Revisión de La Publicación Especial 800 - 60 Del NIST Volumen I 1

Revisión de la Publicación Especial 800-
60 del NIST Volumen I 1 Volumen I:

Guía para asignar los tipos de
información y sistemas de
información a las categorías de
seguridad
Kevin Stine
Rich Kissel
William C. Barker
Jim Fahlsing
Jessica Gulick
INFORMACIÓ N E C UR Í T I C A
División de Seguridad Informática

Laboratorio de Tecnología de la
Información
Instituto Nacional de Normas y Tecnología
Gaithersburg, MD 20899-8930
Agosto 2008
DEPARTAMENTO DE COMERCIO DE LOS ESTADOS

UNIDOS
Carlos M. Gutiérrez, Secretario
INSTITUTO NACIONAL DE NORMAS Y

TECNOLOGÍA
James M. Turner, Director Adjunto
Informes sobre tecnología de sistemas informáticos
El Laboratorio de Tecnología de la Información (ITL) del Instituto Nacional de Normas y
Tecnología (NIST) promueve la economía y el bienestar público de los Estados Unidos
proporcionando liderazgo técnico para la infraestructura de medición y normalización de la
nación. El ITL desarrolla pruebas, métodos de prueba, datos de referencia, implementaciones de
prueba de concepto y análisis técnicos para avanzar en el desarrollo y el uso productivo de la
tecnología de la información. Las responsabilidades del ITL incluyen el desarrollo de normas y
directrices de gestión, administrativas, técnicas y físicas para la seguridad y privacidad rentables
de la información no relacionada con la seguridad nacional en los sistemas de información
federales. Esta publicación especial de la serie 800 informa sobre la investigación, las directrices
y los esfuerzos de divulgación del ITL en materia de seguridad de los sistemas de información y
sus actividades de colaboración con la industria, el gobierno y las organizaciones académicas.
ii
Autoridad
Este documento ha sido elaborado por el Instituto Nacional de Normas y Tecnología (NIST)
para cumplir con sus responsabilidades legales en virtud de la Ley Federal de Gestión de la
Seguridad de la Información (FISMA) de 2002, P.L. 107-347. El NIST es responsable de
elaborar normas y directrices, incluidos los requisitos mínimos, para proporcionar una seguridad
de la información adecuada a todas las operaciones y activos de la agencia, pero dichas normas y
directrices no se aplicarán a los sistemas de seguridad nacional. Esta directriz es coherente con
los requisitos de la Circular A-130 de la Oficina de Gestión y Presupuesto (OMB), Sección
8b(3), Seguridad de los sistemas de información de las agencias, tal y como se analiza en A-
130, Apéndice IV: Análisis de las secciones clave. En el Apéndice III de la Circular A-130 se
ofrece información complementaria.
Esta guía ha sido preparada para ser utilizada por las agencias federales. También puede ser
utilizada por organizaciones no gubernamentales de forma voluntaria y no está sujeta a derechos
de autor. (El NIST agradecería que se citara su autoría).
Nada de lo contenido en este documento debe interpretarse como una contradicción con las
normas y directrices que el Secretario de Comercio ha hecho obligatorias y vinculantes para
los organismos federales en virtud de la autoridad legal. Tampoco debe interpretarse que
estas directrices alteran o sustituyen las autoridades existentes del Secretario de Comercio, el
Director de la OMB o cualquier otro funcionario federal.
Publicación especial 800-60 del NIST Volumen I, páginas1,53 de revisión

(Fecha) CODEN: NSPUE2
Ciertas entidades, equipos o materiales comerciales pueden ser identificados en este documento con el fin de
describir adecuadamente un procedimiento o concepto experimental. Dicha identificación no pretende implicar una
recomendación o aprobación por parte del Instituto Nacional de Normas y Tecnología, ni tampoco que las entidades,
los materiales o los equipos sean necesariamente los mejores disponibles para el propósito.
En estaLOSpublicación hay referencias
COMENTARIOS a documentos
PUEDEN ENVIARSE que el NIST
A LA DIVISIÓN está elaborando
DE SEGURIDAD actualmente
INFORMÁTICA de acuerdo
, LABORATORIO DEcon las
responsabilidades asignadas al NIST en virtud de la Ley Federal de Gestión de la Seguridad
TECNOLOGÍA DE LA INFORMACIÓN, NIST POR CORREO ELECTRÓNICO A SEC-CERT@NIST. GOV O POR de la Información de
Las 2002.metodologías de este documento pueden utilizarse incluso
CORREO ORDINARIO EN antes de que se completen dichos documentos
complementarios. Por 100loBUREAU
tanto, hasta que (se
DRIVE complete
MAIL cada documento,
STOP 8930), los requisitos,
GAITHERSBURG directrices y procedimientos
, MD 20899-8930
actuales (cuando existan) seguirán siendo operativos. A efectos de planificación y transición, los organismos pueden
seguir de cerca el desarrollo de estos nuevos documentos por parte del NIST. También se anima a los particulares a
revisar los borradores públicos de los documentos y a ofrecer sus comentarios al NIST. Todos los documentos del
NIST mencionados en esta publicación, aparte de los mencionados anteriormente, están disponibles en
http://csrc.nist.gov/publications.
iii
Agradecimientos
Los autores, Kevin Stine, Rich Kissel y William C. Barker, desean agradecer a sus colegas, Jim
Fahlsing y Jessica Gulick de Science Applications International Corporation (SAIC), que
ayudaron a actualizar este documento, a preparar borradores y a revisar materiales. Además, hay
que agradecer especialmente a nuestros revisores, Arnold Johnson (NIST), Karen Quigg (Mitre
Corporation) y Ruth Bandler (Food and Drug Administration), que han contribuido
enormemente al desarrollo del documento. Un agradecimiento especial a Elizabeth Lennon por
su magnífica edición técnica y apoyo administrativo. El NIST también reconoce y agradece las
numerosas contribuciones de personas de los sectores público y privado, cuyos atentos y
constructivos comentarios mejoraron la calidad y la utilidad de esta publicación.
iv
Volumen I: Guía para la asignación de tipos de información y
sistemas de información a las categorías de seguridad
Índice de contenidos
...................................................................................................................................................... RESUME
N EJECUTIVOVII
1.0 INTRODUCCIÓN ................................................................................................................ 1

1.1 Objetivo y
............................................................................................................................................... aplicabil
idad ........................................................................................................................................ 1
1.2 Público objetivo..................................................................................................................... 1
1.3 Relación con otros
............................................................................................................................................... docume
ntos ........................................................................................................................................ 1
1.4 Organización de esta
............................................................................................................................................... publicac
iónespecial ............................................................................................................................. 2
2.0 RESUMEN DELA PUBLICACIÓN .................................................................................... 4

2.1 Las agencias apoyan el ......................................................................................................... proceso
decategorización de la seguridad........................................................................................... 4
2.2 Valor para las misiones de la agencia, los programas de seguridad y la .............................. gestión
deTI ....................................................................................................................................... 4
2.3 Papel en el ............................................................................................................................ ciclo de
vidadesarrollo del sistema ..................................................................................................... 5
2.4 Papel en el ............................................................................................................................ proceso
decertificación y acreditación................................................................................................ 5
2.5 Función en el ........................................................................................................................ marco
degestión de riesgos del NIST ............................................................................................... 6
3.0 CATEGORIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN Y DE LOS

SISTEMAS DE
INFORMACIÓN9
3.1 Categorías y
............................................................................................................................................... objetivo
s deseguridad ......................................................................................................................... 9
3.1.1 Categorías de seguridad ................................................................................................ 9
v
3.1.2 Objetivos de seguridad y tipos ..................................................................................... de
pérdidas ......................................................................................................................... 9
3.2 Evaluacióndel impacto ........................................................................................................ 10
4.0 ASIGNACIÓN DE NIVELES DE IMPACTO Y

............................................................................................................................................. CATEG
ORIZACIÓN DELA SEGURIDAD ................................................................................... 12
4.1 Paso .................................................................................................................................... 1:
Identificar los tipos de información .................................................................................... 14
4.1.1 Identificación de los ................................................................................................... tipos de
informaciónbasados en la misión ................................................................................ 14
4.1.2 Identificación de la
..................................................................................................................................... informaci
ón degestión y ............................................................................................................ apoyo 16
4.1.3 Mandatos deinformación legislativa y ejecutiva......................................................... 18
4.1.4 Identificación de los tipos de información no enumerados en esta ........................... directriz
..................................................................................................................................... 18
4.2 Paso 2: Seleccionar el ......................................................................................................... nivel de
impactoprovisional .............................................................................................................. 19
4.2.1 Criterios de categorización de seguridadFIPS ........................................................... 199 19
4.2.2 Factores comunes para la selección de los ................................................................. niveles
de impacto ................................................................................................................... 20
4.2.3 Ejemplos de selección de ........................................................................................... niveles
de impactobasados en FIPS 199 ................................................................................. 22
4.3 Paso 3: Revisión de los niveles de impacto provisionales y ajuste/finalización de los
niveles de
impacto del tipo de información23
4.4 Paso 4: Asignar ................................................................................................................... la
categoría de seguridaddel sistema ....................................................................................... 24
4.4.1 Proceso FIPS 199 para la
..................................................................................................................................... categoriz
ación de la seguridaddel sistema ................................................................................. 25
4.4.2 Directrices para la
..................................................................................................................................... categoriz
aciónsistema ................................................................................................................ 26
4.4.3 Impactoglobal del sistema de información ................................................................. 30
4.5 Documentación del ............................................................................................................. proceso
decategorización de la seguridad......................................................................................... 31
4.6 Usos de la
............................................................................................................................................. informaci
ón decategorización ............................................................................................................. 33
vi
APÉNDICE A: GLOSARIO DE
......................................................................................................................................................... TÉRMI
NOS................................................................................................................................................. 1
APÉNDICE B:
......................................................................................................................................................... REFER
ENCIAS .......................................................................................................................................... 1
vii
RESUMEN EJECUTIVO
El Título III de la Ley de Administración Electrónica (Ley Pública 107-347), titulado Ley
Federal de Gestión de la Seguridad de la Información (FISMA), encargó al Instituto Nacional de
Normas y Tecnología (NIST) la elaboración:
• Normas que deben utilizar todas las agencias federales para clasificar toda la información
y los sistemas de información recopilados o mantenidos por cada agencia o en su nombre,
basándose en los objetivos de proporcionar niveles adecuados de seguridad de la
información según una gama de niveles de riesgo;
• Directrices que recomiendan los tipos de información y sistemas de información
que deben incluirse en cada una de esas categorías; y
• Requisitos mínimos de seguridad de la información (es decir, controles de
seguridad de gestión, operativos y técnicos), para la información y los sistemas
de información en cada una de esas categorías.
En respuesta a la segunda de estas tareas, se ha desarrollado esta directriz para ayudar a los
organismos de la administración federal a clasificar la información y los sistemas de
información. El objetivo de la directriz es facilitar la aplicación de niveles apropiados de
seguridad de la información de acuerdo con una gama de niveles de impacto o consecuencias
que podrían resultar de la divulgación, modificación o uso no autorizado de la información o del
sistema de información. Esta directriz asume que el usuario está familiarizado con las Normas
para la Categorización de la Seguridad de la Información Federal y los Sistemas de
Información (Norma Federal de Procesamiento de Información [FIPS] 199). La directriz y sus
apéndices:
• Revise los términos de categorización de seguridad y las definiciones establecidas por FIPS 199;
• Recomendar un proceso de categorización de la seguridad;
• Describir una metodología para identificar los tipos de información y sistemas de
información federales;
• Sugerir niveles de impacto de seguridad provisionales1 para tipos de información comunes;
• Discutir los atributos de la información que pueden dar lugar a desviaciones de la
asignación provisional del nivel de impacto.
• Describa cómo establecer una categorización de la seguridad del sistema basada en el
uso del sistema, la conectividad y el contenido de la información agregada.
Este documento pretende ser un recurso de referencia más que un tutorial y no todo el material
será relevante para todas las agencias. Este documento incluye dos volúmenes, una directriz
básica y un volumen de apéndices. Los usuarios deben revisar las directrices del Volumen I y, a
continuación, consultar únicamente el material específico de los apéndices que se aplique a sus
propios sistemas y aplicaciones. Las asignaciones provisionales de impacto se proporcionan en el
Volumen II, Apéndices C y D. La base empleada en esta directriz para la identificación de los
tipos de información es la Oficina de
1
Los niveles de impacto de seguridad provisionales son las determinaciones de impacto iniciales o
viii
condicionales que se realizan hasta que todas las consideraciones se revisan, analizan y aceptan en los pasos
posteriores de categorización por parte de los funcionarios correspondientes.
ix
Oficina de Gestión de Programas (PMO) de la Federal Enterprise Architecture (FEA)
Publicación2007 de octubre, The Consolidated Reference Model Document Version 2.3.
x
1.0 INTRODUCCIÓN
La identificación de la información procesada en un sistema de información es esencial para la
selección adecuada de los controles de seguridad y para garantizar la confidencialidad,
integridad y disponibilidad del sistema y su información. La Publicación Especial (SP) 800-60
del Instituto Nacional de Estándares y Tecnología (NIST) ha sido desarrollada para ayudar a las
agencias del gobierno federal a categorizar la información y los sistemas de información.
1.1 Objetivo y aplicabilidad

El NIST SP 800-60 aborda la dirección de la FISMA para desarrollar directrices que
recomienden los tipos de información y sistemas de información que deben incluirse en cada
categoría de impacto potencial en la seguridad. Esta directriz pretende ayudar a las agencias a
asignar de forma coherente los niveles de impacto en la seguridad a los tipos de (i) información
(por ejemplo, privacidad, médica, de propiedad, financiera, sensible al contratista, secreto
comercial, investigación); y (ii) sistemas de información (por ejemplo, de misión crítica, de
apoyo a la misión, administrativos). Esta directriz se aplica a todos los sistemas de información
federales que no sean sistemas de seguridad nacional. Los sistemas de seguridad nacional
almacenan, procesan o comunican información de seguridad nacional.2
1.2 Público objetivo

Esta publicación está destinada a un público federal diverso de profesionales de los sistemas de
información y de la seguridad de la información, incluyendo (i) personas con responsabilidades
de gestión y supervisión de sistemas de información y seguridad de la información (por
ejemplo, directores de información, altos funcionarios de seguridad de la información de la
agencia, funcionarios de autorización); (ii) funcionarios de la organización que tienen un interés
en el cumplimiento de las misiones de la organización (por ejemplo, propietarios de la misión y
del área de negocio, propietarios de la información); (iii) personas con responsabilidades de
desarrollo de sistemas de información (por ejemplo, directores de programas y proyectos,
desarrolladores de sistemas de información); y (iv) personas con responsabilidades de
implementación y operación de la seguridad de la información (por ejemplo, propietarios de
sistemas de información, propietarios de la información, funcionarios de seguridad del sistema
de información).
1.3 Relación con otros documentos

La Publicación Especial (SP) 800-60 del NIST es un miembro de la familia de
publicaciones relacionadas con la seguridad del NIST que incluye:
• Normas199, de publicación de FIPS para la categorización de la seguridad de la
información y los sistemas de información federales;
• Publicación FIPS 200, Requisitos mínimos de seguridad para la información
federal y los sistemas de información;
2
La FISMA define un sistema de seguridad nacional como cualquier sistema de información (incluido el sistema de
telecomunicaciones) utilizado u operado por una agencia o por un contratista en nombre de una agencia, o cualquier
otra organización en nombre de una agencia
– (i) cuya función, operación o uso: implique actividades de inteligencia; implique actividades criptológicas
1
relacionadas con la seguridad nacional; implique el mando y control de fuerzas militares; implique equipos que
sean parte integrante de un arma o sistema de armas; o sea crítico para el cumplimiento directo de misiones
militares o de inteligencia (excluyendo un sistema administrativo o empresarial rutinario utilizado para
aplicaciones como nóminas, finanzas, logística y gestión de personal); o (ii) que procese información clasificada.
[Véase la Ley Pública 107-347, Sección (3542b)(2)(A)].
2
• NIST SP 800-30, Guía de gestión de riesgos para sistemas de tecnología de la información;3
• NIST SP 800-37, Guía para la certificación y acreditación de la seguridad de los
sistemas de información federales;
• Borrador del NIST SP 800-39, Gestión del riesgo de los sistemas de información:
Una perspectiva de la organización;
• NIST SP 800-53, Controles de seguridad recomendados para los sistemas de información
federales;
• NIST SP 800-53A, Guía para evaluar los controles de seguridad en los sistemas de
información federales; y
• NIST SP 800-59, Guía para la identificación de un sistema de información como
sistema de seguridad nacional.
Esta serie de nueve documentos tiene por objeto proporcionar un marco estructurado, aunque
flexible, para seleccionar, especificar, emplear, evaluar y supervisar los controles de seguridad
en los sistemas de información federales y, por lo tanto, contribuye significativamente a
satisfacer los requisitos de la Ley Federal de Gestión de la Seguridad de la Información
(FISMA) de 2002. Aunque las publicaciones se refuerzan mutuamente y tienen algunas
dependencias, en la mayoría de los casos pueden utilizarse eficazmente de forma independiente.
Los tipos de información del SP 800-60 y los niveles de impacto en la seguridad asociados se
basan en el Documento del Modelo de Referencia Consolidado de la FEA de la Oficina de
Gestión y Presupuesto (OMB) de octubre de 2007, en las aportaciones de los participantes en
talleres anteriores del NIST SP 800-60 y en el FIPS 199. La justificación de los ejemplos de
recomendaciones a nivel de impacto que se ofrecen en los apéndices se ha obtenido de múltiples
fuentes y, como tal, requerirá varias iteraciones de revisión, comentarios y modificaciones
posteriores para lograr la coherencia en la terminología, la estructura y el contenido.
1.4 Organización de esta publicación especial

