Autoridad Delegada para la Seguridad de la Informacin Clasificada

- NS/06 Seguridad Industrial

Edicin 3/Marzo 2011

Pg. NS/06 - 1

SEGURIDAD INDUSTRIAL

NDICE 1. INTRODUCCIN............................................................................................................... 5 2. CONCEPTOS PREVIOS ................................................................................................... 6

2.1. PROGRAMA O PROYECTO CLASIFICADO ....................................................................................................... 6 2.2. CONTRATO CLASIFICADO ............................................................................................................................. 6 2.3. ACTIVIDAD CLASIFICADA ............................................................................................................................. 6 2.4. CONTRATISTA .............................................................................................................................................. 6 2.5. SUBCONTRATISTA ........................................................................................................................................ 6 2.65. COMPROMISO DE SEGURIDAD .................................................................................................................... 6 2.7. HABILITACIN DE SEGURIDAD DE EMPRESA (HSEM).................................................................................. 7 2.8. HABILITACIN DE SEGURIDAD DE ESTABLECIMIENTO (HSES) .................................................................... 7 2.9. HABILITACIN PERSONAL DE SEGURIDAD (HPS)......................................................................................... 7

3.

ORGANIZACIN DEL SECTOR PBLICO PARA LA SEGURIDAD EN LA INDUSTRIA ...................................................................................................................... 7

3.1. 3.2. 3.3. 3.4. 3.5. 3.6. GENERALIDADES .......................................................................................................................................... 7 AUTORIDAD NACIONAL ............................................................................................................................... 8 REA DE SEGURIDAD DE LA INFORMACIN CLASIFICADA EN PODER DE LAS EMPRESAS. ............................. 8 OFICINAS DE PROGRAMA ............................................................................................................................. 9 RGANOS DE CONTRATACIN.................................................................................................................... 10 ORGANISMOS O ENTES RESPONSABLES DE UNA ACTIVIDAD CLASIFICADA ................................................. 11

4. RESPONSABILIDADES DEL CONTRATISTA .......................................................... 12

4.1. GENERALIDADES ........................................................................................................................................ 12 4.2. SERVICIO DE PROTECCIN DE LA INFORMACIN CLASIFICADA................................................................... 13 4.3. COMPOSICIN DEL SERVICIO DE PROTECCIN DE LA INFORMACIN CLASIFICADA.................................... 13 4.4. JEFE DE SEGURIDAD DEL SERVICIO DE PROTECCIN .................................................................................. 14 4.5. DIRECTOR DE SEGURIDAD DEL SERVICIO DE PROTECCIN ......................................................................... 15 4.6. DIRECTOR DE SEGURIDAD DEL SERVICIO DE PROTECCIN DE UN GRUPO EMPRESARIAL ............................ 15

5. REQUISITOS DE SEGURIDAD EN LA INDUSTRIA................................................ 15

5.1. ACTIVIDADES, CONTRATOS Y PROGRAMAS CLASIFICADOS ....................................................................... 15 5.2. ACTIVIDADES Y CONTRATOS CLASIFICADOS DE GRADO SECRETO O EQUIVALENTE ................................ 16 5.3. ACTIVIDADES Y CONTRATOS CLASIFICADOS DE GRADO DIFUSIN LIMITADA O EQUIVALENTE .......... 16

6. HABILITACIN DE EMPRESAS ................................................................................. 16

6.1. COMPROMISO DE SEGURIDAD .................................................................................................................... 16 6.2. HABILITACIN DE SEGURIDAD DE EMPRESA (HSEM)................................................................................ 17 6.2.1. Tramitacin........................................................................................................................................ 17 6.2.2. Requisitos para la concesin de una HSEM ...................................................................................... 17 6.2.3. Documentacin necesaria para la solicitud de la HSEM .................................................................. 17 6.2.4. Criterios de valoracin de la solvencia econmica y financiera ....................................................... 18 6.2.5. Criterios de valoracin de fiabilidad ................................................................................................. 19 6.3. HABILITACIN DE SEGURIDAD DE ESTABLECIMIENTO (HSES) .................................................................. 19 6.3.1. Requisitos para la concesin de la HSES .......................................................................................... 19 6.3.2. Documentacin para la solicitud de la HSES .................................................................................... 19 6.4. HABILITACIN PERSONAL DE SEGURIDAD (HPS)....................................................................................... 20 6.4.1. Generalidades .................................................................................................................................... 20 6.4.2. Autorizacin de Acceso ...................................................................................................................... 21 6.5. MODIFICACIN DE LA HSEM Y HSES ....................................................................................................... 21

Edicin 3/Marzo 2011

Pg. NS/06 - 2

6.5.1. Elevacin del grado de la HSEM ....................................................................................................... 21 6.5.2. Elevacin del grado de la HSES ........................................................................................................ 22 6.5.3. Reduccin del grado de la HSEM o HSES......................................................................................... 22 6.5.4. Compartimentacin de la informacin.............................................................................................. 22 6.6. VIGENCIA ................................................................................................................................................... 23 6.7. SUSPENSIN DE LA HSEM O HSES............................................................................................................ 23 6.8. RETIRADA DE LA HSEM, HSES Y HPS...................................................................................................... 23 6.8.1. Retirada de la HSEM ......................................................................................................................... 23 6.8.2. Retirada de la HSES............................................................................................................................ 24 6.8.3. Suspensin de la HPS......................................................................................................................... 24 6.9. SUPUESTOS PARTICULARES ........................................................................................................................ 24 6.9.1. Unin Temporal de Empresas............................................................................................................. 24 6.9.2. Grupo Empresarial ............................................................................................................................ 25 6.9.3. Subcontratistas................................................................................................................................... 25 6.9.4. Empresas de Servicios........................................................................................................................ 26 6.9.5. Empresas de Seguridad...................................................................................................................... 26

7.

RGANOS DE CONTROL DE LA INFORMACIN CLASIFICADA DEL CONTRATISTA ............................................................................................................. 27

7.1. GENERALIDADES ........................................................................................................................................ 27 7.2. PERSONAL .................................................................................................................................................. 27 7.2.1. Composicin del rgano de Control ................................................................................................. 27 7.2.2. Jefe de Seguridad ............................................................................................................................... 28 7.2.3. Administrador de Seguridad del Sistema de Informacin (ASSI) ...................................................... 28 7.3. INFRAESTRUCTURA .................................................................................................................................... 29 7.3.1. Concepto ............................................................................................................................................ 29 7.3.2. Sistema de Proteccin Fsica ............................................................................................................. 29
7.3.2.1. Composicin ................................................................................................................................................. 29 7.3.2.2. Zona de Acceso Restringido (ZAR) .............................................................................................................. 29 7.3.2.3. Operacin y mantenimiento del Sistema de Proteccin Fsica ...................................................................... 29

7.3.3. Proteccin de los Sistemas de Informacin y Comunicaciones ......................................................... 30 7.4. ORGANIZACIN .......................................................................................................................................... 30 7.5. INSPECCIONES AL RGANO DE CONTROL ................................................................................................... 30

8. TRATAMIENTO DE LA INFORMACIN CLASIFICADA ..................................... 31

8.1. GENERALIDADES ........................................................................................................................................ 31 8.2. DISTRIBUCIN DENTRO DE ESPAA ............................................................................................................ 31 8.3 REPRODUCCIN, TRADUCCIN, Y EXTRACTOS DE LA INFORMACIN CLASIFICADA. ..................................... 32 8.4 DESTRUCCIN DE LA INFORMACIN CLASIFICADA ...................................................................................... 32

9. VISITAS NACIONALES E INTERNACIONALES ..................................................... 33

9.1. GENERALIDADES ........................................................................................................................................ 33

10. TRANSPORTES NACIONALES E INTERNACIONALES...................................... 34 11. INFORMACIN CLASIFICADA NO NACIONAL .................................................. 34

ANEXO I A LA NS/06 ....................................................................................................................................... 36 PROCEDIMIENTO RELATIVO A VISITAS CON ACCESO A INFORMACIN CLASIFICADA EN EL MBITO INDUSTRIAL .......................................................................................................................................................................... 36 APNDICE A ................................................................................................................................................... 38 Formato de Solicitud de Visita...................................................................................................................... 38 APNDICE B ................................................................................................................................................... 42 Formato de Comunicacin de Visita............................................................................................................. 46 ANEXO II A LA NS/06 ...................................................................................................................................... 47 PROCEDIMIENTO RELATIVO A TRANSPORTES DE INFORMACIN CLASIFICADA EN EL MBITO INDUSTRIAL ....... 48 APNDICE A ................................................................................................................................................... 53 Formato de Plan de Transporte .................................................................................................................... 53 APNDICE B ................................................................................................................................................... 56 Formato de Comunicacin de Transporte en mano...................................................................................... 56

Edicin 3/Marzo 2011

Pg. NS/06 - 3

APNDICE C ................................................................................................................................................... 57 Formato de Comunicacin de Transporte recurrente................................................................................... 57 ANEXO III A LA NS/06..................................................................................................................................... 58 FORMATO DE COMPROMISO DE SEGURIDAD ...................................................................................................... 58 ANEXO IV A LA NS/06..................................................................................................................................... 61 FORMATO DE COMUNICACIN DE CONTRATO CLASIFICADO ............................................................................. 61 ANEXO V A LA NS/06...................................................................................................................................... 67 FORMATO DE AUTORIZACIN DE ACCESO ......................................................................................................... 67 ANEXO VI A LA NS/06..................................................................................................................................... 68 FORMATO DE FICHA DEL CONTRATISTA ............................................................................................................ 68 ANEXO VII A LA NS/06 ................................................................................................................................... 73 FORMATO DE HABILITACIN DE EMPRESAS, ORGANISMOS Y/O ESTABLECIMIENTOS .......................................... 73 ANEXO VIII A LA NS/06 .................................................................................................................................. 74 FORMATO DE HOJA INFORMACIN O DE TRMITE DE HABILITACIN PERSONAL DE SEGURIDAD ...................... 74 ANEXO IX A LA NS/06..................................................................................................................................... 75 FORMATO DE CERTIFICADO DE ACREDITACIN DE LOCALES ............................................................................ 75

Edicin 3/Marzo 2011

Pg. NS/06 - 4

NORMA NS/06

SEGURIDAD INDUSTRIAL

1. INTRODUCCIN La Seguridad Industrial es la condicin que se alcanza cuando se aplica un conjunto de medidas y procedimientos necesarios para establecer y verificar los requisitos que deben cumplirse en todos los mbitos, tanto pblicos como privados, para acceder o manejar Informacin Clasificada, durante la ejecucin de una actividad, contrato o programa clasificado. La presente norma NS/06, como complemento a todas las dems Normas de la Autoridad Nacional para la Proteccin de la Informacin Clasificada (en adelante Autoridad Nacional), establece condiciones especficas para el manejo de Informacin Clasificada en las actividades, contratos y programas clasificados en los que participen empresas. Los aspectos generales del manejo de la Informacin Clasificada se regirn conforme a lo establecido en las Normas de la Autoridad Nacional (NS/01 a NS/05). La razn del establecimiento de una norma especfica de la proteccin de la Informacin Clasificada para este mbito, radica en las especiales connotaciones presentes en este tipo de relaciones con las empresas. Por un lado, se da la circunstancia de que entidades y personal ajeno a la propia Administracin, pas u organizacin concernidos, que es la propietaria o depositaria principal de la informacin, necesitan acceder a la Informacin Clasificada. Por otro lado, estas entidades o personas que acceden con ocasin de un contrato o actividad, lo hacen en virtud de un inters puramente comercial. Ambas circunstancias constituyen un elemento adicional de riesgo, por lo que las medidas de proteccin y control de las actividades, contratos y programas clasificados han de tener un carcter especial, ms restrictivo que en otras circunstancias ya reguladas por el resto de la normativa. Por tanto, en el marco establecido por la norma NS/01, la presente norma regula la seguridad de la Informacin Clasificada que se genera, maneja o accede por las empresas espaolas en el desarrollo de actividades, contratos o proyectos en que intervengan: a) Organismos de la Administracin General del Estado, de las administraciones de las Comunidades Autnomas y las entidades que integran la Administracin Local, as como entidades pblicas y/o privadas debidamente autorizadas para manejar Informacin Clasificada para los que no exista una regulacin especfica al respecto, b) Organizaciones Internacionales de las que el Reino de Espaa forma parte, en virtud de un Tratado, como son la Organizacin del Tratado Atlntico Norte (OTAN), la Unin Europea (UE), la Agencia Espacial Europea (ESA), OCCAR, EUROFOR, etc., o c) Pases extranjeros al amparo de Acuerdos Internacionales, bilaterales o multilaterales, para la proteccin de Informacin Clasificada. En este contexto, las disposiciones de esta norma afectan, tanto a los contratistas o subcontratistas que acuden a contratos clasificados, como a los rganos de la Administracin
Edicin 3/Marzo 2011 Pg. NS/06 - 5

que requieren su participacin o que, en nombre de la Autoridad Nacional, han de supervisar y avalar dicha participacin en un contexto internacional. De esta norma se derivan obligaciones tanto de carcter procedimental como organizativo, surgiendo la necesidad de creacin de estructuras especficas para atender dichos cometidos y la de asignar responsabilidades.

