ANEXO 1: METODOLOGA DE CLASIFICACIN DE ACTIVOS MODELO DE SEGURIDAD DE LA INFORMACIN PARA LA ESTRATEGIA DE GOBIERNO EN LNEA
Coordinacin de Operacin y Desarrollo Programa Agenda de Conectividad Estrategia de Gobierno en lnea Repblica de Colombia - Derechos Reservados
ANEXO 1: METODOLOGA DE CLASIFICACIN DE ACTIVOS MODELO DE SEGURIDAD DE LA INFORMACIN PARA LA ESTRATEGIA DE GOBIERNO EN LNEA
FORMATO PRELIMINAR AL DOCUMENTO ANEXO 1: METODOLOGA DE CLASIFICACIN DE ACTIVOS - MODELO DE SEGURIDAD DE LA INFORMACIN PARA LA ESTRATEGIA DE GOBIERNO EN LNEA 15/12/2010 Este documento presenta una metodologa de clasificacin de activos para las entidades del Estado en el marco del Programa Gobierno en lnea Metodologa, clasificacin de activos DOC Lenguaje: Castellano
Cdigo:
Ministerio de Tecnologas de la Informacin y las ComunicacionesPrograma Agenda de Conectividad Estrategia de Gobierno en lnea rea de Operacin y Apropiacin: Convenio CINTEL 108 GEL108_M odelo_Segu Versin: 1.0.0 Estado: Documento Final ridad_Infor macion
Firmas:
No disponible
Pgina 2 de 24
ANEXO 1: METODOLOGA DE CLASIFICACIN DE ACTIVOS MODELO DE SEGURIDAD DE LA INFORMACIN PARA LA ESTRATEGIA DE GOBIERNO EN LNEA
CONTROL DE CAMBIOS
VERSIN 1.0.0 FECHA 15/12/2010 No. SOLICITUD RESPONSABLE Equipo del proyecto DESCRIPCIN Cambio de formato de documento.
Pgina 3 de 24
ANEXO 1: METODOLOGA DE CLASIFICACIN DE ACTIVOS MODELO DE SEGURIDAD DE LA INFORMACIN PARA LA ESTRATEGIA DE GOBIERNO EN LNEA
TABLA DE CONTENIDO 1. NOTA DEL DOCUMENTO ............................................................................................................................... 6 2. INTRODUCCIN ............................................................................................................................................ 7 3. PROPSITO .................................................................................................................................................. 8 4. GUAS DE CLASIFICACIN .............................................................................................................................. 9 4.1. INVENTARIO DE MATERIAL CLASIFICADO........................................................................................................................... 9 4.2. OBJETIVO DE LA CLASIFICACIN ....................................................................................................................................10 4.3. CLASIFICACIONES DE SEGURIDAD ..................................................................................................................................10 4.4. IMPORTANCIA DE LA CORRECTA CLASIFICACIN ...............................................................................................................11 4.4.1. GUA PARA EL PERSONAL ..........................................................................................................................................11 4.4.2. MEDIDAS PARA DISMINUIR LA SOBRE-CLASIFICACIN ....................................................................................................12 4.4.3. OTRAS CONSIDERACIONES RELACIONADAS CON DOCUMENTOS .......................................................................................12 4.4.4. DEGRADACIN O DESCLASIFICACIN DE ACTIVOS..........................................................................................................12 5. CONTROL DE ACTIVOS CLASIFICADOS ...........................................................................................................14 5.1. CONTROLES GENERALES ..............................................................................................................................................14 5.2. PRINCIPIO DE NECESIDAD DE SABER ...........................................................................................................................14 5.3. PRINCIPIO DE NECESIDAD DE RETENCIN ....................................................................................................................15 5.4. PREPARACIN Y MANEJO DE LA INFORMACIN ...............................................................................................................16 5.4.1. PREPARACIN ........................................................................................................................................................17 5.4.2. REGISTRO ..............................................................................................................................................................18 5.4.3. CUSTODIA .............................................................................................................................................................18 5.4.4. REVISIN...............................................................................................................................................................19 5.4.5. CHEQUEOS IN SITU. .................................................................................................................................................19 5.4.6. MICROFORMAS ......................................................................................................................................................19 5.4.7. CUSTODIA DE MATERIAL CLASIFICADO ........................................................................................................................20 5.4.8. TRANSPORTE DE MATERIAL CLASIFICADO .....................................................................................................................20 5.4.9. DESTRUCCIN DE MATERIAL CLASIFICADO ...................................................................................................................21 5.4.10. ARCHIVOS NACIONALES .........................................................................................................................................22 6. BIBLIOGRAFA ..............................................................................................................................................24
Pgina 4 de 24
ANEXO 1: METODOLOGA DE CLASIFICACIN DE ACTIVOS MODELO DE SEGURIDAD DE LA INFORMACIN PARA LA ESTRATEGIA DE GOBIERNO EN LNEA
DERECHOS DE AUTOR
Todas las referencias a los documentos del Modelo de Seguridad de la Informacin con derechos reservados por parte del Ministerio de Tecnologas de la Informacin y las Comunicaciones, por medio del Programa Gobierno en lnea.
