Story Transcript
OFICINA NACIONAL DE SEGURIDAD
OR-ASIC-01-01.01
ORIENTACIONES PARA LA SOLICITUD DE UNA HABILITACIÓN DE SEGURIDAD DE EMPRESA (HSEM) y HABILITACIÓN DE SEGURIDAD DE ESTABLECIMIENTO (HSES)
OFICINA NACIONAL DE SEGURIDAD
SOLICITUD DE HSEM (OR-ASIC-01-01.01)
ÍNDICE
1.
INTRODUCCIÓN ......................................................................................................... 3
2.
CONTRATO, PROGRAMA, PROYECTO O ACTIVIDAD CLASIFICADA ....... 3
3.
HABILITACIÓN DE SEGURIDAD DE EMPRESA ................................................ 4 3.1. TRAMITACIÓN DE LA SOLICITUD DE HSEM .................................................................. 4 3.1.1. Confección de la solicitud........................................................................................ 4 3.1.2. Evaluación de los requisitos exigidos a la empresa para la obtención de la HSEM 4 3.1.3. Concesión de la HSEM ............................................................................................ 5 3.2. DOCUMENTACIÓN ......................................................................................................... 5 3.2.1. Persona jurídica ........................................................................................................ 5 3.2.2. Persona física ........................................................................................................... 7 3.3. LUGAR DE PRESENTACIÓN............................................................................................. 9
4.
HABILITACIÓN DE SEGURIDAD DE ESTABLECIMIENTO ............................ 9 4.1. TRAMITACIÓN DE LA SOLICITUD ................................................................................... 9 4.1.1. Confección de la solicitud........................................................................................ 9 4.1.2. Evaluación de los requisitos exigidos a la empresa para la obtención de la HSES 10 4.1.3. Concesión de la HSES ........................................................................................... 10 4.2. DOCUMENTACIÓN ....................................................................................................... 11 4.3. LUGAR DE PRESENTACIÓN........................................................................................... 11
5.
REQUISITOS Y ESTRUCTURA DEL SERVICIO DE PROTECCIÓN ............. 12 5.1. 5.1.1. 5.1.2. 5.2. 5.3. 5.4.
SERVICIO DE PROTECCIÓN .......................................................................................... 12 JSSP, DSSP y DSSG ............................................................................................. 12 JS ............................................................................................................................ 13 EMPRESA CON HSEM SIN CAPACIDAD DE ALMACENAMIENTO .................................... 13 EMPRESA CON HSEM Y HSES ................................................................................... 14 EMPRESA CON HSEM, HSES Y VARIAS LOCALIDADES ............................................... 14
6.
ANEXO 1. MODELO DE CARTA DE SOLICITUD DE HSEM ............................. 1
7.
ANEXO 2. MODELO DE CARTA DE SOLICITUD DE HSES .............................. 2
8.
ANEXO 3. MODELO DE CARTA DE EXPECTATIVAS ....................................... 3
9.
ANEXO 4. MODELO DE RENUNCIA A CONOCER INFORMACIÓN CLASIFICADA .............................................................................................................. 4
10.
ANEXO 5. MODELO DE PODER ESPECIAL PARA LA FIRMA DEL COMPROMISO DE SEGURIDAD ............................................................................. 5
11.
ANEXO 6. GUÍA DE UN PLAN DE PROTECCIÓN PARA TRATAR INFORMACIÓN CLASIFICADA EN SUS INSTALACIONES. ............................. 6
- Pág. 2 de 23 -
OFICINA NACIONAL DE SEGURIDAD
SOLICITUD DE HSEM (OR-ASIC-01-01.01)
1. INTRODUCCIÓN
El presente documento de Orientaciones para la solicitud de una Habilitación de Seguridad de Empresa (HSEM) y Habilitación de Seguridad de Establecimiento (HSES) se elabora como complemento de la norma NS/06, sobre Seguridad Industrial, de las Normas de la Autoridad Nacional para la protección de la información clasificada (Normas de la ANPIC), y conforme se especifica en el apartado 6 de la misma. En él se describen los procedimientos para la tramitación de la HSEM, los requisitos para la concesión de la misma, así como la documentación necesaria. Estas orientaciones son de aplicación para aquellas empresas que, con motivo de su posible participación en actividades, contratos, programas o proyectos clasificados, deban solicitar una HSEM.
2. CONTRATO, PROGRAMA, PROYECTO O ACTIVIDAD CLASIFICADA
Se entienden como tales aquellos encaminados a proporcionar bienes o servicios en cuya ejecución se genere o sea necesario el acceso o manejo, por parte del personal de la empresa, de información clasificada. Las fases de actividad precontractual (negociación, licitación, presupuesto, propuesta, etc.) así como la actividad posterior (mantenimiento, campañas de exportación, etc.) se consideran parte del contrato clasificado. Para participar en cualquier contrato, programa o proyecto clasificado de grado CONFIDENCIAL o equivalente o superior, el contratista deberá disponer de la Habilitación de Seguridad de Empresa (HSEM) del grado adecuado a la información que vaya a manejar. No obstante, si el grado máximo de la Información Clasificada a tratar es DIFUSIÓN LIMITADA o equivalente, no tendrá que solicitar una Habilitación de Seguridad de Empresa (HSEM), pero deberá estar dado de alta en el registro de empresas autorizadas para el manejo de dicha información, según el documento “OR-ASIC-02.01.01 Orientaciones para la participación de empresas en actividades y contratos de grado Difusión Limitada o equivalente”. Una vez concedida la HSEM, si la empresa necesita además custodiar la información clasificada en sus propias instalaciones necesitará disponer de una HSES.
