Instrucción 52-2013, de 17 de Junio, Del SEDEF, Por La Que Se Aprueban Las Normas para La Seguridad de La Información Del MD en Poder de Las Empresas
Instrucción 52-2013, de 17 de Junio, Del SEDEF, Por La Que Se Aprueban Las Normas para La Seguridad de La Información Del MD en Poder de Las Empresas
Instrucción 52-2013, de 17 de Junio, Del SEDEF, Por La Que Se Aprueban Las Normas para La Seguridad de La Información Del MD en Poder de Las Empresas
I. — DISPOSICIONES GENERALES
NORMAS
Instrucción 52/2013, de 17 de junio, del Secretario de Estado de Defensa, por la que
se aprueban las Normas para la Seguridad de la Información del Ministerio de Defensa en
poder de las empresas.
acorde a la disposición adicional quinta de dicha Ley, tener en cuenta las disposiciones
reglamentarias que dicte la Autoridad Nacional de Seguridad de la Información Clasificada
originada por las partes del Tratado del Atlántico Norte, por la Unión Europea y por la Unión
Europea Occidental. Y por otro lado, la Orden DEF/2524/2012, de 8 de noviembre, por la
que se adecúan las normas y medidas de protección de la información del Ministerio de
Defensa en poder de las empresas deroga las mencionadas OMC 17/2001 y 44/2001, por
lo que, en consecuencia, resulta derogado el Acuerdo de Seguridad contemplado en ellas.
BOLETÍN OFICIAL DEL MINISTERIO DE DEFENSA
Núm. 134 Miércoles, 10 de julio de 2013 Sec. I. Pág. 15908
DISPONGO:
En relación con las cuentas de cifra se mantendrá la estructura actual hasta que se
apruebe la normativa que regule la gestión del material de cifra del Ministerio de Defensa.
CVE: BOD-2013-134-15909
BOLETÍN OFICIAL DEL MINISTERIO DE DEFENSA
Núm. 134 Miércoles, 10 de julio de 2013 Sec. I. Pág. 15910
Primera. Objeto.
Estas normas afectan a todo el Departamento y serán de aplicación a todas las em-
presas que manejen o puedan manejar información del MINISDEF.
Cualquier otra normativa interna que trate algún aspecto de la seguridad de la informa-
ción del MINISDEF en poder de las empresas deberá emanar de la política de la seguridad
de la información del MINISDEF y de lo establecido en esta Instrucción.
1. Definiciones.
de Clasificación.
Vocal técnico de seguridad: persona designada por un Órgano de Contratación,
para representar a éste en una mesa de contratación en los aspectos relacionados con la
seguridad de la información.
Zona de Acceso Restringido (ZAR): área en la que se va a manejar información
clasificada de grado CONFIDENCIAL o superior, y que deberá contar con las medidas y
procedimientos de seguridad adecuados y suficientes para asegurar la protección de dicha
BOLETÍN OFICIAL DEL MINISTERIO DE DEFENSA
Núm. 134 Miércoles, 10 de julio de 2013 Sec. I. Pág. 15912
2. Conceptos Generales.
La SEGINFOEMP está orientada a establecer las medidas, dirigidas tanto a los orga-
nismos del MINISDEF como a las empresas, con el objeto de garantizar razonablemente
la confidencialidad, integridad y disponibilidad de la información del Departamento ma-
nejada o que puedan manejar las empresas, como consecuencia de su participación en
programas, proyectos o contratos del MINISDEF.
3. HSEM.
4. HSES.
Toda empresa que teniendo concedida una HSEM tenga necesidad de almacenar en
sus instalaciones información clasificada del MINISDEF, como consecuencia de su partici-
pación en programas, proyectos o contratos del citado Ministerio, deberá tener concedida
una HSES, o equivalente, de grado igual o superior al de dicha información.
Las empresas que tengan concedida la HSEM y la HSES, o equivalente, que vayan a
manejar información clasificada en sus instalaciones, deberán establecer los Órganos de
Control de información clasificada necesarios y elaborar un Plan de Protección que refleje
las medidas de seguridad para la protección de la información del Ministerio de Defensa,
que incluirá las Zonas de Acceso Restringido (ZAR).
5. HPS.
El personal de las empresas con HSEM que vaya a acceder a información clasificada
de grado CONFIDENCIAL o superior, deberá tener concedida y en vigor la correspondiente
HPS. Para el acceso a información de grado DIFUSION LIMITADA no será necesario dis-
poner de la mencionada habilitación pero sí tener «necesidad de conocer» y haber sido
formado previamente.
Las empresas que tengan HSES y vayan a manejar información clasificada del
MINISDEF en los SIT dentro de sus instalaciones, deberán tener concedida la correspon-
diente acreditación de los mismos emitida por la autoridad de acreditación competente.
b) Las Instrucciones de Seguridad del Programa son una compilación de las diversas
normas y procedimientos de seguridad necesarios para su aplicación de forma homogénea
en un determinado programa o proyecto. Dichas instrucciones quedarán incorporadas al
programa o proyecto y serán objeto de revisión durante las diferentes fases del mismo.
c) Las Cláusulas de Seguridad se basarán en la normativa nacional de protección de
información clasificada existente o, en el caso de contratos internacionales, en el acuerdo
BOLETÍN OFICIAL DEL MINISTERIO DE DEFENSA
Núm. 134 Miércoles, 10 de julio de 2013 Sec. I. Pág. 15913
bilateral o multilateral que le sea de aplicación, así como en los acuerdos de implementa-
ción firmados al amparo de éstos.
d) Tanto las Instrucciones de Seguridad de Programa como las Cláusulas de Seguridad
de los contratos contarán con su Guía de Clasificación, documento que debe contener:
1.º Una descripción sucinta de todas las partes diferenciadas del programa, proyecto
o contrato, señalando tanto las clasificadas como las no clasificadas.
2.º El grado de clasificación para cada una de las partes señaladas en el punto anterior.
3.º Las modificaciones previsibles en la clasificación de cada una de las partes según
las fases del programa.
4.º La fecha o condiciones para su reclasificación o desclasificación, bien de cada
una de las partes o bien del conjunto del programa, proyecto o contrato clasificado.
5.º Observaciones y comentarios que permitan una mayor comprensión de cualquiera
de los conceptos de la Guía de Clasificación.
Seguridad y suplentes de los Órganos de Control, así como los Cripto-Custodios, Cripto-
Custodios Alternos y los Administradores de Seguridad de los SIT, correspondientes a las
empresas nacionales que participen en programas, proyectos o contratos clasificados del
MINISDEF.
f) Centralizar y aprobar, en su caso, la tramitación hacia el SEDCNI de los expedientes
de solicitud de Habilitaciones Personales de Seguridad (HPS) de las empresas nacionales
que participen en programas, proyectos o contratos clasificados del MINISDEF.
BOLETÍN OFICIAL DEL MINISTERIO DE DEFENSA
Núm. 134 Miércoles, 10 de julio de 2013 Sec. I. Pág. 15914
z) Emitir para aquellas empresas que hayan solicitado una HSES, el Certificado de
Inspección y Cumplimiento referido a las medidas de seguridad especificadas en el Plan de
Protección, para su remisión, junto al propio Plan, al SEDCNI, quien emitirá el preceptivo
Certificado de Acreditación de Locales (CAL).
1.º En caso de existir una clasificación previa, por Directiva de Clasificación, por Ley o
por existir una Diligencia de Clasificación de la materia a clasificar, y de estar conforme con
la documentación remitida, dará su informe positivo al Jefe de Seguridad de la Información
de su ámbito específico.
2.º Si entre la materia a clasificar hubiera alguna que no estuviese clasificada, tramita-
rá, en caso de no existir objeción alguna, la propuesta de Guía de Clasificación junto con la
solicitud de clasificación debidamente justificada, directamente al Jefe de Seguridad de la
Información de su ámbito específico, para su tramitación, según procedimiento existente,
a la correspondiente autoridad facultada para clasificar.
3.º La entrega a la empresa de información clasificada, relativa a proyectos, programas
y contratos clasificados sólo podrá realizarse una vez aprobada la Guía de Clasificación y
siempre se realizará a través del Servicio de Protección de Materias Clasificadas corres-
pondiente del MINISDEF.
4.º Remitir las propuestas de Instrucciones de Seguridad del Programa al Jefe de
Seguridad de la Información de su ámbito específico.
a) Será designado por el Jefe del Programa, Servicio Proponente o, en su defecto, por
el Órgano de Contratación responsable de la ejecución del contrato, a los que represen-
tará ante el Jefe de Seguridad de la Información en poder de las empresas de su ámbito
CVE: BOD-2013-134-15917
CVE: BOD-2013-134-15918