viernes, 11 de diciembre de 2009

Destrucción de Información, referencias legales y normativas (III)

******************************************************
Destrucción de Información, refs legales y normativas (I)
Destrucción de Información, refs legales y normativas (II)
Destrucción de Información, refs legales y normativas (III)
Destrucción de Información, refs legales y normativas (IV)
******************************************************

Destrucción de Información en soporte papel, la norma DIN 32757

Tras este repaso sobre algunas de las referencias legales en cuanto a clasificación que ya existen y que se van a imponer en breve, quiero hacer una reflexión al respecto de cómo se trata la destrucción de la información ligada a los requisitos legales de destrucción y el nivel de clasificación que estos dos marcos legales nos ofrecen.

La norma DIN 32757 regula el tamaño máximo que deben tener los fragmentos de un soporte destruido dependiendo de la clasificación de la información que contiene definiendo 5 niveles:
  • Nivel 1: Tiras de un máximo de 12 mm de ancho. Documentos generales que deben hacerse ilegibles.
  • Nivel 2: Tiras de un máximo de 6 mm de ancho. Documentos internos que deben hacerse ilegibles.
  • Nivel 3: Tiras de un máximo de 2 mm. de ancho / Partículas de un máximo de 4 x 80 mm. Documentos confidenciales.
  • Nivel 4: Partículas de un máximo de 2 x 15 mm. Documentos de importancia vital para la organización que deben mantenerse en secreto.
  • Nivel 5: Partículas de un máximo de 0,8 x 12 mm. Documentos clasificados, para los que rigen exigencias de seguridad muy elevadas.
A mayor nivel de seguridad, menor es el tamaño de las partículas resultantes. Podemos entonces establecer para el papel una correspondencia en función de la criticidad de los datos (y las sanciones por fuga de datos en caso de la LOPD) entre los diferentes niveles establecidos por el RD 1720/2007, el ENS y la norma DIN 32757.

Entramos en el terreno de la opinión dadas las mínimas diferencias que existen entre niveles adyacentes de la norma DIN 32757. En relación al reglamento de desarrollo de la LOPD y respetando lo descrito en el artículo 92.4 donde no se distingue entre niveles de clasificación de la información de carácter personal, una alternativa es destruir cualquier información de carácter personal en soporte papel mediante una destructora que asegure un nivel 4. Otra posible alternativa puede ser la siguiente:
  • LOPD nivel bajo <--> DIN 32757 nivel 2
  • LOPD nivel medio <--> DIN 32757 nivel 3
  • LOPD nivel alto <--> DIN 32757 nivel 4 o 5
En relación al ENS, podemos establecer la siguiente correspondencia en cuanto a la clasificación que por confidencialidad hace en el artículo 43:
  • ENS Información Pública --> No es necesaria la destrucción
  • ENS Información No Divulgable <--> DIN 32757 nivel 3
  • ENS Información de Difusión Administrativa <--> DIN 32757 nivel 4 o 5
No obstante, el ENS entiendo que tiene una doble clasificación en términos de confidencialidad que quizá debería ser revisada dado que en el Anexo I se vuelve a tipificar la información como básica media y alta dependiendo del impacto generado por un incidente de seguridad. Atendiendo a esta clasificación podríamos tener la siguiente opción:
  • ENS nivel bajo --> DIN 32757 nivel 2
  • ENS nivel medio --> DIN 32757 nivel 3
  • ENS nivel alto --> DIN 32757 nivel 4 o 5
Esta correspondencia establece a su vez una equiparación en términos de destrucción entre los niveles medio y alto y la información de carácter no divulgable y de Difusión Administrativa respectivamente.

******************************************************
Destrucción de Información, refs legales y normativas (I)
Destrucción de Información, refs legales y normativas (II)
Destrucción de Información, refs legales y normativas (III)
Destrucción de Información, refs legales y normativas (IV)
******************************************************

No hay comentarios: