Las Tecnologías de la Información (TI,s) son un componente esencial de los Sistemas de Información y Telecomunicaciones, en adelante Sistemas, por cuanto intervienen en todos los niveles y ciclos en que la información es almacenada, procesada, o transmitida, en adelante manejada. Al mismo tiempo, el uso de las TI,s implica riesgos cuya importancia depende profundamente de amenazas que el mismo progreso y difusión internacional de las TI,s contribuyen a crear. Mucho es el trabajo que en unión con nuestros aliados se ha realizado para elaborar criterios de protección de la información conducentes a un uso seguro de las TI,s y que se plasma en la normativa OTAN entre otras.
En la Directiva núm. 245/1997 de 9 de diciembre, del Ministro de Defensa, por la que se reestructura la representación en los Organismos relacionados con la estructura de Consulta, Mando y Control (C3) de la OTAN, una de las misiones básicas derivadas de la reestructuración consiste en actualizar la normativa C3 nacional conforme a los criterios acordados con nuestros aliados. Dicha actualización es un instrumento básico para lograr la mayor eficacia posible en el uso y capacidad de los Sistemas establecidos en el ámbito nacional de la Defensa.
Los organismos del Ministerio de Defensa, en el ámbito que a cada uno de ellos compete conforme a los Reales Decretos al Real Decreto 1883/1996, de 2 de agosto, sobre estructura orgánica básica del Ministerio de Defensa, y al Real Decreto 1250/1997, de 24 de julio, por el que se constituye la estructura de Mando Operativo de las Fuerzas Armadas, han venido desarrollando procedimientos para utilizar las TI,s de manera razonablemente segura en sus Sistemas.
Como resultado de la participación del Ministerio de Defensa en programas internacionales donde la seguridad de la información en los Sistemas requiere acuerdos de normalización específicos, ha sido la constitución del creado el «Esquema de Evaluación de la Seguridad de las Tecnologías de la Información» dentro de la Comisión de Homologación de Defensa de la Dirección General de Armamento y Material (Real Decreto 324/1995, de 3 de marzo, por el que se aprueba el Reglamento de Homologación de la Defensa), por el que se establece que la Dirección General de Armamento y Material es responsable de la política de homologación del Ministerio de Defensa. Lo que permite, en el ámbito de la Defensa, el proceso de certificación de la seguridad de productos y Sistemas basados en Tl,s con arreglo a los criterios de evaluación y certificación de la seguridad de las TI,s que se determinen.
Todo el trabajo desarrollado por los diversos organismos del Ministerio de Defensa en el campo de la seguridad de las Tecnologías de la Información, y de la seguridad de la información cuando es almacenada, procesada o transmitida, manejada por un Sistema, es ahora unificado bajo una misma Orden Ministerial, la cual recoge la experiencia acumulada en los ámbitos nacional e internacional, y que tiene por objeto ampliar y complementar la Orden Ministerial núm. 1/1982, de 25 de enero, por la que se aprueban las normas para la protección de la documentación y material clasificado y que tiene por objeto ampliar y complementar la Orden Ministerial núm. 1/1982, de 25 de enero, por la que se aprueban las «normas para la protección de la documentación y material clasificado».
Por todo ello y en virtud de las atribuciones que confiere el artículo 4.1.b de la Ley 50/1997, de 27 de noviembre, de Organización, competencias y funcionamiento del Gobierno, dispongo:
Primero.- Finalidad.
La presente Orden tiene por finalidad establecer la estructura y responsabilidades en materia INFOSEC en el Ministerio de Defensa, conforme a la definición que del término INFOSEC se realiza en el apartado siguiente.
A los efectos de la presente Orden se definen los siguiente conceptos:
1. INFOSEC: Protección de la información almacenada procesada o transmitida, por Sistemas de Información y Telecomunicaciones (Sistemas), mediante la aplicación de las medidas necesarias que aseguren o garanticen la confidencialidad, integridad y disponibilidad de la información y la integridad y disponibilidad de los propios Sistemas.
2. Confidencialidad: Condición de seguridad que garantiza que la información no pueda estar disponible o ser descubierta por o para personas, entidades o procesos no autorizados.
