ANEXO 1 Metodologia de Clasificacion de Activos

-
ANEXO 1: METODOLOGA DE CLASIFICACIN DE ACTIVOS MODELO DE SEGURIDAD DE LA INFORMACIN PARA LA ESTRATEGIA DE GOBIERNO EN LNEA
Coordinacin de Operacin y Desarrollo Programa Agenda de Conectividad Estrategia de Gobierno en lnea Repblica de Colombia - Derechos Reservados
Bogot, D.C., Diciembre de 2010
FORMATO PRELIMINAR AL DOCUMENTO ANEXO 1: METODOLOGA DE CLASIFICACIN DE ACTIVOS - MODELO DE SEGURIDAD DE LA INFORMACIN PARA LA ESTRATEGIA DE GOBIERNO EN LNEA 15/12/2010 Este documento presenta una metodologa de clasificacin de activos para las entidades del Estado en el marco del Programa Gobierno en lnea Metodologa, clasificacin de activos DOC Lenguaje: Castellano
Ttulo: Fecha elaboracin aaaa-mm-dd: Sumario: Palabras Claves: Formato: Dependencia:
Cdigo:
Ministerio de Tecnologas de la Informacin y las ComunicacionesPrograma Agenda de Conectividad Estrategia de Gobierno en lnea rea de Operacin y Apropiacin: Convenio CINTEL 108 GEL108_M odelo_Segu Versin: 1.0.0 Estado: Documento Final ridad_Infor macion
Categora: Autor (es): CINTEL Clara Teresa Martinez Rojas

Gerente de Proyecto CINTEL
Diana Patricia Pea Paez Revis:

Consultora de Operacin Programa Agenda de Conectividad
Firmas:
Anglica Janneth Jaramillo Pinzn

Consultora Desarrollo: Servicios Gobierno en Lnea Programa Agenda de Conectividad de
Francy Johanna Pimiento Aprob: Informacin Adicional: Ubicacin:

Coordinadora de Operacin y Desarrollo Programa Agenda de Conectividad
No disponible
Pgina 2 de 24
CONTROL DE CAMBIOS
VERSIN 1.0.0 FECHA 15/12/2010 No. SOLICITUD RESPONSABLE Equipo del proyecto DESCRIPCIN Cambio de formato de documento.
Pgina 3 de 24
TABLA DE CONTENIDO 1. NOTA DEL DOCUMENTO ............................................................................................................................... 6 2. INTRODUCCIN ............................................................................................................................................ 7 3. PROPSITO .................................................................................................................................................. 8 4. GUAS DE CLASIFICACIN .............................................................................................................................. 9 4.1. INVENTARIO DE MATERIAL CLASIFICADO........................................................................................................................... 9 4.2. OBJETIVO DE LA CLASIFICACIN ....................................................................................................................................10 4.3. CLASIFICACIONES DE SEGURIDAD ..................................................................................................................................10 4.4. IMPORTANCIA DE LA CORRECTA CLASIFICACIN ...............................................................................................................11 4.4.1. GUA PARA EL PERSONAL ..........................................................................................................................................11 4.4.2. MEDIDAS PARA DISMINUIR LA SOBRE-CLASIFICACIN ....................................................................................................12 4.4.3. OTRAS CONSIDERACIONES RELACIONADAS CON DOCUMENTOS .......................................................................................12 4.4.4. DEGRADACIN O DESCLASIFICACIN DE ACTIVOS..........................................................................................................12 5. CONTROL DE ACTIVOS CLASIFICADOS ...........................................................................................................14 5.1. CONTROLES GENERALES ..............................................................................................................................................14 5.2. PRINCIPIO DE NECESIDAD DE SABER ...........................................................................................................................14 5.3. PRINCIPIO DE NECESIDAD DE RETENCIN ....................................................................................................................15 5.4. PREPARACIN Y MANEJO DE LA INFORMACIN ...............................................................................................................16 5.4.1. PREPARACIN ........................................................................................................................................................17 5.4.2. REGISTRO ..............................................................................................................................................................18 5.4.3. CUSTODIA .............................................................................................................................................................18 5.4.4. REVISIN...............................................................................................................................................................19 5.4.5. CHEQUEOS IN SITU. .................................................................................................................................................19 5.4.6. MICROFORMAS ......................................................................................................................................................19 5.4.7. CUSTODIA DE MATERIAL CLASIFICADO ........................................................................................................................20 5.4.8. TRANSPORTE DE MATERIAL CLASIFICADO .....................................................................................................................20 5.4.9. DESTRUCCIN DE MATERIAL CLASIFICADO ...................................................................................................................21 5.4.10. ARCHIVOS NACIONALES .........................................................................................................................................22 6. BIBLIOGRAFA ..............................................................................................................................................24
Pgina 4 de 24
DERECHOS DE AUTOR
Todas las referencias a los documentos del Modelo de Seguridad de la Informacin con derechos reservados por parte del Ministerio de Tecnologas de la Informacin y las Comunicaciones, por medio del Programa Gobierno en lnea.
Pgina 5 de 24
1. NOTA DEL DOCUMENTO

