jueves, 10 de diciembre de 2009

Destrucción de Información, referencias legales y normativas (II)

******************************************************
Destrucción de Información, refs legales y normativas (I)
Destrucción de Información, refs legales y normativas (II)
Destrucción de Información, refs legales y normativas (III)
Destrucción de Información, refs legales y normativas (IV)
******************************************************

Categoría: Seguridad de la Información

Esquema Nacional de Seguridad

El recientemente publicado borrador del Esquema Nacional de Seguridad establece dentro de su capítulo 10 en su artículo 43 una clasificación de la información distinguiendo entre:
  1. Información de Difusión Administrativa: aquella cuya revelación pública no autorizada pueda ocasionar un perjuicio para el procedimiento administrativo o para los intereses de las personas afectadas.
  2. Información No Divulgable: aquella que, sin ser información clasificada, o de difusión administrativa, tenga limitada su publicidad por disposición legal.
  3. Información Pública: toda información que no sea información clasificada, dato de carácter personal, ni esté clasificado como de Difusión Administrativa o No Divulgable por prescripción legal.
En su anexo I, hace una categorización de los sistemas que los divide en tres categorías:
  • Básica, Media y Alta.
Habla también allí de que un sistema pertenecerá a una determinada categoría dependiendo del impacto que un determinado incidente de seguridad pudiera provocar a nivel organizativo. Hace también una exposición de las dimensiones de seguridad (con la que no estoy de acuerdo) y menciona que debe evaluarse cada dimensión por separado y cómo se debe hacer corresponder cada dimensión con su categoría de seguridad. En el punto 6 del mismo anexo podemos encontrar una secuencia de pasos que nos conducirá hasta la categorización del sistema pasando por:
  • Identificación de la información manejada según lo dispuesto en el artículo 43
  • Determinar las dimensiones de seguridad relevantes
  • Determinar el nivel de seguridad correspondiente a cada dimensión
  • Determinar la categoría del sistema
En lo relativo a la destrucción de la información, el ENS introduce en su punto 5.5.5 del Anexo II a qué deben aplicarse y qué garantías deben proveer las medidas de borrado y destrucción:
La medida de borrado y destrucción de soportes de información se aplicará a todo tipo de equipos susceptibles de almacenar información, incluyendo medios electrónicos y no electrónicos.

a) Los soportes que vayan a ser reutilizados para otra información o liberados a otra organización serán objeto de un borrado seguro de su anterior contenido.

b) Se destruirán de forma segura los soportes en los siguientes casos:
  • 1º Cuando la naturaleza del soporte no permita un borrado seguro.
  • 2º Cuando así lo requiera el procedimiento asociado al tipo de la información contenida.
c) Se emplearán, preferentemente, productos certificados [op.pl.5]

Como se puede apreciar hace referencia al requisito op.pl.5 que se encuentra en el punto 4.1.5. y que recomienda el uso de productos o equipos cuyas funcionalidades hayan sido rigurosamente evaluadas conforme a normas internacionales o europeas. Reza:

Tendrán la consideración de normas europeas o internacionales, ISO/IEC 15408 u otras de naturaleza y calidad análogas
Sobre ISO 15408 hablaremos en un futuro en este blog.

******************************************************
Destrucción de Información, refs legales y normativas (I)
Destrucción de Información, refs legales y normativas (II)
Destrucción de Información, refs legales y normativas (III)
Destrucción de Información, refs legales y normativas (IV)
******************************************************

Publicado por en
Etiquetas: , , , ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)