Documente Academic
Documente Profesional
Documente Cultură
OR-ASIP-04-01.04
ORIENTACIONES PARA
EL MANEJO DE INFORMACIN
CLASIFICADA CON GRADO DE
DIFUSIN LIMITADA
NDICE
1.
INTRODUCCIN ............................................................................................................ 3
2.
OBJETO ............................................................................................................................ 3
3.
ALCANCE ......................................................................................................................... 4
4.
5.
6.
RESPONSABLE DE SEGURIDAD................................................................................ 5
7.
8.
9.
GENERALIDADES....................................................................................................... 7
DISTRIBUCIN, REPRODUCCIN Y DESTRUCCIN. .................................................... 8
Distribucin............................................................................................................. 8
Reproduccin .......................................................................................................... 8
Destruccin ............................................................................................................. 8
TRANSMISIN ........................................................................................................... 9
COMPROMETIMIENTO DE LA PROTECCIN DE LA INFORMACIN CLASIFICADA......... 9
10.
11.
GLOSARIO ..................................................................................................................... 11
- Pg. 2 de 14 -
1. INTRODUCCIN
Informacin clasificada es aquella informacin o material sobre el que se ha decidido que
requiere un nivel de proteccin para evitar su revelacin o acceso no autorizado, dado el
perjuicio que ello producira a los intereses y seguridad nacionales. El nivel de proteccin
viene determinado por su clasificacin de seguridad. Su clasificacin de seguridad, o grado de
clasificacin, ser mayor en tanto que el perjuicio potencial resultante de su difusin no
autorizada sea tambin mayor.
El sistema de clasificacin de seguridad de la informacin indica la sensibilidad de la
informacin y, en consecuencia, determina el grado de proteccin y la entidad de las medidas
de seguridad que la informacin requiere.
El originador de la informacin es quien determina la clasificacin de seguridad inicial de la
misma, y establece quin ostenta su propiedad. El propietario de la informacin clasificada es
el nico que puede modificar su grado de clasificacin o desclasificarla, a lo largo de su ciclo
de vida.
El grado de clasificacin de DIFUSION LIMITADA se aplicar a la informacin cuya
revelacin no autorizada o utilizacin indebida pueda ser contraria a los intereses de Espaa.
Aunque no suponga una amenaza o perjuicio para la seguridad, su divulgacin a personas no
autorizadas deber limitarse.
La informacin clasificada procedente de organizaciones internacionales de las que Espaa
forma parte, o de pases con los que Espaa ha firmado acuerdos de seguridad, se basa en
grados de clasificacin similares y asimilables a los utilizados en Espaa, segn se define en
las respectivas polticas de seguridad. En este sentido, la informacin clasificada de grado
DIFUSIN LIMITADA tiene equivalencia con NATO RESTRICTED, RESTREINT UE, ESA
RESTRICTED, etc. Todos ellos estarn sometidos a requisitos de proteccin similares.
En este sentido, se utiliza la expresin informacin clasificada de grado DIFUSIN
LIMITADA o equivalente para referirse a cuestiones que sean de igual aplicacin y tengan el
mismo tratamiento con independencia del tipo (mbito de origen) de informacin clasificada a
que se vaya a acceder, es decir, que slo dependan del grado de clasificacin de la misma.
2. OBJETO
El objeto de estas orientaciones es refundir en un nico documento y exponer de forma clara y
concreta, las normas y prcticas de seguridad mnimas a aplicar por las personas, organismos y
entidades, para garantizar una adecuada proteccin de la informacin clasificada con grado de
DIFUSION LIMITADA o equivalente.
Las especiales caractersticas de la informacin clasificada con este grado, al no requerir de
una habilitacin personal de seguridad (HPS) y un proceso formal de instruccin de las
personas que han de acceder a la misma, aconsejan el hacer un documento especfico que
defina las pautas para el adecuado tratamiento de dicha informacin.
- Pg. 3 de 14 -
3. ALCANCE
Estas orientaciones son de aplicacin a todas las personas que por sus funciones deban acceder
a informacin clasificada con el grado de DIFUSION LIMITADA o equivalente, y a los
organismos y entidades en que se maneje.
- Pg. 4 de 14 -
misma.