Este documento ha sido tomado y adaptado del documento ENTREGABLE 3: ANEXO 1: METODOLOGA DE
CLASIFICACIN DE ACTIVOS - DISEO DEL MODELO DE SEGURIDAD DE LA INFORMACIN PARA LA ESTRATEGIA DE GOBIERNO EN LNEA, desarrollado por el Programa Gobierno en lnea en el 2008.
Pgina 6 de 24
2. INTRODUCCIN
La informacin, as como los trmites y servicios que las entidades del estado proveen a los ciudadanos se consideran un bien pblico. En ese sentido, los activos de informacin que conforman los servicios que proveen las entidades para la Estrategia de Gobierno en lnea son activos pblicos y por lo tanto, deben protegerse adecuadamente. Para asegurar que los activos de informacin reciben el nivel de proteccin adecuado, estos se deben clasificar segn la necesidad, las prioridades y el grado de proteccin esperado en el manejo de los mismos. Para el desarrollo de esta gua, se recogieron aspectos importantes de mejores prcticas y documentos de uso libre por parte del Gobierno de Nueva Zelanda, el instituto NIST y ASIS tomando como base los lineamientos recomendados en la ISO IEC 27002 para gestin de activos.
Pgina 7 de 24
3. PROPSITO
El propsito de este documento es ofrecer una gua de clasificacin y control de activos de informacin para las entidades que proveen servicios para la estrategia de Gobierno en Lnea.
Pgina 8 de 24
4. GUAS DE CLASIFICACIN
Para este documento se denomina activo de informacin todo activo que contiene informacin que posee un valor y es necesario para los servicios de Gobierno en Lnea. Se categorizan de la siguiente manera: Los contenidos que residen en el portal del Estado Colombiano y los portales de las entidades del Estado; La informacin que fluye a travs de los diferentes servicios; Los servicios de Gobierno en Lnea (servicios de interaccin con la comunidad, servicios de transacciones en lnea, servicios de transformacin en lnea, servicios de democracia en lnea); Los sistemas de informacin que apoyan los servicios; La plataforma tecnolgica que soporta los diferentes servicios y sistemas de informacin (hardware, software, comunicaciones, bases de datos, etc.); La plataforma tecnolgica de seguridad; Los procesos de operacin, soporte y aseguramiento de los servicios; Los documentos impresos; Los intangibles como son las Ideas, conversaciones, conocimiento, calificaciones, competencias y experiencia.
4.1.
Inventario de material clasificado
Realizar un inventario del material clasificado (activos de informacin clasificados) es una parte importante del proceso de administracin de riesgos de las entidades. El nivel de proteccin requerido se determina por la importancia del material en el inventario. El inventario debera incluir toda la informacin necesaria para recuperarse de desastres incluyendo el tipo de activo, el formato, la ubicacin, la informacin de soporte, la informacin sobre licencias y el valor para la institucin. Este inventario no debera duplicar innecesariamente otros inventarios, pero se debera garantizar que el contenido est acorde. Debe existir conformidad con la ley 594 de 2000 Ley general de archivos que establece en el artculo 26: es obligacin de las entidades de la Administracin Pblica elaborar inventarios de los documentos que se produzcan en ejercicio de sus funciones, de manera que se asegure el control de los documentos en sus diferentes fases.
Pgina 9 de 24
La propiedad de los activos se debera acordar y documentar as como la clasificacin de la informacin para cada uno de los activos. Con base en la importancia del activo, su valor para el negocio y su clasificacin de seguridad se recomienda identificar los niveles de proteccin. Pueden existir activos que no tengan clasificacin de seguridad pero pueden tener valor en trminos del tiempo, costo o esfuerzo en reemplazarla si se pierde o se altera.
4.2. Objetivo de la clasificacin

