Story Transcript
BOLETÍN OFICIAL DEL MINISTERIO DE DEFENSA Núm. 253
Miércoles, 30 de diciembre de 2015�
Sec. I. Pág. 31669
I. — DISPOSICIONES GENERALES NORMAS Cód. Informático: 2015025967.
El apartado primero de la Política de seguridad de la información del Ministerio de Defensa, aprobada por la Orden Ministerial 76/2006, de 19 de mayo, establece que el objeto de esta política es alcanzar la protección adecuada, proporcionada y razonable de la información del Ministerio de Defensa. Para alcanzar dicho objeto, la citada política establece unos principios básicos y unos criterios estratégicos comunes a todos los ámbitos del Departamento, y el desarrollo de un cuerpo normativo sobre seguridad de la información, enmarcando cada conjunto de normas en distintos niveles por la amplitud del aspecto tratado, ámbito de aplicación y obligatoriedad de cumplimiento. El apartado octavo. 1 de la citada política, determina el primer nivel normativo de desarrollo, que se corresponde con una única norma que establece unos principios generales que abarcan todo el ámbito de la seguridad de la información, y está constituido por esta Política de seguridad de la información del Ministerio de Defensa; y el apartado octavo. 2, el segundo nivel normativo, que es un conjunto de normas que desarrollan y detallan la política, abarcando un área o aspecto determinado de la seguridad de la información, siendo su ámbito de aplicación todo el Departamento, y al que corresponden, entre otras, las Normas para la aplicación de la Política de Seguridad de la Información del Ministerio de Defensa, aprobadas por la Instrucción 41/2010, de 7 de julio, del Secretario de Estado de Defensa; las Normas para la seguridad de la información en las personas, aprobadas por la Instrucción 9/2011, de 24 de febrero, del Secretario de Estado de Defensa; las Normas de seguridad de información en los documentos, aprobadas por la Instrucción 51/2013, de 24 de junio, del Secretario de Estado de Defensa; las Normas para la seguridad de la información del Ministerio de Defensa en poder de las empresas, aprobadas por la Instrucción 52/2013, de 17 de junio, del Secretario de Estado de Defensa; las Normas para la seguridad de la información de las instalaciones, aprobadas por la Instrucción 95/2011, de 16 de diciembre, del Secretario de Estado de Defensa; las Normas para la Seguridad de la Información en los Sistemas de Información y Telecomunicaciones, que desarrollará el Mando Conjunto de Ciberdefensa; y estas Normas de seguridad de la información para la elaboración, clasificación, cesión, distribución y destrucción de información del Ministerio de Defensa, sea cual sea el elemento tangible que le dé soporte. Estas normas establecen los requisitos de seguridad para la elaboración de la información, es decir, el momento en el que ésta se crea, cualquiera que sea el mecanismo que se emplee, un sistema de información y telecomunicaciones, un dispositivo con capacidad de escritura, etc. Esta información generada en un sistema debe cumplir, de una parte, con lo establecido en estas normas, y de otra, con las normas para la Seguridad de la Información en los Sistemas de Información y Telecomunicaciones. En general, a lo largo de esta instrucción se designa a la información que se maneja en un sistema, con el término de información electrónica. Por otra parte, se recoge cómo debe procederse para la clasificación, reclasificación o desclasificación de la información existente o que se está elaborando, que así lo requiera. Deberán seguirse todos los pasos conducentes a la clasificación, o reclasificación y/o desclasificación, según proceda, con el objeto de que la información tenga asignado el grado de clasificación que le corresponde y aplicar las medidas de seguridad concernientes a su grado de clasificación y al elemento tangible que la maneja. Medidas éstas, que vendrán determinadas por la normativa vigente, la Ley 9/1968, de 5 de abril, sobre secretos oficiales y el Decreto 242/1969, de 20 de febrero, por el que se desarrollan las disposiciones de la Ley 9/1968, de 5 de abril, sobre secretos oficiales, la Política de seguridad de la información
CVE: BOD-2015-253-31669
Instrucción 64/2015, de 7 de diciembre, del Secretario de Estado de Defensa, por la que se aprueban las Normas de seguridad de la información para la elaboración, clasificación, cesión, distribucción y destrucción de información del Ministerio de Defensa.
BOLETÍN OFICIAL DEL MINISTERIO DE DEFENSA Núm. 253
Miércoles, 30 de diciembre de 2015�
Sec. I. Pág. 31670
La disposición final primera de la Orden Ministerial 76/2006, de 19 de mayo, faculta al Secretario de Estado de Defensa para dictar cuantas disposiciones requiera la aplicación de dicha orden ministerial. En su virtud, DISPONGO: Apartado único. Aprobación de las normas. Se aprueban las Normas de seguridad de la información para la elaboración, clasificación, cesión, distribución y destrucción de información del Ministerio de Defensa, cuyo texto se inserta a continuación.
CVE: BOD-2015-253-31670
del Ministerio de Defensa y por la normativa de segundo y tercer nivel correspondiente a las cinco áreas de seguridad de la información: Seguridad de la Información en las Personas (SEGINFOPER), Seguridad de la Información en los Documentos (SEGINFODOC), Seguridad de la Información en las Instalaciones (SEGINFOINS), Seguridad de la Información en los Sistemas de Información y Telecomunicaciones (SEGINFOSIT) y Seguridad de la Información en poder de las Empresas (SEGINFOEMP). La información elaborada en la mayoría de los casos, debe ser distribuida a personas u organismos ajenos al elaborador. Por lo que en estas normas se recogen los requisitos principales necesarios para que la información del Departamento pueda ser distribuida. No obstante, dado que la información a distribuir deberá materializarse en un sistema o en un documento, deberá cumplirse adicionalmente con las medidas de seguridad que le sean de aplicación recogidas en las normas de SEGINFOSIT o de SEGINFODOC. De igual forma, cuando proceda su distribución a una empresa, serán de aplicación las normas de SEGINFOEMP. Así mismo, se establecen los requisitos de seguridad necesarios en caso de que sea preciso entregar información del Departamento a terceras partes ajenas al Ministerio de Defensa, es decir, en caso de cesión de información a terceros. Generalmente, esta cesión vendrá amparada por una necesidad de conocer previa y se entregará bajo el supuesto de que el receptor, no solo esté en condiciones de proteger la información, conforme al grado de clasificación de la misma, incluyendo el estar en posesión de la correspondiente habilitación de seguridad, sino que además ha de comprometerse a su protección durante todo el tiempo que tenga cedida dicha información, y a su no revelación posterior. En el ciclo de vida de la información, la última fase es su conservación permanente. Únicamente en los casos y mediante los procedimientos recogidos en la normativa vigente podrá destruirse la información generada (creada o recibida) por el Ministerio de Defensa. Si bien, por tratarse de un ente abstracto, la información no puede destruirse, será necesario que dicha información no pueda ser accesible en ninguno de los elementos tangibles en los que se encontraba. Es decir, la destrucción de la información llevará implícita la destrucción o borrado de su elemento tangible sin perjuicio de la normativa que le sea de aplicación, como es el Decreto 242/1969, de 24 de febrero, o la relativa a la conservación de la información establecida en el Reglamento de Archivos Militares, aprobado por el Real Decreto 2598/1998, de 4 de diciembre. Estas normas recogen también cómo deben disponerse los mecanismos necesarios para garantizar que, en el caso que se haya comprometido información clasificada, esta acción u omisión pueda ser investigada. Adicionalmente, se han incluido en los anexos de las normas, a modo de ejemplo, los modelos para la elaboración de la propuesta de clasificación, reclasificación o desclasificación; de la diligencia de clasificación, reclasificación o desclasificación; y de la guía de clasificación, así como los grupos de clasificación. Así mismo, el artículo 3.3. del Real Decreto 454/2012, de 5 de marzo, por el que se desarrolla la estructura orgánica básica del Ministerio de Defensa, en la redacción dada por el Real Decreto 837/2015, de 21 de septiembre, establece que corresponde al Centro de Sistemas y Tecnologías de la Información y las Comunicaciones la planificación y desarrollo de las políticas de los sistemas, tecnologías y seguridad de la información del Departamento, así como la supervisión y dirección de su ejecución.
