Providencia Administrativa Nº 009-10 de fecha 22 de octubre de 2010, mediante la cual se dicta la Normativa de clasificación y tratamiento de la información en la Administración Pública, publicada en la Gaceta Oficial de la República Bolivariana de Venezuela Nº 39.578 de fecha 21 de diciembre de 2010.
☑ Vigente ☞ FICHA TÉCNICA
REPÚBLICA BOLIVARIANA DE VENEZUELA MINISTERIO DEL PODER POPULAR PARA CIENCIA, TECNOLOGÍA E INDUSTRIAS INTERMEDIAS
SUPERINTENDENCIA DE SERVICIOS DE CERTIFICACIÓN ELECTRÓNICA (SUSCERTE)
Caracas, 22 de Octubre de 2010 200º y 151º Providencia Administrativa Nº 009-10
Quien suscribe NIURKA HERNÁNDEZ GONZÁLEZ, titular de la cédula de identidad Nº V-10-484.661, actuando en mi carácter de Superintendente, designada mediante Resolución Nº 030 del 08 de enero de 2008, publicada en la Gaceta Oficial de la República Bolivariana de Venezuela Nº 38.856, de fecha 23 de enero de 2008, de conformidad con lo dispuesto en el artículo 1º de la Resolución 320, de fecha 02 de enero de 2006, publicada en la Gaceta Oficial de la República Bolivariana de Venezuela Nº 38.414, de fecha 06 de abril de 2006 y en ejercicio de las atribuciones delegadas mediante Resolución 390, de fecha 15 de Septiembre del año 2006, publicada en la Gaceta Oficial de la República Bolivariana de Venezuela Nº 38.567, de fecha 20 de Noviembre de 2006.
CONSIDERANDO
Que mediante Decreto Presidencial Nº 825, de fecha 10 de mayo de 2000, se declara el Acceso y el Uso de Internet como Política Prioritaria para el Desarrollo Cultural, Económico, Social y Político de la República Bolivariana de Venezuela;
CONSIDERANDO
Que mediante Decreto Nº 3.390, de fecha 23 de diciembre de 2004, publicado en Gaceta Oficial Nº 38.095 de fecha 28 de Diciembre de 2004, se declara el uso prioritario del Software Libre desarrollado con Estándares Abierto, en los sistemas, proyectos y servicios informáticos del Estado Venezolano;
CONSIDERANDO
Que mediante la Resolución Nº 320, de fecha 02 de Enero de 2006, publicada en Gaceta Oficial 38.414 de fecha 06 de Abril de 2006, se delega la competencia de dictar políticas, normas y procedimientos de Seguridad informática física y lógica al Ministerio del Poder Popular para Ciencia, Tecnología e Industrias Intermedias;
CONSIDERANDO
Que la Superintendencia de Servicios de Certificación Electrónica (SUSCERTE) es el ente competente para articular, alinear y asesorar toda iniciativa de seguridad informática en los organismos, órganos y entes del Poder Público Nacional, de conformidad con las atribuciones conferidas mediante Resolución 390, de fecha 15 de Septiembre del año 2006, publicada en la Gaceta Oficial de la República Bolivariana de Venezuela Número 38.567, de fecha 20 de Noviembre de 2006.
DICTA LA NORMATIVA DE CLASIFICACIÓN Y TRATAMIENTO DE LA INFORMACIÓN EN LA ADMINISTRACIÓN PÚBLICA
CAPÍTULO I DISPOSICIONES GENERALES
Objeto Artículo 1. La presente normativa tiene por objeto establecer los principios que deben regir la identificación, clasificación, tratamiento y protección de los activos de información en los Entes y Órganos de la Administración Pública Nacional.
Ámbito de Aplicación Artículo 2. La presente normativa será de obligatorio cumplimiento de todos los Entes y Órganos de la Administración Pública Nacional, que creen, administren, modifiquen, manipulen o eliminen activos de información.
Definiciones Artículo 3. A los efectos de la presente providencia, se definen como:
Activo de Información: Es la información misma en cualquiera de sus formas y modalidades impresa, manuscrita, oral, electrónica y visual) a la cual la institución, de conformidad con sus intereses, le ha atribuido un valor determinado en función a la transcendencia de dicha información.
Cifrado: Técnica que enmascara u oculta un mensaje de datos a través de métodos de conversión o algoritmos, cuya aplicación permite el proceso inverso o descifrado de la información.
Clave de máximo privilegio: Utilizada por los administradores de un Sistema para escalar privilegios y realizar operaciones que otros usuarios no pueden, como asignar y/o revocar niveles de permisología.
Contraseña y/o Claves de acceso: Secuencia alfabética, numérica o combinación de ambas, protegidas por reglas de confidencialidad, utilizada para verificar la autenticidad de la autorización, expedida a un usuario, para acceder a la data o a la información contenida en un sistema.
Datos: Es la unidad mínima que compone una información, la cual representa un atributo a través de una representación simbólica.
Información, documentos y materiales clasificados: Activos originales y/o en posesión de la Institución que describan, contengan o soporten sus procesos o actividades relacionadas con las operaciones de la institución y cuya divulgación o entrega deba ser restringida por razones de seguridad.
Información Electrónica: Toda información en digital, documentos, archivos de videos, audio, presentaciones.
Información Impresa: Toda información presentada de forma física.
Ingeniería Social: Práctica para obtener información confidencial a través de la manipulación de usuarios legítimos, propietarios o custodios de los activos de información.
Internet: Red de alcance mundial que une gran cantidad de redes y por la cual circula alto tráfico de información.
Mecanismo de Seguridad de la Información: Herramientas, Políticas Normas o Procedimientos de Seguridad de información, implementadas para proteger los activos de información de la institución.
Normas: Son lineamientos de obligatorio cumplimiento, emanados de la Máxima Autoridad de la Institución, caracterizadas por su imperatividad, coercividad y obligatoriedad.
Plataforma Tecnológica: Son todos los medios utilizados para procesar, almacenar y transmitir la información. La Plataforma tecnológica estará compuesta por la arquitectura y el inventario de los activos de información que ésta contiene.
Unidad Responsable de la Protección de los Activos de información: A los fines de la presente normativa, se entiende como todas aquellas unidades o departamentos de los Entes y Órganos de la Administración Pública Nacional encargadas de velar por la implementación de medidas de seguridad que permitan regular lo concerniente a la creación, administración, modificación, manipulación o eliminación de todos sus Activos de información.
Unidad Responsable de la Administración de la Plataforma Tecnológica: A los fines de la presente normativa, se entiende como toda unidad que se encargue de administrar y gestionar la Plataforma Tecnológica de los entes u órganos de la Administración Pública Nacional.
Del Custodio de los Activos de Información: A los fines de la presente normativa, se entiende como Custodio de los Activos de información, a toda persona natural autorizada, que téngala responsabilidad de resguardar con diligencia y vigilancia los Activos de información delegados.
CAPÍTULO II SUJETOS RELACIONADOS CON LOS ACTIVOS DE INFORMACIÓN
Del ente competente para dictar normativas y lineamientos. Artículo 4. La Superintendencia de Servicios de Certificación Electrónica (SUSCERTE) es el ente competente para articular, alinear y asesorar toda iniciativa de seguridad informática en los organismos, órganos y entes del Poder Público Nacional, de conformidad con las atribuciones conferidas mediante Resolución 390, de fecha 15 de Septiembre del año 2006, publicada en la Gaceta Oficial de la República Bolivariana de Venezuela Número 38.567, de fecha 20 de Noviembre de 2006.
De la Unidad Responsable de la Protección de los Activos de Información Artículo 5. A los fines de velar por la implementación de medidas de seguridad que permitan regular lo concerniente a la creación, administración, modificación, manipulación o eliminación de todos sus Activos de información, cada institución designará su Unidad Responsable de la Protección de los Activos de información.
Atribuciones de la Unidad Responsable de la Protección de los Activos de Información Artículo 6. La Unidad Responsable de la Protección de los Activos de Información tendrá las siguientes atribuciones:
1. Velar por el cumplimiento de la presente Normativa.
2. Velar por la identificación de la información física, a fin de garantizar su confidencialidad, la cual deberá ser implementada y administrada por el Propietario o el Custodio, de conformidad a lo establecido en la presente Normativa.
3. Implementar los mecanismos de identificación y cifrado para la información electrónica, definidos por SUSCERTE, a fin de garantizar la confidencialidad de los activos de información de la institución.
De la Unidad Responsable de la Administración de la Plataforma Tecnológica Artículo 7. A los fines de administrar y gestionar la Plataforma Tecnológica de los entes u órganos de la Administración Pública Nacional, cada institución designará su Unidad Responsable de la Administración de la Plataforma Tecnológica.
Atribuciones de la Unidad Responsable de la Administración de la Plataforma Tecnológica Artículo 8. La Unidad Responsable de la Administración de la Plataforma Tecnológica, tendrá la atribución de implementar los mecanismos seleccionados por la Unidad Responsable de la Protección de los Activos de información o su equivalente, de conformidad a lo establecido en las normativas legales o sublegales que apliquen en el ámbito de los entes u órganos de la Administración Pública Nacional.
Del Propietario de los Activos de Información Artículo 9. Todo ente u Órgano de la Administración Pública Nacional, a quien se le atribuye la generación, clasificación y transmisión de la información en cualesquiera de sus formas, a los fines de la presente normativa, es denominado propietario de los activos de información respectivamente.
Obligaciones del Propietario de los Activos de Información Artículo 10. El propietario de los activos de información, tendrá las siguientes obligaciones:
1. Responsabilizarse de la recepción, clasificación, registro, custodia, control y distribución de activos de información, en su unidad o Departamento y/o relacionados.
2. Delegar formalmente, las actividades asociadas recepción, clasificación, registro, custodia, control y distribución de activos de información, de su unidad o Departamento y/o relacionados; cuando no pueda cumplirlas por causas de fuerza mayor.
3. Establecer la vigencia de la clasificación de los activos de información, de acuerdo a la criticidad y confidencialidad de los mismos.
4. Tomar las medidas pertinentes para garantizar la seguridad de los activos de información, orientadas a prevenir el robo, hurto, espionaje, sabotaje, ingeniería social, fotografiado, reproducción, copiado u otra forma de difusión no autorizada, de los activos de información, en cualquiera de sus formas.
5. Reportar la pérdida y/o extravío de los activos de información, a la Unidad Responsable de la Protección de los Activos de Información de la Institución o su equivalente.
Del custodio de los Activos de Información Artículo 11. A los fines de individualizar y garantizar el resguardar con diligencia y vigilancia los Activos de Información delegados, cada institución designará su Unidad Responsable de la Protección de los Activos de Información.
Obligaciones del Custodio de los Activos de Información Artículo 12. El Custodio de los activos de información, tendrá las siguientes obligaciones:
1. Responsabilizarse por el cumplimiento de las medidas de seguridad, vigilancia, discreción y cuidado que afecten la disponibilidad, integridad y confidencialidad de los activos de información de la institución, asignados bajo su custodia.
2. Tomar las medidas pertinentes para garantizar la seguridad de los activos de información, orientadas a prevenir el robo, hurto, espionaje, sabotaje, ingeniería social, fotografiado, reproducción, copiado u otra forma de difusión no autorizada, de los activos de información, en cualquiera de sus formas.
3. Reportar la pérdida y/o extravío de los activos de información, a la Unidad Responsable de la Protección de los Activos de Información de la Institución o su equivalente.
CAPÍTULO III DE LA CLASIFICACIÓN DE LOS ACTIVOS DE INFORMACIÓN
Artículo 13. Los activos de información de los órganos y entes de la Administración Pública Nacional, serán clasificados por el Propietario de la información, de acuerdo a su valor estratégico y/o criticidad que posean los mismos; con base a la siguiente clasificación:
1. Estrictamente Confidencial
2. Confidencial
3. De Uso interno
4. De Uso Público
Artículo 14. El Propietario deberá asignar la clasificación de “Estrictamente Confidencial”, a todos Activos de Información relacionados con a dirección operacional y/o estratégica de la Institución, documentos y materiales clasificados que requieran el más alto grado de protección, cuyo conocimiento y divulgación por parte de personas no autorizadas, causen graves daños a la Institución y/o al Estado. A los efectos de esta disposición, tendrá ésta clasificación los siguientes activos:
1. Los planes de contingencia, planes operacionales y de áreas estratégicas vitales para la continuidad operativa de la Institución y/o el Estado, así como la seguridad de sus instalaciones.
2. Información crítica, relacionada directamente con los procesos medulares de la institución y cuya divulgación ponga en riesgo a la institución.
3. Mapas de Arquitectura de la Plataforma Tecnológica de la Institución.
4. Convenios internacionales, convenios de cooperación tecnológica y/o contratos asociados al suministro de información, durante su elaboración y antes de su firma.
5. Información acerca de los métodos y resultados de toda investigación efectuada por la Unidad Responsable de la Protección de los Activos de Información o su equivalente.
6. Las claves de máximo privilegio de los sistemas y/o aplicaciones, así como toda la documentación pertinente a las mismas.
7. Toda información resultante del tratamiento de incidentes y diagnóstico de seguridad.
8. Cualquier otro activo de información que permita conocer gran parte de las operaciones de la institución, de acuerdo a lo que el Propietario así establezca.
Artículo 15. El Propietario deberá asignar la clasificación de “Confidencial”, a los Activos de información relacionados con el personal, clientes, información financiera, técnica, administrativa y cualquier otra información sensible de la institución, cuyo conocimiento y divulgación a personas no autorizadas, causen daños a la Institución. A los efectos de esta disposición, tendrán ésta clasificación los siguientes activos:
-Contraseñas y/o claves de acceso a los sistemas y/o aplicaciones de la Plataforma Tecnológica de la Institución.
-Toda información correspondiente a sistemas y aplicaciones de la Plataforma Tecnológica de la Institución.
-Toda información que se refiera a estrategias, métodos, técnicas o tácticas especializadas que se puedan aplicar a las prácticas operacionales.
-Toda información y/o datos relativos previos a la celebración de contratos para la adquisición de equipos, materiales, órdenes de compra y requisiciones, así como todo lo relativo al proceso de licitaciones.
-Expedientes e historial médico del personal de las instituciones.
-Expedientes y registros de transacciones operacionales o administrativas entre las Instituciones y un tercero.
-Informes de eventos de seguridad física o lógica.
-Informes de auditorías internas y externas.
-Planes estratégicos y operacionales, hasta el momento de su publicación por la autoridad competente.
-Proyectos tecnológicos y de desarrollo social impulsados por la institución, hasta el momento de su publicación por la autoridad competente.
-Cualquier otro activo de información que el Propietario así establezca.
Artículo 16. El Propietario y/o Custodio, deberá asignar la clasificación de “Uso Interno”, a todo activo de información que requiera medidas de protección no especiales, cuyo acceso y manipulación deba ser realizado anteponiendo los intereses de la Institución, y su conocimiento y/o divulgación permita al personal cumplir con las funciones propias asignadas. A los efectos de esta disposición, tendrán ésta clasificación los siguientes activos:
-Programas de entrenamiento.
-Políticas de Seguridad de Información.
-Normativas internas.
-Procedimientos generales.
-Lineamientos internos.
-Informes de gestión una vez hecho público por la autoridad competente.