La clasificacin de seguridad especifica cmo las personas deben proteger los activos de informacin que manejan. El sistema de clasificacin limita el acceso a los activos mediante una serie de procedimientos y/o barreras fsicas. Los activos de informacin a proteger pueden ser: Informacin propietaria y privada cuyo compromiso no amenaza la seguridad de la nacin, pero si, la seguridad o los intereses individuales, de grupos, de entidades comerciales, de entidades del Estado y de la comunidad. Informacin de seguridad nacional cuyo compromiso puede afectar la seguridad o defensa nacional o las relaciones internacionales del Gobierno de Colombia. Informacin pblica no clasificada que puede requerir proteccin y administracin. Por ejemplo, la informacin contenida en el portal del estado colombiano y los portales de las entidades del Estado requiere ser protegida y administrada para asegurar su autenticidad.
4.3. Clasificaciones de seguridad

Las clasificaciones de los activos de informacin deben estar basadas en evaluaciones del impacto del dao o prejuicio resultante en caso de resultar comprometido el contenido especfico del activo. Para evaluar el impacto del dao de los activos, se toma como base, la Metodologa de Gestin de Riesgo para la Estrategia de Gobierno en Lnea. Las clasificaciones de seguridad se resumen en la siguiente tabla:
Pgina 10 de 24
Tabla 1: Clasificaciones de seguridad Clasificaciones de seguridad Informacin que requiere proteccin por razones de inters pblico o privacidad personal Sensitiva El compromiso de la informacin podra daar los intereses del Estado o poner en peligro la seguridad de los ciudadanos. En confianza El compromiso de la informacin podra perjudicar el mantenimiento de la ley y el orden, impedir la conducta efectiva del Gobierno o afectar adversamente la privacidad de sus ciudadanos. Pblica no clasificada El compromiso de la informacin afecta la imagen de la entidad. Informacin que requiere proteccin por razones de seguridad nacional Top Secret El compromiso de la informacin podra daar los intereses nacionales de manera grave. Secreta El compromiso de la informacin podra daar los intereses nacionales de manera seria. Confidencial El compromiso de la informacin podra daar los intereses nacionales de manera significativa. Restringida El compromiso de la informacin podra daar los intereses nacionales de manera adversa.
4.4. Importancia de la correcta clasificacin

Una inadecuada clasificacin puede volverse una situacin crtica ya que el activo puede quedar subclasificado o sobre-clasificado. Si queda clasificado en una categora inferior, puede tener consecuencias relacionadas con activos no protegidos adecuadamente. Si queda clasificado en una categora superior, puede implicar proteccin innecesaria y costosa.
4.4.1. Gua para el personal

Para prevenir la inadecuada clasificacin es necesario desarrollar una gua detallada en el uso correcto de las clasificaciones. Cada entidad debera implementar definiciones estndar con ejemplos del uso correcto o incorrecto de las clasificaciones segn su propio campo de actividad. Las definiciones deberan comunicarse al personal encargado de la clasificacin. Los programas de capacitacin en seguridad deberan enfatizar en la importancia de seleccionar la clasificacin ms apropiada. Se debe crear conciencia en el personal sobre el dao que puede causar la divulgacin no autorizada de informacin por inadecuada clasificacin.
Pgina 11 de 24
4.4.2. Medidas para disminuir la sobre-clasificacin