En el mbito de la seguridad industrial, los contratistas no podrn estar autorizados en ningn
caso a la cesin de informacin clasificada con carcter general, siendo precisa la validacin
caso por caso de la correspondiente oficina de programa u rgano de contratacin, segn
corresponda.
6. RESPONSABLE DE SEGURIDAD
El organismo o entidad que vaya a manejar informacin con grado DIFUSIN LIMITADA o
equivalente, y que no disponga previamente de un servicio de proteccin de informacin
clasificada u rgano de control (subregistro o punto de control) competente, deber designar al
menos un responsable de seguridad para la proteccin de la informacin clasificada con
dicho grado, al que se encomendarn las siguientes misiones:
Instruir a todo el personal que vaya a acceder a informacin con grado DIFUSION
LIMITADA o equivalente, sobre las medidas de proteccin necesarias, as como de
las establecidas en el presente documento.
Investigar las incidencias que hayan podido afectar a dicha informacin, as como
aprobar las medidas tomadas para corregir los daos y evitar su repeticin.
Verificar el cumplimiento de las medidas de seguridad aplicables, resumidas en el
presente documento.
Controlar la relacin del personal con acceso a esta informacin en su organismo o
entidad y las correspondientes declaraciones formales de instruccin y de compromiso
de reserva, cuando se utilicen (modelo en anexo I, se explica posteriormente).
Controlar la informacin clasificada manejada por el organismo o entidad.
Es potestad del responsable de seguridad inspeccionar las instalaciones donde se custodia
informacin con grado DIFUSION LIMITADA o equivalente, cuando lo considere
oportuno, lo que har con cierta frecuencia.
7. SEGURIDAD EN EL PERSONAL
No se precisa disponer de HPS para acceder a informacin con grado DIFUSIN LIMITADA
o equivalente.
El contenido de la informacin con grado DIFUSION LIMITADA o equivalente no debe ser
revelado al pblico, a personal no autorizado o a cualquier otro organismo o entidad fuera de
los cauces autorizados.
Las personas con acceso a informacin con grado DIFUSION LIMITADA o equivalente
debern contar con los siguientes requisitos:
Tener la necesidad de conocer. La informacin con grado DIFUSION LIMITADA
o equivalente, estar a disposicin slo del personal que requiera acceso a dicha
informacin en el cumplimiento de sus cometidos. Nadie, en virtud de su cargo,
categora en la administracin, o cualquier otra circunstancia similar, contar con
- Pg. 5 de 14 -
8. SEGURIDAD FSICA
La informacin con grado DIFUSIN LIMITADA o equivalente slo se manejar en zonas
administrativas de proteccin, con las excepciones que se establecen en las Normas de la
Autoridad Nacional o de forma puntual.
Las zonas administrativas de proteccin son instalaciones con un permetro claramente
definido dentro del cual existe un control de las personas, materiales y vehculos.
Estas instalaciones no precisan ser oficialmente acreditadas , pero s sern declaradas y estarn
perfectamente definidas y controladas como tales, especialmente para conocimiento de los
usuarios de dichas instalaciones.
Tendrn las siguientes caractersticas:
-
La puerta deber tener un control de acceso que limite la entrada y salida, previa
identificacin positiva de la persona.
Deber contar con detectores de intrusin de permetro u otros medios de vigilancia
que permitan alertar de un intento de acceso no autorizado a la zona a travs de
cualquier punto.
Contarn con mobiliario adecuado para guardar bajo llave la informacin
clasificada con grado de DIFUSIN LIMITADA o equivalente.
9. SEGURIDAD DE LA INFORMACIN
9.1. Generalidades
Los documentos o materiales, as como anexos, copias, traducciones o extractos de los mismos,
con informacin con grado DIFUSIN LIMITADA o equivalente, sern marcados en forma
de sellado, mecanografiado, impreso o escrito, con la marca DIFUSIN LIMITADA o
equivalente en negrita y con maysculas, en la cabecera y el pie de cada pgina.
El material o los soportes informticos, pticos, acsticos o registros electrnicos que
contengan informacin con grado DIFUSION LIMITADA o equivalente, sern debidamente
marcados, bien sobre el propio material o, de no ser factible, sobre el contenedor que lo
- Pg. 7 de 14 -
albergue, de modo que cualquier destinatario del mismo perciba inequvocamente la presencia
de la clasificacin.
