Guía para la Gestión y Clasificación de Activos de ...

1 Gu a para la Gesti n y Clasificaci n de Activos de Informaci n. Gu a No. 5 HISTORIA VERSI N FECHA CAMBIOS INTRODUCIDOS 15/03/2016 Versi n inicial del documento TABLA DE CONTENIDO 2 1. DERECHOS DE AUTOR .. 4 2. AUDIENCIA .. 5 3. INTRODUCCI N .. 6 4. ALCANCE .. 8 5. DEFINICIONES .. 9 6. INVENTARIO DE Activos .. 11 7. Clasificaci n de Activos de Informaci n.. 16 1. DERECHOS DE AUTOR Todas las referencias a los documentos del Modelo de Seguridad de la Informaci n con derechos reservados por parte del Ministerio de Tecnolog as de la Informaci n y las Comunicaciones. Para el desarrollo de esta gu a, se recogieron aspectos importantes de mejores pr cticas y documentos de uso libre, tomando como base los lineamientos recomendados en Norma la ISO IEC 27005 2009, y la ley 1712 de 2014 por medio de la cual se crea la Ley de Transparencia y del Derecho de Acceso a la Informaci n P blica Nacional y se dictan otras disposiciones.

2 2. AUDIENCIA Entidades p blicas de orden nacional y entidades p blicas del orden territorial, as como proveedores de servicios de Gobierno en L nea, y terceros que deseen adoptar el Modelo de Seguridad y Privacidad de TI en el marco de la Estrategia de Gobierno en L nea. 3. INTRODUCCI N Esa gu a entrega los lineamientos b sicos que deben ser utilizados por los responsables de la seguridad de la informaci n, para poner en marcha la gesti n y clasificaci n de Activos de informaci n que son manejados por cada entidad del estado, con el fin de determinar que Activos posee la entidad, de c mo deben ser utilizados, los roles y responsabilidades que tienen los funcionarios sobre los mismos y, reconociendo adicionalmente el nivel de clasificaci n de la informaci n que a cada activo debe d rsele.

3 La realizaci n de un inventario y clasificaci n de Activos hace parte de la debida diligencia que a nivel estrat gico se ha definido en el Modelo de Seguridad y Privacidad de la Informaci n con respecto a la seguridad de los Activos de informaci n de los procesos de una entidad, y cuyo objetivo es dar cumplimiento a cuatro puntos principales descritos en el tem 8 de la Tabla 2 de la gu a Controles del Anexo A del est ndar ISO/IEC 27001:2013: Inventario de Activos : todos los Activos deben estar claramente identificados y la entidad debe elaborar y mantener un inventario de los mismos. Propiedad de los Activos : los Activos de informaci n del inventario deben tener un propietario. Clasificaci n de la informaci n: La informaci n se deber a clasificar en funci n de los requisitos legales, valor, criticidad y susceptibilidad a divulgaci n o a modificaci n no autorizada.

4 Etiquetado y manipulado de la informaci n: Se deber a desarrollar e implementar un conjunto adecuado de procedimientos para el etiquetado de la informaci n, de acuerdo con el esquema de clasificaci n de informaci n adoptado por la organizaci n. El inventario de Activos de informaci n de la entidad deber a especificar para cada activo: Informaci n b sica del activo (nombre, observaciones, proceso, entre otras). El nivel de clasificaci n de la informaci n. Informaci n relacionada con su ubicaci n, tanto f sica como electr nica. Su propietario y su custodio. Los usuarios y derechos de acceso. El sistema de clasificaci n definido se basa en la confidencialidad como principio rector en la selecci n e incluye el tratamiento de la informaci n en cuanto a la Confidencialidad, la Integridad y la Disponibilidad de cada activo.

5 Asimismo, contempla el impacto que causar a la p rdida de alguna de estas propiedades. Para cada propiedad se deben establecieron criterios espec ficos y lineamientos para el tratamiento adecuado del activo. Asimismo en esta gu a se definieron tres (3) niveles que permiten determinar el valor general del activo en la entidad (es importante aclarar que los niveles pueden ser definidos a criterio de la entidad): Alta, Media y Baja, con el fin identificar qu Activos deben ser tratados de manera prioritaria (ver Tabla: Niveles de evaluaci n). CONFIDENCIALIDAD INTEGRIDAD DISPONIBILIDAD INFORMACI N PUBLICA RESERVADA ALTA (A) ALTA (1) INFORMACI N PUBLICA CLASIFICADA MEDIA (M) MEDIA (2) INFORMACI N P BLICA BAJA (B) BAJA (3) NO CLASIFICADA NO CLASIFICADA NO CLASIFICADA Tabla 1: Criterios de Clasificaci n ALTA Activos de informaci n en los cuales la clasificaci n de la informaci n en dos (2) o todas las propiedades (confidencialidad, integridad, y disponibilidad) es alta.