En la medida en que aplique, las entidades deberan: Asegurar que el personal cambie las clasificaciones cuestionadas Implementar rutinas de chequeo de las clasificaciones por parte de la administracin Definir claramente cmo la alta administracin delega la autoridad para clasificar. En documentos complejos tales como libros, reportes, memorando o minutas de reuniones, clasificar por separado cada captulo, seccin, pgina o pargrafo e insertar la clasificacin apropiada en parntesis en seguida del nmero de seccin o pargrafo.
Evitar en lo posible, reglas para clasificacin automtica ya que pueden resultar documentos con clasificaciones ms altas de las que realmente se necesita.
4.4.3. Otras consideraciones relacionadas con documentos

Los documentos o actas del Comit directivo de las entidades son responsabilidad del presidente del Comit. Cada tem de las actas y cada documento adjunto relacionado, debe clasificarse segn su contenido. El Gobierno de Colombia tiene obligaciones y responsabilidades internacionales para mantener la seguridad del material clasificado (activos clasificados) recibido de otros gobiernos y organizaciones internacionales. El material recibido debe ser clasificado a un nivel igual o mayor que el otorgado por el pas de origen. En caso de que en el material clasificado proveniente del exterior no se identifique claramente el origen, el receptor del documento debera anotar el pas de origen. Cuando se utiliza el material clasificado proveniente del exterior para crear nueva informacin, la salvaguarda debe ser igual o mayor que la aplicada por el pas que origin el documento. La informacin recibida de otra entidad en Colombia, se debe salvaguardar a un nivel igual o mayor que el aplicado por la entidad que origin el documento.
4.4.4. Degradacin o desclasificacin de activos.

Las entidades deben disear, establecer e implementar procedimientos para desclasificacin de activos. Se deberan tener en cuenta los siguientes lineamientos:
Pgina 12 de 24
Concentrarse en activos ms recientes los cuales todava pueden estar vigentes Retornar el activo de informacin clasificado como Secreto o Top secret al punto de origen La degradacin (cambiar la clase a un nivel inferior) o desclasificacin autorizada formalmente por el propietario o responsable del activo. de los activos debe ser
Antes de tomar la decisin de desclasificar un activo debe evaluarse el riesgo de revelacin. Degradar la informacin que llegue a ser ampliamente conocida despus de operaciones, movimientos, conferencias, cambios normativos o visitas. eventos tales como
Revisar el material acumulado (fondos acumulados) para degradacin, o destruccin cuando no se requieran registros despus de una operacin o secuencia de eventos. Revisar si los archivos (en medio fsico y electrnico) y sus contenidos ameritan una reclasificacin cuando son sacados o regresados a su uso normal. Revisar si los documentos para rendicin de cuentas requieren una reclasificacin cuando son reunidos para revisiones peridicas. Revisar si los reportes tcnicos o cientficos requieren una reclasificacin cuando tienen un perodo de vigencia muy largo, segn las tablas de retencin documental asociadas.
Pgina 13 de 24
5. CONTROL DE ACTIVOS CLASIFICADOS

5.1. Controles generales
Los activos clasificados deben ser controlados para: Prevenir acceso no autorizado o impropio, Asistir en investigaciones ante cualquier brecha de seguridad, Reforzar en el principio de necesidad de saber
Se mantiene un control ms efectivo cuando se dispone de un sistema de gestin documental puesto que le permite a la entidad conocer: Qu material clasificado tiene Dnde debera estar o ser encontrado Quin tiene o tena acceso a l
Una entidad que confa su material o activo clasificado a otra, debera establecer un control estndar comn para asegurar que ser protegido de la misma forma.
5.2. Principio de necesidad de saber

Quienes reciben los activos clasificados son aquellos que lo necesitan para su funcin, por lo tanto, los funcionarios/ empleados que tienen acceso a los activos de informacin clasificados: Slo es bajo el principio de necesidad de saber para completar sus labores. No se aplica porque sea conveniente para ellos conocer No es por virtud de su status, posicin o rango o nivel de acceso autorizado La adhesin a ste principio protege tanto al funcionario/empleado como al activo clasificado Este principio aplica dentro de la entidad y cuando se establecen relaciones con personas externas o terceras partes
Pgina 14 de 24
Si se presentan dudas con relacin a si un receptor del activo est autorizado para acceder a una clasificacin especfica, el personal debe consultar a su jefe inmediato o al oficial de seguridad de la entidad. Los programas de educacin y de concientizacin del personal, deberan lograr que el personal adquiera plena conciencia de su responsabilidad para aplicar el principio de necesidad de conocer. Las entidades deberan mantener el nmero de receptores del material o activo clasificado en una lista de distribucin con el mnimo nmero de copias a ser distribuido. La distribucin de material clasificado como SECRETO o TOP SECRET debera tener estricto control bajo acuerdos claramente definidos. Se debera evitar el incluir informacin clasificada innecesaria en documentos de amplia distribucin. Los documentos con nivel de clasificacin alto deben ser organizados en secciones de manera que el documento completo no pueda ser distribuido a aquellos que slo les interesa una parte de l. Los documentos clasificados deberan residir en registros y bibliotecas o directorios electrnicos basados en el principio necesidad de conocer.
5.3. Principio de necesidad de retencin

Slo se retienen los documentos clasificados mientras estn en uso, una vez finalice el perodo de retencin, deben ser regresados a quien lo origin o ser destruidos. Los requerimientos de seguridad bajo el principio de necesidad de retencin deberan incluir: Mantener al mnimo la frecuencia de eventos de prdida o revelacin de material clasificado. Revisar anualmente los eventos de prdida de material clasificado Definir cmo se devuelve o se elimina material clasificado innecesario Definir en un perodo de tiempo regular, por ejemplo, cada 6 meses, la revisin de material clasificado como TOP SECRET para identificar qu puede ser devuelto o destruido. Almacenar los documentos clasificados como TOP SECRET o SECRETOS que necesitan ser retenidos a largo plazo en flderes numerados sujetos a estndares mnimos de control y almacenamiento para su clasificacin. Con relacin a documentos o actas de Comits directivos, el personal que no tenga inters directo en aquellos o la necesidad de retener copias, debera devolverlas al originador tan pronto como sea posible.
Pgina 15 de 24
El personal o las unidades de las entidades con acceso a archivos principales mantenidos en registros o registros principales originales deberan devolver las copias de repuesto. Los secretarios generales de las entidades deberan establecer un perodo mximo para conservar las copias de las actas y aconsejar a los miembros del comit la devolucin o la destruccin de las mismas cuando el perodo haya finalizado.
5.4. Preparacin y manejo de la informacin

