Conocimientos relacionados con la tecnología de protección y seguridad de redes informáticas.

1. Qué principios básicos se deben seguir en la construcción y gestión de redes confidenciales u2/: b

De acuerdo con las regulaciones nacionales pertinentes, la intranet gubernamental es una red confidencial y está dedicada. al manejo de secretos de estado y redes de información internas de la oficina. El partido y el Estado conceden gran importancia a la construcción y gestión de la confidencialidad de redes confidenciales y han formulado una serie de directrices, políticas, leyes, reglamentos y normas. Según estas normas, la construcción y gestión de la confidencialidad de la red confidencial debe seguir los siguientes principios básicos: $

(1) El principio de seguridad moderada. La denominada "seguridad moderada" se refiere a la seguridad adecuada a los peligros y daños causados ​​por la fuga de información, mal uso, acceso ilegal o modificación ilegal. No existe un sistema de información (red) absolutamente seguro y cualquier medida de seguridad tiene límites. La clave es "buscar la verdad a partir de los hechos" y "según las condiciones locales" determinar el "grado" de las medidas de seguridad, es decir, decidir qué tipo de medidas de seguridad tomar en función de la gravedad del daño causado por la falta de Seguridad en el sistema de información. Las regulaciones nacionales de tecnología de seguridad establecen requisitos específicos para las medidas de seguridad que deben tomarse para los sistemas de información de alto secreto y los sistemas de información de nivel secreto. 6x)#gt

(2) Según el principio de protección del más alto nivel de seguridad. Cuando los sistemas de información confidencial manejan información de múltiples niveles de confidencialidad, se deben tomar medidas de protección de acuerdo con el nivel más alto de confidencialidad. kHo

(3) El principio de minimizar la autorización. En primer lugar, se debe minimizar la escala de construcción de sistemas de información confidencial. Las unidades y puestos que no sean necesarios para el trabajo no deben construir oficinas gubernamentales ni tener terminales de intranet; en segundo lugar, se deben minimizar los derechos de acceso a la información confidencial en los sistemas de información confidencial. El personal que no esté obligado a conocerla para trabajar no tendrá derecho de acceso a información confidencial. jie

(4) El principio de construcción simultánea y control estricto. La construcción de sistemas de información confidencial debe planificarse, implementarse y desarrollarse simultáneamente con la construcción de instalaciones de seguridad y confidencialidad. Todo el proceso (todos los enlaces) de construcción de sistemas de información confidencial debe estar sujeto a revisión, aprobación y control de confidencialidad. N

Es necesario prevenir y corregir la tendencia de "primero la construcción, después la protección, centrándose en el uso y descuidando la seguridad", y establecer y mejorar el sistema de aprobación del uso de los sistemas de información confidencial. Los sistemas de información relevantes no procesarán información secreta de estado sin la aprobación y demostración del departamento de confidencialidad. 7qR

(5) Prestar atención a los principios de gestión. La seguridad y confidencialidad de los sistemas de información confidencial depende de la tecnología en tres partes y de la gestión en siete partes. Fortalecer la gestión puede compensar las deficiencias técnicas; pero abandonar la gestión hará que la tecnología sea insegura, por muy buena que sea. Es necesario introducir y capacitar a técnicos en informática para que puedan convertirse lo antes posible en talentos compuestos que comprendan tanto la "electrónica", los asuntos gubernamentales (asuntos de partido) como la "confidencialidad" y aprovechen las amplias ventajas de los medios administrativos y técnicos para Realizar el control de la información confidencial en una supervisión efectiva en entornos de red. Al mismo tiempo, debemos realizar la combinación orgánica de personal y tecnología: mejorar el sistema y utilizar medios técnicos para garantizar su implementación. |kn Wen Nong Alumni Home - El propio hogar en línea de la gente de Wen Nong g4cB

2. ¿Cuáles son las medidas básicas para la construcción de confidencialidad de redes confidenciales? A

De acuerdo con los requisitos de las normas técnicas nacionales de confidencialidad, se deben tomar las siguientes medidas básicas para la construcción de seguridad y confidencialidad de los sistemas de información confidencial: C 8_f^

(1) Almacenamiento seguridad. Esto es para garantizar que los equipos de la sala de computadoras y los terminales del sistema de información confidencial se almacenen en un lugar seguro y confiable, de modo que sean a prueba de fuego, impermeables, a prueba de golpes, a prueba de explosiones y para evitar el robo físico y la destrucción por parte de personas externas. También es necesario evitar que los campos electromagnéticos externos afecten el sistema de información confidencial. La interferencia electromagnética de varios equipos en el sistema de información garantiza el funcionamiento normal del sistema de información confidencial. TTr.