2. CONCEPTOS PREVIOS 2.1. Programa o Proyecto Clasificado Se entender por programa o proyecto clasificado aquel encaminado a proporcionar bienes o servicios en cuya ejecucin se genere o sea necesario el acceso o manejo de Informacin Clasificada. Un programa o proyecto clasificado podr dar lugar a uno o ms contratos clasificados. 2.2. Contrato Clasificado Se entender por contrato clasificado todo contrato cuya ejecucin implique la generacin, manejo o acceso a Informacin Clasificada por parte del contratista. Las fases de actividad pre-contractual (negociacin, licitacin, presupuesto, propuesta, etc.) as como la actividad posterior al contrato se consideran parte del contrato clasificado. 2.3. Actividad Clasificada Se entender por actividad clasificada aquella que no siendo parte de un contrato o programa clasificado implique la generacin, manejo o acceso a Informacin Clasificada por parte de un contratista. 2.4. Contratista En el mbito de aplicacin de esta Norma de Seguridad, se entender por contratista toda persona fsica o jurdica debidamente habilitada para estar en condiciones de licitar en contratos clasificados o de participar en actividades clasificadas.. 2.5. Subcontratista En el mbito de aplicacin de esta Norma de Seguridad, se entender por subcontratista toda persona fsica o jurdica debidamente habilitada para estar en condiciones de participar en una actividad o contrato clasificado por encargo de un contratista principal o de otro subcontratista. 2.65. Compromiso de Seguridad Por Compromiso de Seguridad se entender el acto por el cual el contratista se obliga formalmente, mediante la firma del documento Compromiso de Seguridad segn el Anexo III de la presente Norma, a proteger la Informacin Clasificada que genere o maneje en razn de la ejecucin de una actividad, contrato o programa clasificado, conforme a los requisitos exigidos por la normativa de proteccin de la Informacin Clasificada en vigor, as como a

Edicin 3/Marzo 2011

Pg. NS/06 - 6

recibir inspecciones peridicas y a devolver la Informacin Clasificada requerida por la Autoridad Nacional. 2.7. Habilitacin de Seguridad de Empresa (HSEM) Por Habilitacin de Seguridad de Empresa (HSEM) se entender la determinacin positiva por la que la Autoridad Nacional, en nombre del Gobierno del Reino de Espaa, reconoce formalmente la capacidad y fiabilidad de un contratista para generar y acceder a Informacin Clasificada hasta un determinado grado, sin que pueda manejarla o almacenarla en sus propias instalaciones. 2.8. Habilitacin de Seguridad de Establecimiento (HSES) Por Habilitacin de Seguridad de Establecimiento (HSES) se entender la determinacin positiva por la que la Autoridad Nacional, en nombre del Gobierno del Reino de Espaa, reconoce formalmente la capacidad y fiabilidad de un contratista poseedor de una HSEM para manejar y almacenar Informacin Clasificada hasta un determinado grado en aquellas de sus propias instalaciones habilitadas al efecto. Se entender por instalacin de una empresa la oficina, local, edificio o grupo de edificios pertenecientes a la empresa, en una misma localizacin geogrfica, dentro de un permetro claramente definido 2.9. Habilitacin Personal de Seguridad (HPS) Por Habilitacin Personal de Seguridad (HPS) se entender la determinacin positiva por la que la Autoridad Nacional, en nombre del Gobierno del Reino de Espaa, reconoce formalmente la fiabilidad de una persona para tener acceso a Informacin Clasificada, en el mbito o mbitos y grado mximo autorizado, que se indiquen expresamente, al haber superado el oportuno proceso de acreditacin de seguridad y haber sido adecuadamente concienciado en el compromiso de reserva que adquiere y en las responsabilidades que se derivan de su incumplimiento.

3. ORGANIZACIN DEL SECTOR PBLICO PARA LA SEGURIDAD EN LA INDUSTRIA 3.1. Generalidades La participacin del tejido industrial de un pas en las actividades, contratos y programas clasificados implica el establecimiento de relaciones con distintos estamentos de la Administracin. La contratacin en el sector pblico tiene un carcter parcelario, en el sentido de que los rganos con capacidad de contratacin son mltiples, no estando centralizados, ni tan siquiera a nivel ministerial. Ello conlleva que la relacin de la industria con el sector pblico se realice a travs del rgano competente para cada actividad o contrato en curso. Esto, desde el punto de vista de la seguridad de la informacin en las actividades, contratos y programas clasificados, aconseja el establecimiento de unas estructuras fijas que

Edicin 3/Marzo 2011

Pg. NS/06 - 7

permitan centralizar los procesos de habilitacin de las empresas para tener la capacidad de participar en actividades o contratos clasificados, de forma que dicha habilitacin sea reconocida como vlida por cualquier rgano con capacidad de contratacin, y pueda ser avalada ante otros pases y organizaciones internacionales, en caso de contratos o programas en dichos mbitos. La Infraestructura Nacional de Proteccin de la Informacin Clasificada de cada departamento ministerial, definida en la norma NS/01, y en concreto la parte que d servicio al rgano del sector pblico que dirige la actividad clasificada, desarrolla el programa clasificado o realiza el contrato clasificado, ser la responsable del control y manejo de la Informacin Clasificada en la industria, en el marco de dicha actividad, programa o contrato, como ms adelante se menciona. En los siguientes puntos se establecen y definen los cometidos de los diferentes rganos y autoridades con responsabilidades en materia de Seguridad Industrial. 3.2. Autoridad Nacional La Autoridad Nacional es el rgano de la Administracin General del Estado competente, responsable de desarrollar la poltica para la proteccin de la Informacin Clasificada, garantizar su cumplimiento, y definir y establecer la estructura funcional necesaria para la proteccin de la Informacin Clasificada en las administraciones pblicas y en los organismos pblicos vinculados o dependientes de ella, as como en las entidades pblicas o privadas que precisen disponer de Informacin Clasificada. 3.3. rea de Seguridad de la Informacin Clasificada en poder de las empresas. Cuando en el mbito de un Ministerio se desarrollen contratos o programas clasificados, se deber establecer un rea de Seguridad de la Informacin Clasificada en poder de las empresas. Dentro de esta rea deber existir un responsable que asuma los siguientes cometidos: a) Verificar la existencia de los rganos de Control de la Informacin Clasificada correspondientes a los rganos de contratacin y a las oficinas de programa. b) Establecer, en el caso de que no existan, los rganos de Control de la Informacin Clasificada correspondientes a los contratistas. Cada rgano de Control de los contratistas depender funcionalmente del rea de Seguridad de la Informacin Clasificada del Ministerio que lo constituy. c) Velar que se mantienen las condiciones de seguridad en los rganos de Control de la Informacin Clasificada por l constituidos, mediante la realizacin de inspecciones peridicas, as como la organizacin de los cursos de formacin necesarios. d) Designar un Representante del rea de Seguridad de la Informacin Clasificada ante aquellos contratistas que, por el gran volumen de actividad o contratos asignados, o en razn de las especiales condiciones de ejecucin de los mismos, se estime conveniente. Sus cometidos sern: Controlar el marcado de la Informacin Clasificada con arreglo a la Gua de Clasificacin.

Edicin 3/Marzo 2011

Pg. NS/06 - 8

 Controlar las modificaciones que puedan producirse en los sistemas de proteccin de la Informacin Clasificada del contratista. Firmar con el visto bueno en las Propuestas de Personal de las solicitudes de HPS de los empleados del contratista que necesiten acceder a Informacin Clasificada. Informar de las incidencias de seguridad de la Informacin Clasificada que se produzcan en las instalaciones del contratista, o cuya ocurrencia resulte previsible. Velar por el cumplimiento de las instrucciones de seguridad relativas a los contratos o programas que lleve a cabo el contratista. e) Tramitar ante la Autoridad Nacional las solicitudes de HSEM, HSES y HPS presentadas por los contratistas, y establecer el registro correspondiente para su control y custodia. f) Firmar con el visto bueno en las Propuestas de Personal de las solicitudes de HPS de los empleados del contratista que necesiten acceder a Informacin Clasificada excepto para el caso contemplado en el punto d). g) Tramitar, por delegacin de la Autoridad Nacional, las solicitudes de visitas y planes de transporte. h) Canalizar hacia la Autoridad Nacional los informes de incidencias de seguridad de la Informacin Clasificada, provenientes de los rganos de Control de los contratistas de su mbito. i) Elaborar un informe anual sobre el estado de la seguridad de la Informacin Clasificada en poder de contratistas que se remitir antes del 31 de diciembre a la Autoridad competente de su mbito. j) Realizar, a requerimiento de la Autoridad Nacional, la investigacin de los comprometimientos de la Informacin Clasificada en poder de las empresas cedida por su Ministerio acorde a lo estipulado en los apartados relevantes de la NS04. Los rganos de Control que tengan asignadas oficinas de programas y rganos de contratacin sern responsables de controlar el flujo de Informacin Clasificada en poder del contratista. Su interlocutor con el contratista ser siempre el Jefe de Seguridad del Servicio de Proteccin del contratista (JSSP), y su interlocutor con la Autoridad Nacional ser el Jefe de Seguridad de la Informacin del rea de Seguridad de la Informacin Clasificada en poder de las empresas. La Autoridad Nacional actuar de oficio en aqullos mbitos carentes de rea de Seguridad de la Informacin Clasificada en poder de las empresas, cuando existan actividades, programas o contratos que impliquen acceso o generen Informacin Clasificada, y requerir a los responsables de dichas actividades, programas o contratos el establecimiento de los rganos de Control imprescindibles para el cumplimiento de la presente norma. 3.4. Oficinas de Programa La clasificacin de los elementos de un programa responder a la Gua de Clasificacin, elaborada por la Oficina de Programa, y aprobada por la Autoridad de Clasificacin, y tambin a aquellas Directivas de Clasificacin que le sean de aplicacin. El Jefe del Programa es responsable de mantener actualizada la Gua de Clasificacin y las Instrucciones de Seguridad del Programa si existiesen, as como de conocer las

Edicin 3/Marzo 2011

Pg. NS/06 - 9

Directivas de Clasificacin que puedan afectar al programa. El Jefe del Programa, como responsable del control de todos los contratos clasificados que de l se derivan, designar un Representante para la Seguridad del Programa y, a travs del rgano de Control de su organismo, comunicar dicho nombramiento al contratista y al rgano de contratacin. Bajo la supervisin del Jefe de Programa, el Representante para la Seguridad del Programa desempear los siguientes cometidos: a) Actuar como Vocal Tcnico de Seguridad de la Informacin Clasificada en poder del contratista, en las mesas de contratacin relativas al contrato o programa, para el cual ha sido designado. b) Velar por el adecuado tratamiento de la Informacin Clasificada del programa, en poder del contratista. c) Firmar las expectativas para acceder a Informacin Clasificada de potenciales contratistas, de manera que stos puedan solicitar la concesin de la Habilitacin de Seguridad de Empresa, y en caso necesario la Habilitacin de Seguridad de Establecimiento, que le permita licitar a contratos clasificados derivados del programa. d) Firmar las Autorizaciones de Acceso a la Informacin Clasificada del personal habilitado del contratista y del subcontratista. e) Comunicar a la Autoridad Responsable de la proteccin de la Informacin Clasificada de su organismo cualquier incidencia que estime pueda comprometer la seguridad de la Informacin Clasificada del programa. f) Establecer las condiciones especficas de seguridad de el/los contrato/s o proyecto/s que habr de remitir a la Autoridad Nacional. g) Remitir a la Autoridad Nacional antes del 31 de enero de cada ao el inventario anual de la Informacin Clasificada que durante el ao anterior se haya confiado a los distintos contratistas o haya sido generada por stos. 3.5. rganos de Contratacin Los rganos de contratacin de la Administracin son responsables de: a) Avalar las expectativas para acceder a Informacin Clasificada de potenciales contratistas, de manera que stos puedan solicitar la concesin de la Habilitacin de Seguridad de Empresa y en caso necesario la Habilitacin de Seguridad de Establecimiento, que le permita licitar al contrato clasificado. b) Incluir en las clusulas administrativas particulares de los Contratos Clasificados, entre otras, la exigencia de HSEM y en caso necesario HSES, para un determinado grado de clasificacin, por parte del contratista. c) Garantizar que todo contrato clasificado lleve anexo la correspondiente Comunicacin de Contrato Clasificado, segn Anexo IV de la presente Norma, que incluye: Declaracin de Clasificacin del Contrato. Clusulas de Seguridad. Gua de Clasificacin.