-Toda aquella información que no sea clasificada como “confidencial” o estrictamente confidencial”.
Artículo 17. El Propietario y/o Custodio, deberá asignar la clasificación de “De Uso Público” a los activos de información que no requieran de ninguna medida de protección. Su acceso y manipulación puede ser realizado de forma libre, a través de todo medio disponible en las instituciones. Su conocimiento y/o divulgación no afecta el cumplimiento de las funciones propias asignadas al personal. A los efectos de esta disposición, tendrán ésta clasificación los activos de información que no hayan sido clasificados previamente como “Estrictamente Confidencial”, Confidencial” o De Uso Interno”.
Parágrafo único: Toda información generada por la Institución, no podrá ser publicada o revelada al público en general sin la previa autorización debida y formal de la Unidad Responsable de la Imagen Institucional o de la Máxima Autoridad de la Institución.
CAPÍTULO IV DE LA CLASIFICACIÓN Y RECLASIFICACIÓN
De la Clasificación Artículo 18. Para la clasificación de la Información y de los documentos el Propietario empleará lo establecido en los artículos 13, 14, 15 y 17 de la presente; de acuerdo a la sensibilidad y relevancia de la información en la institución, por lo que se asignará la clasificación más acorde y compatible con la protección requerida, a fin de evitar una sobre o sub clasificación, no acorde al valor de la información en cuestión.
Parágrafo único El Propietario podrá considerar para la clasificación de los Activos de Información los criterios definidos en la Tabla 1 (véase Anexo A). De igual manera, podrá aplicar una priorización de acuerdo a la puntuación obtenida en la matriz adaptada a la siguiente escala:
1. De Uso Público =0-4
2. De uso Interno =5-8
3. Confidencial =9-11
4. Estrictamente Confidencial = 12-15
Artículo 19. La clasificación de un conjunto de documentos, debe ser igual a la del documento de más alta clasificación. A tales efectos, cuando un documento sea separado de un conjunto o agrupación, éste será manejado de acuerdo con su propia clasificación.
Parágrafo único Todo documento e información que se encuentre asociado a un activo de información ya clasificado deberá tener su misma clasificación.
Artículo 20. Los documentos de Uso Interno o de Uso Público no deberán contener extractos de documentos clasificados como confidencial o estrictamente confidencial.
De la Reclasificación Artículo 21. Al momento de reclasificar un activo de información, el Propietario deberá hacerlo del conocimiento de todo usuario y/o custodio de los activos de información, a fin que sean ejecutados los respectivos cambios. A los efectos de esta normativa, se entiende por reclasificación la asignación de una nueva clasificación como consecuencia del cambio de los factores que determinaron su clasificación original, para lo cual de ser necesario el Propietario y/o Custodio deberán indicar debida y formalmente en el propio documento, la fecha vigente desde la cual se determina la reclasificación del activo.
Parágrafo Único: Todo activo de información físico o electrónico que sea reclasificado, deberá contar con la anulación de la identificación visual original y se identificará nuevamente como, “Reclasificado Estrictamente Confidencial”, “Reclasificación Confidencial”, “Reclasificado De Uso Interno” ó “Reclasificado De Uso Público”, según lo establecido por el Propietario, acompañado de la debida justificación inserta en el documento electrónico o físico.
CAPÍTULO V DEL MANEJO DE LOS ACTIVOS DE INFORMACIÓN
De la Preparación, impresión, Reproducción y Remisión. Artículo 22. La preparación, impresión, reproducción y remisión de documentos se llevará a cabo bajo el control y autorización del Propietario y/o Custodio, quien deberá asegurar que el personal que intervenga durante este proceso esté notificado en cuanto a su responsabilidad de salvaguardar los documentos, incluyendo el registro del manejo de copias impresas o reproducciones, así como de notas y/o correos electrónicos, de conformidad con las normativas legales o sublegales que se establezcan para tal fin.
Parágrafo Único: Los documentos clasificados como estrictamente confidencial o confidencial no deberán reproducirse salvo que sea necesario, en cuyo caso, deberá ser autorizado debida y formalmente por el Propietario y/o Custodio del activo de Información, para lo cual la Institución deberá establecer acuerdos de confidencialidad, a fin de regular el manejo del documento y número de copias autorizadas. Cada una de las copias emitidas deberá ser identificada y registrada por el Propietario.
Artículo 23. El Propietario deberá considerar las siguientes disposiciones en cuanto a la preparación, envío o remisión de documentos y/o materiales clasificados como Estrictamente Confidencial ó Confidencial.
-Toda correspondencia clasificada deberá ser entregada mediante memorando u oficio.
-El documento o material clasificado que se encuentre en forma física deberá colocarse dentro de dos (02) sobres opacos, con indicación de la dirección del destinatario y del remitente en ambos sobres.
-Debe indicarse la clasificación de seguridad del documento o material en el sobre a remitirse, a fin de darle el debido tratamiento al documento.
-Cuando se realice a través de medios electrónicos, éste debe efectuarse mediante la aplicación de mecanismos de cifrado establecidos por la Unidad Responsable de la Protección de los Activos de información o su equivalente, a fin de resguardar la confidencialidad e integridad de la información.
-Las informaciones, documentos y materiales clasificados “Estrictamente Confidencial” y “Confidencial”, serán distribuidos mediante la entrega personal, o mensajería.
Del Registro y Control Artículo 24. El registro y control de los activos de información clasificados, será responsabilidad del Propietario, el cual deberá implementar los mecanismos necesarios para tal fin, según las instrucciones emitidas por la Unidad Responsable de la Protección de Activos de Información de la Institución o su equivalente.
Artículo 25. El control de los activos de información clasificados, será ejercido por el Propietario del activo de información, mediante:
1. La autorización, recepción, custodia y distribución de los activos de información.
2. La responsabilidad para la distribución de documentos y materiales clasificados corresponde al Propietario y/o Custodio del activo de información.
Artículo 26. El Propietario deberá hacer uso de los formatos de identificación visual de la información establecidos por la Unidad Responsable de la Protección de los Activos de información o su equivalente, de conformidad con las siguientes disposiciones:
1. Identificación Visual de Información electrónica:
-Se deberá identificar cada página del documento utilizando encabezado y pie de página, de manera que se conozca el nivel de clasificación del mismo cuando sea proyectado y/o copiado.
-Se deberán identificar de forma visible los dispositivos de almacenamiento periféricos y equipos que contengan información clasificada.
-La información electrónica almacenada en formatos de video, audio o cualquier otro similar, se deberá identificar al inicio y al final de la reproducción.
2. Identificación visual de información impresa: El tratamiento que se le da a estos activos de información, depende del material que se maneje, estos pueden ser:
-Documentos Encuadernados e Informes: Los espacios disponibles para identificar son la esquina derecha, la izquierda o en el centro de la parte superior de las tapas y en la primera página del documento.
-No encuadernado: Estos documentos se deben identificar en el margen derecho, izquierdo o en el centro de la parte superior de cada una de las páginas, así como el número de páginas totales del documento, de tal manera que sea siempre visible, aun cuando se archive.
-Mapas y Planos: Estos documentos se deben identificar debajo de la leyenda, título o escala.
-Folletos, libros y material semejante: Se identificarán tanto en la portada como en la contraportada del mismo.
De la protección y Archivo Artículo 27. A los fines de la presente normativa, se emplearán los colores y las figuras geométricas para la identificación de la clasificación de los activos de acuerdo a la Tabla 2, que define los Colores y Figuras para la Clasificación de la Información (véase Anexo B).
Artículo 28. Para dar cumplimiento a lo expuesto en el artículo 25, los Propietarios y/o Custodios deberán considerar las siguientes medidas de protección y archivo de documentos clasificados como Estrictamente Confidencial ó Confidencial:
-Los Documentos impresos y/o materiales se deberán resguardar en cajas fuertes con cerraduras de combinación ó archivos normales que posean como mínimo gabinetes de seguridad de combinación o cerradura.
Los documentos electrónicos se deberán almacenar y/o resguardar en contenedores cifrados, de conformidad con las normativas legales o sublegales que se establezcan para tal fin.
Artículo 29. Es Responsabilidad del Propietario conjuntamente con la Unidad Responsable de la Protección de los Activos de información o su equivalente, la custodia de las combinaciones de las cajas fuertes, gabinetes o archivos que sean protegidos, las cuales deben ser colocadas en sobre debidamente sellado y resguardado en sitio seguro, de conformidad con la normativas legales o sublegales que se establezcan para tal fin.
Parágrafo Primero: El conocimiento que se tenga de una combinación será limitado a tres (03) personas, las cuales deben establecerse entre el Propietario, la Unidad Responsable de la Protección de los Activos de Información o su equivalente y un tercero acordado entre las partes.
Parágrafo Segundo: La Unidad Responsable de la Plataforma Tecnológica conjuntamente con la Unidad Responsable de la Protección de los Activos de Información o su equivalente, deberán establecer los mecanismos y procedimientos para la generación, actualización y custodia de las Claves de Máximo Privilegio, de conformidad con las normativas legales o sublegales que se establezcan para tal fin.
De la Destrucción Artículo 30. Los Propietarios y/o Custodios de información clasificada previo a proceder a la destrucción de ésta cuando pierda vigencia y/o utilidad, deberán considerar los siguientes aspectos:
1. La destrucción de la información, documentos y materiales clasificados, deberá ser efectuada utilizando métodos que aseguren la completa eliminación física y electrónica del mismo:
-En los casos de documentos que se encuentren en forma física y/o materiales, clasificados como Estrictamente Confidencial y Confidencial, se deberá utilizar destructoras de papel o mecanismos que garanticen su completa destrucción.
-En los casos de documentos que se encuentren en forma electrónica, clasificados como Estrictamente Confidencial o Confidencial, se deberá utilizar la técnica o mecanismo establecido por la Unidad Responsable de la Protección de los Activos de Información o su equivalente.
2. La destrucción de información, documentos y materiales clasificados, deberá ser registrada, para lo cual el Propietario y/o Custodio deberán elaborar el reporte de destrucción correspondiente, indicando lugar y fecha donde se efectuó la destrucción, identificación del documento o material destruido, autoridad que aprueba la destrucción y la firma autorizada de quien lo solicita, así como cualquier otra información adicional que el Propietario considere incorporar.
CAPÍTULO VI DE LAS NORMAS DE SEGURIDAD
Artículo 31. El Propietario deberá garantizar que los activos de información, se encuentren debidamente identificados con la clasificación: Estrictamente Confidencial, Confidencial, De Uso Interno y De uso Público a fin de resguardar la confidencialidad, integridad, y disponibilidad de los mismos.
Artículo 32. La información, documentos y materiales clasificados, sólo podrán, ser entregados a personas que se encuentren debida y formalmente autorizada por el Propietario y/o la Máxima Autoridad, y que tengan la necesidad de conocer de dicha información conforme al perfil y cargo que desempeñen en la institución.
Parágrafo Primero: La responsabilidad de determinar la necesidad que tenga un usuario de conocer alguna información para el desempeño de sus funciones, corresponderá al Propietario y/o Custodio del activo de información.
Parágrafo Segundo: El extravío de activos de información, deberá ser hecho del conocimiento del Propietario y/o Custodio del mismo de forma inmediata, por lo que el Propietario y/o Custodio del activo, deberá solicitar a la Unidad Responsable de la Protección de los Activos de información o su equivalente, la apertura de una investigación, a fin de establecer las responsabilidades pertinentes al extravío del mismo.
Artículo 33. El traslado de documentos clasificados como Estrictamente Confidencial fuera de las instalaciones de la institución, debe ser autorizado en caso de excepción o por prioridad de la institución; para lo cual el Custodio deberá ser autorizado debida y formalmente por el Propietario, y se suscribirá un acuerdo de confidencialidad que será avalado por la Unidad Responsable de la Protección de los Activos de Información o su equivalente.
CAPÍTULO VII DISPOSICIONES FINALES
Artículo 34. Los Propietarios, usuarios y usuarias de activos de información de la Administración Pública Nacional, deberán dar estricto cumplimiento a la presente Normativa; sin perjuicio de las sanciones y medidas a que haya lugar de conformidad con las normativas legales y sublegales que regulen la materia, por el incumplimiento de las mismas.
Artículo 35. Las obligaciones contenidas en la presente normativa, serán exigibles y supervisadas por SUSCERTE, a partir de su entrada en vigencia. No obstante los sujetos aplicables dispondrán para adecuar sus activos de información en cumplimiento de lo previsto en la misma, de un lapso de un (01) año, desde la entrada en vigencia de la presente Providencia.
Artículo 36. La presente Providencia Administrativa entrará en vigencia a partir de la fecha de su publicación en la Gaceta Oficial de la República Bolivariana de Venezuela, de conformidad con lo previsto en el artículo 12º del Decreto Nº 6.217 con Rango, Valor y Fuerza de Ley Orgánica de la Administración Pública, publicado en la Gaceta Oficial Nº 5.890 Extraordinario del 31 de julio de 2008; en concordancia con lo previsto en los artículos 33º, 42º y 72º todos de la Ley Orgánica de Procedimientos Administrativos, publicada en la Gaceta Oficial Nº 2.818 Extraordinario del 1º de julio de 1981.
Anexo A
Importancia Económica Importancia Política Importancia Social Imagen Pública Importancia Estratégica 3 Impacta de forma crítica la estabilidad económica de la institución. Impacta de forma crítica la estabilidad política en el entorno gubernamental y su gestión. Impacta de forma crítica y directamente en el clima de estabilidad social de la población. Su divulgación impacta críticamente el prestigio de la institución e incide en los medios de comunicación del país. Crítica y vinculante a las operaciones medulares del país. 2 Impacta de forma mediana la estabilidad económica de la institución. Impacta medianamente la estabilidad política en el entorno gubernamental y su gestión. Impacta indirectamente en el clima de estabilidad social de la población. Su divulgación impacta moderadamente el prestigio de la institución e incide en los medios de comunicación del país. No crítica, pero sí vinculante a las operaciones medulares del país. 1 Impacta de forma baja la estabilidad económica de la institución. Impacta levemente la estabilidad política en el entorno gubernamental y su gestión. Impacta directa o indirectamente el mantener un clima de estabilidad social en la población pero se puede manejar. Su divulgación impacta levemente el prestigio de la institución sin incidir en los medios de comunicación del país. Leve importancia estratégica y está directamente relacionada con las operaciones medulares del país. 0 No impacta de forma alguna la estabilidad económica de la institución. No impacta de manera alguna la estabilidad del entorno gubernamental ni a su gestión. No impacta directa o indirectamente con el clima de estabilidad social en la población. Su divulgación no impacta el prestigio de la institución ni incide en los medios de comunicación del país. Sin importancia estratégica o vínculo alguno con las operaciones medulares del país.
Tabla 1. Guía rápida para la Clasificación de la Información
Anexo: B
Color Figura Geométrica Clasificación ROJO Círculo Estrictamente confidencial ANARANJADO Pentágono Confidencial AZUL Cuadrado De uso Privado VERDE Triángulo De uso público
Tabla 2. Colores y figuras para la Clasificación de la Información
Comuníquese y Publíquese,
NIURKA HERNÁNDEZ Superintendente
☞Visualiza la versión original publicada en la Gaceta Oficial de la República Bolivariana de Venezuela
El servicio de envío de los archivos de las Publicaciones Oficiales (Gaceta Oficial de la República, Gaceta Judicial, Gaceta Legislativa y Gaceta Electoral), está reservado exclusivamente a los Mecenas de Pandectas Digital, quienes gracias a su contribución, permiten que la visualización y consulta que estás haciendo de este documento sea de acceso público, libre y totalmente gratuita.