BOLETÍN OFICIAL DEL MINISTERIO DE DEFENSA Núm. 253
Miércoles, 30 de diciembre de 2015�
Sec. I. Pág. 31671
Disposición final primera. Facultades dispositivas. Se faculta al Director del Centro de Sistemas y Tecnologías de la Información y las Comunicaciones para dictar, en el ámbito de sus competencias, cuantas disposiciones requiera la aplicación de esta instrucción, que deberá cubrir, al menos, los siguientes aspectos: a) Requisitos para la gestión de la información electrónica. b) Catálogo de asuntos, materias, o elementos que deben ser clasificados, para su publicación en el «Boletín Oficial del Ministerio de Defensa» en un plazo no superior a nueve meses desde la entrada en vigor de esta instrucción. El cual se hará en base al apéndice de «Relaciones de documentación y material que deberá ser clasificado» de la Orden Ministerial Comunicada 1/1982, de 25 de enero, por la que se aprueban las Normas para la protección de la documentación y material clasificado, vigente hasta que se complete la normativa establecida en la disposición transitoria única de la Orden Ministerial 76/2006, de 19 de mayo, por la que se aprueba la política de seguridad de la información del Ministerio de Defensa; y se mantendrá actualizado. Disposición final segunda. Entrada en vigor La presente Instrucción entrará en vigor el día siguiente al de su publicación en el «Boletín Oficial del Ministerio de Defensa».
CVE: BOD-2015-253-31671
Madrid, 7 de diciembre de 2015.—El Secretario de Estado de Defensa, Pedro Argüelles Salaverría.
BOLETÍN OFICIAL DEL MINISTERIO DE DEFENSA Núm. 253
Miércoles, 30 de diciembre de 2015�
Sec. I. Pág. 31672
Normas de seguridad de la información para la elaboración, clasificación, cesión, distribución y destrucción de información del Ministerio de Defensa Índice Capítulo I. Disposiciones generales. Artículo 1. Objeto. Artículo 2. Ámbito de aplicación. Artículo 3. Definiciones. Capítulo II. Propiedad y elaboración de la información. Artículo 4. Propiedad de la información. Artículo 5. Elaboración de información. Capítulo III. Información electrónica. Artículo 6. Información electrónica. Capítulo IV. Clasificación de la información. Artículo 7. Principios generales. Artículo 8. Información no clasificada. Artículo 9. Proceso para la clasificación de la información. Artículo 10. Proceso de clasificación de la información de carácter genérico. Capítulo V. Desclasificación de la información. Artículo 11. Supuestos para la desclasificación de la información. Artículo 12. �Proceso para la desclasificación de la información por parte de la autoridad u órgano facultado para clasificar. Artículo 13. �Desclasificación de la información por la expiración del plazo de clasificación establecido o cese de las circunstancias que condicionaban la clasificación. Capítulo VI. Reclasificación de la información. Artículo 14. Supuestos para la reclasificación de la información. Artículo 15. �Proceso para la reclasificación de la información por parte de la autoridad u órgano que lo clasificó. Artículo 16. �Reclasificación de la información por la expiración del plazo de clasificación establecido o cese de las circunstancias que condicionaban la clasificación. Capítulo VII. Documentación para la clasificación, desclasificación y reclasificación de la información del Ministerio de Defensa. Artículo 17. Propuesta. Artículo 18. Guía de Clasificación. Artículo 19. Diligencia. Artículo 20. Directivas de Clasificación.
Artículo 21. Catálogo de asuntos, materias o elementos que deben ser clasificados. Capítulo IX. Distribución de información. Artículo 22. Distribución de Información.
CVE: BOD-2015-253-31672
Capítulo VIII. Catálogo de asuntos, materias o elementos que deben ser clasificados.
BOLETÍN OFICIAL DEL MINISTERIO DE DEFENSA Núm. 253
Miércoles, 30 de diciembre de 2015�
Sec. I. Pág. 31673
Capítulo X. Cesión de información. Artículo 23. Cesión de información. Artículo 24. Cesión de información no clasificada. Artículo 25. Cesión de información clasificada. Artículo 26. Acuerdo de Protección para la cesión de la información clasificada. Capítulo XI. Destrucción de información. Artículo 27. Destrucción de la información. Capítulo XII. Comprometimiento de la información clasificada. Artículo 28. Comprometimiento de la información clasificada. Capítulo XIII. Registro de acceso a la información. Artículo 29. Registro de acceso a la información. Anexos: Anexo I. �Modelo para la elaboración de la propuesta de clasificación, reclasificación o desclasificación. Anexo II. �Modelo para la elaboración de la diligencia de clasificación, reclasificación o desclasificación. Anexo III. �Modelo para la elaboración de la guía de clasificación. Anexo IV. Grupos de clasificación. CAPÍTULO I Disposiciones generales Artículo 1. Objeto. El objeto de estas normas es establecer los requisitos de seguridad de la información, necesarios para la elaboración, clasificación, cesión, distribución y destrucción de información del Ministerio de Defensa, con arreglo a lo establecido en la Orden Ministerial 76/2006, de 19 de mayo, por la que se aprueba la Política de seguridad de la información del Ministerio de Defensa. Artículo 2. Ámbito de aplicación. 1. Estas normas se aplicarán a toda la información del Ministerio de Defensa. 2. La información del Ministerio de Defensa que vaya a ser entregada o cedida a empresas, se regirá, además de por lo aquí dispuesto, por la normativa de seguridad de la información de las empresas, derivada de la citada Política de Seguridad de la Información del Ministerio de Defensa. Artículo 3. Definiciones.
a) Acuerdo de protección: Documento asociado a la cesión de información entre el Ministerio de Defensa y un tercero en el que se especifica bajo qué condiciones y características se cede la información y cómo debe protegerse por ambas partes. b) Catálogo de asuntos, materias o elementos que deben ser clasificados: Relación de asuntos, materias o elementos agrupados por el grado de clasificación que previamente se les ha asignado formalmente y que permite conocer el grado de clasificación de cualquier información que trate alguno de los aspectos allí relacionados. c) Cesión de información: Entrega de información que está bajo la custodia del que la cede, es decir, en este contexto información que cede el Ministerio de Defensa, a cualquier persona, organismo, órgano, empresa, organización, Estado, etc. ajeno al Departamento.
CVE: BOD-2015-253-31673
A los efectos de estas normas se entiende por:
BOLETÍN OFICIAL DEL MINISTERIO DE DEFENSA Núm. 253
Miércoles, 30 de diciembre de 2015�
Sec. I. Pág. 31674
d) Clasificación de la información: Acto formal mediante el cual a una determinada información se le asigna un grado de clasificación, en atención a las medidas de seguridad que requiere frente a la pérdida de confidencialidad. Se emplea para poner en conocimiento del receptor o depositario de la información la necesidad de protegerla y el grado de protección requerido. e) Custodio: Persona u organismo responsable de guardar y proteger un documento. f) Desclasificación de la información: Acto formal mediante el cual se anula de manera expresa la clasificación de una información. Este acto formal no será necesario si la autoridad u órgano que otorgó la clasificación señaló un plazo de duración de ésta, o circunstancias que la condicionan. g) Diligencia de clasificación: Documento por el que la autoridad u órgano facultados aprueba la propuesta de clasificación de la información. h) Directiva de clasificación: Documento mediante el cual la autoridad u órgano facultado para clasificar asigna un grado de clasificación a la información que, por su naturaleza, y a juicio de la citada autoridad u órgano, no requiera la elaboración de la propuesta de clasificación, constituyéndose formalmente en diligencia de clasificación de la misma. i) Documento: Cualquier soporte portátil (normalmente papel o informático) que contiene información. j) Elaborador: Persona u organismo que materializa una información determinada en un elemento tangible (normalmente un sistema, soporte papel o informático). k) Guía de clasificación: Documento que enumera y describe los elementos clasificados de un asunto, contrato o programa clasificado, con especificación de los grados de clasificación asignados a cada uno de ellos. Recoge los datos relevantes de la información clasificada (los grados de clasificación asignados a la misma, las vigencias de las clasificaciones, la autoridad u órgano facultado que la han clasificado, etc.), y sirve de referencia para el marcado de los documentos. l) Información electrónica: Información que se maneja empleando un sistema de información y telecomunicaciones que puede ser archivada o almacenada bien en un sistema o bien en un documento. m) Grupos de clasificación: Cada uno de los grupos a los que puede asignarse una información clasificada y que determina su plazo de vigencia. n) Propuesta de clasificación: Documento por el que se somete a la autoridad u órgano facultado para clasificar, desclasificar o reclasificar la solicitud de asignación de un grado de clasificación a informaciones individuales o agrupadas en un conjunto, así como su vigencia. o) Reclasificación de la información: Asignación de un nuevo grado de clasificación a una información clasificada. p) Usuario: Persona a la que el custodio de la información de un documento le permite el acceso a la misma. CAPÍTULO II Propiedad y elaboración de la información
La información del Ministerio de Defensa es propiedad del Estado-Ministerio de Defensa, siendo las autoridades y el personal que la maneja sus custodios o usuarios. La persona u organismo que elabora la información no es su propietario, sino el elaborador de la misma. Artículo 5. Elaboración de información. La elaboración de la información es el hecho por el cual una persona u organismo, el elaborador, materializa una información determinada en un elemento tangible (normalmente un sistema, soporte papel o informático).