- Pág. 3 de 23 -
OFICINA NACIONAL DE SEGURIDAD
SOLICITUD DE HSEM (OR-ASIC-01-01.01)
3. HABILITACIÓN DE SEGURIDAD DE EMPRESA
3.1. Tramitación de la solicitud de HSEM 3.1.1. Confección de la solicitud La empresa deberá preparar la siguiente documentación: 1.- Carta formal dirigida a la Autoridad Delegada para la Seguridad de la Información Clasificada, en la que se especifique lo siguiente: a. Identificación de la empresa (nombre y CIF). b. Motivo por el que solicita la HSEM. c. Personas propuestas por la empresa para formar parte del Servicio de Protección, junto con sus datos de contacto (teléfono y correo electrónico). Esta carta formal deberá ser remitida por el apoderado que represente al contratista. En el anexo 1 de estas orientaciones se presenta un modelo de solicitud que puede servir de referencia, y en el apartado 5 de estas orientaciones se explica la composición del Servicio de Protección. 2.- Toda la documentación requerida en el apartado 3.2. 3.1.2. Evaluación de los requisitos exigidos a la empresa para la obtención de la HSEM Una vez recibida la solicitud por parte de la Oficina Nacional de Seguridad (ONS), se mantendrá una reunión con los solicitantes de la empresa, al objeto de comprobar que se cumplen las exigencias que establece las Normas de la Autoridad. Las personas propuestas por la empresa para formar parte del Servicio de Protección serán convocadas a un curso de formación que se impartirá con antelación a la concesión de la HSEM. Para ello, se les remitirá por correo electrónico el temario correspondiente a la fase de formación on-line, junto con un cuestionario de evaluación. Cada una de las personas propuestas para formar parte del Servicio de Protección deberá remitir el cuestionario cumplimentado según las instrucciones que reciba en el correo electrónico. Aquellos que superen la fase on-line recibirán, mediante correo electrónico, la convocatoria para la fase de formación presencial. Las personas que superen el curso de formación serán nombradas para el cargo correspondiente. Posteriormente la empresa, a través de su apoderado, será convocada para la firma del Compromiso de Seguridad.
- Pág. 4 de 23 -
OFICINA NACIONAL DE SEGURIDAD
SOLICITUD DE HSEM (OR-ASIC-01-01.01)
3.1.3. Concesión de la HSEM Finalizado el curso y resuelta de manera favorable la concesión de la HSEM, la persona propuesta como Jefe de Seguridad del Servicio de Protección (JSSP) será el punto de contacto en la empresa con la ONS, con las obligaciones y deberes que contiene las Normas de la Autoridad. El JSSP recibirá un Oficio con la concesión de la HSEM y los nombramientos de JSSP y suplente, junto con una copia sellada del Compromiso de Seguridad firmado por la empresa. En el caso de que la presentación de la documentación para la solicitud de la HSEM se haya realizado en un organismo ajeno a la ONS (ver punto 3.3), se remitirá una copia de este Oficio a dicho organismo.
3.2. Documentación 3.2.1. Persona jurídica Cuando el contratista solicitante de una HSEM, se trate de una persona jurídica, deberá presentar la siguiente documentación: a) Documento acreditativo, suscrito por un organismo de la Administración relacionado con el contrato, o por un organismo o ente público responsable de una actividad clasificada, que justifique la viabilidad/necesidad de que el contratista pueda participar en una actividad o contrato que implique acceso a información clasificada. En dicha carta deberá identificarse el contrato al cual la empresa opta, el tipo y grado de la información clasificada al cual la empresa tendría que acceder, y si es necesario o no que la empresa disponga de capacidad de almacenamiento para la información clasificada. Deberá identificarse claramente la persona que firma el escrito, con el cargo que ocupa en la administración y los datos de contacto. En el anexo 3 de estas orientaciones figura un modelo de carta que puede ser usado por los organismos de la Administración concernidos. b) Solicitud de HPS de las personas elegidas por el contratista para el desempeño del cargo de JSSP y del suplente de dicho JSSP, y del JS del órgano de control y su suplente cuando no sean los anteriores. Los formularios de solicitud de HPS en formato pdf pueden encontrarse en la página web www.cni.es/ons y las instrucciones para su confección se encuentran en las orientaciones OR-ASIP-02.01.04- Confección Solicitud HPS. La estructura del Servicio de Protección aparece detallada en el apartado 5, así como los requisitos que se exigen para poder formar parte de este Servicio. c) Solicitud de HPS de los propietarios, administradores, ya sean únicos, solidarios o mancomunados, de los miembros (o sus representantes) del consejo de administración u órgano ejecutivo equivalente al de la forma jurídica del contratista (sociedad, fundación, asociación, organismo público etc.) así como de cualquier otra - Pág. 5 de 23 -
OFICINA NACIONAL DE SEGURIDAD
SOLICITUD DE HSEM (OR-ASIC-01-01.01)