Te invitamos a que te conviertas tú también en Mecenas de este proyecto, y así podrás recibir en tu correo los archivos de las Publicaciones Oficiales que vayamos incorporando a nuestra compilación.
Visítanos en www.patreon.com/pandectasdigital para obtener toda la información sobre ésta y otras de las ventajas de convertirte en Mecenas.
full-width
Providencia Administrativa Nº 009-10 de fecha 22 de octubre de 2010, mediante la cual se dicta la Normativa de clasificación y tratamiento de la información en la Administración Pública, publicada en la Gaceta Oficial de la República Bolivariana de Venezuela Nº 39.578 de fecha 21 de diciembre de 2010.
☑ Vigente ☞ FICHA TÉCNICA
REPÚBLICA BOLIVARIANA DE VENEZUELA MINISTERIO DEL PODER POPULAR PARA CIENCIA, TECNOLOGÍA E INDUSTRIAS INTERMEDIAS
SUPERINTENDENCIA DE SERVICIOS DE CERTIFICACIÓN ELECTRÓNICA (SUSCERTE)
Caracas, 22 de Octubre de 2010 200º y 151º Providencia Administrativa Nº 009-10
Quien suscribe NIURKA HERNÁNDEZ GONZÁLEZ, titular de la cédula de identidad Nº V-10-484.661, actuando en mi carácter de Superintendente, designada mediante Resolución Nº 030 del 08 de enero de 2008, publicada en la Gaceta Oficial de la República Bolivariana de Venezuela Nº 38.856, de fecha 23 de enero de 2008, de conformidad con lo dispuesto en el artículo 1º de la Resolución 320, de fecha 02 de enero de 2006, publicada en la Gaceta Oficial de la República Bolivariana de Venezuela Nº 38.414, de fecha 06 de abril de 2006 y en ejercicio de las atribuciones delegadas mediante Resolución 390, de fecha 15 de Septiembre del año 2006, publicada en la Gaceta Oficial de la República Bolivariana de Venezuela Nº 38.567, de fecha 20 de Noviembre de 2006.
CONSIDERANDO
Que mediante Decreto Presidencial Nº 825, de fecha 10 de mayo de 2000, se declara el Acceso y el Uso de Internet como Política Prioritaria para el Desarrollo Cultural, Económico, Social y Político de la República Bolivariana de Venezuela;
CONSIDERANDO
Que mediante Decreto Nº 3.390, de fecha 23 de diciembre de 2004, publicado en Gaceta Oficial Nº 38.095 de fecha 28 de Diciembre de 2004, se declara el uso prioritario del Software Libre desarrollado con Estándares Abierto, en los sistemas, proyectos y servicios informáticos del Estado Venezolano;
CONSIDERANDO
Que mediante la Resolución Nº 320, de fecha 02 de Enero de 2006, publicada en Gaceta Oficial 38.414 de fecha 06 de Abril de 2006, se delega la competencia de dictar políticas, normas y procedimientos de Seguridad informática física y lógica al Ministerio del Poder Popular para Ciencia, Tecnología e Industrias Intermedias;
CONSIDERANDO
Que la Superintendencia de Servicios de Certificación Electrónica (SUSCERTE) es el ente competente para articular, alinear y asesorar toda iniciativa de seguridad informática en los organismos, órganos y entes del Poder Público Nacional, de conformidad con las atribuciones conferidas mediante Resolución 390, de fecha 15 de Septiembre del año 2006, publicada en la Gaceta Oficial de la República Bolivariana de Venezuela Número 38.567, de fecha 20 de Noviembre de 2006.
DICTA LA NORMATIVA DE CLASIFICACIÓN Y TRATAMIENTO DE LA INFORMACIÓN EN LA ADMINISTRACIÓN PÚBLICA
CAPÍTULO I DISPOSICIONES GENERALES
Objeto Artículo 1. La presente normativa tiene por objeto establecer los principios que deben regir la identificación, clasificación, tratamiento y protección de los activos de información en los Entes y Órganos de la Administración Pública Nacional.
Ámbito de Aplicación Artículo 2. La presente normativa será de obligatorio cumplimiento de todos los Entes y Órganos de la Administración Pública Nacional, que creen, administren, modifiquen, manipulen o eliminen activos de información.
Definiciones Artículo 3. A los efectos de la presente providencia, se definen como:
Activo de Información: Es la información misma en cualquiera de sus formas y modalidades impresa, manuscrita, oral, electrónica y visual) a la cual la institución, de conformidad con sus intereses, le ha atribuido un valor determinado en función a la transcendencia de dicha información.
Cifrado: Técnica que enmascara u oculta un mensaje de datos a través de métodos de conversión o algoritmos, cuya aplicación permite el proceso inverso o descifrado de la información.
Clave de máximo privilegio: Utilizada por los administradores de un Sistema para escalar privilegios y realizar operaciones que otros usuarios no pueden, como asignar y/o revocar niveles de permisología.
Contraseña y/o Claves de acceso: Secuencia alfabética, numérica o combinación de ambas, protegidas por reglas de confidencialidad, utilizada para verificar la autenticidad de la autorización, expedida a un usuario, para acceder a la data o a la información contenida en un sistema.
Datos: Es la unidad mínima que compone una información, la cual representa un atributo a través de una representación simbólica.
Información, documentos y materiales clasificados: Activos originales y/o en posesión de la Institución que describan, contengan o soporten sus procesos o actividades relacionadas con las operaciones de la institución y cuya divulgación o entrega deba ser restringida por razones de seguridad.
Información Electrónica: Toda información en digital, documentos, archivos de videos, audio, presentaciones.
Información Impresa: Toda información presentada de forma física.
Ingeniería Social: Práctica para obtener información confidencial a través de la manipulación de usuarios legítimos, propietarios o custodios de los activos de información.
Internet: Red de alcance mundial que une gran cantidad de redes y por la cual circula alto tráfico de información.
Mecanismo de Seguridad de la Información: Herramientas, Políticas Normas o Procedimientos de Seguridad de información, implementadas para proteger los activos de información de la institución.
Normas: Son lineamientos de obligatorio cumplimiento, emanados de la Máxima Autoridad de la Institución, caracterizadas por su imperatividad, coercividad y obligatoriedad.
Plataforma Tecnológica: Son todos los medios utilizados para procesar, almacenar y transmitir la información. La Plataforma tecnológica estará compuesta por la arquitectura y el inventario de los activos de información que ésta contiene.
Unidad Responsable de la Protección de los Activos de información: A los fines de la presente normativa, se entiende como todas aquellas unidades o departamentos de los Entes y Órganos de la Administración Pública Nacional encargadas de velar por la implementación de medidas de seguridad que permitan regular lo concerniente a la creación, administración, modificación, manipulación o eliminación de todos sus Activos de información.
Unidad Responsable de la Administración de la Plataforma Tecnológica: A los fines de la presente normativa, se entiende como toda unidad que se encargue de administrar y gestionar la Plataforma Tecnológica de los entes u órganos de la Administración Pública Nacional.
Del Custodio de los Activos de Información: A los fines de la presente normativa, se entiende como Custodio de los Activos de información, a toda persona natural autorizada, que téngala responsabilidad de resguardar con diligencia y vigilancia los Activos de información delegados.
CAPÍTULO II SUJETOS RELACIONADOS CON LOS ACTIVOS DE INFORMACIÓN
Del ente competente para dictar normativas y lineamientos. Artículo 4. La Superintendencia de Servicios de Certificación Electrónica (SUSCERTE) es el ente competente para articular, alinear y asesorar toda iniciativa de seguridad informática en los organismos, órganos y entes del Poder Público Nacional, de conformidad con las atribuciones conferidas mediante Resolución 390, de fecha 15 de Septiembre del año 2006, publicada en la Gaceta Oficial de la República Bolivariana de Venezuela Número 38.567, de fecha 20 de Noviembre de 2006.
De la Unidad Responsable de la Protección de los Activos de Información Artículo 5. A los fines de velar por la implementación de medidas de seguridad que permitan regular lo concerniente a la creación, administración, modificación, manipulación o eliminación de todos sus Activos de información, cada institución designará su Unidad Responsable de la Protección de los Activos de información.
Atribuciones de la Unidad Responsable de la Protección de los Activos de Información Artículo 6. La Unidad Responsable de la Protección de los Activos de Información tendrá las siguientes atribuciones:
1. Velar por el cumplimiento de la presente Normativa.
2. Velar por la identificación de la información física, a fin de garantizar su confidencialidad, la cual deberá ser implementada y administrada por el Propietario o el Custodio, de conformidad a lo establecido en la presente Normativa.
3. Implementar los mecanismos de identificación y cifrado para la información electrónica, definidos por SUSCERTE, a fin de garantizar la confidencialidad de los activos de información de la institución.
De la Unidad Responsable de la Administración de la Plataforma Tecnológica Artículo 7. A los fines de administrar y gestionar la Plataforma Tecnológica de los entes u órganos de la Administración Pública Nacional, cada institución designará su Unidad Responsable de la Administración de la Plataforma Tecnológica.
Atribuciones de la Unidad Responsable de la Administración de la Plataforma Tecnológica Artículo 8. La Unidad Responsable de la Administración de la Plataforma Tecnológica, tendrá la atribución de implementar los mecanismos seleccionados por la Unidad Responsable de la Protección de los Activos de información o su equivalente, de conformidad a lo establecido en las normativas legales o sublegales que apliquen en el ámbito de los entes u órganos de la Administración Pública Nacional.
Del Propietario de los Activos de Información Artículo 9. Todo ente u Órgano de la Administración Pública Nacional, a quien se le atribuye la generación, clasificación y transmisión de la información en cualesquiera de sus formas, a los fines de la presente normativa, es denominado propietario de los activos de información respectivamente.
Obligaciones del Propietario de los Activos de Información Artículo 10. El propietario de los activos de información, tendrá las siguientes obligaciones:
1. Responsabilizarse de la recepción, clasificación, registro, custodia, control y distribución de activos de información, en su unidad o Departamento y/o relacionados.
2. Delegar formalmente, las actividades asociadas recepción, clasificación, registro, custodia, control y distribución de activos de información, de su unidad o Departamento y/o relacionados; cuando no pueda cumplirlas por causas de fuerza mayor.
3. Establecer la vigencia de la clasificación de los activos de información, de acuerdo a la criticidad y confidencialidad de los mismos.
4. Tomar las medidas pertinentes para garantizar la seguridad de los activos de información, orientadas a prevenir el robo, hurto, espionaje, sabotaje, ingeniería social, fotografiado, reproducción, copiado u otra forma de difusión no autorizada, de los activos de información, en cualquiera de sus formas.
5. Reportar la pérdida y/o extravío de los activos de información, a la Unidad Responsable de la Protección de los Activos de Información de la Institución o su equivalente.
Del custodio de los Activos de Información Artículo 11. A los fines de individualizar y garantizar el resguardar con diligencia y vigilancia los Activos de Información delegados, cada institución designará su Unidad Responsable de la Protección de los Activos de Información.
Obligaciones del Custodio de los Activos de Información Artículo 12. El Custodio de los activos de información, tendrá las siguientes obligaciones:
1. Responsabilizarse por el cumplimiento de las medidas de seguridad, vigilancia, discreción y cuidado que afecten la disponibilidad, integridad y confidencialidad de los activos de información de la institución, asignados bajo su custodia.
2. Tomar las medidas pertinentes para garantizar la seguridad de los activos de información, orientadas a prevenir el robo, hurto, espionaje, sabotaje, ingeniería social, fotografiado, reproducción, copiado u otra forma de difusión no autorizada, de los activos de información, en cualquiera de sus formas.
3. Reportar la pérdida y/o extravío de los activos de información, a la Unidad Responsable de la Protección de los Activos de Información de la Institución o su equivalente.
CAPÍTULO III DE LA CLASIFICACIÓN DE LOS ACTIVOS DE INFORMACIÓN
Artículo 13. Los activos de información de los órganos y entes de la Administración Pública Nacional, serán clasificados por el Propietario de la información, de acuerdo a su valor estratégico y/o criticidad que posean los mismos; con base a la siguiente clasificación:
1. Estrictamente Confidencial
2. Confidencial
3. De Uso interno
4. De Uso Público
Artículo 14. El Propietario deberá asignar la clasificación de “Estrictamente Confidencial”, a todos Activos de Información relacionados con a dirección operacional y/o estratégica de la Institución, documentos y materiales clasificados que requieran el más alto grado de protección, cuyo conocimiento y divulgación por parte de personas no autorizadas, causen graves daños a la Institución y/o al Estado. A los efectos de esta disposición, tendrá ésta clasificación los siguientes activos:
1. Los planes de contingencia, planes operacionales y de áreas estratégicas vitales para la continuidad operativa de la Institución y/o el Estado, así como la seguridad de sus instalaciones.
2. Información crítica, relacionada directamente con los procesos medulares de la institución y cuya divulgación ponga en riesgo a la institución.
3. Mapas de Arquitectura de la Plataforma Tecnológica de la Institución.
4. Convenios internacionales, convenios de cooperación tecnológica y/o contratos asociados al suministro de información, durante su elaboración y antes de su firma.
5. Información acerca de los métodos y resultados de toda investigación efectuada por la Unidad Responsable de la Protección de los Activos de Información o su equivalente.
6. Las claves de máximo privilegio de los sistemas y/o aplicaciones, así como toda la documentación pertinente a las mismas.
7. Toda información resultante del tratamiento de incidentes y diagnóstico de seguridad.
8. Cualquier otro activo de información que permita conocer gran parte de las operaciones de la institución, de acuerdo a lo que el Propietario así establezca.
Artículo 15. El Propietario deberá asignar la clasificación de “Confidencial”, a los Activos de información relacionados con el personal, clientes, información financiera, técnica, administrativa y cualquier otra información sensible de la institución, cuyo conocimiento y divulgación a personas no autorizadas, causen daños a la Institución. A los efectos de esta disposición, tendrán ésta clasificación los siguientes activos:
-Contraseñas y/o claves de acceso a los sistemas y/o aplicaciones de la Plataforma Tecnológica de la Institución.
-Toda información correspondiente a sistemas y aplicaciones de la Plataforma Tecnológica de la Institución.
-Toda información que se refiera a estrategias, métodos, técnicas o tácticas especializadas que se puedan aplicar a las prácticas operacionales.
-Toda información y/o datos relativos previos a la celebración de contratos para la adquisición de equipos, materiales, órdenes de compra y requisiciones, así como todo lo relativo al proceso de licitaciones.
-Expedientes e historial médico del personal de las instituciones.
-Expedientes y registros de transacciones operacionales o administrativas entre las Instituciones y un tercero.
-Informes de eventos de seguridad física o lógica.
-Informes de auditorías internas y externas.
-Planes estratégicos y operacionales, hasta el momento de su publicación por la autoridad competente.
-Proyectos tecnológicos y de desarrollo social impulsados por la institución, hasta el momento de su publicación por la autoridad competente.
