|
Las Tecnologías de la Información (TI,s) son
un componente esencial de los Sistemas de Información y Telecomunicaciones,
en adelante Sistemas, por cuanto intervienen en todos los niveles y ciclos
en que la información es almacenada, procesada, o transmitida, en adelante
manejada. Al mismo tiempo, el uso de las TI,s implica riesgos cuya
importancia depende profundamente de amenazas que el mismo progreso y
difusión internacional de las TI,s contribuyen a crear. Mucho es el trabajo
que en unión con nuestros aliados se ha realizado para elaborar criterios de
protección de la información conducentes a un uso seguro de las TI,s y que
se plasma en la normativa OTAN entre otras.
En la Directiva núm. 245/1997 de 9
de diciembre, del Ministro de Defensa, por la que se reestructura la
representación en los Organismos relacionados con la estructura de Consulta,
Mando y Control (C3) de la OTAN, una de las misiones básicas derivadas de la
reestructuración consiste en actualizar la normativa C3 nacional conforme a
los criterios acordados con nuestros aliados. Dicha actualización es un
instrumento básico para lograr la mayor eficacia posible en el uso y
capacidad de los Sistemas establecidos en el ámbito nacional de la Defensa.
Los organismos del Ministerio de
Defensa, en el ámbito que a cada uno de ellos compete conforme a los Reales
Decretos al Real Decreto 1883/1996, de 2 de agosto, sobre estructura
orgánica básica del Ministerio de Defensa, y al Real Decreto 1250/1997, de
24 de julio, por el que se constituye la estructura de Mando Operativo de
las Fuerzas Armadas, han venido desarrollando procedimientos para utilizar
las TI,s de manera razonablemente segura en sus Sistemas.
Como resultado de la participación
del Ministerio de Defensa en programas internacionales donde la seguridad de
la información en los Sistemas requiere acuerdos de normalización
específicos, ha sido la constitución del creado el «Esquema de Evaluación de
la Seguridad de las Tecnologías de la Información» dentro de la Comisión de
Homologación de Defensa de la Dirección General de Armamento y Material
(Real Decreto 324/1995, de 3 de marzo, por el que se aprueba el Reglamento
de Homologación de la Defensa), por el que se establece que la Dirección
General de Armamento y Material es responsable de la política de
homologación del Ministerio de Defensa. Lo que permite, en el ámbito de la
Defensa, el proceso de certificación de la seguridad de productos y Sistemas
basados en Tl,s con arreglo a los criterios de evaluación y certificación de
la seguridad de las TI,s que se determinen.
Todo el trabajo desarrollado por
los diversos organismos del Ministerio de Defensa en el campo de la
seguridad de las Tecnologías de la Información, y de la seguridad de la
información cuando es almacenada, procesada o transmitida, manejada por un
Sistema, es ahora unificado bajo una misma Orden Ministerial, la cual recoge
la experiencia acumulada en los ámbitos nacional e internacional, y que
tiene por objeto ampliar y complementar la Orden Ministerial núm. 1/1982, de
25 de enero, por la que se aprueban las normas para la protección de la
documentación y material clasificado y que tiene por objeto ampliar y
complementar la Orden Ministerial núm. 1/1982, de 25 de enero, por la que se
aprueban las «normas para la protección de la documentación y material
clasificado».
Por todo ello y en virtud de las
atribuciones que confiere el artículo 4.1.b de la Ley 50/1997, de 27 de
noviembre, de Organización, competencias y funcionamiento del Gobierno,
dispongo:
Primero.- Finalidad.
La presente Orden tiene por
finalidad establecer la estructura y responsabilidades en materia INFOSEC en
el Ministerio de Defensa, conforme a la definición que del término INFOSEC
se realiza en el apartado siguiente.
Segundo.- Definiciones.
A los efectos de la presente Orden
se definen los siguiente conceptos:
1. INFOSEC: Protección de la
información almacenada procesada o transmitida, por Sistemas de Información
y Telecomunicaciones (Sistemas), mediante la aplicación de las medidas
necesarias que aseguren o garanticen la confidencialidad, integridad y
disponibilidad de la información y la integridad y disponibilidad de los
propios Sistemas.
2. Confidencialidad: Condición de
seguridad que garantiza que la información no pueda estar disponible o ser
descubierta por o para personas, entidades o procesos no autorizados.