persona que tuviera otorgada capacidad jerárquica o ejecutiva por el citado órgano de gestión del contratista. En el caso de empresas constituidas como sociedades anónimas, deberán solicitar HPS los accionistas con un porcentaje mayor del 5%, o del 1% si la empresa cotiza en bolsa. A criterio de la Autoridad Nacional, la solicitud de HPS podrá ser sustituida por un acta notarial de renuncia al acceso a información clasificada de las personas antes mencionadas, si bien será necesario que al menos un miembro del consejo de administración, de los propietarios o de los administradores tenga concedida una HPS. d) Copia del poder notarial, o fotocopia compulsada, que autorice a la persona designada por el contratista para firmar el compromiso de seguridad. El poder notarial debe ser suficiente para la firma de acuerdos con la Administración (poder general, por ejemplo), no siendo válido aquel poder meramente comercial. En caso de que no exista ninguna persona que tenga poderes generales o suficientes, en el anexo 2 de estas orientaciones aparece un modelo de poder especial para la firma. e) Copia simple notarial, o fotocopia compulsada, de la escritura de constitución de la sociedad, así como documentación acreditativa de las ampliaciones o variaciones sufridas posteriormente, tanto propias como de aquellas sociedades que participen en la solicitante, o sean participadas de ella. f) Certificado de inscripción en el Registro Mercantil, caso de no estar reflejada en las escrituras especificadas en el punto anterior. g) Última declaración completa del Impuesto de Sociedades, si se trata de persona jurídica. h) Memoria del contratista que abarque los aspectos que expliquen su experiencia y capacidad profesional, así como las referencias que estime oportunas. i) “Ficha del contratista”, según formato de la ONS disponible en la página web, rellena con datos veraces aportando la documentación que la justifica, en especial en lo que se refiere al capital y a los miembros del consejo de administración, identificando al accionista último y sus representantes en caso de que la empresa proceda de una matriz o grupo de empresas que no estén en línea directa. j) Certificado vigente de la Agencia Estatal de Administración Tributaria correspondiente u organismo autonómico equivalente, de que se encuentra al corriente de pago de sus obligaciones tributarias. k) Certificado emitido por la Tesorería de la Seguridad Social de que se encuentra al corriente de sus obligaciones. l) En el caso de las empresas de seguridad privada los siguientes documentos:
- Pág. 6 de 23 -
OFICINA NACIONAL DE SEGURIDAD
SOLICITUD DE HSEM (OR-ASIC-01-01.01)
− Certificado vigente de inscripción en el Registro General de Empresas de Seguridad del Ministerio del Interior, conforme al artículo 7 de la Ley 23/1992 de 30 de julio de Seguridad Privada y las modificaciones posteriores del mismo. Quedan exentas de dicho ámbito las empresas ubicadas únicamente en Ceuta, Melilla o en territorios insulares. − Certificado del Ministerio del Interior que atestigüe las sanciones que se hayan incoado a la empresa, conforme a la sección segunda del capítulo cuarto de la Ley 23/1992 de 30 de julio de Seguridad Privada, en los diez (10) años previos a la solicitud del compromiso de seguridad. m) Cualquier otra que le sea solicitada por la Autoridad Nacional, por ser necesaria para determinar que cumple los requisitos para la concesión de la HSEM. Por ejemplo, puede requerirse información sobre ejercicios fiscales previos, o que la empresa proponga a otras personas para el Servicio de Protección, si se consideran que éstas no cumplen con los requisitos exigidos. 3.2.2. Persona física Cuando el contratista solicitante de una HSEM se trate de una persona física (por ejemplo porque sea un autónomo que trabaje por cuenta propia) deberá presentar la siguiente documentación: a) Documento acreditativo, suscrito por un organismo de la Administración relacionado con el contrato, o por un organismo o ente público responsable de una actividad clasificada, que justifique la viabilidad/necesidad de que el contratista pueda participar en una actividad o contrato que implique acceso a información clasificada. En dicha carta deberá identificarse el contrato al cual la empresa opta, el tipo y grado de la información clasificada al cual la empresa tendría que acceder, y si es necesario o no que la empresa disponga de capacidad de almacenamiento para la información clasificada. Deberá identificarse claramente la persona que firma el escrito, con el cargo que ocupa en la administración y los datos de contacto. En el anexo 3 de estas orientaciones figura un modelo de carta que puede ser usado por los organismos de la Administración concernidos. b) Solicitud de HPS de las personas elegidas por el contratista para el desempeño del cargo de JSSP y del suplente de dicho JSSP, y del JS del órgano de control y su suplente cuando no sean los anteriores. Los formularios de solicitud de HPS en formato pdf pueden encontrarse en la página web www.cni.es/ons y las instrucciones para su confección se encuentran en las orientaciones OR-ASIP-02.01.04- Confección Solicitud HPS. La estructura del Servicio de Protección aparece detallada en el apartado 5, así como los requisitos que se exigen para poder formar parte de este Servicio. En el caso de la persona física que solicite la HSEM no tenga empleados a su cargo,