-Cualquier otro activo de información que el Propietario así establezca.
Artículo 16. El Propietario y/o Custodio, deberá asignar la clasificación de “Uso Interno”, a todo activo de información que requiera medidas de protección no especiales, cuyo acceso y manipulación deba ser realizado anteponiendo los intereses de la Institución, y su conocimiento y/o divulgación permita al personal cumplir con las funciones propias asignadas. A los efectos de esta disposición, tendrán ésta clasificación los siguientes activos:
-Programas de entrenamiento.
-Políticas de Seguridad de Información.
-Normativas internas.
-Procedimientos generales.
-Lineamientos internos.
-Informes de gestión una vez hecho público por la autoridad competente.
-Toda aquella información que no sea clasificada como “confidencial” o estrictamente confidencial”.
Artículo 17. El Propietario y/o Custodio, deberá asignar la clasificación de “De Uso Público” a los activos de información que no requieran de ninguna medida de protección. Su acceso y manipulación puede ser realizado de forma libre, a través de todo medio disponible en las instituciones. Su conocimiento y/o divulgación no afecta el cumplimiento de las funciones propias asignadas al personal. A los efectos de esta disposición, tendrán ésta clasificación los activos de información que no hayan sido clasificados previamente como “Estrictamente Confidencial”, Confidencial” o De Uso Interno”.
Parágrafo único: Toda información generada por la Institución, no podrá ser publicada o revelada al público en general sin la previa autorización debida y formal de la Unidad Responsable de la Imagen Institucional o de la Máxima Autoridad de la Institución.
CAPÍTULO IV DE LA CLASIFICACIÓN Y RECLASIFICACIÓN
De la Clasificación Artículo 18. Para la clasificación de la Información y de los documentos el Propietario empleará lo establecido en los artículos 13, 14, 15 y 17 de la presente; de acuerdo a la sensibilidad y relevancia de la información en la institución, por lo que se asignará la clasificación más acorde y compatible con la protección requerida, a fin de evitar una sobre o sub clasificación, no acorde al valor de la información en cuestión.
Parágrafo único El Propietario podrá considerar para la clasificación de los Activos de Información los criterios definidos en la Tabla 1 (véase Anexo A). De igual manera, podrá aplicar una priorización de acuerdo a la puntuación obtenida en la matriz adaptada a la siguiente escala:
1. De Uso Público =0-4
2. De uso Interno =5-8
3. Confidencial =9-11
4. Estrictamente Confidencial = 12-15
Artículo 19. La clasificación de un conjunto de documentos, debe ser igual a la del documento de más alta clasificación. A tales efectos, cuando un documento sea separado de un conjunto o agrupación, éste será manejado de acuerdo con su propia clasificación.
Parágrafo único Todo documento e información que se encuentre asociado a un activo de información ya clasificado deberá tener su misma clasificación.
Artículo 20. Los documentos de Uso Interno o de Uso Público no deberán contener extractos de documentos clasificados como confidencial o estrictamente confidencial.
De la Reclasificación Artículo 21. Al momento de reclasificar un activo de información, el Propietario deberá hacerlo del conocimiento de todo usuario y/o custodio de los activos de información, a fin que sean ejecutados los respectivos cambios. A los efectos de esta normativa, se entiende por reclasificación la asignación de una nueva clasificación como consecuencia del cambio de los factores que determinaron su clasificación original, para lo cual de ser necesario el Propietario y/o Custodio deberán indicar debida y formalmente en el propio documento, la fecha vigente desde la cual se determina la reclasificación del activo.
Parágrafo Único: Todo activo de información físico o electrónico que sea reclasificado, deberá contar con la anulación de la identificación visual original y se identificará nuevamente como, “Reclasificado Estrictamente Confidencial”, “Reclasificación Confidencial”, “Reclasificado De Uso Interno” ó “Reclasificado De Uso Público”, según lo establecido por el Propietario, acompañado de la debida justificación inserta en el documento electrónico o físico.
CAPÍTULO V DEL MANEJO DE LOS ACTIVOS DE INFORMACIÓN
De la Preparación, impresión, Reproducción y Remisión. Artículo 22. La preparación, impresión, reproducción y remisión de documentos se llevará a cabo bajo el control y autorización del Propietario y/o Custodio, quien deberá asegurar que el personal que intervenga durante este proceso esté notificado en cuanto a su responsabilidad de salvaguardar los documentos, incluyendo el registro del manejo de copias impresas o reproducciones, así como de notas y/o correos electrónicos, de conformidad con las normativas legales o sublegales que se establezcan para tal fin.
Parágrafo Único: Los documentos clasificados como estrictamente confidencial o confidencial no deberán reproducirse salvo que sea necesario, en cuyo caso, deberá ser autorizado debida y formalmente por el Propietario y/o Custodio del activo de Información, para lo cual la Institución deberá establecer acuerdos de confidencialidad, a fin de regular el manejo del documento y número de copias autorizadas. Cada una de las copias emitidas deberá ser identificada y registrada por el Propietario.
Artículo 23. El Propietario deberá considerar las siguientes disposiciones en cuanto a la preparación, envío o remisión de documentos y/o materiales clasificados como Estrictamente Confidencial ó Confidencial.
-Toda correspondencia clasificada deberá ser entregada mediante memorando u oficio.
-El documento o material clasificado que se encuentre en forma física deberá colocarse dentro de dos (02) sobres opacos, con indicación de la dirección del destinatario y del remitente en ambos sobres.
-Debe indicarse la clasificación de seguridad del documento o material en el sobre a remitirse, a fin de darle el debido tratamiento al documento.
-Cuando se realice a través de medios electrónicos, éste debe efectuarse mediante la aplicación de mecanismos de cifrado establecidos por la Unidad Responsable de la Protección de los Activos de información o su equivalente, a fin de resguardar la confidencialidad e integridad de la información.
-Las informaciones, documentos y materiales clasificados “Estrictamente Confidencial” y “Confidencial”, serán distribuidos mediante la entrega personal, o mensajería.
Del Registro y Control Artículo 24. El registro y control de los activos de información clasificados, será responsabilidad del Propietario, el cual deberá implementar los mecanismos necesarios para tal fin, según las instrucciones emitidas por la Unidad Responsable de la Protección de Activos de Información de la Institución o su equivalente.
Artículo 25. El control de los activos de información clasificados, será ejercido por el Propietario del activo de información, mediante:
1. La autorización, recepción, custodia y distribución de los activos de información.
2. La responsabilidad para la distribución de documentos y materiales clasificados corresponde al Propietario y/o Custodio del activo de información.
Artículo 26. El Propietario deberá hacer uso de los formatos de identificación visual de la información establecidos por la Unidad Responsable de la Protección de los Activos de información o su equivalente, de conformidad con las siguientes disposiciones:
1. Identificación Visual de Información electrónica:
-Se deberá identificar cada página del documento utilizando encabezado y pie de página, de manera que se conozca el nivel de clasificación del mismo cuando sea proyectado y/o copiado.
-Se deberán identificar de forma visible los dispositivos de almacenamiento periféricos y equipos que contengan información clasificada.
-La información electrónica almacenada en formatos de video, audio o cualquier otro similar, se deberá identificar al inicio y al final de la reproducción.
2. Identificación visual de información impresa: El tratamiento que se le da a estos activos de información, depende del material que se maneje, estos pueden ser:
-Documentos Encuadernados e Informes: Los espacios disponibles para identificar son la esquina derecha, la izquierda o en el centro de la parte superior de las tapas y en la primera página del documento.
-No encuadernado: Estos documentos se deben identificar en el margen derecho, izquierdo o en el centro de la parte superior de cada una de las páginas, así como el número de páginas totales del documento, de tal manera que sea siempre visible, aun cuando se archive.
-Mapas y Planos: Estos documentos se deben identificar debajo de la leyenda, título o escala.
-Folletos, libros y material semejante: Se identificarán tanto en la portada como en la contraportada del mismo.
De la protección y Archivo Artículo 27. A los fines de la presente normativa, se emplearán los colores y las figuras geométricas para la identificación de la clasificación de los activos de acuerdo a la Tabla 2, que define los Colores y Figuras para la Clasificación de la Información (véase Anexo B).
Artículo 28. Para dar cumplimiento a lo expuesto en el artículo 25, los Propietarios y/o Custodios deberán considerar las siguientes medidas de protección y archivo de documentos clasificados como Estrictamente Confidencial ó Confidencial:
-Los Documentos impresos y/o materiales se deberán resguardar en cajas fuertes con cerraduras de combinación ó archivos normales que posean como mínimo gabinetes de seguridad de combinación o cerradura.
Los documentos electrónicos se deberán almacenar y/o resguardar en contenedores cifrados, de conformidad con las normativas legales o sublegales que se establezcan para tal fin.
Artículo 29. Es Responsabilidad del Propietario conjuntamente con la Unidad Responsable de la Protección de los Activos de información o su equivalente, la custodia de las combinaciones de las cajas fuertes, gabinetes o archivos que sean protegidos, las cuales deben ser colocadas en sobre debidamente sellado y resguardado en sitio seguro, de conformidad con la normativas legales o sublegales que se establezcan para tal fin.
Parágrafo Primero: El conocimiento que se tenga de una combinación será limitado a tres (03) personas, las cuales deben establecerse entre el Propietario, la Unidad Responsable de la Protección de los Activos de Información o su equivalente y un tercero acordado entre las partes.
Parágrafo Segundo: La Unidad Responsable de la Plataforma Tecnológica conjuntamente con la Unidad Responsable de la Protección de los Activos de Información o su equivalente, deberán establecer los mecanismos y procedimientos para la generación, actualización y custodia de las Claves de Máximo Privilegio, de conformidad con las normativas legales o sublegales que se establezcan para tal fin.
De la Destrucción Artículo 30. Los Propietarios y/o Custodios de información clasificada previo a proceder a la destrucción de ésta cuando pierda vigencia y/o utilidad, deberán considerar los siguientes aspectos:
1. La destrucción de la información, documentos y materiales clasificados, deberá ser efectuada utilizando métodos que aseguren la completa eliminación física y electrónica del mismo:
-En los casos de documentos que se encuentren en forma física y/o materiales, clasificados como Estrictamente Confidencial y Confidencial, se deberá utilizar destructoras de papel o mecanismos que garanticen su completa destrucción.
-En los casos de documentos que se encuentren en forma electrónica, clasificados como Estrictamente Confidencial o Confidencial, se deberá utilizar la técnica o mecanismo establecido por la Unidad Responsable de la Protección de los Activos de Información o su equivalente.
2. La destrucción de información, documentos y materiales clasificados, deberá ser registrada, para lo cual el Propietario y/o Custodio deberán elaborar el reporte de destrucción correspondiente, indicando lugar y fecha donde se efectuó la destrucción, identificación del documento o material destruido, autoridad que aprueba la destrucción y la firma autorizada de quien lo solicita, así como cualquier otra información adicional que el Propietario considere incorporar.
CAPÍTULO VI DE LAS NORMAS DE SEGURIDAD
Artículo 31. El Propietario deberá garantizar que los activos de información, se encuentren debidamente identificados con la clasificación: Estrictamente Confidencial, Confidencial, De Uso Interno y De uso Público a fin de resguardar la confidencialidad, integridad, y disponibilidad de los mismos.
Artículo 32. La información, documentos y materiales clasificados, sólo podrán, ser entregados a personas que se encuentren debida y formalmente autorizada por el Propietario y/o la Máxima Autoridad, y que tengan la necesidad de conocer de dicha información conforme al perfil y cargo que desempeñen en la institución.
Parágrafo Primero: La responsabilidad de determinar la necesidad que tenga un usuario de conocer alguna información para el desempeño de sus funciones, corresponderá al Propietario y/o Custodio del activo de información.
Parágrafo Segundo: El extravío de activos de información, deberá ser hecho del conocimiento del Propietario y/o Custodio del mismo de forma inmediata, por lo que el Propietario y/o Custodio del activo, deberá solicitar a la Unidad Responsable de la Protección de los Activos de información o su equivalente, la apertura de una investigación, a fin de establecer las responsabilidades pertinentes al extravío del mismo.
Artículo 33. El traslado de documentos clasificados como Estrictamente Confidencial fuera de las instalaciones de la institución, debe ser autorizado en caso de excepción o por prioridad de la institución; para lo cual el Custodio deberá ser autorizado debida y formalmente por el Propietario, y se suscribirá un acuerdo de confidencialidad que será avalado por la Unidad Responsable de la Protección de los Activos de Información o su equivalente.
CAPÍTULO VII DISPOSICIONES FINALES
Artículo 34. Los Propietarios, usuarios y usuarias de activos de información de la Administración Pública Nacional, deberán dar estricto cumplimiento a la presente Normativa; sin perjuicio de las sanciones y medidas a que haya lugar de conformidad con las normativas legales y sublegales que regulen la materia, por el incumplimiento de las mismas.
Artículo 35. Las obligaciones contenidas en la presente normativa, serán exigibles y supervisadas por SUSCERTE, a partir de su entrada en vigencia. No obstante los sujetos aplicables dispondrán para adecuar sus activos de información en cumplimiento de lo previsto en la misma, de un lapso de un (01) año, desde la entrada en vigencia de la presente Providencia.
Artículo 36. La presente Providencia Administrativa entrará en vigencia a partir de la fecha de su publicación en la Gaceta Oficial de la República Bolivariana de Venezuela, de conformidad con lo previsto en el artículo 12º del Decreto Nº 6.217 con Rango, Valor y Fuerza de Ley Orgánica de la Administración Pública, publicado en la Gaceta Oficial Nº 5.890 Extraordinario del 31 de julio de 2008; en concordancia con lo previsto en los artículos 33º, 42º y 72º todos de la Ley Orgánica de Procedimientos Administrativos, publicada en la Gaceta Oficial Nº 2.818 Extraordinario del 1º de julio de 1981.
Anexo A
Importancia Económica Importancia Política Importancia Social Imagen Pública Importancia Estratégica 3 Impacta de forma crítica la estabilidad económica de la institución. Impacta de forma crítica la estabilidad política en el entorno gubernamental y su gestión. Impacta de forma crítica y directamente en el clima de estabilidad social de la población. Su divulgación impacta críticamente el prestigio de la institución e incide en los medios de comunicación del país. Crítica y vinculante a las operaciones medulares del país. 2 Impacta de forma mediana la estabilidad económica de la institución. Impacta medianamente la estabilidad política en el entorno gubernamental y su gestión. Impacta indirectamente en el clima de estabilidad social de la población. Su divulgación impacta moderadamente el prestigio de la institución e incide en los medios de comunicación del país. No crítica, pero sí vinculante a las operaciones medulares del país. 1 Impacta de forma baja la estabilidad económica de la institución. Impacta levemente la estabilidad política en el entorno gubernamental y su gestión. Impacta directa o indirectamente el mantener un clima de estabilidad social en la población pero se puede manejar. Su divulgación impacta levemente el prestigio de la institución sin incidir en los medios de comunicación del país. Leve importancia estratégica y está directamente relacionada con las operaciones medulares del país. 0 No impacta de forma alguna la estabilidad económica de la institución. No impacta de manera alguna la estabilidad del entorno gubernamental ni a su gestión. No impacta directa o indirectamente con el clima de estabilidad social en la población. Su divulgación no impacta el prestigio de la institución ni incide en los medios de comunicación del país. Sin importancia estratégica o vínculo alguno con las operaciones medulares del país.
Tabla 1. Guía rápida para la Clasificación de la Información
Anexo: B
Color Figura Geométrica Clasificación ROJO Círculo Estrictamente confidencial ANARANJADO Pentágono Confidencial AZUL Cuadrado De uso Privado VERDE Triángulo De uso público
Tabla 2. Colores y figuras para la Clasificación de la Información
Comuníquese y Publíquese,
NIURKA HERNÁNDEZ Superintendente
☞Visualiza la versión original publicada en la Gaceta Oficial de la República Bolivariana de Venezuela
El servicio de envío de los archivos de las Publicaciones Oficiales (Gaceta Oficial de la República, Gaceta Judicial, Gaceta Legislativa y Gaceta Electoral), está reservado exclusivamente a los Mecenas de Pandectas Digital, quienes gracias a su contribución, permiten que la visualización y consulta que estás haciendo de este documento sea de acceso público, libre y totalmente gratuita.
Te invitamos a que te conviertas tú también en Mecenas de este proyecto, y así podrás recibir en tu correo los archivos de las Publicaciones Oficiales que vayamos incorporando a nuestra compilación.
Visítanos en www.patreon.com/pandectasdigital para obtener toda la información sobre ésta y otras de las ventajas de convertirte en Mecenas.
full-width
REPÚBLICA BOLIVARIANA DE VENEZUELA MINISTERIO DEL PODER POPULAR PARA CIENCIA, TECNOLOGÍA E INDUSTRIAS INTERMEDIAS
SUPERINTENDENCIA DE SERVICIOS DE CERTIFICACIÓN ELECTRÓNICA (SUSCERTE)
Caracas, 22 de Octubre de 2010 200º y 151º Providencia Administrativa Nº 009-10
Quien suscribe NIURKA HERNÁNDEZ GONZÁLEZ, titular de la cédula de identidad Nº V-10-484.661, actuando en mi carácter de Superintendente, designada mediante Resolución Nº 030 del 08 de enero de 2008, publicada en la Gaceta Oficial de la República Bolivariana de Venezuela Nº 38.856, de fecha 23 de enero de 2008, de conformidad con lo dispuesto en el artículo 1º de la Resolución 320, de fecha 02 de enero de 2006, publicada en la Gaceta Oficial de la República Bolivariana de Venezuela Nº 38.414, de fecha 06 de abril de 2006 y en ejercicio de las atribuciones delegadas mediante Resolución 390, de fecha 15 de Septiembre del año 2006, publicada en la Gaceta Oficial de la República Bolivariana de Venezuela Nº 38.567, de fecha 20 de Noviembre de 2006.
CONSIDERANDO
Que mediante Decreto Presidencial Nº 825, de fecha 10 de mayo de 2000, se declara el Acceso y el Uso de Internet como Política Prioritaria para el Desarrollo Cultural, Económico, Social y Político de la República Bolivariana de Venezuela;
CONSIDERANDO
Que mediante Decreto Nº 3.390, de fecha 23 de diciembre de 2004, publicado en Gaceta Oficial Nº 38.095 de fecha 28 de Diciembre de 2004, se declara el uso prioritario del Software Libre desarrollado con Estándares Abierto, en los sistemas, proyectos y servicios informáticos del Estado Venezolano;
CONSIDERANDO
Que mediante la Resolución Nº 320, de fecha 02 de Enero de 2006, publicada en Gaceta Oficial 38.414 de fecha 06 de Abril de 2006, se delega la competencia de dictar políticas, normas y procedimientos de Seguridad informática física y lógica al Ministerio del Poder Popular para Ciencia, Tecnología e Industrias Intermedias;
CONSIDERANDO
Que la Superintendencia de Servicios de Certificación Electrónica (SUSCERTE) es el ente competente para articular, alinear y asesorar toda iniciativa de seguridad informática en los organismos, órganos y entes del Poder Público Nacional, de conformidad con las atribuciones conferidas mediante Resolución 390, de fecha 15 de Septiembre del año 2006, publicada en la Gaceta Oficial de la República Bolivariana de Venezuela Número 38.567, de fecha 20 de Noviembre de 2006.
DICTA LA NORMATIVA DE CLASIFICACIÓN Y TRATAMIENTO DE LA INFORMACIÓN EN LA ADMINISTRACIÓN PÚBLICA
CAPÍTULO I DISPOSICIONES GENERALES
Objeto Artículo 1. La presente normativa tiene por objeto establecer los principios que deben regir la identificación, clasificación, tratamiento y protección de los activos de información en los Entes y Órganos de la Administración Pública Nacional.
Ámbito de Aplicación Artículo 2. La presente normativa será de obligatorio cumplimiento de todos los Entes y Órganos de la Administración Pública Nacional, que creen, administren, modifiquen, manipulen o eliminen activos de información.
Definiciones Artículo 3. A los efectos de la presente providencia, se definen como:
Activo de Información: Es la información misma en cualquiera de sus formas y modalidades impresa, manuscrita, oral, electrónica y visual) a la cual la institución, de conformidad con sus intereses, le ha atribuido un valor determinado en función a la transcendencia de dicha información.
Cifrado: Técnica que enmascara u oculta un mensaje de datos a través de métodos de conversión o algoritmos, cuya aplicación permite el proceso inverso o descifrado de la información.
Clave de máximo privilegio: Utilizada por los administradores de un Sistema para escalar privilegios y realizar operaciones que otros usuarios no pueden, como asignar y/o revocar niveles de permisología.
Contraseña y/o Claves de acceso: Secuencia alfabética, numérica o combinación de ambas, protegidas por reglas de confidencialidad, utilizada para verificar la autenticidad de la autorización, expedida a un usuario, para acceder a la data o a la información contenida en un sistema.
Datos: Es la unidad mínima que compone una información, la cual representa un atributo a través de una representación simbólica.
Información, documentos y materiales clasificados: Activos originales y/o en posesión de la Institución que describan, contengan o soporten sus procesos o actividades relacionadas con las operaciones de la institución y cuya divulgación o entrega deba ser restringida por razones de seguridad.
Información Electrónica: Toda información en digital, documentos, archivos de videos, audio, presentaciones.
Información Impresa: Toda información presentada de forma física.
Ingeniería Social: Práctica para obtener información confidencial a través de la manipulación de usuarios legítimos, propietarios o custodios de los activos de información.
Internet: Red de alcance mundial que une gran cantidad de redes y por la cual circula alto tráfico de información.
Mecanismo de Seguridad de la Información: Herramientas, Políticas Normas o Procedimientos de Seguridad de información, implementadas para proteger los activos de información de la institución.
Normas: Son lineamientos de obligatorio cumplimiento, emanados de la Máxima Autoridad de la Institución, caracterizadas por su imperatividad, coercividad y obligatoriedad.
Plataforma Tecnológica: Son todos los medios utilizados para procesar, almacenar y transmitir la información. La Plataforma tecnológica estará compuesta por la arquitectura y el inventario de los activos de información que ésta contiene.
Unidad Responsable de la Protección de los Activos de información: A los fines de la presente normativa, se entiende como todas aquellas unidades o departamentos de los Entes y Órganos de la Administración Pública Nacional encargadas de velar por la implementación de medidas de seguridad que permitan regular lo concerniente a la creación, administración, modificación, manipulación o eliminación de todos sus Activos de información.
Unidad Responsable de la Administración de la Plataforma Tecnológica: A los fines de la presente normativa, se entiende como toda unidad que se encargue de administrar y gestionar la Plataforma Tecnológica de los entes u órganos de la Administración Pública Nacional.
Del Custodio de los Activos de Información: A los fines de la presente normativa, se entiende como Custodio de los Activos de información, a toda persona natural autorizada, que téngala responsabilidad de resguardar con diligencia y vigilancia los Activos de información delegados.
CAPÍTULO II SUJETOS RELACIONADOS CON LOS ACTIVOS DE INFORMACIÓN
Del ente competente para dictar normativas y lineamientos. Artículo 4. La Superintendencia de Servicios de Certificación Electrónica (SUSCERTE) es el ente competente para articular, alinear y asesorar toda iniciativa de seguridad informática en los organismos, órganos y entes del Poder Público Nacional, de conformidad con las atribuciones conferidas mediante Resolución 390, de fecha 15 de Septiembre del año 2006, publicada en la Gaceta Oficial de la República Bolivariana de Venezuela Número 38.567, de fecha 20 de Noviembre de 2006.
De la Unidad Responsable de la Protección de los Activos de Información Artículo 5. A los fines de velar por la implementación de medidas de seguridad que permitan regular lo concerniente a la creación, administración, modificación, manipulación o eliminación de todos sus Activos de información, cada institución designará su Unidad Responsable de la Protección de los Activos de información.
Atribuciones de la Unidad Responsable de la Protección de los Activos de Información Artículo 6. La Unidad Responsable de la Protección de los Activos de Información tendrá las siguientes atribuciones:
1. Velar por el cumplimiento de la presente Normativa.
2. Velar por la identificación de la información física, a fin de garantizar su confidencialidad, la cual deberá ser implementada y administrada por el Propietario o el Custodio, de conformidad a lo establecido en la presente Normativa.
3. Implementar los mecanismos de identificación y cifrado para la información electrónica, definidos por SUSCERTE, a fin de garantizar la confidencialidad de los activos de información de la institución.
De la Unidad Responsable de la Administración de la Plataforma Tecnológica Artículo 7. A los fines de administrar y gestionar la Plataforma Tecnológica de los entes u órganos de la Administración Pública Nacional, cada institución designará su Unidad Responsable de la Administración de la Plataforma Tecnológica.
Atribuciones de la Unidad Responsable de la Administración de la Plataforma Tecnológica Artículo 8. La Unidad Responsable de la Administración de la Plataforma Tecnológica, tendrá la atribución de implementar los mecanismos seleccionados por la Unidad Responsable de la Protección de los Activos de información o su equivalente, de conformidad a lo establecido en las normativas legales o sublegales que apliquen en el ámbito de los entes u órganos de la Administración Pública Nacional.
Del Propietario de los Activos de Información Artículo 9. Todo ente u Órgano de la Administración Pública Nacional, a quien se le atribuye la generación, clasificación y transmisión de la información en cualesquiera de sus formas, a los fines de la presente normativa, es denominado propietario de los activos de información respectivamente.
Obligaciones del Propietario de los Activos de Información Artículo 10. El propietario de los activos de información, tendrá las siguientes obligaciones:
1. Responsabilizarse de la recepción, clasificación, registro, custodia, control y distribución de activos de información, en su unidad o Departamento y/o relacionados.
2. Delegar formalmente, las actividades asociadas recepción, clasificación, registro, custodia, control y distribución de activos de información, de su unidad o Departamento y/o relacionados; cuando no pueda cumplirlas por causas de fuerza mayor.
3. Establecer la vigencia de la clasificación de los activos de información, de acuerdo a la criticidad y confidencialidad de los mismos.
4. Tomar las medidas pertinentes para garantizar la seguridad de los activos de información, orientadas a prevenir el robo, hurto, espionaje, sabotaje, ingeniería social, fotografiado, reproducción, copiado u otra forma de difusión no autorizada, de los activos de información, en cualquiera de sus formas.
5. Reportar la pérdida y/o extravío de los activos de información, a la Unidad Responsable de la Protección de los Activos de Información de la Institución o su equivalente.
Del custodio de los Activos de Información Artículo 11. A los fines de individualizar y garantizar el resguardar con diligencia y vigilancia los Activos de Información delegados, cada institución designará su Unidad Responsable de la Protección de los Activos de Información.
Obligaciones del Custodio de los Activos de Información Artículo 12. El Custodio de los activos de información, tendrá las siguientes obligaciones:
1. Responsabilizarse por el cumplimiento de las medidas de seguridad, vigilancia, discreción y cuidado que afecten la disponibilidad, integridad y confidencialidad de los activos de información de la institución, asignados bajo su custodia.
2. Tomar las medidas pertinentes para garantizar la seguridad de los activos de información, orientadas a prevenir el robo, hurto, espionaje, sabotaje, ingeniería social, fotografiado, reproducción, copiado u otra forma de difusión no autorizada, de los activos de información, en cualquiera de sus formas.
3. Reportar la pérdida y/o extravío de los activos de información, a la Unidad Responsable de la Protección de los Activos de Información de la Institución o su equivalente.
CAPÍTULO III DE LA CLASIFICACIÓN DE LOS ACTIVOS DE INFORMACIÓN
Artículo 13. Los activos de información de los órganos y entes de la Administración Pública Nacional, serán clasificados por el Propietario de la información, de acuerdo a su valor estratégico y/o criticidad que posean los mismos; con base a la siguiente clasificación:
1. Estrictamente Confidencial
2. Confidencial
3. De Uso interno
4. De Uso Público
Artículo 14. El Propietario deberá asignar la clasificación de “Estrictamente Confidencial”, a todos Activos de Información relacionados con a dirección operacional y/o estratégica de la Institución, documentos y materiales clasificados que requieran el más alto grado de protección, cuyo conocimiento y divulgación por parte de personas no autorizadas, causen graves daños a la Institución y/o al Estado. A los efectos de esta disposición, tendrá ésta clasificación los siguientes activos:
1. Los planes de contingencia, planes operacionales y de áreas estratégicas vitales para la continuidad operativa de la Institución y/o el Estado, así como la seguridad de sus instalaciones.
2. Información crítica, relacionada directamente con los procesos medulares de la institución y cuya divulgación ponga en riesgo a la institución.
3. Mapas de Arquitectura de la Plataforma Tecnológica de la Institución.
4. Convenios internacionales, convenios de cooperación tecnológica y/o contratos asociados al suministro de información, durante su elaboración y antes de su firma.
5. Información acerca de los métodos y resultados de toda investigación efectuada por la Unidad Responsable de la Protección de los Activos de Información o su equivalente.
6. Las claves de máximo privilegio de los sistemas y/o aplicaciones, así como toda la documentación pertinente a las mismas.
7. Toda información resultante del tratamiento de incidentes y diagnóstico de seguridad.
8. Cualquier otro activo de información que permita conocer gran parte de las operaciones de la institución, de acuerdo a lo que el Propietario así establezca.
Artículo 15. El Propietario deberá asignar la clasificación de “Confidencial”, a los Activos de información relacionados con el personal, clientes, información financiera, técnica, administrativa y cualquier otra información sensible de la institución, cuyo conocimiento y divulgación a personas no autorizadas, causen daños a la Institución. A los efectos de esta disposición, tendrán ésta clasificación los siguientes activos:
-Contraseñas y/o claves de acceso a los sistemas y/o aplicaciones de la Plataforma Tecnológica de la Institución.
-Toda información correspondiente a sistemas y aplicaciones de la Plataforma Tecnológica de la Institución.
-Toda información que se refiera a estrategias, métodos, técnicas o tácticas especializadas que se puedan aplicar a las prácticas operacionales.
-Toda información y/o datos relativos previos a la celebración de contratos para la adquisición de equipos, materiales, órdenes de compra y requisiciones, así como todo lo relativo al proceso de licitaciones.
-Expedientes e historial médico del personal de las instituciones.
-Expedientes y registros de transacciones operacionales o administrativas entre las Instituciones y un tercero.