3. Integridad: Condición de
seguridad que garantiza que la información no ha sido modificada o alterada
por personas, entidades o procesos no autorizados.
4. Disponibilidad: Situación que se
produce cuando se puede acceder a la información contenida en un Sistema, a
sus recursos y servicios, conforme a las especificaciones del mismo.
5. Sistema de Información y
Telecomunicaciones: Conjunto de equipos, métodos, procedimientos y personal,
organizado de tal forma que permita almacenar, procesar o transmitir
información que está bajo la responsabilidad de una única autoridad, se
aplica una única política INFOSEC, implementa un conjunto de requisitos
específicos de seguridad que se oponen a unas amenazas, vulnerabilidades y
condiciones de explotación determinadas y dispone de una administración,
supervisión y administración de seguridad centralizadas.
6. Sistema de las Tecnologías de la
Información y las Telecomunicaciones: Conjunto de equipos, software y
hardware, organizado de tal forma que permita almacenar, procesar o
transmitir información y que implementa un conjunto de requisitos
específicos de seguridad que se oponen a unas amenazas, vulnerabilidades y
condiciones de explotación determinadas.
7. Concepto de Operación del
Sistema: Declaración expresa que realiza la Autoridad Operacional del
Sistema (AOS) sobre el objeto o función del Sistema, el tipo de información
que va a ser manejada, las condiciones de explotación y las amenazas a las
que estará sometido. En las condiciones de explotación se contemplará, entre
otras circunstancias, el perfil de seguridad de los usuarios.
8. TEMPEST: Término que hace
referencia a las investigaciones y estudios de emanaciones comprometedoras
(emisiones electromagnéticas no intencionadas, producidas por los equipos
eléctricos y electrónicos que, detectadas y analizadas, pueden llevar a la
obtención de información) y a las medidas aplicadas para la protección
contra dichas emanaciones.
En el anexo a esta Orden se incluye
una relación de las siglas y acrónimos empleados a lo largo de la misma.
Tercero.- Ámbito de aplicación.
1. La Estructura y
Responsabilidades definidas en la presente Orden tendrán carácter único,
atendiendo a la seguridad de aquella información del Ministerio de Defensa
que, manejada por los Sistemas, se determine, independientemente de su
procedencia, interna del propio Ministerio, de otros Ministerios, de
entidades civiles, públicas o privadas, de países aliados, de organizaciones
aliadas a las que España pertenezca, etc. Las excepciones a esta disposición
serán mínimas y muy justificadas y normalmente de carácter temporal.
2. En lo que se refiere a la
protección de la «confidencialidad» de la información, esta Orden es de
aplicación a todos aquellos Sistemas del Ministerio de Defensa que manejen
información clasificada con el grado de CONFIDENCIAL o superior.
3. Todo Sistema del Ministerio de
Defensa que maneje información de uso oficial, con o sin clasificación,
requiere medidas de seguridad que protejan su «integridad» y mantengan el
principio de la «necesidad de conocer».
4. La «disponibilidad» de la
información manejada en los Sistemas del Ministerio de Defensa debe
conseguirse mediante un conjunto de medidas que aseguren de forma general su
protección contra los riesgos (accidentales o deliberados) más usuales. Esta
protección se aplicará sobre la base de la importancia de la pérdida de la
información e independientemente del grado de clasificación de la misma.
5. Las medidas de protección de la
confidencialidad de los Sistemas que manejen información clasificada de
DIFUSIÓN LIMITADA o SIN CLASIFICAR y las indicadas en los párrafos
anteriores 3 y 4 serán adoptadas por iniciativa de la Autoridad de
Acreditación sobre la base del «Concepto de Operación» de los Sistemas y
estarán de acuerdo con la presente Orden.
6. La protección de la información
manejada en Sistemas de Armas se establecerá en el contexto general de
dichos Sistemas, utilizándose lo establecido en la presente Orden en la
medida de lo posible.
Cuarto.- Acreditación de la
Seguridad de los Sistemas.
1. El Ministro de Defensa es la
«Autoridad de Acreditación».
2. La Autoridad de Acreditación es
responsable de la aplicación de la presente Orden.
