El 9 de diciembre se publicó en el BOE la Resolución del 29 de noviembre, de la Secretaría de Estado de Seguridad, por la que se corregían errores en los contenidos mínimos de los planes de seguridad del operador y planes de protección específicos publicados inicialmente el 15 de noviembre. Una de las dos modificaciones que recoge dicha resolución es el grado de protección que deben tener los PSOs y los PPEs desarrollados en cumplimiento de lo establecido en la Ley 8/2011 que vieron reducido el nivel de ‘confidencial’ a ‘difusión limitada‘.
Pero, ¿qué implica ese grado de difusión limitada? La respuesta podemos encontrarla en los siguientes documentos de la Oficina Nacional de Seguridad:
- OR-ASIP-04-01.03 Orientaciones para el Manejo de Información Clasificada con Grado de Difusión Limitada (pdf)
- OR-ASIP-02-02.02 Instrucción de Seguridad del Personal para acceso a Información Clasificada (pdf)
- OR-ASIP-01-01.02 Orientaciones para el Plan de Protección de una Zona de Acceso Restringido (pdf)
- OR-ASIP-01-02.02 Orientaciones para la Constitución de Zonas de Acceso Restringido (pdf)
En primer lugar, hay que mencionar que este grado es el menor de los recogidos en la normativa (a saber, difusión limitada – confidencial – reservado – secreto) pero que, aún así, implica ciertas limitaciones que resumimos a continuación:
- Su contenido no debe ser revelado al público, o al personal no autorizado.
- Solamente debe estar a disposición del personal que requiera acceso a dicha información (que deberá tener la «necesidad de conocer»).
- Las personas que tengan acceso deberán haber sido instruidas previamente en el manejo de este tipo de información, y serán conscientes de su responsabilidad en la protección de la misma (aunque no es necesaria una Habilitación Personal de Seguridad – HPS).
- Podrán realizarse copias por parte de los usuarios autorizados, siempre que mantengan las mismas medidas de seguridad que los originales.
- La cesión está expresamente prohibida salvo autorización por escrito del propietario de la información.
- Deberá designarse al menos un Responsable de Seguridad para velar por la protección de dicha información.
- Los documentos o materiales deben estar marcados como tal en negrita y mayúsculas, en la cabecera y pie decada página.
- Deberá registrarse la entrada y salida de información, bajo la supervisión del Responsable de Seguridad (aunque no es necesario mantener actas de destrucción, hojas de control de acceso ni recibos de recepción).
- Para enviarla físicamente, debe hacerse en un sobre sencillo, opaco, sin marca exterior de clasificación, ni indicios de su contenido. Para envíos electrónicos, se deben utilizar mecanismos de cifra expresamente autorizados por el Centro Criptológico Nacional (CCN).
- Deberá ser físicamente destruida de manera que se imposibilite su reconstrucción parcial o total (pero no sirven todas las destructoras de papel, el corte máximo que deben realizar será de 3mm. de ancho y 25mm. de largo y la superficie total del material cortado no deberá exceder de 60 mm.)
- Cualquier comprometimiento de información debe ser informado al Responsable de Seguridad que deberá informar a los responsables de la entidad que correspondan y, bajo determinadas condiciones, a la Autoridad competente.
- Los sistemas de información y comunicación que vayan a tratarla deberán cumplir con los requisitos de las guías CCN-STIC 301, CCN-STIC 302 y CCN-STIC 204 del CCN y, como mínimo, cifrarán el disco duro mediante mecanismo autorizado o soporte removible adecuadamente cifrado y etiquetado y aplicarán la configuración de seguridad aprobada para el equipo que maneje la información.
- Físicamente, las medidas deberán ser las de una Zona de Acceso Restringido (considerando que estaría fuera de la Administración, en las instalaciones del Operador Crítico, que es una entidad privada):
- Paredes, techo y suelo deben ofrecer el mismo nivel de resistencia y las paredes deben ser de ladrillo macizo de medio pie.
- Ventanas y conductos a menos de 5,50 metros de suelo o tejado protegidos por rejas de seguridad o con sistema de alarma contra apertura, rayado o rotura y con cristales opacos o translúcidos.
- La puerta de acceso deberá ser blindada y con cerradura mecánica de alta seguridad con al menos 5 puntos de cierre.
- Existirán detectores de presencia y/o movimiento antisabotaje conectados a Centro de Control de Alarmas.
- La documentación se mantendrá en una caja fuerte de al menos nivel I (según UNE-EN 1143) y cerradura clase A (conforme UNE-EN 1300).
No son mecanismos muy complicados, pero evidentemente, habrá que comprobar si los cumplimos y en algunos casos, adaptar nuestras normativas y procedimientos internos para garantizarlos. En cualquier caso, también hay que considerar que tienen esta clasificación los planes completos, pero sus partes se pueden manejar sin estas restricciones… ¿no?
Puedes seguirnos en twitter.com/enplusone