siguientes autoridades en el

ámbito de su competencia, pudiendo delegar oficialmente dicha atribución:

a) Presidente y Vicepresidente del Gobierno

b) Los Ministros, Secretarios de Estado y Subsecretarios, en sus respectivos

Departamentos.

c) Jefe del Estado Mayor de la Defensa.

d) Jefe del Estado Mayor del Ejército.

e) Almirante Jefe del Estado Mayor de la Armada.

f) Jefe del Estado Mayor del Ejército del Aire.

g) Presidente del Consejo de Seguridad Nuclear.

Las autoridades de clasificación tendrán las siguientes atribuciones:

a) Aprobar o desestimar las propuestas de clasificación.


(OR-ASIP-04-01.05)

- Pág. 6 de 25 -

b) Emitir la diligencia de clasificación.

c) Modificar el grado de clasificación de la información o su plazo de vigencia.

d) Disponer las directivas de clasificación.

e) Delegar la facultad de clasificación, si está autorizado.

Las organizaciones internacionales establecen en su normativa la necesidad de seguir unos

criterios restrictivos al asignar esta función y delegan la responsabilidad de designar a las

autoridades de clasificación en los responsables de los componentes militares y agencias (caso

de OTAN), o en los directores generales (caso del Consejo de la UE, Comisión Europea o

Agencia Espacial Europea), y en los propios estados miembros. No establecen diferencias en

este sentido en cuanto al grado de clasificación.

El originador de la información es responsable de aplicar los criterios de clasificación definidos

en una norma de ley, directiva o diligencia/guía de clasificación, al proponer la clasificación de

seguridad de una información.

Una vez asignado el grado de clasificación a una determinada información, se marcará sobre el

soporte de la misma, de forma adecuada y claramente visible, y se registrará en un órgano de

control competente para el grado de clasificación.

Aquellos organismos o entidades que no tengan órgano de control, por manejar solo

información clasificada hasta “DIFUSIÓN LIMITADA o equivalente” no precisarán su

anotación en el sistema de registro, salvo en aquellos casos en que explícitamente se señale por

el propietario de la información que daba hacerse (esto puede ser habitual para información

custodiada en empresas contratistas). En todo caso, los libros de registro de entrada y salida de

documentación o materiales llevarán el control de movimientos de esta información, debiendo

especificar claramente su grado de clasificación.

Los organismos o entidades autorizados a manejar información clasificada solo hasta grado

“DIFUSIÓN LIMITADA o equivalente”, al no disponer de órgano de control, no tendrán

capacidad, ni autorización, para marcar información clasificada de nueva creación de ese

grado, salvo que explícitamente le otorgue el propietario de la información esa capacidad y

autorización, para lo cual deberá proveerle de las guías de clasificación, directivas o

diligencias, que precise. Por tanto, salvo en este último caso, solo podrán manejar y custodiar

información clasificada “DIFUSIÓN LIMITADA o equivalente” que les sea entregada por una

organización externa que sí tenga dicha capacidad y autorización.

6. ESTRUCTURA DE PROTECCIÓN DE LA INFORMACIÓN CLASIFICADA

Como norma general, los ministerios y organismos de la Administración, así como entidades

civiles que manejen regularmente información clasificada, deberán tener establecidos sus

respectivos servicios de protección de información clasificada (SPIC), tanto nacional como

internacional, con una estructura de órganos de control dependientes, que se ocupen del

manejo, custodia y protección de la información clasificada. Su funcionamiento y

responsabilidades se definen detalladamente en las Normas de la ANPIC.

Sin embargo, podrán existir organismos o entidades, que solo precisen manejar o custodiar

información clasificada con grado de “DIFUSIÓN LIMITADA o equivalente”, y que por tanto

no dispongan de ningún órgano de control para hacerse cargo de la misma.


(OR-ASIP-04-01.05)

- Pág. 7 de 25 -

En este caso, los requisitos a exigir y pasos a seguir, para autorizar a un organismo o entidad el

manejo y custodia en sus instalaciones de información clasificada con grado de “DIFUSIÓN

LIMITADA o equivalente”, serán:

Si el organismo o entidad depende orgánicamente de una organización superior con

una estructura de protección de información clasificada establecida, se deberá dirigir a

aquella para solicitar la autorización. En otro caso, deberá dirigir su solicitud oficial de

autorización a la ONS.

Una vez establecido el órgano superior ante quien tramitar la solicitud, este estudiará

el caso, y le orientará sobre los pasos concretos a dar y requisitos a cumplir, dado que

la casuística puede ser muy variada en función del organismo o entidad solicitante y su

experiencia previa de manejo de información.

Como mínimo el organismo o entidad solicitante deberá proponer:

Un jefe de seguridad.

Una zona administrativa de protección.

El órgano superior puede solicitar o ejercer otras medidas o verificaciones adicionales,

entre otras, según considere preciso:

Aprobar o denegar el nombramiento de la persona propuesta como jefe de

seguridad, conforme a su idoneidad para el puesto.

Aprobar o denegar la zona administrativa de protección.

Instruir o verificar la instrucción de seguridad del jefe de seguridad.

Solicitar un plan de protección de la zona administrativa de protección.

Exigir HPS de grado “CONFIDENCIAL o equivalente” al jefe de seguridad, en

su caso.

Solicitar el listado actualizado de personal que va a acceder a la información

clasificada.

Solicitar evidencia objetiva de la instrucción de seguridad impartida al personal

que va a acceder a la información clasificada.

Exigir medidas adicionales de seguridad en la zona administrativa de protección.

Inspeccionar la zona administrativa de protección.

Emitir certificado de acreditación de la zona administrativa de protección, tras su

inspección de seguridad.

Una vez satisfechos todos los requisitos, el órgano superior autorizará al organismo o

entidad a manejar y custodiar información clasificada con grado de “DIFUSIÓN

LIMITADA o equivalente”, en las condiciones e instalaciones aprobadas, que se

procurará vayan incluidas en el escrito de autorización, o documento anexo, con el

mayor detalle. Esta autorización deberá ser siempre formal, mediante escrito oficial. El

órgano superior llevará registro de las autorizaciones concedidas. Esta autorización

mantendrá su vigencia en tanto no cambien las condiciones e instalaciones aprobadas.

En el caso de que el órgano solicitante sea una empresa contratista, no estará obligada a

obtener una habilitación de seguridad de establecimiento (HSES, necesaria para poder manejar

y almacenar información clasificada con grado de “CONFIDENCIAL o equivalente” en sus

propias instalaciones), y tampoco a obtener una habilitación de seguridad de empresa (HSEM,


(OR-ASIP-04-01.05)

- Pág. 8 de 25 -

necesaria para acceder a información clasificada con grado de “CONFIDENCIAL o

equivalente”).

Dadas las especiales características y particularidades de las empresas contratistas, se ha

elaborado un documento de orientaciones específico (OR-ASIC-01-02), donde se detallan los

requisitos concretos a cumplir por estas.

7. ACCESO A LA INFORMACIÓN DIFUSIÓN LIMITADA

Por difusión se entenderá la comunicación o distribución de información clasificada dentro de

un determinado ámbito, departamento, organismo o entidad.

El acceso a información con grado “DIFUSIÓN LIMITADA o equivalente” y, por tanto su

difusión, con carácter general deberá atenerse a las siguientes condiciones:

Su contenido no debe ser revelado al público, o a personal no autorizado.

Solamente estará a disposición del personal que requiera acceso a dicha información,

quien deberá tener la oportuna “necesidad de conocer”.

Las personas que dispongan de acceso a la misma deberán haber sido instruidas

previamente en el manejo de dicho tipo de información, y serán conscientes de sus

responsabilidades en la protección de la misma.

La difusión será controlada por el responsable de seguridad del servicio de documentación de

la información correspondiente.

Aunque no suponga una amenaza o perjuicio serio para la seguridad, la difusión a personas no

autorizadas deberá evitarse.

8. USUARIO DE LA INFORMACIÓN CLASIFICADA

El usuario es la persona que, en el cumplimiento de sus cometidos oficiales, tiene que acceder

a la información clasificada y, en consecuencia, está debidamente autorizado por su organismo

o entidad y cumple los requisitos de acceso.

La condición de usuario no implica ningún derecho o prerrogativa especial sobre la propiedad

de la información clasificada. El usuario tendrá la custodia de la información clasificada, en

tanto esté asignada a su cargo. El usuario asume las siguientes responsabilidades:

Dar la adecuada protección a la información clasificada a su cargo.

Conocer y cumplir la normativa específica de seguridad de su organismo o entidad,

referentes a la protección de la información clasificada.

Mantener la debida reserva ante terceros sobre su condición de usuario de información

clasificada.

No manejar la información clasificada al margen de los canales oficialmente

establecidos.

Cooperar con el responsable de seguridad de su organismo o entidad en todo aquello

que se relacione con la seguridad de la información clasificada en su puesto de trabajo,


(OR-ASIP-04-01.05)

- Pág. 9 de 25 -

en su entorno laboral y en las actividades y foros en que intervenga.

Mantener la reserva sobre la información clasificada a la que tuvo acceso, incluso una

vez haya finalizado la necesidad de su uso.

9. JEFE DE SEGURIDAD

El organismo o entidad que vaya a manejar y custodiar información clasificada con grado de

“DIFUSIÓN LIMITADA o equivalente”, y que no disponga previamente de un servicio de

protección de información clasificada u órgano de control (subregistro o punto de control)

competente, deberá proponer un jefe de seguridad para la protección de la información

clasificada de dicho grado, al que se encomendarán las siguientes misiones, una vez el órgano

superior haya aprobado su nombramiento:

Responsabilizarse del cumplimiento de las medidas de seguridad a aplicar,

principalmente de la existencia de una zona administrativa de protección y de su

aprobación por el órgano superior.

Controlar la información clasificada manejada por el organismo o entidad.

Instruir a todo el personal que vaya a acceder a información con grado “DIFUSION

LIMITADA o equivalente”, sobre las medidas de protección necesarias, así como de

las establecidas en el presente documento.

Controlar la relación del personal con acceso a esta información en su organismo o

entidad y las correspondientes declaraciones formales de instrucción y de compromiso

de reserva, cuando se utilicen (modelo en anexo I).

Investigar las incidencias que hayan podido afectar a dicha información, así como

aprobar las medidas tomadas para corregir los daños y evitar su repetición.

Para el mejor desempeño de su función, se deberá difundir dicho nombramiento, según se

precise, dentro de su organismo o entidad, de forma que todo el personal conozca su existencia

y sus responsabilidades, y cumpla sus indicaciones sobre protección de la información.

El jefe de seguridad deberá conocer y consultar con frecuencia las Normas de la ANPIC y los

documentos de Orientaciones desarrollados por la Oficina Nacional de Seguridad (ONS), en la

idea de que, como responsable de la protección de la información clasificada, ha de estar

familiarizado con los conceptos y los procedimientos que le afectan.

Es potestad del jefe de seguridad inspeccionar las instalaciones y puestos de trabajo donde se

custodia y maneja información con grado “DIFUSION LIMITADA o equivalente”, cuando lo

considere oportuno, lo que hará con cierta frecuencia.

Cuando en un organismo o entidad se vaya a manejar o custodiar una cantidad importante de

información clasificada de este grado, se podrá determinar por la ONS la obligación de que el

jefe de seguridad deba disponer de HPS de grado “CONFIDENCIAL o equivalente” para los

tipos de información que se manejen. Este requisito en ningún caso significará ni habilitará el

que en ese organismo o entidad se pueda manejar información clasificada de grado superior al

de “DIFUSIÓN LIMITADA o equivalente”.


(OR-ASIP-04-01.05)

- Pág. 10 de 25 -

10. SEGURIDAD EN EL PERSONAL

No se precisa disponer de HPS para acceder a información con grado “DIFUSIÓN LIMITADA

o equivalente”.

El contenido de la información con grado “DIFUSION LIMITADA o equivalente” no debe ser

revelado al público, a personal no autorizado o a cualquier otro organismo o entidad fuera de

los cauces autorizados.

Las personas con acceso a información con grado “DIFUSION LIMITADA o equivalente”

deberán cumplir los siguientes requisitos:

Tener “necesidad de conocer”. La información con grado “DIFUSION LIMITADA o

equivalente”, estará a disposición sólo del personal que requiera acceso a dicha

información en el cumplimiento de sus cometidos. Nadie, en virtud de su cargo,

categoría en la administración, o cualquier otra circunstancia similar, contará con

derecho a acceder a información clasificada. La necesidad de conocer normalmente

vendrá determinada por el superior jerárquico del interesado, asesorado por el

responsable de seguridad del organismo o entidad.

Haber sido instruidas en el manejo de dicho tipo de información y ser conscientes de

sus responsabilidades en la protección de la misma, conforme a la normativa aplicable,

resumida en el presente documento.

Declarar que comprenden y conocen las responsabilidades penales y disciplinarias en

que pudieran incurrir por la divulgación no autorizada de esta clase de informaciones,

bien sea voluntariamente o por negligencia, por acción u omisión. En el anexo I se

incluye un modelo de declaración formal de instrucción recibida y compromiso de

seguridad adquirido. El responsable de seguridad determinará la necesidad o no de uso

de una declaración formal, en función de las posibilidades de instrucción periódica del

personal. Para contratistas y entidades no oficiales, esta declaración tendrá carácter

obligatorio.

Como se ha indicado anteriormente, la responsabilidad de la instrucción de seguridad recae en

el jefe de seguridad del organismo o entidad. Esta instrucción es un requisito previo para el

acceso efectivo a la información clasificada.

La instrucción de seguridad se define como aquellas consignas y conocimientos que deben ser

impartidos a cada individuo para mantenerle informado de las amenazas contra la seguridad,

hacerle consciente de sus vulnerabilidades y concienciarle de sus responsabilidades para

prevenir unas y otras. La instrucción en seguridad es un proceso continuo que no permite que

el sujeto se estanque en sus conocimientos y que asegura que es consciente, en todo momento,

de sus responsabilidades. El sujeto debe saber qué es lo que puede hacer dentro de su

organización y lo que no puede hacer, en relación con el manejo de la información clasificada.

El propósito de la instrucción de seguridad es sensibilizar al individuo sobre la necesidad de la

seguridad, de la interiorización de los procedimientos para llevarla a efecto y de la asunción de

sus responsabilidades personales. Consecuentemente el interesado, de forma consciente,

adoptará las necesarias precauciones de seguridad como parte normal de sus cometidos.

Todas las personas autorizadas a acceder a información clasificada, o que tengan que

manejarla, serán alertadas, al menos una vez al año, sobre los peligros que entrañan para la


(OR-ASIP-04-01.05)

- Pág. 11 de 25 -

seguridad las conversaciones indiscretas con personas que no tengan necesidad de conocer, su

relación con los medios de comunicación y la amenaza que representan las actividades de los

servicios de inteligencia extranjeros. Las personas serán advertidas de su obligación de

notificar inmediatamente, al jefe de seguridad de su organismo o entidad, cualquier

aproximación o maniobra que consideren sospechosa o fuera de lo corriente.

En función del puesto ocupado y la correspondiente necesidad de conocer, la instrucción de

seguridad podrá variar de unas personas a otras. Conviene que cada organización elabore un

plan de instrucción general, para todo el personal que pueda acceder a información clasificada,

y otros planes particulares o anexos, para los casos concretos.

11. SEGURIDAD FÍSICA

La información con grado de clasificación de “DIFUSIÓN LIMITADA o equivalente” se

manejará y custodiará como mínimo en zonas de seguridad que sean zonas administrativas de

protección, con las excepciones que se establecen en las Normas de la ANPIC para el caso de

su transmisión o transporte, o por autorizaciones puntuales.

Las zonas administrativas de protección son instalaciones con un perímetro claramente

definido dentro del cual existe un control de las personas, materiales y vehículos, que pueden

acceder y permanecer en dicha zona.

Estas instalaciones no precisan ser oficialmente acreditadas (salvo que el órgano superior

determine, pero sí serán declaradas y estarán perfectamente definidas y controladas como tales,

especialmente para conocimiento de los usuarios de dichas instalaciones.

Tendrán las siguientes características, o medidas de seguridad:

La puerta deberá tener un control de acceso que limite la entrada y salida, previa

identificación positiva de la persona.

Deberá contar con detectores de intrusión que permitan alertar de un intento de acceso

no autorizado a la zona a través de cualquier punto.

Contarán con mobiliario adecuado para guardar bajo llave la información clasificada

con grado de “DIFUSIÓN LIMITADA o equivalente”.

Aquellas otras medidas de seguridad que se considere preciso implantar como

consecuencia de la realización de un análisis de riesgos no formal, teniendo en cuenta

las amenazas y vulnerabilidades concretas de la zona y su entorno y del personal.

Una zona administrativa de protección podrá extenderse a todo el entorno global de seguridad

(los entornos se definen en la norma NS/03 de las Normas de la ANPIC), siempre que en el

perímetro y accesos a dicho entorno se contemplen las medidas de seguridad indicadas, y el

movimiento y circulación interior de personas esté controlado. En este caso, la información

clasificada “DIFUSIÓN LIMITADA o equivalente” se manejará y custodiará en entornos

locales de seguridad definidos ubicados dentro de la zona administrativa de protección.

Conviene que estos entornos locales de seguridad dispongan de unas mínimas medidas de

seguridad adicionales, especialmente si el volumen de información manejado o almacenado es

alto. En concreto, tener cerraduras de seguridad en puertas y ventanas, disponer de paramentos

definidos y acabados de cierta resistencia (especialmente si tienen muros exteriores hacia zonas


(OR-ASIP-04-01.05)

- Pág. 12 de 25 -

no controladas), disponer de rejas o sensores de rotura en ventanas sobre muros exteriores a

menos 5,5 metros de altura sobre suelo, etc.

En el caso de que no exista un entorno global de seguridad definido, será preciso adoptar todas

las medidas de seguridad en el propio entorno local de seguridad, y definirlo propiamente

como la zona administrativa de protección. Al no haber entorno global de protección, las

medidas de seguridad deben concentrarse en el entorno local, con la vulnerabilidad de que, al

no haber una zona controlada alrededor, sino que el entorno inmediato tiene ya la

consideración de hostil, las amenazas y vulnerabilidades se incrementan. Todo ello debe ser

estudiado en un análisis no formal de riesgos y definir las medidas de seguridad necesarias.

Las organizaciones deberán designar un responsable de seguridad para cada zona

administrativa de protección que se constituya y difundir dicho nombramiento, según se

precise para el mejor desempeño de su función.

Dicho responsable, si es persona distinta, dependerá funcionalmente del jefe de seguridad del

organismo o entidad, y deberá adquirir la formación adecuada a las responsabilidades que

asume, especialmente en lo relativo a la protección de la información clasificada de grado

“DIFUSIÓN LIMITADA o equivalente” que se maneje en su zona de responsabilidad.

En instalaciones no oficiales, como por ejemplo empresas contratistas, en que se vaya a

almacenar información con grado de clasificación de “DIFUSIÓN LIMITADA o equivalente”,

se exigirán medidas y procedimientos de protección adicionales para las zonas administrativas

de protección que hayan de construir, debido a un mayor nivel de riesgo existente. Por dicho

motivo cobra mayor importancia el hacer el análisis de riesgos no formal, en base al que se

determinarán las medidas de seguridad a adoptar para disminuir ese riesgo a un nivel aceptable

para el propietario de la información. En cualquier caso, serán obligatorias las siguientes

medidas en los entornos locales de seguridad de la zona administrativa de protección:

Las paredes, techo y suelo, deberán ofrecer el mismo nivel de resistencia, siendo las

paredes de ladrillo macizo, como mínimo de medio pie. Las paredes irán desde el

verdadero suelo hasta el verdadero techo.

Cuando los mismos muros de un edificio constituyen, en parte o por completo, el

perímetro de seguridad, todas las ventanas y conductos situados en zonas sin vigilancia

permanente y a menos de 5,5 metros por encima del nivel del suelo, o a igual distancia

de tejados o cornisas accesibles, deberán protegerse con una reja, o cristal blindado o

sensor de rotura.

Las ventanas existentes en los paramentos deberán ser opacos o translúcidos, de forma

que se impida cualquier visión nítida desde el exterior.

Todos los conductos de ventilación de cierto tamaño deberán protegerse.

La puerta de acceso será blindada o de madera maciza de 5 cm de espesor, sin cumplir

ninguna norma especial. Dispondrá de un dispositivo que obligue a la puerta a

permanecer cerrada cuando no se esté franqueando.

Dispondrá de detectores de presencia y/o de movimiento (IDS), como mínimo de doble

tecnología, conectados a un Servicio de Control de Alarmas, de manera que se cubra la

zona en su totalidad, salvo que la instalación esté ocupada por personal presente las 24

horas al día. Estos sistemas dispondrán de dispositivos anti sabotaje.