3. El Ministro de Defensa como
Autoridad de Acreditación estará asistido por las siguientes «Autoridades
Delegadas de Acreditación» (ADA):
a) El Jefe del Estado Mayor de la
Defensa, que es la ADA en los Sistemas conjuntos de Mando y Control,
Inteligencia, Telecomunicaciones y Guerra Electrónica. Designará un
Organismo de Acreditación para apoyo a sus funciones.
b) El Subsecretario de Defensa
(SUBDEF), que es la ADA en el ámbito de los Sistemas responsabilidad del
Órgano Central y periféricos del Ministerio de Defensa. Designará un
Organismo de Acreditación para apoyo a sus funciones.
c) El Jefe de Estado Mayor del
Ejército de Tierra, el de la Armada y el del Ejército del Aire, que son las
ADA,s en los Sistemas específicos de sus respectivos Ejércitos. Designarán
respectivamente un Organismo de Acreditación para apoyo a sus funciones.
d) El Director del Centro Superior
de Información de la Defensa, que es la ADA en los Sistemas responsabilidad
de su Organismo y en el ámbito internacional (OTAN, UEO y otras
organizaciones internacionales). Asimismo será responsable de asesorar al
resto de las ADA,s en materia INFOSEC y coordinar en materia Criptográfica y
TEMPEST. Designará un Organismo de Acreditación para apoyo a sus funciones.
4. Las ADA,s son los responsables
de la aplicación de esta Orden en sus ámbitos respectivos, elaborando las
Instrucciones Técnicas y Normas INFOSEC pertinentes, de acuerdo a lo
establecido en el apartado sexto de esta Orden.
5. Se entiende por «acreditación»,
la autorización otorgada a un Sistema por la Autoridad de Acreditación, para
manejar información clasificada hasta un grado determinado, o en unas
determinadas condiciones de integridad o disponibilidad, con arreglo a su
concepto de operación. La acreditación siempre estará basada en la
Declaración de Requisitos Específicos de Seguridad del Sistema (DRES) y en
los Procedimientos Operativos de Seguridad (POS).
6. La «Declaración de Requisitos
Específicos de Seguridad» (DRES) constituye el documento base para la
acreditación de un Sistema. Consiste en la exposición completa y detallada
de los principios de seguridad que deben observarse y de los requisitos de
seguridad que se han de implantar conforme al correspondiente análisis de
riesgos realizado previamente. Es elaborada por la Autoridad Operacional del
Sistema (AOS) sobre la base de la política INFOSEC del Ministerio de
Defensa.
7. Los «Procedimientos Operativos
de Seguridad» (POS) describen operaciones concretas sobre cada Sistema,
mediante las cuales se materializa el cumplimiento de la DRES. Son
elaborados por el Administrador de Seguridad del Sistema (ASS) y aprobados
por la AOS.
8. Previamente a que un Sistema
comience a manejar información clasificada de CONFIDENCIAL o superior,
deberá estar acreditado por la ADA que corresponda a su ámbito. Los
subsistemas serán acreditados como parte del Sistema en el cual se integren.
9. Cuando se interconecten Sistemas
de Defensa que son responsabilidad de diferente ADA se constituirá un Comité
de Acreditación de Defensa. Asistirán a dicho comité representantes de las
ADA,s involucradas.
Quinto.- Evaluación y
Certificación de la Seguridad de las Tecnologías de la Información.
1. El Director General de Armamento
y Material es la Autoridad de Certificación del Ministerio de Defensa para
la Seguridad de las Tecnologías de la Información (ACTI).
2. El Director del Centro Superior
de Información de la Defensa es la Autoridad de Certificación Criptográfica
(ACC), quien responde del proceso de evaluación y certificación de productos
y sistemas de las tecnologías de la información y telecomunicaciones
(STIC,s) que incorporan mecanismos de cifrado.
3. El Director del Centro Superior
de Información de la Defensa es la Autoridad de Certificación TEMPEST (ACT),
quien responde del proceso de evaluación y certificación de equipos,
Sistemas STIC,s e instalaciones que deban cumplir requisitos TEMPEST.
4. La evaluación y posterior
certificación de la seguridad de un producto o Sistema STIC determinan su
capacidad para proteger la información según un grado de seguridad y de
acuerdo a unos criterios establecidos en el procedimiento o metodología de
evaluación correspondiente.