Edicin 3/Marzo 2011

Pg. NS/06 - 10

d) Disponer de un rgano de Control de Informacin Clasificada, o estar asignado al rgano de Control que le corresponda por defecto, para el adecuado control de la Informacin Clasificada entregada a cada contratista licitante. Dicho rgano de Control ser responsable de retirar la Informacin Clasificada que obre en poder del contratista en los siguientes casos: ! a la finalizacin, no adjudicacin o suspensin del contrato, ! a la cancelacin o suspensin temporal de la HSEM o HSES. e) Establecer las condiciones especficas de seguridad de el/los contrato/s o proyecto/s que habr de remitir a la Autoridad Nacional. f) Remitir a la Autoridad Nacional antes del 31 de enero de cada ao el inventario anual de la Informacin Clasificada que durante el ao anterior se haya confiado a los distintos contratistas o haya sido generada por stos. 3.6. Organismos o Entes responsables de una actividad clasificada La clasificacin de los elementos de una actividad clasificada responder a la Gua de Clasificacin, elaborada por el Organismo o Ente responsable de dicha actividad y aprobada por la Autoridad de Clasificacin, y tambin a aquellas Directivas de Clasificacin que le sean de aplicacin. El Jefe del Organismo o Ente, como mximo responsable de la Actividad Clasificada, designar un Responsable de la Seguridad de la Informacin Clasificada de la Actividad. A travs del rgano de Control de su organismo, comunicar dicho nombramiento a todos aquellos contratistas implicados en el desarrollo de la Actividad Clasificada. El responsable de la Seguridad de la Informacin Clasificada se encargar de mantener actualizada la Gua de Clasificacin de la Actividad Clasificada, as como de conocer las Directivas de Clasificacin que puedan afectar a la Actividad. Bajo la supervisin del Jefe del Organismo o Ente, el Responsable de la Seguridad de la Informacin Clasificada, desempear los siguientes cometidos: a) Velar por el adecuado tratamiento de la Informacin Clasificada de la actividad en poder de los diferentes contratistas y subcontratistas implicados en la misma. b) Firmar las expectativas para acceder a Informacin Clasificada de potenciales contratistas, de manera que stos puedan solicitar la concesin de la Habilitacin de Seguridad de Empresa y en caso necesario la Habilitacin de Seguridad de Establecimiento, que le permita desarrollar actividades clasificadas. c) Firmar las Autorizaciones de Acceso a la Informacin Clasificada del personal habilitado de los diferentes contratistas y subcontratistas. d) Comunicar a la Autoridad Responsable de la Actividad Clasificada de su organismo cualquier incidencia que estime pueda comprometer la seguridad de la Informacin Clasificada de la actividad. e) Establecer las condiciones especficas de seguridad de la Actividad Clasificada que habr de remitir a la Autoridad Nacional. f) Remitir a la Autoridad Nacional antes del 31 de enero de cada ao el inventario anual de la Informacin Clasificada que durante el ao anterior se haya confiado a los distintos contratistas o subcontratistas o haya sido generada por stos.

Edicin 3/Marzo 2011

Pg. NS/06 - 11

4. RESPONSABILIDADES DEL CONTRATISTA 4.1. Generalidades Con la firma del Compromiso de Seguridad, el contratista se compromete ante la Administracin a: a) La aplicacin de las medidas de seguridad exigidas por la normativa en vigor, para la proteccin de la Informacin Clasificada que genere, maneje o acceda en virtud de su participacin en contratos clasificados. b) Proponer un Jefe de Seguridad del Servicio de Proteccin (JSSP) encargado de llevar a cabo las tareas y responsabilidades que el contratista contrae voluntariamente al firmar el Compromiso de Seguridad. Adems, tendr que proponer un Jefe de Seguridad (JS), dependiente del JSSP cuando no sea l mismo, para cada rgano de Control acreditado del grado y tipo que corresponda. c) Informar a la Autoridad Nacional sobre cualquier cambio socio-jurdico y especialmente los cambios de tipo societario, de capital social, de objeto social, domicilio, delegaciones y sucursales, accionistas, consejo de administracin o administradores, personal directivo y terminacin del negocio, en el plazo mximo de 30 das naturales. d) Proponer la inmediata sustitucin del JSSP y de el/los JS cuando alguno de ellos cause baja, con el fin de evitar situaciones de inseguridad que conduzcan al incumplimiento de las Normas de Seguridad de la ANS. e) Solicitar a la Autoridad Nacional: Las HPS de los empleados que deban manejar Informacin Clasificada durante el desarrollo del contrato o actividad clasificada. Las HSES para las instalaciones que as lo requieran. La apertura de los rganos de Control y sus correspondientes Zonas de Acceso Restringido (ZAR) necesarias para el manejo de Informacin Clasificada del tipo y grado adecuados. La Acreditacin de los Sistemas de Informacin y Comunicaciones, en adelante CIS, que accedan, manejen, generen o procesen Informacin Clasificada. El nombramiento del Director de Seguridad del Servicio de Proteccin del Grupo (DSSG), del Director del Servicio de Proteccin (DSSP), del JSSP, y los suplentes de cada uno de ellos. El nombramiento de los Jefes de Seguridad (JS) y Administradores de Seguridad del Sistema de Informacin y los suplentes de estos. f) Mantener actualizada la lista de empleados con HPS. g) Informar a la Autoridad Nacional de cualquier modificacin en los datos aportados para la obtencin de la HSEM, la HSES, la HPS de sus empleados, y para el establecimiento de los rganos de Control. h) Denegar el acceso a la Informacin Clasificada a cualquier persona salvo la que est expresamente autorizada, est debidamente habilitada y tenga necesidad de conocer. i) Informar a la Autoridad Nacional de las visitas que, aun cuando no accedan a Informacin Clasificada o ZAR puedan constituir, a juicio del contratista, del
Edicin 3/Marzo 2011 Pg. NS/06 - 12

rgano de Contratacin, o de la Autoridad Nacional, una amenaza a la Informacin Clasificada. j) Informar inmediatamente a la Autoridad Nacional de cualquier incidencia que pueda derivar en comprometimiento de la Informacin Clasificada, en especial: Intentos de acceso no autorizados, actos de sabotaje, o actividades que supongan un riesgo para dicha informacin. Vulneraciones o retrasos injustificados en la transmisin de Informacin Clasificada. Modificaciones que considere realizar en la ZAR. k) Asegurarse de que al trmino de la actividad, o del contrato, o del proceso de concurso en que no haya sido adjudicatario, sea devuelta al rgano de Control correspondiente, toda la Informacin Clasificada que se encuentre en su poder. Una vez cumplimentada esta obligacin, se comunicar a la Autoridad Nacional. l) No hacer publicidad de la formalizacin del Compromiso de Seguridad ni de las HPS, HSEM o HSES, salvo ante la mesa de contratacin que lo solicite, o del organismo o ente responsable de una actividad clasificada. m) Colaborar en las investigaciones que se realicen para esclarecer posibles comprometimientos de la Informacin Clasificada en poder del contratista. El cumplimiento de estas obligaciones no exime al contratista de observar cuantos requisitos de seguridad le sean impuestos en las clusulas o instrucciones de seguridad de los contratos o programas clasificados. La vulneracin de cualquiera de las responsabilidades por parte del contratista podr suponer la cancelacin, temporal o definitiva, de la HSEM, de la HSES o el cierre temporal o definitivo de los rganos de Control establecidos 4.2. Servicio de Proteccin de la Informacin Clasificada. El Servicio de Proteccin del contratista est formado por el conjunto de personal, instalaciones, recursos materiales y procedimientos que, actuando coordinadamente, tienen como finalidad proteger la Informacin Clasificada en poder del contratista de los accesos no autorizados a la misma, y de la prdida de su integridad y disponibilidad. 4.3. Composicin del Servicio de Proteccin de la Informacin Clasificada. Formarn parte del Servicio de Proteccin de la Informacin Clasificada del Contratista, el Jefe de Seguridad del Servicio de Proteccin (JSSP) del contratista, el Suplente del Jefe de Seguridad del Servicio de Proteccin del contratista, as como el Director de Seguridad del Servicio de Proteccin (DSSP) y el Director de Seguridad del Servicio de Proteccin del Grupo (DSSG) si los hubiera. Igualmente formarn parte del Servicio de Proteccin los Jefes de Seguridad (JS) y los Administradores de Seguridad de Sistemas de Informacin y Comunicaciones (ASSI) de los rganos de Control establecidos por el contratista (Servicios Generales de Proteccin, Servicios Locales de Proteccin, Subregistros Secundarios y Puntos de Control). Todos ellos tendrn reconocida autoridad en la empresa para establecer las medidas de proteccin de la Informacin Clasificada, determinar la seleccin de personal que vaya a

Edicin 3/Marzo 2011

Pg. NS/06 - 13

ocupar puestos de trabajo con acceso a Informacin Clasificada, y debern participar activamente en la definicin e implantacin de la poltica de seguridad del contratista. Los componentes del Servicio de Proteccin debern ostentar la nacionalidad espaola, tener HPS conforme al grado de la HSEM, y una relacin contractual estable con la empresa. El contratista remitir la propuesta de las personas que considere adecuadas para formar parte del Servicio de Proteccin. En el caso en que la Autoridad Nacional descarte alguna persona propuesta, el contratista propondr nueva candidatura. Los componentes del Servicio de Proteccin recibirn de la Autoridad Nacional, o de quien dicha Autoridad Nacional determine, la instruccin necesaria para llevar a cabo sus misiones. El nombramiento de los componentes del Servicio de Proteccin est supeditado a la asistencia y superacin de los cursos de instruccin aprobados por la Autoridad Nacional. 4.4. Jefe de Seguridad del Servicio de Proteccin Corresponde al JSSP organizar, dirigir y controlar el Servicio de Proteccin as como cumplir y hacer cumplir la normativa vigente y de llevar a cabo las responsabilidades del contratista descritas en el apartado 4.1 de esta norma. Entre sus cometidos se encuentra, adems de lo sealado en la norma NS/01: a) Garantizar que todo el personal del contratista que acceda a Informacin Clasificada dispone de HPS adecuada y la oportuna necesidad de conocer, y que han sido debidamente instruidos en la proteccin de la Informacin Clasificada. b) Recabar de los rganos responsables de la Administracin las correspondientes autorizaciones de acceso a Informacin Clasificada para el personal del contratista. c) Impartir peridicamente los cursos de formacin para el manejo de Informacin Clasificada al personal del contratista con HPS. d) Gestionar las Solicitudes de Visitas con acceso a informacin o instalaciones clasificadas. e) Establecer los procedimientos necesarios para el control de las visitas a las dependencias del contratista con acceso a Informacin Clasificada. f) Organizar los transportes que impliquen el traslado de Informacin Clasificada. g) Organizar y dirigir el sistema de registro y control de la Informacin Clasificada a cargo del contratista. h) Relacionarse con los Jefes de Seguridad de otros rganos de Control as como los JSSP de otros contratistas y subcontratistas. i) Aplicar las instrucciones de seguridad de los programas clasificados y las clusulas de seguridad relativas a la proteccin de la Informacin Clasificada en las encomiendas de gestin o contratos clasificados. j) Revisar las clusulas de seguridad de los Contratos Clasificados que celebre el contratista. El suplente del JSSP asumir los cometidos y responsabilidades del JSSP en caso de ausencia. La inadecuacin o inobservancia de sus cometidos podr motivar el cese de los responsables del Servicio de Proteccin por parte de la Autoridad Nacional, previa notificacin escrita al contratista, sin perjuicio de otras responsabilidades que se pudieran

Edicin 3/Marzo 2011

Pg. NS/06 - 14

derivar. 4.5. Director de Seguridad del Servicio de Proteccin Cuando el contratista disponga de varias instalaciones con Habilitaciones de Seguridad de Establecimiento (HSES) en donde se vaya a manejar Informacin Clasificada, podr proponer el nombramiento de un DSSP, cuya misin principal ser coordinar la actuacin de los diversos rganos de Control establecidos en las instalaciones con HSES sin que ello suponga merma de las responsabilidades que a stos corresponde. El cargo de DSSP se podr compatibilizar con el de JSSP y el de JS de alguno de los rganos de Control establecidos. 4.6. Director de Seguridad del Servicio de Proteccin de un grupo empresarial Cuando el contratista forme parte de un grupo empresarial en el que exista ms de una empresa que tenga HSEM, podr proponer un Director de Seguridad del Servicio de Proteccin del Grupo (DSSG) responsable de coordinar la accin de los distintos DSSP/JSSP. Cuando el grupo empresarial est constituido en ms de una nacin, el DSSG deber tener representacin en la estructura internacional de seguridad del mismo. El DSSG remitir con periodicidad anual a la Autoridad Nacional el esquema actualizado de la estructura y poltica de seguridad del grupo empresarial.

5. REQUISITOS DE SEGURIDAD EN LA INDUSTRIA 5.1. Actividades, Contratos y Programas Clasificados Para participar en cualquier Actividad, Contrato o Programa Clasificado, el contratista deber disponer de la Habilitacin de Seguridad de Empresa (HSEM) del grado adecuado a la clasificacin de la actividad, contrato o programa. Las HSEM podrn ser de uno de los siguientes grados: SECRETO o equivalente, RESERVADO o equivalente, CONFIDENCIAL o equivalente y DIFUSIN LIMITADA o equivalente. La concesin de una HSEM implica que la Autoridad Nacional ha determinado positivamente la capacidad y fiabilidad de un contratista para generar y acceder a Informacin Clasificada hasta un determinado grado, sin que le habilite para manejar o almacenar dicha informacin en sus propias instalaciones. Aquellos contratistas que necesiten manejar, almacenar o generar Informacin Clasificada en sus instalaciones necesitarn disponer adems de Habilitacin de Seguridad del Establecimiento (HSES) del grado adecuado. La concesin de una HSES implica que el contratista ha implantado un sistema de proteccin basado en rganos de Control del tipo y grado adecuados dentro de su organizacin para salvaguardar la Informacin Clasificada de acuerdo con las exigencias establecidas en la normativa aplicable.

Edicin 3/Marzo 2011

Pg. NS/06 - 15

Un mismo contratista podr solicitar varias HSES, una para cada una de sus instalaciones en las que vaya a manejar, almacenar o generar Informacin Clasificada. En cada una de ellas, deber implantar un sistema de proteccin adecuado al grado de la Informacin Clasificada que se vaya a manejar, almacenar o generar. En ningn caso, el grado de la HSES concedido a un contratista ser de grado superior al de la HSEM del mismo. La HSES y la HSEM sern siempre concedidas, modificadas, suspendidas o retiradas por la Autoridad Nacional. Los empleados que deban acceder a Informacin Clasificada debern solicitar la Habilitacin Personal de Seguridad (HPS) del grado y tipo correspondiente a la informacin para cuyo acceso vayan a ser autorizados. El personal becario de las empresas slo podr acceder a Informacin Clasificada de grado Difusin Limitada o equivalente. 5.2. Actividades y Contratos Clasificados de grado SECRETO o equivalente Para que un contratista pueda acceder a Informacin Clasificada de SECRETO o equivalente, deber disponer de una HSEM de dicho grado. Salvo casos excepcionales, autorizados expresamente por la Autoridad Nacional, la Informacin Clasificada de SECRETO o equivalente nunca ser entregada al contratista sino que, en caso de tener que acceder necesariamente a la misma, lo har en la ZAR del rgano responsable de la actividad, programa o contrato. El personal del contratista que acceda a Informacin Clasificada de SECRETO o equivalente estar debidamente habilitado para este grado. 5.3. Actividades y Contratos Clasificados de grado DIFUSIN LIMITADA o equivalente Cuando un contratista solicite una HSEM de grado DIFUSIN LIMITADA o equivalente, deber solicitar como mnimo una HPS de grado CONFIDENCIAL o equivalente para la persona propuesta como JSSP y para las personas propuestas para JS de cada uno de los rganos de Control Establecidos.

6. HABILITACIN DE EMPRESAS 6.1. Compromiso de Seguridad El Compromiso de Seguridad representa la obligacin que asume voluntariamente el contratista ante la Administracin por el que se obliga al exacto cumplimiento de las disposiciones relativas a la proteccin de la Informacin Clasificada y en particular a las disposiciones de la presente normativa. Previa a la concesin de la HSEM el contratista, representado por la figura de su apoderado, deber firmar el Compromiso de Seguridad.

Edicin 3/Marzo 2011

Pg. NS/06 - 16

6.2. Habilitacin de Seguridad de Empresa (HSEM) 6.2.1. Tramitacin El contratista presentar la solicitud de HSEM ante el rea de Seguridad de la Informacin Clasificada en poder de las empresas del departamento ministerial del que dependa, o ante el Organismo o Ente pblico responsable de una actividad clasificada si dependiera de uno de stos, para su tramitacin a la Autoridad Nacional. Si no existiera un Servicio de Proteccin de Informacin Clasificada en el departamento ministerial correspondiente, el contratista podr presentar la solicitud directamente a la Autoridad Nacional. 6.2.2. Requisitos para la concesin de una HSEM Para que a un contratista se le conceda una HSEM debe reunir los siguientes requisitos: a) b) c) d) Tener plena capacidad de obrar. Acreditar solvencia econmica, financiera y tcnica o profesional. Ser fiable desde el punto de vista de la seguridad. Tener establecido un Servicio de Proteccin de Informacin Clasificada y los rganos de Control del grado y tipo necesarios. e) Que los propietarios, administradores, los miembros del consejo de administracin y cualquier otra persona que pueda conocer, participar o estar presente en las deliberaciones del rgano ejecutivo del contratista, estn en posesin de HPS correspondiente al grado asignado al contratista. A criterio de la Autoridad Nacional, la HPS de las personas antes mencionadas podr ser sustituida por un acta notarial de renuncia al conocimiento de Informacin Clasificada. f) Haber firmado el correspondiente Compromiso de Seguridad. 6.2.3. Documentacin necesaria para la solicitud de la HSEM El contratista solicitante de una HSEM deber presentar la siguiente documentacin: a) Documento acreditativo, suscrito por un Organismo de la Administracin relacionado con el contrato, o por un Organismo o Ente pblico responsable de una actividad clasificada, que justifique la viabilidad/necesidad de que el contratista pueda participar en una actividad o contrato que implique acceso a Informacin Clasificada. b) Solicitud de HPS de las personas elegidas por el contratista para el desempeo del cargo de JSSP y del suplente de dicho JSSP, y del JS del rgano de Control y su suplente cuando no sean los anteriores. c) Solicitud de HPS del grado y tipo que corresponda de las personas que inicialmente vayan a acceder a Informacin Clasificada. d) Solicitud de HPS de los propietarios, administradores, ya sean nicos, solidarios o mancomunados, de los miembros del consejo de administracin y de cualquier otra persona que pueda conocer, participar o estar presente en las deliberaciones del rgano ejecutivo del contratista. A criterio de la Autoridad Nacional, la solicitud de HPS podr ser sustituida por un acta notarial de renuncia al acceso a Informacin

Edicin 3/Marzo 2011

Pg. NS/06 - 17

Clasificada de las personas antes mencionadas. e) Copia del poder notarial, o fotocopia compulsada, que autorice a la persona designada por el contratista para firmar el Compromiso de Seguridad. f) Copia simple notarial, o fotocopia compulsada, de la escritura de constitucin de la sociedad, as como documentacin acreditativa de las ampliaciones o variaciones sufridas posteriormente, tanto propias como de aquellas sociedades que participen en la solicitante, o sean participadas de ella. g) Certificado de inscripcin en el Registro Mercantil, caso de no estar reflejada en las escrituras especificadas en el punto anterior. h) ltima declaracin completa del Impuesto de Sociedades, si se trata de persona jurdica. Si se trata de persona fsica, ltima declaracin del IRPF e impuesto sobre el patrimonio. i) Memoria del contratista que abarque los aspectos que expliquen su experiencia y capacidad profesional, as como las referencias que estime oportunas. j) Ficha del Contratista, segn formato del Anexo VI de esta Norma. k) Certificado de la Agencia Estatal de Administracin Tributaria correspondiente u organismo autonmico equivalente, de que se encuentra al corriente de pago de sus obligaciones tributarias, emitido como mximo tres meses antes de la presentacin de la documentacin. l) Certificado emitido por la Tesorera de la Seguridad Social de que se encuentra al corriente de sus obligaciones, emitido como mximo tres meses antes de la presentacin de la documentacin. m) En el caso de las empresas de seguridad privada los documentos reseados en el apartado 6.9.5 . n) Compromiso de Seguridad firmado por el apoderado del contratista. o) Cualquier otra que le sea solicitada por la Autoridad Nacional, por ser necesaria para determinar que cumple los requisitos para la concesin de la HSEM. La solicitud de la HSEM no implica responsabilidad de la Administracin por los gastos y perjuicios derivados de la no formalizacin del mismo. 6.2.4. Criterios de valoracin de la solvencia econmica y financiera Se entender que un contratista no satisface los criterios de estabilidad econmica cuando incurra en alguna de las siguientes circunstancias: a) Haya solicitado la declaracin de concurso, haya sido declarado insolvente en cualquier procedimiento, haya sido declarado en concurso, est sujeto a intervencin judicial o haya sido inhabilitado conforme a la Ley Concursal, sin que haya concluido el perodo de inhabilitacin fijado en la sentencia de calificacin del concurso. b) Haya dado lugar, por causa de la que hubiese sido declarado culpable, a la resolucin firme de cualquier contrato celebrado con la Administracin. c) No se halle al corriente en el cumplimiento de las obligaciones tributarias o de Seguridad Social impuestas establecidas por las disposiciones vigentes. d) Haya sido sancionado como consecuencia del correspondiente expediente administrativo en los trminos previstos en la Ley General Presupuestaria o en la Ley General Tributaria. e) Cualquier otra circunstancia que a criterio de la Autoridad Nacional suponga una inestabilidad econmica.

Edicin 3/Marzo 2011

Pg. NS/06 - 18

6.2.5. Criterios de valoracin de fiabilidad Se considera que un contratista no satisface los criterios de fiabilidad cuando incurra en alguna de las siguientes circunstancias: a) No cumpla las condiciones de seguridad requeridas en la normativa aplicable. b) Alguno de sus administradores o representantes, vigente su cargo o representacin, haya sido condenado por delitos de falsedad, contra el patrimonio y contra el orden socioeconmico, cohecho, malversacin, trfico de influencias, revelacin de secretos, uso de informacin privilegiada, delitos contra la Hacienda Pblica y la Seguridad Social, delitos contra los derechos de los trabajadores o por delitos relativos al mercado y a los consumidores. c) Se haya incurrido en falsedad al facilitar cualquier declaracin o documentacin exigible para la concesin de la HSEM o de la HSES. d) El contratista o alguno de sus administradores o representantes, vigente su cargo o representacin, mantenga relacin de cualquier naturaleza con estados, o con personas o entidades, nacionales o extranjeras, cuyas actividades puedan suponer un riesgo para la seguridad o los intereses nacionales de Espaa. e) Alguno de sus administradores, o de los miembros del consejo de administracin o del rgano ejecutivo del contratista, no renan las condiciones de elegibilidad o fiabilidad para la concesin de HPS. f) Se le haya retirado previamente una HSEM por motivos de inters y seguridad del Estado. g) Cualquier otra circunstancia que a criterio de la Autoridad Nacional suponga una vulnerabilidad. 6.3. Habilitacin de Seguridad de Establecimiento (HSES) 6.3.1. Requisitos para la concesin de la HSES Para que a un contratista se le conceda una HSES deber reunir los siguientes requisitos: a) Tener concedida una HSEM de grado igual o superior al de la HSES que se solicite. b) Existir la necesidad de que maneje, almacene o genere Informacin Clasificada en sus instalaciones. c) Disponer de tantos rganos de Control con sus correspondientes ZAR como sean necesarios, adecuados al grado de clasificacin solicitado, que debern cumplir con los requisitos establecidos en la norma relativa a Seguridad Fsica (NS/03). d) Solicitar la Autorizacin de los sistemas de informacin y comunicaciones donde se vayan a manejar Informacin Clasificada, si los tuviera. 6.3.2. Documentacin para la solicitud de la HSES Por cada HSES solicitada, el contratista solicitante deber presentar la siguiente documentacin: a) Plan de Proteccin de la/las ZAR solicitadas. b) Cualquier otra que le sea solicitada por la Autoridad Nacional, por ser necesaria

Edicin 3/Marzo 2011

Pg. NS/06 - 19

para determinar que cumple los requisitos de seguridad para manejar Informacin Clasificada en sus instalaciones. Esta documentacin acompaar a la correspondiente a la solicitud de HSEM en el caso de que se hayan solicitado ambas habilitaciones de manera simultnea. 6.4. Habilitacin Personal de Seguridad (HPS) 6.4.1. Generalidades El contratista solicitar nicamente HPS para aquellos empleados que necesiten acceder a Informacin Clasificada para el desarrollo de una Actividad o Contrato Clasificado. Para la solicitud de dichas HPS regir lo dispuesto en la norma NS/02. En este sentido, se indica lo all establecido relativo a la necesidad de que, con cada solicitud de HPS, se acompae una Propuesta de Personal. Los Certificados de Habilitacin Personal de Seguridad para personal del contratista sern emitidos con validez slo en el mbito de la empresa con HSEM para la que trabaja, por el rea de Seguridad de la Informacin Clasificada en poder de las empresas o, en su defecto, por la Oficina Nacional, como rgano de trabajo de la Autoridad Nacional. Este certificado tendr el mismo formato que el definido en la norma NS/02 para el caso general, con la nica salvedad de que ha de incluir una indicacin expresa de la empresa para la que se emite y de las actividades, contratos o programas clasificados a los que est autorizado dicha persona, detalles que se incluirn en el apartado relativo a Objeto del Certificado del modelo propuesto en la norma citada. A los efectos de la solicitud de HPS, podrn ser tambin tramitadas por el contratista las correspondientes a: a) Los asesores o consultores externos que acceden a Informacin Clasificada en la sede del contratista para realizar sus cometidos, y que no disponen de la HPS necesaria en su empresa, u organismo, de procedencia. b) El personal de servicios (limpieza, mantenimiento) que no dispone de HPS en su empresa de procedencia y que deba acceder a una ZAR configurada como rea Clase I en la sede del contratista para realizar sus cometidos. c) Personal vinculado al contratista y no contemplado en los casos anteriores, cuyo acceso a Informacin Clasificada es necesario para el desarrollo de una Actividad o Contrato Clasificado. En todos los casos anteriores, la solicitud ir acompaada de un informe del contratista sobre la empresa prestataria de servicios. La solicitud de HPS para un empleado de nacionalidad extranjera, aparte de lo establecido en la norma NS/02 sobre las condiciones de elegibilidad, deber acompaarse de una justificacin escrita, donde el contratista especifique las razones o motivos para la participacin del solicitante en la actividad, el contrato o proyecto clasificado concreto que implique el acceso a Informacin Clasificada. Deber adems presentar una autorizacin escrita del organismo propietario de la informacin, y cumplir, en su caso, con lo establecido en las instrucciones de seguridad y clusulas del contrato.