-Informes de eventos de seguridad física o lógica.
-Informes de auditorías internas y externas.
-Planes estratégicos y operacionales, hasta el momento de su publicación por la autoridad competente.
-Proyectos tecnológicos y de desarrollo social impulsados por la institución, hasta el momento de su publicación por la autoridad competente.
-Cualquier otro activo de información que el Propietario así establezca.
Artículo 16. El Propietario y/o Custodio, deberá asignar la clasificación de “Uso Interno”, a todo activo de información que requiera medidas de protección no especiales, cuyo acceso y manipulación deba ser realizado anteponiendo los intereses de la Institución, y su conocimiento y/o divulgación permita al personal cumplir con las funciones propias asignadas. A los efectos de esta disposición, tendrán ésta clasificación los siguientes activos:
-Programas de entrenamiento.
-Políticas de Seguridad de Información.
-Normativas internas.
-Procedimientos generales.
-Lineamientos internos.
-Informes de gestión una vez hecho público por la autoridad competente.
-Toda aquella información que no sea clasificada como “confidencial” o estrictamente confidencial”.
Artículo 17. El Propietario y/o Custodio, deberá asignar la clasificación de “De Uso Público” a los activos de información que no requieran de ninguna medida de protección. Su acceso y manipulación puede ser realizado de forma libre, a través de todo medio disponible en las instituciones. Su conocimiento y/o divulgación no afecta el cumplimiento de las funciones propias asignadas al personal. A los efectos de esta disposición, tendrán ésta clasificación los activos de información que no hayan sido clasificados previamente como “Estrictamente Confidencial”, Confidencial” o De Uso Interno”.
Parágrafo único: Toda información generada por la Institución, no podrá ser publicada o revelada al público en general sin la previa autorización debida y formal de la Unidad Responsable de la Imagen Institucional o de la Máxima Autoridad de la Institución.
CAPÍTULO IV DE LA CLASIFICACIÓN Y RECLASIFICACIÓN
De la Clasificación Artículo 18. Para la clasificación de la Información y de los documentos el Propietario empleará lo establecido en los artículos 13, 14, 15 y 17 de la presente; de acuerdo a la sensibilidad y relevancia de la información en la institución, por lo que se asignará la clasificación más acorde y compatible con la protección requerida, a fin de evitar una sobre o sub clasificación, no acorde al valor de la información en cuestión.
Parágrafo único El Propietario podrá considerar para la clasificación de los Activos de Información los criterios definidos en la Tabla 1 (véase Anexo A). De igual manera, podrá aplicar una priorización de acuerdo a la puntuación obtenida en la matriz adaptada a la siguiente escala:
1. De Uso Público =0-4
2. De uso Interno =5-8
3. Confidencial =9-11
4. Estrictamente Confidencial = 12-15
Artículo 19. La clasificación de un conjunto de documentos, debe ser igual a la del documento de más alta clasificación. A tales efectos, cuando un documento sea separado de un conjunto o agrupación, éste será manejado de acuerdo con su propia clasificación.
Parágrafo único Todo documento e información que se encuentre asociado a un activo de información ya clasificado deberá tener su misma clasificación.
Artículo 20. Los documentos de Uso Interno o de Uso Público no deberán contener extractos de documentos clasificados como confidencial o estrictamente confidencial.
De la Reclasificación Artículo 21. Al momento de reclasificar un activo de información, el Propietario deberá hacerlo del conocimiento de todo usuario y/o custodio de los activos de información, a fin que sean ejecutados los respectivos cambios. A los efectos de esta normativa, se entiende por reclasificación la asignación de una nueva clasificación como consecuencia del cambio de los factores que determinaron su clasificación original, para lo cual de ser necesario el Propietario y/o Custodio deberán indicar debida y formalmente en el propio documento, la fecha vigente desde la cual se determina la reclasificación del activo.
Parágrafo Único: Todo activo de información físico o electrónico que sea reclasificado, deberá contar con la anulación de la identificación visual original y se identificará nuevamente como, “Reclasificado Estrictamente Confidencial”, “Reclasificación Confidencial”, “Reclasificado De Uso Interno” ó “Reclasificado De Uso Público”, según lo establecido por el Propietario, acompañado de la debida justificación inserta en el documento electrónico o físico.
CAPÍTULO V DEL MANEJO DE LOS ACTIVOS DE INFORMACIÓN
De la Preparación, impresión, Reproducción y Remisión. Artículo 22. La preparación, impresión, reproducción y remisión de documentos se llevará a cabo bajo el control y autorización del Propietario y/o Custodio, quien deberá asegurar que el personal que intervenga durante este proceso esté notificado en cuanto a su responsabilidad de salvaguardar los documentos, incluyendo el registro del manejo de copias impresas o reproducciones, así como de notas y/o correos electrónicos, de conformidad con las normativas legales o sublegales que se establezcan para tal fin.
Parágrafo Único: Los documentos clasificados como estrictamente confidencial o confidencial no deberán reproducirse salvo que sea necesario, en cuyo caso, deberá ser autorizado debida y formalmente por el Propietario y/o Custodio del activo de Información, para lo cual la Institución deberá establecer acuerdos de confidencialidad, a fin de regular el manejo del documento y número de copias autorizadas. Cada una de las copias emitidas deberá ser identificada y registrada por el Propietario.
Artículo 23. El Propietario deberá considerar las siguientes disposiciones en cuanto a la preparación, envío o remisión de documentos y/o materiales clasificados como Estrictamente Confidencial ó Confidencial.
-Toda correspondencia clasificada deberá ser entregada mediante memorando u oficio.
-El documento o material clasificado que se encuentre en forma física deberá colocarse dentro de dos (02) sobres opacos, con indicación de la dirección del destinatario y del remitente en ambos sobres.
-Debe indicarse la clasificación de seguridad del documento o material en el sobre a remitirse, a fin de darle el debido tratamiento al documento.
-Cuando se realice a través de medios electrónicos, éste debe efectuarse mediante la aplicación de mecanismos de cifrado establecidos por la Unidad Responsable de la Protección de los Activos de información o su equivalente, a fin de resguardar la confidencialidad e integridad de la información.
-Las informaciones, documentos y materiales clasificados “Estrictamente Confidencial” y “Confidencial”, serán distribuidos mediante la entrega personal, o mensajería.
Del Registro y Control Artículo 24. El registro y control de los activos de información clasificados, será responsabilidad del Propietario, el cual deberá implementar los mecanismos necesarios para tal fin, según las instrucciones emitidas por la Unidad Responsable de la Protección de Activos de Información de la Institución o su equivalente.
Artículo 25. El control de los activos de información clasificados, será ejercido por el Propietario del activo de información, mediante:
1. La autorización, recepción, custodia y distribución de los activos de información.
2. La responsabilidad para la distribución de documentos y materiales clasificados corresponde al Propietario y/o Custodio del activo de información.
Artículo 26. El Propietario deberá hacer uso de los formatos de identificación visual de la información establecidos por la Unidad Responsable de la Protección de los Activos de información o su equivalente, de conformidad con las siguientes disposiciones:
1. Identificación Visual de Información electrónica:
-Se deberá identificar cada página del documento utilizando encabezado y pie de página, de manera que se conozca el nivel de clasificación del mismo cuando sea proyectado y/o copiado.
-Se deberán identificar de forma visible los dispositivos de almacenamiento periféricos y equipos que contengan información clasificada.
-La información electrónica almacenada en formatos de video, audio o cualquier otro similar, se deberá identificar al inicio y al final de la reproducción.
2. Identificación visual de información impresa: El tratamiento que se le da a estos activos de información, depende del material que se maneje, estos pueden ser:
-Documentos Encuadernados e Informes: Los espacios disponibles para identificar son la esquina derecha, la izquierda o en el centro de la parte superior de las tapas y en la primera página del documento.
-No encuadernado: Estos documentos se deben identificar en el margen derecho, izquierdo o en el centro de la parte superior de cada una de las páginas, así como el número de páginas totales del documento, de tal manera que sea siempre visible, aun cuando se archive.
-Mapas y Planos: Estos documentos se deben identificar debajo de la leyenda, título o escala.
-Folletos, libros y material semejante: Se identificarán tanto en la portada como en la contraportada del mismo.
De la protección y Archivo Artículo 27. A los fines de la presente normativa, se emplearán los colores y las figuras geométricas para la identificación de la clasificación de los activos de acuerdo a la Tabla 2, que define los Colores y Figuras para la Clasificación de la Información (véase Anexo B).
Artículo 28. Para dar cumplimiento a lo expuesto en el artículo 25, los Propietarios y/o Custodios deberán considerar las siguientes medidas de protección y archivo de documentos clasificados como Estrictamente Confidencial ó Confidencial:
-Los Documentos impresos y/o materiales se deberán resguardar en cajas fuertes con cerraduras de combinación ó archivos normales que posean como mínimo gabinetes de seguridad de combinación o cerradura.
Los documentos electrónicos se deberán almacenar y/o resguardar en contenedores cifrados, de conformidad con las normativas legales o sublegales que se establezcan para tal fin.
Artículo 29. Es Responsabilidad del Propietario conjuntamente con la Unidad Responsable de la Protección de los Activos de información o su equivalente, la custodia de las combinaciones de las cajas fuertes, gabinetes o archivos que sean protegidos, las cuales deben ser colocadas en sobre debidamente sellado y resguardado en sitio seguro, de conformidad con la normativas legales o sublegales que se establezcan para tal fin.
Parágrafo Primero: El conocimiento que se tenga de una combinación será limitado a tres (03) personas, las cuales deben establecerse entre el Propietario, la Unidad Responsable de la Protección de los Activos de Información o su equivalente y un tercero acordado entre las partes.
Parágrafo Segundo: La Unidad Responsable de la Plataforma Tecnológica conjuntamente con la Unidad Responsable de la Protección de los Activos de Información o su equivalente, deberán establecer los mecanismos y procedimientos para la generación, actualización y custodia de las Claves de Máximo Privilegio, de conformidad con las normativas legales o sublegales que se establezcan para tal fin.
De la Destrucción Artículo 30. Los Propietarios y/o Custodios de información clasificada previo a proceder a la destrucción de ésta cuando pierda vigencia y/o utilidad, deberán considerar los siguientes aspectos:
1. La destrucción de la información, documentos y materiales clasificados, deberá ser efectuada utilizando métodos que aseguren la completa eliminación física y electrónica del mismo:
-En los casos de documentos que se encuentren en forma física y/o materiales, clasificados como Estrictamente Confidencial y Confidencial, se deberá utilizar destructoras de papel o mecanismos que garanticen su completa destrucción.
-En los casos de documentos que se encuentren en forma electrónica, clasificados como Estrictamente Confidencial o Confidencial, se deberá utilizar la técnica o mecanismo establecido por la Unidad Responsable de la Protección de los Activos de Información o su equivalente.
2. La destrucción de información, documentos y materiales clasificados, deberá ser registrada, para lo cual el Propietario y/o Custodio deberán elaborar el reporte de destrucción correspondiente, indicando lugar y fecha donde se efectuó la destrucción, identificación del documento o material destruido, autoridad que aprueba la destrucción y la firma autorizada de quien lo solicita, así como cualquier otra información adicional que el Propietario considere incorporar.
CAPÍTULO VI DE LAS NORMAS DE SEGURIDAD
Artículo 31. El Propietario deberá garantizar que los activos de información, se encuentren debidamente identificados con la clasificación: Estrictamente Confidencial, Confidencial, De Uso Interno y De uso Público a fin de resguardar la confidencialidad, integridad, y disponibilidad de los mismos.
Artículo 32. La información, documentos y materiales clasificados, sólo podrán, ser entregados a personas que se encuentren debida y formalmente autorizada por el Propietario y/o la Máxima Autoridad, y que tengan la necesidad de conocer de dicha información conforme al perfil y cargo que desempeñen en la institución.
Parágrafo Primero: La responsabilidad de determinar la necesidad que tenga un usuario de conocer alguna información para el desempeño de sus funciones, corresponderá al Propietario y/o Custodio del activo de información.
Parágrafo Segundo: El extravío de activos de información, deberá ser hecho del conocimiento del Propietario y/o Custodio del mismo de forma inmediata, por lo que el Propietario y/o Custodio del activo, deberá solicitar a la Unidad Responsable de la Protección de los Activos de información o su equivalente, la apertura de una investigación, a fin de establecer las responsabilidades pertinentes al extravío del mismo.
Artículo 33. El traslado de documentos clasificados como Estrictamente Confidencial fuera de las instalaciones de la institución, debe ser autorizado en caso de excepción o por prioridad de la institución; para lo cual el Custodio deberá ser autorizado debida y formalmente por el Propietario, y se suscribirá un acuerdo de confidencialidad que será avalado por la Unidad Responsable de la Protección de los Activos de Información o su equivalente.
CAPÍTULO VII DISPOSICIONES FINALES
Artículo 34. Los Propietarios, usuarios y usuarias de activos de información de la Administración Pública Nacional, deberán dar estricto cumplimiento a la presente Normativa; sin perjuicio de las sanciones y medidas a que haya lugar de conformidad con las normativas legales y sublegales que regulen la materia, por el incumplimiento de las mismas.
Artículo 35. Las obligaciones contenidas en la presente normativa, serán exigibles y supervisadas por SUSCERTE, a partir de su entrada en vigencia. No obstante los sujetos aplicables dispondrán para adecuar sus activos de información en cumplimiento de lo previsto en la misma, de un lapso de un (01) año, desde la entrada en vigencia de la presente Providencia.
Artículo 36. La presente Providencia Administrativa entrará en vigencia a partir de la fecha de su publicación en la Gaceta Oficial de la República Bolivariana de Venezuela, de conformidad con lo previsto en el artículo 12º del Decreto Nº 6.217 con Rango, Valor y Fuerza de Ley Orgánica de la Administración Pública, publicado en la Gaceta Oficial Nº 5.890 Extraordinario del 31 de julio de 2008; en concordancia con lo previsto en los artículos 33º, 42º y 72º todos de la Ley Orgánica de Procedimientos Administrativos, publicada en la Gaceta Oficial Nº 2.818 Extraordinario del 1º de julio de 1981.
Anexo A
Importancia Económica Importancia Política Importancia Social Imagen Pública Importancia Estratégica 3 Impacta de forma crítica la estabilidad económica de la institución. Impacta de forma crítica la estabilidad política en el entorno gubernamental y su gestión. Impacta de forma crítica y directamente en el clima de estabilidad social de la población. Su divulgación impacta críticamente el prestigio de la institución e incide en los medios de comunicación del país. Crítica y vinculante a las operaciones medulares del país. 2 Impacta de forma mediana la estabilidad económica de la institución. Impacta medianamente la estabilidad política en el entorno gubernamental y su gestión. Impacta indirectamente en el clima de estabilidad social de la población. Su divulgación impacta moderadamente el prestigio de la institución e incide en los medios de comunicación del país. No crítica, pero sí vinculante a las operaciones medulares del país. 1 Impacta de forma baja la estabilidad económica de la institución. Impacta levemente la estabilidad política en el entorno gubernamental y su gestión. Impacta directa o indirectamente el mantener un clima de estabilidad social en la población pero se puede manejar. Su divulgación impacta levemente el prestigio de la institución sin incidir en los medios de comunicación del país. Leve importancia estratégica y está directamente relacionada con las operaciones medulares del país. 0 No impacta de forma alguna la estabilidad económica de la institución. No impacta de manera alguna la estabilidad del entorno gubernamental ni a su gestión. No impacta directa o indirectamente con el clima de estabilidad social en la población. Su divulgación no impacta el prestigio de la institución ni incide en los medios de comunicación del país. Sin importancia estratégica o vínculo alguno con las operaciones medulares del país.
Tabla 1. Guía rápida para la Clasificación de la Información
Anexo: B
Color Figura Geométrica Clasificación ROJO Círculo Estrictamente confidencial ANARANJADO Pentágono Confidencial AZUL Cuadrado De uso Privado VERDE Triángulo De uso público
Tabla 2. Colores y figuras para la Clasificación de la Información
Comuníquese y Publíquese,
NIURKA HERNÁNDEZ Superintendente
REPÚBLICA BOLIVARIANA DE VENEZUELA
MINISTERIO DEL PODER POPULAR PARA CIENCIA, TECNOLOGÍA E INDUSTRIAS INTERMEDIAS
SUPERINTENDENCIA DE SERVICIOS DE CERTIFICACIÓN ELECTRÓNICA
(SUSCERTE)
Caracas, 22 de Octubre de 2010
200º y 151º
Providencia Administrativa Nº 009-10
Quien suscribe NIURKA HERNÁNDEZ GONZÁLEZ, titular de la cédula de identidad Nº V-10-484.661, actuando en mi carácter de Superintendente, designada mediante Resolución Nº 030 del 08 de enero de 2008, publicada en la Gaceta Oficial de la República Bolivariana de Venezuela Nº 38.856, de fecha 23 de enero de 2008, de conformidad con lo dispuesto en el artículo 1º de la Resolución 320, de fecha 02 de enero de 2006, publicada en la Gaceta Oficial de la República Bolivariana de Venezuela Nº 38.414, de fecha 06 de abril de 2006 y en ejercicio de las atribuciones delegadas mediante Resolución 390, de fecha 15 de Septiembre del año 2006, publicada en la Gaceta Oficial de la República Bolivariana de Venezuela Nº 38.567, de fecha 20 de Noviembre de 2006.
CONSIDERANDO
Que mediante Decreto Presidencial Nº 825, de fecha 10 de mayo de 2000, se declara el Acceso y el Uso de Internet como Política Prioritaria para el Desarrollo Cultural, Económico, Social y Político de la República Bolivariana de Venezuela;
CONSIDERANDO
Que mediante Decreto Nº 3.390, de fecha 23 de diciembre de 2004, publicado en Gaceta Oficial Nº 38.095 de fecha 28 de Diciembre de 2004, se declara el uso prioritario del Software Libre desarrollado con Estándares Abierto, en los sistemas, proyectos y servicios informáticos del Estado Venezolano;
CONSIDERANDO
Que mediante la Resolución Nº 320, de fecha 02 de Enero de 2006, publicada en Gaceta Oficial 38.414 de fecha 06 de Abril de 2006, se delega la competencia de dictar políticas, normas y procedimientos de Seguridad informática física y lógica al Ministerio del Poder Popular para Ciencia, Tecnología e Industrias Intermedias;
CONSIDERANDO
Que la Superintendencia de Servicios de Certificación Electrónica (SUSCERTE) es el ente competente para articular, alinear y asesorar toda iniciativa de seguridad informática en los organismos, órganos y entes del Poder Público Nacional, de conformidad con las atribuciones conferidas mediante Resolución 390, de fecha 15 de Septiembre del año 2006, publicada en la Gaceta Oficial de la República Bolivariana de Venezuela Número 38.567, de fecha 20 de Noviembre de 2006.
DICTA LA NORMATIVA DE CLASIFICACIÓN Y TRATAMIENTO DE LA INFORMACIÓN EN LA ADMINISTRACIÓN PÚBLICA
CAPÍTULO I
DISPOSICIONES GENERALES
Objeto
Artículo 1. La presente normativa tiene por objeto establecer los principios que deben regir la identificación, clasificación, tratamiento y protección de los activos de información en los Entes y Órganos de la Administración Pública Nacional.
Ámbito de Aplicación
Artículo 2. La presente normativa será de obligatorio cumplimiento de todos los Entes y Órganos de la Administración Pública Nacional, que creen, administren, modifiquen, manipulen o eliminen activos de información.
Definiciones
Artículo 3. A los efectos de la presente providencia, se definen como:
Activo de Información: Es la información misma en cualquiera de sus formas y modalidades impresa, manuscrita, oral, electrónica y visual) a la cual la institución, de conformidad con sus intereses, le ha atribuido un valor determinado en función a la transcendencia de dicha información.
Cifrado: Técnica que enmascara u oculta un mensaje de datos a través de métodos de conversión o algoritmos, cuya aplicación permite el proceso inverso o descifrado de la información.
Clave de máximo privilegio: Utilizada por los administradores de un Sistema para escalar privilegios y realizar operaciones que otros usuarios no pueden, como asignar y/o revocar niveles de permisología.
Contraseña y/o Claves de acceso: Secuencia alfabética, numérica o combinación de ambas, protegidas por reglas de confidencialidad, utilizada para verificar la autenticidad de la autorización, expedida a un usuario, para acceder a la data o a la información contenida en un sistema.
Datos: Es la unidad mínima que compone una información, la cual representa un atributo a través de una representación simbólica.
Información, documentos y materiales clasificados: Activos originales y/o en posesión de la Institución que describan, contengan o soporten sus procesos o actividades relacionadas con las operaciones de la institución y cuya divulgación o entrega deba ser restringida por razones de seguridad.
Información Electrónica: Toda información en digital, documentos, archivos de videos, audio, presentaciones.
Información Impresa: Toda información presentada de forma física.
Ingeniería Social: Práctica para obtener información confidencial a través de la manipulación de usuarios legítimos, propietarios o custodios de los activos de información.
Internet: Red de alcance mundial que une gran cantidad de redes y por la cual circula alto tráfico de información.
Mecanismo de Seguridad de la Información: Herramientas, Políticas Normas o Procedimientos de Seguridad de información, implementadas para proteger los activos de información de la institución.
Normas: Son lineamientos de obligatorio cumplimiento, emanados de la Máxima Autoridad de la Institución, caracterizadas por su imperatividad, coercividad y obligatoriedad.
Plataforma Tecnológica: Son todos los medios utilizados para procesar, almacenar y transmitir la información. La Plataforma tecnológica estará compuesta por la arquitectura y el inventario de los activos de información que ésta contiene.
Unidad Responsable de la Protección de los Activos de información: A los fines de la presente normativa, se entiende como todas aquellas unidades o departamentos de los Entes y Órganos de la Administración Pública Nacional encargadas de velar por la implementación de medidas de seguridad que permitan regular lo concerniente a la creación, administración, modificación, manipulación o eliminación de todos sus Activos de información.
Unidad Responsable de la Administración de la Plataforma Tecnológica: A los fines de la presente normativa, se entiende como toda unidad que se encargue de administrar y gestionar la Plataforma Tecnológica de los entes u órganos de la Administración Pública Nacional.
Del Custodio de los Activos de Información: A los fines de la presente normativa, se entiende como Custodio de los Activos de información, a toda persona natural autorizada, que téngala responsabilidad de resguardar con diligencia y vigilancia los Activos de información delegados.
CAPÍTULO II
SUJETOS RELACIONADOS CON LOS ACTIVOS DE INFORMACIÓN
Del ente competente para dictar normativas y lineamientos.
Artículo 4. La Superintendencia de Servicios de Certificación Electrónica (SUSCERTE) es el ente competente para articular, alinear y asesorar toda iniciativa de seguridad informática en los organismos, órganos y entes del Poder Público Nacional, de conformidad con las atribuciones conferidas mediante Resolución 390, de fecha 15 de Septiembre del año 2006, publicada en la Gaceta Oficial de la República Bolivariana de Venezuela Número 38.567, de fecha 20 de Noviembre de 2006.
De la Unidad Responsable de la Protección de los Activos de Información
Artículo 5. A los fines de velar por la implementación de medidas de seguridad que permitan regular lo concerniente a la creación, administración, modificación, manipulación o eliminación de todos sus Activos de información, cada institución designará su Unidad Responsable de la Protección de los Activos de información.
Atribuciones de la Unidad Responsable de la Protección de los Activos de Información
Artículo 6. La Unidad Responsable de la Protección de los Activos de Información tendrá las siguientes atribuciones:
1. Velar por el cumplimiento de la presente Normativa.
2. Velar por la identificación de la información física, a fin de garantizar su confidencialidad, la cual deberá ser implementada y administrada por el Propietario o el Custodio, de conformidad a lo establecido en la presente Normativa.
3. Implementar los mecanismos de identificación y cifrado para la información electrónica, definidos por SUSCERTE, a fin de garantizar la confidencialidad de los activos de información de la institución.
De la Unidad Responsable de la Administración de la Plataforma Tecnológica
Artículo 7. A los fines de administrar y gestionar la Plataforma Tecnológica de los entes u órganos de la Administración Pública Nacional, cada institución designará su Unidad Responsable de la Administración de la Plataforma Tecnológica.
Atribuciones de la Unidad Responsable de la Administración de la Plataforma Tecnológica
Artículo 8. La Unidad Responsable de la Administración de la Plataforma Tecnológica, tendrá la atribución de implementar los mecanismos seleccionados por la Unidad Responsable de la Protección de los Activos de información o su equivalente, de conformidad a lo establecido en las normativas legales o sublegales que apliquen en el ámbito de los entes u órganos de la Administración Pública Nacional.
Del Propietario de los Activos de Información
Artículo 9. Todo ente u Órgano de la Administración Pública Nacional, a quien se le atribuye la generación, clasificación y transmisión de la información en cualesquiera de sus formas, a los fines de la presente normativa, es denominado propietario de los activos de información respectivamente.
Obligaciones del Propietario de los Activos de Información
Artículo 10. El propietario de los activos de información, tendrá las siguientes obligaciones:
1. Responsabilizarse de la recepción, clasificación, registro, custodia, control y distribución de activos de información, en su unidad o Departamento y/o relacionados.
2. Delegar formalmente, las actividades asociadas recepción, clasificación, registro, custodia, control y distribución de activos de información, de su unidad o Departamento y/o relacionados; cuando no pueda cumplirlas por causas de fuerza mayor.
3. Establecer la vigencia de la clasificación de los activos de información, de acuerdo a la criticidad y confidencialidad de los mismos.
4. Tomar las medidas pertinentes para garantizar la seguridad de los activos de información, orientadas a prevenir el robo, hurto, espionaje, sabotaje, ingeniería social, fotografiado, reproducción, copiado u otra forma de difusión no autorizada, de los activos de información, en cualquiera de sus formas.
5. Reportar la pérdida y/o extravío de los activos de información, a la Unidad Responsable de la Protección de los Activos de Información de la Institución o su equivalente.
Del custodio de los Activos de Información
Artículo 11. A los fines de individualizar y garantizar el resguardar con diligencia y vigilancia los Activos de Información delegados, cada institución designará su Unidad Responsable de la Protección de los Activos de Información.
Obligaciones del Custodio de los Activos de Información
Artículo 12. El Custodio de los activos de información, tendrá las siguientes obligaciones:
1. Responsabilizarse por el cumplimiento de las medidas de seguridad, vigilancia, discreción y cuidado que afecten la disponibilidad, integridad y confidencialidad de los activos de información de la institución, asignados bajo su custodia.
2. Tomar las medidas pertinentes para garantizar la seguridad de los activos de información, orientadas a prevenir el robo, hurto, espionaje, sabotaje, ingeniería social, fotografiado, reproducción, copiado u otra forma de difusión no autorizada, de los activos de información, en cualquiera de sus formas.
3. Reportar la pérdida y/o extravío de los activos de información, a la Unidad Responsable de la Protección de los Activos de Información de la Institución o su equivalente.
CAPÍTULO III
DE LA CLASIFICACIÓN DE LOS ACTIVOS DE INFORMACIÓN
Artículo 13. Los activos de información de los órganos y entes de la Administración Pública Nacional, serán clasificados por el Propietario de la información, de acuerdo a su valor estratégico y/o criticidad que posean los mismos; con base a la siguiente clasificación:
1. Estrictamente Confidencial
2. Confidencial
3. De Uso interno
4. De Uso Público
Artículo 14. El Propietario deberá asignar la clasificación de “Estrictamente Confidencial”, a todos Activos de Información relacionados con a dirección operacional y/o estratégica de la Institución, documentos y materiales clasificados que requieran el más alto grado de protección, cuyo conocimiento y divulgación por parte de personas no autorizadas, causen graves daños a la Institución y/o al Estado. A los efectos de esta disposición, tendrá ésta clasificación los siguientes activos:
1. Los planes de contingencia, planes operacionales y de áreas estratégicas vitales para la continuidad operativa de la Institución y/o el Estado, así como la seguridad de sus instalaciones.
2. Información crítica, relacionada directamente con los procesos medulares de la institución y cuya divulgación ponga en riesgo a la institución.
3. Mapas de Arquitectura de la Plataforma Tecnológica de la Institución.
4. Convenios internacionales, convenios de cooperación tecnológica y/o contratos asociados al suministro de información, durante su elaboración y antes de su firma.
5. Información acerca de los métodos y resultados de toda investigación efectuada por la Unidad Responsable de la Protección de los Activos de Información o su equivalente.
6. Las claves de máximo privilegio de los sistemas y/o aplicaciones, así como toda la documentación pertinente a las mismas.
7. Toda información resultante del tratamiento de incidentes y diagnóstico de seguridad.
8. Cualquier otro activo de información que permita conocer gran parte de las operaciones de la institución, de acuerdo a lo que el Propietario así establezca.
Artículo 15. El Propietario deberá asignar la clasificación de “Confidencial”, a los Activos de información relacionados con el personal, clientes, información financiera, técnica, administrativa y cualquier otra información sensible de la institución, cuyo conocimiento y divulgación a personas no autorizadas, causen daños a la Institución. A los efectos de esta disposición, tendrán ésta clasificación los siguientes activos:
-Contraseñas y/o claves de acceso a los sistemas y/o aplicaciones de la Plataforma Tecnológica de la Institución.
-Toda información correspondiente a sistemas y aplicaciones de la Plataforma Tecnológica de la Institución.
-Toda información que se refiera a estrategias, métodos, técnicas o tácticas especializadas que se puedan aplicar a las prácticas operacionales.
-Toda información y/o datos relativos previos a la celebración de contratos para la adquisición de equipos, materiales, órdenes de compra y requisiciones, así como todo lo relativo al proceso de licitaciones.
-Expedientes e historial médico del personal de las instituciones.
-Expedientes y registros de transacciones operacionales o administrativas entre las Instituciones y un tercero.
-Informes de eventos de seguridad física o lógica.
-Informes de auditorías internas y externas.
-Planes estratégicos y operacionales, hasta el momento de su publicación por la autoridad competente.
-Proyectos tecnológicos y de desarrollo social impulsados por la institución, hasta el momento de su publicación por la autoridad competente.
-Cualquier otro activo de información que el Propietario así establezca.