3. Integridad: Condición de seguridad que garantiza que la información no ha sido modificada o alterada por personas, entidades o procesos no autorizados.
4. Disponibilidad: Situación que se produce cuando se puede acceder a la información contenida en un Sistema, a sus recursos y servicios, conforme a las especificaciones del mismo.
5. Sistema de Información y Telecomunicaciones: Conjunto de equipos, métodos, procedimientos y personal, organizado de tal forma que permita almacenar, procesar o transmitir información que está bajo la responsabilidad de una única autoridad, se aplica una única política INFOSEC, implementa un conjunto de requisitos específicos de seguridad que se oponen a unas amenazas, vulnerabilidades y condiciones de explotación determinadas y dispone de una administración, supervisión y administración de seguridad centralizadas.
6. Sistema de las Tecnologías de la Información y las Telecomunicaciones: Conjunto de equipos, software y hardware, organizado de tal forma que permita almacenar, procesar o transmitir información y que implementa un conjunto de requisitos específicos de seguridad que se oponen a unas amenazas, vulnerabilidades y condiciones de explotación determinadas.
7. Concepto de Operación del Sistema: Declaración expresa que realiza la Autoridad Operacional del Sistema (AOS) sobre el objeto o función del Sistema, el tipo de información que va a ser manejada, las condiciones de explotación y las amenazas a las que estará sometido. En las condiciones de explotación se contemplará, entre otras circunstancias, el perfil de seguridad de los usuarios.
8. TEMPEST: Término que hace referencia a las investigaciones y estudios de emanaciones comprometedoras (emisiones electromagnéticas no intencionadas, producidas por los equipos eléctricos y electrónicos que, detectadas y analizadas, pueden llevar a la obtención de información) y a las medidas aplicadas para la protección contra dichas emanaciones.
En el anexo a esta Orden se incluye una relación de las siglas y acrónimos empleados a lo largo de la misma.
Tercero.- Ámbito de aplicación.
1. La Estructura y Responsabilidades definidas en la presente Orden tendrán carácter único, atendiendo a la seguridad de aquella información del Ministerio de Defensa que, manejada por los Sistemas, se determine, independientemente de su procedencia, interna del propio Ministerio, de otros Ministerios, de entidades civiles, públicas o privadas, de países aliados, de organizaciones aliadas a las que España pertenezca, etc. Las excepciones a esta disposición serán mínimas y muy justificadas y normalmente de carácter temporal.
2. En lo que se refiere a la protección de la «confidencialidad» de la información, esta Orden es de aplicación a todos aquellos Sistemas del Ministerio de Defensa que manejen información clasificada con el grado de CONFIDENCIAL o superior.
3. Todo Sistema del Ministerio de Defensa que maneje información de uso oficial, con o sin clasificación, requiere medidas de seguridad que protejan su «integridad» y mantengan el principio de la «necesidad de conocer».
4. La «disponibilidad» de la información manejada en los Sistemas del Ministerio de Defensa debe conseguirse mediante un conjunto de medidas que aseguren de forma general su protección contra los riesgos (accidentales o deliberados) más usuales. Esta protección se aplicará sobre la base de la importancia de la pérdida de la información e independientemente del grado de clasificación de la misma.
5. Las medidas de protección de la confidencialidad de los Sistemas que manejen información clasificada de DIFUSIÓN LIMITADA o SIN CLASIFICAR y las indicadas en los párrafos anteriores 3 y 4 serán adoptadas por iniciativa de la Autoridad de Acreditación sobre la base del «Concepto de Operación» de los Sistemas y estarán de acuerdo con la presente Orden.
6. La protección de la información manejada en Sistemas de Armas se establecerá en el contexto general de dichos Sistemas, utilizándose lo establecido en la presente Orden en la medida de lo posible.
Cuarto.- Acreditación de la Seguridad de los Sistemas.