En el interior del entorno local de seguridad se ubicarán armarios blindados, con

cerradura de seguridad, donde se custodiarán obligatoriamente las materias clasificadas

durante los períodos de tiempo en que no se estén manejando.


(OR-ASIP-04-01.05)

- Pág. 13 de 25 -

Se establecerá un mínimo plan de protección (como mínimo los procedimientos de

seguridad), para definir los procedimientos de activación de sensores, de custodia de

llaves, custodia de la información clasificada, enlace con el Servicio de Control de

Alarmas, etc.

12. SEGURIDAD DE LA INFORMACIÓN

12.1. Generalidades

La información clasificada, durante su ciclo de vida, siempre estará asignada a un responsable

(órgano o persona) de su custodia, quien podrá variar, pero nunca dejar de existir. Dicho

custodio manejará y cederá la información bajo su custodia conforme a la normativa

establecida por el propietario de la información, o acordada con el mismo.

Los documentos o materiales, así como anexos, copias, traducciones o extractos de los mismos,

con información con grado de clasificación de “DIFUSIÓN LIMITADA o equivalente”,

estarán marcados en forma de sellado, mecanografiado, impreso o escrito, con la marca

DIFUSIÓN LIMITADA, si es información nacional, o la equivalente que corresponda al tipo

de información de que se trate (NATO RESTRICTED, ESA RESTRICTED, etc.), en negrita y

con mayúsculas, en la cabecera y el pie de cada página.

El material o los soportes informáticos, ópticos, acústicos o registros electrónicos que

contengan información con grado “DIFUSION LIMITADA o equivalente”, estarán

debidamente marcados, bien sobre el propio material o, de no ser factible, sobre el contenedor

que lo albergue, de modo que cualquier destinatario del mismo perciba inequívocamente la

presencia de la clasificación.

Para el resto de los casos se deberá consultar la normativa particular de seguridad

correspondiente que le sea de aplicación o, en su defecto, aplicar criterios equivalentes a los

aquí establecidos.

La información clasificada de grado “DIFUSIÓN LIMITADA o equivalente” no necesita ser

registrada en registros específicos de información clasificada.

No obstante lo anterior, se deberá mantener actualizado el libro de registro de entrada y salida,

en formato papel o electrónico, donde figurarán los movimientos de información clasificada

registrable recibida como destinatario, o emitida como originador o remitente, por el

organismo o entidad.

12.2. Distribución

La información clasificada con grado de “DIFUSIÓN LIMITADA o equivalente”, se manejará

como mínimo en zonas administrativas de protección de los distintos organismos o entidades

de recepción, una vez determinado que éstos cumplen los requisitos reglamentarios para

hacerse cargo de la misma.

La información será registrada a la entrada y salida de los distintos órganos de recepción,

supervisada por parte del responsable de seguridad.


(OR-ASIP-04-01.05)

- Pág. 14 de 25 -

En el ámbito de las Administraciones y Fuerzas Armadas, y su personal, la información

clasificada con grado “DIFUSIÓN LIMITADA o equivalente” puede circular libremente entre

órganos de control y entre usuarios, siempre que no existan limitaciones previas a su difusión y

que los destinatarios cumplan las condiciones de acceso (tener necesidad de conocer y haber

sido instruidos en el manejo de la información clasificada), y las de manejo y custodia

establecidas para dicho grado, siendo responsabilidad de quien la entrega verificar que se

cumplen dichas condiciones por parte del destinatario.

La información con grado “DIFUSIÓN LIMITADA o equivalente” distribuida a entidades no

oficiales, como por ejemplo empresas contratistas con ocasión de su participación en proyectos

o programas clasificados, se regirá por criterios más restrictivos, no estando autorizados los

usuarios a distribuir la información de este grado que reciban, la cual deberá circular siempre

por los registros autorizados, si existen, o en otro caso, conforme a las instrucciones

particulares que reciba del propietario de la información.

No será necesario realizar ni mantener actas de destrucción, ni hojas de control de acceso de

la información clasificada con este grado, a menos que sea expresamente requerido por el

propietario de la misma.

No será necesario el empleo de recibos de recepción, a menos que sea requerido por el

remitente de la información clasificada.

12.3. Almacenamiento

Como se ha indicado anteriormente, la información clasificada con grado “DIFUSIÓN

LIMITADA o equivalente” deberá manejarse y almacenarse en zonas administrativas de

protección.

Cuando la información de este grado es almacenada con información en claro del mismo tipo

(OTAN, por ejemplo), no es necesaria su compartimentación, salvo que existan restricciones

por diferente necesidad de conocer.

Sin embargo, cuando se almacene junto a información de igual grado, o inferior, y de distinto

tipo (por ejemplo, OTAN y UE), es conveniente y se aconseja el mantener la

compartimentación. En este sentido, en función del nivel de riesgo presente, esta

compartimentación podrá ir desde el simple almacenamiento en carpetas distintas, a tener que

usar contenedores de seguridad o zonas de seguridad distintas.

Estas medidas facilitan en gran manera el control de la información y la actuación en caso de

emergencia (evacuación o destrucción por prioridades). En caso de inspecciones evitan que se

pueda acceder a información no autorizada (por ejemplo, una inspección de la Unión Europea).

La información clasificada puede ser almacenada en sistemas de información y

comunicaciones y en soportes informáticos, siempre que el sistema se encuentre acreditado y

esté autorizado por la autoridad competente, de forma que en su protección se garanticen

medidas de seguridad no menos rigurosas que para los documentos sobre papel u otros

soportes físicos. Estos sistemas han de asegurar igualmente, de forma física o lógica, la

compartimentación indicada en los párrafos anteriores, así como cuanto se indica en la

normativa específica sobre modos seguros de operación de los sistemas.


(OR-ASIP-04-01.05)

- Pág. 15 de 25 -

Todos los soportes externos o removibles, en caso de contener información clasificada, estarán

marcados para el grado máximo de clasificación alguna vez contenida, y tendrán la

consideración de documentos.

12.4. Reproducción

Las copias, extractos y traducciones de información con grado de “DIFUSIÓN LIMITADA o

equivalente” podrán ser realizados por individuos con acceso autorizado a la información.

Estarán sujetos y deberán manejarse con los mismos requisitos de seguridad que los originales.

Los equipos utilizados para la reproducción deberán estar físicamente protegidos para evitar un

uso no autorizado respecto a la información clasificada (especialmente si tienen dispositivos de

memoria o conexión remota).

12.5. Destrucción

La información con grado de “DIFUSIÓN LIMITADA o equivalente”, cuando esté obsoleta o

ya no sea útil, deberá ser físicamente destruida, de manera que se imposibilite su

reconstrucción total o parcial.

Los borradores, anotaciones, o copias anuladas, con información con grado de “DIFUSION

LIMITADA o equivalente”, deberán destruirse.

Los documentos, materiales y soportes informáticos que contengan información con grado de

“DIFUSION LIMITADA o equivalente” deberán ser revisados periódicamente para

determinar su posible destrucción.