- Pág. 7 de 23 -
OFICINA NACIONAL DE SEGURIDAD
SOLICITUD DE HSEM (OR-ASIC-01-01.01)
no será necesario que se proponga a ninguna persona para los puestos de JSSP suplente, JS y JS suplente de los órganos de control. c) Solicitud de HPS o renuncia notarial de las personas que tuviera contratadas consideradas como “vinculadas”, es decir, familiares hasta segundo grado incluido (abuelos, padres, cónyuges, hijos, nietos o hermanos). A criterio de la Autoridad Nacional, la solicitud de HPS podrá ser sustituida por un acta notarial de renuncia al acceso a información clasificada de las personas antes mencionadas. d) Copia del poder notarial, o fotocopia compulsada, que autorice a la persona designada por el contratista para firmar el compromiso de seguridad cuando no sea la propia persona física que solicita la HSEM. El poder notarial debe ser suficiente para la firma de acuerdos con la Administración (poder general, por ejemplo), no siendo válido aquel poder meramente comercial. En caso de que no exista ninguna persona que tenga poderes generales o suficientes, en el anexo 2 de estas orientaciones aparece un modelo de poder especial para la firma. e) Declaración censal (modelos 036 ó 037) presentado en la Agencia Tributaria cuando se inicia, se modifica o se da de baja una actividad económica, acreditativa de la inscripción en el censo de empresarios, profesionales y retenedores, con identificación de la actividad, los regímenes y obligaciones tributarias del IRPF e IVA, así como el domicilio. f) Última declaración del IRPF e impuesto sobre el patrimonio, acompañada de los siguientes documentos: • CIRBE y certificado bancario de solvencia emitido por el banco o bancos con los que tenga una mayor relación comercial. • Modelo 190: Retenciones de IRPF efectuadas a sus trabajadores. • Modelo 347: Declaración de operaciones con terceros. Compras o ventas superiores a 3.000€. Sólo cuando la persona física declare mediante estimación objetiva o módulos. g) Memoria del contratista que abarque los aspectos que expliquen su experiencia y capacidad profesional, así como las referencias que estime oportunas. n) “Ficha del contratista”, según formato de la ONS disponible en la página web, rellena con datos veraces aportando la documentación que la justifica, en especial en lo que se refiere al capital y a los miembros del consejo de administración, identificando al accionista último y sus representantes en caso de que la empresa proceda de una matriz o grupo de empresas que no estén en línea directa. h) Certificado vigente de la Agencia Estatal de Administración Tributaria correspondiente u organismo autonómico equivalente, de que se encuentra al corriente de pago de sus obligaciones tributarias. i) Certificado emitido por la Tesorería de la Seguridad Social de que se encuentra al corriente de sus obligaciones, emitido como máximo tres (3) meses antes de la
- Pág. 8 de 23 -
OFICINA NACIONAL DE SEGURIDAD
SOLICITUD DE HSEM (OR-ASIC-01-01.01)
presentación de la documentación. j) Cualquier otra que le sea solicitada por la Autoridad Nacional, por ser necesaria para determinar que cumple los requisitos para la concesión de la HSEM. Por ejemplo, pueden solicitarse las declaraciones del IRPF de ejercicios anteriores.
3.3. Lugar de presentación La carta de solicitud, junto con el resto de documentación, deberá ser remitida de manera oficial a la siguiente dirección: a) En caso de que dicho contrato o programa provenga del Ministerio de Defensa, o si los contratos o programas dependen de la OTAN, la UE o la ESA en el ámbito de Defensa, las solicitudes se formalizarán en: Área de Seguridad Industrial – Subdirección General de Inspección, Regulación y Estrategia Industrial de Defensa. Dirección General de Armamento y Material – Ministerio de Defensa C/ Donoso Cortés, 92. 28015. MADRID Tfo: 91 550 61 10 La empresa deberá seguir los procedimientos específicos del Ministerio de Defensa que se establecen en la Resolución 320/14546/13, de 23 de septiembre, del Director General de Armamento y Material, por la que se aprueban los procedimientos para la implementación de la Instrucción 52/2013, de 17 de junio, del Secretario de Estado de Defensa, por la que se aprueban las normas para la seguridad de la información del Ministerio de Defensa en poder de las empresas. b) Para contratos o programas dependientes de cualquier otro ámbito u organismo nacional o internacional los trámites deberán llevarse a cabo en: Oficina Nacional de Seguridad C/ Argentona, 20, 28023 MADRID Tfo: 91 372 50 00 No se admitirá la documentación si ha sido remitida por correo electrónico. Las solicitudes incompletas o con errores supondrá la devolución de toda la documentación.