1. El Ministro de Defensa es la «Autoridad de Acreditación».
2. La Autoridad de Acreditación es responsable de la aplicación de la presente Orden.
3. El Ministro de Defensa como Autoridad de Acreditación estará asistido por las siguientes «Autoridades Delegadas de Acreditación» (ADA):
a) El Jefe del Estado Mayor de la Defensa, que es la ADA en los Sistemas conjuntos de Mando y Control, Inteligencia, Telecomunicaciones y Guerra Electrónica. Designará un Organismo de Acreditación para apoyo a sus funciones.
b) El Subsecretario de Defensa (SUBDEF), que es la ADA en el ámbito de los Sistemas responsabilidad del Órgano Central y periféricos del Ministerio de Defensa. Designará un Organismo de Acreditación para apoyo a sus funciones.
c) El Jefe de Estado Mayor del Ejército de Tierra, el de la Armada y el del Ejército del Aire, que son las ADA,s en los Sistemas específicos de sus respectivos Ejércitos. Designarán respectivamente un Organismo de Acreditación para apoyo a sus funciones.
d) El Director del Centro Superior de Información de la Defensa, que es la ADA en los Sistemas responsabilidad de su Organismo y en el ámbito internacional (OTAN, UEO y otras organizaciones internacionales). Asimismo será responsable de asesorar al resto de las ADA,s en materia INFOSEC y coordinar en materia Criptográfica y TEMPEST. Designará un Organismo de Acreditación para apoyo a sus funciones.
4. Las ADA,s son los responsables de la aplicación de esta Orden en sus ámbitos respectivos, elaborando las Instrucciones Técnicas y Normas INFOSEC pertinentes, de acuerdo a lo establecido en el apartado sexto de esta Orden.
5. Se entiende por «acreditación», la autorización otorgada a un Sistema por la Autoridad de Acreditación, para manejar información clasificada hasta un grado determinado, o en unas determinadas condiciones de integridad o disponibilidad, con arreglo a su concepto de operación. La acreditación siempre estará basada en la Declaración de Requisitos Específicos de Seguridad del Sistema (DRES) y en los Procedimientos Operativos de Seguridad (POS).
6. La «Declaración de Requisitos Específicos de Seguridad» (DRES) constituye el documento base para la acreditación de un Sistema. Consiste en la exposición completa y detallada de los principios de seguridad que deben observarse y de los requisitos de seguridad que se han de implantar conforme al correspondiente análisis de riesgos realizado previamente. Es elaborada por la Autoridad Operacional del Sistema (AOS) sobre la base de la política INFOSEC del Ministerio de Defensa.
7. Los «Procedimientos Operativos de Seguridad» (POS) describen operaciones concretas sobre cada Sistema, mediante las cuales se materializa el cumplimiento de la DRES. Son elaborados por el Administrador de Seguridad del Sistema (ASS) y aprobados por la AOS.
8. Previamente a que un Sistema comience a manejar información clasificada de CONFIDENCIAL o superior, deberá estar acreditado por la ADA que corresponda a su ámbito. Los subsistemas serán acreditados como parte del Sistema en el cual se integren.
9. Cuando se interconecten Sistemas de Defensa que son responsabilidad de diferente ADA se constituirá un Comité de Acreditación de Defensa. Asistirán a dicho comité representantes de las ADA,s involucradas.
Quinto.- Evaluación y Certificación de la Seguridad de las Tecnologías de la Información.
1. El Director General de Armamento y Material es la Autoridad de Certificación del Ministerio de Defensa para la Seguridad de las Tecnologías de la Información (ACTI).
2. El Director del Centro Superior de Información de la Defensa es la Autoridad de Certificación Criptográfica (ACC), quien responde del proceso de evaluación y certificación de productos y sistemas de las tecnologías de la información y telecomunicaciones (STIC,s) que incorporan mecanismos de cifrado.
3. El Director del Centro Superior de Información de la Defensa es la Autoridad de Certificación TEMPEST (ACT), quien responde del proceso de evaluación y certificación de equipos, Sistemas STIC,s e instalaciones que deban cumplir requisitos TEMPEST.
4. La evaluación y posterior certificación de la seguridad de un producto o Sistema STIC determinan su capacidad para proteger la información según un grado de seguridad y de acuerdo a unos criterios establecidos en el procedimiento o metodología de evaluación correspondiente.