En caso de utilizar trituradoras para destruir documentos, estas deberán realizar un corte

máximo de 2 mm de ancho y 20 mm de largo, sin superar un área de 30 mm2 (nivel P-5 de la

norma DIN 66399, sin restricción). Son válidos, por ejemplo, los cortes: 1,5 mm. x 20 mm, y

2,0 mm. x 15 mm.. Las máquinas dispondrán de capacidad para operar manualmente y su

diseño no permitirá almacenar documentación sin destruir. El material triturado debe ser

removido para mezclar su contenido, y de esta manera dificultar su posible reconstrucción.

12.6. Transmisión

El envío por cualquier medio, sea físico o tecnológico, de información clasificada de un

remitente a un destinatario, bien personas o bien órganos de control, constituye una

transmisión de información clasificada.

Esta transmisión se puede hacer con medios físicos, como puede ser el correo postal, transporte

personal, correo oficial diplomático o militar, etc., que es lo que se conoce habitualmente como

transporte, y también puede realizarse por medios tecnológicos, por ejemplo: transmisión por

fax, teléfono u otras tecnologías de la información y de las comunicaciones.

En toda transmisión hay un remitente y un destinatario (o varios). Remitente es la persona

autorizada o cargo concreto, organismo o entidad que decide o inicia el envío de una

información clasificada. Podrá ser de origen, si es quien ha confeccionado la información que

se transmite, o no serlo, cuando simplemente transmita, a un tercero, información recibida

anteriormente de otro remitente. En cualquier caso, cumplirá con las limitaciones de difusión


(OR-ASIP-04-01.05)

- Pág. 16 de 25 -

que fije el propietario de la información. Destinatario es la persona o cargo concreto,

organismo o entidad final a la que se envía dicha información clasificada.

Como norma general, el método preferible de transmisión de información clasificada, no sólo

por cuestiones de inmediatez, sino también por la mayor seguridad y menor riesgo que supone,

será el de transmisión por medios tecnológicos.

En segunda preferencia estará el transporte en soportes informáticos protegidos por un

producto criptológico aprobado, del grado adecuado. En este caso tendrá el mismo tratamiento

y se podrá transportar por los mismos medios que si se tratara de información no clasificada,

por lo que no precisará medidas especiales de protección de la confidencialidad.

En el ámbito de la seguridad industrial, por sus especiales características o por necesidades

operativas y de eficacia, se podrán establecer métodos o requisitos específicos de transporte,

que garanticen un mayor control y seguimiento. Así, por ejemplo, algunos materiales

clasificados, principalmente no documentales, por motivo de su naturaleza, criticidad, riesgo o

presentación, pueden requerir normas específicas para su transporte, que habitualmente se

incluyen dentro de lo que se denomina un plan de transporte, documento que se trata en la

norma NS/06 de las Normas de la ANPIC.

Los documentos clasificados con grado de “DIFUSION LIMITADA o equivalente” podrán ser

preparados para su envío en claro a sus destinatarios en sobre sencillo, opaco, sin marca

exterior de clasificación, ni indicios de su contenido. No obstante, podrá hacerse uso de doble

sobre cuando sea preciso ocultar cualquier evidencia del contenido, debido al sistema de

transporte elegido. Para materiales clasificados se seguirán criterios análogos adoptados a la

presentación y forma concreta de los mismos.

Corresponde al remitente preparar adecuadamente la información clasificada para su

transporte. Previamente se anotarán en el registro de entrada y salida, como salida, los datos de

identificación de dicha información.

Los medios de transporte autorizados para el transporte en claro de la información clasificada

con grado de “DIFUSION LIMITADA o equivalente” que serán más comúnmente empleados

por los organismos o entidades autorizados a manejar únicamente este grado de clasificación

son los que se indican a continuación (para una lista más exhaustiva se deberá consultar la

norma NS/04 de las Normas de la ANPIC):

Transporte en mano dentro de un mismo recinto o edificio, para lo cual la información

irá en sobre cerrado, maletín o en una carpeta, que no permitan ver su contenido. No se

necesita para ello una autorización formal por escrito.

Transporte dentro del territorio nacional:

Transporte personal. No es necesaria habilitación personal de seguridad, ni

autorización expresa, siempre que se haga en el cumplimiento de cometidos

oficiales y no existan limitaciones a su circulación.

Servicio estatal de correos. La información podrá remitirse por correo nacional

certificado.

Transporte con el extranjero:


(OR-ASIP-04-01.05)

- Pág. 17 de 25 -

Transporte personal. La información puede ser transportada por una persona,

con o sin habilitación de seguridad, instruida en su manejo, y con la autorización

correspondiente, formal y por escrito, del jefe de seguridad del órgano de control

del organismo o entidad externo propietario de la información a transportar.

Servicio estatal de correos. La información podrá remitirse por correo

certificado a través de servicios de correos internacionalmente reconocidos.

La información “DIFUSION LIMITADA o equivalente” no deberá transmitirse por sistemas

de comunicación no autorizados para dicho grado o superior, en especial vía internet. Será

obligatorio el que se utilicen medios de cifra expresamente autorizados por el Centro

Criptológico Nacional (CCN) y se someta al sistema de información y comunicaciones a un

proceso de acreditación.

12.7. Tratamiento de los escritos de remisión

En muchas ocasiones se suele enviar información clasificada precedida de un oficio, carátula

de fax o escrito de remisión, asignándosele una referencia nueva propia del remitente y distinta

a la propia y específica de la información clasificada transmitida. En estos casos es conveniente

seguir unas pautas de actuación, siempre que sea posible, que se indican a continuación:

Cuando se envíe una información clasificada que tenga su referencia propia se tratará

en lo posible de no añadir escrito de remisión. Se hará uso del recibo de transporte para

incluir las instrucciones precisas para su tratamiento en destino.

Cuando se incluya un escrito de remisión (cualquier oficio, carátula de fax, escrito,

etc.), se procurará no incluir información clasificada en el mismo. El escrito de

remisión, en este caso, deberá llevar la clasificación que le corresponda por

agregación, pero incluirá una marca adicional de limitación, similar a: “escrito no

clasificado cuando esté separado del anexo”, que irá justo debajo de la marca de

clasificación.

La referencia del escrito de remisión será la que figure en los libros en entrada y salida,

con indicación en observaciones de la referencia del documento anexo clasificado.

En caso de que sea necesario hacer comentarios de carácter clasificado referidos a una

información clasificada, se enviará un escrito distinto, con su propia identificación de

registro de información clasificada, en lugar de incluir dichos comentarios en el oficio

de remisión que acompaña a la información clasificada referida. Esta práctica señalada

permite mantener la trazabilidad de cada información por separado y facilita el

correcto control y registro de ambas, especialmente cuando el originador de cada

información clasificada es distinto.

Es importante que el jefe de seguridad instruya convenientemente, sobre estos aspectos, a todo

el personal responsable de generar escritos y autorizar la transmisión de información

clasificada, en el organismo o entidad al que sirven.

