El Centro Criptológico Nacional (CCN) ha publicado la guía CCN-STIC 004 de Manejo de información con clasificación Difusión Limitada, o equivalente, en nube pública, en la que se establecen los requisitos de seguridad que deben cumplir los servicios de nube pública para poder acreditarse en el tratamiento de este tipo de información.
Según la información publicada en el Portal de Administración Electrónica, la guía define los requisitos de seguridad aplicables tanto a proveedores como a clientes de servicios Cloud a la hora de acreditar un sistema que maneje información con clasificación hasta el grado de Difusión Limitada.
Requisitos alineados con el ENS y la normativa OTAN
Para la definición de estos requisitos se han tenido en cuenta:
- Los exigidos para sistemas bajo el alcance del Esquema Nacional de Seguridad (ENS) de categoría ALTA.
- Los establecidos en la D32 de la OTAN.
El documento responde a las nuevas necesidades de los sistemas de información en el ámbito de la seguridad y la defensa y está alineado con las nuevas políticas de seguridad de la información de la OTAN, siendo pionero en Europa, según la propia publicación oficial.
Anexo con requisitos adicionales
La guía CCN-STIC 004 se acompaña de un Anexo I con la Declaración de Aplicabilidad, en el que se recogen hasta 21 requisitos adicionales y criterios de aplicación en función del sistema de información concreto y de si se trata de un proveedor de servicio o de un cliente.
El documento es de acceso público a través del portal del CCN-CERT.