5. Las Autoridades de Certificación determinarán y aprobarán los órganos o entidades capacitados para realizar la evaluación de Sistemas STIC,s y productos objeto de certificación.
6. Para acreditar un Sistema, la ADA deberá disponer de las certificaciones correspondientes. Cuando circunstancias excepcionales lo requieran, la ADA podrá acreditar sin necesidad de certificación.
7. La ACTI, será la encargada de canalizar las solicitudes de certificación de las ADA,s.
Sexto.- Organización INFOSEC.
1. Para la aplicación de la presente Orden y de las normas que de ella emanen, el Ministerio de Defensa dispondrá de una Organización INFOSEC. La Organización INFOSEC del Ministerio de Defensa está compuesta, además de las autoridades definidas anteriormente, por las autoridades que a continuación se citan; responsables todas ellas del establecimiento y aplicación de los procedimientos y normas INFOSEC.
2. «Autoridad Infosec» (AI).
a) El Jefe del Estado Mayor de la Defensa en el ámbito conjunto de las Fuerzas Armadas, el Subsecretario de Defensa en el ámbito del Órgano Central y periféricos, los Jefes de Estado Mayor en el ámbito de sus respectivos Ejércitos, y el Director del Centro Superior de Información de la Defensa en su ámbito, designarán respectivamente las Autoridades INFOSEC que consideren necesarias para establecer la organización de seguridad (INFOSEC) adecuada.
b) Al objeto de velar por el cumplimiento de la presente Orden, cada Autoridad INFOSEC es responsable de:
–Definir y actualizar el organigrama de la estructura INFOSEC correspondiente a su ámbito, donde constarán las Autoridades Operacionales de los Sistemas (párrafo 3) y los Administradores de Seguridad de los Sistemas.
–Aprobar el Concepto de Operación de cada Sistema.
–Solicitar la Acreditación, o la renovación de la Acreditación, de cada Sistema.
–Promover la formación INFOSEC que sea necesaria.
–Elaborar y aprobar las Guías de Seguridad de los Sistemas.
3. Estructura INFOSEC de cada Sistema.
3.1. «Autoridad Operacional del Sistema» (AOS).
a) La Autoridad Operacional del Sistema es responsable del desarrollo, la operación y mantenimiento del Sistema durante su ciclo de vida; de sus especificaciones, de su instalación y de la verificación de su correcto funcionamiento. Será designada por el Jefe de la Unidad, Centro u Organismo responsable del Sistema y podrá variar de una persona a otra conforme al ciclo de vida del Sistema.
b) Con los criterios expresados en las Instrucciones Técnicas y Guías de la política INFOSEC que se desarrollen de acuerdo al apartado séptimo sexto de esta Orden, la AOS será responsable de decidir las medidas de seguridad que aplicarán los suministradores de componentes del Sistema durante las etapas de desarrollo, instalación y prueba del mismo. Será también responsable de la implantación y del control de las medidas específicas de seguridad del Sistema y de que éstas se integren adecuadamente con las medidas generales de seguridad.
c) Es responsabilidad de la AOS igualmente, la elaboración de la Declaración de Requisitos Específicos de Seguridad (DRES) y la aprobación de los Procedimientos Operativos de Seguridad (POS) del Sistema.
d) Antes de que un Sistema nuevo o modificado entre en servicio, la AOS deberá delimitar las responsabilidades de cada entidad involucrada en el mantenimiento, explotación, implantación y supervisión de la seguridad del mismo.
e) La AOS informará a la Autoridad INFOSEC y solicitará la intervención de la Autoridad de Acreditación cuando se presenten las siguientes circunstancias:
–El desarrollo o la adquisición de un sistema de proceso automático de datos, de comunicaciones, o de cualquier otro sistema de tratamiento electrónico de información, cuyo Concepto de Operación aún no haya sido aprobado por la Al.
–Modificaciones en la configuración de cualquier elemento de los Sistemas, cambios que afecten al modo de operación de los Sistemas, cambios en el hardware o software existente, o adopción de nuevo hardware o software, siempre y cuando dichos cambios o modificaciones puedan afectar a la seguridad de los Sistemas.
