Art. 4
Autoridad de Acreditación de Seguridad
En vigor desde 7 abr 2022
Artículo 4
Autoridad de Acreditación de Seguridad
1. La CSA será la responsable de la acreditación de las zonas de acceso restringido que cumplan los requisitos del artículo 18 de la Decisión 2015/444 y de los SIC para el manejo de ICUE.
2. Los servicios de la Comisión consultarán a la Autoridad de Acreditación de Seguridad, en coordinación con sus LSO y sus responsables locales de seguridad informática (LISO), según proceda, siempre que un servicio tenga la intención de:
a)
construir una zona de acceso restringido;
b)
implantar un SIC para manejar ICUE;
c)
instalar cualquier otro equipo para el manejo de información clasificada, incluidas las conexiones a SIC de terceros.
La Autoridad de Acreditación de Seguridad ofrecerá asesoramiento sobre estas actividades tanto durante el proceso de planificación como durante el de construcción o desarrollo.
3. No se manejará ICUE en una zona de acceso restringido o en un SIC sin la previa expedición, por parte de la Autoridad de Acreditación de Seguridad, de una acreditación al nivel adecuado de ICUE.
4. Los requisitos de acreditación de una zona de acceso restringido incluirán:
a)
la aprobación de los planes para la zona de acceso restringido;
b)
la aprobación de todos los contratos de obras que realicen contratistas externos, teniendo en cuenta las disposiciones en materia de seguridad industrial, como, por ejemplo, los requisitos de habilitación de seguridad de los contratistas y de su personal;
c)
la disponibilidad de todas las declaraciones y certificados de conformidad requeridos;
d)
una inspección física de la zona de acceso restringido para comprobar que los materiales y métodos de construcción, los controles de acceso, los equipos de seguridad y cualquier otro elemento cumplen los requisitos establecidos por la CSA;
e)
la validación de las medidas para contrarrestar las radiaciones electromagnéticas en cualquier zona de acceso restringido protegida por medios técnicos;
f)
la aprobación de los procedimientos operativos de seguridad para la zona de acceso restringido.
5. Los requisitos de acreditación de un SIC que maneje ICUE incluirán:
a)
la adopción de una estrategia de acreditación del sistema;
b)
la validación del plan de seguridad del SIC, sobre la base de un enfoque de gestión de riesgos;
c)
la validación de los procedimientos operativos de seguridad para el SIC;
d)
la validación de todos los demás documentos de seguridad requeridos, según determine la Autoridad de Acreditación de Seguridad;
e)
la aprobación del uso de cualquier tecnología de cifrado;
f)
la validación de las medidas para contrarrestar las radiaciones electromagnéticas de un SIC que maneje información clasificada de grado CONFIDENTIEL UE/EU CONFIDENTIAL o superior;
g)
una inspección del SIC para comprobar la correcta aplicación de las medidas de seguridad documentadas.
6. Una vez cumplidos satisfactoriamente los requisitos de acreditación, la Autoridad de Acreditación de Seguridad expedirá una autorización oficial para el manejo de ICUE en la zona de acceso restringido o en el SIC, correspondiente a un grado máximo establecido de ICUE y por un período de hasta cinco años, en función del grado de ICUE manejada y de los riesgos que entrañe.
7. Tras la notificación de un fallo de seguridad o de un cambio significativo en el diseño o las medidas de seguridad de una zona de acceso restringido o de un SIC, la Autoridad de Acreditación de Seguridad revisará y, en caso necesario, podrá revocar la autorización para el manejo de ICUE hasta que se resuelvan los problemas detectados.
Historial de versiones
Este artículo no ha sufrido modificaciones desde su publicación.
Tus anotaciones
Proeli:dec:2022:640:oj#art-4