Para el resto de los casos se deber consultar la normativa de seguridad correspondiente que le
sea de aplicacin o, en su defecto, aplicar criterios equivalentes a los aqu establecidos.
9.2. Distribucin, reproduccin y destruccin.
9.2.1. Distribucin
La informacin con grado DIFUSIN LIMITADA o equivalente, se manejar en los
distintos rganos de recepcin, una vez determinado que stos cumplen los requisitos
reglamentarios para hacerse cargo de la misma.
La informacin ser registrada a la entrada y salida de los distintos rganos de recepcin,
supervisada por parte del responsable de seguridad.
La informacin clasificada con grado DIFUSIN LIMITADA o equivalente puede circular
entre usuarios, siempre que los destinatarios cumplan las condiciones de acceso (tener
necesidad de conocer y haber sido instruido en el manejo de la informacin clasificada), y las
de manejo y custodia establecidas para dicho grado, siendo responsabilidad de quien la entrega
verificar que se cumplen dichas condiciones por parte del destinatario.
La informacin con grado DIFUSIN LIMITADA o equivalente distribuida a entidades no
oficiales, como por ejemplo empresas contratistas con ocasin de su participacin en proyectos
o programas clasificados, se regir por criterios ms restrictivos, no estando autorizados los
usuarios a distribuir la informacin de este grado que reciban, la cual deber circular siempre
por los registros autorizados.
No ser necesario realizar ni mantener actas de destruccin, ni hojas de control de acceso de
la informacin clasificada con este grado, a menos que sea expresamente requerido por el
propietario de la misma.
No ser necesario el empleo de recibos de recepcin, a menos que sea requerido por el
remitente de la informacin clasificada.
9.2.2. Reproduccin
Las copias, extractos y traducciones de informacin con grado DIFUSIN LIMITADA o
equivalente podrn ser realizados por individuos con acceso autorizado a la informacin.
Estarn sujetos y debern manejarse con los mismos requisitos de seguridad que los originales.
Los equipos utilizados para la reproduccin debern estar fsicamente protegidos para evitar un
uso no autorizado respecto a la informacin clasificada (especialmente si tienen dispositivos de
memoria o conexin remota).
9.2.3. Destruccin
La informacin con grado DIFUSIN LIMITADA o equivalente deber ser fsicamente
destruida de manera que se imposibilite su reconstruccin total o parcial.
- Pg. 8 de 14 -
Los borradores, anotaciones, o copias anuladas, con informacin con grado DIFUSION
LIMITADA o equivalente, debern destruirse. La informacin con grado DIFUSION
LIMITADA o equivalente obsoleta o ya no til, deber destruirse con la mayor brevedad
posible.
Los documentos, materiales y soportes informticos que contengan informacin con grado
DIFUSION LIMITADA o equivalente debern ser revisados peridicamente para
determinar su posible destruccin.
Las trituradoras a utilizar debern realizar un corte mximo de 3 mm de ancho y 25 mm de
largo. La superficie del material cortado no deber exceder los 60 mm. Las mquinas
dispondrn de capacidad para operar manualmente y su diseo no permitir almacenar
documentacin sin destruir. El material triturado debe ser removido para mezclar su contenido,
y de esta manera dificultar su posible reconstruccin.
9.3. Transmisin
La informacin DIFUSION LIMITADA podr ser enviada a sus destinatarios en sobre
sencillo, opaco, sin marca exterior de clasificacin, ni indicios de su contenido, mediante:
Correo certificado, a travs del Servicio Estatal de Correos, con origen y destino en
ESPAA.
Correo certificado internacional, a travs de servicios de correos internacionalmente
reconocidos.
Servicio de Correo Comercial especficamente autorizado.
Transporte por persona formalmente autorizada, sin certificado de correo. No precisa
HPS.
Cualquiera de los mtodos aprobado para el transporte de informacin
CONFIDENCIAL o superior.
La informacin DIFUSION LIMITADA no deber transmitirse por sistemas de comunicacin
no autorizados para dicho grado o superior, en especial va internet. Ser obligatorio el que se
utilicen medios de cifra expresamente autorizados por el Centro Criptolgico Nacional (CCN)
y se someta al sistema de informacin y comunicaciones a un proceso no formal de
acreditacin.