4. HABILITACIÓN DE SEGURIDAD DE ESTABLECIMIENTO
4.1. Tramitación de la solicitud 4.1.1. Confección de la solicitud
- Pág. 9 de 23 -
OFICINA NACIONAL DE SEGURIDAD
SOLICITUD DE HSEM (OR-ASIC-01-01.01)
Solo será necesario solicitar una HSES si la empresa necesita trabajar con Información Clasificada de grado CONFIDENCIAL o equivalente o superior en sus instalaciones. La empresa deberá disponer previamente una HSEM concedida, si bien es posible que ambas habilitaciones se soliciten simultáneamente. Para solicitar una HSES, el JSSP deberá preparar la siguiente documentación: 1.- Carta formal dirigida a la Autoridad Delegada para la Seguridad de la Información Clasificada, en la que se especifique lo siguiente: a. Identificación de la empresa (nombre y cif). b. Motivo por el que solicita la HSES. c. Personas propuestas por la empresa como JS de los órganos de control con capacidad de almacenamiento que se deseen constituir, junto con sus datos de contacto (teléfono y correo electrónico) en caso de que no estén nombrados ya como miembros del Servicio de Protección. Esta carta formal deberá ser remitida por el JSSP del contratista. En el anexo 2 de estas orientaciones se presenta un modelo de solicitud que puede servir de referencia, y en el apartado 5 de estas orientaciones se explica la composición del Servicio de Protección. 2.- Toda la documentación requerida en el apartado 4.2. 4.1.2. Evaluación de los requisitos exigidos a la empresa para la obtención de la HSES La Oficina Nacional de Seguridad (ONS) comprobará que el Plan de Protección cumple con los requisitos establecidos en la normativa. En caso de considerarse adecuado para la protección de la información clasificada que vaya a ser custodiada en la empresa, se realizará una inspección de estas ZAR por parte del personal de la ONS o de la Administración. La Administración realizará la inspección en caso de que la ONS haya delegado dicha facultad a algún organismo, por ejemplo a la DGAM si las empresas fueran a trabajar en el ámbito del Ministerio de Defensa.
4.1.3. Concesión de la HSES El JSSP recibirá la concesión de la HSES mediante oficio de la ONS. Se recibirá además la apertura de los órganos de control con capacidad de almacenamiento que hubiera solicitado, con el nombramiento de los JS, y por cada una de las ZAR aprobadas la ONS se recibirá un Certificado de Acreditación de Local (CAL), en donde figure la identificación de la zona, el tipo de grado máximo de información clasificada que puede ser custodiada en dicha zona, así como la fecha de caducidad de la autorización para el manejo de la información clasificada en esos locales.
- Pág. 10 de 23 -
OFICINA NACIONAL DE SEGURIDAD
SOLICITUD DE HSEM (OR-ASIC-01-01.01)
En el caso de empresas que vayan a trabajar en el ámbito del Ministerio de Defensa, la apertura de los órganos de control, el nombramiento de los JS y la remisión de los CAL los realizará la DGAM.
4.2. Documentación La concesión de una HSES implica como mínimo la solicitud, por parte del contratista, de un órgano de control con capacidad de almacenamiento, que implica la constitución de una ZAR, y de la solicitud de acreditación de al menos una estación aislada para el manejo de información clasificada en soporte informático. El contratista podrá además disponer de varias ZAR dependientes del mismo órgano de control. Junto con la carta de solicitud de la HSES el contratista deberá presentar la siguiente documentación: a) Plan de protección que incluya todos los órganos de control del establecimiento así como las ZAR de éstos. Se elaborará un plan de protección específico para cada ZAR, salvo que estas se encuentren en instalaciones adyacentes y compartan medidas de seguridad. Dicho plan se ajustará a lo establecido en la norma NS/03 sobre seguridad física. En la página web se puede acceder al documento OR-ASIP-01-02.03 – Orientaciones para la Constitución de Zonas de Acceso Restringido, y al OR-ASIP01-01.03 – Orientaciones para el Plan de Protección de una Zona de Acceso Restringido. b) La documentación requerida para solicitar la acreditación del sistema de información y comunicaciones, según lo dispuesto en la norma NS/05 sobre sistemas de información y comunicaciones, que permita consultar la información clasificada a la que se va a tener acceso. En la página web se puede acceder al documento OR-ASIP-03-01.04 – Orientaciones para la Acreditación de Sistemas de Información y Comunicaciones para el manejo de Información Clasificada. c) Cualquier otra que le sea solicitada por la Autoridad Nacional, por ser necesaria para determinar que cumple los requisitos de seguridad para manejar información clasificada en sus instalaciones. 4.3. Lugar de presentación La carta de solicitud, junto con el resto de documentación, deberá ser remitida de manera oficial a la siguiente dirección: c) En caso de que dicho contrato o programa provenga del Ministerio de Defensa, o si los contratos o programas dependen de la OTAN, la UE o la ESA en el ámbito de Defensa, las solicitudes se formalizarán en: - Pág. 11 de 23 -
OFICINA NACIONAL DE SEGURIDAD
SOLICITUD DE HSEM (OR-ASIC-01-01.01)
Área de Seguridad Industrial – Subdirección General de Inspección, Regulación y Estrategia Industrial de Defensa. Dirección General de Armamento y Material – Ministerio de Defensa C/ Donoso Cortés, 92. 28015. MADRID Tfo: 91 550 61 10 d) Para contratos o programas dependientes de cualquier otro ámbito u organismo nacional o internacional los trámites deberán llevarse a cabo en: Oficina Nacional de Seguridad C/ Argentona, 20, 28023 MADRID Tfo: 91 372 50 00 No se admitirá la documentación si ha sido remitida por correo electrónico. Las solicitudes incompletas o con errores supondrá la devolución de todo la solicitud.