12.8. Comprometimiento de la información clasificada

Un comprometimiento (violación o fallo) de la información clasificada ocurre como resultado

de una acción u omisión contraria a la normativa de seguridad, o por un fallo en los sistemas o

medidas de protección, que puede suponer que la misma caiga, completa o en parte, en manos

de persona no autorizada, e incluso, sin llegar a ocurrir tal cosa, que las circunstancias hayan

ocasionado la simple posibilidad de que tal evento hubiera ocurrido.


(OR-ASIP-04-01.05)

- Pág. 18 de 25 -

También tendrán la consideración de comprometimiento los ataques contra la integridad o

disponibilidad de la información clasificada, especialmente en el ámbito de los sistemas de

información y comunicaciones.

Todo usuario de información clasificada está obligado a informar inmediatamente a su jefe de

seguridad, por el canal adecuado, de cualquier comprometimiento que pueda conocer.

Tras ser informado, el jefe de seguridad:

Adoptará de manera inmediata las medidas necesarias en orden a restablecer la

seguridad y a prevenir situaciones similares a la sucedida.

Informará inmediatamente al jefe del organismo o entidad al que pertenece.

Realizará una investigación preliminar para clarificar los hechos y responsabilidades y

valorar en una primera estimación el daño potencial causado. En el menor plazo

notificará todo ello, junto con las medidas iniciales adoptadas, a las autoridades

apropiadas.

Se informará al órgano superior o a la ONS, según su dependencia, de la pérdida o

comprometimiento de información clasificada con grado de “DIFUSIÓN LIMITADA o

equivalente”, cuando se cumpla alguno de los siguientes supuestos:

El comprometimiento se ha producido bajo circunstancias inusuales, que pudieran

hacer sospechar de una voluntariedad.

Existen indicios o sospechas de espionaje.

Se ha revelado de manera no autorizada información a medios de comunicación

social.

Pérdida o sustracción de equipos (tecnologías de información y comunicaciones) o de

soportes de almacenamiento masivo de información. Por ejemplo: dispositivos

removibles, soportes de back-up, cifradores u ordenadores portátiles.

El comprometimiento es originado por personal de una entidad no oficial, ajena a la

Administración, por ejemplo, de una empresa contratista, o se ha producido en sus

instalaciones.

13. CESIÓN DE INFORMACIÓN DIFUSIÓN LIMITADA

Se entiende por cesión de información clasificada la entrega de dicha información, que está

bajo la custodia del que la cede, a un tercero. Por tercero, en este contexto, se entiende un

tercer estado, una organización internacional, etc., e incluso una persona representante de los

mismos, que tiene la característica fundamental de ser ajeno a quien ostenta la propiedad de

dicha información y, por tanto, no está de antemano autorizado a acceder a la misma. No es

cesión la distribución o difusión de la información a un órgano o persona, autorizado y sin la

consideración de tercero, dentro del propio país u organización que ostenta la propiedad de la

misma.

La cesión de información clasificada está expresamente prohibida salvo autorización por

escrito del propietario de dicha información.

La cesión será controlada por el responsable de seguridad y se cederá, según el criterio de


(OR-ASIP-04-01.05)

- Pág. 19 de 25 -

necesidad de conocer, sólo aquella información con grado “DIFUSION LIMITADA o

equivalente” sujeta a dicha condición, una vez determinado que existe la autorización expresa

para ello y que el órgano receptor cumple los requisitos reglamentarios para hacerse cargo de la

misma.

En el ámbito de la seguridad industrial, los contratistas no podrán estar autorizados en ningún

caso a la cesión de información clasificada con carácter general, siendo precisa la validación

caso por caso de la correspondiente oficina de programa u órgano de contratación, según

corresponda.

14. SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN Y COMUNICACIONES

14.1. Generalidades

En este apartado se resumen las condiciones específicas de manejo de información clasificada

con grado de “DIFUSIÓN LIMITADA o equivalente” en sistemas de información y

comunicaciones (CIS, por su sigla más conocida, en inglés), y las condiciones que han de

cumplir dichos sistemas para autorizar el manejo de dicha información en ellos.

La información clasificada almacenada, procesada o transmitida (en adelante manejada) por

sistemas de información y comunicaciones (en otros documentos o normativas se utiliza la

expresión tecnologías de la información y las comunicaciones), en adelante sistemas, debe

protegerse contra la pérdida de confidencialidad, integridad y disponibilidad, sea accidental o

intencionada. Asimismo, debe impedirse la pérdida de integridad y disponibilidad de los

propios sistemas que sustentan dicha información, y garantizarse la autenticidad y no repudio

de las personas, dispositivos, servicios y entidades que acceden o procesan dicha información.

Con el objetivo de conseguir una adecuada protección, se deberá aplicar en los sistemas un

conjunto equilibrado de medidas de seguridad, de distinta naturaleza (técnicas, físicas, en el

personal y documentales), que permitan la creación de un entorno seguro para el manejo de la

información clasificada, sostenido en el tiempo.

Corresponde a la ANPIC, responsable de la protección de la información clasificada en los

ámbitos de su competencia, establecer cuáles habrán de ser las medidas de seguridad a

implementar en los sistemas y verificar su correcta aplicación, a través de un proceso de

acreditación, que podrá ser delegado.

Llegado el caso particular de un sistema dado, si el resultado de esta verificación es

satisfactorio, la ANPIC, o la autoridad en quien haya podido delegar, en tanto autoridad de

acreditación de seguridad (AAS), procederá a la emisión de un certificado de acreditación

para el sistema, por el que se le autoriza para el manejo de información clasificada en las

condiciones establecidas.

A los efectos de este documento de orientaciones, se considera la seguridad criptológica

incluida dentro de la seguridad en los sistemas de información y comunicaciones. Asimismo, el

concepto de seguridad en los sistemas de información y comunicaciones se considerará

sinónimo del de seguridad de las tecnologías de la información y las comunicaciones (STIC).


(OR-ASIP-04-01.05)

- Pág. 20 de 25 -

14.2. Acreditación de sistemas CIS

El proceso de acreditación de un sistema tiene como finalidad determinar que se ha alcanzado,

y que se mantiene, una adecuada protección de la información clasificada cuando es manejada

en dicho sistema. Esta verificación se realizará de acuerdo a los criterios de seguridad

establecidos en las Normas de la ANPIC y en otros documentos que se refieren en estas,

especialmente las normas CCN/STIC.

Se entiende por autoridad de acreditación de seguridad (AAS), la autoridad competente para

autorizar, o no, el uso de un sistema para manejar información clasificada, en unas condiciones

determinadas y definidas, tras el proceso de su acreditación. Si el resultado de este proceso es

satisfactorio y el riesgo residual final es admisible, dicha autoridad procederá a la emisión de

un certificado de acreditación para dicho sistema.

Corresponde a la ANPIC actuar como AAS, dentro de su ámbito de competencia, pudiendo

delegar dicha función. Cuando dicha capacidad sea delegada, será la autoridad delegada quien

asuma las competencias, en los términos y con las limitaciones que se definan, no pudiendo

delegar a su vez esta función.

Por tanto, la acreditación es el acto formal por el que la AAS, reconoce, tras el proceso de

acreditación, la capacidad de un sistema para manejar información clasificada de un

determinado ámbito o propietario (nacional, OTAN, etc.), hasta un determinado grado de

clasificación y en unas condiciones determinadas, para lo que otorgará el correspondiente

certificado de acreditación, por el que se autoriza dicho uso.

La acreditación tiene un carácter temporal, por lo que deberá renovarse siempre que transcurra

su plazo de validez o que se produzcan cambios que supongan una modificación

suficientemente relevante de las condiciones de seguridad.

Todo cambio significativo en las condiciones de seguridad del sistema invalida su acreditación.

Se deberá informar con antelación a la AAS de cualquier cambio previsto en la configuración

del sistema, en sus requisitos de operación o en el grado de clasificación de la información que

va a manejar. La AAS aconsejará sobre las implicaciones que los mencionados cambios

puedan tener para la seguridad de la información clasificada manejada por el sistema.

14.3. Delegación de la autoridad de acreditación

En aquellos casos en que la necesidad lo justifique, y solo en aquellos organismos o entidades

que dispongan de los medios, formación y recursos necesarios para su adecuada ejecución, la

ANPIC podrá delegar las competencias de acreditación de sistemas que manejen información

clasificada con grado de “DIFUSIÓN LIMITADA o equivalente” en la autoridad pertinente de

dicho organismo o entidad.

Para que esta delegación se materialice, el organismo o entidad deberá disponer de estructuras

STIC de la organización, de operación STIC y de control de material de cifra.

La ANPIC será informada puntualmente por cada autoridad delegada de todos los sistemas que

acrediten derivado de estas delegaciones, para lo que remitirán copia de cada certificado de

acreditación emitido.


(OR-ASIP-04-01.05)

- Pág. 21 de 25 -

14.4. Procedimiento de acreditación

El procedimiento de acreditación de un sistema CIS que vaya a manejar o almacenar

información clasificada con grado de “DIFUSIÓN LIMITADA o equivalente” se regula en la

norma NS/05 de las Normas de la ANPIC, donde se hace referencia a la normativa CCN/STIC,

que también es de obligado cumplimiento. Serán de aplicación aquellos requisitos que sean de

carácter general, para cualquier grado de clasificación, así como los específicos al grado de

clasificación concreto del sistema CIS.

No se detalla el procedimiento en este documento de orientaciones dado que sería muy extenso

e incompleto, y se perdería la necesaria visión de conjunto que se le da en la normativa que lo

regula.

14.5. Requisitos básicos para “DIFUSIÓN LIMITADA o equivalente”

Las instalaciones en las que se utilizan CIS para manejar o almacenar información clasificada

con grado de “DIFUSIÓN LIMITADA o equivalente”, deberán estar constituidas y declaradas

como zonas administrativas de protección.

El local en que se ubica el sistema CIS no precisa de certificación ZONING (medición de la

atenuación hacia el exterior de las radiaciones producidas dentro del local). Los equipos que

componen el sistema CIS tampoco precisan certificación TEMPEST (medición de la radiación

que produce un equipo).

Los organismos y entidades que necesiten disponer de sistemas CIS, deberán contar con una

mínima estructura de seguridad, responsable de la correcta aplicación de la normativa de

seguridad en dichos sistemas. El personal que compone dicha estructura de seguridad debe

estar nombrado e instruido para dicha función, tanto en el ámbito técnico, como operacional.

La composición y cometidos de esta estructura dependerán del organismo o entidad, estando

regulado en la normativa de seguridad CCN/STIC.

Para estos sistemas CIS, aun cuando el procedimiento marca como opcional el incluir en la

documentación de seguridad la declaración de requisitos específicos de seguridad (DRES),

deberán cumplir con los requisitos establecidos en el documento CCN-STIC 301 para dicho

grado de clasificación.

La documentación básica de seguridad a tramitar para la acreditación de los sistemas CIS

estará constituida por:

Análisis de riesgos no formal, es decir, que no precisa de la herramienta PILAR (del

CCN) para efectuar dicho análisis.

Concepto de Operación.

Declaración de requisitos específicos de seguridad (DRES), con carácter opcional,

aunque la AAS podrá obligar a su confección.

Procedimientos operativos de seguridad (POS).

Declaración de zona administrativa de protección.

La interconexión de estos sistemas con otros sistemas de menor clasificación o con internet,

deberá cumplir los requisitos establecidos en el documento CCN-STIC 302. En caso de existir


(OR-ASIP-04-01.05)

- Pág. 22 de 25 -

una interconexión se deberá añadir a la documentación de seguridad la declaración de

requisitos de seguridad de la interconexión (DRSI).

Con objeto de limitar el riesgo de comprometimiento de la información manejada en estos

sistemas, se aconseja adoptar las siguientes medidas mínimas, obligatorias en caso de

transporte del equipo fuera de las instalaciones autorizadas:

Cifrado del disco duro del equipo mediante un mecanismo autorizado para dicho grado

o superior, ó llevar la información en soporte removible adecuadamente cifrado y

etiquetado.

Aplicación de la configuración de seguridad aprobada al equipo que maneje esta

información.

15. GLOSARIO

Autoridad Nacional de Seguridad (ANS): Cargo ejercido conjuntamente por la Ministra de

la Presidencia, el Ministro de Asuntos Exteriores y de Cooperación y el Ministro de Defensa.

Su misión es ser el máximo representante de la protección de la información clasificada

OTAN/UE/ESA en España. Vela, asimismo, por el cumplimiento de las normas adoptadas en

los acuerdos para la protección de la información clasificada suscritos por nuestro país en

materia de intercambio de materias clasificadas.

Autoridad Nacional para la Protección de la Información Clasificada (ANPIC): Nombramiento que recae en el Secretario de Estado-Director del CNI. Su misión consiste en

ejercer las funciones que le corresponden a la ANS (por delegación) y las relativas a protección

de la información clasificada marcadas en la Ley 11/2002, reguladora del CNI.

CCN: Centro Criptológico Nacional.

Clasificación: Acto formal por el cual se asigna a una información un grado de clasificación

en atención al riesgo que supone su revelación no autorizada para la seguridad y defensa del

Estado o sus intereses, con la finalidad de protegerla.

Comprometimiento de la información: Cualquier violación de la seguridad que acontece

como resultado de una acción u omisión que infrinja las normas de seguridad establecidas y

que puede poner en riesgo la integridad, confidencialidad o disponibilidad de dicha

información. Ello incluye el acceso de personas no autorizadas a la información clasificada o a

las zonas donde se maneja la misma.

Concepto de operación: Declaración expresa sobre el objeto o función del sistema de

información y comunicaciones, el tipo de información que va a ser manejada, las condiciones

de explotación, y las amenazas a las que estará sometido.

Confidencialidad: Aseguramiento de que la información es accesible sólo para aquellos

autorizados a tener acceso.

