A información clasificada manexada nun Sistema debe protexerse contra a perda de confidencialidade, integridade, dispoñibilidade, rastrexabilidade e autenticidade, sexa accidental ou intencionada, e debe impedirse a perda de integridade e dispoñibilidade dos propios sistemas que sustentan dita información. E é o Centro Criptolóxico Nacional o encargado de velar polo cumprimento da normativa relativa á protección desta información clasificada.
Por este motivo, o CCN fixo pública guíaa Guía CCN-STIC 101 Acreditación de Sistemas TIC
onde se define o procedemento de acreditación dos sistemas que manexen información clasificada, segundo o establecido na Política de Seguridade do TIC (establecida na Lei 11/2002 do 6 de maio, reguladora do CNI e do Real Decreto 421/2004, do 12 de marzo, polo que se regula o CCN). Todo iso, entendendo por Acreditación á autorización outorgada a un Sistema para manexar información clasificada ata un grao determinado, ou nunhas determinadas condicións de integridade ou dispoñibilidade, de acordo co seu Concepto de Operación (CO).
A Guía agora actualizada aborda as responsabilidades sobre a acreditación dun sistema (tendo en conta que o Secretario de Estado director do CNI é Autoridade de Acreditación de Seguridade), o proceso de acreditación ou a acreditación das interconexións. Así mesmo, dedica un capítulo amplo ás condicións para unha acreditación e os requisitos esixidos en todo o proceso:
- Documentación de seguridade
- Seguridade da contorna de operación (seguridade persoal, física e dos documentos)
- Seguridade das emanacións
- Seguridade criptolóxica
- Seguridade do TIC
- Avaliación de Seguridade do TIC
Por último, o documento recolle as situacións posibles da acreditación, a súa validez, o período entre avaliacións, a reacreditación, os informes a remitir entre acreditacións e o rexistro de sistemas acreditados.