Edicin 3/Marzo 2011

Pg. NS/06 - 20

La Administracin tramitar las solicitudes de HPS de aquellas personas que tenga necesidad de contratar como asesores. 6.4.2. Autorizacin de Acceso El personal del contratista que haya de trabajar con Informacin Clasificada est sujeto a un criterio restrictivo de autorizacin de acceso. Por ello, aparte de la posesin de HPS, de la necesidad de conocer, y de haber recibido la correspondiente Instruccin de Seguridad preceptiva, requiere una autorizacin especial expresa por la que el rgano de contratacin o el Organismo o Ente Pblico responsable de una actividad clasificada le autoriza el acceso a determinada Informacin Clasificada, lo que constituye la Autorizacin de Acceso. La solicitud del contratista para el acceso por personas a una determinada materia o a un programa, actividad, proyecto o contrato clasificado, se realizar cumplimentando el formulario Autorizacin de Acceso, segn el Anexo V, que deber ser entregado al rgano de Contratacin o al Organismo o Ente Pblico responsable de una actividad clasificada cada vez que se produzca una modificacin. El rgano de Contratacin o el Organismo o Ente Publico devolver el formulario al contratista, debidamente cumplimentado con la autorizacin o denegacin de acceso. El contratista, a travs de su Jefe o Director de Seguridad del Servicio de Proteccin, es responsable de que la Informacin Clasificada sea conocida nicamente por las personas autorizadas, y deber impedir el acceso a aquellas zonas o dependencias donde se maneja Informacin Clasificada, a toda persona a quien no se haya concedido la debida Autorizacin de Acceso, con las excepciones que se han establecido anteriormente para el personal de las empresas de servicios. En el caso de programas o contratos internacionales, se proceder segn lo establecido en las instrucciones de seguridad de los mismos. 6.5. Modificacin de la HSEM y HSES 6.5.1. Elevacin del grado de la HSEM Cuando el contratista solicite la elevacin de grado de la HSEM, deber presentar al rea de Seguridad de la Informacin Clasificada en poder de las empresas del departamento ministerial del que dependa o al Organismo o Ente responsable de una actividad clasificada, para su tramitacin a la Autoridad Nacional, la siguiente documentacin: a) Documento de un rgano de la Administracin o ente pblico, responsable del contrato o actividad clasificada, justificando la conveniencia de que el contratista participe en un contrato o actividad que implique acceso a Informacin Clasificada de mayor grado al de la HSEM vigente. b) Solicitud de HPS de las personas elegidas por el contratista para el desempeo del cargo de JSSP y de su suplente, y de el/los JS de el/los rganos de Control y de sus suplente en el caso de que no fueran las mismas personas, con el nuevo grado. c) Solicitud de HPS de las personas que inicialmente vayan a acceder a Informacin Clasificada, correspondiente al nuevo grado. d) Solicitud de HPS conforme al nuevo grado de los administradores sociales y

Edicin 3/Marzo 2011

Pg. NS/06 - 21

personal directivo. A criterio de la Autoridad Nacional, la HPS de las personas antes mencionadas podr ser sustituida por un acta notarial de renuncia al conocimiento de Informacin Clasificada. e) Cualquiera otra documentacin que le fuera requerida con el fin de verificar que se satisfacen los criterios de estabilidad econmica y fiabilidad. 6.5.2. Elevacin del grado de la HSES Si el contratista tiene concedida HSES de un determinado grado y necesita elevarlo, deber presentar al rea de Seguridad de la Informacin Clasificada en poder de las empresas del departamento ministerial del que dependa o al Organismo o Ente responsable de una actividad clasificada, para su tramitacin a la Autoridad Nacional: a) Solicitud de elevacin de grado de la HSEM segn lo dispuesto en el apartado 6.5.1. b) Solicitud de acreditacin de la/las ZAR, una vez adaptadas al nuevo grado. c) Solicitud de autorizacin de los Sistemas de Informacin y Comunicaciones, una vez adaptados al nuevo grado de clasificacin, si los tuviera. d) Plan de Proteccin adecuado a las nuevas medidas y grado. 6.5.3. Reduccin del grado de la HSEM o HSES Cuando el contratista desee la reduccin de grado de la HSEM o HSES, deber solicitarlo al rea de Seguridad de la Informacin Clasificada en poder de las empresas del departamento ministerial del que dependa o al Organismo o Ente responsable de una actividad clasificada, para su tramitacin a la Autoridad Nacional. El contratista deber entregar toda la Informacin Clasificada de grado superior al nuevo solicitado que obrara en su poder al rgano de Control de la Informacin Clasificada que se la hubiera entregado. 6.5.4. Compartimentacin de la informacin Cuando el contratista necesite manejar Informacin Clasificada de distintos tipos (OTAN, UE, ESA, Nacional, Cifra, etc) deber tener en cuenta las servidumbres derivadas de la necesidad de conocer, segn lo establecido en la norma NS/04. Se podr utilizar una misma ZAR siempre que dichas servidumbres queden plasmadas en un nuevo Plan de Proteccin de la ZAR, en donde se especifique que la informacin de cada tipo deber estar compartimentada. Adems, solo se autorizar que Informacin Clasificada de distinto tipo comparta ZAR si el responsable del rgano de Control de cada una de ellas es la misma persona. La aprobacin por parte de la Autoridad Nacional de la coexistencia de diferentes tipos de Informacin Clasificada en la misma ZAR de un rgano de Control implica la aprobacin de un nuevo Plan de Proteccin y la autorizacin del rgano de Control a trabajar con los diferentes tipos de Informacin Clasificada. Cuando una ZAR deje de prestar los cometidos compartidos, deber ser comunicado al rea de Seguridad de la Informacin Clasificada en poder de las empresas del departamento ministerial del que dependa o al Organismo o Ente responsable de una actividad clasificada,

Edicin 3/Marzo 2011

Pg. NS/06 - 22

para su tramitacin a la Autoridad Nacional, quien determinar el trmite a seguir. 6.6. Vigencia La HSEM y la HSES permanecern en vigor hasta que sean canceladas por cualquiera de las partes. Los rganos de Control establecidos al amparo de la HSEM habrn de ser inspeccionados peridicamente en unos plazos no superiores a 18 meses, segn el apartado 7.5 de esta norma. La HSES ser retirada en caso de que no se realice la renovacin de los certificados de acreditacin de las ZAR, segn lo establecido en la norma NS/03. 6.7. Suspensin de la HSEM o HSES La HSEM y la HSES podrn quedar en suspenso temporalmente cuando se determine por la Autoridad Nacional que las condiciones de seguridad del contratista son inadecuadas para garantizar la proteccin de la Informacin Clasificada, o concurran circunstancias que aconsejen su revisin. Al serle comunicada la suspensin temporal, el contratista deber devolver la Informacin Clasificada al rgano de Control de Informacin Clasificada que se la hubiera entregado. Esta situacin se mantendr mientras permanezcan las circunstancias que la motivaron y durante un plazo mximo de un ao. Transcurrido el perodo mximo de suspensin sin que el contratista haya corregido las deficiencias que dieron lugar a la misma, se proceder a la retirada. La suspensin temporal de la HSEM supondr la suspensin temporal automtica de las HSES que tuviera el contratista y el cierre temporal de los rganos de Control que tuviera establecidos. 6.8. Retirada de la HSEM, HSES y HPS 6.8.1. Retirada de la HSEM La HSEM ser retirada cuando concurra alguna de las siguientes circunstancias: a) El contratista deje de cumplir alguno de los requisitos solicitados para la concesin de la HSEM. b) Renuncia escrita del contratista. c) Incumplimiento de las obligaciones adquiridas por el contratista con la firma del Compromiso de Seguridad. d) El contratista no haya optado a ningn Contrato Clasificado durante un perodo de cinco aos consecutivos. e) Haya transcurrido ms de un ao de suspensin temporal sin que el contratista haya subsanado las deficiencias encontradas. f) Lo exija el inters o la seguridad del Estado.

Edicin 3/Marzo 2011

Pg. NS/06 - 23

Si la retirada se produce en virtud de lo sealado en c) y e), el contratista no podr optar a una nueva HSEM hasta pasados tres (3) aos desde la fecha de retirada de la HSEM anterior. La retirada de la HSEM supondr la retirada automtica de todas las HSES que tuviera concedidas el contratista, el cierre de todos los rganos de Control establecidos, y la suspensin de las HPS de sus empleados. El contratista devolver la Informacin Clasificada que posea a los rganos de Control de los que la hubiera recibido, y devolver a la Autoridad emisora los certificados de HPS de sus empleados y los certificados de acreditacin de las ZAR. 6.8.2. Retirada de la HSES La HSES podr ser retirada, a peticin del contratista, cuando no necesite el manejo de Informacin Clasificada en sus instalaciones, o cuando la Autoridad Nacional estime que no se cumplen las medidas de seguridad establecidas en la norma NS/03 sobre Seguridad Fsica y proteccin de infraestructuras o cuando la Autoridad Nacional estime que no se cumplen las medidas de seguridad establecidas en la norma NS/04 sobre Seguridad de la Informacin. 6.8.3. Suspensin de la HPS El contratista solicitar al rea de Seguridad de la Informacin Clasificada en poder de las empresas del departamento ministerial del que dependa o al Organismo o Ente responsable de una actividad clasificada, la suspensin de la HPS de un empleado cuando incurra en alguna de las siguientes situaciones: a) Cause baja como personal del contratista. b) Cambie de actividad y no vaya a manejar Informacin Clasificada. El contratista deber devolver a la Autoridad emisora el certificado de HPS correspondiente, en caso de que hubiera sido emitido. 6.9. Supuestos particulares 6.9.1. Unin Temporal de Empresas Cuando una Unin Temporal de Empresas (UTE) vaya a presentar oferta a un contrato que requiera acceso a Informacin Clasificada, se precisar que alguna de las empresas participantes en la UTE tenga la correspondiente HSEM. Una vez adjudicado el contrato, todas aquellas empresas de la UTE que vayan a manejar Informacin Clasificada en sus instalaciones necesitarn disponer de la HSEM y HSES correspondientes. Todo el personal de las empresas constitutivas de la UTE que precise acceder a Informacin Clasificada deber solicitar HPS. El personal de aquellas empresas que forman la UTE que no dispongan de HSEM podr solicitar HPS a travs del JSSP de alguna otra de las empresas de la UTE que s estn en posesin de ella. En todo caso regir al principio de que slo se podr acceder a Informacin Clasificada en aquellos locales habilitados al efecto.

Edicin 3/Marzo 2011

Pg. NS/06 - 24

6.9.2. Grupo Empresarial El contratista que pertenezca a un Grupo Empresarial deber acreditar que las condiciones requeridas para la concesin de la HSEM no se ven afectadas por su pertenencia al grupo. Cuando las decisiones que se tomen en la empresa matriz puedan afectar a la seguridad de los Contratos Clasificados, el JSSP tendr obligacin de comunicarlo a la Autoridad Nacional. La falta de notificacin a la Autoridad Nacional podr ser motivo de suspensin o retirada de la HSEM. Cuando el grupo disponga de ms de una empresa con HSEM, se podr designar un Director de Seguridad del Servicio de Proteccin del Grupo (DSSG) debidamente habilitado, con el fin de que la toma de decisiones del grupo que pueda afectar a la proteccin de la Informacin Clasificada de las distintas empresas se realice teniendo en cuenta los requisitos exigidos en la presente normativa. 6.9.3. Subcontratistas El JSSP del contratista, antes de iniciar las negociaciones para suscribir subcontratos que impliquen el acceso a Informacin Clasificada, deber solicitar: a) La autorizacin expresa por escrito del rgano de contratacin competente o del Organismo o Ente responsable de una actividad clasificada. b) La certificacin de que el subcontratista con el que se pretende iniciar la negociacin dispone de las habilitaciones necesarias para acceder, almacenar o manejar la Informacin Clasificada relativa al subcontrato. En la solicitud de autorizacin comunicar los datos de identificacin del subcontratista, as como detalles sobre el mayor grado de clasificacin de la informacin que vaya a ser manejada, la naturaleza y volumen de la informacin y una explicacin de la necesidad del potencial subcontratista de recibir la informacin. En el caso de que se formalice el subcontrato, el JSSP del contratista deber remitir copia de las clusulas de seguridad relativa a la proteccin de la Informacin Clasificada a la Autoridad Nacional segn formato Comunicacin de Contrato Clasificado del Anexo IV de esta Norma. El contratista es el responsable de solicitar la autorizacin de acceso del personal del subcontratista. Ser igualmente responsabilidad del contratista informar al rea de Seguridad de la Informacin Clasificada en poder de las empresas del departamento ministerial propietario de la informacin correspondiente o al Organismo o Ente responsable de una actividad clasificada, y a la Autoridad Nacional de toda incidencia que haya podido poner en riesgo la Informacin Clasificada a la que haya accedido el subcontratista. El subcontratista se relacionar con el rea de Seguridad de la Informacin Clasificada en poder de las empresas del departamento ministerial propietario de la informacin o con el Organismo o Ente responsable de una actividad clasificada para todas las gestiones relativas a la concesin de HSEM, HSES y HPS.

