Beruflich Dokumente
Kultur Dokumente
Tipos de Clasificacin
Johana Sosa
27/01/2012
Contenido
Tipos de clasificacin ....................................................................................................... 4
1. Modelo de Poltica de Seguridad de la Informacin para Organismos de la
Administracin Pblica Nacional. [MPSI_ARG] .......................................................... 4
2. Actualizacin Clasificacin Informacin para Efectos de Aseguramiento de la
Misma. Banco de la Repblica. [ACI_COL][2]............................................................. 5
3. Niveles de Clasificacin de Informacin UAEAC (Unidad Administrativa
Especial Aeronutica Civil) [CDLI_COL] [3] ............................................................... 6
4.
5.
6.
7.
10.
Queensland Government Information Security Classification Framework.
[QGISCF_AUS]. [10]................................................................................................. 21
11.
12.
Ilustraciones
ILUSTRACIN 1. CLASIFICACIN DE LA INFORMACIN. [10]................................................................ 21
ILUSTRACIN 2. NIVELES DE CLASIFICACIN DE LA INFORMACIN PROPUESTA. ................................. 29
Tablas
TABLA 1. CLASIFICACIN DE LA INFORMACIN. [2] ............................................................................. 6
TABLA 2. MATRIZ DE ANLISIS DE RIESGOS VS CRITERIOS. ................................................................. 8
TABLA 3. SENSIBILIDAD VS. CONFIDENCIALIDAD ............................................................................... 17
TABLA 4. RESUMEN DE DIFERENTES TIPOS DE CLASIFICACIN DE LA INFORMACIN. ........................... 27
TABLA 5. DATOS ORGANIZACIONES FUENTES..................................................................................... 28
TABLA 6. NIVEL JERRQUICO ORGANIZACIONES. ............................................................................... 28
TABLA 8. EJEMPLO DETALLE CLASIFICACIN DE LA INFORMACIN ..................................................... 30
Tipos de clasificacin
Clasificacin
Cada una tiene 4 niveles de clasificacin (0 3) siendo 3 el nivel ms sensible y 0 el menos
sensible. Segn lo que cumpla el activo de informacin el propietario definir su criticidad
(baja, media o alta)
1. Confidencialidad:
Pblico
reservado (uso interno)
reservado (confidencial)
reservado (secreto)
2. Integridad: Debido a modificaciones no autorizadas en la informacin
Reservada
Privada
De Uso
Pblica
Interno
Confidencialidad
Integridad
Disponibilidad
Autenticacin
Control Acceso
No repudiacin
Observancia
X
X
X* (Opcional)
X
Prdida de clientes
Violacin de la propiedad
Requerimientos Legales
Prdidas econmicas
informacin
de
Itinerarios?
CONFIDENCIALIDAD
INTEGRIDAD
Datos
inexactos,
incompletos
sin
autorizacin,
prdida
imagen
ante el cliente.
Datos
inexactos,
incompletos
uso
y/o
informacin
por
de Contar
no informacin
con
la
alternativas
permitira
continuidad
de
hacer
de
la
Para determinar los niveles de clasificacin se tuvieron en cuenta los siguientes principios:
Principio
de
Integridad: La
informacin
comunicativo.
igualmente
la informacin
personal
contenida
en
bases
de datos
versar
sobre
informacin
anterior,
al
facilitar la creacin, uso y el compartir en forma ptima la informacin por parte del
negocio de tal manera que se mantenga su integridad, sea
flexible, funcional,
Se usa como base para aplicar controles como el control de acceso, archivo o cifrado.
Este proceso mejora la calidad de la toma de decisiones gerenciales asegurndose que
se proporciona informacin confiable y segura, y permite racionalizar los recursos de
los sistemas de informacin para igualarse con las estrategias del negocio. Este
proceso de TI tambin es necesario para incrementar la responsabilidad sobre la
integridad y seguridad de los datos y para mejorar la efectividad y control de la
informacin compartida a lo largo de las aplicaciones y de las entidades.
Cabe aclarar que cada nivel requiere todos los niveles definidos anteriormente: as el
subnivel B2 abarca los subniveles B1, C2, C1 y el D.
no
cumplen
con
ninguna
especificacin
de
seguridad.
utilizada
para
llevar
A cada objeto del sistema (usuario, dato, etc.) se le asigna una etiqueta, con
un nivel de seguridad jerrquico (alto secreto, secreto, reservado, etc.) y con
unas categoras (contabilidad, nminas, ventas, etc.).
Cada usuario que accede a un objeto debe poseer un permiso expreso para
hacerlo y viceversa. Es decir que cada usuario tiene sus objetos asociados.
Requiere que se etiquete cada objeto de nivel superior por ser padre de un
objeto inferior.
Este nivel requiere que la terminal del usuario se conecte al sistema por
medio de una conexin segura.
Cada usuario tiene asignado los lugares y objetos a los que puede acceder.
Localizacin de la informacin
Autenticacin:
Donde
se
puede
utilizar
la
autenticacin
sencilla
Confidencialidad
Disponibilidad
Integridad
Propiedad
Altamente sensible
Funcin sensible
Restringida de negocio
Restringida de propietario
Discrecin de propietario
Uso de la compaa
Uso interno
Uso pblico
Negocio crtico
Negocio sensible
No esencial
Criterio
Funcin
Propietario
Uso
de
la
Uso Pblico
Autentica-
Proteccin
Sensible
Sensible
Discreto
Compaa
Autenticacin
Id
Id
Id
Id usuario,
usuario,
miento
usuario,
contrasea
contrasea
contrasea
contrasea
cin
fuerte
fuerte
fuerte
fuerte
requerida
Ingreso
Ingreso
encriptado
Aprovisiona-
usuario,
encriptado
Alta adm. o
autorizacin
Adm.
propietario
de
autorizacin
Basado
del
roles
de los datos
Acceso
en
Autorizacin
Acceso
Acceso
automtica-
automtica-
administraci
mente
mente
para
todos
al creador o
usuarios del
propietario
sistema
Medio
los
de
informacin
n delegada empleados
individual
no
Bajo
Disponibilidad
o
Alto
Medio
Bajo
Conformidad
o
Alto:
Medio:
Bajo:
no hay control
Continuidad de Negocio
o
Recuperado
No recuperado
La clasificacin de la informacin se realiza segn los tipos de informacin que una empresa
maneje.
Informacin Pblica
SC de informacin pblica = {(confidencialidad, NA), (integridad, moderado),
(disponibilidad, moderado)}.
Informacin investigativa
SC informacin sobre las investigaciones = {(confidencialidad, alto), (integridad,
moderado), (disponibilidad, moderado)}.
Informacin administrativa
SC = {informacin administrativa (confidencialidad, bajo), (integridad, bajo),
(disponibilidad, bajo)}.
Top Secreto
Secreto
Confidencial
Restringido
Protegido
Como se puede observar en la figura para la informacin oficial no pblica se divide en dos
categoras: la no clasificada y de seguridad clasificada. La informacin que no puede ser
pblica pero que no necesita un control especial en cuanto a seguridad se deja en la categora
no clasificada para tener en cuenta que ya se le realiz una evaluacin a esa informacin.
Para la categora de seguridad clasificada, de acuerdo con el riego de compromiso necesita un
control adicional y se divide en informacin de seguridad nacional e informacin de
seguridad no nacional, cada una de ellas se divide en los siguientes niveles:
Top secreto
Secreto
Confidencial
Restringida
Altamente protegida
X en confianza
Sin clasificar
Sin restriccin: Informacin que es poco probable que cause dao. Est disponible
para el pblico, empleados y contratistas, sub contratistas y agentes que trabajan para
el gobierno.
Investigacin en empresas.
Digiservices Ltda.
Confidencialidad.
Reservado de la empresa
Reservado empresas outsorcing
Integridad.
Media: Cambios realizados se pueden recuperar. Prdidas que se pueden
manejar. (Informacin interna de la empresa)
Alta: Cualquier cambio puede ser perjudicial para la empresa. (Informacin
de las empresas que los contratan)
Disponibilidad.
Baja: Informacin que puede estar no disponible mximo un da sin causar
prdidas.
Confidencialidad.
Administrativa.
Alta: Informacin que solo los cargos ms alto tienen acceso. Por
ejemplo informes gerenciales
Ministerial
Alta: Informacin que solo los cargos ms alto tienen acceso. Por
ejemplo informes financieros
Integridad.
Administrativa
Ministerial
Disponibilidad.
Administrativa
Ministerial
Documento/Niv
el
MPSI_ARG
ACI_COL
Pblico
Uso interno
Pblico
Uso interno
2
Confidencia
l
Privada
Secreto
Reservada
Clasificada
Pblico
CDLI_COL
ST-729_COL
Pblico
C4.1_USA
Pblico
Restringida
Semi Privada
Confidencia
l
Privada
Confidencia
l
No
Confidencia
clasificado
DoDTCSEC_USA
GSEC_USA
Pblico
Pblico
QGISCF_AUS
Secreto
Secreto
discreto
sensible
Sensible
Secreto
Top Secret
Secreto
Top Secret
Administrativ
Restringida
Protegida
Informaci
n
Investigativ
a
Confidencia
l
Confidencia
l
Confidencia
l
Secreta
SSCLL_CHI
Reservada
Altamente
Secreta
Sper
compaa
Pblico
restriccin
Secreto
Altamente
Restringida
Sin
Reservada
Funcin
Protegido
ISC_CAN
Propietario
HMGSPF_UK
confidencia
Uso de la
Informacin
NCSIFSI_USA
Altamente
Crticas de Fuentes.
o
Top Secret
MPSI_ARG
25/07/2005
ACI_COL
01/05/2011
Colombia
Argentina
Autor
Oficina Nacional de Tecnologas de la Informacin
Departamento de Seguridad Informtica-Banco de la
Repblica
CDLI_COL
19/09/2006
Colombia
Aeronutica Civil
ST-729_COL
05/09/2002
Colombia
C4.1_USA
2007
EE UU
IT Governance Institute
DoDTCSEC_USA
26/12/1985
EE UU
Departamento de Defensa
GSEC_USA
28/02/2003
EE UU
NCSIFSI_USA
01/02/2004
EE UU
HMGSPF_UK
01/05/2011
UK
QGISCF_AUS
01/10/2010
Australia
ISC_CAN
01/02/2005
Canad
SSCLL_CHI
2007
China
Cabinet Office
Queensland Government Chief Information Officer
Information Management Branch, Government and Program
Support Services Division, Alberta Government Services
Human Rights in China
Pas / Nivel
Jerrquico
SANS
Estados
Unidos
Institute.
(Susan
Fowler)
Colombia
1
IT
Governance
Institute
Aeronutica
Civil
Departamento de
Defensa
Secretara General de la
Departamento de
Seguridad Informtica-
D.C.
Banco de la Repblica
Los criterios anteriores se tuvieron en cuenta para determinar los niveles de clasificacin de
la informacin que mejor se adapte a las empresas Colombianas, los cuales sern los que se
utilicen en la gua metodolgica que se est desarrollando para apoyar a las empresas
MiPyMEs Colombianas en la toma de decisin para la migracin a la nube pblica.
Pblica
Uso Interno
Privada
Reservada / Secreta
Altamente reservada
/ Sper Secreta
En la siguiente tabla se especifica cada uno de los niveles teniendo en cuenta los tres
atributos de calidad (Confidencialidad, Integridad y Disponibilidad). Se debe aclara que esto
es un ejemplo de cmo se podra llenar esa informacin, ya que dentro de cada cuadro
puedan haber diferentes caractersticas debido a que esto puede cambiar para cada tipo de
activo de informacin y de los objetivos del negocios. Por lo tanto cada organizacin debe
definir cada una de las relaciones (Nivel de clasificacin atributo de calidad) dependiendo
del activo de informacin y del proceso con el que se relacione dicho activo.
irrelevante, mientras que un da sin esa informacin ya podra causar un dao moderado; pero
si no est disponible por un mes ya puede causar problemas ms serios. No existe
proporcionalidad entre el tiempo en que no est disponible y las consecuencias.
[MAGERIT_ESP]
Nivel /
Confidencialidad
Atributos
Pblica
Integridad
* Se puede reparar
* N/A
fcilmente
Disponibilidad
* N/A
* Durante un periodo de
Uso
Interno
* Se puede reparar
* Durante un periodo de
significativas
prdidas significativas
* Durante un periodo de
Reservada
tiempo no menor a un
da podra causar
prdidas significativas
* Informacin de alta
Altamente
Reservada
* No se puede reparar
ocasionando grandes
prdidas
dentro de la empresa
Tabla 7. Ejemplo detalle clasificacin de la informacin
* Durante un periodo de
tiempo no menor a una
hora podra causar
prdidas significativas
Referencias
[1] Modelo de Poltica de Seguridad de la Informacin para Organismos de la
administracin Pblica Nacional, Versin 1. Julio 2005. Disponible en:
http://www.sgp.gov.ar/sitio/PSI_Modelo-v1_200507.pdf
[2] Departamento de Seguridad Informtica, Direccin General de Tecnologa. Banco de la
Repblica. Actualizacin Clasificacin Informacin para Efectos de Aseguramiento de la
Misma. Mayo 2011.
[3] Aeronutica Civil. Clasificacin de la Informacin (Normas) versin 2.0. 19 septiembre
2006.
[4] Corte Constitucional de Colombia. Sentencia T-729 de 2002 (26 Dic 2008) Disponible
en: http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=9903
[5] IT Governance Institute. Cobit 4.1. 2007 Disponible en:
http://cs.uns.edu.ar/~ece/auditoria/cobiT4.1spanish.pdf
[6] Departamento de defensa de los Estados Unidos. Orange Book. Department Of Defense.
Library N S225, 711. EEUU. 1985. Disponible en: http://www.doe.gov.
[7] Susan Fowler. Informacin de la Clasificacin Quin, Por qu y Cmo. 2003. GIAC
Security Essentials Certification (GSEC). SANS Institute.
[8] Normas para la Clasificacin de Seguridad de Informacin Federal y Sistemas de
Informacin. Febrero 2004. NIST: National Institute of Standards and Technology
[9] Cabinet Office. HMG Security Policy Framework. Mayo 2011.
[10] Queensland Government Chief Information Officer . Queensland Government
information Security Classification Framework. Octubre 2010
[11] Information Management Branch, Government and Program Support Services Division,
Alberta Government Services. Information Security Classification. Febrero 2005.
[12] Human Rights in China. State secrets: Chinas legal labyrinth. Human Rights in China.
2007.
[13] Digiservice Limitada. Disponible en: http://www.digiservice.com.co/
[14] MEMORIA - XXI Congreso Archivstico Nacional Valoracin Documental un reto
archivstico en los tiempos actuales. 2009