5. REQUISITOS Y ESTRUCTURA DEL SERVICIO DE PROTECCIÓN 5.1. Servicio de Protección Por servicio de protección de información clasificada se entenderá la estructura de seguridad constituida en una empresa, para poder garantizar la adecuada protección de la información clasificada, tanto en el manejo por parte del personal de la misma como en su custodia. Formarán parte del servicio de protección de información clasificada del contratista, el jefe de seguridad del servicio de protección (JSSP) del contratista, el suplente del JSSP, así como el director de seguridad del servicio de protección (DSSP) y el director de seguridad del servicio de protección del grupo (DSSG) si los hubiera. Igualmente formarán parte del servicio de protección los jefes de seguridad (JS) de los órganos de control establecidos por el contratista, y todos los responsables de cada uno de los sistemas informáticos acreditados (administradores de seguridad de sistemas de información y comunicaciones, administradores del sistema, etc.). Todo el personal de la empresa que forme parte del servicio de protección deberá ostentar la nacionalidad española, tener HPS conforme al grado de la HSEM, y mantener una relación contractual estable con la empresa. Las responsabilidades de cada uno de los cargos aparecen detalladas en el apartado 5.4 de las Normas de la Autoridad. 5.1.1. Jefe o Director de Seguridad del Servicio de Protección y Director de Seguridad de Grupo Empresarial El JSSP y el JSSP suplente son los cargos asociados a la HSEM de una empresa, nombrados por la ONS y responsables de cumplir y hacer cumplir con las obligaciones que contrae el contratista con la firma del Compromiso de Seguridad.
- Pág. 12 de 23 -
OFICINA NACIONAL DE SEGURIDAD
SOLICITUD DE HSEM (OR-ASIC-01-01.01)
Son los máximos responsables del Servicio de Protección de la empresa, y como responsable del mismo deberá disponer de los medios y recursos adecuados, es decir, de una estructura funcional y orgánica responsable de la ejecución de dicha protección. Además de los requisitos que se exigen para todo el personal del Servicio de Protección, el JSSP deberá tener una representatividad y poder de decisión en la empresa. Deberá establecer procedimientos, políticas, asignar recursos y conformar los medios necesarios para salvaguardar la confidencialidad, integridad, disponibilidad, autenticación y no repudio de la información clasificada a la que pudiera acceder el personal de su empresa, tanto fuera de sus instalaciones (en ZAR del contratista principal o de la Administración, por ejemplo), como en sus propios locales si la empresa tuviera concedida una HSES. Cuando en una empresa existan varios JS, el JSSP se denominará Director de Seguridad del Servicio de Protección (DSSP). El Director de Seguridad del Servicio de Protección de un grupo empresarial (DSSG) coordinará a todos los JSSP/DSSP nombrados en cada una de las empresas con HSEM que conformen el grupo empresarial. 5.1.2. Jefe de Seguridad El JS y el JS suplente son los cargos asociados a los órganos de control que se establezcan en la empresa, con las responsabilidades establecidas en la NS01, apartado 6. Dependen funcionalmente del JSSP, y debe coordinar la actuación de todos los cargos relativos a las cuentas de cifra, sistemas acreditados, etc, que hubiera en su órgano de control. Se puede compaginar el cargo de JSSP con el de JS, siempre y cuando se encuentren en la misma ubicación física, así como el cargo de JS se puede compaginar con el de Criptocustodio o administrador de sistemas, con las mismas salvedades. 5.2. Empresa con HSEM sin capacidad de almacenamiento
- Pág. 13 de 23 -
OFICINA NACIONAL DE SEGURIDAD
SOLICITUD DE HSEM (OR-ASIC-01-01.01)
En este esquema, los Jefes de Seguridad (JS) de los órganos de control establecidos sin capacidad de almacenamiento (puede haber más de uno, si bien en el esquema aparece el caso más habitual con solo un órgano de control), dependen del JSSP y, en caso de ausencia de éste, del JSSP suplente, siempre que no se compagine el cargo de JSSP y JS, y el de JSSP suplente y JS suplente. 5.3. Empresa con HSEM y HSES
En este esquema, la empresa dispone, además de una HSEM concedida, una HSES con un órgano de control con capacidad de almacenamiento (en naranja), con una Zona de Acceso Restringido (ZAR), una cuenta de cifra y un sistema CIS acreditado. Los administradores de seguridad del sistema y los criptocustodios dependen del JS, y éstos a su vez del JSSP y, en caso de ausencia de éste, del JSSP suplente. 5.4. Empresa con HSEM, HSES y varias localidades
- Pág. 14 de 23 -
OFICINA NACIONAL DE SEGURIDAD
SOLICITUD DE HSEM (OR-ASIC-01-01.01)
En este esquema, la empresa dispone de dos localidades con HSES concedida, y de una tercera localidad sin HSES con un órgano de control sin capacidad de almacenamiento (en verde). En la localidad A se establece el Órgano de Control Principal (en rojo), con su JS y suplente. Tanto el JS como su suplente dependen funcionalmente del JSSP y del suplente, en caso de que no sean las mismas personas. Este Órgano de Control Principal cuenta con una ZAR, una cuenta de cifra y un sistema Cis acreditado. Los administradores de seguridad del sistema y los criptocustodios dependen de este JS, y en ausencia de éste de su suplente. En la localidad B se ha constituido un Órgano de control con capacidad de almacenamiento (en naranja). El JS y su suplente dependen funcionalmente del JS del Órgano de Control Principal. Los jefes de seguridad de las cuentas de cifra, si los hubiera, y los administradores de seguridad del sistema dependen del jefe de seguridad del Punto de Control o del Servicio Local de Protección, y éstos a su vez del jefe de seguridad del Subregistro Secundario o del jefe de seguridad del Servicio General de Protección, respectivamente, quienes reportan al JSSP y, en caso de ausencia, del JSSP suplente.
