Versin 1.0/J unio 2001 Pg.

NS/08 - 1
Autoridad Nacional de Seguridad
para la proteccin de la
informacin clasificada











- NS/08 -
Proteccin de la
informacin
clasificada OTAN
manejada en
sistemas de
informacin y
comunicaciones
(CIS)
Versin 1.0/J unio 2001 Pg. NS/08 - 2







NORMA NS/08


PROTECCIN DE LA INFORMACIN CLASIFICADA OTAN MANEJADA EN
SISTEMAS DE INFORMACIN Y COMUNICACIONES (CIS)


NDICE

1. INTRODUCCIN............................................................................................................................................ 3
2. OBJETIVOS DE SEGURIDAD...................................................................................................................... 3
3. ACREDITACIN DE SEGURIDAD............................................................................................................. 3
4. SEGURIDAD PERSONAL ............................................................................................................................. 4
5. SEGURIDAD FSICA...................................................................................................................................... 4
6. SERVICIOS DE SEGURIDAD....................................................................................................................... 4
7. CONTROL E IMPUTABILIDAD DE LA INFORMACIN...................................................................... 5
7.1. MANEJ O Y CONTROL DE LOS SOPORTES EXTRAIBLES DE ALMACENAMIENTO................................................5
8. SEGURIDAD DE LOS ORDENADORES PERSONALES (PCS)............................................................. 5
9. UTILIZACIN DE EQUIPOS PARTICULARES....................................................................................... 6
10. TRANSMISIN DE INFORMACIN CLASIFICADA............................................................................ 6
11. SEGURIDAD DE LAS EMISIONES ELECTROMAGNTICAS............................................................ 6

Versin 1.0/J unio 2001 Pg. NS/08 - 3
NORMA NS/08


PROTECCIN DE LA INFORMACIN CLASIFICADA OTAN MANEJADA EN
SISTEMAS DE INFORMACIN Y COMUNICACIONES (CIS)


1. INTRODUCCIN

El contenido de esta norma es de aplicacin a todos los sistemas de informacin y
telecomunicaciones (sistemas CIS) que almacenen, procesen o transmitan (de aqu en adelante
manejen) informacin clasificada de la Alianza.

La informacin clasificada de la OTAN manejada en un sistema de informacin y
telecomunicaciones debe protegerse contra la prdida de confidencialidad, integridad o
disponibilidad, ya sea accidental o intencionada, y debe impedirse la prdida de integridad y
disponibilidad de los propios sistemas que sustentan dicha informacin.

Al objeto de conseguir la proteccin de seguridad adecuada se deber implementar un
conjunto equilibrado de medidas de seguridad de distinta naturaleza (fsica, de personal, de
informacin de procedimientos e INFOSEC) que permitan la creacin de un entorno seguro
en el que opere el sistema de informacin, telecomunicaciones o cualquier otro sistema
electrnico.

2. OBJETIVOS DE SEGURIDAD

Los objetivos de seguridad perseguidos con la aplicacin de las medidas INFOSEC a
la proteccin de la informacin clasificada son:

a) mantener la confidencialidad de la informacin clasificada;
b) mantener la integridad de la informacin clasificada y de los sistemas que la
manejan y
c) mantener la disponibilidad de la informacin clasificada y de los sistemas que la
manejan.

3. ACREDITACIN DE SEGURIDAD

La ANS-D someter a todos los sistemas de informacin que manejen informacin
clasificada a un proceso de acreditacin, previo a la concesin de autorizacin para manejar
informacin clasificada, mediante el que se garantizar el adecuado nivel de proteccin y su
mantenimiento.

La concesin de la autorizacin a un sistema de informacin para manejar informacin
clasificada se denomina acreditacin.

El proceso de acreditacin se realizar de acuerdo a lo especificado en el
correspondiente Procedimiento de Acreditacin de Sistemas CIS que manejan informacin
clasificada OTAN.

Versin 1.0/J unio 2001 Pg. NS/08 - 4
4. SEGURIDAD PERSONAL

Todos las personas que tengan acceso a los sistemas donde se maneja informacin
clasificada, incluidas aquellas que no estn autorizadas a acceder a la informacin manejada,
debern estar en posesin del nivel de habilitacin adecuado.

5. SEGURIDAD FSICA

Aquellas reas desde donde se pueda acceder o visualizar informacin clasificada
mediante la utilizacin de las tecnologas de la informacin, debern estar clasificadas de
acuerdo al nivel de clasificacin de la informacin accedida y a los requisitos de
confidencialidad, integridad y disponibilidad requeridos.

6. SERVICIOS DE SEGURIDAD

Todos los sistemas de informacin que manejen informacin clasificada de la Alianza
debern disponer de un conjunto equilibrado de servicios de seguridad que proporcionen los
objetivos de seguridad requeridos y protejan los sistemas de forma adecuada.

Estos servicios de seguridad permitirn, cuando sea apropiado, los siguientes:

a) Identificar y autenticar a los individuos con acceso autorizado;
b) Controlar los accesos a la informacin en base al principio de la necesidad de
conocer;
c) Verificar la integridad y el origen de la informacin y de los elementos del sistema;
d) Mantener la integridad de la informacin clasificada y elementos del sistema;
e) Garantizar y verificar el funcionamiento de los mecanismos de seguridad del
sistema;
f) Auditar la actividad de los usuarios y del sistema y
g) Prevenir, detectar y corregir los impactos o incidentes que afecten a la
confidencialidad, integridad o disponibilidad del sistema o de la informacin.