La construcción de la sala de computación central de los sistemas de información confidencial, si las condiciones lo permiten, debe cumplir con las "Regulaciones de diseño de la sala de computación electrónica", las "Condiciones técnicas del sitio de la estación de computación" y la "Seguridad del sitio de la estación de computación" nacionales. "Requisitos" y requisitos. La construcción de salas de blindaje electromagnético para el manejo de información secreta de estado debe cumplir con los requisitos de la norma nacional de confidencialidad BMB3. La sala de ordenadores del centro de sistemas que maneja información confidencial y clasificada debe tener un sistema de control electrónico de puertas eficaz. El sistema de control de puertas de la sala de computadoras del centro de sistemas que maneja información ultrasecreta e información importante también debe usar tarjetas IC o características fisiológicas para la identificación, instalar un sistema de vigilancia por televisión y desplegar personal de seguridad para proteger el área.

$Zey3

(2) Aislamiento físico. Es decir, el sistema de información confidencial (intranet gubernamental) debe estar físicamente aislado de la extranet gubernamental e Internet. Ésta es la medida más eficaz para proteger los sistemas de información confidencial de ataques de piratas informáticos y virus en Internet. Para lograr el aislamiento físico, se deben lograr los siguientes puntos: rr=

Primero, las salas de computación de la intranet y la extranet del gobierno de una unidad deben construirse por separado y aislarse físicamente entre sí. La distancia de aislamiento debe cumplir con las disposiciones pertinentes de la norma nacional de confidencialidad BMB5. gt; Gm

En segundo lugar, el cableado de la red interna del gobierno debe utilizar cables ópticos o cables blindados si las redes interna y externa del gobierno se construyen al mismo tiempo, se puede implementar un cableado doble y el cableado; de la red externa del gobierno puede utilizar cables ordinarios o líneas de pares trenzados cuando la red establecida se va a transformar en dos redes, las redes interna y externa de asuntos gubernamentales, y el cableado único no se puede cambiar, el método de instalación de un aislamiento seguro; hub se puede utilizar para evitar que la computadora cliente se comunique con las redes interna y externa al mismo tiempo. h

En tercer lugar, el aislamiento físico del cliente se puede resolver mediante los siguientes métodos: (A) Instalar una microcomputadora con placas base duales y discos duros duales (como la computadora de seguridad Inspur Golden Shield (B)); Transformación del aislamiento físico de la microcomputadora original, es decir, agregue un disco duro y una tarjeta de aislamiento de disco duro dual (como la tarjeta de aislamiento Zhongfu (C) solo agregue una tarjeta de aislamiento de un solo disco a la computadora cliente, etc. "7

Cuarto, la transmisión de información entre las unidades y las intranets gubernamentales de las unidades se puede resolver mediante los siguientes métodos: (A) utilizando los canales confidenciales de banda ancha proporcionados por las plataformas de intranet del gobierno local; (B) utilizando un conmutador separado equipo y tender líneas separadas e instalar máquinas de cifrado de red; (C) Cuando se utilizan métodos de conmutación de circuitos orientados a la conexión (como PSTN, ISDN, ADSL, etc.), se deben adoptar medidas de autenticación y cifrado de enlaces. ser aprobado por el estado. Aprobado por la autoridad de criptografía. Qq0

(3) Autenticación de identidad Antes de que un usuario ingrese (es decir, utilice) un sistema de información confidencial, el sistema debe autenticar la identidad del usuario para determinar si. El usuario es legítimo. Su propósito es evitar que ingresen usuarios ilegales. Esta es la primera línea de defensa para el control de seguridad del sistema v6. Generalmente se utilizan tres métodos para la identificación: uno es establecer una contraseña y el otro es usar tarjetas inteligentes. y contraseñas; el tercero es utilizar medidas de autenticación sólidas, como la biometría humana, como huellas dactilares, retinas, etc. 6iFF=]

El principio de configuración de la contraseña es almacenar una "información de usuario". tabla" en el sistema de información. ", que registra información relevante de todos los usuarios que pueden usar este sistema, como los nombres de usuario y las contraseñas. Los nombres de usuario pueden hacerse públicos, y diferentes usuarios usan diferentes nombres de usuario, pero las contraseñas son secretas. un usuario quiere usar Al ingresar al sistema, debe escribir su nombre de usuario y la contraseña correspondiente. El sistema consulta la tabla de información del usuario para verificar si el nombre de usuario y la contraseña ingresados ​​por el usuario son consistentes con los de la tabla de información del usuario. son consistentes, el usuario es un usuario legal del sistema. Puede ingresar al sistema; de lo contrario, será bloqueado del sistema. 4Z-xF

De acuerdo con las regulaciones nacionales de confidencialidad, la longitud de la contraseña del sistema. para manejar información confidencial no debe tener menos de 8 caracteres y el período de reemplazo de contraseña no debe ser mayor de 30 días. Para sistemas que manejan información confidencial, la longitud de la contraseña no debe ser menor de 10 caracteres y el ciclo de reemplazo de contraseña no debe ser inferior; ser superior a 7 días para sistemas que manejan información ultrasecreta, la contraseña debe estar compuesta de letras inglesas mayúsculas y minúsculas, números y caracteres especiales, y la contraseña debe estar cifrada para su almacenamiento y Se debe garantizar la transmisión y la seguridad física del soporte de almacenamiento de contraseñas $

El uso de contraseñas para la autenticación de identidad es particularmente rentable y fácil de implementar, pero es muy incómodo de usar y administrar, y también debe garantizarse. no es adecuado para recordar YN

El método de "contraseña de tarjeta inteligente" se utiliza para la autenticación de identidad. En particular, la longitud de la contraseña es de solo 4 caracteres, lo que es conveniente para los usuarios y aumenta la dificultad de la autenticación de identidad. Seguridad y confiabilidad, alto costo. Generalmente, este método se utiliza para la identificación de sistemas de información confidenciales. 3

Se utilizan características fisiológicas humanas para la identificación, que se caracterizan por su alto costo y alta seguridad. Las regulaciones de confidencialidad requieren que la autenticación de identidad de los sistemas de información de alto secreto utilice este método de autenticación fuerte B

(4) Control de acceso.

Los usuarios legales que ingresan a sistemas de información confidencial mediante autenticación de identidad deben tener restringidos sus derechos de acceso a los recursos del sistema. La tarea del control de acceso es controlar los derechos de acceso de los usuarios legales basándose en ciertos principios para determinar qué recursos del sistema puede utilizar y de qué manera. Por ejemplo, en el sistema, para archivos con varios niveles de confidencialidad, qué usuarios pueden verlos, qué usuarios pueden modificarlos, etc. Esta es la segunda línea de defensa para el control de seguridad del sistema, que puede evitar que usuarios legítimos accedan ilegalmente a recursos más allá de su autoridad. La configuración del control de acceso debe seguir el "principio de autorización mínima", es decir, usted tiene derecho a utilizar recursos dentro del alcance que debería estar autorizado y no tiene derecho a utilizar recursos dentro del alcance no autorizado. 88d

El control de acceso se puede dividir en tres tipos de estrategias de control de acceso: control de acceso discrecional, control de acceso obligatorio y control de roles. :Rk03*

El control de acceso discrecional significa que el propietario del recurso tiene derecho a decidir qué usuarios en el sistema tienen derechos de acceso al recurso y qué derechos de acceso tienen (leer, modificar, eliminar, etc.). ). En otras palabras, los derechos de acceso a los recursos del sistema los determina el propietario del recurso. ]^`

El control de acceso obligatorio se refiere al control obligatorio de los derechos de acceso de los usuarios por parte de sistemas de información basados ​​en políticas de seguridad predeterminadas. Primero debe definir los atributos de seguridad de los usuarios y los recursos de información, respectivamente; los atributos de seguridad del usuario son "departamento al que pertenece" y "nivel de accesibilidad". El "departamento" del usuario se refiere al departamento en el que el usuario está a cargo o donde se encuentra. El "nivel accesible" del usuario se divide en tres niveles: A, B y C (se pueden determinar arbitrariamente), y los niveles son Agt; Los atributos de seguridad de los recursos de información se dividen en "departamento al que pertenecen" y "nivel de acceso". El "departamento al que pertenece la información" se refiere al departamento donde se genera la información. El "nivel de acceso" de información se puede dividir en tres niveles: A, B y C (igual que el anterior), y los niveles son Agt; Las reglas de control de acceso obligatorio son: sólo si el "nivel de visibilidad" en el atributo de seguridad del usuario es mayor o igual al "nivel de vista" en el atributo de seguridad de la información y el "departamento de pertenencia" en el atributo de seguridad del usuario incluye el " departamento perteneciente" en el atributo de seguridad de la información", el usuario puede leer la información solo cuando el "nivel de accesibilidad" en los atributos de seguridad del usuario es menor o igual al "nivel de accesibilidad" en los atributos de seguridad de la información, y el "departamento" " en los atributos de seguridad del usuario incluye el "nivel de accesibilidad" en los atributos de seguridad de la información. Los usuarios pueden reescribir esta información sólo cuando "Departamento al que pertenecen". *Dh

El control de roles significa que el sistema de información establece varios roles de acuerdo con las responsabilidades laborales reales. Diferentes usuarios pueden tener el mismo rol y disfrutar del mismo poder en el sistema. Cuando las responsabilidades laborales cambian, se pueden volver a autorizar de acuerdo con nuevos roles. El control de roles se puede utilizar tanto en el control de acceso discrecional como en el control de acceso obligatorio. PVD

De acuerdo con la normativa nacional de confidencialidad, los sistemas de información confidencial deben adoptar políticas obligatorias de control de acceso. Para los sistemas relacionados con secretos que manejan información confidencial y de nivel secreto, el acceso debe controlarse de acuerdo con las categorías de usuarios y categorías de información. Para los sistemas relacionados con secretos que manejan información de nivel ultrasecreto, el acceso debe controlarse para un solo usuario y un solo. archivo. x

(5) Cifrado del almacenamiento de datos. Cifre archivos y datos almacenados en sistemas de información confidencial y conviértalos en texto cifrado. Cuando los usuarios acceden a ellos (consultan, insertan, modifican), los datos se pueden cifrar/descifrar en tiempo real según sus necesidades. Esta es la tercera línea de defensa para el control de seguridad del sistema. En el caso de que las dos líneas de defensa de la autenticación de identidad y el control de acceso del sistema se destruyan o el usuario pase por alto la autenticación de identidad y el control de acceso e ingrese al sistema a través de otros medios, el cifrado puede proteger la confidencialidad del archivo o los datos y puede detectar los datos que se están robando. En términos sencillos, la función de la autenticación de identidad y el control de acceso del sistema es "no se puede entrar" y "no se puede quitar", mientras que la función del cifrado es "no se puede entender" incluso si se lo quitan. ~GOC;

El tipo de sistema criptográfico que se utiliza para cifrar datos es un tema muy crítico en el control criptográfico. Es necesario garantizar que el algoritmo criptográfico tenga una fuerte fortaleza criptográfica y sea beneficioso para la eficiencia operativa de. el sistema. No tendrá mucho impacto. Los criptosistemas modernos hacen público el algoritmo criptográfico y solo mantienen en secreto la clave, es decir, todos los secretos están contenidos en la clave. Por tanto, se deben tomar medidas estrictas de protección para la generación, transmisión, reposición y almacenamiento de claves.

bpr!

De acuerdo con las regulaciones nacionales de confidencialidad, el almacenamiento de datos en sistemas de información ultrasecretos debe adoptar medidas de cifrado. El algoritmo de cifrado utilizado debe estar aprobado por la autoridad nacional de criptografía. ";)l

(6) Auditoría de seguridad. La auditoría es un mecanismo utilizado por las fiscalías sociales simuladas para monitorear, registrar y controlar las actividades de los usuarios en los sistemas de información. Permite accesos y accesos que afectan la seguridad del sistema. En un intento de dejar pistas para análisis e investigación posteriores, los principales métodos de auditoría de seguridad incluyen: configuración de interruptores de auditoría, filtrado de eventos, consulta de registros de auditoría y alarmas para eventos de violación T2hiV/

El sistema de auditoría debe tener detalles. logs, registra cada actividad de cada usuario (hora de acceso, dirección, datos, programa, dispositivo, etc.), así como los errores del sistema y las modificaciones de configuración. Se debe garantizar la confidencialidad e integridad del registro de auditoría)Z6r

. De acuerdo con las regulaciones nacionales de confidencialidad, los sistemas de información confidencial por debajo del nivel de confidencialidad deben adoptar un sistema de auditoría distribuida. La información de la auditoría se almacena en varios servidores y equipos seguros y confidenciales para que los auditores del sistema la revisen. modificado o eliminado, y el ciclo de revisión no debe ser superior a 30 días. Los sistemas de información ultrasecretos deben adoptar un sistema de auditoría centralizado que pueda recopilar, organizar, analizar y compilar información de auditoría de servidores y equipos de seguridad en todos los niveles en informes de auditoría. y puede detectar y registrar eventos de infracción del sistema y diversos En caso de violaciones, se emitirán alarmas automáticas y oportunas, y los auditores del sistema revisarán periódicamente los registros durante no más de 7 días. La instalación y el uso deben cumplir con los requisitos del sistema nacional. estándar de confidencialidad BMB2. Para aquellos que no cumplen con los requisitos de BMB2, se deben tomar medidas de protección contra fugas electromagnéticas. Hay tres tipos de tecnologías de protección contra fugas electromagnéticas: sala de blindaje electromagnético, equipos de baja emisión e interferencias electromagnéticas.

De acuerdo con las regulaciones nacionales pertinentes, las salas de blindaje electromagnético deben construirse en las salas de sistemas que procesan información ultrasecreta, y las mesas de blindaje electromagnético deben instalarse en las computadoras que procesan información ultrasecreta, y las salas de blindaje electromagnético y las mesas de blindaje electromagnético deben Todos deben cumplir con los requisitos del estándar nacional de confidencialidad BMB3. De lo contrario, las computadoras que procesan información ultrasecreta deben ser equipos de baja fuga que cumplan con los estándares nacionales de seguridad pública y confidencialidad P

. Los equipos que procesan información de nivel secreto y confidencial deben. Las medidas para prevenir fugas electromagnéticas incluyen la instalación de bloqueadores electromagnéticos o el uso de equipos de bajas emisiones. Los bloqueadores utilizados deben cumplir con los requisitos de la norma nacional de confidencialidad BMB4, es decir, equipos que procesan información. por debajo del nivel confidencial (incluidos los niveles confidenciales) se debe utilizar interferencia electromagnética de nivel 1. El bloqueador electromagnético secundario se utiliza para proteger equipos que procesan información confidencial interna y equipos que procesan información confidencial con una distancia mínima de advertencia de 100 metros o más. p> 4. ¿Qué medidas básicas se deben tomar para la gestión de la confidencialidad de las redes confidenciales q-|Z)7

De acuerdo con las regulaciones nacionales pertinentes, se deben adoptar las siguientes medidas básicas para la gestión de la confidencialidad de las redes confidenciales? redes: lt;

(1) Aclarar la responsabilidad de la seguridad y la confidencialidad, e implementar la organización de gestión de la seguridad y la confidencialidad de la red. El líder debe ser consciente de la información confidencial en el sistema y la naturaleza de su procesamiento. , comprender las medidas de gestión, de personal, operativas y técnicas necesarias para proteger el sistema. U`j

Establecer una agencia de gestión de confidencialidad y seguridad de la red. La organización debe ser personalmente responsable del líder responsable, y sus miembros incluyen funcionarios de confidencialidad, administradores de sistemas, funcionarios de seguridad de sistemas, auditores de sistemas, representantes de operadores y guardias de seguridad. Sus responsabilidades específicas son formular estrategias de seguridad y confidencialidad de la red, incluidas estrategias técnicas y estrategias de gestión; formular, revisar y determinar medidas de confidencialidad, organizar la implementación de medidas de seguridad y confidencialidad y coordinar, supervisar e inspeccionar la implementación de medidas de seguridad y confidencialidad; ; organizar la implementación de medidas de seguridad y confidencialidad de la información de la red. Consultoría, publicidad y capacitación, etc. rY

Las principales tareas del líder de la organización son: autorización de modificaciones del sistema; autorización de privilegios y contraseñas; informes de violaciones, registros de auditoría y registros de alarmas, y cuando se encuentre Informar problemas importantes a los principales líderes y superiores de la unidad de manera oportuna.

p

Las principales responsabilidades del oficial de confidencialidad son establecer y mejorar el sistema de gestión de confidencialidad de la información, supervisar e inspeccionar la implementación de medidas técnicas y de gestión de confidencialidad de la red, y determinar los atributos de seguridad de los usuarios y la información del sistema. ovz]j}

Las principales responsabilidades del administrador del sistema son: responsable de la instalación y mantenimiento del sistema y del equipo, asignar y administrar las contraseñas de los usuarios, implementar medidas antivirus y garantizar el normal funcionamiento de el sistema. x

Las principales responsabilidades del responsable de seguridad del sistema son establecer los atributos de seguridad de los usuarios y la información, formatear nuevos medios, recuperar de forma segura en condiciones de emergencia, iniciar y detener el sistema, etc. 0lt;!

Las principales responsabilidades del auditor del sistema son supervisar el funcionamiento del sistema, verificar periódicamente los registros de auditoría, analizar y manejar diversos eventos de acceso ilegal a los recursos del sistema e informar al supervisor de manera oportuna. manera cuando sea necesario. OkP6u]

Las principales responsabilidades de los guardias de seguridad son ser responsables del trabajo de seguridad rutinario y no técnico, como la seguridad del sitio, la verificación de los procedimientos de acceso, la implementación de reglas y regulaciones, etc. "/4; uE

(2) Formular el plan de seguridad del sistema. Z_f; Wi

Incluye principalmente: lc: dF

Primero, formular las regulaciones del sistema. Involucrando Los sistemas de seguridad y confidencialidad para sistemas de información confidencial incluyen: regulaciones de seguridad y confidencialidad para el uso de sistemas y equipos, regulaciones de gestión para el uso de medios confidenciales, sistemas de gestión de seguridad física, sistemas de gestión de autenticación de identidad, regulaciones de establecimiento de reglas de control de acceso, claves y criptográficas. sistemas de gestión de equipos, y Las responsabilidades laborales de los administradores de sistemas, oficiales de seguridad de sistemas, auditores de sistemas, oficiales de confidencialidad y guardias de seguridad, etc. =aRY

El segundo es desarrollar planes de capacitación para nuevos empleados. debe incluir: Ética profesional, nuevas tecnologías para cada puesto en el sistema, procedimientos operativos y el sistema de gestión de seguridad y confidencialidad que se debe dominar al utilizar los sistemas de información. También se requiere capacitación periódica del personal en el trabajo para mejorar continuamente el trabajo. capacidad y nivel de todo el personal. I

El tercero es fortalecer la gestión del personal. Hay tres aspectos principales: (A) Revisión del personal para garantizar la seguridad y confiabilidad de cada usuario del sistema de información confidencial. El contenido de revisión incluye experiencia personal, relaciones sociales, estatus político e ideológico, carácter y calidad profesional, etc. (B) Determinar el cargo y alcance de responsabilidades para que cada usuario pueda utilizar el sistema de información de acuerdo con su cargo y autoridad. (C) Realizar evaluaciones periódicas sobre la ideología política, el nivel profesional y el desempeño laboral de los usuarios del sistema. Realizar evaluaciones integrales y realizar evaluaciones del personal que no sea apto para el acceso a los sistemas de información confidencial. , personal transferido, renunciado y jubilado, se deben recuperar todos los certificados, claves y tarjetas inteligentes y se deben verificar todos los manuales, documentos o documentos Devolver la lista de procedimientos Una vez que el personal relevante deje sus puestos, deberá cambiar sus contraseñas. y tarjetas inteligentes. En cuarto lugar, formular un plan de emergencia y un plan de respuesta para ayudar a los usuarios a resolver incidentes de seguridad e informar periódicamente sobre problemas relevantes a los usuarios. gv9_TR

(3) Desarrollar y revisar medidas de seguridad para las vulnerabilidades del sistema de información y las amenazas externas. . Evaluación del desempeño de seguridad y confidencialidad Dado que la seguridad de los sistemas de información cambiará con el tiempo, el sistema de información debe ser reevaluado cuando se realicen modificaciones importantes, incluso si no existen modificaciones importantes, debe evaluarse al menos cada tres años; Una vez. amp; J2

(4) El uso autorizado de los sistemas de información está relacionado con la seguridad y los intereses del país. y autorizado por escrito para su puesta en funcionamiento, si el sistema se modifica significativamente, deberá ser reautorizado por el departamento de confidencialidad al menos cada tres años;