CVE: BOD-2015-253-31674
Artículo 4. Propiedad de la información.
BOLETÍN OFICIAL DEL MINISTERIO DE DEFENSA Núm. 253
Miércoles, 30 de diciembre de 2015�
Sec. I. Pág. 31675
CAPÍTULO III Información electrónica Artículo 6. Información electrónica. 1. Cuando la información se maneje en un sistema de información y telecomunicaciones, independientemente de que ésta pueda finalmente ser archivada o almacenada en un sistema o en un documento, se le denominará de forma genérica como información electrónica. 2. Las medidas de protección que deban acometerse para el tratamiento de la información electrónica en los sistemas de información y telecomunicaciones, son las recogidas en las normas de Seguridad de la Información en los Sistemas de Información y Telecomunicaciones (SEGINFOSIT). 3. Si finalmente la información electrónica se almacena en un soporte portátil (documento en papel o no), dejará de considerarse como tal, debiendo ser protegida según las medidas de aplicación recogidas en las normas de Seguridad de la Información en los Documentos (SEGINFODOC). 4. Por todo ello, la información electrónica dispondrá de normativa de tercer nivel, en la que se recojan los requisitos de protección necesarios para su correcta gestión, incluyendo su marcado, almacenamiento, copia, etc. CAPÍTULO IV Clasificación de la información Artículo 7. Principios generales. 1. El elaborador de una información verificará si dicha información está o no clasificada o decidirá si debiera estarlo con arreglo a la normativa en vigor. Para ello, deberá tener en cuenta lo establecido en el artículo 3 de las Ley 9/1968, de 5 de abril, sobre secretos oficiales, el artículo 3 del Decreto 242/1969, de 20 de febrero, por el que se desarrollan las disposiciones de la Ley 9/1968, de 5 de abril, sobre secretos oficiales y en los acuerdos de Consejo de Ministros sobre materias clasificadas como SECRETO y RESERVADO como el Acuerdo de 28 de noviembre de 1986. Así mismo y para las materias con clasificación de CONFIDENCIAL o DIFUSIÓN LIMITADA, se hará de conformidad con lo establecido en la Orden Ministerial 76/2006, de 19 de mayo. 2. Cuando haya nueva información que trate de un asunto, materia o elemento, que haya sido clasificado anteriormente mediante Acuerdo de Consejo de Ministros o directiva de clasificación, la información elaborada podrá ser clasificada directamente, sin necesidad de iniciar un nuevo proceso de clasificación de la información. En estos casos, deberá cumplimentarse la guía de clasificación específica para la información clasificada que trata un asunto o tema previamente clasificado. Se deberá indicar en dicha guía, la justificación y origen en el que se basa la clasificación realizada, tal y como se recoge en el anexo III, modelo para la elaboración de la guía de clasificación. 3. Si no está clasificado previamente, y se considera que debe estarlo, se iniciará el proceso formal de clasificación establecido en el artículo 9. 4. Mientras dure el proceso de clasificación, y de manera preventiva, deberá protegerse la información conforme al grado de clasificación que se solicita.
1. El elaborador de información no clasificada debe indicar si ésta puede ser distribuida fuera del entorno del Ministerio de Defensa, en el que se incluye a las personas y organismos que tengan relaciones con este ministerio, o si por el contrario esta información solo debe ser distribuida en el entorno del Departamento. 2. En el primer caso, se identificará como información de USO PÚBLICO y cuando sea restringida al ministerio, se identificará como información de USO OFICIAL, aplicándoles las medidas de protección correspondientes a estos tipos.
CVE: BOD-2015-253-31675
Artículo 8. Información no clasificada.
BOLETÍN OFICIAL DEL MINISTERIO DE DEFENSA Núm. 253
Miércoles, 30 de diciembre de 2015�
Sec. I. Pág. 31676
3. Cuando una información clasificada sea desclasificada, se considerará, por defecto, como información de USO OFICIAL, salvo que expresamente la autoridad u órgano que la desclasifique especifique que sea considerada de USO PÚBLICO. 4. La información que al ser desclasificada haya sido considerada, por defecto, de USO OFICIAL, podrá pasar a ser considerada de USO PÚBLICO cuando exista alguna razón justificada que conlleve su distribución fuera del entorno del Ministerio de Defensa. En este caso, el custodio o usuario de ésta deberá solicitar la autorización al jefe de seguridad de la información de su ámbito o a quien éste haya delegado. Artículo 9. Proceso para la clasificación de la información. Para clasificar la información elaborada, bien porque sea de nueva creación o bien porque posteriormente a su elaboración se considere necesario clasificarla, se deberán llevar a cabo las siguientes acciones: a) Preparación de la documentación necesaria para la clasificación. El elaborador, o en su defecto el jefe de seguridad de la información correspondiente, deberá cumplimentar, según el anexo I, modelo para la elaboración de la propuesta de clasificación, reclasificación o desclasificación, y el anexo III, modelo para la elaboración de la guía de clasificación, los siguientes documentos necesarios para la posterior clasificación de la información: 1.º Propuesta de clasificación. 2.º Guía de clasificación. b) Validación de la propuesta de clasificación y de la guía de clasificación, por parte de la autoridad de cada ámbito o por aquél en quien ésta delegue formalmente. c) Aprobación formal del grado de clasificación, con el siguiente procedimiento: 1.º Si el grado solicitado para la clasificación de la información es de DIFUSIÓN LIMITADA o CONFIDENCIAL, lo aprobará directamente la autoridad del ámbito, o aquel en quien ésta delegue formalmente. Cuando la autoridad lo estime necesario, podrá elevar la solicitud de aprobación al Ministro de Defensa. 2.º Si el grado solicitado para la clasificación de la información es de RESERVADO o SECRETO, se canalizará la petición bien al responsable del área de seguridad de la información en las personas, en los documentos, en los sistemas de información y telecomunicaciones y en las instalaciones, o bien al responsable del área de seguridad de la información en poder de las empresas, según proceda, para su presentación al Director de Seguridad de la Información del Ministerio de Defensa (DSIDEF), quién lo elevará para su aprobación por el Consejo de Ministros. d) Emisión de la diligencia de clasificación. Una vez clasificada la información, la autoridad u órgano que haya procedido a su clasificación emitirá la correspondiente diligencia de clasificación. El jefe de seguridad de la información del ámbito correspondiente debe garantizar que se inventarían y registran todas las diligencias de clasificación que se emitan. e) Actualización de la guía de clasificación. El jefe de seguridad de la información correspondiente, debe garantizar que se revisa el contenido de la guía de clasificación y se completa cuando sea necesario, una vez emitida la diligencia.
1. La autoridad u órgano facultado para clasificar, puede aprobar una directiva de clasificación de carácter genérico, en la que se establecerá que determinada información por su especial naturaleza, contenido, o simplemente repetición, se clasifique previamente. De este modo, sin ser necesario el proceso descrito en el artículo 9, queda clasificada cualquier información, que incluya o trate parcial o totalmente dichos asuntos, materias o elementos. 2. El jefe de seguridad de la información correspondiente, que desee solicitar la clasificación de carácter genérico, deberá cumplimentar la correspondiente directiva de
CVE: BOD-2015-253-31676
Artículo 10. Proceso de clasificación de la información de carácter genérico.