9.4. Comprometimiento de la informacin clasificada
Un comprometimiento (violacin o fallo) de la informacin clasificada ocurre como resultado
de una accin u omisin contraria a la normativa de seguridad, o por un fallo en los sistemas o
medidas de proteccin, que puede suponer que la misma caiga, completa o en parte, en manos
de persona no autorizada, e incluso, sin llegar a ocurrir tal cosa, que las circunstancias hayan
ocasionado la simple posibilidad de que tal evento hubiera ocurrido.
Tambin tendrn la consideracin de comprometimiento los ataques contra la integridad o
disponibilidad de la informacin clasificada, especialmente en el mbito de los sistemas de
informacin y comunicaciones.
Todo usuario de informacin clasificada est obligado a informar inmediatamente a su oficial o
- Pg. 9 de 14 -
Las instalaciones en las que los CIS son utilizados para visualizar, almacenar, procesar o
transmitir informacin clasificado de grado DIFUSIN LIMITADA o equivalente, debern
constituirse como zonas administrativas de proteccin.
Los organismos y entidades en que se vaya a manejar informacin con grado de DIFUSIN
LIMITADA o equivalente en CIS, debern contar con una mnima estructura de seguridad,
responsable de la correcta aplicacin de la normativa de seguridad en dichos sistemas.
Para ello, el personal que compone dicha estructura de seguridad debe estar nombrado e
instruido para dicha funcin, tanto en el mbito tcnico, como operacional.
La composicin y cometidos de esta estructura queda fuera del alcance de estas orientaciones,
estando regulado en normativa de seguridad especfica.
Los sistemas de informacin y comunicaciones que manejan informacin clasificada con
grado de DIFUSION LIMITADA o equivalente, debern cumplir con los requisitos
establecidos en el documento CCN-STIC 301, elaborado por el CCN.
- Pg. 10 de 14 -
La interconexin de estos sistemas con otros sistemas de menor clasificacin o internet, deber
cumplir los requisitos establecidos en el documento CCN-STIC 302, del CCN.
En organizaciones ajenas a la administracin, los sistemas debern contar con documentacin
de seguridad segn los parmetros establecidos en el documento CCN-STIC 204.
Con objeto de limitar el riesgo de comprometimiento de la informacin manejada en estos
sistemas, se aconseja adoptar las siguientes medidas mnimas, obligatorias en caso de
transporte del equipo fuera de las instalaciones autorizadas:
Cifrado del disco duro del equipo mediante un mecanismo autorizado para dicho grado
o superior, llevar la informacin en soporte removible adecuadamente cifrado y
etiquetado.
Aplicacin de la configuracin de seguridad aprobada al equipo que maneje esta
informacin.
11. GLOSARIO
Autoridad Nacional de Seguridad (ANS): Cargo ejercido conjuntamente por la Ministra de
la Presidencia, el Ministro de Asuntos Exteriores y el Ministro de Defensa. Su misin es ser el
mximo representante de la proteccin de la informacin clasificada OTAN/UE/ESA en
Espaa. Vela, asimismo, por el cumplimiento de las normas adoptadas en los acuerdos para la
proteccin de la informacin clasificada suscritos por nuestro pas en materia de intercambio
de materias clasificadas.
Autoridad Nacional de Seguridad Delegada (ANS-D): Nombramiento que recae en la
persona que ejerce el cargo de Secretario de Estado-Director del CNI. Su misin consiste en
ejercer, por delegacin, las funciones que le corresponden a la ANS.
CCN: Centro Criptolgico Nacional
Confidencialidad: Aseguramiento de que la informacin es accesible slo para aquellos
autorizados a tener acceso.
Disponibilidad: Aseguramiento de que los usuarios autorizados tienen acceso cuando lo
requieran a la informacin clasificada y sus activos asociados.
Documento: Cualquier informacin registrada sobre un soporte, independientemente de la
naturaleza del mismo o de sus caractersticas. Se incluye en este concepto, sin limitacin,
cualquier material escrito o impreso, tarjetas de proceso de datos, mapas, planos, fotografas,
pinturas, dibujos, grabados, notas de trabajo, copias en carbn o cintas de impresora,
reproducciones de todo tipo, grabaciones en sonido o vdeo, ordenadores porttiles con
dispositivo residente para el almacenamiento de datos y dispositivos removibles de
almacenamiento de datos.
Grado de clasificacin: La calificacin concreta de seguridad que se asigna a una determinada
informacin clasificada, dentro de los niveles de clasificacin de seguridad establecidos en la
- Pg. 11 de 14 -
normativa de seguridad que le sea de aplicacin a dicha informacin. A mayor grado, mayor el
perjuicio que se derivara de su revelacin no autorizada.
HPS: La determinacin positiva por la que se reconoce formalmente la capacidad, idoneidad y
fiabilidad de una persona para tener acceso a informacin clasificada, en el mbito o mbitos y
grado mximo autorizado, que se indiquen expresamente, al haber superado el oportuno
proceso de acreditacin de seguridad y haber sido adecuadamente concienciado en el
compromiso de reserva que adquiere y en las responsabilidades que se derivan de su
incumplimiento.
Informacin: Todo conocimiento que puede ser comunicado, presentado o almacenado en
cualquier forma.
Informacin clasificada: Cualquier informacin o material respecto de la cual se decida que
requiere proteccin contra su divulgacin no autorizada y a la que se ha asignado una
clasificacin de seguridad.
Integridad: Garanta de la exactitud y completitud de la informacin y los mtodos de su
procesamiento.
Necesidad de conocer: Determinacin positiva por la que el propietario o, en su defecto, el
responsable de la custodia confirma que una persona necesita manejar determinada
informacin clasificada para desempear servicios, tareas o cometidos oficiales.
Oficina Nacional de Seguridad (ONS): rgano de trabajo de la ANS-D, encargado de la
ejecucin de sus cometidos.
rgano de control: Unidad funcional en la que se recibe, almacena y distribuye informacin
clasificada. Un rgano de control puede ser el registro central, un subregistro principal, un
punto de control o un servicio de proteccin. Cada rgano de control cuenta con un jefe de
seguridad, mximo responsable del cumplimiento de las normas de seguridad.
Organizacin del Tratado del Atlntico Norte (OTAN): Organismo internacional del que
Espaa es parte desde 1982. Entre otras muchas funciones en el mbito de defensa, tiene la
facultad de clasificar sus propias materias. Los pases integrantes se comprometen a proteger
estas informaciones conforme a la poltica de seguridad de la OTAN. La marca NATO junto al
grado de clasificacin, representa una marca de propiedad de la Organizacin Atlntica, y que
aquel material o documento que la lleva debe de ser protegido segn los criterios establecidos
por esta organizacin. Dentro de esta categora se incluye la informacin originada por la
OTAN, originada por una nacin miembro y entregada a la OTAN, o entregada por una nacin
miembro a otra en apoyo de un programa, proyecto o contrato OTAN. Tambin informacin
entregada en propiedad a la Organizacin Atlntica procedente de fuentes no-OTAN.
Seguridad de la informacin: Condicin que se alcanza cuando se aplica un conjunto de
medidas y procedimientos establecidos para el correcto manejo de la Informacin Clasificada
en todo su ciclo de vida, as como para prevenir y detectar los posibles comprometimientos de
la misma, que puedan afectar a su confidencialidad, integridad o disponibilidad.
Seguridad en el personal: Condicin que se alcanza cuando se aplica un conjunto de medidas
eficaces y los procedimientos establecidos, para reducir a un grado mnimo aceptable, el riesgo
- Pg. 12 de 14 -
- Pg. 13 de 14 -
D/Da
con DNI (o tarjeta/permiso residente extranjeros, o pasaporte) nmero
y destinado/a en
con la categora o cargo
DECLARA:
Se compromete a mantener la debida reserva y a no revelar ninguna informacin clasificada a
que pudiera tener, o haber tenido, acceso con motivo del cumplimiento de sus obligaciones o
por otro motivo cualquiera, siendo consciente de que dicho deber de reserva permanecer
vigente de forma permanente. Asimismo declara que comprende perfectamente y conoce las
responsabilidades penales y disciplinarias en que pudiera incurrir por la divulgacin no
autorizada de esta clase de informaciones, bien sea voluntariamente o por negligencia, por
accin u omisin, con arreglo a las disposiciones legales y administrativas vigentes.
Y para que conste y surta los debidos efectos ante la autoridad competente para resolver
cualquier incumplimiento, firma la presente declaracin.