Art. 10
Protección de la ICUE manejada en los sistemas de información y comunicaciones
En vigor desde 31 mar 2011
Artículo 10
Protección de la ICUE manejada en los sistemas de información y comunicaciones
1. Por «garantía de la información» (GI) en el ámbito de los sistemas de información y comunicaciones, se entenderá la confianza en que esos sistemas protejan la información que manejan y funcionen como es necesario que lo hagan, cuando así se precise, bajo el control de sus legítimos usuarios. Una GI efectiva ha de asegurar unos niveles apropiados de confidencialidad, integridad, disponibilidad, no repudio y autenticidad. La GI se basará en un proceso de gestión del riesgo.
2. Por «sistema de información y comunicaciones» se entenderá el sistema que permite manejar información en formato electrónico. Un sistema de información y comunicaciones abarca todos los medios necesarios para su funcionamiento, incluidos la infraestructura, la organización y los recursos de personal e información. La presente Decisión se aplicará a los sistemas de información y comunicaciones (SIC) que manejen ICUE.
3. Los SIC manejarán la ICUE de conformidad con el concepto de GI.
4. Todos los SIC serán objeto de un proceso de acreditación. La acreditación tendrá por objeto obtener garantías de que se han aplicado todas las medidas de seguridad oportunas y se ha logrado un grado de protección suficiente de la ICUE y los SIC, de conformidad con la presente Decisión. La declaración de acreditación determinará el grado máximo de clasificación de la información que pueda manejarse en un SIC, así como las condiciones correspondientes.
5. Los SIC que manejen información clasificada de grado CONFIDENTIEL UE/EU CONFIDENTIAL o superior deberán estar protegidos de tal manera que la información no pueda verse comprometida como consecuencia de emanaciones electromagnéticas no intencionadas («medidas de seguridad TEMPEST»).
6. Cuando la protección de la ICUE se realice mediante productos criptológicos, dichos productos se aprobarán del siguiente modo:
a)
La confidencialidad de la información clasificada de grado SECRET UE/EU SECRET o superior deberá protegerse mediante productos criptológicos aprobados por el Consejo, en su calidad de Autoridad de Certificación Criptológica (ACC), por recomendación del Comité de Seguridad.
b)
La confidencialidad de la información clasificada de grado CONFIDENTIEL UE/EU CONFIDENTIAL o RESTREINT UE/EU RESTRICTED deberá protegerse mediante productos criptológicos aprobados por el Secretario General del Consejo (en lo sucesivo, el «Secretario General»), en su calidad de ACC, por recomendación del Comité de Seguridad.
No obstante lo dispuesto en la letra b), dentro de los sistemas nacionales de los Estados miembros, la confidencialidad de la ICUE de grado CONFIDENTIEL UE/EU CONFIDENTIAL o RESTREINT UE/EU RESTRICTED podrá protegerse mediante productos criptológicos aprobados por la ACC de un Estado miembro.
7. Durante la transmisión de la ICUE mediante medios electrónicos, se emplearán productos criptológicos aprobados. Sin perjuicio de este requisito, se podrán aplicar procedimientos específicos en circunstancias urgentes o en configuraciones técnicas específicas, según se indica en el anexo IV.
8. Las autoridades competentes de la SGC y de los Estados miembros designarán, respectivamente, las siguientes funciones de GI:
a)
una Autoridad de Garantía de la Información (AGI);
b)
una Autoridad TEMPEST;
c)
una Autoridad de Certificación Criptológica (ACC);
d)
una Autoridad de Distribución Criptológica (ADC).
9. Para cada sistema, las autoridades competentes de la SGC y de los Estados miembros, respectivamente, designarán:
a)
una Autoridad de Acreditación de Seguridad (AAS);
b)
una Autoridad Operacional de Garantía de la Información (AOGI).
10. Las disposiciones de aplicación del presente artículo figuran en el anexo IV.
Historial de versiones
Este artículo no ha sufrido modificaciones desde su publicación.
Tus anotaciones
Proeli:dec:2011:292:oj#art-10