BOLETÍN OFICIAL DEL MINISTERIO DE DEFENSA Núm. 253
Miércoles, 30 de diciembre de 2015�
Sec. I. Pág. 31677
clasificación para su remisión a la autoridad u órgano facultado para su clasificación, con el siguiente procedimiento: a) Si el grado solicitado para la clasificación es de DIFUSIÓN LIMITADA o CONFIDENCIAL, lo aprobará directamente la autoridad del ámbito, o aquél en quien ésta delegue formalmente. No obstante, cuando la autoridad lo estime necesario podrá elevar la solicitud de aprobación al Ministro de Defensa. b) Si el grado solicitado para la clasificación es de RESERVADO o SECRETO, se canalizará la petición bien al responsable del área de seguridad de la información en las personas, en los documentos, en los sistemas de información y telecomunicaciones y en las instalaciones, o bien al responsable del área de seguridad de la información en poder de las empresas, según proceda, para su presentación al DSIDEF, quién lo elevará para su aprobación por el Consejo de Ministros. CAPÍTULO V Desclasificación de la información Artículo 11. Supuestos para la desclasificación de la información. La información podrá ser desclasificada en cualquiera de estos dos supuestos: a) Por la anulación formal llevada a cabo por la correspondiente autoridad u órgano facultado para clasificar. b) Por expiración del plazo de clasificación de la información o cese de las circunstancias que condicionaban la clasificación, según la diligencia emitida por la autoridad u órgano que lo clasificó. En caso de haberse fijado el plazo por asignación a un grupo de clasificación, éste se regirá por los valores que figuran en el anexo IV, grupos de clasificación. Artículo 12. Proceso para la desclasificación de la información por parte de la autoridad u órgano facultado para clasificar. Para que la información clasificada sea desclasificada por la autoridad u órgano facultado para clasificar, se deberán llevar a cabo las siguientes acciones:
1.º Si la información a desclasificar es de grado DIFUSIÓN LIMITADA o CONFIDENCIAL, la desclasificación podrá aprobarla la autoridad del ámbito correspondiente, o la autoridad u órgano que la hubiese clasificado previamente. Cuando la autoridad del ámbito correspondiente lo estime necesario, podrá elevar la solicitud de aprobación al Ministro de Defensa. 2.º Si la información a desclasificar es de grado RESERVADO o SECRETO, se canalizará la petición bien al responsable del área de seguridad de la información en las personas, en los documentos, en los sistemas de información y telecomunicaciones y en las instalaciones, o bien al responsable del área de seguridad de la información en poder de las empresas, según proceda, para su presentación al DSIDEF, quién lo elevará para su aprobación por el Consejo de Ministros. d) Emisión de la diligencia de desclasificación. Una vez desclasificada la información, la autoridad u órgano que haya procedido a su desclasificación emitirá la correspondiente diligencia de desclasificación. se deberán inventariar y registrar todas las diligencias de desclasificación que se emitan.
CVE: BOD-2015-253-31677
a) Preparación de la propuesta de desclasificación siguiendo el modelo de propuesta del anexo I, especificando que se trata de una desclasificación. Es responsabilidad del jefe de seguridad de la información correspondiente, la debida cumplimentación de este documento como paso previo a su validación. b) Validación de la propuesta de desclasificación por parte de la autoridad de cada ámbito o por aquel en quién ésta delegue formalmente. c) Aprobación formal de la desclasificación, con el siguiente procedimiento:
BOLETÍN OFICIAL DEL MINISTERIO DE DEFENSA Núm. 253
Miércoles, 30 de diciembre de 2015�
Sec. I. Pág. 31678
e) Actualización de la guía de clasificación. El jefe de seguridad de la información correspondiente, debe comprobar que se revisa el contenido de la guía de clasificación, para recoger los cambios introducidos en la clasificación de la información. f) En el caso de que la información objeto de desclasificación haya sido cedida a terceros, se les deberá informar de que la información que obra en su poder ha sido desclasificada. Artículo 13. Desclasificación de la información por la expiración del plazo de clasificación establecido o cese de las circunstancias que condicionaban la clasificación. La información cuyo plazo de clasificación haya expirado, o para la que hayan cesado las circunstancias que condicionaban la clasificación, según su correspondiente diligencia, quedará desclasificada de forma automática. No será necesario cumplimentar el modelo de propuesta del anexo I, ni el modelo de diligencia del anexo II. CAPÍTULO VI Reclasificación de la información Artículo 14. Supuestos para la reclasificación de la información. La información clasificada podrá ser reclasificada en cualquiera de los supuestos siguientes: a) Cuando se considere oportuno, tramitándolo a través del jefe de seguridad de la información correspondiente, se podrá solicitar la reclasificación siguiendo los mismos pasos que los establecidos en el proceso de clasificación, indicando en la propuesta que se trata de una reclasificación. b) Por expiración del plazo de vigencia del grado de clasificación de la información asignado, o por cese de las circunstancias que condicionaban la clasificación, según la diligencia emitida por la autoridad. Los plazos vendrán marcados en función del grupo de clasificación al que pertenezca la información, tal y como se establece en el anexo IV, o por indicación expresa de su duración. Artículo 15. Proceso para la reclasificación de la información por parte de la autoridad u órgano que lo clasificó. Para que la información clasificada sea reclasificada por la autoridad u órgano que la clasificó, se deberán llevar a cabo las siguientes acciones: a) Preparación de la propuesta de reclasificación, según el modelo del anexo I, especificando que se trata de una reclasificación. Es responsabilidad del jefe de seguridad de la información correspondiente, la debida cumplimentación de esta propuesta como paso previo a su validación. b) Validación de la propuesta de reclasificación por parte de la autoridad de cada ámbito o por aquel en quien ésta delegue formalmente. c) Aprobación formal de la reclasificación, con el siguiente procedimiento:
i Información de grado de clasificación DIFUSIÓN LIMITADA o CONFIDENCIAL, para la que se solicita elevar el grado a RESERVADO o SECRETO. ii Información de grado de clasificación RESERVADO o SECRETO, para la que se solicita reducir el grado a DIFUSIÓN LIMITADA o CONFIDENCIAL. iii Información de grado de clasificación RESERVADO, para la que se solicita elevar el grado a SECRETO. iv Información de grado de clasificación SECRETO, para la que se solicita reducir el grado a RESERVADO.
CVE: BOD-2015-253-31678
1.º La propuesta deberá ser aprobada por la autoridad u órgano facultado para clasificar de RESERVADO o SECRETO, con los siguientes casos posibles:
BOLETÍN OFICIAL DEL MINISTERIO DE DEFENSA Núm. 253
Miércoles, 30 de diciembre de 2015�
Sec. I. Pág. 31679
En estos cuatro casos, se canalizará la petición bien al responsable del área de seguridad de la información en las personas, en los documentos, en los sistemas de información y telecomunicaciones y en las instalaciones, o bien al responsable del área de seguridad de la información en poder de las empresas, según proceda, para su presentación al DSIDEF, quién lo elevará a la autoridad u órgano facultado para clasificar. 2.º La propuesta deberá ser aprobada por la autoridad u órgano facultado para clasificar de DIFUSIÓN LIMITADA o CONFIDENCIAL, con los siguientes casos posibles: i. Información de grado de clasificación DIFUSIÓN LIMITADA, para la que se solicita elevar el grado a CONFIDENCIAL. ii. Información de grado de clasificación CONFIDENCIAL, para la que se solicita reducir el grado a DIFUSIÓN LIMITADA. En estos dos casos, la reclasificación podrá aprobarla la autoridad del ámbito correspondiente, o aquel en quién ésta delegue formalmente o la autoridad u órgano que lo clasificó. Cuando la autoridad del ámbito correspondiente lo estime necesario podrá elevar la solicitud de aprobación al Ministro de Defensa. d) Emisión de la diligencia de reclasificación. Una vez que la información haya sido reclasificada, la autoridad u órgano que haya procedido a dicha reclasificación emitirá la correspondiente diligencia de reclasificación. Se deberán inventariar y registrar todas las diligencias de reclasificación que se emitan. e) Actualización de la guía de clasificación: El jefe de seguridad de la información correspondiente, debe comprobar que se revisa el contenido de la guía de clasificación para recoger los cambios introducidos en la clasificación de la información. f) En el caso de que la información objeto de reclasificación haya sido cedida a terceros, se deberá informar a los depositarios de que la información que obra en su poder ha sido reclasificada. Artículo 16. Reclasificación de la información por la expiración del plazo de clasificación establecido o cese de las circunstancias que condicionaban la clasificación. La información cuyo plazo de clasificación haya expirado o hayan cesado las circunstancias que condicionaban la clasificación, de forma automática, queda reclasificada. No será necesario cumplimentar ni la propuesta de clasificación del anexo I, ni la diligencia de clasificación del anexo II. CAPÍTULO VII Documentación para la clasificación, desclasificación y reclasificación de la información Artículo 17. Propuesta.
