Art. 36
SIC que manejen ICUE
En vigor desde 13 mar 2015
Artículo 36
SIC que manejen ICUE
1. Los SIC manejarán la ICUE de conformidad con el concepto de GI.
2. Para los SIC que manejen ICUE, el cumplimiento de la política de seguridad de los sistemas de información de la Comisión, tal como se establece en la Decisión de la Comisión C(2006) 3602, implica que (11):
a)
se aplicará el enfoque «planear-ejecutar-verificar-actuar» a la ejecución de la política de seguridad de los sistemas de información durante todo el ciclo de vida del sistema de información;
b)
las necesidades en materia de seguridad deberán determinarse a partir de una evaluación del impacto en la actividad;
c)
el sistema de información y los datos que contiene deberán someterse a una clasificación formal de los activos;
d)
las medidas de protección obligatorias determinadas por la política de seguridad de los sistemas de información deberán ponerse en práctica;
e)
deberá aplicarse un proceso de gestión de riesgos, que consta de las siguientes etapas: identificación de amenazas y vulnerabilidades, evaluación del riesgo, gestión del riesgo, aceptación del riesgo y comunicación del riesgo;
f)
se definirá, aplicará, verificará y revisará un plan de seguridad que incluya la política de seguridad y los procedimientos operativos de seguridad.
3. Todo el personal involucrado en el diseño, desarrollo, prueba, operación, gestión o utilización de los SIC que manejen ICUE notificará a la AAS todos los posibles puntos débiles, incidentes, fallos de seguridad o comprometimientos que puedan tener un impacto en la protección del SIC o de la ICUE que contenga.
4. Cuando la protección de la ICUE se realice mediante productos criptológicos, dichos productos se aprobarán del siguiente modo:
a)
se dará preferencia a los productos que hayan sido aprobados por el Consejo o por el Secretario General del Consejo, en su calidad de autoridad de certificación criptológica del Consejo, por recomendación del grupo de expertos de seguridad de la Comisión;
b)
cuando ello esté justificado por motivos operativos específicos, la Autoridad de Certificación Criptológica de la Comisión (ACC) podrá, por recomendación del grupo de expertos de seguridad de la Comisión, dispensar del cumplimiento de los requisitos a que se refiere la letra a) y otorgar una aprobación provisional durante un período específico.
5. Durante la transmisión, tratamiento y almacenamiento de la ICUE por medios electrónicos se emplearán productos criptográficos homologados. Sin perjuicio de este requisito, se podrán aplicar procedimientos específicos en circunstancias urgentes o en configuraciones técnicas específicas previa aprobación de la ACC.
6. Se aplicarán medidas de seguridad a fin de proteger los SIC que manejen información clasificada de grado CONFIDENTIEL UE/EU CONFIDENTIAL o superior de modo que dicha información no pueda verse comprometida como consecuencia de emanaciones electromagnéticas no intencionadas («medidas de seguridad TEMPEST»). Estas medidas de seguridad serán proporcionadas al riesgo de explotación de la información y al grado de clasificación de esta.
7. La autoridad de seguridad de la Comisión asumirá las funciones siguientes:
—
Autoridad de Garantía de la Información (AGI),
—
Autoridad de Acreditación de Seguridad (AAS),
—
Autoridad TEMPEST,
—
Autoridad de Certificación Criptológica (ACC),
—
Autoridad de Distribución Criptológica (ADC).
8. La autoridad de seguridad de la Comisión designará para cada sistema a la Autoridad Operacional de Garantía de la Información (AOGI).
9. Las responsabilidades de las funciones descritas en los apartados 7 y 8 se determinarán en las normas de desarrollo.
Historial de versiones
Este artículo no ha sufrido modificaciones desde su publicación.
Tus anotaciones
Proeli:dec:2015:444:oj#art-36