Pgina 5 de 24
ANEXO 1: METODOLOGA DE CLASIFICACIN DE ACTIVOS MODELO DE SEGURIDAD DE LA INFORMACIN PARA LA ESTRATEGIA DE GOBIERNO EN LNEA
CLASIFICACIN DE ACTIVOS - DISEO DEL MODELO DE SEGURIDAD DE LA INFORMACIN PARA LA ESTRATEGIA DE GOBIERNO EN LNEA, desarrollado por el Programa Gobierno en lnea en el 2008.
Pgina 6 de 24
ANEXO 1: METODOLOGA DE CLASIFICACIN DE ACTIVOS MODELO DE SEGURIDAD DE LA INFORMACIN PARA LA ESTRATEGIA DE GOBIERNO EN LNEA
2. INTRODUCCIN
La informacin, as como los trmites y servicios que las entidades del estado proveen a los ciudadanos se consideran un bien pblico. En ese sentido, los activos de informacin que conforman los servicios que proveen las entidades para la Estrategia de Gobierno en lnea son activos pblicos y por lo tanto, deben protegerse adecuadamente. Para asegurar que los activos de informacin reciben el nivel de proteccin adecuado, estos se deben clasificar segn la necesidad, las prioridades y el grado de proteccin esperado en el manejo de los mismos. Para el desarrollo de esta gua, se recogieron aspectos importantes de mejores prcticas y documentos de uso libre por parte del Gobierno de Nueva Zelanda, el instituto NIST y ASIS tomando como base los lineamientos recomendados en la ISO IEC 27002 para gestin de activos.
Pgina 7 de 24
ANEXO 1: METODOLOGA DE CLASIFICACIN DE ACTIVOS MODELO DE SEGURIDAD DE LA INFORMACIN PARA LA ESTRATEGIA DE GOBIERNO EN LNEA
3. PROPSITO
El propsito de este documento es ofrecer una gua de clasificacin y control de activos de informacin para las entidades que proveen servicios para la estrategia de Gobierno en Lnea.
Pgina 8 de 24
ANEXO 1: METODOLOGA DE CLASIFICACIN DE ACTIVOS MODELO DE SEGURIDAD DE LA INFORMACIN PARA LA ESTRATEGIA DE GOBIERNO EN LNEA
4. GUAS DE CLASIFICACIN
Para este documento se denomina activo de informacin todo activo que contiene informacin que posee un valor y es necesario para los servicios de Gobierno en Lnea. Se categorizan de la siguiente manera: Los contenidos que residen en el portal del Estado Colombiano y los portales de las entidades del Estado; La informacin que fluye a travs de los diferentes servicios; Los servicios de Gobierno en Lnea (servicios de interaccin con la comunidad, servicios de transacciones en lnea, servicios de transformacin en lnea, servicios de democracia en lnea); Los sistemas de informacin que apoyan los servicios; La plataforma tecnolgica que soporta los diferentes servicios y sistemas de informacin (hardware, software, comunicaciones, bases de datos, etc.); La plataforma tecnolgica de seguridad; Los procesos de operacin, soporte y aseguramiento de los servicios; Los documentos impresos; Los intangibles como son las Ideas, conversaciones, conocimiento, calificaciones, competencias y experiencia.
4.1.
Realizar un inventario del material clasificado (activos de informacin clasificados) es una parte importante del proceso de administracin de riesgos de las entidades. El nivel de proteccin requerido se determina por la importancia del material en el inventario. El inventario debera incluir toda la informacin necesaria para recuperarse de desastres incluyendo el tipo de activo, el formato, la ubicacin, la informacin de soporte, la informacin sobre licencias y el valor para la institucin. Este inventario no debera duplicar innecesariamente otros inventarios, pero se debera garantizar que el contenido est acorde. Debe existir conformidad con la ley 594 de 2000 Ley general de archivos que establece en el artculo 26: es obligacin de las entidades de la Administracin Pblica elaborar inventarios de los documentos que se produzcan en ejercicio de sus funciones, de manera que se asegure el control de los documentos en sus diferentes fases.
Pgina 9 de 24
ANEXO 1: METODOLOGA DE CLASIFICACIN DE ACTIVOS MODELO DE SEGURIDAD DE LA INFORMACIN PARA LA ESTRATEGIA DE GOBIERNO EN LNEA
La propiedad de los activos se debera acordar y documentar as como la clasificacin de la informacin para cada uno de los activos. Con base en la importancia del activo, su valor para el negocio y su clasificacin de seguridad se recomienda identificar los niveles de proteccin. Pueden existir activos que no tengan clasificacin de seguridad pero pueden tener valor en trminos del tiempo, costo o esfuerzo en reemplazarla si se pierde o se altera.
Pgina 10 de 24
ANEXO 1: METODOLOGA DE CLASIFICACIN DE ACTIVOS MODELO DE SEGURIDAD DE LA INFORMACIN PARA LA ESTRATEGIA DE GOBIERNO EN LNEA
Tabla 1: Clasificaciones de seguridad Clasificaciones de seguridad Informacin que requiere proteccin por razones de inters pblico o privacidad personal Sensitiva El compromiso de la informacin podra daar los intereses del Estado o poner en peligro la seguridad de los ciudadanos. En confianza El compromiso de la informacin podra perjudicar el mantenimiento de la ley y el orden, impedir la conducta efectiva del Gobierno o afectar adversamente la privacidad de sus ciudadanos. Pblica no clasificada El compromiso de la informacin afecta la imagen de la entidad. Informacin que requiere proteccin por razones de seguridad nacional Top Secret El compromiso de la informacin podra daar los intereses nacionales de manera grave. Secreta El compromiso de la informacin podra daar los intereses nacionales de manera seria. Confidencial El compromiso de la informacin podra daar los intereses nacionales de manera significativa. Restringida El compromiso de la informacin podra daar los intereses nacionales de manera adversa.
Pgina 11 de 24
ANEXO 1: METODOLOGA DE CLASIFICACIN DE ACTIVOS MODELO DE SEGURIDAD DE LA INFORMACIN PARA LA ESTRATEGIA DE GOBIERNO EN LNEA
Evitar en lo posible, reglas para clasificacin automtica ya que pueden resultar documentos con clasificaciones ms altas de las que realmente se necesita.
ANEXO 1: METODOLOGA DE CLASIFICACIN DE ACTIVOS MODELO DE SEGURIDAD DE LA INFORMACIN PARA LA ESTRATEGIA DE GOBIERNO EN LNEA
Concentrarse en activos ms recientes los cuales todava pueden estar vigentes Retornar el activo de informacin clasificado como Secreto o Top secret al punto de origen La degradacin (cambiar la clase a un nivel inferior) o desclasificacin autorizada formalmente por el propietario o responsable del activo. de los activos debe ser
Antes de tomar la decisin de desclasificar un activo debe evaluarse el riesgo de revelacin. Degradar la informacin que llegue a ser ampliamente conocida despus de operaciones, movimientos, conferencias, cambios normativos o visitas. eventos tales como
Revisar el material acumulado (fondos acumulados) para degradacin, o destruccin cuando no se requieran registros despus de una operacin o secuencia de eventos. Revisar si los archivos (en medio fsico y electrnico) y sus contenidos ameritan una reclasificacin cuando son sacados o regresados a su uso normal. Revisar si los documentos para rendicin de cuentas requieren una reclasificacin cuando son reunidos para revisiones peridicas. Revisar si los reportes tcnicos o cientficos requieren una reclasificacin cuando tienen un perodo de vigencia muy largo, segn las tablas de retencin documental asociadas.
Pgina 13 de 24
ANEXO 1: METODOLOGA DE CLASIFICACIN DE ACTIVOS MODELO DE SEGURIDAD DE LA INFORMACIN PARA LA ESTRATEGIA DE GOBIERNO EN LNEA
Se mantiene un control ms efectivo cuando se dispone de un sistema de gestin documental puesto que le permite a la entidad conocer: Qu material clasificado tiene Dnde debera estar o ser encontrado Quin tiene o tena acceso a l
Una entidad que confa su material o activo clasificado a otra, debera establecer un control estndar comn para asegurar que ser protegido de la misma forma.
ANEXO 1: METODOLOGA DE CLASIFICACIN DE ACTIVOS MODELO DE SEGURIDAD DE LA INFORMACIN PARA LA ESTRATEGIA DE GOBIERNO EN LNEA
Si se presentan dudas con relacin a si un receptor del activo est autorizado para acceder a una clasificacin especfica, el personal debe consultar a su jefe inmediato o al oficial de seguridad de la entidad. Los programas de educacin y de concientizacin del personal, deberan lograr que el personal adquiera plena conciencia de su responsabilidad para aplicar el principio de necesidad de conocer. Las entidades deberan mantener el nmero de receptores del material o activo clasificado en una lista de distribucin con el mnimo nmero de copias a ser distribuido. La distribucin de material clasificado como SECRETO o TOP SECRET debera tener estricto control bajo acuerdos claramente definidos. Se debera evitar el incluir informacin clasificada innecesaria en documentos de amplia distribucin. Los documentos con nivel de clasificacin alto deben ser organizados en secciones de manera que el documento completo no pueda ser distribuido a aquellos que slo les interesa una parte de l. Los documentos clasificados deberan residir en registros y bibliotecas o directorios electrnicos basados en el principio necesidad de conocer.
Pgina 15 de 24
ANEXO 1: METODOLOGA DE CLASIFICACIN DE ACTIVOS MODELO DE SEGURIDAD DE LA INFORMACIN PARA LA ESTRATEGIA DE GOBIERNO EN LNEA
El personal o las unidades de las entidades con acceso a archivos principales mantenidos en registros o registros principales originales deberan devolver las copias de repuesto. Los secretarios generales de las entidades deberan establecer un perodo mximo para conservar las copias de las actas y aconsejar a los miembros del comit la devolucin o la destruccin de las mismas cuando el perodo haya finalizado.
El sistema de control debera aplicar a los siguientes aspectos de manejo de informacin: Preparacin Marcado o etiquetado Registro y archivo Copia Revisin de custodia Chequeos in situ Microformas Destruccin
Pgina 16 de 24
ANEXO 1: METODOLOGA DE CLASIFICACIN DE ACTIVOS MODELO DE SEGURIDAD DE LA INFORMACIN PARA LA ESTRATEGIA DE GOBIERNO EN LNEA
5.4.1. Preparacin
Los documentos clasificados deben ser manejados, preparados, copiados y entregados slo al personal autorizado. Se deberan establecer acuerdos peridicos para revisiones de seguridad en la produccin y copiado. Se deberan considerar los siguientes aspectos: Establecer ambientes de produccin y copia separados para los documentos clasificados Numerar los ejemplares que son producidos o copiados Tan pronto como sea posible, eliminar los ejemplares daados segn la clasificacin para residuos. Mantener copias de respaldo en un almacenamiento seguro y eliminar los residuos clasificados tan pronto como se tenga claro que aquellos son sobrantes y ya no se necesitan. Familiarizar al personal con precauciones contra uso no autorizado de equipos de reproduccin tales como fotocopiadoras, impresoras, faxes; esto incluye reproducir slo el nmero de copias autorizado. Asegurarse de que las instrucciones para manejo, destruccin y eliminacin de material clasificado son especficas, prcticas y efectivas. Considerar y tratar como material clasificado los siguientes: cilindros, discos, cintas, cuadernos de taquigrafa, bocetos preliminares, notas o bocetos de trabajo, fotografas, negativos, plantillas, copias de papel carbn. Todos los soportes magnticos y de almacenamiento ptico de los medios utilizados para grabar material clasificado.
Se deberan imprimir o estampar clasificaciones de seguridad en la parte central superior e inferior de cada pgina de los documentos. La codificacin por colores hace ms fcil la identificacin de las clasificaciones. Los colores aceptados para las clasificaciones son: TOP SECRET: rojo SECRETA: azul CONFIDENCIAL: amarilla RESTRINGIDA, SENSITIVA O EN CONFIANZA: verde PBLICA no clasificada: negro
Pgina 17 de 24
ANEXO 1: METODOLOGA DE CLASIFICACIN DE ACTIVOS MODELO DE SEGURIDAD DE LA INFORMACIN PARA LA ESTRATEGIA DE GOBIERNO EN LNEA
Cuando las etiquetas de clasificacin son impresas en la misma letra del texto, se recomienda usar: Espaciado ms amplio Cajas o recuadros distintivos Subrayado
Se debe Imprimir la clasificacin general de libros o archivos no vinculados en forma permanente, en el centro de la parte superior e inferior de la pgina de ttulo y de las portadas anterior y posterior del libro. Se deben clasificar todas las pginas subsiguientes e inserciones tales como: mapas, fotografas o dibujos segn su contenido. El material con clasificaciones ms altas que resida en medio magntico tales como discos de almacenamiento ptico, CD-ROMs, DVDs, se debe marcar y resaltar claramente en ambas caras de los discos.
5.4.2. Registro
Para documentos con un nivel de clasificacin superior a RESTRINGIDO se debera incluir una referencia al emisor y la fecha de origen. En los documentos producidos en serie tales como actas de comit se debe incluir una numeracin secuencial para identificar fcilmente su prdida o ausencia. Los documentos con clasificacin CONFIDENCIAL y superior, deberan incluir numeracin de pginas. Los documentos con clasificacin TOP SECRET y SECRETA deberan incluir numeracin de pginas y nmero total de pginas, para facilitar el chequeo de completitud. Si estos documentos son de amplia distribucin, se debera numerar cada copia para fines de registro de la distribucin y soportar investigaciones posteriores si es necesario.
5.4.3. Custodia
Slo el personal autorizado debera entregar los archivos clasificados y devolverlos a los registros correspondientes. Si un archivo clasificado se entrega directamente a otra persona en una situacin de emergencia, quien entrega el archivo debera: Informar tan pronto como sea posible al personal autorizado y responsable de la custodia del archivo clasificado
Pgina 18 de 24
ANEXO 1: METODOLOGA DE CLASIFICACIN DE ACTIVOS MODELO DE SEGURIDAD DE LA INFORMACIN PARA LA ESTRATEGIA DE GOBIERNO EN LNEA
Informar al jefe inmediato o a un superior apropiado la razn por la cual fue necesario entregar el archivo directamente Devolver todos los archivos clasificados que no estn en uso al responsable de su custodia
5.4.4. Revisin.
Adicional al procedimiento formal de destruccin de documentos, las entidades deberan realizar ejercicios peridicos de destruccin especial, para lo cual se debera tener en cuenta: La destruccin de copias no deseadas de documentos clasificados, especialmente cuando se dispone del documento original Tener especial cuidado de no destruir los documentos originales de valor histrico como los del Archivo General de la Nacin.
5.4.6. Microformas
Los documentos clasificados pueden ser registrados en microfilms, microfichas o microformas siempre que: La informacin sea registrada por las personas autorizadas Las reproducciones estn sujetas a los mismos procedimientos de seguridad de los documentos originales Los dispositivos donde reside el material grabado se clasifican de acuerdo a la ms alta clasificacin de su contenido. Cuando los dispositivos de almacenamiento contienen documentos clasificados como TOP SECRET y otras clasificaciones inferiores, se deben tomar medidas para salvaguardar los documentos clasificados como TOP SECRET cuando las personas sin acceso a ellas estn revisando material clasificado en un nivel inferior. Los documentos clasificados que estn sujetos a un procedimiento especial de seguridad se deben grabar por separado
Pgina 19 de 24
ANEXO 1: METODOLOGA DE CLASIFICACIN DE ACTIVOS MODELO DE SEGURIDAD DE LA INFORMACIN PARA LA ESTRATEGIA DE GOBIERNO EN LNEA
Pgina 20 de 24
ANEXO 1: METODOLOGA DE CLASIFICACIN DE ACTIVOS MODELO DE SEGURIDAD DE LA INFORMACIN PARA LA ESTRATEGIA DE GOBIERNO EN LNEA
En caso de requerirse destrucciones de emergencia se deberan tener en cuenta los siguientes requerimientos: Mantener material clasificado en un nivel muy superior en medios de almacenamiento en un mnimo posible. Se debe considerar destruir el material clasificado una vez cumpla su funcin a menos que haya una necesidad especfica para su retencin. Establecer un orden de prioridades para la destruccin. Mantener dicha lista de prioridades en una ubicacin que sea conocida por el personal autorizado sin que ocasione el retardo de la emergencia. Preparar un plan que utilice todos los equipos de destruccin posible. Asegurarse de que los equipos de destruccin estn funcionando y que el personal autorizado conozca cmo opera.
Pgina 21 de 24
ANEXO 1: METODOLOGA DE CLASIFICACIN DE ACTIVOS MODELO DE SEGURIDAD DE LA INFORMACIN PARA LA ESTRATEGIA DE GOBIERNO EN LNEA
Pgina 22 de 24
ANEXO 1: METODOLOGA DE CLASIFICACIN DE ACTIVOS MODELO DE SEGURIDAD DE LA INFORMACIN PARA LA ESTRATEGIA DE GOBIERNO EN LNEA
c) Archivos de la Rama Judicial; d) Archivos de los rganos de Control; e) Archivos de los Organismos Autnomos. Se establece la obligatoriedad de la conformacin y administracin de los archivos (Captulo IV). En el captulo V se establecen los lineamientos para el programa de gestin documental. En los captulos subsiguientes se establecen los requerimientos para: acceso y consulta; salida de documentos; control y vigilancia; manejo de archivos privados; donacin, adquisicin y expropiacin; consulta y conservacin de documentos. Se establecen adems estmulos para la salvaguarda, difusin o incremento del patrimonio documental de la nacin. Se reglament la ley con el decreto nacional 4124 de 2004. Se establecieron acuerdos por parte del Archivo General de la Nacin para facilitar el cumplimiento de la citada ley. As mismo, se emiti un gua para la gestin documental en las entidades del Estado. Los requerimientos de seguridad establecidos en la presente gua no estn en contrava con lo establecido por ley, se constituyen en medidas de apoyo y complemento para asegurar el cumplimiento de la reglamentacin vigente por parte de las entidades.
Pgina 23 de 24
ANEXO 1: METODOLOGA DE CLASIFICACIN DE ACTIVOS MODELO DE SEGURIDAD DE LA INFORMACIN PARA LA ESTRATEGIA DE GOBIERNO EN LNEA
6. BIBLIOGRAFA
Computer Security Division of the National Institute of Standards and Technology, NIST 800-60 Volume 1: Guide for Mapping Types of Information and Information Systems to Security Categories. 2008 DIGIWARE, Metodologa de Gestin de Riesgos, versin 2. 2008 ASIS International, Information Asset Protection Guideline. 2007 ICONTEC, Compendio Sistema de Gestin de la Seguridad de la Informacin (SGSI). 2006. Archivo General de la Nacin, Gua de implementacin de un Programa de Gestin Documental. Ley 594 de 2000 por medio de la cual se dicta la Ley General de Archivos y se dictan otras disposiciones. Department Of The Prime Minister And Cabinet, Security In The Government Sector. New Zeeland. 2002
Pgina 24 de 24