5. Las Autoridades de Certificación
determinarán y aprobarán los órganos o entidades capacitados para realizar
la evaluación de Sistemas STIC,s y productos objeto de certificación.
6. Para acreditar un Sistema, la
ADA deberá disponer de las certificaciones correspondientes. Cuando
circunstancias excepcionales lo requieran, la ADA podrá acreditar sin
necesidad de certificación.
7. La ACTI, será la encargada de
canalizar las solicitudes de certificación de las ADA,s.
Sexto.- Organización INFOSEC.
1. Para la aplicación de la
presente Orden y de las normas que de ella emanen, el Ministerio de Defensa
dispondrá de una Organización INFOSEC. La Organización INFOSEC del
Ministerio de Defensa está compuesta, además de las autoridades definidas
anteriormente, por las autoridades que a continuación se citan; responsables
todas ellas del establecimiento y aplicación de los procedimientos y normas
INFOSEC.
2. «Autoridad Infosec» (AI).
a) El Jefe del Estado Mayor de la
Defensa en el ámbito conjunto de las Fuerzas Armadas, el Subsecretario de
Defensa en el ámbito del Órgano Central y periféricos, los Jefes de Estado
Mayor en el ámbito de sus respectivos Ejércitos, y el Director del Centro
Superior de Información de la Defensa en su ámbito, designarán
respectivamente las Autoridades INFOSEC que consideren necesarias para
establecer la organización de seguridad (INFOSEC) adecuada.
b) Al objeto de velar por el
cumplimiento de la presente Orden, cada Autoridad INFOSEC es responsable de:
–Definir y actualizar el
organigrama de la estructura INFOSEC correspondiente a su ámbito, donde
constarán las Autoridades Operacionales de los Sistemas (párrafo 3) y los
Administradores de Seguridad de los Sistemas.
–Aprobar el Concepto de Operación
de cada Sistema.
–Solicitar la Acreditación, o la
renovación de la Acreditación, de cada Sistema.
–Promover la formación INFOSEC que
sea necesaria.
–Elaborar y aprobar las Guías de
Seguridad de los Sistemas.
3. Estructura INFOSEC de cada
Sistema.
3.1. «Autoridad Operacional del
Sistema» (AOS).
a) La Autoridad Operacional del
Sistema es responsable del desarrollo, la operación y mantenimiento del
Sistema durante su ciclo de vida; de sus especificaciones, de su instalación
y de la verificación de su correcto funcionamiento. Será designada por el
Jefe de la Unidad, Centro u Organismo responsable del Sistema y podrá variar
de una persona a otra conforme al ciclo de vida del Sistema.
b) Con los criterios expresados en
las Instrucciones Técnicas y Guías de la política INFOSEC que se desarrollen
de acuerdo al apartado séptimo sexto de esta Orden, la AOS será responsable
de decidir las medidas de seguridad que aplicarán los suministradores de
componentes del Sistema durante las etapas de desarrollo, instalación y
prueba del mismo. Será también responsable de la implantación y del control
de las medidas específicas de seguridad del Sistema y de que éstas se
integren adecuadamente con las medidas generales de seguridad.
c) Es responsabilidad de la AOS
igualmente, la elaboración de la Declaración de Requisitos Específicos de
Seguridad (DRES) y la aprobación de los Procedimientos Operativos de
Seguridad (POS) del Sistema.
d) Antes de que un Sistema nuevo o
modificado entre en servicio, la AOS deberá delimitar las responsabilidades
de cada entidad involucrada en el mantenimiento, explotación, implantación y
supervisión de la seguridad del mismo.
e) La AOS informará a la Autoridad
INFOSEC y solicitará la intervención de la Autoridad de Acreditación cuando
se presenten las siguientes circunstancias:
–El desarrollo o la adquisición de
un sistema de proceso automático de datos, de comunicaciones, o de cualquier
otro sistema de tratamiento electrónico de información, cuyo Concepto de
Operación aún no haya sido aprobado por la Al.
–Modificaciones en la configuración
de cualquier elemento de los Sistemas, cambios que afecten al modo de
operación de los Sistemas, cambios en el hardware o software existente, o
adopción de nuevo hardware o software, siempre y cuando dichos cambios o
modificaciones puedan afectar a la seguridad de los Sistemas.
–Planificación de una tarea con
nivel de clasificación superior al acreditado para el Sistema que vaya a
ejecutarla.
3.2. «Administrador de Seguridad
del Sistema» (ASS).
El Administrador de Seguridad del
Sistema será responsable de la implantación, gestión y mantenimiento de las
medidas de seguridad aplicables al Sistema y de la redacción de los
Procedimientos Operativos de Seguridad (POS) conforme al Concepto de
Operación aprobado por la Al. Cuando se requiera especial conocimiento de
hardware, software, comunicaciones o medidas de contrainteligencia, la Al
facilitará la cooperación adecuada entre las entidades que proporcionen
dicho conocimiento.
4. Estructura INFOSEC Orgánica.
4.1. «Oficial INFOSEC» (OI).
El Oficial INFOSEC será responsable
de la supervisión de la ejecución de las medidas y procedimientos de
seguridad de los Sistemas a su cargo.
4.2. «Autoridad de Control del
Material de Cifra» (ACMC).
La Autoridad de Control del
Material de Cifra es responsable del registro, contabilidad y seguimiento de
todo el material de cifra utilizado para la protección de la información
clasificada en el Ministerio de Defensa, estableciendo los procedimientos
adecuados.
Será responsable de definir y
actualizar la estructura cripto del Ministerio, donde constarán los
Criptocustodios y los Criptocustodios alternativos.
4.3. «Órganos de Distribución de
Material de Cifra» (ODMC).
Dentro del Órgano Central del
Ministerio de Defensa, CESID, EMACON, Cuartel General del Ejército de
Tierra, CG de la Armada y CG del Ejército del Aire, y dependiente de la Al,
se designará un órgano de Distribución de Material de Cifra de acuerdo con
los procedimientos establecidos por la ACMC. Cada ODMC será responsable de
la generación de claves, así como de la gestión, transporte y control del
material de cifra utilizado en los Sistemas de su competencia, o de su
responsabilidad.
Séptimo.- Desarrollo de la
política INFOSEC.
1. Deberán fundamentarse en la
presente Orden cuantas Instrucciones Técnicas, Normas y Guías concernientes
a la seguridad de los Sistemas desarrollen y aprueben las Autoridades
Delegadas de Acreditación, las Autoridades Infosec y la Autoridad de Control
del Material de Cifra.
2. Las «Instrucciones Técnicas
INFOSEC» atenderán a unos objetivos de seguridad específicos de los Sistemas
bajo la responsabilidad de la autoridad emisora y serán de obligatorio
cumplimiento dentro del ámbito que compete a dicha autoridad. Cada
Instrucción Técnica INFOSEC consistirá en un conjunto de reglas o
advertencias, en las que predominan las disposiciones técnicas o
explicativas, para el cumplimiento de uno o varios servicios de seguridad.
En algunos casos se especifican requisitos de implementación y de gestión
necesarios de dichos servicios para conseguir el objetivo de seguridad.
3. Las «Normas INFOSEC» contienen
las reglas generales que se deben seguir o a las que se deben ajustar las
conductas, tareas o actividades de las personas y organizaciones en relación
con la protección de la información cuando es manejada por un Sistema.
4. Las «Guías INFOSEC» son
tratados en los que las Autoridades INFOSEC dan recomendaciones o
informaciones para resolver, encaminar o dirigir temas concretos de
seguridad de los Sistemas y están basadas en una o más Instrucciones
previas. Las guías crean el marco general donde se implementan los
procedimientos operativos de seguridad.
Disposición adicional primera.
Protección de la información regulada por acuerdos internacionales.
La información cuya protección se
encuentre regulada por acuerdos internacionales suscritos por el Ministerio
de Defensa obedecerá a las Políticas de Seguridad allí expresadas, y serán
ejecutadas en todo lo posible por la estructura establecida por la presente
Orden.
Disposición adicional segunda.
Acreditaciones internacionales.
En aquellos Sistemas de Defensa
que se vayan a interconectar con Sistemas dependientes de una Autoridad de
Acreditación distinta de la española, la acreditación será otorgada por
mutuo acuerdo entre las Autoridades de Acreditación de los países
involucrados, constituyéndose para ello el Comité de Acreditación
correspondiente, de acuerdo a lo dispuesto en el apartado cuarto, párrafo
13d.
Disposición adicional tercera.
Acreditaciones interministeriales.
Cuando se interconecten Sistemas
dependientes de otros organismos de la Administración con algún Sistema de
Defensa, se podrá constituir un Comité de Acreditación Interministerial. Por
parte del Ministerio de Defensa asistirán a dicho comité representantes de
las ADA,s involucradas.
Disposición adicional cuarta.
Empresas con Acuerdo de Seguridad.
Cuando la información a que se
refiere esta Orden (ámbito de aplicación, apartado tercero, punto 1), sea
manejada por empresas que tienen establecido Acuerdo de Seguridad con el
Ministerio de Defensa, su tratamiento se realizará de acuerdo con lo
dispuesto en la Orden Ministerial Comunicada 17/2001, de 29 de enero, por la
que se aprueba el Manual de Protección de Materias Clasificadas del
Ministerio de Defensa, en poder de las empresas.
Disposición transitoria
primera. Sistemas no acreditados.
Toda AOS de Sistemas que carezcan
de la acreditación requerida en conformidad con la presente Orden, deberá
ponerlo en conocimiento de su correspondiente Autoridad INFOSEC, quien
iniciará el correspondiente proceso de acreditación.
Disposición transitoria
segunda. Autoridad de Control de Material de Cifra.
Mientras no se designe un
organismo específico para asumir las responsabilidades de la Autoridad de
Control de Material de Cifra, ésta será ejercida por los Organismos que
actualmente tienen asignadas estas funciones
Disposición derogatoria única.
Derogación normativa.
Quedan derogadas cuantas
disposiciones de igual o inferior rango se opongan a la presente Orden.
Disposición final primera.
Facultad de desarrollo.
Se faculta a las Autoridades
Delegadas de Acreditación para dictar cuantas Instrucciones Técnicas y
Normas sean necesarias para la aplicación y desarrollo de la presente Orden.
Disposición final segunda.
Entrada en vigor.
La presente Orden entrará en vigor
el día siguiente al de su publicación en el «Boletín Oficial del Ministerio
de Defensa».
La estructura y responsabilidades
definidas en la presente Orden estarán debidamente constituidas a los doce
meses siguientes a la fecha de entrada en vigor de la misma.
Cuando se materialicen las
acciones correspondientes a la obtención de una infraestructura común de
seguridad del Plan Director de Sistemas de Información y Telecomunicaciones,
la presente Orden será revisada.
ANEXO
SIGLAS Y ACRÓNIMOS
A continuación se relacionan
siglas y acrónimos utilizadas en el texto de la Orden, entre paréntesis
aparece su equivalente en terminología OTAN.
AA: Autoridad de Acreditación
(Security Acreditation Authority, SAA).
ACC: Autoridad de Certificacción
Criptográfica (COMSEC Authority).
ACMC: Autoridad de Control del
Material de Cifra (Crypto Controlling Authority).
ACT: Autoridad de Certificación
TEMPEST (TEMPEST Authority).
ACTI: Autoridad de Certificación
de la Seguridad de las Tecnologías de la Información (Certification Body,
CB).
ADA: Autoridad Delegada de
Acreditación.
AI: Autoridad INFOSEC (INFOSEC
Authority).
AOS: Autoridad Operacional del
Sistema (ADP System Operating Authority, ADPSOA).
ASS: Administrador de Seguridad
del Sistema (System Security Administrator, SSA).
COS: Concepto de Operación del
Sistema (Concept of Operations, CONOPS).
DRES: Declaración de Requisitos
Específicos de Seguridad (System Security Requirement Statement, SSRS).
INFOSEC: Seguridad de la
Información en forma electrónica o electromagnética (INFOSEC).
ODMC: Órgano de Distribución de
Material de Cifra (Distributing and Accounting Agency).
OI: Oficial INFOSEC (ADP Site
Security Officer, ADPSSO).
POS: Procedimientos Operativos de
Seguridad (Security Operating Procedures, SecOPs).
SIT: Sistema de Información y
Telecomunicaciones (Communication and Information System, CIS).
STIC: Sistema de las Tecnologías
de la Información y las Telecomunicaciones.
TI: Tecnologías de la Información.
|