Para proteger la informacin clasificada, se debera implementar un sistema efectivo de control que permita a las entidades conocer: Qu material clasificado se debe mantener Qu nivel de proteccin se necesita Dnde se debe mantener Quin est autorizado para verlo o usarlo y para los niveles ms altos de clasificacin, quien ha tenido acceso o lo ha usado anteriormente.
El sistema de control debera aplicar a los siguientes aspectos de manejo de informacin: Preparacin Marcado o etiquetado Registro y archivo Copia Revisin de custodia Chequeos in situ Microformas Destruccin
Pgina 16 de 24
5.4.1. Preparacin
Los documentos clasificados deben ser manejados, preparados, copiados y entregados slo al personal autorizado. Se deberan establecer acuerdos peridicos para revisiones de seguridad en la produccin y copiado. Se deberan considerar los siguientes aspectos: Establecer ambientes de produccin y copia separados para los documentos clasificados Numerar los ejemplares que son producidos o copiados Tan pronto como sea posible, eliminar los ejemplares daados segn la clasificacin para residuos. Mantener copias de respaldo en un almacenamiento seguro y eliminar los residuos clasificados tan pronto como se tenga claro que aquellos son sobrantes y ya no se necesitan. Familiarizar al personal con precauciones contra uso no autorizado de equipos de reproduccin tales como fotocopiadoras, impresoras, faxes; esto incluye reproducir slo el nmero de copias autorizado. Asegurarse de que las instrucciones para manejo, destruccin y eliminacin de material clasificado son especficas, prcticas y efectivas. Considerar y tratar como material clasificado los siguientes: cilindros, discos, cintas, cuadernos de taquigrafa, bocetos preliminares, notas o bocetos de trabajo, fotografas, negativos, plantillas, copias de papel carbn. Todos los soportes magnticos y de almacenamiento ptico de los medios utilizados para grabar material clasificado.
Se deberan imprimir o estampar clasificaciones de seguridad en la parte central superior e inferior de cada pgina de los documentos. La codificacin por colores hace ms fcil la identificacin de las clasificaciones. Los colores aceptados para las clasificaciones son: TOP SECRET: rojo SECRETA: azul CONFIDENCIAL: amarilla RESTRINGIDA, SENSITIVA O EN CONFIANZA: verde PBLICA no clasificada: negro
Pgina 17 de 24
Cuando las etiquetas de clasificacin son impresas en la misma letra del texto, se recomienda usar: Espaciado ms amplio Cajas o recuadros distintivos Subrayado
Se debe Imprimir la clasificacin general de libros o archivos no vinculados en forma permanente, en el centro de la parte superior e inferior de la pgina de ttulo y de las portadas anterior y posterior del libro. Se deben clasificar todas las pginas subsiguientes e inserciones tales como: mapas, fotografas o dibujos segn su contenido. El material con clasificaciones ms altas que resida en medio magntico tales como discos de almacenamiento ptico, CD-ROMs, DVDs, se debe marcar y resaltar claramente en ambas caras de los discos.
5.4.2. Registro
Para documentos con un nivel de clasificacin superior a RESTRINGIDO se debera incluir una referencia al emisor y la fecha de origen. En los documentos producidos en serie tales como actas de comit se debe incluir una numeracin secuencial para identificar fcilmente su prdida o ausencia. Los documentos con clasificacin CONFIDENCIAL y superior, deberan incluir numeracin de pginas. Los documentos con clasificacin TOP SECRET y SECRETA deberan incluir numeracin de pginas y nmero total de pginas, para facilitar el chequeo de completitud. Si estos documentos son de amplia distribucin, se debera numerar cada copia para fines de registro de la distribucin y soportar investigaciones posteriores si es necesario.
5.4.3. Custodia
Slo el personal autorizado debera entregar los archivos clasificados y devolverlos a los registros correspondientes. Si un archivo clasificado se entrega directamente a otra persona en una situacin de emergencia, quien entrega el archivo debera: Informar tan pronto como sea posible al personal autorizado y responsable de la custodia del archivo clasificado
Pgina 18 de 24
Informar al jefe inmediato o a un superior apropiado la razn por la cual fue necesario entregar el archivo directamente Devolver todos los archivos clasificados que no estn en uso al responsable de su custodia
5.4.4. Revisin.
Adicional al procedimiento formal de destruccin de documentos, las entidades deberan realizar ejercicios peridicos de destruccin especial, para lo cual se debera tener en cuenta: La destruccin de copias no deseadas de documentos clasificados, especialmente cuando se dispone del documento original Tener especial cuidado de no destruir los documentos originales de valor histrico como los del Archivo General de la Nacin.
5.4.5. Chequeos in situ.

Los chequeos in situ a los documentos con nivel de clasificacin SECRETO y TOP SECRET permiten disuadir la extraccin de documentos fuera de la entidad para propsitos no autorizados. Los administradores deberan llevar a cabo revisiones sorpresa a intervalos irregulares durante el horario normal de trabajo. Se deberan revisar slo unos pocos documentos a la vez.
5.4.6. Microformas
Los documentos clasificados pueden ser registrados en microfilms, microfichas o microformas siempre que: La informacin sea registrada por las personas autorizadas Las reproducciones estn sujetas a los mismos procedimientos de seguridad de los documentos originales Los dispositivos donde reside el material grabado se clasifican de acuerdo a la ms alta clasificacin de su contenido. Cuando los dispositivos de almacenamiento contienen documentos clasificados como TOP SECRET y otras clasificaciones inferiores, se deben tomar medidas para salvaguardar los documentos clasificados como TOP SECRET cuando las personas sin acceso a ellas estn revisando material clasificado en un nivel inferior. Los documentos clasificados que estn sujetos a un procedimiento especial de seguridad se deben grabar por separado
Pgina 19 de 24
5.4.7. Custodia de Material clasificado

Los altos ejecutivos de las entidades, determinan los acuerdos de seguridad para almacenar material con las clasificaciones: EN CONFIANZA, SENSITIVO Y RESTRINGIDO. El material clasificado CONFIDENCIAL, SECRETO Y TOP SECRET debe ser almacenado en cajas de seguridad cuando no estn en uso. As mismo, este material no debera ser almacenado junto con material no clasificado. Cuando se almacena material de diferentes clasificaciones en un mismo contenedor, se debera utilizar la seguridad estndar de los tems clasificados en el nivel ms alto. Se deberan adoptar los estndares mnimos de seguridad para conservar mantener material clasificado CONFIDENCIAL o superior basados en: La seguridad del contenedor y su cerrojo El sitio de ubicacin del contenedor El uso de equipo de seguridad aprobado
5.4.8. Transporte de material clasificado

El material clasificado est en riesgo de compromiso accidental o intencional durante el transporte. Para su proteccin se debera: Utilizar medios seguros de transporte Utilizar empaques slidos Ocultar la identidad y fuente del material Utilizar un sistema de auditora para niveles superiores de clasificacin con el fin de hacer seguimiento al material y detectar cualquier intento de manipulacin. Proteger el material clasificado en trnsito: dentro y entre los sitios y establecimientos de Colombia; entre Colombia y otros pases; dentro y entre pases fuera de Colombia. Los sobres que contengan documentos clasificados para distribucin externa deben estar adecuadamente sellados.
Pgina 20 de 24
5.4.9. Destruccin de material clasificado

La clasificacin del material clasificado se debe mantener hasta que sea destruido. Los procedimientos para manejar, registrar, transmitir y destruir residuos clasificados son los mismos aplicados para el material clasificado. Se debe mantener como mnimo un registro de la destruccin de material TOP SECRET. Los registros de destruccin deberan incluir: la fecha, la firma de la persona que realiza la destruccin y la autorizacin de la destruccin. Para el caso de material TOP SECRET, la firma de un segundo testigo de la destruccin. Antes de destruir cualquier material, se debe verificar que est completo. Se debe dejar una nota de la destruccin exitosa del documento. Los registros de destruccin de material TOP SECRET deben retenerse por un largo periodo de tiempo. El tiempo debe estar acorde con la reglamentacin vigente aplicable. La destruccin de material clasificado debe realizarse bajo la estricta supervisin de un funcionario con apropiada autoridad en seguridad quien debera: Acompaar el material al sitio de destruccin Asegurarse de que la destruccin sea completa Elaborar el certificado de destruccin si es necesario Borrar todas las cintas, discos y medios de almacenamiento magntico u ptico utilizados para registrar el material clasificado previo a su destruccin. Mayores detalles con respecto a este requerimiento se pueden obtener en el documento NIST SP-800 88 Guidelines for Media Sanitizacion.
En caso de requerirse destrucciones de emergencia se deberan tener en cuenta los siguientes requerimientos: Mantener material clasificado en un nivel muy superior en medios de almacenamiento en un mnimo posible. Se debe considerar destruir el material clasificado una vez cumpla su funcin a menos que haya una necesidad especfica para su retencin. Establecer un orden de prioridades para la destruccin. Mantener dicha lista de prioridades en una ubicacin que sea conocida por el personal autorizado sin que ocasione el retardo de la emergencia. Preparar un plan que utilice todos los equipos de destruccin posible. Asegurarse de que los equipos de destruccin estn funcionando y que el personal autorizado conozca cmo opera.
Pgina 21 de 24
Considerar facilidades de destruccin alterna en el evento de fallas en el suministro de energa elctrica.
5.4.10. Archivos Nacionales