Este es el Volumen I de dos volúmenes. Contiene las directrices básicas para asignar los tipos
de información y los sistemas de información a las categorías de seguridad. Los apéndices, que
incluyen las recomendaciones de categorización de la seguridad para los tipos de información
basados en la misión y la justificación de las recomendaciones de categorización de la
seguridad, se publican en un Volumen II separado.
El volumen I proporciona la siguiente información de fondo y directrices para la elaboración de mapas:
• Sección 2: Ofrece una visión general del valor del proceso de categorización para las
misiones de las agencias, los programas de seguridad y la gestión general de la tecnología
de la información (TI), así como el papel de la publicación en el ciclo de vida del
desarrollo del sistema, el proceso de certificación y acreditación, y el Marco de Gestión
de Riesgos del NIST.
• Sección 3: Proporciona los objetivos de seguridad y los correspondientes niveles de
impacto en la seguridad identificados en la Norma Federal de Procesamiento de la
Información 199, Normas para la categorización de la seguridad de la información
federal y los sistemas de información [FIPS 199];
3
3
Este documento está actualmente en revisión y se volverá a publicar como Publicación Especial 800-30, Revisión 1,
Guía para la realización de evaluaciones de riesgos.
4
• Sección 4: Identifica el proceso, incluyendo las directrices para la identificación de los
tipos de información basados en la misión y en la gestión y el apoyo, y el proceso
utilizado para seleccionar los niveles de impacto en la seguridad, las consideraciones
generales relativas a la asignación del impacto en la seguridad, las directrices para la
categorización de la seguridad del sistema, y las consideraciones y directrices para
aplicar e interrelacionar los resultados de la categorización del sistema a la empresa de
la agencia, las grandes infraestructuras de apoyo y los sistemas de interconexión;
• Apéndice A: Glosario; y
• Apéndice B: Referencias.
El volumen II incluye los siguientes apéndices:
• Apéndice A: Glosario [repetido];
• Apéndice B: Referencias [repetidas];
• Apéndice C: Asignaciones provisionales de nivel de impacto de seguridad y
justificación de la información de gestión y apoyo (información administrativa, de
gestión y de servicio);
• Apéndice D: Asignaciones provisionales del nivel de impacto sobre la seguridad y
justificación de la información basada en la misión (información de la misión y
mecanismos de prestación de servicios); y
• Apéndice E: Fuentes legislativas y ejecutivas que especifican las propiedades de
sensibilidad/criticidad.
5
2.0 RESUMEN DE LA PUBLICACIÓN
La categorización de la seguridad proporciona un paso vital en la integración de la seguridad en
las funciones de gestión de la tecnología de la información y del negocio de la agencia
gubernamental y establece la base para la estandarización de la seguridad entre sus sistemas de
información. La categorización de la seguridad comienza con la identificación de qué
información soporta qué líneas de negocio del gobierno, tal y como se define en la Arquitectura
Empresarial Federal (FEA). Los pasos siguientes se centran en la evaluación de la necesidad de
seguridad en términos de confidencialidad, integridad y disponibilidad. El resultado es una
fuerte vinculación entre las misiones, la información y los sistemas de información con una
seguridad de la información rentable.
2.1 Las agencias apoyan el proceso de categorización de la seguridad

Las agencias apoyan el proceso de categorización estableciendo tipos de información basados en
la misión de la organización. El enfoque para establecer tipos de información basados en la
misión en una agencia comienza por documentar la misión y las áreas de negocio de la agencia.
En el caso de la información basada en la misión, las personas responsables, en coordinación con
la dirección, las operaciones, la arquitectura empresarial y las partes interesadas en la seguridad,
deben recopilar un conjunto completo de las líneas de negocio y las áreas de la misión de la
agencia. Además, los responsables deben identificar las subfunciones aplicables necesarias para
cumplir la misión de la organización. Por ejemplo, la misión de una organización puede estar
relacionada con el desarrollo económico. Las subfunciones que forman parte de la misión de
desarrollo económico de la organización podrían incluir el desarrollo empresarial e industrial, la
protección de la propiedad intelectual o la supervisión del sector financiero. Cada una de estas
subfunciones representa un tipo de información.
Las agencias deben llevar a cabo las categorizaciones de seguridad FIPS 199 de sus sistemas de
información como una actividad de toda la agencia con la participación de la alta dirección y
otros funcionarios clave dentro de la organización (por ejemplo, los propietarios de la misión y
del negocio, los funcionarios que autorizan, el ejecutivo de riesgos, el director de información, el
director de seguridad de la información de la agencia, los propietarios del sistema de
información y los propietarios de la información) para garantizar que cada sistema de
información recibe la supervisión de gestión adecuada y refleja las necesidades de la
organización en su conjunto. La supervisión del liderazgo superior en el proceso de
categorización de la seguridad es esencial para que los siguientes pasos del Marco4 de Gestión
de Riesgos del NIST (por ejemplo, la selección del control de seguridad) puedan llevarse a cabo
de una manera eficaz y coherente en toda la agencia.
2.2 Valor para las misiones de la agencia, los programas de seguridad y la gestión
de TI
Los organismos federales dependen en gran medida de la información y de los sistemas de
información para llevar a cabo con éxito sus misiones críticas. Con una creciente fiabilidad y
complejidad de los sistemas de información, así como un entorno de riesgo en constante cambio,
la seguridad de la información se ha convertido en una función esencial para la misión. Esta
función debe llevarse a cabo de manera que se reduzcan los riesgos para la información confiada
a la agencia, su misión general y su capacidad para hacer negocios y servir al público
6
estadounidense. En definitiva, la seguridad de la información, como función, se convierte en un
elemento facilitador del negocio a través de una gestión diligente y eficaz del riesgo para la
confidencialidad, integridad y disponibilidad de la información.
4
Véase la sección Figura2.5, 1: Marco de gestión de riesgos del NIST
7
Por lo tanto, el valor de la categorización de la seguridad de la información es permitir a las
agencias implementar proactivamente los controles de seguridad de la información apropiados
basados en el impacto potencial evaluado para la confidencialidad, integridad y disponibilidad
de la información y, a su vez, apoyar su misión de una manera rentable. Un análisis incorrecto
del impacto en el sistema de información (es decir, una 199categorización incorrecta de la
seguridad FIPS) puede dar lugar a que el organismo sobreproteja el sistema de información,
desperdiciando así valiosos recursos de seguridad, o a que no proteja suficientemente el sistema
de información y ponga en riesgo operaciones y activos importantes. La acumulación de estos
errores a nivel de empresa puede agravar aún más el problema.
Por el contrario, la realización de los análisis de impacto de FIPS 199 como un ejercicio para
toda la agencia con la participación de los funcionarios clave (por ejemplo, el Director de
Información [CIO], el Oficial Superior de Seguridad de la Información de la Agencia [SAISO],
los Funcionarios Autorizantes, los Propietarios de la Misión/Sistema) en múltiples niveles puede
permitir a la agencia aprovechar las economías de escala a través de la gestión eficaz y la
aplicación de los controles de seguridad a nivel de la empresa. Un valor resultante de la
implementación consistente de este proceso sistemático para determinar la categorización de la
seguridad y la aplicación de la protección de seguridad apropiada es una mejor comprensión
general de la misión de la agencia, los procesos de negocio y la propiedad de la información y el
sistema.
Consejo de
aplicación
Para permitir un nivel adecuado de apoyo a la misión y la aplicación
diligente de los requisitos de seguridad de la información actuales y
futuros, cada agencia debería establecer un proceso formal para validar las
categorizaciones de seguridad a nivel de sistema en términos de prioridades
de la agencia. Esto no sólo promoverá una evaluación comparable de los
sistemas, sino que también producirá beneficios adicionales que incluirán
el aprovechamiento de los controles de seguridad comunes y el
establecimiento de la defensa en profundidad.
2.3 Papel en el ciclo de vida del desarrollo del sistema

La categorización inicial de la seguridad debería realizarse en las primeras fases del ciclo de vida
de desarrollo del sistema de la agencia (SDLC). La categorización de la seguridad resultante
alimentaría la identificación de los requisitos de seguridad (que más tarde se convertirían en
controles de seguridad) y otras actividades relacionadas, como el análisis del impacto sobre la
privacidad o el análisis de la infraestructura crítica. En última instancia, los requisitos de
seguridad identificados y los controles de seguridad seleccionados se introducen en el proceso
estándar de ingeniería de sistemas para integrar eficazmente los controles de seguridad con los
requisitos funcionales y operativos de los sistemas de información, así como otros requisitos
pertinentes del sistema (por ejemplo, fiabilidad, capacidad de mantenimiento, capacidad de
apoyo).
2.4 Papel en el proceso de certificación y acreditación

La categorización de la seguridad establece la base de la actividad de certificación y
8
acreditación (C&A) al determinar los niveles de rigor requeridos para la certificación y las
pruebas de garantía general de los controles de seguridad, así como las actividades adicionales
que puedan ser necesarias (es decir, la privacidad y la protección de infraestructuras críticas
(CIP)). Por lo tanto, ayuda a determinar el nivel de esfuerzo de C&A y la duración de la
actividad asociada.
9
La categorización de la seguridad es una actividad previa al proceso de C&A. La categorización
debe revisarse al menos cada tres años o cuando se produzcan cambios significativos en el
sistema o en las líneas de negocio de apoyo. Los cambios de situación fuera del sistema o de la
agencia pueden requerir una reevaluación de la categorización (es decir, cambios de misión
dirigidos, cambios en la gobernanza, actividades de amenazas elevadas o dirigidas). Para más
información, véase NIST SP 800-64, Security Considerations in the Information System
Development Life Cycle y NIST SP 800-37, Guide for the Security Certification and
Accreditation of Federal Information Systems.
Consejo de
aplicación
Es importante revisar rutinariamente la categorización de la seguridad a
medida que cambia la misión o el negocio porque es probable que los
niveles de impacto o incluso los tipos de información también cambien.
2.5 Función en el marco de gestión de riesgos del NIST

La categorización de la seguridad es el primer paso clave en el Marco5 de Gestión de Riesgos
debido a su efecto en todos los demás pasos del marco, desde la selección de los controles de
seguridad hasta el nivel de esfuerzo en la evaluación de la eficacia de los controles de
seguridad.
La figura 1, Marco de Gestión de Riesgos del NIST, representa el papel de las normas y
directrices de seguridad del NIST para la seguridad de los sistemas de información.
10
5
NIST SP 800-39, Gestión del riesgo de los sistemas de información: An Organizational Perspective,
(Borrador público inicial), octubre 2007.
11
Figura 1: Marco de gestión de riesgos del NIST
El proceso de categorización de la seguridad documentado en esta publicación
proporciona información para los siguientes procesos:
• Paso 2: Seleccionar un conjunto inicial de controles de seguridad para el sistema de
información basado en la categorización de seguridad FIPS 199 y aplicar la guía de
adaptación, según proceda, para obtener un punto de partida para los controles
requeridos, tal como se especifica en FIPS 200, Requisitos mínimos de seguridad para
la información y los sistemas de información federales y NIST SP 800-53, Controles de
seguridad recomendados para los sistemas de información federales. Utilizando el
NIST SP 800-53 y el SP 800-30, Guía de gestión de riesgos para sistemas de tecnología
de la información, complementar el conjunto inicial de controles de seguridad adaptados
basándose en una evaluación del riesgo y de las condiciones locales, incluidos los
requisitos de seguridad específicos de la organización, la información sobre amenazas
específicas, los análisis de coste-beneficio o las circunstancias especiales.
• Paso 3: Implementar los controles de seguridad en el sistema de información.
• Paso 4: Evaluar los controles de seguridad utilizando métodos y procedimientos
apropiados para determinar el grado en que los controles se implementan
correctamente, funcionan como se pretende y producen el resultado deseado con
respecto al cumplimiento de los requisitos de seguridad del sistema. (Referencia
12
NIST SP 800-53A, Guide for Assessing the Security Controls in Federal
Information Systems).
13
• Paso 5: Autorizar el funcionamiento del sistema de información sobre la base de una
determinación del riesgo para las operaciones de la organización, los activos de la
organización, o para los individuos resultantes de la operación del sistema de
información y la decisión de que este riesgo es aceptable como se especifica en el NIST
SP 800-37, Guía para la certificación de seguridad y acreditación de los sistemas de
información federales.
• Paso 6: Supervisar y evaluar los controles de seguridad seleccionados en el sistema de
información de forma continua, incluyendo la documentación de los cambios en el
sistema, la realización de análisis del impacto en la seguridad de los cambios asociados,
y la presentación de informes sobre el estado de seguridad del sistema a los funcionarios
apropiados de la organización de forma regular. (Referencia NIST SP 800-37 y SP 800-
53A).
14
3.0 CATEGORIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN Y
SISTEMAS DE INFORMACIÓN
La Norma Federal de Procesamiento de Información 199 (FIPS 199), Standards for Security
Categorization of Federal Information and Information Systems, define las categorías de
seguridad, los objetivos de seguridad y los niveles de impacto a los que la SP 800-60 asigna los
tipos de información. FIPS 199 establece categorías de seguridad basadas en la magnitud del
daño que se espera que resulte de los compromisos, más que en los resultados de una evaluación
que incluya un intento de determinar la probabilidad de compromiso. FIPS 199 también
describe el contexto de uso de esta directriz. Parte del contenido de FIPS 199 se incluye en esta
sección para simplificar el uso de esta directriz.
3.1 Categorías y objetivos de seguridad

3.1.1 Categorías de seguridad
FIPS establece199 categorías de seguridad tanto para la información6 como para los sistemas de
información. Las categorías de seguridad se basan en el impacto potencial sobre una
organización en caso de que se produzcan determinados eventos. Los impactos potenciales
podrían poner en peligro la información y los sistemas de información que la organización
necesita para cumplir la misión que se le ha asignado, proteger sus activos, cumplir con sus
responsabilidades legales, mantener sus funciones diarias y proteger a las personas. Las
categorías de seguridad deben utilizarse junto con la información sobre la vulnerabilidad y las
amenazas para evaluar el riesgo de una organización.
FIPS 199 establece tres niveles potenciales de impacto (bajo, moderado y alto) relevantes para
asegurar la información federal y los sistemas de información para cada uno de los tres objetivos
de seguridad establecidos (confidencialidad, integridad y disponibilidad).
3.1.2 Objetivos de seguridad y tipos de pérdidas potenciales
Como se refleja en el cuadro 1, FISMA y FIPS 199 definen tres objetivos de seguridad para
la información y los sistemas de información.
Cuadro 1: Objetivos de seguridad de la información y de los sistemas de información
Objetivos
Definición de la FISMA [44 U.S.C., Sec. 3542] Definición199 FIPS
de
seguridad
Confidencialidad "Preservar las restricciones autorizadas para el Una pérdida de
acceso y la divulgación de la información, incluidos confidencialidad es la
los medios para proteger la privacidad personal y la divulgación no autorizada de
información de propiedad..." información.
Integridad "Proteger contra la modificación o destrucción Una pérdida de integridad es la
indebida de la información, e incluye garantizar el modificación o destrucción no
no repudio y la autenticidad de la información..." autorizada de la información.
Disponibilidad "Garantizar el acceso oportuno y fiable a la Una pérdida de disponibilidad es la
información y su uso..." interrupción del acceso o del uso de
la información o de un sistema de
información.
15
6
La información se clasifica según su tipo de información. Un tipo de información es una categoría
específica de información (por ejemplo, privacidad, médica, de propiedad, financiera, de investigación,
sensible al contratista, de gestión de la seguridad) definida por una organización o, en algunos casos, por una
ley específica, una orden ejecutiva, una directiva, una política o un reglamento.
16
3.2 Evaluación del impacto
FIPS 199 define tres niveles de impacto potencial sobre las organizaciones o los individuos en
caso de que se produzca una violación de la seguridad (es decir, una pérdida de
confidencialidad, integridad o disponibilidad). La aplicación de estas definiciones debe
realizarse en el contexto de cada organización y del interés nacional general. El cuadro 2
proporciona las definiciones de 199impacto potencial de FIPS.
Cuadro 2: Niveles de impacto potencial
Impacto
Definicione
potenci
s
al
Bajo El impacto potencial es bajo si: se puede esperar que la pérdida de confidencialidad, integridad
o disponibilidad tenga un efecto adverso limitado en las operaciones de la organización, los
activos de la organización o los individuos.7
Un efecto adverso limitado significa que, por ejemplo, la pérdida de confidencialidad, integridad
o disponibilidad podría (i) causar una degradación de la capacidad de la misión en una medida y
duración tales que la organización sea capaz de realizar sus funciones primarias, pero la eficacia
de las funciones se reduzca notablemente; (ii) resultar en un daño menor a los activos de la
organización; (iii) resultar en una pérdida financiera menor; o (iv) resultar en un daño menor a
las personas.
Moderad El impacto potencial es moderado si: se puede esperar que la pérdida de confidencialidad,
o integridad o disponibilidad tenga un efecto adverso grave en las operaciones de la organización,
los activos de la organización o las personas.
Un efecto adverso grave significa que, por ejemplo, la pérdida de confidencialidad, integridad o
disponibilidad podría (i) causar una degradación significativa de la capacidad de la misión en una
medida y duración tales que la organización pueda realizar sus funciones primarias, pero la eficacia
de las funciones se vea reducida de forma significativa; (ii) provocar un daño significativo a los
activos de la organización; (iii) provocar una pérdida financiera significativa; o (iv) provocar un
daño significativo a las personas que no implique la pérdida de la vida o lesiones graves que
pongan en peligro la vida.
Alto El impacto potencial es alto si: se puede esperar que la pérdida de confidencialidad,
integridad o disponibilidad tenga un efecto adverso grave o catastrófico en las operaciones
de la organización, los activos de la organización o las personas.
Un efecto adverso grave o catastrófico significa que, por ejemplo, la pérdida de confidencialidad,
integridad o disponibilidad podría (i) causar una grave degradación o pérdida de la capacidad de la
misión hasta el punto y la duración en que la organización no sea capaz de realizar una o más de
sus funciones principales; (ii) resultar en un daño importante a los activos de la organización; (iii)
resultar en una pérdida financiera importante; o
(iv) provocar daños graves o catastróficos a las personas que impliquen la pérdida de la
vida o lesiones graves que pongan en peligro la vida.
En FIPS 199, la categoría de seguridad de un tipo de información puede asociarse tanto a la
información del usuario como a la del sistema 8y puede ser aplicable a la información en forma
electrónica o no electrónica. También se utiliza como entrada para considerar la categoría de
seguridad apropiada para un sistema. El establecimiento de una categoría de seguridad
adecuada para un tipo de información requiere simplemente determinar el impacto potencial
para cada objetivo de seguridad asociado con el tipo de información particular. El formato
generalizado para expresar la categoría de seguridad, o SC, de un tipo de información es:
7
Los efectos adversos para las personas pueden incluir, pero no se limitan a, la pérdida de la privacidad a la
que las personas tienen derecho según la ley.
17
8
La información del sistema (por ejemplo, las tablas de enrutamiento de la red, los archivos de contraseñas, la
información de gestión de claves criptográficas) debe estar protegida a un nivel acorde con la información más
crítica o sensible del usuario que está siendo procesada por el sistema de información para garantizar la
confidencialidad, la integridad y la disponibilidad.
18
Información de la
categoría de seguridad =type {(confidencialidad, impacto), (integridad, impacto),
(disponibilidad, impacto)}
donde los valores aceptables para el impacto potencial son bajo, moderado, alto o no aplicable.9
9
El valor de impacto potencial de no aplicable puede aplicarse únicamente al objetivo de seguridad de confidencialidad.
19
4.0 ASIGNACIÓN DE NIVELES DE IMPACTO Y
CATEGORIZACIÓN DE LA SEGURIDAD
Esta sección proporciona una metodología para asignar niveles de impacto de seguridad y
categorizaciones de seguridad para tipos de información y sistemas de información consistentes
con la misión asignada de la organización y las funciones de negocio basadas en FIPS 199,
Estándares para la Categorización de Seguridad de la Información Federal y Sistemas de
Información. Este documento asume que el usuario ha leído y está familiarizado con FIPS 199.
La figura 2 ilustra el proceso de categorización de la seguridad en cuatro pasos y la forma en
que impulsa la selección de los controles de seguridad de referencia.
Entradas de proceso
Identificar los
sistemas de
información
3
1 2 Ajustar/finaliz Asignar
Identifi Selec Revisión de
ar los niveles categoría
car de
Tipos cione de
Niveles los niveles de
de impacto de de
informaci impacto impacto
la información 4seguridad
ón provisionales provisionales
del sistema
Proceso
Resultados del FIPS / 200SP 800-53

Selección del control Categoriza
proceso
de seguridad ción de la
seguridad
Figura 2: Ejecución del proceso de categorización de seguridad SP 800-60

El cuadro 3 proporciona una hoja de ruta paso a paso para identificar los tipos de información,
establecer los niveles de impacto de la seguridad para la pérdida de confidencialidad, integridad
y disponibilidad de los tipos de información, y asignar la categorización de la seguridad para
los tipos de información y para los sistemas de información.
La categorización de la seguridad es la base para identificar un conjunto inicial de controles de
seguridad para el sistema de información.10 Cada paso funcional del proceso se explica en
detalle en las secciones
4.1 a través de 4.4.
10
Un sistema de información es un conjunto discreto de recursos de información organizados para la
20
recopilación, el procesamiento, el mantenimiento, el uso, el intercambio, la difusión o la disposición de la
información [Fuente: SP 800-53; FIPS 200; FIPS 199; U44.S.C., Sec. 3502; OMB Circular A-130, App. III]
21
Tabla 3: Hoja de ruta del proceso SP 800-60
Proceso
PasoActividadesRoles
Entrada: • Las agencias deben desarrollar sus propias políticas en lo que respecta a la identificación CIO; SAISO;
Identificar los del sistema de información con fines de categorización de la seguridad. El sistema suele Propietarios
sistemas de estar delimitado por un perímetro de seguridad11. de la misión
información • Documentar las áreas de negocio y misión de la agencia Propietarios
Paso 1 • Identificar todos los tipos de información que se introducen, almacenan, procesan y/o de la misión;
salen de cada sistema [Sección 4.1] propietarios
o Identificar las categorías de tipos de información basados en la misión en función de las de la
líneas de negocio de la AEF [Sección 4.1.1]. información
o Según corresponda, identifique las categorías de tipos de información de gestión y
apoyo en función de las líneas de negocio de la AEF [Sección 4.1.2].
o Especifique las subfunciones aplicables para las categorías identificadas basadas en la
Misión y de Gestión y Apoyo [Volumen II, Apéndices C y D].
o Según sea necesario, identifique otros tipos de información requeridos [Secciones
44.1.3,.1.4]
• Documentar los tipos de información aplicables para el sistema de información identificado
junto con la base para la selección del tipo de información [Sección 4.5]
Paso 2 • Seleccione los niveles de impacto de seguridad para los tipos de información identificados Oficial de
o de los niveles de impacto provisionales recomendados para cada tipo de información Seguridad
identificada [Volumen II, Apéndices C y D) del Sistema
o o bien, a partir de los criterios199 FIPS proporcionados en la Sección de la de
Tabla 7y4.2.1, la Sección 4.2.2 Información
• Determine la categoría de seguridad (SC) para cada tipo de información: Tipo de información (ISSO)
SC =
{(confidencialidad, impacto), (integridad, impacto), (disponibilidad, impacto)}
Paso 3 • Documentar el nivel de impacto provisional de la confidencialidad, la integridad y la
disponibilidad asociado al tipo de información del sistema [Sección 4.5]
• Revisar la idoneidad de los niveles de impacto provisionales en función de la SAISO; ISSO;
organización, el entorno, la misión, el uso y el intercambio de datos [Sección 4.3] Propietarios
• Ajuste los niveles de impacto según sea necesario en base a las siguientes consideraciones: de la misión;
o Factores de confidencialidad, integridad y disponibilidad [Sección 4.2.2] propietarios
o Factores situacionales y operativos (calendario, ciclo de vida, etc.) [Sección 4.3] de la
o Razones legales o estatutarias información
• Documente todos los ajustes de los niveles de impacto y proporcione el fundamento o la
Paso 4
justificación de los ajustes [Sección 4.5].
• Revisar las categorizaciones de seguridad identificadas para el conjunto de tipos de
información. CIO, SAISO;
• Determinar la categorización de la seguridad del sistema identificando el nivel de impacto ISSO;
de la seguridad para cada uno de los objetivos de seguridad (confidencialidad, integridad, Propietarios
disponibilidad): de la Misión;
Sistema SC X = {(confidencialidad, impacto), (integridad, impacto), (disponibilidad, impacto)} Propietarios
• Ajustar el nivel de impacto de la seguridad para cada objetivo de seguridad del sistema, de la
según sea necesario, aplicando los factores discutidos en la sección 4.4.2. Información
Salida: • Asignar el nivel de impacto global del sistema de información basado en el nivel de impacto
Categorización más alto para los objetivos de seguridad del sistema (confidencialidad, integridad,
de la seguridad disponibilidad)
• Seguir el proceso de supervisión de la agencia para revisar, aprobar y documentar
todas las determinaciones o decisiones [Sección 4.5].
• Resultado que puede utilizarse como entrada para la selección del conjunto de controles CIO; ISSO;
de seguridad necesarios para cada sistema y la evaluación del riesgo del sistema Autoridades;
• Los controles de seguridad mínimos recomendados para cada categoría de seguridad promotores
del sistema se pueden encontrar en el NIST SP 800-53, actualizado
22
11
El perímetro de seguridad es sinónimo del término límite de acreditación e incluye todos los componentes
de un sistema de información que debe ser acreditado por un funcionario autorizante y excluye los sistemas
acreditados por separado a los que el sistema de información está conectado.
23
4.1 Paso 1: Identificar los tipos de información
De acuerdo con FIPS 199, las agencias identificarán todos los tipos de información aplicables
que son representativos de los datos de entrada, almacenados, procesados y/o de salida de cada
sistema. La actividad inicial para asignar los tipos de información y sistemas de información
federales a los objetivos de seguridad y niveles de impacto es el desarrollo de una taxonomía de
la información, o la creación de un catálogo de tipos de información.12 La base para la
identificación de los tipos de información es el Modelo de Referencia Empresarial (BRM) de la
OMB descrito en la publicación de octubre de 2007, FEA Consolidated Reference Model
Document, Version 2.3. El BRM describe cuatro áreas de negocio que contienen 39 líneas de
negocio de la AEF.13 Las cuatro áreas de negocio separan las operaciones gubernamentales en
categorías de alto nivel relacionadas:
• La finalidad del gobierno (servicios para los ciudadanos);
• Los mecanismos que utiliza el gobierno para lograr su propósito (modo de ejecución);
• Las funciones de apoyo necesarias para llevar a cabo las operaciones
gubernamentales (apoyo a la prestación de servicios); y
• Las funciones de gestión de recursos que apoyan todas las áreas de la
actividad del gobierno (gestión de los recursos del gobierno).
Las dos primeras áreas de negocio, los servicios a los ciudadanos y el modo de prestación
representan los tipos de información basados en la misión del NIST SP 800-60 y se tratarán
primero en la siguiente sección, mientras que la prestación de servicios de apoyo y la gestión de
los recursos gubernamentales representan los tipos de información de gestión y apoyo y se
presentarán en la sección 4.1.2.
Aunque esta directriz identifica una serie de tipos de información y basa su taxonomía en el
BRM, sólo unos pocos de los tipos identificados son susceptibles de ser procesados por un único
sistema. Además, cada sistema puede procesar información que no se ajusta a uno de los tipos
de información enumerados. Una vez que se haya seleccionado un conjunto de tipos de
información identificados en esta directriz, es prudente revisar la información procesada por
cada sistema examinado para ver si es necesario identificar tipos adicionales a efectos de la
evaluación del impacto. Además, se recomienda que los funcionarios de la organización
mantengan una documentación adecuada de los tipos de información identificados por sistema
de información junto con la base para la selección del tipo de información. En el apartado 4.5 se
ofrecen orientaciones para documentar los tipos de información.
4.1.1 Identificación de los tipos de información basados en la misión
Esta sección describe un proceso para identificar los tipos de información basados en la misión y
para especificar el impacto de la divulgación no autorizada, la modificación o la no
disponibilidad de esta información. Los tipos de información basados en la misión son, por
definición, específicos de los departamentos y agencias individuales o de conjuntos específicos
de departamentos y agencias. La división de servicios de BRM para los ciudadanos proporciona
el marco de referencia principal para determinar la seguridad
12
Una cuestión asociada a la actividad de taxonomía es la determinación del grado de granularidad. Si las
categorías son demasiado amplias, es probable que las directrices para asignar niveles de impacto sean
24
demasiado generales para ser útiles. Por otra parte, si se intenta proporcionar directrices para cada elemento de
información procesado por cada agencia gubernamental, es probable que la directriz sea poco manejable y
requiera cambios excesivamente frecuentes.
13
En el Apéndice A del SP 800-60 se proporcionan definiciones para los términos de BRM como "Áreas de
Negocio", "Líneas de Negocio" y "Subfunciones".
25
niveles de impacto de los objetivos para la información y los sistemas de información basados en
la misión. Las consecuencias o el impacto de la divulgación no autorizada de la información, la
modificación o la destrucción de la información y la interrupción del acceso o del uso de la
información se definen según la naturaleza y el beneficiario del servicio que se presta o apoya. El
BRM establece 26 líneas de negocio de servicios directos y de apoyo a la prestación, con 98
tipos de información asociados (véase el cuadro 4). Se incluyeron dos tipos de información
adicionales para abordar las funciones ejecutivas de la Oficina Ejecutiva del Presidente y la
aplicación de las leyes comerciales. Estas adiciones se identifican en cursiva en el cuadro 4.
Cuadro 4: Tipos de información basada en la misión y mecanismos de
entrega14
Áreas de misión y tipos de información [Servicios para los ciudadanos]
D.1 Defensa y seguridad D.7 Energía D.14 Salud
nacional Defensa estratégica Suministro de energía Acceso a la asistencia
nacional y de teatro Defensa Conservación y preparación de la Gestión de la salud de la población y
operativa energía Gestión de los recursos seguridad del consumidor
Defensa táctica energéticos Administración de la
D.2 Seguridad nacional Producción de energía asistencia sanitaria Servicios
Seguridad de las fronteras y del D.8 Gestión medioambiental de prestación de asistencia
transporte Activos clave e Vigilancia y previsión sanitaria
infraestructuras críticas medioambiental Investigación sanitaria y formación de
Protección Remediación Ambiental profesionales
Defensa Catastrófica Prevención y Control de la D.15 Seguridad de los
Funciones ejecutivas de la Oficina Contaminación ingresos Jubilación e invalidez
Ejecutiva del Presidente (EOP) D.9 Desarrollo económico general Indemnización por
D.3 Operaciones de inteligencia Desarrollo empresarial e industrial desempleo Ayuda a la vivienda
Planificación de la Protección de la propiedad Asistencia alimentaria y
inteligencia Recogida intelectual Supervisión del sector nutricional Indemnización
de información financiero para los supervivientes
Análisis y producción de Estabilización de los ingresos del sector D.16 Aplicación de la ley
inteligencia Difusión de industrial Aprehensión de delincuentes
inteligencia Procesamiento de D.10 Servicios comunitarios y Investigación penal y vigilancia
inteligencia sociales Promoción de la propiedad de Protección ciudadana
D.4 Gestión de catástrofes la vivienda Desarrollo comunitario y Liderazgo Protección
Vigilancia y predicción de regional Servicios sociales de la propiedad
catástrofes Preparación y Servicios postales Control de sustancias
planificación de catástrofes D.11 Transporte Prevención del delito
Reparación y restauración de Transporte terrestre Aplicación de la ley de comercio
catástrofes Respuesta de Transporte acuático D.17 Litigios y actividades judiciales
emergencia Transporte aéreo Audiencias
D.5 Asuntos Operaciones espaciales judiciales Defensa
internacionales y D.12 Educación legal Investigación
comercio Educación primaria, secundaria y legal
Asuntos Exteriores profesional Facilitación de la tramitación
Desarrollo internacional y Educación superior legal y de la resolución de
ayuda humanitaria Conservación cultural e histórica litigios
Comercio mundial Exposición cultural e histórica D.18 Actividades penitenciarias
D.6 Recursos D.13 Gestión de la mano de obra federales
naturales Gestión de los Formación y empleo Encarcelamiento penal
recursos hídricos Conservación, Derechos laborales Rehabilitación penal
marina y terrestre Gestión de la seguridad de D.19 Ciencias generales e innovación
Gestión los trabajadores Investigación e innovación científica y
Gestión de recursos recreativos y tecnológica
turismo Exploración e innovación espacial
Innovación y servicios agrícolas
26
14
Los tipos de información recomendados en NIST SP 800-60 se establecen a partir de las "áreas de negocio"
y las "líneas de negocio" de la sección del Modelo de Referencia de Negocio (BRM) de la OMB del
Documento del Modelo de Referencia Consolidado de la Arquitectura Empresarial Federal (FEA), versión
2.3, de octubre 2007.
27
Cuadro 4: Tipos de información basada en la misión y mecanismos de entrega14
Mecanismos de prestación de servicios y tipos de información [Modo de
prestación]
D.20 Creación y gestión del D.22 Creación y gestión de D.24 Créditos y seguros
conocimiento bienes públicos Préstamos
Investigación y desarrollo Fabricación directos Garantías
Propósito general Datos y Construcción de préstamos
estadísticas Asesoramiento y Gestión de recursos públicos, Seguros generales
consultoría Difusión de instalaciones e D.25 Transferencias a
conocimientos infraestructuras gobiernos
D.21 Cumplimiento y Gestión de la infraestructura de la estatales/locales
aplicación de la información Subvenciones de fórmula
normativa D.23 Ayuda financiera federal Subvenciones de
Inspecciones y auditorías Subvenciones federales (no proyecto/competitivas
Establecimiento de estatales) Transferencias Subvenciones asignadas
normas/elaboración de informes de directas a particulares Préstamos estatales
directrices Subvenciones D.26 Servicios directos al ciudadano
Permisos y licencias Créditos fiscales Operaciones
militares
Operaciones civiles
El enfoque para establecer los tipos de información basados en la misión a nivel de la agencia
comienza por documentar las áreas de negocio y misión de la agencia. El propietario, o la
persona designada, de cada sistema de información es responsable de identificar los tipos de
información almacenados, procesados o generados por ese sistema de información. En el caso
de la información basada en la misión, las personas responsables, en coordinación con las
partes interesadas en la gestión, las operaciones y la seguridad, deben recopilar un conjunto
completo de líneas de negocio y áreas de misión llevadas a cabo por la agencia. Además, los
responsables deberán identificar las subfunciones aplicables necesarias para llevar a cabo las
actividades del organismo y, a su vez, cumplir la misión del mismo. Por ejemplo, una misión
llevada a cabo por una agencia podría ser la aplicación de la ley. Las subfunciones que forman
parte de la misión de aplicación de la ley de la agencia podrían incluir la investigación y la
vigilancia criminal, la aprehensión de criminales, el encarcelamiento de criminales, la
protección de los ciudadanos, la prevención del crimen y la protección de la propiedad. Cada
una de estas subfunciones representaría un tipo de información.
Las líneas de negocio recomendadas basadas en la misión y las subfunciones constituyentes
que pueden ser procesadas por los sistemas de información se identifican en la Tabla 4 con
detalles proporcionados en el Volumen II, Apéndice D, "Ejemplos de determinación del
impacto para la información basada en la misión y los sistemas de información".
Consejo de
aplicación
A nivel de agencia, todas las agencias gubernamentales realizan al
menos una de las áreas de misión y emplean al menos uno de los
mecanismos de prestación de servicios descritos en la Tabla 4. Sin
embargo, algunos sistemas de información pueden desempeñar
únicamente una función de apoyo a la misión del organismo y no
procesar directamente ninguno de los tipos de información basados en
la misión.
28
4.1.2 Identificación de la información de gestión y apoyo
Gran parte de la información de la administración federal y muchos sistemas de información de

apoyo no se emplean directamente para prestar servicios basados en misiones directas, sino que
se destinan principalmente a apoyar la prestación de servicios o a gestionar recursos. Las áreas
de negocio de apoyo a la prestación de servicios y de gestión de recursos están compuestas por
13 líneas de negocio (cuadros 5 y 6). El sitio web
29
La BRM subdivide las líneas de negocio en 72 subfunciones. Las áreas de negocio de prestación
de servicios de apoyo y de gestión de recursos son comunes a la mayoría de los organismos de la
Administración Federal, y la información asociada a cada una de sus subfunciones se identifica
en esta directriz como un tipo de información de gestión y apoyo. Se han definido cuatro tipos de
información de subfactor de gestión y apoyo adicionales para abordar la información sobre la
privacidad. Se ha definido un tipo de información de subfactor de gestión y apoyo adicional para
tratar la información general como un tipo de información general que puede no estar definida
por el BRM de la FEA. Como tal, las agencias pueden encontrar necesario identificar tipos de
información adicionales no definidos en el BRM y asignar niveles de impacto de seguridad
asociados a esos tipos.
4.1.2.1 Información de apoyo a la prestación de servicios

La mayoría de los sistemas de información empleados en las actividades de apoyo a la prestación
de servicios y de gestión de recursos participan en una o más de las ocho líneas de negocio de
apoyo a la prestación de servicios. Cada uno de los tipos de información asociados a las
subfunciones de apoyo a la prestación de servicios se presenta en la Tabla 5. El Volumen II,
Apéndice C.2, "Funciones de apoyo a la prestación de servicios", recomienda niveles de impacto
provisionales para los objetivos de seguridad de confidencialidad, integridad y disponibilidad.
Estas funciones de apoyo a la prestación de servicios son las actividades cotidianas necesarias
para proporcionar la base política, programática y de gestión crítica que sustenta las operaciones
del gobierno federal. Las misiones de servicio directas y las circunscripciones a las que en última
instancia prestan apoyo las funciones de apoyo a los servicios constituyen un factor importante a
la hora de determinar los impactos de seguridad asociados a la puesta en peligro de la
información relacionada con el área de negocio de apoyo a la prestación de servicios.
Cuadro 5: Funciones de apoyo a la prestación de servicios y tipos de
información15
C.2.1 Controles y supervisión C.2.4 Gestión y mitigación de C.2.8 Operaciones fiscales
Acciones correctivas riesgos internos centrales del gobierno general
(políticas/reglamentos) Evaluación Planificación de Funciones legislativas
del programa contingencias Funciones ejecutivas
Seguimiento del programa Continuidad de las Gestión centralizada de la
C.2.2 Desarrollo normativo operaciones propiedad Gestión centralizada
Desarrollo de políticas y Recuperación del del personal Gestión de la
orientaciones Seguimiento de los servicio fiscalidad
comentarios del público Creación de C.2.5 Recaudación de ingresos Gestión central de registros
la normativa Cobro de deudas y estadísticas
Publicación de reglas Cobro de tasas de Información sobre los ingresos
C.2.3 Planificación y presupuesto usuario Venta de Identidad personal y autenticación
Formulación del activos federales Información sobre el evento de
presupuesto C.2.6 Asuntos públicos derecho Información sobre el
Planificación del Servicios al cliente beneficiario representativo
capital Arquitectura Difusión oficial de información Información general
empresarial Alcance del producto
Planificación Relaciones públicas
estratégica Ejecución C.2.7 Relaciones legislativas
del presupuesto Seguimiento de la
Planificación del legislación Testimonio
15
17
personal de la legislación
Mejora de la gestión Presupuestación Elaboración de
e integración de resultados Política propuestas
fiscal y tributaria Operaciones de enlace con el Congreso
4.1.2.2 Información sobre la gestión de recursos gubernamentales

El área de negocio de información sobre la gestión de recursos gubernamentales incluye las
actividades de apoyo de back office que permiten al gobierno federal operar con eficacia. Las
cinco líneas de negocio de información de gestión de recursos gubernamentales y las
subfunciones asociadas a cada una
15
17
tipo de información se identifican en la Tabla 6. El Volumen II, Apéndice C.3, "Información
sobre la gestión de recursos gubernamentales", recomienda niveles de impacto provisionales
para los objetivos de seguridad de confidencialidad, integridad y disponibilidad. Muchos
departamentos y agencias operan sus propios sistemas de apoyo. Otros obtienen al menos
algunos servicios de apoyo de otras organizaciones. Las misiones de algunos organismos
consisten principalmente en apoyar a otros departamentos y organismos gubernamentales en la
realización de misiones de servicio directas. Como se ha indicado anteriormente, los objetivos
de seguridad y los niveles de impacto de seguridad asociados para la información y los sistemas
administrativos y de gestión están determinados por la naturaleza de los servicios directos y las
circunscripciones a las que se presta apoyo.
Cuadro 6: Funciones de gestión de los recursos públicos y tipos de información16
C.3.1 Gestión administrativa C.3.3 Gestión de recursos humanos C.3.5 Gestión de la información
Gestión de instalaciones, flotas Estrategia de y la tecnología
y equipos RRHH Ciclo de vida del desarrollo del
Servicios de Adquisición de sistema/Gestión del cambio
asistencia técnica personal Mantenimiento del sistema
Gestión de la Gestión de la organización y Mantenimiento de la
seguridad Viajes de los puestos de trabajo infraestructura informática
Desarrollo y gestión de políticas Gestión de la remuneración Seguridad de la información
en el lugar de trabajo Gestión de los beneficios Conservación de
C.3.2 Gestión financiera Gestión del rendimiento de los registros Gestión de la
Control de empleados Relaciones con los información
Fondos empleados Intercambio de información
Contables Relaciones Laborales sobre la supervisión del sistema
Pagos Gestión de la y la red
Gestión de cobros y cuentas por Separación
cobrar Informes y reportes Desarrollo de los recursos humanos
Contabilidad de costes/ Rendimiento C.3.4 Gestión de la cadena de
Medición suministro
Adquisición de bienes
Control de inventario
Gestión logística
Adquisición de
servicios
4.1.3 Mandatos de información legislativa y ejecutiva
Durante la identificación de los tipos de información dentro de un sistema de información, el

personal de la agencia debe prestar especial atención a los reglamentos aplicables que abordan
la información procesada y la misión de apoyo de la agencia. El Volumen II, Apéndice E,
enumera los mandatos legislativos y ejecutivos que establecen directrices de sensibilidad y
criticidad para tipos de información específicos.
4.1.4 Identificación de los tipos de información no enumerados en esta directriz
Los tipos de información del BRM de la AEF se proporcionan sólo como una guía de taxonomía.
No toda la información procesada por un sistema de información puede identificarse a partir de
las Tablas 4 a 6. Por lo tanto, un organismo puede identificar tipos de información únicos que no
figuran en esta directriz o puede optar por no seleccionar los niveles de impacto provisionales
16
18
del Volumen II, Apéndice C (para los tipos de información de gestión y apoyo) o del Volumen
II, Apéndice D (para los tipos de información basados en la misión).
Las secciones 4.2.1 a 4.2.3 de esta directriz proporcionan ayuda a las agencias para asignar
categorías de seguridad provisionales a los tipos de información y sistemas de información
identificados por la agencia.
Además, el SP 800-60 proporciona una subfunción de gestión y apoyo, Tipo de información
general, que puede ser utilizada por las agencias como medio para identificar y categorizar la
información que no
16
18
contenida en el BRM de la FEA. Una descripción completa de la información del
Tipo de Información General debe ser capturada en el proceso de recolección y
documentación de la agencia.
4.2 Paso 2: Seleccionar el nivel de impacto provisional

En el Paso 2, las organizaciones deben establecer niveles de impacto provisionales 17basados
en los tipos de información identificados en el Paso 1. Los niveles de impacto provisionales
son los niveles de impacto originales asignados a los objetivos de seguridad de
confidencialidad, integridad y disponibilidad de un tipo de información del Volumen II antes
de realizar cualquier ajuste. También en este paso se establece y documenta la categorización
de seguridad inicial para el tipo de información.
El volumen II, apéndice C, sugiere niveles de impacto provisionales de confidencialidad,
integridad y disponibilidad para los tipos de información de gestión y apoyo, y el volumen II,
apéndice D, proporciona ejemplos de asignaciones de niveles de impacto provisionales para los
tipos de información basados en la misión. Utilizando los criterios de evaluación del impacto
identificados en la Sección 3.2 para los objetivos de seguridad y los tipos de pérdidas
potenciales identificados en la Sección 3.1.2, la entidad organizativa responsable de la
determinación del impacto debe asignar niveles de impacto y la consiguiente categorización de
seguridad para los tipos de información basados en la misión y de gestión y apoyo identificados
para cada sistema de información.
4.2.1 Criterios de 199categorización de seguridad FIPS
Cuando un tipo de información procesado por un sistema de información no esté categorizado

por esta directriz [basada en los tipos de información identificados en el Volumen II,
Apéndices C y D], será necesario realizar una determinación inicial del impacto basada en los
criterios de categorización FIPS 199 (citados en la Tabla 7).
Las agencias pueden asignar categorías de seguridad a los tipos de información y a los sistemas
de información seleccionando y ajustando los valores apropiados de la Tabla 7 para el impacto
potencial de los compromisos de los objetivos de seguridad de confidencialidad, integridad y
disponibilidad. Los responsables de la selección del nivel de impacto y de la subsiguiente
categorización de la seguridad deberán aplicar los criterios proporcionados en la Tabla 7 a cada
tipo de información recibida, procesada, almacenada y/o generada por cada sistema del que sean
responsables. La categorización de la seguridad se determinará generalmente sobre la base de la
información más sensible o crítica recibida, procesada, almacenada y/o generada por el sistema
en cuestión.
19
17
Los niveles de impacto (en plural), tal como se utilizan aquí, se refieren a los valores bajos, moderados, altos
o no aplicables asignados a cada objetivo de seguridad (es decir, confidencialidad, integridad y disponibilidad)
utilizados para expresar la categoría de seguridad de un tipo de información o de los sistemas de información.
El valor de no aplicable sólo se aplica a los tipos de información y no a los sistemas de información.
20
Cuadro 7: Categorización de la información y los sistemas de información federales
OBJETIVO DE SEGURIDAD IMPACTO

POTENCIAL
LOW MODERADO HIGH
Confidencialidad La divulgación no autorizada La divulgación no autorizada La divulgación no autorizada
Preservar las restricciones de información podría de información podría de información podría
autorizadas para el acceso y esperarse que tuviera un tener un efecto adverso tener un efecto adverso
la divulgación de la efecto adverso limitado grave en las operaciones grave o catastrófico en
información, incluidos los en las operaciones de la de la organización, los las operaciones de la
medios para proteger la organización, los activos de activos de la organización o organización, los activos de
privacidad personal y la la organización o los las personas. la organización o las
información de propiedad. individuos. personas.
[44 U.S.C., SEC. 3542]
Integridad Los no autorizados Los no autorizados La modificación no autorizada

Protección contra la La modificación o La modificación o La destrucción de la
modificación o destrucción destrucción de la destrucción de la información podría tener
indebida de la información, e información podría tener información podría tener un efecto adverso grave o
incluye la garantía de no un efecto adverso un efecto adverso grave en catastrófico en las
repudio y autenticidad de la limitado en las las operaciones de la operaciones de la
información. operaciones de la organización, los activos de organización, la
organización, los activos de la organización o activos, o individuos.
la organización o individuos.
[44 U.S.C., SEC. 3542] individuos.
Disponibilidad La interrupción del acceso a La interrupción del acceso a La interrupción del acceso a
o uso de la información o de o el uso de la información o o el uso de la información o
Garantizar el acceso un sistema de información de un sistema de de un sistema de
oportuno y fiable a la podría esperarse que información podría tener un información podría tener un
información y su uso. tuviera un efecto adverso efecto adverso grave en las efecto adverso grave o
limitado en las operaciones operaciones de la catastrófico en las
de la organización, los organización, los activos de operaciones de la
[44 U.S.C., SEC. 3542] activos de la organización o la organización o organización, la
individuos. individuos. activos, o individuos.
4.2.2 Factores comunes para la selección de los niveles de impacto
Cuando un organismo determina los niveles de impacto en la seguridad y la categorización de la

seguridad basándose en la aplicación local de los criterios FIPS 199, se recomienda tener en
cuenta los siguientes factores con respecto a los impactos en la seguridad de cada tipo de
información.
4.2.2.1 Factores de confidencialidad
Utilizando los criterios de impacto potencial de FIPS 199 resumidos en la Tabla 7, cada tipo de
información debe ser evaluado para la confidencialidad con respecto al nivel de impacto
asociado a la divulgación no autorizada de (i) cada variante conocida de la información
perteneciente al tipo y
(ii) cada uso de la información por parte del sistema examinado. Las respuestas a las siguientes
preguntas ayudarán en el proceso de evaluación:
• ¿Cómo puede un adversario malicioso utilizar la divulgación no autorizada de
información para causar un daño limitado/serio/grave a las operaciones de la
agencia, a los activos de la agencia o a los individuos?
• ¿Cómo puede un adversario malintencionado utilizar la divulgación no autorizada de
información para obtener el control de los activos de la agencia que podría dar lugar a
21
la modificación no autorizada de la información, la destrucción de la información o la
denegación de los servicios del sistema que daría lugar a un daño limitado/serio/grave
para las operaciones de la agencia, los activos de la agencia o los individuos?
22
• ¿La divulgación/diseminación no autorizada de elementos del tipo de información
violaría leyes, órdenes ejecutivas o reglamentos de la agencia?
4.2.2.2 Factores de integridad
Utilizando los criterios de impacto potencial de FIPS 199 resumidos en la Tabla 7, se debe
evaluar la integridad de cada tipo de información con respecto al nivel de impacto asociado a
la modificación o destrucción no autorizada de (i) cada variante conocida de la información
perteneciente al tipo y (ii) cada uso de la información por parte del sistema en revisión. Las
respuestas a las siguientes preguntas ayudarán en el proceso de evaluación:
• ¿Cómo puede un adversario malintencionado utilizar la modificación o destrucción
no autorizada de información para causar un daño limitado/serio/grave a las
operaciones de la agencia, a los activos de la agencia o a los individuos?
• ¿La modificación/destrucción no autorizada de elementos del tipo de información
violaría leyes, órdenes ejecutivas o reglamentos de la agencia?
La modificación o destrucción no autorizada de información puede adoptar muchas formas. Los
cambios pueden ser sutiles y difíciles de detectar, o pueden producirse a gran escala. Se puede
construir una gama extraordinariamente amplia de escenarios para la modificación de la
información y sus probables consecuencias. Algunos ejemplos son la falsificación o la
modificación de la información para:
• Reducir la confianza del público en una agencia;
• Conseguir beneficios económicos de forma fraudulenta;
• Crear confusión o controversia al promulgar un procedimiento fraudulento o incorrecto;
• Iniciar la confusión o la controversia mediante la atribución falsa de una política fraudulenta o
falsa;
• Influir en las decisiones de personal;
• Interferir o manipular los procesos legales o de aplicación de la ley;
• Influir en la legislación; o
• Lograr el acceso no autorizado a la información o a las instalaciones del gobierno.
En la mayoría de los casos, las repercusiones más graves del compromiso de la integridad se
producen cuando se lleva a cabo alguna acción basada en la información modificada o ésta se
difunde a otras organizaciones o al público.
La pérdida no detectada de la integridad puede ser catastrófica para muchos tipos de
información. Las consecuencias del compromiso de la integridad pueden ser directas (por
ejemplo, la modificación de una entrada financiera, una alerta médica o un registro de
antecedentes penales) o indirectas (por ejemplo, la facilitación del acceso no autorizado a
información sensible o privada o la denegación del acceso a la información o a los servicios del
sistema de información). El uso malintencionado del acceso de escritura a la información y a los
sistemas de información puede causar un enorme daño a la misión de una agencia y puede ser
empleado para utilizar un sistema de la agencia como un proxy para los ataques a otros sistemas.
En muchos casos, cabe esperar que las consecuencias de la modificación o destrucción no
autorizada de la información para las funciones de la misión del organismo y la confianza del
23
público en el mismo sean limitadas. En otros casos, los compromisos de integridad pueden
poner en peligro vidas humanas u otras consecuencias graves. El impacto puede ser
especialmente grave en el caso de la información de tiempo crítico.
24
4.2.2.3 Factores de disponibilidad
Utilizando los criterios de impacto potencial de FIPS 199 resumidos en la Tabla 7, cada tipo de
información debe ser evaluado en cuanto a su disponibilidad con respecto al nivel de impacto
asociado a la interrupción del acceso o del uso de la información de (i) cada variante conocida
de la información perteneciente al tipo y (ii) cada uso de la información por parte del sistema en
revisión. Las respuestas a las siguientes preguntas ayudarán en el proceso de evaluación:
• ¿Cómo puede un adversario malicioso utilizar la interrupción del acceso o el uso de la
información para causar un daño limitado/serio/grave a las operaciones de la agencia, a
los activos de la agencia o a los individuos?
• ¿La interrupción del acceso o el uso de elementos del tipo de información violaría las
leyes, órdenes ejecutivas o reglamentos de la agencia?
Para muchos tipos de información y sistemas de información, el nivel de impacto de la
disponibilidad depende del tiempo en que la información o el sistema no estén disponibles. La
pérdida de disponibilidad no detectada puede ser catastrófica para muchos tipos de información.
Por ejemplo, la pérdida permanente de las bases de datos de ejecución presupuestaria,
planificación de contingencias, continuidad de las operaciones, recuperación de servicios, cobro
de deudas, gestión de impuestos, gestión de personal, gestión de nóminas, gestión de la
seguridad, control de inventarios, gestión logística o información contable sería catastrófica
para casi cualquier organismo. La reconstrucción completa de estas bases de datos llevaría
mucho tiempo y sería costosa.
En la mayoría de los casos, los efectos adversos de un compromiso de disponibilidad de
duración limitada sobre las funciones de la misión de una organización y la confianza del
público serán limitados. Por el contrario, en el caso de los tipos de información de duración
crítica, es menos probable que se restablezca la disponibilidad antes de que se produzcan daños
graves en los activos, las operaciones o el personal del organismo (o en el bienestar público). En
estos casos, las recomendaciones documentadas sobre el nivel de impacto de la disponibilidad
deben indicar que la información es crítica en el tiempo y la base de la criticidad.
4.2.3 Ejemplos de selección de niveles de impacto basados en FIPS 199
A continuación se presentan ejemplos basados en FIPS 199 de selección del impacto del
objetivo de seguridad y de categorización de la seguridad para tipos de información de
muestra:
EJEMPLO 1: Una organización que gestiona información pública en su servidor web determina
que no hay impacto potencial por una pérdida de confidencialidad (es decir, los requisitos de
confidencialidad no son aplicables), un impacto potencial moderado por una pérdida de
integridad y un impacto potencial moderado por una pérdida de disponibilidad. La categoría
de seguridad resultante de este tipo de información se expresa como:
Categoría de seguridad de la información pública = {(confidencialidad, n/d), (integridad,
moderada), (disponibilidad, moderada)}.
EJEMPLO 2: Una organización policial que gestiona información de investigación

extremadamente sensible determina que el impacto potencial de una pérdida de confidencialidad
es alto, el impacto potencial de una pérdida de integridad es moderado y el impacto potencial de
una pérdida de disponibilidad es moderado. La categoría de seguridad resultante para este tipo
de información se expresa como:
25
Categoría de seguridad información de investigación = {(confidencialidad, alta), (integridad, moderada),
(disponibilidad, moderada)}.
EJEMPLO 3: Una organización financiera que gestiona información administrativa rutinaria (no
información relacionada con la privacidad) determina que el impacto potencial de una pérdida de
confidencialidad es bajo, el impacto potencial de una pérdida de integridad es bajo y el impacto
potencial de una pérdida de disponibilidad es bajo. La categoría de seguridad resultante de este
tipo de información se expresa como:
Categoría de seguridad información administrativa = {(confidencialidad, baja), (integridad, baja), (disponibilidad,
baja)}.
En general, la evaluación del impacto del objetivo de seguridad es independiente de los

mecanismos empleados para mitigar las consecuencias de un compromiso.
4.3 Paso 3: Revisión de los niveles de impacto provisionales y

ajuste/finalización de los niveles de impacto del tipo de
información
En el paso 3, las organizaciones deben revisar y ajustar los niveles de impacto de seguridad
provisionales para los objetivos de seguridad de cada tipo de información y llegar a un estado
final. Para ello, las organizaciones deben (i) revisar la idoneidad de los niveles de impacto
provisionales en función de la organización, el entorno, la misión, el uso y la compartición de
datos; (ii) ajustar los niveles de impacto de los objetivos de seguridad según sea necesario,
utilizando las 18orientaciones sobre factores especiales que se encuentran en los Apéndices C
y D del Volumen II; y (iii) documentar todos los ajustes de los niveles de impacto y
proporcionar el fundamento o la justificación de los ajustes.
Cuando los niveles de impacto de la categorización de la seguridad recomendados en la
Sección 4.2 o en los Apéndices C y D del Volumen II se adoptan como niveles provisionales
de impacto de la seguridad, el organismo debe revisar la idoneidad de los niveles
provisionales de impacto en el contexto de la organización, el entorno, la misión, el uso y el
intercambio de datos asociados con el sistema de información que se está revisando. Esta
revisión debe incluir la importancia de la misión de la agencia; las implicaciones del ciclo de
vida y la puntualidad; la información relacionada con la configuración y la política de
seguridad; los requisitos especiales de manejo; etc. Los factores199 FIPS presentados en la
sección de 4.2.2este documento deben utilizarse como base para las decisiones relativas al
ajuste o la finalización de los niveles de impacto provisionales. Los niveles de impacto de
confidencialidad, integridad y disponibilidad pueden ajustarse una o más veces en el curso de
la revisión. Una vez completado el proceso de revisión y ajuste, se puede finalizar la
asignación de los niveles de impacto por tipo de información.
El impacto del compromiso de la información de un tipo particular puede variar en diferentes
agencias o en contextos operativos disímiles. Asimismo, el impacto de un tipo de
información puede variar a lo largo del ciclo de vida. Por ejemplo, la información de un
contrato que tiene un nivel de impacto de confidencialidad moderado durante la vida del
contrato puede tener un nivel de impacto bajo cuando el contrato se completa. La
información sobre políticas puede tener niveles de impacto de confidencialidad e integridad
moderados durante el proceso de desarrollo de la política, niveles de impacto de
confidencialidad bajos y de integridad moderados cuando la política se aplica, y niveles de
impacto de confidencialidad e integridad bajos cuando la política ya no se utiliza.
26
18
La guía de factores especiales en NIST SP 800-60, Volumen II, proporciona una guía específica sobre las
consideraciones para ajustar cada objetivo de seguridad (confidencialidad, integridad y disponibilidad) para
cada tipo de información. La guía de factores especiales se aplica a cada tipo de información, basándose en
cómo se utiliza el tipo de información, la misión de la organización o el entorno operativo del sistema.
27
Los niveles de impacto asociados a la información de gestión y apoyo común a muchos
organismos se ven fuertemente afectados por la información basada en la misión con la que está
asociada. Es decir, la información de gestión y apoyo común a los organismos que se utiliza con
tipos de información de misión muy sensibles o críticos puede tener niveles de impacto más
altos que la misma información común a los organismos que se utiliza con tipos de información
de misión menos críticos.
Además, los sistemas de información procesan muchos tipos de información. No es probable
que todos estos tipos de información tengan los mismos niveles de impacto en la seguridad. El
compromiso de algunos tipos de información pondrá en peligro la funcionalidad del sistema y la
misión de la agencia más que el compromiso de otros tipos de información. Los niveles de
impacto en la seguridad del sistema deben evaluarse en el contexto de la misión y la función del
sistema, así como sobre la base del conjunto de los tipos de información que lo componen.
Además, la información sobre la aplicación de la política de configuración y seguridad debe
ser revisada y ajustada teniendo en cuenta la información procesada en el sistema. La
información de la política de configuración y seguridad incluye archivos de contraseñas,
reglas de acceso a la red, otros ajustes de configuración de hardware y software, y
documentación que afecta al acceso a los datos, programas y/o procesos del sistema de
información. Como mínimo, se aplicará un nivel de impacto de confidencialidad e integridad
bajo a este conjunto de información y procesos debido a un potencial de corrupción, mal uso
o abuso de la información y los procesos del sistema.
Un factor específico del objetivo de confidencialidad es la información sujeta a un tratamiento
especial (por ejemplo, la información sujeta a la Ley de Privacidad de 1974, 5 U.S.C. § 552A).
Independientemente de otras consideraciones, debe asignarse algún nivel mínimo de impacto de
confidencialidad a cualquier sistema de información que almacene, procese o genere dicha
información. Ejemplos de este tipo de información son la información sujeta a la Ley de
Secretos Comerciales, la Ley de Privacidad, la Información de Salvaguarda del Departamento
de Energía, la Información de Uso Oficial del Servicio de Impuestos Internos y la Información
Comercial Confidencial de la Agencia de Protección Ambiental (por ejemplo, sujeta a la Ley de
Control de Sustancias Tóxicas; la Ley de Conservación y Recuperación de Recursos; la Ley de
Respuesta Ambiental Integral, Compensación y Responsabilidad). Algunas de estas
especificaciones legales y reglamentarias se enumeran en el Volumen II, Apéndice E, "Fuentes
legislativas y ejecutivas que establecen la sensibilidad/criticidad".
4.4 Paso 4: Asignar la categoría de seguridad del sistema

Una vez que se han seleccionado, revisado y ajustado los niveles de impacto sobre la seguridad
según los objetivos de seguridad de cada tipo de información individual procesada por un
sistema de información, es necesario asignar una categoría de seguridad del sistema basada en el
conjunto de tipos de información. Las actividades del Paso 4 incluyen lo siguiente (i) revisar las
categorizaciones de seguridad identificadas para el conjunto de tipos de información; (ii)
determinar la categorización de seguridad del sistema identificando la marca de agua más alta
para cada uno de los objetivos de seguridad (confidencialidad, integridad, disponibilidad)
basados en el conjunto de tipos de información; (iii) ajustar la marca de agua más alta para cada
objetivo de seguridad del sistema, según sea necesario, aplicando los factores discutidos en la
sección 4.4.2; (iv) asignar el nivel de impacto global del sistema de información basado en el
nivel de impacto más alto para los objetivos de seguridad del sistema; y (v) documentar todas las
determinaciones y decisiones de categorización de seguridad.
28
4.4.1 Proceso199 FIPS para la categorización de la seguridad del sistema
FIPS 199 reconoce que la determinación de la categoría de seguridad de un sistema de

información requiere un análisis adicional y debe considerar las categorías de seguridad de
todos los tipos de información residentes en el sistema de información. Para un sistema de
información, los niveles de impacto de seguridad potencial asignados a cada uno de los
objetivos de seguridad respectivos (confidencialidad, integridad, disponibilidad) son el nivel
más alto (es decir, la marca de agua alta) para cualquiera de estos objetivos que se ha
determinado para los tipos de información residentes en el sistema de información.
Los sistemas de información se componen tanto de programas informáticos como de

información. Los programas en ejecución dentro de un sistema de información (es decir, los
procesos del sistema) facilitan el procesamiento, el almacenamiento y la transmisión de la
información y son necesarios para que la organización lleve a cabo sus funciones y operaciones
comerciales esenciales. Estas funciones de procesamiento del sistema también requieren
protección y podrían ser objeto de una categorización de seguridad también. Sin embargo, en
aras de la simplificación, se asume que la categorización de seguridad de todos los tipos de
información asociados con el sistema de información proporciona un potencial de caso peor
apropiado para el sistema de información en general, obviando así la necesidad de considerar los
procesos del sistema en la categorización de seguridad del sistema de información. Esto es en
reconocimiento de:
• El requisito fundamental de proteger la integridad, la disponibilidad y, en el caso de la

información clave, como las contraseñas y las claves de cifrado, la confidencialidad de
las funciones de procesamiento a nivel del sistema y de la información en el punto más
alto.
• La fuerte interdependencia entre confidencialidad, integridad y disponibilidad.
Por esta razón, FIPS 199 señala que, aunque el valor (es decir, el nivel) de no aplicable puede
aplicarse a un objetivo de seguridad para tipos de información específicos procesados por los
sistemas, este valor no puede asignarse a ningún objetivo de seguridad para un sistema de
información. Existe un impacto mínimo provisional (es decir, una marca de agua baja) para un
compromiso de la confidencialidad, la integridad y la disponibilidad de un sistema de
información. Esto es necesario para proteger las funciones de procesamiento a nivel de sistema
y la información crítica para el funcionamiento del sistema de información.
El formato generalizado para expresar la categoría de seguridad, o SC, de un sistema de información es:
Sistema de información SC {=(confidencialidad, impacto), (integridad, impacto), (disponibilidad, impacto)},
donde los valores aceptables para el impacto potencial son BAJO, MODERADO o ALTO.
Los siguientes ejemplos ilustran el proceso de categorización de la seguridad del sistema
descrito en FIPS 199.
EJEMPLO1 DE SISTEMA: Un sistema de información utilizado para las grandes adquisiciones en una
contratación
organización contiene tanto información sensible, previa a la fase de licitación del contrato, como
información rutinaria
información administrativa. La dirección de la organización contratante determina que (i) para
la información contractual sensible, el impacto potencial de una pérdida de confidencialidad es
29
moderado, el impacto potencial de una pérdida de integridad es moderado, y el impacto
potencial de una pérdida de disponibilidad es bajo; y (ii) para la información administrativa
rutinaria (información no relacionada con la privacidad), el impacto potencial de una pérdida
de confidencialidad es bajo, el impacto potencial de una pérdida de integridad es bajo, y el
impacto potencial de una pérdida de disponibilidad es bajo. Las categorías de seguridad
resultantes, o SC, de estos tipos de información se expresan como:
30
Información contractual SC {=(confidencialidad, MODERADA), (integridad, MODERADA), (disponibilidad, BAJA)}, y
Información administrativa SC {=(confidencialidad, BAJO), (integridad, BAJO), (disponibilidad, BAJO)}.

La categoría de seguridad resultante del sistema de información se expresa como:
Sistema de adquisición SC {=(confidencialidad, MODERADA), (integridad, MODERADA), (disponibilidad, BAJA)},
que representa la marca de agua o los valores máximos de impacto potencial para cada objetivo
de seguridad a partir de los tipos de información residentes en el sistema de adquisición.
EJEMPLO2 DE SISTEMA: Una central eléctrica contiene un SCADA (control de supervisión y adquisición de
datos)
sistema que controla la distribución de energía eléctrica para una gran instalación militar. El SCADA
contiene tanto datos de sensores en tiempo real como información administrativa rutinaria. La
dirección de la central eléctrica determina que (i) para los datos de los sensores adquiridos por el
sistema SCADA, no hay impacto potencial por una pérdida de confidencialidad, un impacto
potencial alto por una pérdida de integridad y un impacto potencial alto por una pérdida de
disponibilidad; y (ii) para la información administrativa procesada por el sistema, hay un impacto
potencial bajo por una pérdida de confidencialidad, un impacto potencial bajo por una pérdida de
integridad y un impacto potencial bajo por una pérdida de disponibilidad. Las categorías de
seguridad resultantes, o SC, de estos tipos de información se expresan como:
Sensor SC {(data=confidencialidad, NA), (integridad, ALTA), (disponibilidad, ALTA)}, y
Información administrativa SC {=(confidencialidad, BAJO), (integridad, BAJO), (disponibilidad, BAJO)}.
La categoría de seguridad resultante del sistema de información se expresa inicialmente como

Sistema SCADA = {(confidencialidad, BAJO), (integridad, ALTO), (disponibilidad, ALTO)},
que representan los valores máximos de impacto potencial para cada objetivo de seguridad de los
tipos de información residentes en el sistema SCADA. La dirección de la central opta por
aumentar el impacto potencial de una pérdida de confidencialidad de bajo a moderado, lo que
refleja una visión más realista del impacto potencial sobre el sistema de información en caso de
que se produzca un fallo de seguridad debido a la divulgación no autorizada de información a
nivel de sistema o de funciones de procesamiento. La categoría de seguridad final del sistema de
información se expresa como:
Sistema SCADA = {(confidencialidad, MODERADA), (integridad, ALTA), (disponibilidad, ALTA)}.
4.4.2 Directrices para la categorización del sistema
En algunos casos, el nivel de impacto para una categoría de seguridad del sistema será
superior a cualquier nivel de impacto del objetivo de seguridad para cualquier tipo de
información procesada por el sistema.
Los principales factores que suelen elevar los niveles de impacto de la categoría de seguridad del
sistema por encima de los de sus tipos de información constitutivos son la agregación y la
funcionalidad crítica del sistema. Además, puede ser necesario tener en cuenta las variaciones de
sensibilidad/criticidad con respecto al tiempo en el proceso de asignación de impactos. Algunas
informaciones pierden su sensibilidad en el tiempo (por ejemplo, las proyecciones
económicas/de productos básicos después de haber sido publicadas). Otra información es
especialmente crítica en algún momento (por ejemplo, los datos meteorológicos en la zona de
31
aproximación de la terminal durante las operaciones de aterrizaje de los aviones). Esta sección
proporciona algunas directrices generales sobre cómo la agregación, la funcionalidad crítica y
otros factores del sistema pueden afectar a la categorización de la seguridad del sistema.
32
Consejo de
aplicación
El personal de la agencia debe ser consciente de que hay varios factores
que deben ser considerados durante la agregación de los tipos de
información del sistema. Al considerar estos factores, pueden surgir
preocupaciones no previstas anteriormente que afecten a los niveles de
impacto de confidencialidad, integridad y/o disponibilidad a nivel del
sistema. Estos factores incluyen la agregación de datos, la funcionalidad
crítica del sistema, las circunstancias atenuantes y otros factores del
sistema.
Para llevar a cabo este paso de forma eficaz, puede ser necesario que varias partes interesadas
(por ejemplo, la dirección, el personal operativo o los expertos en seguridad) participen en las
decisiones relativas a las evaluaciones de impacto a nivel del sistema. Las siguientes secciones
proporcionan factores a considerar para ajustar los niveles de impacto del objetivo de seguridad
del sistema.
4.4.2.1 Agregación
Alguna información puede tener poca o ninguna sensibilidad de forma aislada, pero puede ser
altamente sensible en la agregación. En algunos casos, la agregación de grandes cantidades de un
solo tipo de información puede revelar patrones y planes sensibles, o facilitar el acceso a
sistemas sensibles o críticos. En otros casos, la agregación de información de varios tipos
diferentes y aparentemente inocuos puede tener efectos similares. En general, es probable que la
sensibilidad de un determinado elemento de datos sea mayor en su contexto que de forma aislada
(por ejemplo, la asociación de un número de cuenta con la identidad de una persona y/o
institución). La disponibilidad, el empleo operativo rutinario y la sofisticación de las
herramientas de agregación e inferencia de datos están aumentando rápidamente. Si el examen
revela una mayor sensibilidad o criticidad asociada a los agregados de información, puede ser
necesario ajustar los niveles de impacto del objetivo de seguridad del sistema a un nivel superior
al que indicarían los niveles de impacto de seguridad asociados a cualquier tipo de información
individual. Esto podría aplicarse incorporando una declaración que explique la agregación y el
objetivo de seguridad potencialmente afectado, así como la modificación de los niveles de
impacto.
4.4.2.2 Funcionalidad crítica del sistema
El compromiso de algunos tipos de información puede tener un impacto bajo en el
contexto de la función principal de un sistema, pero puede tener mucha más importancia
cuando se ve en el contexto del impacto potencial del compromiso:
• Otros sistemas a los que está conectado el sistema en cuestión, o
• Otros sistemas que dependen de la información de ese sistema.
La información de control de acceso para un sistema que sólo procesa información de bajo
impacto podría pensarse inicialmente que sólo tiene objetivos de seguridad de bajo impacto. Sin
embargo, si el acceso a ese sistema puede dar lugar a algún tipo de acceso a otros sistemas (por
ejemplo, a través de una red), es necesario tener en cuenta los atributos de sensibilidad y
criticidad de todos los sistemas a los que puede dar lugar dicho acceso indirecto. Del mismo
modo, cierta información puede, en general, tener objetivos de seguridad de baja sensibilidad y/o
33
criticidad. Sin embargo, esa información puede ser utilizada por otros sistemas para permitir
funciones extremadamente sensibles o críticas (por ejemplo, el uso de la información
meteorológica por parte del control del tráfico aéreo o el uso de la información de los vuelos
comerciales para identificar los sistemas de transporte militar de combate). La pérdida de la
integridad de los datos, de su disponibilidad, del contexto temporal o de otro tipo puede tener
consecuencias catastróficas.
34
4.4.2.3 Circunstancias atenuantes
Esta publicación se centra en la categorización de un sistema de información basado en sus
tipos de información y en los impactos de los objetivos de seguridad asociados. Hay ocasiones
en las que el nivel de impacto del objetivo de seguridad de un sistema debe ser elevado por
razones distintas a su información. Por ejemplo, el sistema de información proporciona un
flujo de proceso crítico o una capacidad de seguridad, la visibilidad del sistema para el
público, el gran número de otros sistemas que dependen de su funcionamiento o posiblemente
su coste global de sustitución. Estos ejemplos, dada una situación específica, pueden
proporcionar una razón para que el propietario del sistema aumente el nivel de impacto global
de la seguridad de un sistema.
Una elevación basada en circunstancias atenuantes puede ser más evidente si se compara la
categorización de seguridad original con el análisis de impacto en el negocio. Si el sistema fue
categorizado basándose en el FIPS 199 en un nivel de impacto general Moderado pero el
propietario del sistema ha determinado que necesita estar operativo dentro de las 4-8 horas
siguientes a una interrupción, independientemente del nivel de impacto de seguridad de
disponibilidad del tipo de información agregado asignado, entonces hay una desconexión que
podría ser causada por las circunstancias atenuantes del sistema. Las agencias deben
personalizar el nivel de impacto en la seguridad de la disponibilidad del sistema de información
según corresponda para obtener todo el valor y la precisión.
4.4.2.4 Otros factores del sistema
Integridad de la información pública
La mayoría de los organismos federales mantienen páginas web accesibles al público. La gran
mayoría de estas páginas web públicas permiten la interacción entre el sitio y el público. En
algunos casos, el sitio sólo proporciona información. En otros casos, se pueden presentar
formularios a través del sitio web (por ejemplo, solicitudes de servicio o de empleo). En algunos
casos, el sitio es un medio para realizar transacciones comerciales. La modificación o
destrucción no autorizada de la información que afecta a las comunicaciones externas (por
ejemplo, páginas web, correo electrónico) puede afectar negativamente a las operaciones y/o a la
confianza del público en la agencia. En la mayoría de los casos, el daño puede ser corregido en
un periodo de tiempo relativamente corto, y el daño es limitado (el nivel de impacto es bajo). En
otros casos (por ejemplo, transacciones fraudulentas muy grandes o la modificación de una
página web perteneciente a un componente de la comunidad de inteligencia/seguridad), el daño a
la función de la misión y/o a la confianza del público en la agencia puede ser grave. En estos
casos, el impacto sobre la integridad asociado a la modificación o destrucción no autorizada de
una página web pública sería al menos moderado.
Pérdida catastrófica de la disponibilidad del sistema
La destrucción física o lógica de activos importantes puede dar lugar a gastos muy elevados
para restaurar los activos y/o a largos períodos de tiempo para su recuperación. La pérdida
permanente o la falta de disponibilidad de las capacidades del sistema de información puede
obstaculizar seriamente las operaciones de la agencia y, cuando se trata de servicios directos al
público, tener un efecto adverso grave en la confianza del público en las agencias federales.
Especialmente en el caso de los grandes sistemas, los criterios FIPS 199 sugieren que la pérdida
catastrófica de la disponibilidad del sistema puede dar lugar a un alto nivel de impacto de la
35
disponibilidad. El hecho de que el nivel de impacto de la disponibilidad del sistema deba ser
alto (y el consiguiente nivel de impacto de la seguridad del sistema) depende de otros factores,
como el coste y la criticidad del sistema, más que de los niveles de impacto de la seguridad
para los tipos de información que procesa el sistema.
Grandes sistemas de apoyo e interconexión
36
Los sistemas de información grandes o complejos compuestos por múltiples sistemas de nivel
inferior a menudo requieren una consideración adicional en cuanto a la asignación de la
categorización de seguridad del sistema. Esta sección proporcionará directrices para aplicar e
interrelacionar los resultados de la categorización de seguridad del sistema individual a las
organizaciones empresariales, las grandes infraestructuras de apoyo (como los sistemas de
apoyo general, las aplicaciones de almacén de datos, las grandes unidades de almacenamiento
de datos, las granjas de servidores y los repositorios de información) y los sistemas
interconectados.
Tras la identificación de la categorización de la seguridad para todos los sistemas de información
que interactúan con los grandes sistemas de infraestructura, los altos funcionarios de TI y de
seguridad tienen en su poder una valiosa información que ahora puede permitir una perspectiva
de seguridad en toda la empresa. Una actividad significativa incluye la imposición de una
categorización de seguridad general para las infraestructuras de red de apoyo de la agencia. Dado
que las redes, así como otros sistemas generales de apoyo, no son inherentemente "propios" de
los tipos de información basados en la misión o en la gestión y el apoyo, la categorización de la
infraestructura se basa en la agregación de las categorizaciones de seguridad de los sistemas de
información. En otras palabras, la categorización de seguridad de la infraestructura es la marca
de agua más alta de los sistemas de información soportados y se basa en los tipos de información
procesados, fluyendo o almacenados en la red o sistema de soporte general. Juntos, la evaluación
descendente de las amenazas en toda la empresa y la evaluación ascendente de la seguridad
derivada de la agregación permitirán a una organización examinar su perfil de riesgo desde una
perspectiva global y equilibrada. Además, este análisis garantizará la correcta aplicación de los
controles de seguridad comunes que soportan los múltiples sistemas de información y la
protección proporcionada por esos controles se hereda por los sistemas individuales.
Infraestructuras críticas y recursos clave
Cuando la misión a la que sirve un sistema de información, o la información que el sistema

procesa, afecta a la seguridad de las infraestructuras críticas y los recursos clave, el daño que se
deriva de un compromiso requiere una atención especial. En este caso, un efecto sobre la
seguridad podría incluir una reducción significativa de la eficacia de los mecanismos de
protección de la seguridad física o cibernética, o la facilitación de un ataque terrorista contra
infraestructuras críticas y recursos clave.
En consecuencia, la categorización de la seguridad del sistema debe determinarse
cuidadosamente cuando una pérdida de confidencialidad, integridad o disponibilidad tenga un
impacto negativo en las infraestructuras críticas y los recursos clave.
La Ley de Infraestructuras de Información Crítica de 2002, Ley Pública 107-296 §§ 211-215 de
25 de noviembre de 2002 (codificada como 6 U.S.C. 131-134), define el término "información
de infraestructuras críticas" como información que no es habitualmente de dominio público y
que está relacionada con la seguridad de las infraestructuras críticas o los sistemas protegidos.
En caso de que los tipos de información se alineen con las Infraestructuras Críticas, deberán
tomarse medidas para garantizar el cumplimiento de la Directiva Presidencial de Seguridad
Nacional nº 7 (HSPD 7) e iniciar un análisis de interdependencia.
Información sobre la privacidad
La Ley de Administración Electrónica de 2002 complementa los requisitos de protección de la
37
intimidad de la Ley de Protección de la Intimidad de1974 . En virtud de estas leyes públicas, los
organismos de la Administración Federal tienen
38
responsabilidades relativas a la recogida, difusión o divulgación de información relativa a
las personas.19
El Memorándum M-03-22 de la OMB del 26 de septiembre de 2003, "OMB Guidance for
Implementing the Privacy Provisions of the E-Government Act of 2002", pone en vigor las
disposiciones sobre privacidad de la Ley de Gobierno Electrónico de 2002. Las directrices se
aplican a la información que identifica a las personas de forma reconocible, incluidos el nombre,
la dirección, el número de teléfono, el número de la Seguridad Social y las direcciones de correo
electrónico. La OMB ha dado instrucciones a los responsables de las agencias para que
"describan la forma en que el gobierno maneja la información que los individuos proporcionan
electrónicamente, de modo que el público estadounidense tenga garantías de que la información
personal está protegida". En virtud de estas leyes públicas y políticas ejecutivas, es necesario
ampliar la definición de "divulgación no autorizada" para abarcar cualquier acceso, uso,
divulgación o intercambio de información protegida por la privacidad entre los organismos del
gobierno federal cuando tales acciones están prohibidas por las leyes y políticas de privacidad.
Dado que la mayoría de las normas de privacidad se centran en el acceso, uso, divulgación o
intercambio de información, las consideraciones de privacidad se tratan en esta directriz como
factores especiales que afectan al nivel de impacto de la confidencialidad. Al establecer los
niveles de impacto de la confidencialidad para cada tipo de información, las partes responsables
deben considerar las consecuencias de la divulgación no autorizada de la información sobre
privacidad (con respecto a las violaciones de la política y/o la ley federal).
Las agencias están obligadas a realizar evaluaciones del impacto sobre la privacidad (PIA) antes
de desarrollar sistemas informáticos que contengan información personal identificable o antes
de recoger información personal identificable por vía electrónica. El impacto de las violaciones
de la privacidad debe considerar cualquier efecto adverso experimentado por los individuos u
organizaciones como resultado de la pérdida de la confidencialidad de la IIP. Algunos ejemplos
de efectos adversos experimentados por los individuos pueden ser el chantaje, el robo de
identidad, la discriminación o la angustia emocional. Los ejemplos de efectos adversos
experimentados por las organizaciones pueden incluir la carga administrativa, las pérdidas
financieras, la pérdida de reputación y confianza del público, y las sanciones asociadas a la
violación de los estatutos y políticas pertinentes.
Las categorizaciones deben ser revisadas para asegurar que los efectos adversos de una pérdida
de confidencialidad de la IIP han sido adecuadamente considerados en la determinación del
impacto. El nivel de impacto de la confidencialidad debe situarse generalmente en el rango
moderado.
Secretos comerciales
Hay varias leyes que prohíben específicamente la divulgación no autorizada de secretos

comerciales (por ejemplo, 7 U.S.C., Capítulo 6, Subcapítulo II, Sección 136h y 42 U.S.C.,
Capítulo 6A, Subcapítulo XII, Parte E, Sección 300j-4(d)(1)). A los sistemas que almacenan,
comunican o procesan secretos comerciales se les asignará, por lo general, un nivel de impacto
de confidencialidad al menos moderado.
4.4.3 Impacto global del sistema de información
Dado que los valores de impacto (es decir, los niveles) para la confidencialidad, la integridad y
la disponibilidad pueden no ser siempre los mismos para un sistema de información concreto, el
39
concepto20 de marca de agua alta se utiliza para
19
La definición de individuo de la OMB es: "un ciudadano de los Estados Unidos o un extranjero admitido
legalmente para la residencia permanente". Los organismos pueden optar por ampliar las protecciones de la
Ley de Privacidad y la Ley de Administración Electrónica a las empresas, los propietarios únicos, los
extranjeros, etc.
40
determinar el nivel de impacto global del sistema de información. El nivel de impacto de la
seguridad de un sistema de información será, por lo general, el nivel de impacto más alto para los
objetivos de seguridad (confidencialidad, integridad y disponibilidad) asociados al conjunto de
tipos de información del sistema. Así, un sistema de bajo impacto se define como un sistema de
información en el que los tres objetivos de seguridad son bajos. Un sistema de impacto moderado
es un sistema de información en el que al menos uno de los objetivos de seguridad es moderado y
ningún objetivo de seguridad es mayor que moderado. Por último, un sistema de alto impacto es
un sistema de información en el que al menos uno de los objetivos de seguridad es alto.
4.5 Documentación del proceso de categorización de la seguridad

Es esencial para el proceso de categorización de la seguridad documentar la investigación, las
decisiones clave y las aprobaciones, así como la justificación de la categorización de la
seguridad del sistema de información. Esta información es clave para apoyar el ciclo de vida de
la seguridad y deberá incluirse en el plan de seguridad del sistema de información.
La figura ofrece 3un ejemplo de los detalles de información que deben recogerse.
20
El concepto de marca de agua alta se emplea porque hay dependencias significativas entre los objetivos de
seguridad de confidencialidad, integridad y disponibilidad. En la mayoría de los casos, el compromiso de un
objetivo de seguridad acaba afectando también a los demás objetivos de seguridad.
41
Nombre del sistema de información: Sistema SCADA [e identificador específico de la
Agencia]
Apoyo al negocio y a la misión: El sistema SCADA (control de supervisión y adquisición de datos) proporciona
control e información en tiempo real para la central eléctrica principal. La central eléctrica proporciona la
distribución crítica de
energía eléctrica a la instalación militar.
Tipos de información
Los datos de los sensores supervisan la disponibilidad de energía para la instalación militar y
sus soldados y la autoridad de mando. Esta función incluye el control de la distribución y la
[D.7.1]
transferencia de energía. Las capacidades de control remoto del SCADA pueden tomar
Suministro de
medidas tales como iniciar las acciones de conmutación necesarias para aliviar una condición
energía
de sobrecarga de energía. Los impactos de esta información y la
El sistema SCADA puede afectar a las infraestructuras críticas de la instalación.
[C.2.8.12]Generalid
El sistema de información SCADA procesa información administrativa rutinaria.
ades
Información
Paso 1 Paso [2Provisional] / Paso 3a [Ajustes]
Identificar Impacto de la Impacto de la Impacto de la
los tipos de confidencialidad integridad disponibilidad
información
Paso 3b - Justificación del ajuste de impacto
L/M L/H L/H
Debido a la pérdida de
La divulgación de la Pueden producirse impactos disponibilidad, puede
información de los o consecuencias graves si la producirse un impacto
Suministro de sensores puede afectar modificación adversa de la severo en la capacidad de la
energía gravemente a las misiones información da lugar a misión y, a su vez, puede
si se proporcionan acciones incorrectas de tener consecuencias
indicaciones y avisos de regulación o control del catastróficas generales para
la capacidad global a un sistema eléctrico. las infraestructuras críticas
adversario. de la instalación y posibles
la pérdida de vidas humanas.
Informació L L L
n general No hay ajustes No hay ajustes No hay ajustes
Paso 4 Moderado Alto Alto

Categorización Impacto global del sistema de información:
del sistema: alto
Figura 3: Recogida de información sobre la categorización de la seguridad

Además, las agencias pueden considerar la posibilidad de mejorar sus PSS con otros análisis,
decisiones, asignaciones y/o aprobaciones que se utilizaron en el proceso de categorización. Los
ejemplos pueden incluir:
• Áreas de actividad y misión de la Agencia (Paso en el 1Cuadro 1)
• Mandatos legislativos y ejecutivos de información que afectan a la asignación o
al ajuste del impacto de la información (sección 4.1.3)
• Indicar si la información es crítica en términos de tiempo en las justificaciones para
asignar niveles de impacto de disponibilidad (Sección 4.2.2.3)
42
• Justificación de la asignación de información al tipo de información general (sección
4.1.2, consejo de aplicación)
• Resultados de las revisiones de la idoneidad de los niveles de impacto provisionales para
la información (sección 4.3)
43
• Resultados de la consideración de los impactos potenciales a otras organizaciones y de
la consideración, "de acuerdo con la Ley Patriota de los Estados Unidos de 2001 y las
Directivas Presidenciales de Seguridad Nacional, de los impactos potenciales a nivel
nacional en la categorización del sistema de información" (NIST SP 800-53 control de
seguridad RA-2)
• Resultados de la revisión de las categorizaciones de seguridad identificadas
para el conjunto de tipos de información (Paso en la 4Tabla 1)
• Efectos de diversos factores y circunstancias (por ejemplo, agregación de datos,
funcionalidad crítica del sistema, privacidad, secretos comerciales, infraestructura
crítica, agregación, funcionalidad crítica del sistema, circunstancias atenuantes) en la
categoría del sistema (Sección 4.4.2)
• Si la agencia determinó que el nivel de impacto del sistema debe ser superior a cualquiera
de los niveles de los tipos de información que el sistema procesa y por qué lo hizo
(Sección 4.4)
• Aprobación de todas las determinaciones o decisiones (Paso en el 4Cuadro 1)
4.6 Usos de la información de categorización

Los resultados de la categorización de la seguridad del sistema pueden y deben ser utilizados
por, o puestos a disposición de, el personal apropiado de la agencia para apoyar las
actividades de la agencia, incluyendo:
• Análisis del impacto en el negocio (BIA): El personal de la agencia debe considerar la
utilización cruzada de la categorización de la seguridad y la información del BIA en el
desempeño de cada actividad. Sus objetivos comunes permiten que las agencias se
beneficien mutuamente de ellos, proporcionando así controles y equilibrios para
garantizar la precisión de cada sistema de información. La información contradictoria y
las condiciones anómalas, como un impacto de baja disponibilidad y un objetivo de
tiempo de recuperación de tres horas de la BIA, deberían desencadenar una reevaluación
por parte de la misión y los propietarios de los datos.
• Planificación y Control de Inversiones de Capital (CPIC) y Arquitectura Empresarial
(EA): Al igual que ninguna inversión en TI debería realizarse sin una arquitectura
aprobada por la empresa,21 la categorización de la seguridad que inicia el ciclo de vida
de la seguridad es una actividad que permite a la empresa alimentar directamente los
procesos de arquitectura empresarial y CPIC para las nuevas inversiones, así como las
decisiones de migración y actualización. En concreto, la categorización de la seguridad
puede proporcionar una base firme para justificar ciertos gastos de capital y también
puede proporcionar información analítica para evitar inversiones innecesarias.
• Diseño del sistema: Entender y diseñar la arquitectura del sistema teniendo en cuenta
los diferentes niveles de sensibilidad de la información puede ayudar a conseguir
economías de escala con los servicios de seguridad y la protección a través de zonas de
seguridad comunes dentro de la empresa. Por ejemplo, un sistema de información que
contenga información privada puede estar ubicado en una zona de seguridad con otros
sistemas de información que contengan información sensible similar. Cada zona puede
tener diferentes niveles de seguridad. Por ejemplo, las zonas más críticas pueden
44
requerir una autenticación de 3 factores, mientras que la zona abierta puede requerir
únicamente controles de acceso normales. Este tipo de enfoque requiere una sólida
comprensión de los tipos de información y datos de un organismo, obtenida a través del
proceso de categorización de la seguridad.
21
Versión del documento del modelo de referencia consolidado de la AEF de octubre 2.3,2007
45
• Planificación de contingencia y recuperación de desastres: El personal de planificación de
contingencia y recuperación de desastres debe revisar los sistemas de información que
tienen múltiples tipos de datos de diferentes niveles de impacto y considerar la
agrupación de aplicaciones con niveles de impacto de sistemas de información similares
con infraestructuras suficientemente protegidas. Esto garantiza la aplicación eficiente de
los controles de seguridad correctos para la protección contra contingencias y desastres y
evita la sobreprotección de los sistemas de información de menor impacto.
• Intercambio de información y acuerdos de interconexión de sistemas: El personal de la
agencia debe utilizar la información de categorización de seguridad agregada e individual
al evaluar las conexiones entre agencias. Por ejemplo, saber que la información procesada
en un sistema de información de alto impacto está fluyendo hacia el sistema de
información de impacto moderado de otra agencia debería hacer que ambas agencias
evalúen la información de categorización de seguridad, los controles de seguridad
implementados o resultantes, y el riesgo asociado con la interconexión de sistemas. Los
resultados de esta evaluación pueden justificar la necesidad de controles de seguridad
adicionales en forma de un acuerdo de nivel de servicio, actualizaciones de los sistemas
de información, controles de seguridad mitigadores adicionales o medios alternativos
para compartir la información requerida.
46
APÉNDICE A: GLOSARIO DE TÉRMINOS
Acreditación La decisión oficial de gestión dada por un alto funcionario de la agencia

para autorizar el funcionamiento de un sistema de información y aceptar
explícitamente el riesgo para las operaciones de la agencia (incluyendo
la misión, las funciones, la imagen o la reputación), los activos de la
agencia o los individuos, sobre la base de la implementación de un
conjunto acordado de controles de seguridad. [FIPS NIST200, SP 800-
37]
Límite de Todos los componentes de un sistema de información que deben ser
acreditación acreditados por un funcionario autorizante y excluye los sistemas
acreditados por separado a los que el sistema de información está
conectado. Sinónimo del término perímetro de seguridad definido en la
Instrucción 4009 del CNSS y en el DCID 6/3. [NIST SP 800-37]
Autoridad Véase el funcionario encargado de la autorización.

de
acreditació
n
Agencia Un departamento ejecutivo especificado en 5 U.S.C., Sec. 101; un
departamento militar especificado en 5 U.S.C., Sec. 102; un
establecimiento independiente tal como se define en 5 U.S.C., Sec.
104(1); y una corporación gubernamental de propiedad total sujeta a
las disposiciones de 31 U.S.C., Capítulo 91. [41 U.S.C., Sec. 403]
Autenticación Verificación de la identidad de un usuario, proceso o dispositivo, a

menudo como requisito previo para permitir el acceso a los recursos
de un sistema de información. [FIPS 200]
Autenticidad La propiedad de ser genuino y poder ser verificado y confiable; la

confianza en la validez de una transmisión, un mensaje o el emisor del
mensaje. Véase autenticación.
Funcionario Funcionario con autoridad para asumir formalmente la responsabilidad

autorizante de operar un sistema de información con un nivel de riesgo aceptable
para las operaciones de la agencia (incluyendo la misión, las funciones,
la imagen o la reputación), los activos de la agencia o los individuos.
Sinónimo de Autoridad de Acreditación. [FIPS 200, NIST SP 800-37]
Disponibilidad Garantizar el acceso oportuno y fiable a la información y su uso.

[44 U.S.C., Sec. 3542]
A-1
Áreas de negocio Las "áreas de negocio" separan las operaciones del gobierno en
categorías de alto nivel relacionadas con el propósito del gobierno, los
mecanismos que el gobierno utiliza para lograr sus propósitos, las
funciones de apoyo necesarias para llevar a cabo las operaciones del
gobierno y las funciones de gestión de recursos que apoyan todas las
áreas de negocio del gobierno. Las "áreas de negocio" se subdividen en
"áreas de operación" o "líneas de negocio". Los tipos de información
recomendados en el NIST SP 800-60 se establecen a partir de las "áreas
de negocio" y "líneas de negocio" de la sección Business Reference
Model (BRM) de la OMB de la Federal Enterprise Architecture (FEA)
Consolidated Reference Model Document Version 2.3
Certificación Una evaluación exhaustiva de los controles de seguridad de gestión,

operativos y técnicos en un sistema de información, realizada en apoyo
de la acreditación de seguridad, para determinar el grado en que los
controles se implementan correctamente, funcionan según lo previsto y
producen el resultado deseado con respecto al cumplimiento de los
requisitos de seguridad para el sistema. [FIPS 200, NIST SP 800-37]
Director de Funcionario de la agencia responsable de:

Información (i) Proporcionar asesoramiento y otro tipo de asistencia al jefe de la
agencia ejecutiva y a otros altos cargos de la agencia para garantizar
que la tecnología de la información se adquiere y los recursos de la
información se gestionan de forma coherente con las leyes, órdenes
ejecutivas, directivas, políticas, reglamentos y prioridades establecidas
por el jefe de la agencia;
(ii) Desarrollar, mantener y facilitar la aplicación de una arquitectura
tecnológica de la información sólida e integrada para la agencia; y
(iii) Promover el diseño y el funcionamiento eficaces y eficientes de
todos los principales procesos de gestión de los recursos de
información de la agencia, incluidas las mejoras de los procesos de
trabajo de la agencia. [PL 104-106, Sec. 5125(b)]
Informació Información que se ha determinado, de conformidad con la Orden

n Ejecutiva (O.E.) 13292 o cualquier orden predecesora, que requiere
clasificada protección contra la divulgación no autorizada y que está marcada
para indicar su condición de clasificada cuando está en forma
documental.
A-2
Mando y El ejercicio de la autoridad y la dirección por parte de un comandante
control debidamente designado sobre las fuerzas asignadas y adjuntas en el
cumplimiento de la misión. Las funciones de mando y control se llevan
a cabo mediante una disposición de personal, equipos, comunicaciones,
instalaciones y procedimientos empleados por un comandante para
planificar, dirigir, coordinar y controlar las fuerzas y las operaciones en
el cumplimiento de la misión.
Confidencialidad Preservar las restricciones autorizadas al acceso y la divulgación de la

información, incluidos los medios para proteger la privacidad personal
y la información de propiedad. [44 U.S.C., Sec. 3542]
Contrainteligencia Información recopilada y actividades llevadas a cabo para proteger

contra el espionaje, otras actividades de inteligencia, sabotaje o
asesinatos realizados por o en nombre de gobiernos extranjeros o
elementos de los mismos, organizaciones extranjeras o personas
extranjeras, o actividades terroristas internacionales.
Criticidad Una medida del grado en que una organización depende

en la información o el sistema de información para el éxito de una
misión o de una función empresarial.
Criptológico De o perteneciente a la criptología.
Criptología Ciencia que se ocupa de las comunicaciones ocultas,

disfrazadas o encriptadas. Incluye la seguridad de las
comunicaciones y la inteligencia de las comunicaciones.
Agencia Ejecutiva Un departamento ejecutivo especificado en 5 U.S.C., Sec. 101; un

departamento militar especificado en 5 U.S.C., Sec. 102; un
establecimiento independiente según la definición de 5 U.S.C., Sec.
104(1); o una corporación gubernamental de propiedad total sujeta a las
disposiciones de 31 U.S.C., Capítulo 91. [41 U.S.C., Sec. 403]
Arquitectura Un marco empresarial para la mejora de la administración pública

Empresarial desarrollado por la Oficina de Gestión y Presupuesto que pretende
Federal facilitar los esfuerzos para transformar la administración federal en
[Programa FEA una centrada en el ciudadano, orientada a los resultados y basada en el
Oficina de Gestión] mercado.
Sistema Federal de Un sistema de información utilizado u operado por una agencia

Información ejecutiva, por un contratista de una agencia ejecutiva o por otra
organización en nombre de una agencia ejecutiva. [40 U.S.C., Sec.
11331]
A-3
Sistema de Un conjunto interconectado de recursos de información bajo el
apoyo general mismo control de gestión directa que comparte una funcionalidad
común. Normalmente incluye hardware, software, información,
datos, aplicaciones, comunicaciones y personas. [Circular A-130 de
la OMB, Apéndice III].
Sistema de alto Un sistema de información en el que al menos un objetivo de seguridad
impacto (es decir, la confidencialidad, la integridad o la disponibilidad) tiene
asignado un valor de impacto potencial FIPS 199 de alto. [FIPS 200]
Impacto La magnitud del daño que puede esperarse de las consecuencias de la

divulgación no autorizada de la información, la modificación no
autorizada de la información, la destrucción no autorizada de la
información o la pérdida de disponibilidad de la información o del
sistema de información.
Agencia La Junta de Gobernadores del Sistema de la Reserva Federal, la
reguladora Comisión de Comercio de Futuros de Productos Básicos, la Comisión
independiente de Seguridad de los Productos de Consumo, la Comisión Federal de
Comunicaciones, la Corporación Federal de Seguros de Depósitos, la
Comisión Federal Reguladora de la Energía, la Junta Federal de
Financiación de la Vivienda, la Comisión Marítima Federal, la
Comisión Federal de Comercio, la Comisión de Comercio Interestatal,
la Comisión de Revisión de Seguridad y Salud en las Minas, la Junta
Nacional de Relaciones Laborales, la Comisión Reguladora Nuclear, la
Comisión de Revisión de Seguridad y Salud Ocupacional, la Comisión
de Tarifas Postales, la Comisión de Valores y Bolsa, y cualquier otra
agencia similar designada por la ley como agencia o comisión
reguladora federal independiente.
Individual Un ciudadano de los Estados Unidos o un extranjero admitido
legalmente para la residencia permanente. Las agencias pueden, en
consonancia con la práctica individual, optar por ampliar las
protecciones de la Ley de Privacidad y la Ley de Administración
Electrónica a las empresas, los propietarios únicos, los extranjeros, etc.
Información Una instancia de un tipo de información. [FIPS 199]
Información Funcionario con autoridad estatutaria u operativa para la información

Propietario especificada y responsable de establecer los controles para su
generación, recopilación, procesamiento, difusión y eliminación.
[CNSS Inst. 4009]
Recursos de Información y recursos relacionados, como personal, equipos, fondos y
informació tecnología de la información. [44 U.S.C., Sec. 3502]
n
Seguridad de la La protección de la información y de los sistemas de información contra
información el acceso, el uso, la divulgación, la interrupción, la modificación o la
destrucción no autorizados con el fin de proporcionar confidencialidad,
integridad y disponibilidad. [44 U.S.C., Sec. 3542]
A-4
Sistema de Un conjunto discreto de recursos de información organizados para la
información recopilación, el procesamiento, el mantenimiento, el uso, el
intercambio, la difusión o la eliminación de información. [44 U.S.C.,
Sec. 3502; OMB Circular A-130, Apéndice III].
Propietario del Funcionario responsable de la adquisición, el desarrollo, la

sistema de integración, la modificación o el funcionamiento y el
información (o mantenimiento generales de un sistema de información.
director de [CNSS Inst. 4009, Adaptado]
programa)
Responsable de Persona a la que el responsable de seguridad de la información de la
seguridad del agencia, el funcionario autorizante, el funcionario de gestión o el
sistema de propietario del sistema de información han asignado la
información responsabilidad de mantener la postura de seguridad operativa
adecuada para un sistema o programa de información. [CNSS Inst.
4009, adaptado]
Tecnología Cualquier equipo o sistema interconectado o subsistema de equipo que
de la se utilice en la adquisición, almacenamiento, manipulación, gestión,
informació movimiento, control, visualización, conmutación, intercambio,
n transmisión o recepción automática de datos o información por parte de
la agencia ejecutiva. A efectos de la frase anterior, el equipo es utilizado
por una agencia ejecutiva si el equipo es utilizado por la agencia
ejecutiva directamente o es utilizado por un contratista en virtud de un
contrato con la agencia ejecutiva que (i) requiera el uso de dicho equipo;
o (ii) requiera el uso, en un grado significativo, de dicho equipo en la
ejecución de un servicio o el suministro de un producto. El término
tecnología de la información incluye ordenadores, equipos auxiliares,
software, firmware y procedimientos similares, servicios (incluidos los
servicios de apoyo) y recursos relacionados. [40 U.S.C., Sec.
1401]
Tipo de información Una categoría específica de información (por ejemplo, privada,
médica, de propiedad, financiera, de investigación, sensible para
contratistas, de gestión de la seguridad) definida por una organización
o, en algunos casos, por una ley específica, una orden ejecutiva, una
directiva, una política o un reglamento. [FIPS 199]
Integridad Protección contra la modificación o destrucción indebida de la
información, e incluye la garantía de no repudio y autenticidad de la
información. [44 U.S.C., Sec. 3542]
A-5
Inteligencia (i) el producto resultante de la recopilación, el tratamiento, la
integración, el análisis, la evaluación y la interpretación de la
información disponible sobre países o zonas extranjeras; o
(ii) información y conocimientos sobre un adversario obtenidos
mediante la observación, la investigación, el análisis o la
comprensión. El término "inteligencia" incluye la inteligencia
extranjera y la contrainteligencia.
Actividades El término "actividades de inteligencia" incluye todas las actividades
de que los organismos de la Comunidad de Inteligencia están autorizados a
inteligencia realizar en virtud de la Orden Ejecutiva Actividades de Inteligencia de
los 12333,Estados Unidos.
Comunidad El término "comunidad de inteligencia" se refiere a las siguientes
de agencias u organizaciones:
Inteligencia (i) La Agencia Central de Inteligencia (CIA);
(ii) La Agencia de Seguridad Nacional (NSA);
(iii) La Agencia de Inteligencia de Defensa (DIA);
(iv) Las oficinas dentro del Departamento de Defensa para la
recopilación de inteligencia nacional extranjera especializada a
través de programas de reconocimiento;
(v) La Oficina de Inteligencia e Investigación del Departamento
de Estado;
(vi) Los elementos de inteligencia del Ejército, la Armada, las
Fuerzas Aéreas y el Cuerpo de Marines, la Oficina Federal de
Investigación (FBI), el Departamento del Tesoro y el
Departamento de Energía; y
(vii) Los elementos del personal del Director de la Inteligencia Central.
Líneas de negocio Las "líneas de negocio" o "áreas de operación" describen el propósito
del gobierno en términos funcionales o describen las funciones de apoyo
que el gobierno debe llevar a cabo para prestar efectivamente los
servicios a los ciudadanos. Las líneas de negocio relacionadas con el
propósito del gobierno y los mecanismos que el gobierno utiliza para
lograr sus propósitos tienden a estar basados en la misión. Las líneas de
negocio relacionadas con las funciones de apoyo y las funciones de
gestión de recursos que son necesarias para llevar a cabo las operaciones
del gobierno tienden a ser comunes a la mayoría de los organismos. Los
tipos de información recomendados en el NIST SP 800-60 se establecen
a partir de las "áreas de negocio" y "líneas de negocio" de la sección del
Modelo de Referencia de Negocio (BRM) de la OMB de la versión del
documento del Modelo de Referencia Consolidado de la Arquitectura
Empresarial Federal (FEA) 2.3
Sistema de bajo Un sistema de información en el que los tres objetivos de
impacto seguridad (es decir, la confidencialidad, la integridad y la
disponibilidad) tienen asignado un valor de impacto potencial
A-6
FIPS 199 bajo. [FIPS 200]
Misión crítica Cualquier sistema de telecomunicaciones o de información que se

defina como sistema de seguridad nacional (FISMA) o que procese
cualquier información cuya pérdida, uso indebido, divulgación o acceso
no autorizado o modificación tenga un impacto debilitante en la misión
de una agencia.
A-7
Sistema de Un sistema de información en el que al menos un objetivo de seguridad
impacto (es decir, la confidencialidad, la integridad o la disponibilidad) tiene
moderado asignado un valor de impacto potencial FIPS 199 de moderado y ningún
objetivo de seguridad tiene asignado un valor de 199impacto potencial
FIPS de alto. [FIPS 200]
Información Información que se ha determinado, de conformidad con la Orden
sobre seguridad Ejecutiva 12958, modificada por la Orden Ejecutiva 13292, o cualquier
nacional orden predecesora, o por la Ley de Energía Atómica de 1954,
modificada, que requiere protección contra la divulgación no autorizada
y está marcada para indicar su condición de clasificada.
Sistema Nacional Cualquier sistema de información (incluido cualquier sistema de

de Seguridad telecomunicaciones) utilizado o explotado por una agencia o por un
contratista en nombre de una agencia, o por cualquier otra organización
en nombre de una agencia.
(i) cuya función, operación o uso: implique actividades de inteligencia;
implique actividades criptológicas relacionadas con la seguridad
nacional; implique el mando y control de fuerzas militares;
implique equipos que formen parte integral de un arma o sistema de
armas; o sea crítico para el cumplimiento directo de misiones
militares o de inteligencia (excluyendo un sistema que vaya a ser
utilizado para aplicaciones administrativas y comerciales rutinarias,
por ejemplo aplicaciones de nóminas, finanzas, logística y gestión
de personal); o
(ii) está protegido en todo momento por los procedimientos
establecidos por una orden ejecutiva o una ley del Congreso para
mantenerse clasificado en interés de la defensa nacional o la
política exterior. [44 U.S.C., Sec. 3542]
No repudio Garantía de que el remitente de la información tiene una prueba de
entrega y el destinatario tiene una prueba de la identidad del remitente,
de modo que ninguno de los dos pueda negar posteriormente haber
procesado la información. [CNSS Inst. 4009 Adaptado]
Impacto potencial La pérdida de confidencialidad, integridad o disponibilidad podría tener

(i) un efecto adverso limitado (FIPS 199 bajo); (ii) un efecto adverso
grave (FIPS 199 moderado); o (iii) un efecto adverso grave o
catastrófico
efecto (FIPS 199 alto) sobre las operaciones de la organización, los
activos de la organización o los individuos. [FIPS 199]
A-8
Evaluación del Un análisis de cómo se maneja la información:
impacto sobre la (i) para garantizar que el tratamiento se ajusta a los requisitos
privacidad (PIA) legales, reglamentarios y políticos aplicables en materia de
privacidad;
(ii) determinar los riesgos y los efectos de la recogida, el
mantenimiento y la difusión de información en forma
identificable en un sistema de información electrónico; y
(iii) para examinar y evaluar las protecciones y los procesos
alternativos para el tratamiento de la información con el fin
de mitigar los posibles riesgos para la privacidad.
[Memorándum OMB 03-22].
Información pública Cualquier información, independientemente de su forma o formato, que
un organismo revele, difunda o ponga a disposición del público.
Riesgo El nivel de impacto en las operaciones de la organización (incluyendo la

misión, las funciones, la imagen o la reputación), en los activos de la
organización, en los individuos, en otras organizaciones o en la nación,
resultante de la operación de un sistema de información, dado el
impacto potencial de una amenaza y la probabilidad de que esa amenaza
ocurra. [FIPS 200, adaptado]
Categoría de La caracterización de la información o de un sistema de información
seguridad basada en una evaluación del impacto potencial que una pérdida de
confidencialidad, integridad o disponibilidad de dicha información o
sistema de información tendría sobre las operaciones de la
organización, los activos de la organización, los individuos, otras
organizaciones o la Nación. [FIPS 199, adaptado]
Controles de Los controles de gestión, operativos y técnicos (es decir, salvaguardias
seguridad o contramedidas) prescritos para un sistema de información con el fin
de proteger la confidencialidad, la integridad y la disponibilidad del
sistema y de su información. [FIPS 199]
Objetivos de Confidencialidad, integridad y disponibilidad [FIPS 199].

seguridad
Oficial Superior de Funcionario responsable de llevar a cabo las responsabilidades del
Seguridad de la Oficial Principal de Información en virtud de la FISMA y de servir
Información de la de enlace principal del Oficial Principal de Información con los
Agencia funcionarios que autorizan la agencia, los propietarios de los sistemas
de información y los oficiales de seguridad de los sistemas de
información. [44 U.S.C., Sec. 3544]
Sensibilidad Utilizado en esta directriz para significar una medida de la importancia
asignada a la información por su propietario, con el fin de denotar su
necesidad de protección.
A-9
Subfunciones Las subfunciones son las operaciones básicas empleadas para
proporcionar los servicios del sistema dentro de cada área de
operaciones o línea de negocio. Los tipos de información recomendados
en el documento NIST SP 800-60 se han establecido a partir de las
"áreas de negocio" y "líneas de negocio" de la sección Business
Reference Model (BRM) de la OMB de la versión del Documento de
Modelo de Referencia Consolidado de la Arquitectura Empresarial
Federal (FEA) 2.3
Sistema Véase Sistema de información.
Telecomunicaciones La transmisión, entre puntos especificados por el usuario, de la

información que éste elija, sin que se modifique la forma o el contenido
de la información enviada y recibida.
Amenaza Cualquier circunstancia o evento con el potencial de impactar

negativamente en las operaciones de la agencia (incluyendo la misión,
las funciones, la imagen o la reputación), los activos de la agencia, los
individuos, otras organizaciones o la Nación a través de un sistema de
información mediante el acceso no autorizado, la destrucción, la
divulgación, la modificación de la información y/o la denegación de
servicio. [CNSS Inst. 4009, Adaptado]
Vulnerabilidad Debilidad en un sistema de información, en los procedimientos de
seguridad del sistema, en los controles internos o en la implementación
que podría ser explotada o activada por una fuente de amenaza. [CNSS
Inst. Adaptado4009,]
Sistema de armas Una combinación de una o más armas con todo el equipo, los
materiales, los servicios, el personal y los medios de entrega y
despliegue (si procede) necesarios para la autosuficiencia.
A-10
APÉNDICE B: REFERENCIAS
S. 3418 [5 U.S.C. § 552A a través de la Ley Pública 93-579], 93rd U.S. Cong, 2d Sess., The
Privacy Act of 1974, 31 de diciembre de 1974 (en vigor el 27 de septiembre de 1975).
S. 244 [Public Law 104-13], 104th U.S. Cong, 1t Sess., Paperwork Reduction Act of 1995, 22
de mayo de 1995.
S. 1124, División E [Ley Pública 104-106], 104th U.S. Cong, 2d Sess., Information Technology
Management Reform Act of 1996, 10 de febrero de 1996.
H.R. Titles3162, VII y Title IX [Public Law 107-56], U107th.S. Cong., 1t Sess. The USA
PATRIOT Act of 2001, October 26,2001.
Ley Pública 107-296, Ley de Infraestructura de Información Crítica de2002 , §§211-215,
noviembre 25,2002.
H.R. 2458 [Public Law 107-347], 107th U.S. Cong, 2d Sess., E-Government Act of 2002,
17 de diciembre de 2002.
H.R. 2458, Título III [Ley Pública 107-347], 107th U.S. Cong, 2d Sess., Federal
Information Security Management Act of 2002, diciembre 17,2002.
Oficina Ejecutiva del Presidente, Presidential Decision Directive Protecting63, America's
Critical Infrastructures, mayo 22,1998.
Oficina de Gestión y Presupuesto de los Estados Unidos, Circular nº A-130, Apéndice III,
Transmittal Memorandum nº 4, Management of Federal Information Resources, noviembre
2000.
Oficina de Gestión y Presupuesto de los Estados Unidos, OMB Guidance for Implementing the
Privacy Provisions of the E-Government Act of2002 , 29 de septiembre de 2003.
Oficina de Gestión y Presupuesto de los Estados Unidos (OMB), Oficina de Gestión de
Programas (PMO) de la Arquitectura Empresarial Federal (FEA), Modelo2.3 de Referencia
Consolidado de la FEA, octubre de 2007.
Departamento de Comercio de los Estados Unidos, Instituto Nacional de Normas y
Tecnología, Federal Information Processing Standards Publication 199, Standards for
Security Categorization of Federal Information and Information Systems, diciembre
2003.
Departamento de Comercio de los Estados Unidos, Instituto Nacional de Normas y Tecnología,
Federal Information Processing Standards Publication 200, Minimum Security Requirements for
Federal Information and Information Systems, marzo de 2006.
Publicación especial 800-18, Guía para el desarrollo de planes de seguridad para sistemas de
información federales, Revisión de febrero 1,2006.
Tecnología, Publicación especial 800-30, Guía de gestión de riesgos para sistemas de
tecnología de la información, julio de 2002.
Publicación especial 800-34, Guía de planificación de contingencia para sistemas de tecnología
B-1
de la información, junio 2002.
B-2
Publicación especial 800-37, Guía para la certificación y acreditación de la seguridad de los
sistemas de información federales, mayo 2004.
Tecnología, Publicación especial 800-39, Borrador de la gestión de riesgos de los
sistemas de información: An Organizational Perspective, abril 2008.
Publicación especial 800-53, Controles de seguridad recomendados para los sistemas de
información federales, Revisión de diciembre 2,2007.
Departamento de Comercio de los Estados Unidos, Instituto Nacional de Estándares y
Tecnología, Publicación especial 800-53A, Guía para evaluar los controles de seguridad en los
sistemas de información federales, julio de 2008.
Departamento de Comercio de los Estados Unidos, Instituto Nacional de Estándares y
Tecnología, Publicación especial 800-59, Guía para identificar un sistema de información como
sistema de seguridad nacional, agosto 2003.
Publicación especial 800-64, Consideraciones de seguridad en el ciclo de vida de desarrollo de
sistemas de información, junio de 2004.
B-3

Revisión de La Publicación Especial 800 - 60 Del NIST Volumen I 1

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Revisión de La Publicación Especial 800 - 60 Del NIST Volumen I 1

Cargado por

Copyright:

Formatos disponibles

Revisión de la Publicación Especial 800-

60 del NIST Volumen I 1 Volumen I:

División de Seguridad Informática

DEPARTAMENTO DE COMERCIO DE LOS ESTADOS

INSTITUTO NACIONAL DE NORMAS Y

Publicación especial 800-60 del NIST Volumen I, páginas1,53 de revisión

1.0 INTRODUCCIÓN ................................................................................................................ 1

2.0 RESUMEN DELA PUBLICACIÓN .................................................................................... 4

3.0 CATEGORIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN Y DE LOS

4.0 ASIGNACIÓN DE NIVELES DE IMPACTO Y

1.1 Objetivo y aplicabilidad

1.2 Público objetivo

1.3 Relación con otros documentos

1.4 Organización de esta publicación especial

2.1 Las agencias apoyan el proceso de categorización de la seguridad

2.3 Papel en el ciclo de vida del desarrollo del sistema

2.4 Papel en el proceso de certificación y acreditación

2.5 Función en el marco de gestión de riesgos del NIST

3.1 Categorías y objetivos de seguridad

3.1.2 Objetivos de seguridad y tipos de pérdidas potenciales

Resultados del FIPS / 200SP 800-53

Figura 2: Ejecución del proceso de categorización de seguridad SP 800-60

4.1.1 Identificación de los tipos de información basados en la misión

Gran parte de la información de la administración federal y muchos sistemas de información de

4.1.2.1 Información de apoyo a la prestación de servicios

4.1.2.2 Información sobre la gestión de recursos gubernamentales

4.1.3 Mandatos de información legislativa y ejecutiva

Durante la identificación de los tipos de información dentro de un sistema de información, el

4.1.4 Identificación de los tipos de información no enumerados en esta directriz

4.2 Paso 2: Seleccionar el nivel de impacto provisional

4.2.1 Criterios de 199categorización de seguridad FIPS

Cuando un tipo de información procesado por un sistema de información no esté categorizado

OBJETIVO DE SEGURIDAD IMPACTO

Integridad Los no autorizados Los no autorizados La modificación no autorizada

4.2.2 Factores comunes para la selección de los niveles de impacto

Cuando un organismo determina los niveles de impacto en la seguridad y la categorización de la

4.2.3 Ejemplos de selección de niveles de impacto basados en FIPS 199

EJEMPLO 2: Una organización policial que gestiona información de investigación

En general, la evaluación del impacto del objetivo de seguridad es independiente de los

4.3 Paso 3: Revisión de los niveles de impacto provisionales y

4.4 Paso 4: Asignar la categoría de seguridad del sistema

FIPS 199 reconoce que la determinación de la categoría de seguridad de un sistema de

Los sistemas de información se componen tanto de programas informáticos como de

• El requisito fundamental de proteger la integridad, la disponibilidad y, en el caso de la

Información administrativa SC {=(confidencialidad, BAJO), (integridad, BAJO), (disponibilidad, BAJO)}.

Información administrativa SC {=(confidencialidad, BAJO), (integridad, BAJO), (disponibilidad, BAJO)}.

La categoría de seguridad resultante del sistema de información se expresa inicialmente como

4.4.2 Directrices para la categorización del sistema

Integridad de la información pública

Pérdida catastrófica de la disponibilidad del sistema

Grandes sistemas de apoyo e interconexión

Infraestructuras críticas y recursos clave

Cuando la misión a la que sirve un sistema de información, o la información que el sistema

Información sobre la privacidad

La Ley de Administración Electrónica de 2002 complementa los requisitos de protección de la

Hay varias leyes que prohíben específicamente la divulgación no autorizada de secretos

4.4.3 Impacto global del sistema de información

4.5 Documentación del proceso de categorización de la seguridad

Paso 4 Moderado Alto Alto

Figura 3: Recogida de información sobre la categorización de la seguridad

4.6 Usos de la información de categorización

Acreditación La decisión oficial de gestión dada por un alto funcionario de la agencia

Autoridad Véase el funcionario encargado de la autorización.