Para ello, se determinarn los requisitos de seguridad que debern satisfacer los
sistemas que manejan informacin clasificada de la Alianza. Dichos requisitos se agruparn
en las siguientes categoras:

a) Requisitos de identificacin y autenticacin.
b) Requisitos de control de accesos
c) Requisitos de auditora de seguridad
d) Requisitos de integridad
e) Requisitos de proteccin de las funciones de seguridad
f) Requisitos de gestin de la configuracin
g) Requisitos de disponibilidad
h) Requisitos de gestin de la seguridad

Las autoridades responsables de los sistemas CIS nacionales que manejen informacin
OTAN tendrn en cuenta que se satisfacen dichos requisitos en las diferentes fases del ciclo
de vida de un sistema CIS, y debern reflejarlos en la documentacin de seguridad del
sistema.

Versin 1.0/J unio 2001 Pg. NS/08 - 5
7. CONTROL E IMPUTABILIDAD DE LA INFORMACIN

Se mantendrn registros de auditora automticos o manuales del sistema, como
control de acceso a la informacin clasificada NATO SECRET (NS) o superior. Dichos
registros se mantendrn durante un periodo mnimo de cinco aos.

7.1. Manejo y control de los soportes extraibles de almacenamiento

Todos los soportes de almacenamiento informtico (discos duros, disquetes,
ordenadores porttiles, CDROM, copias impresas, etc...) que contengan informacin con
clasificacin NATO CONFIDENTIAL (NC) o superior, debern estar apropiadamente
identificados, controlados y registrados en el Organismo de Control correspondiente de
acuerdo con el mayor nivel de clasificacin de la informacin que contengan. Dichos
controles e identificacin debern incluir como mnimo:

a) Para NATO CONFIDENTIAL y superior, se utilizar un sistema de identificacin
(nmero de serie y marca de clasificacin) para cada soporte por separado. Los
Subregistros y Puntos de Control establecern procedimientos para el registro y
control de la emisin, recepcin, utilizacin y destruccin final de los soportes.
b) Para NATO SECRET y superior, se mantendr un registro con todos los detalles
relativos a los soportes extraibles de almacenamiento incluyendo su contenido
general y clasificacin.
c) Se establecern controles aleatorios que aseguren la consistencia del contenido de
los soportes con su identificacin y los datos que figuran en el registro.

Para NATO CONFIDENTIAL, los soportes sern inspeccionados
peridicamente de forma aleatoria para comprobar su presencia fsica y
contenido (a fin de garantizar que en el soporte no se almacena informacin
con un nivel de clasificacin superior);
Para NATO SECRET, todos los soportes sern inspeccionados
peridicamente para comprobar su presencia fsica y contenido (a fin de
garantizar que en el soporte no se almacena informacin con un nivel de
clasificacin superior); y
Para COSMIC TOP SECRET (CTS) e informacin de categoras especiales,
todos los soportes sern inspeccionados anualmente para comprobar su
presencia fsica y contenido (a fin de garantizar que en el soporte no se
almacena informacin de categora diferente a la declarada).

8. SEGURIDAD DE LOS ORDENADORES PERSONALES (PCs)

Los Ordenadores Personales, incluyendo los porttiles, agendas electrnicas, etc..., con
discos fijos u otros dispositivos de almacenamiento no voltiles, operando de forma aislada o
conectados en red, sern considerados como dispositivos de almacenamiento de informacin
en el mismo sentido que los disquetes u otro dispositivo de almacenamiento extraible.




Versin 1.0/J unio 2001 Pg. NS/08 - 6
9. UTILIZACIN DE EQUIPOS PARTICULARES

Queda expresamente prohibida la utilizacin de equipos (hardware y software) y
sistemas extraibles de almacenamiento particulares para el manejo de informacin clasificada
de nivel NATO RESTRICTED o superior.

Queda expresamente prohibida la introduccin de equipos (hardware y software) y
sistemas extraibles de almacenamiento particulares en zonas clasificadas como Clase I o
Clase II donde se maneje informacin clasificada de la Alianza.

En el presente contexto, se entiende por equipos particulares los medios citados que no
son propiedad del Organismo responsable de los sistemas de informacin acreditados.

10. TRANSMISIN DE INFORMACIN CLASIFICADA

Se implementarn medidas especiales para la proteccin de la informacin clasificada
cuando esta se transmita mediante la utilizacin de sistemas CIS. La utilizacin de mtodos
criptogrficos para la proteccin de la confidencialidad, integridad o disponibilidad de la
informacin clasificada deber ser especficamente aprobada por la ANS-D para dicho
propsito.

La conexin de sistemas que manejan informacin CTS a redes pblicas queda
totalmente prohibida.

La proteccin de la confidencialidad de la informacin clasificada NS durante su
transmisin se garantizar mediante la utilizacin de mtodos o productos criptogrficos
aprobados por el Comit Militar de la OTAN (NAMILCOM).

La proteccin de la confidencialidad de la informacin clasificada NC o NR durante
su transmisin garantizar mediante la utilizacin de mtodos o productos criptogrficos
aprobados por la ANS-D o por el Comit Militar de la OTAN (NAMILCOM).

11. SEGURIDAD DE LAS EMISIONES ELECTROMAGNTICAS

De acuerdo con el riesgo de explotacin y la sensibilidad de la informacin manejada,
se implementarn medidas de seguridad adecuadas, que permitan la proteccin de la
informacin clasificada NC o superior contra los fenmenos de radiacin electromagntica no
deseados.