a) Asunto: Descripción del tipo de información y título. b) Solicitante: Para solicitudes cuyo grado de clasificación sea de DIFUSIÓN LIMITADA o CONFIDENCIAL, se especificará quién realiza la petición siguiendo las indicaciones que sean establecidas por la autoridad de cada ámbito. Para solicitudes cuyo grado de clasificación sea de RESERVADO o SECRETO, se indicará como solicitante a la autoridad del ámbito que realiza la solicitud. c) Justificación: Razón por la que se solicita que se clasifique la información. d) Grado de clasificación que se solicita: DIFUSIÓN LIMITADA, CONFIDENCIAL, RESERVADO o SECRETO, según corresponda.
CVE: BOD-2015-253-31679
1. La propuesta es el documento por el que se somete a la autoridad u órgano facultado para clasificar, desclasificar o reclasificar, la solicitud de asignación de un grado de clasificación a informaciones individuales o agrupadas en un conjunto, así como su vigencia. 2. Para cada propuesta, se especificará si corresponde a una clasificación, a una desclasificación o a una reclasificación. 3. La propuesta deberá incluir, al menos, los puntos que se recogen a continuación, pudiéndose cumplimentar con el formulario del anexo I u otro similar:
BOLETÍN OFICIAL DEL MINISTERIO DE DEFENSA Núm. 253
Miércoles, 30 de diciembre de 2015�
Sec. I. Pág. 31680
e) Necesidad de características especiales: Se indicará si es una categoría especial de información, que requiera limitar el acceso a aquellas personas específicamente preparadas y sujetas a un control más exhaustivo, tales como: 1.º CRIPTO: Información, equipos y claves utilizados en sistemas criptográficos nacionales. 2.º SIGINT: Información específica sobre guerra electrónica y la utilización de medios de comunicaciones y señales para la obtención de la información, en el ámbito nacional. f) Motivo: Se marcará la opción que corresponda: 1.º Clasificación: Si se trata de la primera solicitud de clasificación de la información. 2.º Reclasificación: Si se requiere reclasificar la información para la que se realiza la propuesta. En este caso se indicará la diligencia de clasificación a la que hace referencia y el motivo que origina la reclasificación en el campo de observaciones. 3.º Desclasificación: Cuando el proceso solicitado sea el de desclasificar la información. En este caso, se indicará la diligencia de clasificación a la que hace referencia y el motivo que origina la desclasificación en el campo de observaciones. g) Autoridad u órgano al que se le solicita la aprobación. h) Tiempo que estará en vigor la clasificación o grupo de clasificación al que pertenece: Se indicará el plazo de duración de la clasificación correspondiente, señalando si puede ser suprimida o rebajada de grado. Para ello, se puede fijar una fecha o indicar un acontecimiento o hecho que defina el límite del plazo. En caso de elegirse un grupo de clasificación, los periodos durante los cuales la información debe estar clasificada están en el anexo IV. En el caso de que no se especifique este campo, se tratará como si fuese del grupo 1, clasificación permanente, del anexo IV. i) Observaciones: Cualquier característica adicional, comentario, observación, restricción, etc, que sea necesario conocer en relación a la información. j) Lugar, fecha y firma del solicitante. Artículo 18. Guía de clasificación.
a) Descripción de toda la información que se quiere clasificar. b) Grado de clasificación solicitado. c) Vigencia de la clasificación. d) Autoridad u órgano al que se le solicita la clasificación. e) Partes u elementos de la información que no precisan el mismo grado de clasificación que la información que se solicita. En este caso, deberá indicarse, para cada parte, qué grado de clasificación requiere o si no requiere ser clasificada. f) Partes u elementos de la información que requieren o pueden requerir su cesión. En el caso de que no se especifique nada, se entenderá que no se cede la información. 3. El resto de campos de la guía de clasificación, se deberán cumplimentar una vez se haya emitido la diligencia de clasificación correspondiente y ésta haya sido registrada: a) �Referencia de la propuesta de clasificación, de la diligencia de clasificación, de la directiva de clasificación o del Acuerdo de Consejo de Ministros. b) Grado de clasificación otorgado (cuando sea distinto del solicitado). c) Vigencia de la clasificación otorgada (cuando sea distinta de la solicitada). d) Autoridad u órgano que ha llevado a cabo la clasificación. e) Fecha en la que se ha procedido a su clasificación. f) Observaciones.
CVE: BOD-2015-253-31680
1. La guía de clasificación de un asunto, contrato o programa clasificado, es el documento donde se enumeran y describen los temas o elementos clasificados afectados, con especificación de todos los datos relevantes (grados de clasificación asignados, vigencias de las clasificaciones, etc.). 2. Se deberán cumplimentar, al menos, los siguiente campos de la guía de clasificación, como paso previo a la validación y aprobación de la propuesta de clasificación de la información:
BOLETÍN OFICIAL DEL MINISTERIO DE DEFENSA Núm. 253
Miércoles, 30 de diciembre de 2015�
Sec. I. Pág. 31681
4. En el anexo III, se recoge un modelo de referencia para cumplimentar la guía de clasificación asociada al proceso de clasificación, así como la guía de clasificación específica para la información clasificada que trata un asunto o tema previamente clasificado. 5. El jefe de seguridad de la información correspondiente, deberá asegurarse de que la guía de clasificación se completa debidamente tras la emisión de su diligencia de clasificación. Artículo 19. Diligencia. 1. La diligencia es el documento por el que la autoridad facultada aprueba la propuesta de clasificación, reclasificación o desclasificación de la información. 2. Irá vinculada con su correspondiente propuesta y guía de clasificación. Ambos documentos formarán parte intrínseca de la propia diligencia. 3. Deberá referenciarse a una clasificación, reclasificación o desclasificación, según corresponda. 4. Deberá recoger expresamente el resultado de la misma, aprobada si la Resolución ha sido favorable o desestimada en caso contrario. Deberá incluir quién dicta la Resolución y la fecha en la que se ha resuelto. Cuando sea desestimada se incluirá además la justificación en el campo de observaciones. 5. Podrá incluir cualquier comentario u observación que la autoridad u órgano facultado consideren necesario indicar. 6. Para su cumplimentación puede seguirse el modelo de diligencia del anexo II. Artículo 20. Directiva de clasificación. 1. La directiva de clasificación es un documento mediante el cual la autoridad u órgano facultado para clasificar, asigna un grado de clasificación a la información que, por su naturaleza y a juicio de la citada autoridad u órgano, no requiera la elaboración de la propuesta de clasificación. En este caso, la directiva de clasificación reemplaza a la diligencia de clasificación. La directiva de clasificación podrá incluir el grupo de clasificación o el plazo de duración de la clasificación correspondiente, u otras posibles condiciones por las que esta clasificación pueda ser suprimida o reducida de grado. Para ello, podrán fijar una fecha o indicar un acontecimiento o hecho límite de plazo. 2. La directiva de clasificación deberá indicar si la información que está clasificando es cedible o no y bajo qué condiciones. 3. Así mismo, la directiva de clasificación se utilizará para efectuar una clasificación de carácter genérico. Cuando se trate de asuntos y materias que requieran un grado de clasificación de RESERVADO o SECRETO, deberá ser elevada a Consejo de Ministros para su aprobación; y cuando sea DIFUSIÓN LIMITADA o CONFIDENCIAL, deberá ser aprobada por orden ministerial o por normativa interna del ámbito correspondiente. CAPÍTULO VIII Catálogo de asuntos, materias o elementos que deben ser clasificados
1. Este catálogo recoge la relación de asuntos, materias o elementos del Ministerio de Defensa, agrupados por el grado de clasificación que previamente se les haya asignado, que permite conocer el grado de clasificación de cualquier información que trate alguno de los aspectos en él relacionados, sirviendo de referencia para el marcado correspondiente de un documento que trate alguno de los aspectos en él recogidos. 2. El Director del Centro de Sistemas y Tecnologías de la Información y las Comunicaciones procederá a su elaboración y actualización. 3. En su elaboración, se tendrán en cuenta las directivas, diligencias, acuerdos y cualquier otro documento en el que se haya clasificado una determinada información. Para ello, anualmente, se solicitará a los jefes de seguridad de la información de los ámbitos
CVE: BOD-2015-253-31681
Artículo 21. Catálogo de asuntos, materias o elementos que deben ser clasificados.