- Pág. 15 de 23 -
6. Anexo 1. Modelo de carta de solicitud de HSEM Nombre de la Organización C/ Dirección, Nº, 2º, 1ª 1002 Xxxx Fecha:
xx.xx.xxxx
Autoridad Delegada para la seguridad de la Información Clasificada Secretario de Estado Director del CNI Calle Argentona, 20 Madrid 28023
ASUNTO: SOLICITUD DE HABILITACIÓN DE SEGURIDAD DE EMPRESA (HSEM) Excmo.Sr.: El objeto de esta carta de intenciones es solicitar la concesión de Habilitación de Seguridad de Empresa (HSEM) para la empresa XXXX con CIF: X000000 por ser necesario el acceso a Información Clasificada de XXX (Organismo, Ministerio, OTAN, UE, ESA, país con acuerdo bilateral,… etc), por parte de nuestro personal, para participar en el desarrollo de XXXX (contrato / proyecto), clasificado en grado de (Reservado / Confidencial / Nato Secret / Nato Confidential / Secret-UE / ESA-Secret, ….etc) y de acuerdo con las Normas de la Autoridad Nacional de Seguridad Delegada (ANS-D). Se propone para el desempeño del cargo de Jefe de Seguridad del Servicio de Protección (JSSP) y Suplente de dicho JSSP a D. Aaaa Bbbb Cccc y a D. Aaaa Bbbb Cccc respectivamente. Se adjunta (carta de invitación / pliego de condiciones...) por parte del contratista, donde se especifica la necesidad de acreditación en grado (R /NS/ S-UE/ ESA-S,...) con objeto de justificar nuestras expectativas. Asimismo, se solicita la apertura de un Órgano de Control (Servicio Local de Protección –SLP- y/o Punto de Control OTAN/UE/ESA) sin capacidad de almacenamiento. Igualmente se propone a D. Aaaa Bbbb Cccc y a D. Aaaa Bbbb Cccc como Jefe de Seguridad del órgano de control y su suplente (cuando no sean los mismos que los anteriores). Dejamos constancia de que nuestra empresa no manejará ni tendrá depositada en sus instalaciones, ningún tipo de Información Clasificada y que todas las gestiones se harán a través de ese Organismo.
Atentamente, D. Xxxx Yyyy Zzzz (Director General / Presidente / Administrador / Apoderado)
7. Anexo 2. Modelo de carta de solicitud de HSES Nombre de la Organización C/ Dirección, Nº, 2º, 1ª 1002 Xxxx Fecha:
xx.xx.xxxx
Autoridad Delegada para la seguridad de la Información Clasificada Secretario de Estado Director del CNI Calle Argentona, 20 Madrid 28023
ASUNTO: SOLICITUD DE HABILITACIÓN DE SEGURIDAD DE ESTABLECIMIENTO (HSES) Excmo.Sr.: El objeto de esta carta de intenciones es solicitar la concesión de Habilitación de Seguridad de Establecimiento (HSES) para la empresa XXXX con CIF: X000000 por ser necesario custodiar Información Clasificada en nuestras dependencias situadas en “Dirección…”, debido al interés de nuestra empresa de participar en el desarrollo de XXXX (contrato / proyecto), clasificado en grado de (Reservado / Confidencial / Nato Secret / Nato Confidential / Secret-UE / ESA-Secret, ….etc). Se adjunta (carta de invitación / pliego de condiciones...) por parte del contratista, donde se especifica la necesidad de acreditación en grado (R /NS/ S-UE/ ESA-S,...) con objeto de justificar nuestras expectativas. Se solicita la apertura de un Órgano de Control (Servicio Local de Protección –SLP- y/o Punto de Control OTAN/UE/ESA) con capacidad de almacenamiento. Igualmente se propone a D. Aaaa Bbbb Cccc y a D. Aaaa Bbbb Cccc como Jefe de Seguridad del órgano de control y su suplente. Adjunto se remite el Plan de Protección de la Zona de Acceso Restringido, configurado como Zona Clase I y Zona Clase II. Se solicita igualmente la acreditación de un (pc aislado, red aislada), por lo que le remitimos la documentación requerida en las Normas de la Autoridad.
Atentamente, D. Xxxx Yyyy Zzzz Jefe de Seguridad del Servicio de Protección
8. Anexo 3. Modelo de carta de expectativas Organismo Oficial
NOMBRE DE EMPRESA XXXXXXXXXXXX C/ XXXXXXXX CP. Ciudad País
Madrid,
de xxxxxxxxx de 20XX
Ante su posible participación en contratos clasificados en grado XXXX promovidos por (Nombre del organismo que promueve el contrato), se requiere que su empresa, XXX, tenga en vigor la Habilitación de Seguridad de Empresa (HSEM) con el fin de que pueda acceder a información clasificada en el grado antes mencionado. (Opcional) Debido a que el contratista deberá custodiar información clasificada de grado XXX, deberá disponer así mismo de la Habilitación de Seguridad de Establecimiento (HSES) de dicho grado.