Edicin 3/Marzo 2011

Pg. NS/06 - 25

El contratista, una vez obtenida la autorizacin para subcontratar, y previo a la cesin de Informacin Clasificada al subcontratista, solicitar al rgano de Control del que dependa la certificacin de que el subcontratista dispone de las habilitaciones necesarias para acceder o manejar la Informacin Clasificada relativa al subcontrato. Al trmino del contrato, el subcontratista devolver al contratista toda la Informacin Clasificada que obre en su poder relativa al Contrato Clasificado. 6.9.4. Empresas de Servicios Como norma general, las empresas de servicios y de consultora no necesitan HSEM, salvo que en ejercicio de sus funciones deban manejar Informacin Clasificada. El personal de estas empresas que, para el ejercicio de sus funciones, no precise el acceso a Informacin Clasificada, aunque deba acceder a una ZAR configurada como rea de Seguridad Clase II, no necesitar disponer de HPS pero deber estar escoltado permanentemente. Cuando el personal de estas empresas acceda a una ZAR configurada como rea de Seguridad Clase I, el rgano de Control del que dependa la ZAR tendr en cuenta que: a) Dicho personal ser siempre el mismo y su nmero reducido al mnimo posible. b) El responsable del rgano de Control del que dependa la ZAR deber tramitar las solicitudes de HPS de dicho personal, segn lo dispuesto en la norma NS/02. c) Dicho personal no podr acceder ni permanecer en la ZAR sin escolta. Las empresas de servicios que para llevar a cabo su labor deban extraer Informacin Clasificada de las instalaciones de una empresa que desarrolla Actividades o Contratos Clasificados, debern disponer de HSEM, HSES, tener establecido un rgano de Control y los empleados que accedan a la misma debern estar habilitados. 6.9.5. Empresas de Seguridad Las empresas de seguridad que presten servicios de vigilancia a ZAR de empresas o instalaciones oficiales y no necesiten manejar Informacin Clasificada en sus propias instalaciones, debern disponer de HSEM en grado CONFIDENCIAL o equivalente. El personal de empresas de seguridad que presten servicio de vigilancia en una ZAR deber tener HPS de grado igual o superior al de la ZAR a la que prestan servicio, permitindose en estos casos que se cursen solicitudes de Habilitaciones Personales de Seguridad para el personal de las empresas de seguridad de grado superior al de la HSEM. Las empresas de seguridad que prestan servicios como instaladoras de sistemas de seguridad en ZAR de empresas o instalaciones oficiales, debern disponer de HSEM en grado RESERVADO o equivalente. Para la concesin de la HSEM, adems de los documentos sealados en el apartado 6.2.3. de esta norma, los contratistas del sector de seguridad debern presentar: a) Certificado vigente de Inscripcin en el Registro General de Empresas de Seguridad del Ministerio del Interior, conforme al Artculo 7 de la Ley 23/1992 de

Edicin 3/Marzo 2011

Pg. NS/06 - 26

30 de Julio de Seguridad Privada y las modificaciones posteriores del mismo. Quedan exentas de dicho mbito las empresas ubicadas nicamente en Ceuta, Melilla o en territorios insulares. b) Certificado del Ministerio del Interior que atestige las sanciones que se hayan incoado a la empresa, conforme a la Seccin Segunda del Captulo cuarto de la Ley 23/1992 de 30 de Julio de Seguridad Privada, en los diez aos previos a la solicitud del Compromiso de Seguridad.

7. RGANOS DE CONTROL DE LA INFORMACIN CLASIFICADA DEL CONTRATISTA 7.1. Generalidades El establecimiento de los rganos de Control de la Informacin Clasificada del contratista constituye uno de los requisitos tras la concesin de la HSES, que debern seguir lo estipulado en la norma NS/01 relativo a rganos de Control. En el mbito industrial los contratistas que no vayan a almacenar Informacin Clasificada en sus dependencias abrirn, como rgano de Control elemental para la canalizacin de sus gestiones con el rgano de Control superior del que dependan, un Punto de Control del grado y tipo adecuado o un Servicio Local de Proteccin, sin capacidad de almacenar Informacin Clasificada. Cada rgano de Control est formado por el conjunto de personal, recursos materiales y procedimientos que, actuando coordinadamente, tienen como finalidad proteger la Informacin Clasificada del grado y tipo correspondiente al rgano de Control de los riesgos que pueda provocar el acceso no autorizado a la misma, o afectar a su integridad y disponibilidad. Cada rgano de Control estar a cargo de un Jefe de Seguridad (JS) siendo compatible este cargo con el de JSSP. Al contratista que no vaya a manejar Informacin Clasificada en sus instalaciones le ser de aplicacin cuanto se dispone a continuacin relativo a personal y procedimientos, aun cuando no precise disponer de ZAR. Cuando as lo aconseje la distribucin geogrfica de la empresa o la dispersin de una instalacin de la misma, el contratista podr solicitar la constitucin de varios rganos de Control. El contratista podr adems disponer de varias ZAR dependientes del mismo rgano de Control. 7.2. Personal 7.2.1. Composicin del rgano de Control Formar parte del rgano de Control, el Jefe de Seguridad, el Suplente del Jefe de Seguridad, as como el Administrador de Seguridad de Sistemas de Informacin y Comunicaciones (ASSI) si lo hubiera.

Edicin 3/Marzo 2011

Pg. NS/06 - 27

Los componentes del rgano de Control debern tener HPS conforme al grado de la HSES, y ostentar la nacionalidad espaola. El contratista remitir la propuesta de las personas que considere adecuadas para formar parte del rgano de Control. En el caso en que la Autoridad Nacional descarte alguna persona propuesta, el contratista propondr nueva candidatura. Los componentes del rgano de Control recibirn la instruccin necesaria para llevar a cabo sus misiones. El nombramiento de los componentes del rgano de Control est supeditado a la asistencia y superacin de los cursos de instruccin aprobados por la Autoridad Nacional. 7.2.2. Jefe de Seguridad El JS de un rgano de Control tendr como misiones las establecidas en la NS01 para los Jefes de rganos de Control; depender funcionalmente del JSSP de la empresa salvo que lo sea el mismo. El suplente del JS asumir los cometidos y responsabilidades del JS en caso de ausencia. La inadecuacin o inobservancia de sus cometidos podr motivar el cese de los responsables del rgano de Control por parte de la Autoridad Nacional, previa notificacin escrita al contratista, sin perjuicio de otras responsabilidades que se pudieran derivar. 7.2.3. Administrador de Seguridad del Sistema de Informacin (ASSI) Cuando un rgano de Control disponga de uno o varios sistemas autorizados para procesar Informacin Clasificada ser preceptivo que se nombre un Administrador de Seguridad de los Sistemas de Informacin (ASSI). Corresponde al ASSI dirigir y controlar la seguridad de cada Sistema de Informacin y Comunicaciones del contratista bajo su responsabilidad que maneje Informacin Clasificada, asegurndose de que estos sistemas se encuentren debidamente autorizados por la Autoridad Nacional. El ASSI deber actuar bajo la supervisin del JS del rgano de Control, salvo que lo sea l mismo. Entre sus cometidos se encuentra, adems de los sealados en la norma NS/05: a) Elaborar, organizar e implantar los requisitos y procedimientos relativos a la seguridad de cada Sistema de Informacin y Comunicaciones del contratista bajo su responsabilidad, bien para obtener la autorizacin de los Sistemas de Informacin y Comunicaciones, o teniendo concedida dicha autorizacin, para mantener su eficacia a lo largo del tiempo. b) Controlar que todo el personal con acceso a Sistemas de Informacin y Comunicaciones est debidamente autorizado. c) Investigar los incidentes que pudieran afectar al Sistema de Informacin y Comunicaciones, evaluando en su caso las prdidas de integridad, confidencialidad y disponibilidad que afectan a la Informacin Clasificada, e informando al JS de la situacin. d) Llevar a cabo un programa de formacin continua de los usuarios del Sistema de
Edicin 3/Marzo 2011 Pg. NS/06 - 28

e)

f)

g)

h)

i) j) k)

Informacin y Comunicaciones, sobre la observancia de los procedimientos de seguridad. Gestionar y proporcionar los cdigos de acceso u otras medidas de control de acceso al Sistema de Informacin y Comunicaciones, asegurndose de que son cambiados peridicamente de acuerdo con el grado de clasificacin de la informacin. Supervisar la gestin de claves de cifra utilizadas en el Sistema de Informacin y Comunicaciones, cuando estuviese en su mbito de competencia. Para ello controlar su generacin, almacenamiento, distribucin, expiracin y destruccin. Controlar tanto las modificaciones que se realicen en cualquier componente del Sistema de Informacin y Comunicaciones, asegurndose de que no se vea afectada la seguridad, como los aspectos de gestin de configuracin de dichas modificaciones. Comprobar que el mantenimiento de los Sistemas de Informacin y Comunicaciones se realiza conforme a los procedimientos operativos de seguridad establecidos. Verificar que los soportes de almacenamiento de Informacin Clasificada se custodian en ZAR debidamente acreditadas. Evaluar los registros de seguridad del Sistema de Informacin y Comunicaciones, asegurndose que son suficientes para un control eficaz. Controlar y registrar las copias peridicas de seguridad.

7.3. Infraestructura 7.3.1. Concepto Son los medios y medidas materiales de que dispone el rgano de Control para ejercer su misin de proteger la Informacin Clasificada que deba ser manejada en sus instalaciones. 7.3.2. Sistema de Proteccin Fsica 7.3.2.1. Composicin Est formado por el conjunto de instalaciones y medidas de proteccin fsica del contratista que, actuando coordinadamente, tienen como finalidad proteger la Informacin Clasificada de los riesgos que se identifiquen. 7.3.2.2. Zona de Acceso Restringido (ZAR) Cuando el contratista deba custodiar la Informacin Clasificada en sus instalaciones, deber solicitar una HSES y la apertura de un rgano de Control del grado y tipo que corresponda, e incluir en la documentacin de solicitud el Plan de Proteccin de la ZAR. Las caractersticas constructivas de la ZAR, as como las medidas de seguridad adoptadas en la misma deben estar descritas en el Plan de Proteccin y ser conformes a lo que se indica en la norma NS/03. 7.3.2.3. Operacin y mantenimiento del Sistema de Proteccin Fsica La operacin y el mantenimiento del sistema de proteccin fsica deben estar descritos

Edicin 3/Marzo 2011

Pg. NS/06 - 29

en los procedimientos correspondientes, en conformidad con la norma NS/03. El Plan de Proteccin deber detallar los procedimientos para el acceso del personal de mantenimiento y vigilancia a las ZAR, as como el grado de la HPS requerido. 7.3.3. Proteccin de los Sistemas de Informacin y Comunicaciones Para el manejo y custodia de Informacin Clasificada en un Sistema de Informacin y Comunicaciones, el contratista deber tener concedida una HSEM y una HSES del grado correspondiente, en donde se instalarn dichos sistemas. Deber solicitar adems a la Autoridad Nacional la Autorizacin del Sistema de Informacin y Comunicaciones y el nombramiento de un ASSI, segn lo dispuesto en la norma NS/05. Cuando se haga uso de un Sistema de Informacin y Comunicaciones para el almacenamiento, procesamiento o transmisin de Informacin Clasificada, obligatoriamente deber cumplir con lo establecido en la norma NS/05. 7.4. Organizacin El contratista deber elaborar un Plan de Proteccin, que deber ser aprobado por la Autoridad Nacional, de forma previa a la obtencin de la HSES. Dicho plan se ajustar a lo establecido en la norma NS/03 de Seguridad Fsica, donde se establece su objeto y constitucin. Segn indica la citada norma, el Plan de Proteccin constar de: a) Plan de Acondicionamiento. b) Plan de Seguridad. c) Plan de Emergencia. 7.5. Inspecciones al rgano de Control Las inspecciones al rgano de Control constituyen el mecanismo por el cual se controla y supervisa la infraestructura de proteccin de la Informacin Clasificada, para favorecer el cumplimiento de la presente normativa. Las inspecciones pueden ser de dos tipos: a) Ordinarias: Realizadas de forma peridica en un plazo no superior a 18 meses. b) Extraordinarias: Realizadas a iniciativa de la Autoridad Nacional con motivo de incidencias o eventos que afecten o puedan afectar a la proteccin de la Informacin Clasificada. En las inspecciones, tanto ordinarias como extraordinarias, es obligatoria la presencia del JS, o del suplente en caso de ausencia debidamente justificada del titular, as como otro personal dependiente del contratista que sea designado en la convocatoria. Se realizar un informe de inspeccin al trmino de las mismas sealando las acciones correctivas al contratista, y requirindole informe sobre los plazos en que va ejecutar las acciones. Salvo que el JS del rgano de Control y el JSSP sean la misma persona, el JS del rgano de Control remitir al JSSP a la mayor brevedad un informe sobre el cumplimiento de las acciones correctivas con los plazos previstos para llevarlas a cabo. Al trmino de cada plazo, el JSSP remitir a la Autoridad Nacional a travs del rea de Seguridad del Departamento ministerial del que depende o del Organismo o Ente responsable de la actividad

Edicin 3/Marzo 2011

Pg. NS/06 - 30

clasificada, dicho informe. La falta de cumplimiento de las acciones correctivas sealadas al contratista en el informe de inspeccin puede ser determinante para la suspensin temporal o cancelacin de la HSEM, as como las HSES y HPS correspondientes, sin perjuicio de las acciones legales que pueda llevar a cabo la Autoridad Nacional.

8. TRATAMIENTO DE LA INFORMACIN CLASIFICADA 8.1. Generalidades Como norma general la Informacin Clasificada en el mbito industrial deber manejarse segn lo dispuesto en la norma NS/04 con las excepciones y limitaciones que a continuacin se establecen. . Los programas o contratos internacionales se regirn adems por instrucciones de seguridad especficas de dicho programa o contrato. 8.2. Distribucin dentro de Espaa La distribucin de la Informacin Clasificada controlada, definida anteriormente como la de grado CONFIDENCIAL o equivalente o superior, siempre se efectuar entre rganos de Control, y nunca entre usuarios. La Informacin Clasificada con grado DIFUSIN LIMITADA o equivalente puede circular entre usuarios nicamente si stos son del mismo contratista, y siempre que los destinatarios cumplan las condiciones de acceso (tener necesidad de conocer y haber sido instruido en el manejo de la Informacin Clasificada), y las de manejo y custodia establecidas en estas normas para dicho grado, siendo responsabilidad de quien la entrega verificar que se cumplen dichas condiciones por parte del destinatario. Todos los rganos de Control de un mismo contratista podrn intercambiar entre s directamente Informacin Clasificada de grado DIFUSIN LIMITADA o equivalente, quedando prohibido dicho intercambio entre los rganos de Control de contratistas diferentes. En el mbito industrial, la Informacin Clasificada de grado CONFIDENCIAL o equivalente, podr circular directamente entre los rganos de Control de un mismo contratista, siendo preciso informar al rgano de Control de nivel superior del que depende el contratista de los movimientos producidos. La Informacin Clasificada de grado RESERVADO o equivalente siempre circular a travs del rgano de Control de nivel superior del que depende el Contratista, quien informar de ello al Registro Central o Servicio Central de Proteccin, segn corresponda, a efectos de control y registro. En el caso de que Informacin Clasificada controlada tenga un destinatario concreto, el rgano de Control al que llegue la informacin se lo comunicar al interesado, quien los examinar en las instalaciones autorizadas, no pudiendo extraer la informacin del rgano de Control.

Edicin 3/Marzo 2011

Pg. NS/06 - 31

8.3 Reproduccin, traduccin, y extractos de la informacin clasificada. Cada rgano de Control de los contratistas es responsable del registro y control de las copias, traducciones y extractos que realice, informando al rgano superior del que depende el contratista cuando sea informacin clasificada CONFIDENCIAL o equivalente o superior. Todas las copias, traducciones y extractos deben quedar perfectamente identificadas de forma unvoca y exclusiva. En el mbito empresarial queda expresamente prohibida la realizacin de copias de informacin clasificada de grado SECRETO o equivalente. Excepcionalmente, los Jefes de Seguridad de los rganos de Control de los contratistas, previa autorizacin del rgano superior del que depende cada contratista, podrn realizar para su propio personal, copias, extractos o traducciones de Informacin Clasificada de grado RESERVADO o equivalente, cuando sea necesario por motivos de trabajo, asegurndose que a cada copia, extracto o traduccin se le asigna un nmero, adicional al de referencia, y que ste es convenientemente registrado. Los Jefes de Seguridad de los rganos de Control de los contratistas tienen prohibido autorizar la realizacin de copias, extractos o traducciones de Informacin Clasificada de grado RESERVADO o equivalente a personas dependientes de sus rganos de control. Los Jefes de Seguridad de los rganos de Control en el mbito empresarial podrn autorizar la realizacin y realizar, para su propio personal, copias, extractos y traducciones de Informacin Clasificada de grado CONFIDENCIAL o equivalente cuando as sea necesario por motivos de trabajo, asegurndose que a cada copia, extracto o traduccin se le asigna un nmero de documento y que stos quedan convenientemente registrados, siendo preceptiva la comunicacin al rgano superior del que depende el contratista. En el mbito empresarial los usuarios podrn realizar copias, extractos y traducciones de Informacin Clasificada de grado DIFUSIN LIMITADA o equivalente siempre que se garantice que la copia extracto o traduccin va a ser usada por personal del mismo contratista de quien realiz la copia, extracto o traduccin, se cumpla el principio de necesidad de conocer, hayan sido instruidos en el manejo de Informacin Clasificada y se disponga de la autorizacin de acceso correspondiente. 8.4 Destruccin de la Informacin Clasificada En el mbito industrial queda expresamente prohibida la destruccin de Informacin Clasificada de grado SECRETO o equivalente que habr de ser remitida al rgano superior del que depende cada contratista. La Informacin Clasificada de grado RESERVADO o equivalente slo podr ser destruida en aquellos rganos de Control de los contratistas que hayan sido autorizados para ello por el rgano superior del que dependen. En todo caso se levantar acta de destruccin firmada por el Jefe de Seguridad del rgano de Control, el Jefe de Seguridad del Servicio de Proteccin cuando no sea el mismo, y un testigo oficial con el grado de habilitacin adecuado en vigor. El original del acta de destruccin habr de ser remitida al rgano superior del que depende el contratista.

Edicin 3/Marzo 2011

Pg. NS/06 - 32

La Informacin Clasificada de grado CONFIDENCIAL o equivalente podr ser destruida bajo la supervisin de los rganos de Control de los contratistas. Se levantar acta de destruccin firmada por el Jefe de Seguridad del rgano de Control y un testigo oficial con el grado de habilitacin adecuado en vigor. Una copia del acta de destruccin habr de ser remitida al rgano superior del que depende el contratista. La Informacin Clasificada de grado DIFUSIN LIMITADA o equivalente podr ser destruida directamente por los Jefes de Seguridad de los rganos de Control de los contratistas sin que se precise de un testigo oficial.

9. VISITAS NACIONALES E INTERNACIONALES 9.1. Generalidades Se consideran visitantes aquellas personas que, sin tener relacin de dependencia directa con el contratista, acceden fsica y circunstancialmente por temas profesionales a la Informacin Clasificada en las instalaciones del mismo. Dicho acceso requerir autorizacin previa y estar sujeto a las siguientes condiciones: a) La visita estar debidamente justificada en relacin con un contrato o programa clasificado. b) La empresa visitada deber poseer la correspondiente HSEM y/o HSES. c) El personal visitante deber tener necesidad de conocer y estar en posesin de la HPS adecuada. Es responsabilidad del JSSP o JS solicitante de la autorizacin de visita asegurarse de que la instalacin visitada est en posesin de la necesaria HSEM o HSES, mediante la tramitacin a travs de la Autoridad competente del formulario Habilitacin de empresas, organismos y/o establecimientos segn Anexo VII de la presente norma. Es responsabilidad de los JSSP o JS solicitante y receptor confirmar que existe la necesidad de que se efecte la visita. Las visitas se inscribirn en un Libro Registro de Visitas, donde se recogern las fechas de la visita, el nombre completo del visitante, n de DNI o pasaporte, nacionalidad, empresa/organismo o direccin del visitante, HPS concedida y fecha de expiracin de la misma, y nombre de la persona visitada. Este registro estar disponible durante al menos dos aos. El visitante deber presentar documento vlido identificativo, pasaporte o documento nacional de identidad, que permita al JSSP o JS de la instalacin visitada confirmar su identidad. El acceso a una ZAR Clase I, o a la Informacin Clasificada, se registrar en el Libro Registro, conforme a lo establecido en la norma NS/03. De forma puntual, y cuando as lo permitan la disposiciones de seguridad de las

Edicin 3/Marzo 2011

Pg. NS/06 - 33

organizaciones internacionales a las que Espaa pertenezca, estas visitas podrn acordarse directamente entre los JSSP o JS de las empresas involucradas. El JSSP o JS receptor podr confirmar que las visitas disponen de la adecuada HPS mediante la tramitacin, a travs de la Autoridad competente, del formulario Hoja de informacin de Habilitacin Personal de Seguridad del Anexo VIII de la presente Norma. En el Anexo I se recogen los procedimientos relativos a visitas con acceso a Informacin Clasificada.

10. TRANSPORTES NACIONALES E INTERNACIONALES Los procedimientos generales por los que se regula el transporte de la Informacin Clasificada se encuentran recogidos en la norma NS/04. La realizacin por el contratista de transporte de Informacin Clasificada se regir por las siguientes disposiciones. Los JSSP o JS remitente y destinatario de un transporte de Informacin Clasificada debern acordar y organizar los detalles del transporte de acuerdo a los requisitos marcados en la normativa y las directrices marcadas por la Autoridad competente. En el Anexo II se encuentran establecidos los procedimientos para la realizacin de transportes de Informacin Clasificada en el mbito industrial. De forma puntual, y cuando as lo permitan las disposiciones de seguridad de las organizaciones internacionales a las que Espaa pertenezca, estos transportes podrn tener condiciones menos restrictivas.

11. INFORMACIN CLASIFICADA NO NACIONAL Aunque est especficamente tratado en el resto de la normativa, por las especiales circunstancias que concurren en el acceso por contratistas a Informacin Clasificada procedente de otros pases u organizaciones internacionales, en determinadas circunstancias se hace necesario complementar lo regulado en la presente normativa por lo establecido en los diferentes Acuerdos para la Proteccin de la Informacin Clasificada suscritos por Espaa. La Informacin Clasificada no nacional se manejar segn lo dispuesto en los tratados internacionales de aplicacin, las Normas de la Autoridad Nacional y, en su caso, lo establecido en las instrucciones de seguridad del programa o contrato. En cualquier caso, debern observar los siguientes principios generales: a) No se podr entregar Informacin Clasificada a terceros, sin el consentimiento previo por escrito del originador de la misma. b) No se podr acceder a Informacin Clasificada de la otra parte sin la preceptiva autorizacin de acceso concedida por la autoridad correspondiente. c) Los incidentes de seguridad que pudieran facilitar el acceso no autorizado a Informacin Clasificada proveniente de otra nacin, u organizacin internacional en

Edicin 3/Marzo 2011

Pg. NS/06 - 34

poder del contratista, con independencia del lugar en que el incidente se haya producido, sern objeto de informe inmediato a la Autoridad Nacional. Se registrarn ante la Autoridad Nacional las Clusulas de Seguridad de los contratos clasificados que se establezcan con otros pases u organizaciones al amparo de estos acuerdos internacionales, bilaterales o multilaterales. Segn el Cdigo Penal, se considera delito de traicin al que, con el propsito de favorecer a una potencia extranjera, se procure, falsee, inutilice o revele Informacin Clasificada como SECRETA o RESERVADA, por lo que no se podr entregar Informacin Clasificada a aquellos pases con los que no exista firmado un acuerdo internacional, bilateral o multilateral de seguridad para la proteccin de la Informacin Clasificada.

!"

Edicin 3/Marzo 2011

Pg. NS/06 - 35

ANEXO I a la NS/06 Procedimiento relativo a Visitas con acceso a Informacin Clasificada en el mbito industrial 1. Visitas nacionales De manera previa, y con una antelacin mnima de cinco (5) das laborables a la llegada a la instalacin visitada, el JSSP o JS solicitante deber remitir al JSSP o JS receptor un formulario de Comunicacin de Visita segn el modelo del Apndice B del Anexo I de esta Norma, que incluya confirmacin del grado de HPS de los visitantes. 2. Visitas internacionales 2.1. Tramitacin El procedimiento estndar consiste en que el JSSP o JS solicitante, con una antelacin mnima de diez (10) das laborables a la llegada a la instalacin visitada, deber remitir al JSSP o JS receptor, a travs de sus respectivas Autoridades Nacionales, un formulario de Solicitud de Visita conforme al que figura en el Apndice A del Anexo I de esta norma, el cual incluye confirmacin del grado de HPS de los visitantes. No obstante, las Autoridades Nacionales implicadas en un contrato o programa clasificado podrn acordar un procedimiento que permita la concertacin directa de las visitas entre los JSSP o JS, mediante el formulario Comunicacin de Visita segn modelo del Apndice B del Anexo I de esta Norma.

2.2. Tipos de Visita Las visitas internaciones se catalogan en tres tipos: a) Visitas por una sola vez, de corta duracin (normalmente inferior a 30 das) y para un propsito especfico, respecto a la cual no se prev su repeticin durante el ao. b) Visitas recurrentes, que se producen de forma intermitente a una misma instalacin, por un mismo motivo y durante un perodo de tiempo especificado, sujetas a revisin y validacin anuales. c) Visitas de emergencia, que se producen a un solo efecto por motivos de urgencia, y de gran importancia, a las que no resulta aplicables el procedimiento habitual. d) Visitas extendidas por un periodo de tiempo superior a 30 das, habitualmente para asistir a cursos de formacin o a ensamblajes de sistemas o equipos complejos. 2.3. Visita de Emergencia Ocasionalmente se dan circunstancias en las que no resulta posible respetar el tiempo previo mnimo para la tramitacin de una visita. Ante esta eventualidad se puede recurrir a tramitar la visita como Visita de Emergencia. Para que una visita sea calificada como de emergencia debe estar relacionada con un programa o contrato clasificado en el que la no realizacin de la visita tenga unas consecuencias graves para el desarrollo del programa o
Edicin 3/Marzo 2011 Pg. NS/06 - 36

suponga la prdida de una oportunidad de negocio (presentacin de ofertas). Las visitas de emergencia sern aprobadas como visitas por una sola vez. Toda visita que se derive de la visita de emergencia deber ser tramitada por el procedimiento ordinario. Las visitas de emergencia debern ir acompaadas de la correspondiente justificacin, que ser evaluada por la Autoridad competente.

!"

Edicin 3/Marzo 2011

Pg. NS/06 - 37

APNDICE A Formato de Solicitud de Visita

Edicin 3/Marzo 2011

Pg. NS/06 - 38

Edicin 3/Marzo 2011

Pg. NS/06 - 39

Edicin 3/Marzo 2011

Pg. NS/06 - 40

Edicin 3/Marzo 2011

Pg. NS/06 - 41

Formato de Comunicacin de Visita (idioma ingls)

Edicin 3/Marzo 2011

Pg. NS/06 - 42

Edicin 3/Marzo 2011

Pg. NS/06 - 43

Edicin 3/Marzo 2011

Pg. NS/06 - 44

Edicin 3/Marzo 2011

Pg. NS/06 - 45

APNDICE B Formato de Comunicacin de Visita

Edicin 3/Marzo 2011

Pg. NS/06 - 46

Formato de Comunicacin de Visita (idioma ingls)

Edicin 3/Marzo 2011

Pg. NS/06 - 47

ANEXO II a la NS/06 Procedimiento relativo a Transportes de Informacin Clasificada en el mbito industrial 1. Transporte de Informacin Clasificada de grado CONFIDENCIAL o equivalente o RESERVADO o equivalente 1.1. Transporte Personal Solo se podr transmitir Informacin Clasificada entre los contratistas de un contrato o programa clasificado haciendo uso del transporte personal en el caso de necesidad urgente. Este tipo de transmisin ser supervisada por los respectivos JSSP remitente y destinatario y de acuerdo a las reglas generales establecidas en la norma NS/04. Adicionalmente se debern seguir las siguientes instrucciones: Instrucciones generales para el transporte de Informacin Clasificada como Transporte Personal Todo transporte personal de Informacin Clasificada deber ser previamente notificado por el JSSP remitente al JSSP destinatario pudiendo hacer uso del formato Comunicacin de Transporte en mano segn modelo del Apndice B del Anexo II de esta Norma. El personal designado como Correo deber ser empleado del contratista remitente o destinatario o de un organismo participante en el programa o contrato clasificado que motive el transporte. El Correo debe estar en posesin de HPS adecuada al mximo grado de la Informacin Clasificada transportada. El Correo deber llevar a lo largo del recorrido el documento Certificado de Correo de acuerdo con las instrucciones establecidas en la norma NS/04. Dicho documento se compone de las siguientes partes: Certificado de Correo.- Documento que designa a la persona que actuar como Correo y le autoriza a realizar el transporte. Este documento debe tener sello oficial y estar firmado por el JSSP remitente. Instrucciones para el Correo.- Principios bsicos de seguridad que deben ser contemplados durante el trasporte. Declaracin de Instruccin.- Reconocimiento firmado por el Correo de haber sido instruido sobre los procedimientos que rigen el transporte de Informacin Clasificada en mano y compromiso por su parte de cumplimiento de estos procedimientos. Documento de envo.- Descripcin de la Informacin Clasificada que ha sido autorizada por Jefe de Seguridad u Oficial relevante a ser transportada.

Edicin 3/Marzo 2011

Pg. NS/06 - 48

Declaracin final del transporte realizado.- Documento firmado al finalizar el transporte en el que el Correo describe los incidentes que se hayan producido o declara que no se han producido incidentes. Es responsabilidad del JSSP remitente asegurarse de que el Correo y escoltas autorizados (si los hubiere) tienen toda la documentacin necesaria para efectuar el transporte (pasaporte, visado, seguro mdico, moneda, licencias de exportacin, etc.) Antes de emitir el Certificado de Correo el JSSP remitente debe: a) Informar al Correo sobre cualquier riesgo concerniente al transporte concreto (basndose en los pases que debe cruzar si fuese el caso, debido a las especiales caractersticas de la informacin que se transporta o cualquier otra amenaza identificada). b) Instruir al Correo en lo referente a la normativa de seguridad aplicable y responsabilidades que asume.

Una vez recibidas las instrucciones y la formacin, el Correo firmar al JSSP remitente la Declaracin de Instruccin en la que manifiesta haber recibido y comprendido las instrucciones y que conoce y se compromete con las obligaciones. Una vez realizado el transporte, el Correo firmar al JSSP destinatario, Oficial relevante o persona debidamente autorizada la Declaracin final del transporte realizado y entregar ese documento junto con el Documento de envo al Destinatario como Recibo de Entrega. En el caso de que se haya producido algn incidente durante el recorrido se informar a los JSSP remitente y destinatario que a su vez lo pondrn inmediatamente en conocimiento de la Autoridad Nacional. 1.2. Transporte de Informacin Clasificada como mercanca Cuando la Informacin Clasificada a transportar sea de un tamao, peso o cualquier otra caracterstica que aconseje su transporte como mercanca, los JSSP remitente y destinatario debern elaborar conjuntamente un plan de transporte, que ser remitido para su aprobacin a la Autoridad Nacional correspondiente con una antelacin mnima de: a) Siete (7) das naturales al inicio previsto del transporte cuando se trate de un transporte nacional. b) Diez (10) das naturales al inicio previsto del transporte cuando se trate de un transporte internacional. Al mismo tiempo el JSSP remitente deber preparar dos copias de un Recibo de Transporte de Material Clasificado, segn modelo del Anexo VI de la norma NS/04. Una vez firmado por el JSSP destinatario, la primera copia ser devuelta al JSSP remitente tras la finalizacin del transporte y la segunda ser entregada al JSSP destinatario. Plan de Transporte El Plan de Transporte podr confeccionarse segn el formato Plan de Transporte del Apndice A del Anexo II de esta Norma, y al menos deber contener los siguientes datos:

Edicin 3/Marzo 2011

Pg. NS/06 - 49

a) Fecha de comienzo y final del mismo, con indicacin del horario previsto. b) Grado de clasificacin de la informacin transportada. c) Identificacin completa y exacta tanto del remitente como del destinatario de la Informacin Clasificada. d) Identificacin completa del transportista comercial, en su caso. e) Direcciones exactas de salida y llegada, con descripcin de los itinerarios previstos y alternativos, las paradas, lugares de pernocta y en su caso hora aproximada de paso por fronteras. f) Identificacin de las ZAR que se utilizarn en caso necesario para depsito de la informacin durante el itinerario. g) Medio de transporte y datos identificativos del mismo. En caso de transporte por carretera, identificacin completa de los conductores y matrculas de los vehculos. h) Descripcin del embalaje que contiene la Informacin Clasificada. i) Identificacin de los Correos y/o escoltas autorizados, con el grado de HPS concedida, organismo o contratista a la que pertenece, con descripcin de la dotacin y medio de transporte disponible. j) Medios y procedimientos de enlace del responsable del transporte con los contratistas remitente y destinatario. k) Tipo de transporte. Tipos de transporte como mercanca Transportes por una sola vez.- Son aquellos que se realizan con un propsito especfico, y no se prev su repeticin durante el ao. Transportes recurrentes.- Aquellos que se producen de forma intermitente, por un mismo motivo y durante un perodo de tiempo especificado, sujetos a revisin y validacin anual. Incluidos en estos se encuentran los llamados Planes de transporte marco que son aquellos transportes recurrentes que se negocian en el marco de un programa, proyecto o contrato clasificado concreto para traslado de mercancas con un propsito determinado como la distribucin de elementos o reparacin de piezas. Cuando un plan de transporte recurrente haya sido aprobado, cada transmisin que se realice debe ser anunciada por el JSSP remitente mediante una notificacin de transporte al JSSP destinatario Comunicacin de Transporte recurrente como la que se adjunta en el Apndice C del Anexo II de esta Norma. Esta notificacin ser remitida como copia a la Autoridad Nacional con un propsito informativo sin que se requiera aprobacin previa. Cuando un transporte est escoltado (ya sea un transporte por carretera o cualquier otro medio) el JSSP remitente deber instruir y formar al personal de la escolta y podr emitirles Certificado de Correo de acuerdo a lo expuesto en el punto anterior referente a Transporte Personal para beneficiar los eventuales pasos por frontera que se tuvieran que realizar. Medios de Transporte Transporte por carretera

Edicin 3/Marzo 2011

Pg. NS/06 - 50

El cargamento o vehculo debe estar protegido permanentemente mientras contenga Informacin Clasificada. El traslado se procurar realizar directamente de origen a destino, no obstante, si la distancia o las instrucciones de seguridad del programa o contrato aplicables al transporte lo exigen, se podrn realizar paradas intermedias, observndose las siguientes medidas: a) Durante las paradas en ruta de corta duracin, el transporte estar constantemente protegido por al menos un Correo o escolta autorizado. b) Las paradas para pernoctar, o en las que los Correos o escoltas autorizados no puedan vigilar la mercanca, debern realizarse en una ZAR u otra zona especficamente autorizada por la Autoridad Nacional. Transporte por mar o aire El transporte areo o martimo de Informacin Clasificada se har en la bodega de carga de un avin/barco perteneciente a una compaa de los pases participantes en el programa/contrato clasificado. Un Correo o escolta autorizado acompaar el cargamento hasta la bodega y permanecer hasta que sta se encuentre cerrada y lista para despegar/zarpar. En el aeropuerto o puerto de destino tambin se debe supervisar la descarga del cargamento. Empresas de transporte de Informacin Clasificada Para el transporte de Informacin Clasificada, el contratista encargado de la realizacin del mismo deber: a) Disponer de HSEM y de personal debidamente habilitado. b) Proteger permanentemente el cargamento o vehculo mientras contenga Informacin Clasificada. Este servicio podr ser prestado por personal del contratista o por personal de una empresa de seguridad privada. Regir para este personal la necesidad de HPS para el mximo grado de informacin a proteger durante el transporte, y deber disponer del correspondiente Certificado de Correo. c) Establecer las ZAR que le sean requeridas por la Autoridad Nacional, para el almacenamiento temporal de la Informacin Clasificada objeto del transporte. Salvo que deba almacenar la Informacin Clasificada en sus instalaciones, no ser necesario que disponga de HSES. Cuando el transporte se realice en territorio nacional y el contratista remitente disponga de personal que acte como Correo autorizado de la carga durante el recorrido, podr hacer uso de una empresa de transporte comercial sin HSEM, para lo cual deber asegurarse de que el personal del transportista no tenga acceso a la Informacin Clasificada objeto del transporte. El transportista se comprometer por escrito ante el contratista remitente a: a) Cumplir el plan de transporte. b) Proporcionar un vehculo de transporte con las medidas de seguridad

Edicin 3/Marzo 2011

Pg. NS/06 - 51

correspondientes a la carga. c) Poner en conocimiento del contratista remitente los datos identificativos del vehculo utilizado y de sus conductores. d) Observar durante el transporte las indicaciones del Correo autorizado. 2. Transporte de Informacin Clasificada equivalente de grado DIFUSIN LIMITADA o

Los JSSP remitente y destinatario debern acordar los detalles del transporte y sern responsables de la correcta remisin y recepcin del mismo para lo que debern acordar con detalle el medio de transmisin. La Informacin Clasificada ser transmitida de tal forma que est sometida a continua contabilidad y trazabilidad. Es necesario que la transmisin y custodia de esta Informacin Clasificada sea controlada por un sistema de recibos. Transportistas comerciales La Informacin Clasificada de grado DIFUSIN LIMITADA o equivalente podr ser transmitida haciendo uso de transportistas comerciales que no estn en posesin de HSEM, ni que su personal posea HPS. La empresa transportista comercial deber cumplir no obstante los siguientes criterios: a) Deber estar domiciliada en Espaa y tener implementada una poltica de seguridad para el manejo de material valioso. Esta poltica debe incluir un sistema de recibo, monitorizacin, control y contabilidad de la mercanca a lo largo del recorrido. b) Debe aportar al remitente un recibo de recepcin firmado de la mercanca. c) La entrega debe producirse en el plazo de tiempo requerido. d) Podr subcontratar siempre y cuando exista el compromiso de respetar los criterios arriba establecidos. La responsabilidad en todo caso permanecer en la empresa de transporte comercial contratista.

!"

Edicin 3/Marzo 2011

Pg. NS/06 - 52

APNDICE A Formato de Plan de Transporte

Edicin 3/Marzo 2011

Pg. NS/06 - 53

Edicin 3/Marzo 2011

Pg. NS/06 - 54

Edicin 3/Marzo 2011

Pg. NS/06 - 55

APNDICE B Formato de Comunicacin de Transporte en mano

Edicin 3/Marzo 2011

Pg. NS/06 - 56

APNDICE C Formato de Comunicacin de Transporte recurrente

Edicin 3/Marzo 2011

Pg. NS/06 - 57

ANEXO III a la NS/06 Formato de Compromiso de Seguridad

Edicin 3/Marzo 2011

Pg. NS/06 - 58

Edicin 3/Marzo 2011

Pg. NS/06 - 59

Edicin 3/Marzo 2011

Pg. NS/06 - 60

ANEXO IV a la NS/06 Formato de Comunicacin de Contrato Clasificado

Edicin 3/Marzo 2011

Pg. NS/06 - 61

Edicin 3/Marzo 2011

Pg. NS/06 - 62

Edicin 3/Marzo 2011

Pg. NS/06 - 63

Edicin 3/Marzo 2011

Pg. NS/06 - 64

Edicin 3/Marzo 2011

Pg. NS/06 - 65

Edicin 3/Marzo 2011

Pg. NS/06 - 66

ANEXO V a la NS/06 Formato de Autorizacin de Acceso

Edicin 3/Marzo 2011

Pg. NS/06 - 67

ANEXO VI a la NS/06 Formato de Ficha del Contratista

Edicin 3/Marzo 2011

Pg. NS/06 - 68

Edicin 3/Marzo 2011

Pg. NS/06 - 69

Edicin 3/Marzo 2011

Pg. NS/06 - 70

Edicin 3/Marzo 2011

Pg. NS/06 - 71

Edicin 3/Marzo 2011

Pg. NS/06 - 72

ANEXO VII a la NS/06 Formato de Habilitacin de empresas, organismos y/o establecimientos

Edicin 3/Marzo 2011

Pg. NS/06 - 73

ANEXO VIII a la NS/06 Formato de Hoja informacin o de trmite de Habilitacin Personal de Seguridad

Edicin 3/Marzo 2011

Pg. NS/06 - 74

ANEXO IX a la NS/06 Formato de Certificado de Acreditacin de Locales

Edicin 3/Marzo 2011

Pg. NS/06 - 75