BOLETÍN OFICIAL DEL MINISTERIO DE DEFENSA Núm. 253
Miércoles, 30 de diciembre de 2015�
Sec. I. Pág. 31682
de nivel Específico, que remitan como propuesta, la inclusión o retirada de algún asunto, materia o elemento de dicho catálogo, así como su reclasificación, en base a las directivas de clasificación o acuerdos que se hayan emitido a lo largo del año anterior. 4. Evaluadas todas las propuestas, se procederá a la actualización de dicho catálogo, que será elevado al Director de Seguridad de la Información del Ministerio de Defensa, el Secretario de Estado de Defensa, para su aprobación. 5. La información de dicho catálogo será clasificada y, por tanto, para poder acceder al catálogo, se deberán cumplir con las medidas de protección acordes con el grado de clasificación del mismo. CAPÍTULO IX Distribución de información Artículo 22. Distribución de Información. 1. La información podrá distribuirse en formato electrónico, empleando para ello los sistemas de información y telecomunicaciones existentes, o mediante su materialización en un soporte. 2. Podrá limitarse o restringirse el grupo de interés al que se permite la distribución de la información, cuando el elaborador de la información o en su defecto el jefe de seguridad de la información correspondiente, así lo determinen. En estos casos, deberá indicarse expresamente para quién es distribuible la información. 3. Cuando la distribución de la información implica su entrega a una parte ajena al Ministerio, se entenderá ésta como cesión de información y se regirá por sus correspondientes medidas de protección. 4. En el caso de los sistemas de información y telecomunicaciones, se considerará una transmisión de información y deberán aplicarse las medidas de protección relativas a la seguridad de la información en los sistemas de información y telecomunicaciones que garanticen la confidencialidad, integridad y disponibilidad de la información durante la transmisión. 5. En el caso de materializar la información en un soporte, las medidas a aplicar para la protección de la información serán las relativas a la seguridad de la información en los documentos, garantizando en todo momento la confidencialidad, integridad y disponibilidad de la información que contienen. CAPÍTULO X Cesión de información Artículo 23. Cesión de información. Se entiende por cesión de información, la entrega de información que está bajo custodia de la parte que la cede (Ministerio de Defensa), a otra parte ajena a este ministerio, sea persona, organismo, órgano, empresa, organización, estado, etc, en adelante parte receptora o que recibe.
1. La cesión de información de USO OFICIAL, no precisa de requisitos de protección específicos. Esta información puede ser cedida a la parte receptora, cuando se tenga garantía de que su distribución no perjudica los intereses del Ministerio de Defensa. 2. La distribución de la información de USO PÚBLICO, no se considera una cesión, dado que puede ser distribuida libremente. Artículo 25. Cesión de información clasificada. 1. En general, la cesión de información clasificada deberá estar motivada, suficientemente justificada y ser necesaria desde el punto de vista de los intereses del Ministerio de Defensa, a cuyo amparo se produce. Deberán existir garantías de
CVE: BOD-2015-253-31682
Artículo 24. Cesión de información no clasificada.
BOLETÍN OFICIAL DEL MINISTERIO DE DEFENSA Núm. 253
Miércoles, 30 de diciembre de 2015�
Sec. I. Pág. 31683
que la parte receptora dispone de los mecanismos necesarios para la protección de la información entregada, acorde con el grado de clasificación y equivalentes a los que se emplearían para la protección de la misma información dentro del Ministerio de Defensa. 2. La parte que cede, indicará expresamente los requisitos de seguridad que debe acometer la parte que recibe, quien se comprometerá formalmente a su cumplimiento. Cuando fuera preciso, se podrá confeccionar y aprobar, por ambas partes, un acuerdo de protección específico. 3. La información clasificada objeto de cesión, con grado de clasificación CONFIDENCIAL, RESERVADO o SECRETO, será gestionada a través del servicio de protección de materias clasificadas correspondiente; y con grado de clasificación DIFUSIÓN LIMITADA, podrá gestionarse bien a través del servicio de protección de materias clasificadas correspondiente, bien directamente a través de las partes, según establezca la autoridad del ámbito al que pertenece la información objeto de cesión. 4. Cuando exista un requerimiento judicial, legal o equivalente, para la entrega o consulta de información, si esta tiene grado de clasificación DIFUSIÓN LIMITADA y CONFIDENCIAL, se pondrá en conocimiento del jefe de seguridad de la información correspondiente, para que éste canalice la solicitud a la autoridad del ámbito correspondiente; y para grado de clasificación RESERVADO y SECRETO, se pondrá en conocimiento del responsable del área de seguridad de la información en las personas, en los documentos, en los sistemas de información y telecomunicaciones y en las instalaciones, o responsable del área de seguridad de la información en poder de las empresas, según proceda, que determinará cómo proceder en cada caso. Artículo 26. Acuerdo de protección para la cesión de la información clasificada.
a) Descripción de la información y grado de clasificación asignado. b) Los requisitos de seguridad que deberá cumplir la parte que recibe, se determinarán en función del grado de clasificación de la información, del motivo que origina la cesión, del uso que vaya a darse a la misma, de la duración de la cesión, de la parte que recibe y de cualquier otro aspecto que la parte que cede considere significativo en esta materia. Estos requisitos serán equivalentes o superiores a los establecidos para el manejo de la información clasificada en el Ministerio de Defensa. c) La autoridad u órgano que actuará como la parte que cede la información y que por tanto, aprueba la cesión. d) La persona, organismo, órgano, empresa, organización, Estado, etc. ajeno al Departamento, que actuará como la parte que recibe, que se hará responsable en su totalidad de la debida protección de la información cedida. e) La normativa que le sea de aplicación. f) El uso que puede darse a la información cedida, estableciendo los términos y condiciones sobre los que se entrega la información (política de acceso, de distribución, restricciones de uso y divulgación, de copiado, etc.). g) La fecha, en la que finaliza la vigencia del acuerdo de protección para la cesión de información clasificada y sus posibles prórrogas mediante adenda al acuerdo. Esta fecha, en ningún caso podrá ser posterior a la fecha en la que expira la vigencia de clasificación de la información que ha sido cedida, total o parcialmente o el cese del acto por el que se clasificó. h) Los requisitos de aplicación para la destrucción y devolución de la información cedida. i) La gestión del comprometimiento de la información. j) La imputabilidad de los posibles gastos derivados de la cesión. k)Las condiciones de renuncia al acuerdo.