6 MEDIA Activos de informaci n en los cuales la clasificaci n de la informaci n es alta en una (1) de sus propiedades o al menos una de ellas es de nivel medio. BAJA Activos de informaci n en los cuales la clasificaci n de la informaci n en todos sus niveles es baja. Tabla 2: Niveles de Clasificaci n 4. ALCANCE La clasificaci n de Activos de Activos de informaci n se debe realizar acorde con el alcance definido para la implementaci n del MSPI (es decir a los procesos en los que se implementara seguridad de la informaci n) la gesti n de Activos debe estar alineada con el Dominio 8 Gesti n de Activos del anexo A de la norma ISO 27001:2013, y la gu a de controles del modelo de seguridad y privacidad de la informaci n, para garantizar el cumplimiento de los puntos descritos a continuaci n: Inventario de Activos : Se deben identificar los Activos asociados con la informaci n y las instalaciones de procesamiento de informaci n, y se deber a elaborar y mantener un inventario de estos Activos .

7 Propiedad de los Activos : Los Activos mantenidos en el inventario deber an tener un propietario. Uso aceptable de los Activos : Se deber an identificar, documentar e implementar reglas para el uso aceptable de informaci n y de Activos asociados con informaci n e instalaciones de procesamiento de informaci n. Devoluci n de Activos : Todos los empleados y usuarios de partes externas deber an devolver todos los Activos de la organizaci n que se encuentren a su cargo, al terminar su empleo, contrato o acuerdo. Clasificaci n de la informaci n: La informaci n se deber a clasificar en funci n de los requisitos legales, valor, criticidad y susceptibilidad a divulgaci n o a modificaci n no autorizada. Etiquetado de la informaci n: Se deber a desarrollar e implementar un conjunto adecuado de procedimientos para el etiquetado de la informaci n, de acuerdo con el esquema de clasificaci n de informaci n adoptado por la organizaci n.

8 Manejo de Activos : Se deber an desarrollar e implementar procedimientos para el manejo de Activos , de acuerdo con el esquema de clasificaci n de informaci n adoptado por la organizaci n. 5. DEFINICIONES Informaci n: Datos relacionados que tienen significado para la entidad1. La informaci n es un activo que, como otros Activos importantes del negocio, es esencial para las actividades de la entidad y, en consecuencia, necesita una protecci n adecuada2. La definici n dada por la ley 1712 del 2014, se refiere a un conjunto organizado de datos contenido en cualquier documento que los sujetos obligados generen, obtengan, adquieran, transformen o controlen. Informaci n p blica: Es toda informaci n que un sujeto obligado genere, obtenga, adquiera, o controle en su calidad de tal3.

9 Informaci n p blica clasificada: Es aquella informaci n que estando en poder o custodia de un sujeto obligado en su calidad de tal, pertenece al mbito propio, particular y privado o sami-privado de una persona natural o jur dica por lo que su acceso podr ser negado o exceptuado, siempre que se trate de las circunstancias leg timas y necesarias y los derechos particulares o privados consagrados en el art culo 18 de la ley 1712 del 20144. Informaci n p blica reservada: Es aquella informaci n "que estando en poder o custodia de un sujeto obligado en su calidad de tal, es exceptuada, de acceso a la ciudadan a por da o a intereses p blicos y bajo cumplimiento de la totalidad de los requisitos consagrados en el art culo de esta ley5. Clasificaci n de la Informaci n: Es el ejercicio por medio del cual se determina que la informaci n pertenece a uno de los niveles de clasificaci n estipulados en la Entidad.

10 Tiene como objetivo asegurar que la informaci n recibe el nivel de protecci n adecuado6. Propietario de la Informaci n: Es una parte designada de la entidad, un cargo, proceso, o grupo de trabajo que tiene la responsabilidad de garantizar que la informaci n y los Activos asociados con los servicios de procesamiento de informaci n se clasifican adecuadamente, y de definir y revisar 1 Adaptado y traducido de Principles of Information Warfare. Hutchinson W, Warren M. Journal of Information Warfare, 2005. 2 Tomado de ISO/IEC 27001:2013 3 Tomado de la ley 1712 2014 4 Tomado de la ley 1712 2014 5 Tomado de la ley 1712 2014 6 Adaptado ISO IEC 27001:2013 peri dicamente las restricciones y clasificaciones del acceso, teniendo en cuenta las pol ticas aplicables sobre el control del acceso7.