Declaración de requisitos específicos de seguridad (DRES): Documento con la exposición

completa y detallada de los principios de seguridad que deben observarse y de los requisitos de

seguridad que se han de implantar en un sistema de información y comunicaciones conforme al


(OR-ASIP-04-01.05)

- Pág. 23 de 25 -

correspondiente análisis de riesgos realizado previamente.

Disponibilidad: Aseguramiento de que los usuarios autorizados tienen acceso cuando lo

requieran a la información clasificada y sus activos asociados.

Documento: Cualquier soporte que contenga información registrada, en cualquier formato

físico (escrito, impreso, cinta, fotografía, mapa, dibujo, esquema, nota, soporte informático,

óptico o vídeo, etc.). El más tradicional es el formato papel, aunque cada día se hace un uso

más extensivo (a veces exclusivo) de los soportes informáticos.

Grado de clasificación: La calificación concreta de seguridad que se asigna a una determinada

información clasificada, dentro de los niveles de clasificación de seguridad establecidos en la

normativa de seguridad que le sea de aplicación a dicha información. A mayor grado, mayor el

perjuicio que se derivaría de su revelación no autorizada.

HPS: La habilitación personal de seguridad (HPS) es la resolución positiva de la ANPIC por la

que, en nombre del Gobierno del Reino de España, reconoce formalmente la capacidad e

idoneidad de una persona para tener acceso a información clasificada en el ámbito y grado

autorizado, al haber superado el proceso de investigación de seguridad y haber sido

concienciado en el compromiso de reserva que adquiere y en las responsabilidades que se

derivan de su incumplimiento, resolución que se materializa en un documento firmado por la

ANPIC.

Información: Todo conocimiento que puede ser comunicado, presentado o almacenado en

cualquier forma.

Información clasificada: Cualquier información o material respecto del cual se decida que

requiere protección contra su divulgación o acceso no autorizados, con independencia de que

se le haya asignado o no una clasificación de seguridad.

Integridad: Garantía de la exactitud y completitud de la información y los métodos de su

procesamiento.

Necesidad de conocer: Determinación positiva por la que el propietario o, en su defecto, el

responsable de la custodia confirma que una persona necesita manejar determinada

información clasificada para desempeñar servicios, tareas o cometidos oficiales.

Normas de la ANPIC: Conjunto de reglas que, sobre la base de la normativa nacional de

seguridad, así como de OTAN, Unión Europea y Agencia Espacial Europea, constituyen el

marco de referencia básica para la protección de la información clasificada en España. Están

disponibles en la página “web” de la ONS, en la dirección URL:

http://www.cni.es/es/ons/Legislacion/legislacion_nacional

Oficina Nacional de Seguridad (ONS): Órgano de trabajo de la ANPIC, encargado de la

ejecución de sus cometidos.

Órganos de control: Unidades básicas, estructuradas jerárquicamente, que componen los

servicios de protección de información clasificada, que se ocupan del manejo, custodia y

protección de la información clasificada. Según el origen de la información podrán ser órganos

http://www.cni.es/es/ons/Legislacion/legislacion_nacional


(OR-ASIP-04-01.05)

- Pág. 24 de 25 -

de control: nacionales o internacionales. Cada órgano de control estará bajo el mando de un

jefe de seguridad, que contará siempre con un suplente.

Procedimientos operativos de seguridad (POS): Conjunto de documentos que describen las

operaciones concretas sobre cada sistema de información y comunicaciones, mediante las

cuales se materializa el cumplimiento de la declaración de requisitos específicos de seguridad

(DRES).

Seguridad criptológica: Condición que se alcanza cuando se aplica un conjunto de medidas y

procedimientos para garantizar la confidencialidad de la información clasificada mediante la

utilización de métodos y materiales criptológicos durante el almacenamiento o la transmisión

de la misma.

Seguridad de la información: Condición que se alcanza cuando se aplica un conjunto de

medidas y procedimientos establecidos para el correcto manejo y control de la información, en

todo su ciclo de vida, así como para prevenir y detectar los posibles comprometimientos que

puedan afectar a su confidencialidad, integridad o disponibilidad.

Seguridad en el personal: Condición que se alcanza cuando se aplican un conjunto de

medidas eficaces y procedimientos establecidos, para reducir a un grado mínimo aceptable el

riesgo de comprometimiento de la información clasificada por causa debida exclusivamente al

personal que accede a ella, ya sea de forma voluntaria, involuntaria, autorizada o sin

autorización.

Seguridad en los sistemas de información y comunicaciones: Condición que se alcanza

cuando se aplica un conjunto de medidas y procedimientos diseñados para garantizar la

confidencialidad, integridad y disponibilidad de la información manejada mediante sistemas

que incorporan tecnologías de la información y de las comunicaciones (TIC), así como la

integridad y disponibilidad de los propios sistemas.

Seguridad física: Condición que se alcanza en las instalaciones cuando se aplica a estas un

conjunto de medidas de protección eficaces para la prevención de posibles accesos a

información clasificada por parte de personas no autorizadas, así como para proporcionar las

evidencias necesarias cuando se produzca un acceso o un intento de acceso.


(OR-ASIP-04-01.05)

- Pág. 25 de 25 -

ANEXO I - CERTIFICADO DE INSTRUCCIÓN Y COMPROMISO DE RESERVA

El jefe o responsable de seguridad, D/Dª ____________________________________, del

organismo/entidad _____________________________________________, certifica que ha

procedido a la verificación de los datos contenidos en el Documento de Identidad (en vigor) del

interesado (fotografía, firma, nº del DNI/TRE/Pasaporte, nombre y apellidos) y que los mismos

se corresponden con los reflejados debajo, en este impreso. Asimismo, declara haber instruido

a dicho interesado sobre los compromisos y obligaciones que adquiere al tener acceso a

información clasificada con grado de DIFUSIÓN LIMITADA.

De lo que doy fe con mi firma:

En....................., a.….. de......................de 20…...

Firma del responsable/jefe de seguridad

D/Dña.

con DNI (o tarjeta/permiso residente extranjeros, o pasaporte) número

y destinado/a en

con la categoría o cargo

DECLARA:

Se compromete a mantener la debida reserva y a no revelar ninguna información clasificada a

que pudiera tener, o haber tenido, acceso con motivo del cumplimiento de sus obligaciones o

por otro motivo cualquiera, siendo consciente de que dicho deber de reserva permanecerá

vigente de forma permanente. Asimismo declara que comprende perfectamente y conoce las

responsabilidades penales y disciplinarias en que pudiera incurrir por la divulgación no

autorizada de esta clase de informaciones, bien sea voluntariamente o por negligencia, por

acción u omisión, con arreglo a las disposiciones legales y administrativas vigentes.

Y para que conste y surta los debidos efectos ante la autoridad competente para resolver

cualquier incumplimiento, firma la presente declaración.

En....................., a…... de....................de 20......

Firma del interesado

OR-ASIP-04-01 - CNI - Centro Nacional de Inteligencia · 2016-10-26 · OFICINA NACIONAL DE...

Documents

Transcript of OR-ASIP-04-01 - CNI - Centro Nacional de Inteligencia · 2016-10-26 · OFICINA NACIONAL DE...