CVE: BOD-2015-253-31683
El acuerdo de protección para la cesión de la información clasificada, recogerá al menos los siguientes aspectos:
BOLETÍN OFICIAL DEL MINISTERIO DE DEFENSA Núm. 253
Miércoles, 30 de diciembre de 2015�
Sec. I. Pág. 31684
CAPÍTULO XI Destrucción de información Artículo 27. Destrucción de la información. 1. Se entiende como destrucción de la información la eliminación de todos y cada uno de los elementos tangibles que le den soporte Se considerará que no se ha destruido la información, si ésta pueda encontrarse en algún elemento tangible. El proceso de destrucción implicará que ésta se elimine de todos los documentos o sistemas de información y telecomunicaciones en los que se encuentre. 2. La destrucción de los elementos tangibles que dan soporte a la información clasificada, se establece en los artículos 28 al 32 del Decreto 242/ 1969, de 24 de febrero, así como en la normativa específica de desarrollo o de aplicación de la seguridad de la información en los documentos, seguridad de la información en los sistemas de información y telecomunicaciones y seguridad de la información en poder de las empresas. 3. En ningún caso se podrá destruir información en tanto subsista en ella un valor probatorio de derechos y obligaciones de las personas físicas o jurídicas o no hayan transcurrido los plazos que la legislación establezca para su conservación, de acuerdo con lo dispuesto en la regulación relativa a la conservación de la información en el Sistema Archivístico de la Defensa. CAPITULO XII Comprometimiento de la información clasificada Artículo 28. Comprometimiento de la información clasificada. Cuando se tenga conocimiento, o indicio fundado, de que haya podido comprometerse la información clasificada, es decir, cuando su confidencialidad, disponibilidad o integridad haya podido quedar afectada total o parcialmente, se deberá poner en conocimiento del jefe de seguridad de la información correspondiente, de forma inmediata, para que sea tratado como un incidente de seguridad de la información. CAPÍTULO XIII Registro de acceso a la información
1. Se registrarán todos los accesos que se produzcan a información clasificada con grado de RESERVADO o SECRETO, estableciendo los mecanismos y controles necesarios que permitan, en caso de comprometimiento de la información clasificada, la identificación de las personas que hayan tenido acceso a ella. 2. Los accesos al resto de información clasificada, podrán ser registrados cuando así lo considere oportuno la autoridad del ámbito correspondiente de dicha información clasificada, o por indicación del Director de Seguridad de la Información del Ministerio de Defensa. 3. La gestión de dichos registros se hará conforme a lo dispuesto en las Normas de seguridad de información en los documentos, aprobadas por la Instrucción 51/2013, de 24 de junio, del Secretario de Estado de Defensa, para los accesos a documentos; en las Normas de seguridad de la información en los sistemas de información y telecomunicación, para los accesos a los sistemas; y en las Normas de seguridad de la información del Ministerio de Defensa en poder de las empresas, aprobadas por la Instrucción 52/2013, de 17 de junio, del Secretario de Estado de Defensa, para la información que manejen las empresas.
CVE: BOD-2015-253-31684
Artículo 29. Registro de acceso a la información.
BOLETÍN OFICIAL DEL MINISTERIO DE DEFENSA Núm. 253
Miércoles, 30 de diciembre de 2015�
Sec. I. Pág. 31685
ANEXO I Modelo para la elaboración de la propuesta de clasificación, reclasificación o desclasificación Nota: Este anexo debe utilizarse a modo de ejemplo. Es necesario, en el caso de querer emplearlo como plantilla, que acceda a la intranet del Ministerio de Defensa, en el apartado específico de Seguridad de la Información, y descargue la última versión disponible. TIPO DE PROPUESTA: DE CLASIFICACIÓN, RECLASIFICACIÓN O DESCLASIFICACIÓN (Debe resaltar y subrayar el tipo de propuesta que desea elaborar: clasificación, reclasificación o desclasificación y eliminar las demás). 1. ASUNTO.
2. SOLICITANTE. ………………………………………………………………………………………………… (Si el grado de clasificación de la información es de DIFUSIÓN LIMITADA o CONFIDENCIAL, se indicará como solicitante al que determine la autoridad correspondiente; y si el grado de clasificación es RESERVADO o SECRETO, se indicará como solicitante a la autoridad correspondiente). 3. JUSTIFICACIÓN. ………………………………………………………………………………………………… (Deberá exponerse, con la mayor claridad posible, las causas en las que se basa la propuesta). 4. GRADO DE CLASIFICACION QUE SE SOLICITA. (Deberá sustituirse el símbolo por el de [x], para seleccionar la opción deseada, que irá en negrita y subrayado. A modo de ejemplo se ha seleccionado RESERVADO). SECRETO
[x] RESERVADO
CONFIDENCIAL
DIFUSIÓN LIMITADA
4.1 NECESIDAD DE CARACTERÍSTICAS ESPECIALES. (Deberá sustituirse el símbolo NO SI.
por el de [x], para seleccionar la opción deseada).
NO SE ESPECIFICAN o SE DESCONOCEN Especificar: CRIPTO
SIGINT
5. MOTIVO. (Deberá sustituirse el símbolo por el de [x], para seleccionar la opción deseada y especificar la referencia de la directiva de clasificación anterior, cuando sea de aplicación. Si se desconoce esta información, debe indicarse que se desconoce y no dejarlo en blanco). RECLASIFICACIÓN: (Referencia de diligencia o directiva anterior. Especificar, al menos, la autoridad u órgano que lo clasificó y la fecha.). DESCLASIFICACIÓN: (Referencia de diligencia o directiva anterior. Especificar, al menos, la autoridad u órgano que lo clasificó y la fecha).
CVE: BOD-2015-253-31685
CLASIFICACIÓN INICIAL
BOLETÍN OFICIAL DEL MINISTERIO DE DEFENSA Núm. 253
Miércoles, 30 de diciembre de 2015�
Sec. I. Pág. 31686
6. ORGANO O AUTORIDAD AL QUE SE LE SOLICITA. ………………………………………………………………………………………………… (Indicar quién debe aprobar esta solicitud. Si el grado de clasificación de la información es de DIFUSIÓN LIMITADA o CONFIDENCIAL, se especificará la autoridad correspondiente o el Ministro de Defensa; y si el grado de clasificación es de RESERVADO o SECRETO, se especificará la autoridad u órgano establecido en el artículo 4 de la Ley 9/1968, de 5 de abril, sobre secretos oficiales). 7. VIGENCIA. ………………………………………………………………………………………………… (Seleccionar el que corresponda, que irá en negrita, e indicar específicamente la fecha o el grupo de clasificación, según corresponda). 7.1 �TIEMPO (FECHA) O ACONTECIMIENTO PARA LA CLASIFICACIÓN DE LA INFORMACIÓN. …………………………………………………………………………………………… (Indicar). 7.2 GRUPO ASIGNADO. ………………………………………………………………………………………… (Indicar uno de los grupos existentes). 8. OBSERVACIONES. (Indicar cualquier información que no haya sido recogida en los apartados anteriores y que se considere relevante para la aprobación de esta solicitud.).
En……………………………., a..........de...……………………….…de……
CVE: BOD-2015-253-31686
FIRMA (La firma debe corresponder con la del solicitante, debiendo incluir la fecha en la que se procede a la firma.).
BOLETÍN OFICIAL DEL MINISTERIO DE DEFENSA Núm. 253
Miércoles, 30 de diciembre de 2015�
Sec. I. Pág. 31687
ANEXO II Modelo para la elaboración de la diligencia de clasificación, reclasificación o desclasificación Nota: Este anexo debe utilizarse a modo de ejemplo. Es necesario, en el caso de querer emplearlo como plantilla, que acceda a la intranet del Ministerio de Defensa en el apartado específico de Seguridad de la Información y descargue la última versión disponible. DILIGENCIA DE CLASIFICACIÓN, RECLASIFICACIÓN O DESCLASIFICACIÓN (Debe resaltar y subrayar el tipo de diligencia que corresponde: clasificación, reclasificación o desclasificación, y eliminar las demás). 1. ASUNTO.
2. PROPUESTA DE CLASIFICACIÓN, RECLASIFICACIÓN O DESCLASIFICACIÓN A LA QUE HACE REFERENCIA. (Eliminar lo que no proceda e incluir la referencia de la propuesta). 3. TIPO. (Deberá sustituirse el símbolo que irá en negrita y subrayado). CLASIFICACIÓN INICIAL
por el de [x], para seleccionar la opción deseada,
RECLASIFICACIÓN
DESCLASIFICACIÓN 4. GRADO DE CLASIFICACIÓN ASIGNADO. ………………………………………………………………………………………………… (Especificar). 5. RESULTADO. (Deberá sustituirse el símbolo que irá en negrita y subrayado). APROBADA
por el de [x], para seleccionar la opción deseada, DESESTIMADA
6. AUTORIDAD U ORGANO QUE OTORGA LA CLASIFICACIÓN, RECLASIFICACIÓN, O DESCLASIFICACIÓN. ………………………………………………………………………………………………… (Especificar la autoridad u órgano a la que corresponde la clasificación). 7. TIEMPO O ACONTECIMENTO QUE DETERMINA LA VIGENCIA O GRUPO DE CLASIFICACIÓN.