–Planificación de una tarea con nivel de clasificación superior al acreditado para el Sistema que vaya a ejecutarla.
3.2. «Administrador de Seguridad del Sistema» (ASS).
El Administrador de Seguridad del Sistema será responsable de la implantación, gestión y mantenimiento de las medidas de seguridad aplicables al Sistema y de la redacción de los Procedimientos Operativos de Seguridad (POS) conforme al Concepto de Operación aprobado por la Al. Cuando se requiera especial conocimiento de hardware, software, comunicaciones o medidas de contrainteligencia, la Al facilitará la cooperación adecuada entre las entidades que proporcionen dicho conocimiento.
4. Estructura INFOSEC Orgánica.
4.1. «Oficial INFOSEC» (OI).
El Oficial INFOSEC será responsable de la supervisión de la ejecución de las medidas y procedimientos de seguridad de los Sistemas a su cargo.
4.2. «Autoridad de Control del Material de Cifra» (ACMC).
La Autoridad de Control del Material de Cifra es responsable del registro, contabilidad y seguimiento de todo el material de cifra utilizado para la protección de la información clasificada en el Ministerio de Defensa, estableciendo los procedimientos adecuados.
Será responsable de definir y actualizar la estructura cripto del Ministerio, donde constarán los Criptocustodios y los Criptocustodios alternativos.
4.3. «Órganos de Distribución de Material de Cifra» (ODMC).
Dentro del Órgano Central del Ministerio de Defensa, CESID, EMACON, Cuartel General del Ejército de Tierra, CG de la Armada y CG del Ejército del Aire, y dependiente de la Al, se designará un órgano de Distribución de Material de Cifra de acuerdo con los procedimientos establecidos por la ACMC. Cada ODMC será responsable de la generación de claves, así como de la gestión, transporte y control del material de cifra utilizado en los Sistemas de su competencia, o de su responsabilidad.
Séptimo.- Desarrollo de la política INFOSEC.
1. Deberán fundamentarse en la presente Orden cuantas Instrucciones Técnicas, Normas y Guías concernientes a la seguridad de los Sistemas desarrollen y aprueben las Autoridades Delegadas de Acreditación, las Autoridades Infosec y la Autoridad de Control del Material de Cifra.
2. Las «Instrucciones Técnicas INFOSEC» atenderán a unos objetivos de seguridad específicos de los Sistemas bajo la responsabilidad de la autoridad emisora y serán de obligatorio cumplimiento dentro del ámbito que compete a dicha autoridad. Cada Instrucción Técnica INFOSEC consistirá en un conjunto de reglas o advertencias, en las que predominan las disposiciones técnicas o explicativas, para el cumplimiento de uno o varios servicios de seguridad. En algunos casos se especifican requisitos de implementación y de gestión necesarios de dichos servicios para conseguir el objetivo de seguridad.
3. Las «Normas INFOSEC» contienen las reglas generales que se deben seguir o a las que se deben ajustar las conductas, tareas o actividades de las personas y organizaciones en relación con la protección de la información cuando es manejada por un Sistema.
4. Las «Guías INFOSEC» son tratados en los que las Autoridades INFOSEC dan recomendaciones o informaciones para resolver, encaminar o dirigir temas concretos de seguridad de los Sistemas y están basadas en una o más Instrucciones previas. Las guías crean el marco general donde se implementan los procedimientos operativos de seguridad.
Disposición adicional primera. Protección de la información regulada por acuerdos internacionales.
La información cuya protección se encuentre regulada por acuerdos internacionales suscritos por el Ministerio de Defensa obedecerá a las Políticas de Seguridad allí expresadas, y serán ejecutadas en todo lo posible por la estructura establecida por la presente Orden.
Disposición adicional segunda. Acreditaciones internacionales.
En aquellos Sistemas de Defensa que se vayan a interconectar con Sistemas dependientes de una Autoridad de Acreditación distinta de la española, la acreditación será otorgada por mutuo acuerdo entre las Autoridades de Acreditación de los países involucrados, constituyéndose para ello el Comité de Acreditación correspondiente, de acuerdo a lo dispuesto en el apartado cuarto, párrafo 13d.