Segn la Ley 594 del 2000 se establecen las reglas y principios que regulan la funcin archivstica del estado. Se establece el Sistema Nacional de Archivos y sus rganos asesores, coordinadores y ejecutores. Se clasifican los archivos desde el punto de vista de su jurisdiccin y competencia en: a) Archivo General de la Nacin; b) Archivo General del Departamento; c) Archivo General del Municipio; d) Archivo General del Distrito. Los archivos desde el punto de vista territorial se clasifican en: a) Archivos de entidades del orden nacional; b) Archivos de entidades del orden departamental; c) Archivos de entidades del orden distrital; d) Archivos de entidades del orden metropolitano; e) Archivos de entidades del orden municipal; f) Archivos de entidades del orden local; g) Archivos de las nuevas entidades territoriales que se creen por ley; h) Archivos de los territorios indgenas, que se crearn cuando la ley los desarrolle. Los archivos se clasifican segn la organizacin del estado en: a) Archivos de la Rama Ejecutiva; b) Archivos de la Rama Legislativa;
Pgina 22 de 24
c) Archivos de la Rama Judicial; d) Archivos de los rganos de Control; e) Archivos de los Organismos Autnomos. Se establece la obligatoriedad de la conformacin y administracin de los archivos (Captulo IV). En el captulo V se establecen los lineamientos para el programa de gestin documental. En los captulos subsiguientes se establecen los requerimientos para: acceso y consulta; salida de documentos; control y vigilancia; manejo de archivos privados; donacin, adquisicin y expropiacin; consulta y conservacin de documentos. Se establecen adems estmulos para la salvaguarda, difusin o incremento del patrimonio documental de la nacin. Se reglament la ley con el decreto nacional 4124 de 2004. Se establecieron acuerdos por parte del Archivo General de la Nacin para facilitar el cumplimiento de la citada ley. As mismo, se emiti un gua para la gestin documental en las entidades del Estado. Los requerimientos de seguridad establecidos en la presente gua no estn en contrava con lo establecido por ley, se constituyen en medidas de apoyo y complemento para asegurar el cumplimiento de la reglamentacin vigente por parte de las entidades.
Pgina 23 de 24
6. BIBLIOGRAFA
Computer Security Division of the National Institute of Standards and Technology, NIST 800-60 Volume 1: Guide for Mapping Types of Information and Information Systems to Security Categories. 2008 DIGIWARE, Metodologa de Gestin de Riesgos, versin 2. 2008 ASIS International, Information Asset Protection Guideline. 2007 ICONTEC, Compendio Sistema de Gestin de la Seguridad de la Informacin (SGSI). 2006. Archivo General de la Nacin, Gua de implementacin de un Programa de Gestin Documental. Ley 594 de 2000 por medio de la cual se dicta la Ley General de Archivos y se dictan otras disposiciones. Department Of The Prime Minister And Cabinet, Security In The Government Sector. New Zeeland. 2002
Pgina 24 de 24

ANEXO 1 Metodologia de Clasificacion de Activos

Diunggah oleh

Informasi Dokumen

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

ANEXO 1 Metodologia de Clasificacion de Activos

Diunggah oleh

Hak Cipta:

Format Tersedia

-

Bogot, D.C., Diciembre de 2010

Ttulo: Fecha elaboracin aaaa-mm-dd: Sumario: Palabras Claves: Formato: Dependencia:

Categora: Autor (es): CINTEL Clara Teresa Martinez Rojas

Diana Patricia Pea Paez Revis:

Anglica Janneth Jaramillo Pinzn

Francy Johanna Pimiento Aprob: Informacin Adicional: Ubicacin:

1. NOTA DEL DOCUMENTO

Inventario de material clasificado

4.2. Objetivo de la clasificacin

4.3. Clasificaciones de seguridad

4.4. Importancia de la correcta clasificacin

4.4.1. Gua para el personal

4.4.2. Medidas para disminuir la sobre-clasificacin

4.4.3. Otras consideraciones relacionadas con documentos

4.4.4. Degradacin o desclasificacin de activos.

5. CONTROL DE ACTIVOS CLASIFICADOS

5.2. Principio de necesidad de saber

5.3. Principio de necesidad de retencin

5.4. Preparacin y manejo de la informacin

5.4.5. Chequeos in situ.

5.4.7. Custodia de Material clasificado

5.4.8. Transporte de material clasificado

5.4.9. Destruccin de material clasificado

Considerar facilidades de destruccin alterna en el evento de fallas en el suministro de energa elctrica.

5.4.10. Archivos Nacionales

Anda mungkin juga menyukai