8. PERSONAS A LAS QUE SE AUTORIZA ACCEDER A ESTA INFORMACIÓN. …………………………………………………………………………………………..……… (Especificar la persona, organismo, órgano, empresa, organización, Estado, etc, a las que se le permite acceder a la información, o en su defecto, los requisitos que debe cumplir el personal para poder acceder. En el caso de que la única limitación de acceso que se considere, sea la de disponer de la debida autorización para el manejo de información del mismo grado que el de esta diligencia, puede especificarse como «Según necesidad de acceso»).
CVE: BOD-2015-253-31687
………………………………………………………………………………………………… (Especificar el tiempo o acontecimiento que marca la vigencia que se le ha otorgado).
BOLETÍN OFICIAL DEL MINISTERIO DE DEFENSA Núm. 253
Miércoles, 30 de diciembre de 2015�
Sec. I. Pág. 31688
9. OBSERVACIONES. …………………………………………………………………………………………………… ……..………………………………………………………………………………………… (Indicar cualquier información que no haya sido recogida en los apartados anteriores y que se considere relevante)
En……………………………..a...........de.............…………………de………
CVE: BOD-2015-253-31688
FIRMA (La firma debe corresponder con la del solicitante, debiendo incluir la fecha en la que se procede a la firma.).
BOLETÍN OFICIAL DEL MINISTERIO DE DEFENSA Núm. 253
Miércoles, 30 de diciembre de 2015�
Sec. I. Pág. 31689
ANEXO III Modelo para la elaboración de la guía de clasificación Nota: Este anexo debe utilizarse a modo de ejemplo. Es necesario, en el caso de querer emplearlo como plantilla, que acceda a la intranet del Ministerio de Defensa en el apartado específico de Seguridad de la Información y descargue la última versión disponible. MODELO DE GUÍA DE CLASIFICACIÓN GENERAL COMO PASO PREVIO A LA APROBACIÓN DE LA CLASIFICACIÓN SOLICITADA, SE DEBERÁ CUMPLIMENTAR LO SIGUIENTE: 1. ASUNTO PARA EL QUE SE SOLICITA LA CLASIFICACIÓN.
2. GRADO DE CLASIFICACIÓN SOLICITADO. …………………………………………………………………………………..……………… 3. VIGENCIA DE LA CLASIFICACIÓN SOLICITADA. ……………………………………………………………………………………………..…… 4. AUTORIDAD U ÓRGANO AL QUE SE LE SOLICITA LA CLASIFICACIÓN. …………………………………………………………………………………..……………… 5. PARTES U ELEMENTOS DE LA INFORMACIÓN QUE NO PRECISAN EL MISMO GRADO DE CLASIFICACIÓN QUE EL DE LA INFORMACIÓN PARA LA QUE SE SOLICITA. INFORMACIÓN
CLASIFICACIÓN
OBSERVACIÓN
Nota: Duplicar tantas filas como se necesiten. (En este caso, deberá indicarse, para cada parte, qué grado de clasificación requiere o si no requiere ser clasificada y observaciones a tener en cuenta). 6. PARTES U ELEMENTOS DE LA INFORMACIÓN QUE REQUIEREN O PUEDEN REQUERIR SU CESIÓN. INFORMACIÓN
CLASIFICACIÓN
CEDIBLE
OBSERVACIÓN
Nota: Duplicar tantas filas como se necesiten.
7. REFERENCIA DE LA PROPUESTA, DILIGENCIA, DIRECTIVA DE CLASIFICACIÓN O ACUERDO DE CONSEJO DE MINISTROS. …………………………………………………………………………………..……………… 8. GRADO DE CLASIFICACIÓN OTORGADO. …………………………………………………………………………………..……………… (Cuando sea distinto al solicitado).
CVE: BOD-2015-253-31689
UNA VEZ APROBADA LA CLASIFICACIÓN, SE DEBERÁ CUMPLIMENTAR LO SIGUIENTE:
BOLETÍN OFICIAL DEL MINISTERIO DE DEFENSA Núm. 253
Miércoles, 30 de diciembre de 2015�
Sec. I. Pág. 31690
9. VIGENCIA DE LA CLASIFICACIÓN SOLICITADA. …………………………………………………………………………………..……………… (Cuando sea distinta al solicitado). 10. AUTORIDAD U ÓRGANO QUE HA CLASIFICADO. …………………………………………………………………………………..……………… 11. FECHA. …………………………………………………………………………………..………………
CVE: BOD-2015-253-31690
12. OBSERVACIONES. …………………………………………………………………………………..………………
BOLETÍN OFICIAL DEL MINISTERIO DE DEFENSA Núm. 253
Miércoles, 30 de diciembre de 2015�
Sec. I. Pág. 31691
ANEXO IV Grupos de clasificación 1. GRUPO 1. CLASIFICACIÓN PERMANENTE.
Permanecen en la misma clasificación indefinidamente, a menos que la autoridad u órgano correspondiente que otorga la clasificación lo desclasifique. 2. GRUPO 2. CLASIFICACIÓN INICIAL DE 15 AÑOS.
- SECRETO, 15 años. RESERVADO, 10 años. CONFIDENCIAL, 5 años. DIFUSIÓN LIMITADA, 2 años. No clasificada de USO OFICIAL. - RESERVADO, 15 años. CONFIDENCIAL, 10 años. DIFUSIÓN LIMITADA, 2 años. No clasificada de USO OFICIAL - CONFIDENCIAL, 15 años. DIFUSIÓN LIMITADA, 2 años. No clasificada de USO OFICIAL. - DIFUSIÓN LIMITADA, 15 años. DIFUSIÓN LIMITADA, 2 años. No clasificada de USO OFICIAL. 3. GRUPO 3. CLASIFICACIÓN INICIAL DE 10 AÑOS.
- SECRETO, 10 años. RESERVADO, 5 años. CONFIDENCIAL, 5 años. DIFUSIÓN LIMITADA, 2 años. No clasificada de USO OFICIAL. - RESERVADO, 10 años. CONFIDENCIAL, 5 años. DIFUSIÓN LIMITADA, 2 años. No clasificada de USO OFICIAL. - CONFIDENCIAL, 10 años. DIFUSIÓN LIMITADA, 2 años. No clasificada de USO OFICIAL. - DIFUSIÓN LIMITADA, 10 años. DIFUSIÓN LIMITADA, 2 años. No clasificada de USO OFICIAL. 4. GRUPO 4. CLASIFICACIÓN INICIAL DE 3 AÑOS.
- SECRETO, 3 años. RESERVADO, 3 años. CONFIDENCIAL, 3 años. DIFUSIÓN LIMITADA, 2 años. No clasificada de USO OFICIAL. - RESERVADO, 3 años. CONFIDENCIAL, 3 años. DIFUSIÓN LIMITADA, 2 años. No clasificada de USO OFICIAL. - CONFIDENCIAL, 3 años. DIFUSIÓN LIMITADA, 2 años. No clasificada de USO OFICIAL. - DIFUSIÓN LIMITADA, 3 años. No clasificada de USO OFICIAL.
- �El paso de grado de reclasificación o desclasificación correspondiente, se efectuará globalmente por períodos anuales completos a excepción del GRUPO 1. - �El paso de información no clasificada de USO OFICIAL a USO PÚBLICO, es potestativo de la autoridad u órgano correspondiente, que decidirá bajo qué condiciones procederá a llevarlo a cabo. - �Así, a modo de ejemplo, una información clasificada como SECRETO en el Grupo 4, será SECRETO durante los primeros tres años, RESERVADO del cuarto al sexto año, CONFIDENCIAL del séptimo al noveno año, DIFUSIÓN limitada del décimo al undécimo y de USO OFICIAL a partir del duodécimo año.
BOLETÍN OFICIAL DEL MINISTERIO DE DEFENSA
CVE: BOD-2015-253-31691
NOTAS: