Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Tipos de Clasificación
Johana Sosa
27/01/2012
Contenido
Tipos de clasificación ....................................................................................................... 4
1. Modelo de Política de Seguridad de la Información para Organismos de la
Administración Pública Nacional. [MPSI_ARG] .......................................................... 4
2. Actualización Clasificación Información para Efectos de Aseguramiento de la
Misma. Banco de la República. [ACI_COL][2]............................................................. 5
3. Niveles de Clasificación de Información – UAEAC (Unidad Administrativa
Especial Aeronáutica Civil) [CDLI_COL] [3] ............................................................... 6
4. Ministerio de Comunicaciones. República de Colombia [ST-729_COL]. [4] ......... 9
5. CobiT4.1 [C4.1_USA]. [5] .................................................................................. 10
6. TCSEC Orange Book. [DoDTCSEC_USA]. [6] .................................................. 11
7. GIAC Security Essentials Certification (GSEC). [GSEC_USA]. [7] .................... 15
8. Normas para la Clasificación de Seguridad de Información Federal y Sistemas de
Información. [NCSIFSI_USA]. [8] ............................................................................. 19
9. HMG Security Policy Framework. [HMGSPF_UK]. [9] ...................................... 20
10. Queensland Government Information Security Classification Framework.
[QGISCF_AUS]. [10]................................................................................................. 21
11. Information Security Classification. [ISC_CAN]. [11] .................................... 22
12. State secrets: China’s legal labyrinth. [SSCLL_CHI]. [12] .............................. 22
Investigación en empresas. ............................................................................................. 24
Digiservices Ltda........................................................................................................ 24
MCI – Misión Carismática Internacional. ................................................................... 25
Criterios de valoración de los documentos ...................................................................... 26
Referencias .................................................................................................................... 31
Ilustraciones
ILUSTRACIÓN 1. CLASIFICACIÓN DE LA INFORMACIÓN. [10]................................................................ 21
ILUSTRACIÓN 2. NIVELES DE CLASIFICACIÓN DE LA INFORMACIÓN PROPUESTA. ................................. 29
Tablas
TABLA 1. CLASIFICACIÓN DE LA INFORMACIÓN. [2] ............................................................................. 6
TABLA 2. MATRIZ DE ANÁLISIS DE RIESGOS VS CRITERIOS. ................................................................. 8
TABLA 3. SENSIBILIDAD VS. CONFIDENCIALIDAD ............................................................................... 17
TABLA 4. RESUMEN DE DIFERENTES TIPOS DE CLASIFICACIÓN DE LA INFORMACIÓN. ........................... 27
TABLA 5. DATOS ORGANIZACIONES FUENTES..................................................................................... 28
TABLA 6. NIVEL JERÁRQUICO ORGANIZACIONES. ............................................................................... 28
TABLA 8. EJEMPLO DETALLE CLASIFICACIÓN DE LA INFORMACIÓN ..................................................... 30
Tipos de clasificación
Objetivos
Clasificación
Cada una tiene 4 niveles de clasificación (0 – 3) siendo 3 el nivel más sensible y 0 el menos
sensible. Según lo que cumpla el activo de información el propietario definirá su criticidad
(baja, media o alta)
1. Confidencialidad:
Público
reservado (uso interno)
reservado (confidencial)
reservado (secreto)
2. Integridad: Debido a modificaciones no autorizadas en la información
Se puede reparar fácilmente
Se puede reparar aunque puede dejar algunas pérdidas
Es difícil su reparación y puede dejar pérdidas significativas
No puede repararse ocasionando pérdidas grandes
3. Disponibilidad: La inaccesibilidad a la información
no afecta
durante un periodo de tiempo no menor a una semana podría causar pérdidas
significativas
durante un periodo de tiempo no menor a un día podría causar pérdidas
significativas
durante un periodo de tiempo no menor a una hora podría causar pérdidas
significativas
Una vez asignado un valor por cada una de las categorías anteriores se clasifican según estos
criterios, mencionados anteriormente:
Los atributos que se tienen en cuenta para la clasificación de la información son los
siguientes: Confidencialidad, Integridad, Disponibilidad, Autenticación, Control Acceso, No
repudiación y Observancia.
A continuación se encuentra la tabla con la propuesta de clasificación de la Información
teniendo en cuenta la relación entre los atributos que buscan mantener en la información y
sus niveles.
Integridad X X X
Disponibilidad X X X
Autenticación X X X X
Control Acceso X X X X
No repudiación X X* (Opcional)
Observancia X X X
Los parámetros que se deben tener en cuenta para esta clasificación son:
CONFIDENCIALIDAD INTEGRIDAD
Fuga de información por accesos Datos inexactos, incompletos o
y/o revelaciones de información no modificados sin autorización,
ALTO autorizada afectaría seriamente las causaría fallas en la operación,
operaciones del negocio, generando pérdidas económicas, pérdida en la
alta pérdida monetaria y/o de productividad, pérdida de imagen
imagen ante el cliente.
Fuga de información por accesos Datos inexactos, incompletos o
y/o revelaciones de información no modificados sin autorización, no
MEDIO afectaría seriamente las operaciones impactaran seriamente la operación
del negocio y no dan lugar a alta del negocio o pérdida de imagen;
pérdida monetaria. daría lugar a soluciones prontas.
El uso y/o revelación de Contar con alternativas de
BAJO información por usuarios no información permitiría hacer
autorizados no afecta la operación posible la continuidad de la
del negocio. operación del negocio.
Tabla 2. Matriz de Análisis de Riesgos vs Criterios.
4. Ministerio de Comunicaciones. República de Colombia [ST-729_COL]. [4]
Última entrega de instrumentos normativos proyectados-modelo de seguridad de la
información para la estrategia de gobierno en línea.
Para determinar los niveles de clasificación se tuvieron en cuenta los siguientes principios:
Principio de Libertad: Entendido como aquel postulado que permite la exclusión,
valida, de una base de datos.
Principio de Finalidad: La información contenida en una base de datos solo puede
ser concebida para un fin específico.
Principio de Integridad: La información debe ser inalterada en el proceso
comunicativo.
Principio de Necesidad: La información contenida debe ser funcional.
La información privada, será aquella que por versar sobre información personal o no,
y que por encontrarse en un ámbito privado, sólo puede ser obtenida y ofrecida
por orden de autoridad judicial en el cumplimiento de sus funciones. Es el
caso de los libros de los comerciantes, de los documentos privados, de las
historias clínicas o de la información extraída a partir de la inspección del
domicilio.
Se usa como base para aplicar controles como el control de acceso, archivo o cifrado.
Este proceso mejora la calidad de la toma de decisiones gerenciales asegurándose que
se proporciona información confiable y segura, y permite racionalizar los recursos de
los sistemas de información para igualarse con las estrategias del negocio. Este
proceso de TI también es necesario para incrementar la responsabilidad sobre la
integridad y seguridad de los datos y para mejorar la efectividad y control de la
información compartida a lo largo de las aplicaciones y de las entidades.
Los niveles de este estándar han sido la base de desarrollo de estándares europeos
(ITSEC/ITSEM) y luego internacionales (ISO/IEC).
La clasificación de los datos está basada en la necesidad de su confidencialidad. Los
siguientes son niveles globales basados en el potencial del daño si son comprometidos:
Súper Secreto
Secreto
Confidencial
No clasificado:
o Sensible pero no clasificada.
o Solo para uso oficial.
Cabe aclarar que cada nivel requiere todos los niveles definidos anteriormente: así el
subnivel B2 abarca los subniveles B1, C2, C1 y el D.
Este nivel contiene sólo una división y está reservada para sistemas que han sido
evaluados y no cumplen con ninguna especificación de seguridad.
