1 181 Table of Contents 183 236

Seguritecnia 472

182 SEGURITECNIA Febrero 2020 Opinión sabotaje, manifestaciones, intentos de robo, transferencias de información, etc., a base de establecer canales de informa- ción para neutralizar el acceso y la apro- piación indebida de documentos y ma- teriales en sus diferentes entornos de se- guridad (global y local) y, por ende, en su Zona de Acceso Restringido. Consta de los documentos siguientes: Informe de Instalaciones, Procedimien- tos de Seguridad y Plan de Emergencia. Legislación Desde la Ley 9/1968 de 5 de abril, sobre Secretos Oficiales, actualmente en vigor, se ha desarrollado multitud de norma- tiva que aplicar, que va desde el desarro- llo de las disposiciones de la Ley de Se- cretos Oficiales, la Ley de Transparencia, acceso a la Información pública y buen gobierno, la Ley de contratos del sector público en los ámbitos de la defensa y de la seguridad, la Ley y el Reglamento por la que se establecen medidas para la Protección de las Infraestructuras Críti- cas, hasta las normas de la ANPIC, multi- tud de Guías y Orientaciones. Las normas de la ANPIC son las que aparecen en la imagen de la pirámide. Intercambio de información Para que las empresas y organismos españoles puedan intercambiar Infor- Centro Criptológico Nacional, también adscrito al CNI. Plan de Protección El Plan de Protección pretende dejar evidencia objetiva de que las medidas de seguridad implantadas dentro de la Zona de Acceso Restringido de la em- presa son conforme a las normas que exige la ANPIC. En este documento se definen tanto las medidas de seguridad física, como las de seguridad del per- sonal y de la información, así como los Procedimientos Organizativos de Segu- ridad, de obligado cumplimiento. Todo ello constituye un entorno de seguri- dad definido, estudiado y adaptado a la normativa vigente, que permite el ma- nejo o almacenamiento seguro de la In- formación Clasificada. Así quedarán re- flejadas las acciones y actuaciones de protección a realizar a partir del estudio y observación de los posibles riesgos en cuanto a la protección de las mate- rias clasificadas (documentos, informa- ciones y materiales) nacional, OTAN, UE y/o ESA encomendados al Servicio de Protección de la empresa. El propósito general del Plan de Pro- tección y los conceptos básicos de ac- tuación son conocer con antelación, me- diante dispositivos de disuasión, vigi- lancia y reacción, los posibles actos de trabajo aislada (ordenador, servidor o si- milar). Esta estación deberá estar acredi- tada siguiendo las siguientes fases: 1. Inicio del proceso de acreditación. 2. Elaboración y aprobación de la docu- mentación de seguridad. 3. Implementación del sistema y de su entorno de seguridad 4. Inspección del sistema y de su en- torno de seguridad. 5. Acreditación. 6. Explotación del sistema. Se entiende por acreditación la cer- tificación (otorgada a un sistema de in- formación por la autoridad responsable de acreditación) de la capacidad para manejar Información Clasificada hasta un grado determinado, o en unas de- terminadas condiciones de integridad o disponibilidad, con arreglo a su docu- mento “Concepto de Operación”. Para cumplir con la acreditación, será necesario instalar, poner en marcha y configurar software , programas, par- ches, antivirus, etc., en el ordenador, así como en los periféricos y dispositivos asociados que se vayan a acreditar, así como sus modificaciones o no confor- midades que puedan detectarse en las inspecciones que realizará la entidad acreditadora. Además, es necesario redactar, cum- plimentar y actualizar los documen- tos “Declaración de Requisitos Específi- cos de Seguridad”, “Concepto de Ope- ración”, “Procedimientos Operativos de Seguridad”, así como redactar un análi- sis de riesgos formal, teniendo la cuenta los documentos mencionados. También habrá que cumplir los requi- sitos exigidos en materia Tempest, con la emisión de la preceptiva certificación ZONING por parte del organismo com- petente. La Acreditación de Sistemas de se- guridad de las tecnologías de la infor- mación y las comunicaciones que ma- nejen Información Clasificada OTAN/ UE o de otros Estados con los que Es- paña tiene suscrito acuerdos bilate- rales es responsabilidad de la ANPIC, mientras que los aspectos técnicos de la acreditación son responsabilidad del

RkJQdWJsaXNoZXIy ODM4MTc1