Disposición adicional tercera. Acreditaciones interministeriales.
Cuando se interconecten Sistemas dependientes de otros organismos de la Administración con algún Sistema de Defensa, se podrá constituir un Comité de Acreditación Interministerial. Por parte del Ministerio de Defensa asistirán a dicho comité representantes de las ADA,s involucradas.
Disposición adicional cuarta. Empresas con Acuerdo de Seguridad.
Cuando la información a que se refiere esta Orden (ámbito de aplicación, apartado tercero, punto 1), sea manejada por empresas que tienen establecido Acuerdo de Seguridad con el Ministerio de Defensa, su tratamiento se realizará de acuerdo con lo dispuesto en la Orden Ministerial Comunicada 17/2001, de 29 de enero, por la que se aprueba el Manual de Protección de Materias Clasificadas del Ministerio de Defensa, en poder de las empresas.
Disposición transitoria primera. Sistemas no acreditados.
Toda AOS de Sistemas que carezcan de la acreditación requerida en conformidad con la presente Orden, deberá ponerlo en conocimiento de su correspondiente Autoridad INFOSEC, quien iniciará el correspondiente proceso de acreditación.
Disposición transitoria segunda. Autoridad de Control de Material de Cifra.
Mientras no se designe un organismo específico para asumir las responsabilidades de la Autoridad de Control de Material de Cifra, ésta será ejercida por los Organismos que actualmente tienen asignadas estas funciones
Disposición derogatoria única. Derogación normativa.
Quedan derogadas cuantas disposiciones de igual o inferior rango se opongan a la presente Orden.
Disposición final primera. Facultad de desarrollo.
Se faculta a las Autoridades Delegadas de Acreditación para dictar cuantas Instrucciones Técnicas y Normas sean necesarias para la aplicación y desarrollo de la presente Orden.
Disposición final segunda. Entrada en vigor.
La presente Orden entrará en vigor el día siguiente al de su publicación en el «Boletín Oficial del Ministerio de Defensa».
La estructura y responsabilidades definidas en la presente Orden estarán debidamente constituidas a los doce meses siguientes a la fecha de entrada en vigor de la misma.
Cuando se materialicen las acciones correspondientes a la obtención de una infraestructura común de seguridad del Plan Director de Sistemas de Información y Telecomunicaciones, la presente Orden será revisada.
ANEXO
SIGLAS Y ACRÓNIMOS
A continuación se relacionan siglas y acrónimos utilizadas en el texto de la Orden, entre paréntesis aparece su equivalente en terminología OTAN.
AA: Autoridad de Acreditación (Security Acreditation Authority, SAA).
ACC: Autoridad de Certificacción Criptográfica (COMSEC Authority).
ACMC: Autoridad de Control del Material de Cifra (Crypto Controlling Authority).
ACT: Autoridad de Certificación TEMPEST (TEMPEST Authority).
ACTI: Autoridad de Certificación de la Seguridad de las Tecnologías de la Información (Certification Body, CB).
ADA: Autoridad Delegada de Acreditación.
AI: Autoridad INFOSEC (INFOSEC Authority).
AOS: Autoridad Operacional del Sistema (ADP System Operating Authority, ADPSOA).
ASS: Administrador de Seguridad del Sistema (System Security Administrator, SSA).
COS: Concepto de Operación del Sistema (Concept of Operations, CONOPS).
DRES: Declaración de Requisitos Específicos de Seguridad (System Security Requirement Statement, SSRS).
INFOSEC: Seguridad de la Información en forma electrónica o electromagnética (INFOSEC).
ODMC: Órgano de Distribución de Material de Cifra (Distributing and Accounting Agency).
OI: Oficial INFOSEC (ADP Site Security Officer, ADPSSO).
POS: Procedimientos Operativos de Seguridad (Security Operating Procedures, SecOPs).
SIT: Sistema de Información y Telecomunicaciones (Communication and Information System, CIS).
STIC: Sistema de las Tecnologías de la Información y las Telecomunicaciones.
TI: Tecnologías de la Información.