Sin sistemas no confiables, no hay protección para el hardware, el sistema operativo
es inestable y no hay autentificación con respecto a los usuarios y sus derechos en el
acceso a la información. Los sistemas operativos que responden a este nivel son MS-
DOS y System 7.0 de Macintosh.
Este subnivel fue diseñado para solucionar las debilidades del C1. Cuenta con
características adicionales que crean un ambiente de acceso controlado. Se debe
llevar una auditoria de accesos e intentos fallidos de acceso a objetos.
o Tiene la capacidad de restringir aún más el que los usuarios ejecuten ciertos
comandos o tengan acceso a ciertos archivos, permitir o denegar datos a
usuarios en concreto, con base no sólo en los permisos, sino también en los
niveles de autorización.
o Requiere que se audite el sistema. Esta auditoría es utilizada para llevar
registros de todas las acciones relacionadas con la seguridad, como las
actividades efectuadas por el administrador del sistema y sus usuarios.
o La auditoría requiere de autenticación adicional para estar seguros de que la
persona que ejecuta el comando es quien dice ser. Su mayor desventaja
reside en los recursos adicionales requeridos por el procesador y el
subsistema de discos.
o Los usuarios de un sistema C2 tienen la autorización para realizar algunas
tareas de administración del sistema sin necesidad de ser administradores.
o Permite llevar mejor cuenta de las tareas relacionadas con la administración
del sistema, ya que es cada usuario quien ejecuta el trabajo y no el
administrador del sistema.
Nivel B1: Seguridad Etiquetada
Antes de que la clasificación de la información pueda ser clasificada se tienen en cuenta unos
pasos claves que se especifican a continuación.
1. Identificar todos los recursos de información que necesitan ser protegidos: En este
paso es importante tener en cuenta los siguientes aspectos para cada uno de los
recursos de información.
Localización de la información
Cómo se protege la información actualmente
Propietario de los datos (Persona que conoce el valor de la información para
la empresa)
Custodio de los datos (Persona responsable para salvaguardar la información
Formato de la información (base de datos, archivos, aplicación)
Top Secreto
Secreto
Confidencial
Restringido
Protegido
10. Queensland Government Information Security Classification Framework.
[QGISCF_AUS]. [10]
EL marco de clasificación para la seguridad de la información del gobierno de Queensland en
Australia tiene en cuenta dos grandes categorías en las que se encuentra la información oficial
del gobierno y son la información que puede ser de uso público y la información que necesita
un control apropiado para proteger su confidencialidad. A continuación está una imagen con
la clasificación de la información que necesita un control especial.
Como se puede observar en la figura para la información oficial no pública se divide en dos
categorías: la no clasificada y de seguridad clasificada. La información que no puede ser
pública pero que no necesita un control especial en cuanto a seguridad se deja en la categoría
no clasificada para tener en cuenta que ya se le realizó una evaluación a esa información.
Para la categoría de seguridad clasificada, de acuerdo con el riego de compromiso necesita un
control adicional y se divide en información de seguridad nacional e información de
seguridad no nacional, cada una de ellas se divide en los siguientes niveles:
Sin restricción: Información que es poco probable que cause daño. Está disponible
para el público, empleados y contratistas, sub contratistas y agentes que trabajan para
el gobierno.
Protegida: Información sensible para el gobierno y que puede impactar algunos
servicios del mismo. Incluye información personal, financiera. Está disponible para
empleados y para empleados no autorizados que necesiten conocer la información
para propósitos relacionados con los negocios.
Confidencial: Información sensible para el gobierno que puede causar pérdidas
graves de privacidad, ventaja competitiva, perdida de confidencialidad en los
programas del gobierno y puede causar hasta daños en las asociaciones, relaciones y
reputación. Solo está disponible para una función, grupo o rol específico.
Restringida: Información que es extremadamente sensible y puede causar grandes
daños en la integridad y la imagen (pérdida de la vida, riesgos para la seguridad
pública, pérdidas sustanciales financieras, dificultades sociales, y un gran impacto
económico). Está disponible sólo para las personas nombradas o posiciones
específicas.
Digiservices Ltda.
Clasificación de la información
Confidencialidad.
Reservado de la empresa
Reservado empresas outsorcing
Integridad.
Media: Cambios realizados se pueden recuperar. Pérdidas que se pueden
manejar. (Información interna de la empresa)
Alta: Cualquier cambio puede ser perjudicial para la empresa. (Información
de las empresas que los contratan)
Disponibilidad.
Baja: Información que puede estar no disponible máximo un día sin causar
pérdidas.
Media: Información de la empresa que puede estar no disponible hasta
máximo 5 horas en el día sin causar pérdidas
Alta: Información de las empresas las cuales tienen que estar disponible todo
el tiempo para su consulta durante un tiempo determinado según el contrato.
(Un periodo de tiempo no mayor a 5 horas no puede causar pérdidas)
Clasificación de la información
Confidencialidad.
Administrativa.
Alta: Información que solo los cargos más alto tienen acceso. Por
ejemplo informes gerenciales
Media: Información administrativa a la cual se tiene acceso por
roles.
Ministerial
Alta: Información que solo los cargos más alto tienen acceso. Por
ejemplo informes financieros
Media: Información personal de los miembros de la iglesia.
Baja: Información pública.
Integridad.
Administrativa
Alta: Información que si se modifica puede ser tener un efecto grave
dentro de la empresa. Ejemplo: Cuentas contables.
Media: Información que si se modifica puede ser tener un efecto
serio dentro de la empresa. Ejemplo: Información del personal.
Baja: Información que si se modifica no afecta notablemente a la
empresa. Ejemplo: Información de reuniones.
Ministerial
Media: Información que si se modifica puede tener consecuencias
leves.
Baja: Información que si se modifica no es importante.
Disponibilidad.
Administrativa
Alta: La información debe estar disponible todo el tiempo
Media: Puede demorarse hasta máximo 10 horas en tener acceso a la
información
Ministerial
Media: Puede demorarse hasta máximo 5 horas en tener acceso a la
información
Cada documento está identificado con un código para facilitar el análisis con cada uno de los
criterios que se va a tener en cuenta para su valoración:
Documento/Niv
0 1 2 3 4
el
Confidencia
MPSI_ARG Público Uso interno Secreto
l
ACI_COL Público Uso interno Privada Reservada Clasificada
Altamente
Confidencia
CDLI_COL Público Restringida confidencia
l
l
ST-729_COL Público Semi Privada Privada Reservada
Confidencia
C4.1_USA Público Secreto
l
No Confidencia Súper
DoDTCSEC_USA Secreto
clasificado l Secreto
Uso de la Propietario Función Altamente
GSEC_USA Público
compañía discreto sensible Sensible
Informació
Información
n
NCSIFSI_USA Público Administrativ
Investigativ
a
a
Confidencia
HMGSPF_UK Protegido Restringida Secreto Top Secret
l
Confidencia
QGISCF_AUS Público Restringida Secreto Top Secret
l
Sin Confidencia
ISC_CAN Protegida Reservada
restricción l
Altamente
SSCLL_CHI Secreta Top Secret
Secreta
Tabla 4. Resumen de diferentes tipos de clasificación de la información.
Críticas de Fuentes.
o Datación. ¿Cuándo se produjo?
o Localización en el espacio. ¿Dónde se produjo?
o Autor. ¿Quién lo produjo?
Documento/Criterio Datación Localización Autor
República
MPSI_ARG 25/07/2005 Oficina Nacional de Tecnologías de la Información
Argentina
Departamento de Seguridad Informática-Banco de la
ACI_COL 01/05/2011 Colombia
República
CDLI_COL 19/09/2006 Colombia Aeronáutica Civil
ST-729_COL 05/09/2002 Colombia Secretaría General de la Alcaldía Mayor de Bogotá D.C.
C4.1_USA 2007 EE UU IT Governance Institute
DoDTCSEC_USA 26/12/1985 EE UU Departamento de Defensa
GSEC_USA 28/02/2003 EE UU SANS Institute. (Susan Fowler)
NCSIFSI_USA 01/02/2004 EE UU NIST: National Institute of Standards and Technology
HMGSPF_UK 01/05/2011 UK Cabinet Office
QGISCF_AUS 01/10/2010 Australia Queensland Government Chief Information Officer
Information Management Branch, Government and Program
ISC_CAN 01/02/2005 Canadá
Support Services Division, Alberta Government Services
SSCLL_CHI 2007 China Human Rights in China
Tabla 5. Datos organizaciones fuentes.
País / Nivel
0 1 2 3
Jerárquico
SANS
IT
Estados Institute. NIST: National Institute of Departamento de
Governance
Unidos (Susan Standards and Technology Defensa
Institute
Fowler)
Secretaría General de la Departamento de
Aeronáutica
Colombia Alcaldía Mayor de Bogotá Seguridad Informática-
Civil
D.C. Banco de la República
Tabla 6. Nivel jerárquico organizaciones.
Los criterios anteriores se tuvieron en cuenta para determinar los niveles de clasificación de
la información que mejor se adapte a las empresas Colombianas, los cuales serán los que se
utilicen en la guía metodológica que se está desarrollando para apoyar a las empresas
MiPyMEs Colombianas en la toma de decisión para la migración a la nube pública.
En la siguiente tabla se especifica cada uno de los niveles teniendo en cuenta los tres
atributos de calidad (Confidencialidad, Integridad y Disponibilidad). Se debe aclara que esto
es un ejemplo de cómo se podría llenar esa información, ya que dentro de cada cuadro
puedan haber diferentes características debido a que esto puede cambiar para cada tipo de
activo de información y de los objetivos del negocios. Por lo tanto cada organización debe
definir cada una de las relaciones (Nivel de clasificación – atributo de calidad) dependiendo
del activo de información y del proceso con el que se relacione dicho activo.
Nivel /
Confidencialidad Integridad Disponibilidad
Atributos
* Se puede reparar
Pública * N/A * N/A
fácilmente
* Durante un periodo de
Uso * Se puede reparar tiempo no menor a una
*Acceso para empleados
Interno dejando algunas pérdidas semana podría causar
pérdidas significativas
* Solo puede ser accedida por * Durante un periodo de
grupos específicos de usuarios * Puede dejar pérdidas tiempo no menor a dos o
Privada
autorizados por alguna significativas tres días podría causar
autoridad dentro de la empresa pérdidas significativas
* Durante un periodo de
* Acceso para personas con tiempo no menor a un
Reservada * Causa grandes daños
posiciones específicas día podría causar
pérdidas significativas
* Información de alta
* Durante un periodo de
importancia que solo puede ser * No se puede reparar
Altamente tiempo no menor a una
accedida por personas que ocasionando grandes
Reservada hora podría causar
ejerzan cargos de alto rango pérdidas
pérdidas significativas
dentro de la empresa
Tabla 7. Ejemplo detalle clasificación de la información
Referencias
[1] Modelo de Política de Seguridad de la Información para Organismos de la
administración Pública Nacional, Versión 1. Julio 2005. Disponible en:
http://www.sgp.gov.ar/sitio/PSI_Modelo-v1_200507.pdf
[4] Corte Constitucional de Colombia. Sentencia T-729 de 2002 (26 Dic 2008) Disponible
en: http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=9903
[6] Departamento de defensa de los Estados Unidos. Orange Book. Department Of Defense.
Library N° S225, 711. EEUU. 1985. Disponible en: http://www.doe.gov.
[7] Susan Fowler. Información de la Clasificación – Quién, Por qué y Cómo. 2003. GIAC
Security Essentials Certification (GSEC). SANS Institute.
[11] Information Management Branch, Government and Program Support Services Division,
Alberta Government Services. Information Security Classification. Febrero 2005.
[12] Human Rights in China. State secrets: China’s legal labyrinth. Human Rights in China.
2007.