Firmado: XXXXXXXX Lugar, fecha y cargo del firmante
9. Anexo 4. Modelo de renuncia a conocer información clasificada
D/Dña xxxxx , mayor de edad, de nacionalidad …………, con domicilio........y titular del Documento Nacional de Identidad número ………… (o pasaporte número ……….), como (Director, Consejero Delegado, etc) de la empresa ……………., domiciliada en ......, considerando que la empresa ……………… está interesada en participar en contratos que impliquen el acceso a información clasificada nacional así como información clasificada cuyo manejo y protección se encuentren regulados por tratados internacionales de carácter bilateral o multilateral en virtud del artículo 11 apartado e) del Decreto 242/1969, de 20 de febrero sobre Secretos Oficiales, y teniendo en cuenta las disposiciones contenidas en la Ley 9/68, de 5 de abril, reguladora de los Secretos Oficiales; el Decreto 242/1969, de 20 de Febrero, por el que se desarrollan las disposiciones de la Ley 9/1968, la Ley 11/2002, de 6 de mayo, reguladora del Centro Nacional de Inteligencia y el Código Penal español, por medio del presente documento RENUNCIA formalmente a tener acceso, en todo o en parte, a la información anteriormente referida, cualquiera que sea el medio o soporte en que se encuentre.
10. Anexo 5. Modelo de poder especial para la firma del Compromiso de Seguridad
------ DICE Y OTORGA -----Que la sociedad “ XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX “, según está representada, confiere y otorga Poder Especial, pero en su especialidad tan amplio y bastante como en derecho se requiera y sea menester, a favor de D. “XXXXXXXXXXXXXX” mayor de edad, con DNI.: XXXXXXXX, para que, por sí solo y en nombre y representación de la Sociedad poderdante, pueda realizar y ejercitar los actos y facultades seguidamente determinados, FACULTADES: Firmar ante la Autoridad Nacional de Seguridad un Compromiso de Seguridad al efecto de realizar los actos, gestiones, y diligencias que sean necesarios o estime convenientes, suscribiendo aparte de dicho compromiso, cuantos documentos, tanto públicos como privados, instancias, solicitudes, etc., se requieran o precisen, así como obligarse a lo que sea necesario o conveniente, todo ello sin excepción alguna, en especial en todo lo referente al Compromiso de Seguridad.
11. Anexo 6. Guía de un Plan de Protección para tratar información clasificada en sus instalaciones. ÍNDICE 1. GLOSARIO DE TÉRMINOS Y SIGLAS 2. GENERALIDADES 2.1. Actividad empresarial 2.2. Estructura y organización • Interdependencias • Organigrama de la empresa 2.3. Recursos humanos 3. INFORME DE INSTALACIONES DEL LOCAL ELEGIDO PARA LA INSTALACIÓN DEL PUNTO DE CONTROL OTAN/UE/ESA Y DEL SERVICIO LOCAL DE PROTECCIÓN 3.1. Objeto 3.2. Situación • Ubicación de la empresa - Plano de zona • Características del entorno global • Zonas de acceso restringido (ZAR) 3.3. Descripción estructural del edificio 4. PROCEDIMIENTOS DE SEGURIDAD 4.1. Objeto de los procedimientos de seguridad. 4.2. Ámbito de aplicación 4.3. Subsistema de protección física • Características generales • Características especificas de las zar • Control de llaves y combinaciones - Control de llaves - Control de combinaciones • Control de accesos - Gestión de usuarios - Acceso a las ZAR Control de acceso de los empleados Control de acceso de visitantes - Acceso a las ZAR del personal de limpieza y mantenimiento • Control de documentación - Control documental - Procedimiento de almacenado - Procedimiento de acceso - Procedimiento de reproducción - Procedimiento de destrucción
• Sistema para la detección de intrusos (I.D.S.) - Sistema general - Sistema específico para las ZAR OTAN/UE/ESA/NACIONAL - Sistema de recepción de alarmas - Actuación ante alarmas Sistema de identificación - Guardia de seguridad • Actuación de las fuerzas de reacción - Amenazas - Coordinación de las fuerzas de reacción “externas” Datos de las fuerzas de reacción “externas” 5. PLAN DE EMERGENCIA 5.1. Objeto del plan 5.2. Clases de emergencia • Emergencia accidental - Procedimiento de actuación - Medios disponibles • Emergencia por acción hostil - Amenaza de bomba Procedimiento de actuación Operativa Impreso para amenaza telefónica - Alteración del orden público Procedimiento de actuación • Actuaciones posteriores - Traslado de documentación clasificada otan/ue/esa/nacional - Destrucción de la documentación clasificada 6. PROCEDIMIENTOS DE ACREDITACIÓN DE LOS SISTEMAS INFORMÁTICOS 7. PRIORIDADES EN LA DESTRUCCIÓN DE DOCUMENTOS 8. INFORMES AL ASI/SUBREGISTRO PRINCIPAL OTAN/UE/ESA (DGAM) 8.1. Inventario anual de materias clasificadas 9. ANEXOS 9.1. Procedimiento de control de acceso a las instalaciones • Objeto • Acceso de personal • Acceso de mercancías - Entrada de mercancías - Salida de mercancías • Acceso de vehículos - Vehículos del personal de la empresa - Vehículos del personal visitante
• Tarjeta de identificación personal (T.I.P.) - Uso y caducidad 9.2. Procedimiento de actuación de los vigilantes de seguridad • Objeto • Generalidades • Procedimientos