Artículo 16. El Propietario y/o Custodio, deberá asignar la clasificación de “Uso Interno”, a todo activo de información que requiera medidas de protección no especiales, cuyo acceso y manipulación deba ser realizado anteponiendo los intereses de la Institución, y su conocimiento y/o divulgación permita al personal cumplir con las funciones propias asignadas. A los efectos de esta disposición, tendrán ésta clasificación los siguientes activos:
-Programas de entrenamiento.
-Políticas de Seguridad de Información.
-Normativas internas.
-Procedimientos generales.
-Lineamientos internos.
-Informes de gestión una vez hecho público por la autoridad competente.
-Toda aquella información que no sea clasificada como “confidencial” o estrictamente confidencial”.
Artículo 17. El Propietario y/o Custodio, deberá asignar la clasificación de “De Uso Público” a los activos de información que no requieran de ninguna medida de protección. Su acceso y manipulación puede ser realizado de forma libre, a través de todo medio disponible en las instituciones. Su conocimiento y/o divulgación no afecta el cumplimiento de las funciones propias asignadas al personal. A los efectos de esta disposición, tendrán ésta clasificación los activos de información que no hayan sido clasificados previamente como “Estrictamente Confidencial”, Confidencial” o De Uso Interno”.
Parágrafo único: Toda información generada por la Institución, no podrá ser publicada o revelada al público en general sin la previa autorización debida y formal de la Unidad Responsable de la Imagen Institucional o de la Máxima Autoridad de la Institución.
CAPÍTULO IV
DE LA CLASIFICACIÓN Y RECLASIFICACIÓN
De la Clasificación
Artículo 18. Para la clasificación de la Información y de los documentos el Propietario empleará lo establecido en los artículos 13, 14, 15 y 17 de la presente; de acuerdo a la sensibilidad y relevancia de la información en la institución, por lo que se asignará la clasificación más acorde y compatible con la protección requerida, a fin de evitar una sobre o sub clasificación, no acorde al valor de la información en cuestión.
Parágrafo único El Propietario podrá considerar para la clasificación de los Activos de Información los criterios definidos en la Tabla 1 (véase Anexo A). De igual manera, podrá aplicar una priorización de acuerdo a la puntuación obtenida en la matriz adaptada a la siguiente escala:
1. De Uso Público =0-4
2. De uso Interno =5-8
3. Confidencial =9-11
4. Estrictamente Confidencial = 12-15
Artículo 19. La clasificación de un conjunto de documentos, debe ser igual a la del documento de más alta clasificación. A tales efectos, cuando un documento sea separado de un conjunto o agrupación, éste será manejado de acuerdo con su propia clasificación.
Parágrafo único Todo documento e información que se encuentre asociado a un activo de información ya clasificado deberá tener su misma clasificación.
Artículo 20. Los documentos de Uso Interno o de Uso Público no deberán contener extractos de documentos clasificados como confidencial o estrictamente confidencial.
De la Reclasificación
Artículo 21. Al momento de reclasificar un activo de información, el Propietario deberá hacerlo del conocimiento de todo usuario y/o custodio de los activos de información, a fin que sean ejecutados los respectivos cambios. A los efectos de esta normativa, se entiende por reclasificación la asignación de una nueva clasificación como consecuencia del cambio de los factores que determinaron su clasificación original, para lo cual de ser necesario el Propietario y/o Custodio deberán indicar debida y formalmente en el propio documento, la fecha vigente desde la cual se determina la reclasificación del activo.
Parágrafo Único: Todo activo de información físico o electrónico que sea reclasificado, deberá contar con la anulación de la identificación visual original y se identificará nuevamente como, “Reclasificado Estrictamente Confidencial”, “Reclasificación Confidencial”, “Reclasificado De Uso Interno” ó “Reclasificado De Uso Público”, según lo establecido por el Propietario, acompañado de la debida justificación inserta en el documento electrónico o físico.
CAPÍTULO V
DEL MANEJO DE LOS ACTIVOS DE INFORMACIÓN
De la Preparación, impresión, Reproducción y Remisión.
Artículo 22. La preparación, impresión, reproducción y remisión de documentos se llevará a cabo bajo el control y autorización del Propietario y/o Custodio, quien deberá asegurar que el personal que intervenga durante este proceso esté notificado en cuanto a su responsabilidad de salvaguardar los documentos, incluyendo el registro del manejo de copias impresas o reproducciones, así como de notas y/o correos electrónicos, de conformidad con las normativas legales o sublegales que se establezcan para tal fin.
Parágrafo Único: Los documentos clasificados como estrictamente confidencial o confidencial no deberán reproducirse salvo que sea necesario, en cuyo caso, deberá ser autorizado debida y formalmente por el Propietario y/o Custodio del activo de Información, para lo cual la Institución deberá establecer acuerdos de confidencialidad, a fin de regular el manejo del documento y número de copias autorizadas. Cada una de las copias emitidas deberá ser identificada y registrada por el Propietario.
Artículo 23. El Propietario deberá considerar las siguientes disposiciones en cuanto a la preparación, envío o remisión de documentos y/o materiales clasificados como Estrictamente Confidencial ó Confidencial.
-Toda correspondencia clasificada deberá ser entregada mediante memorando u oficio.
-El documento o material clasificado que se encuentre en forma física deberá colocarse dentro de dos (02) sobres opacos, con indicación de la dirección del destinatario y del remitente en ambos sobres.
-Debe indicarse la clasificación de seguridad del documento o material en el sobre a remitirse, a fin de darle el debido tratamiento al documento.
-Cuando se realice a través de medios electrónicos, éste debe efectuarse mediante la aplicación de mecanismos de cifrado establecidos por la Unidad Responsable de la Protección de los Activos de información o su equivalente, a fin de resguardar la confidencialidad e integridad de la información.
-Las informaciones, documentos y materiales clasificados “Estrictamente Confidencial” y “Confidencial”, serán distribuidos mediante la entrega personal, o mensajería.
Del Registro y Control
Artículo 24. El registro y control de los activos de información clasificados, será responsabilidad del Propietario, el cual deberá implementar los mecanismos necesarios para tal fin, según las instrucciones emitidas por la Unidad Responsable de la Protección de Activos de Información de la Institución o su equivalente.
Artículo 25. El control de los activos de información clasificados, será ejercido por el Propietario del activo de información, mediante:
1. La autorización, recepción, custodia y distribución de los activos de información.
2. La responsabilidad para la distribución de documentos y materiales clasificados corresponde al Propietario y/o Custodio del activo de información.
Artículo 26. El Propietario deberá hacer uso de los formatos de identificación visual de la información establecidos por la Unidad Responsable de la Protección de los Activos de información o su equivalente, de conformidad con las siguientes disposiciones:
1. Identificación Visual de Información electrónica:
-Se deberá identificar cada página del documento utilizando encabezado y pie de página, de manera que se conozca el nivel de clasificación del mismo cuando sea proyectado y/o copiado.
-Se deberán identificar de forma visible los dispositivos de almacenamiento periféricos y equipos que contengan información clasificada.
-La información electrónica almacenada en formatos de video, audio o cualquier otro similar, se deberá identificar al inicio y al final de la reproducción.
2. Identificación visual de información impresa: El tratamiento que se le da a estos activos de información, depende del material que se maneje, estos pueden ser:
-Documentos Encuadernados e Informes: Los espacios disponibles para identificar son la esquina derecha, la izquierda o en el centro de la parte superior de las tapas y en la primera página del documento.
-No encuadernado: Estos documentos se deben identificar en el margen derecho, izquierdo o en el centro de la parte superior de cada una de las páginas, así como el número de páginas totales del documento, de tal manera que sea siempre visible, aun cuando se archive.
-Mapas y Planos: Estos documentos se deben identificar debajo de la leyenda, título o escala.
-Folletos, libros y material semejante: Se identificarán tanto en la portada como en la contraportada del mismo.
De la protección y Archivo
Artículo 27. A los fines de la presente normativa, se emplearán los colores y las figuras geométricas para la identificación de la clasificación de los activos de acuerdo a la Tabla 2, que define los Colores y Figuras para la Clasificación de la Información (véase Anexo B).
Artículo 28. Para dar cumplimiento a lo expuesto en el artículo 25, los Propietarios y/o Custodios deberán considerar las siguientes medidas de protección y archivo de documentos clasificados como Estrictamente Confidencial ó Confidencial:
-Los Documentos impresos y/o materiales se deberán resguardar en cajas fuertes con cerraduras de combinación ó archivos normales que posean como mínimo gabinetes de seguridad de combinación o cerradura.
Los documentos electrónicos se deberán almacenar y/o resguardar en contenedores cifrados, de conformidad con las normativas legales o sublegales que se establezcan para tal fin.
Artículo 29. Es Responsabilidad del Propietario conjuntamente con la Unidad Responsable de la Protección de los Activos de información o su equivalente, la custodia de las combinaciones de las cajas fuertes, gabinetes o archivos que sean protegidos, las cuales deben ser colocadas en sobre debidamente sellado y resguardado en sitio seguro, de conformidad con la normativas legales o sublegales que se establezcan para tal fin.
Parágrafo Primero: El conocimiento que se tenga de una combinación será limitado a tres (03) personas, las cuales deben establecerse entre el Propietario, la Unidad Responsable de la Protección de los Activos de Información o su equivalente y un tercero acordado entre las partes.
Parágrafo Segundo: La Unidad Responsable de la Plataforma Tecnológica conjuntamente con la Unidad Responsable de la Protección de los Activos de Información o su equivalente, deberán establecer los mecanismos y procedimientos para la generación, actualización y custodia de las Claves de Máximo Privilegio, de conformidad con las normativas legales o sublegales que se establezcan para tal fin.
De la Destrucción
Artículo 30. Los Propietarios y/o Custodios de información clasificada previo a proceder a la destrucción de ésta cuando pierda vigencia y/o utilidad, deberán considerar los siguientes aspectos:
1. La destrucción de la información, documentos y materiales clasificados, deberá ser efectuada utilizando métodos que aseguren la completa eliminación física y electrónica del mismo:
-En los casos de documentos que se encuentren en forma física y/o materiales, clasificados como Estrictamente Confidencial y Confidencial, se deberá utilizar destructoras de papel o mecanismos que garanticen su completa destrucción.
-En los casos de documentos que se encuentren en forma electrónica, clasificados como Estrictamente Confidencial o Confidencial, se deberá utilizar la técnica o mecanismo establecido por la Unidad Responsable de la Protección de los Activos de Información o su equivalente.
2. La destrucción de información, documentos y materiales clasificados, deberá ser registrada, para lo cual el Propietario y/o Custodio deberán elaborar el reporte de destrucción correspondiente, indicando lugar y fecha donde se efectuó la destrucción, identificación del documento o material destruido, autoridad que aprueba la destrucción y la firma autorizada de quien lo solicita, así como cualquier otra información adicional que el Propietario considere incorporar.
CAPÍTULO VI
DE LAS NORMAS DE SEGURIDAD
Artículo 31. El Propietario deberá garantizar que los activos de información, se encuentren debidamente identificados con la clasificación: Estrictamente Confidencial, Confidencial, De Uso Interno y De uso Público a fin de resguardar la confidencialidad, integridad, y disponibilidad de los mismos.
Artículo 32. La información, documentos y materiales clasificados, sólo podrán, ser entregados a personas que se encuentren debida y formalmente autorizada por el Propietario y/o la Máxima Autoridad, y que tengan la necesidad de conocer de dicha información conforme al perfil y cargo que desempeñen en la institución.
Parágrafo Primero: La responsabilidad de determinar la necesidad que tenga un usuario de conocer alguna información para el desempeño de sus funciones, corresponderá al Propietario y/o Custodio del activo de información.
Parágrafo Segundo: El extravío de activos de información, deberá ser hecho del conocimiento del Propietario y/o Custodio del mismo de forma inmediata, por lo que el Propietario y/o Custodio del activo, deberá solicitar a la Unidad Responsable de la Protección de los Activos de información o su equivalente, la apertura de una investigación, a fin de establecer las responsabilidades pertinentes al extravío del mismo.
Artículo 33. El traslado de documentos clasificados como Estrictamente Confidencial fuera de las instalaciones de la institución, debe ser autorizado en caso de excepción o por prioridad de la institución; para lo cual el Custodio deberá ser autorizado debida y formalmente por el Propietario, y se suscribirá un acuerdo de confidencialidad que será avalado por la Unidad Responsable de la Protección de los Activos de Información o su equivalente.
CAPÍTULO VII
DISPOSICIONES FINALES
Artículo 34. Los Propietarios, usuarios y usuarias de activos de información de la Administración Pública Nacional, deberán dar estricto cumplimiento a la presente Normativa; sin perjuicio de las sanciones y medidas a que haya lugar de conformidad con las normativas legales y sublegales que regulen la materia, por el incumplimiento de las mismas.
Artículo 35. Las obligaciones contenidas en la presente normativa, serán exigibles y supervisadas por SUSCERTE, a partir de su entrada en vigencia. No obstante los sujetos aplicables dispondrán para adecuar sus activos de información en cumplimiento de lo previsto en la misma, de un lapso de un (01) año, desde la entrada en vigencia de la presente Providencia.
Artículo 36. La presente Providencia Administrativa entrará en vigencia a partir de la fecha de su publicación en la Gaceta Oficial de la República Bolivariana de Venezuela, de conformidad con lo previsto en el artículo 12º del Decreto Nº 6.217 con Rango, Valor y Fuerza de Ley Orgánica de la Administración Pública, publicado en la Gaceta Oficial Nº 5.890 Extraordinario del 31 de julio de 2008; en concordancia con lo previsto en los artículos 33º, 42º y 72º todos de la Ley Orgánica de Procedimientos Administrativos, publicada en la Gaceta Oficial Nº 2.818 Extraordinario del 1º de julio de 1981.
Anexo A
Importancia Económica | Importancia Política | Importancia Social | Imagen Pública | Importancia Estratégica | |
3 | Impacta de forma crítica la estabilidad económica de la institución. | Impacta de forma crítica la estabilidad política en el entorno gubernamental y su gestión. | Impacta de forma crítica y directamente en el clima de estabilidad social de la población. | Su divulgación impacta críticamente el prestigio de la institución e incide en los medios de comunicación del país. | Crítica y vinculante a las operaciones medulares del país. |
2 | Impacta de forma mediana la estabilidad económica de la institución. | Impacta medianamente la estabilidad política en el entorno gubernamental y su gestión. | Impacta indirectamente en el clima de estabilidad social de la población. | Su divulgación impacta moderadamente el prestigio de la institución e incide en los medios de comunicación del país. | No crítica, pero sí vinculante a las operaciones medulares del país. |
1 | Impacta de forma baja la estabilidad económica de la institución. | Impacta levemente la estabilidad política en el entorno gubernamental y su gestión. | Impacta directa o indirectamente el mantener un clima de estabilidad social en la población pero se puede manejar. | Su divulgación impacta levemente el prestigio de la institución sin incidir en los medios de comunicación del país. | Leve importancia estratégica y está directamente relacionada con las operaciones medulares del país. |
0 | No impacta de forma alguna la estabilidad económica de la institución. | No impacta de manera alguna la estabilidad del entorno gubernamental ni a su gestión. | No impacta directa o indirectamente con el clima de estabilidad social en la población. | Su divulgación no impacta el prestigio de la institución ni incide en los medios de comunicación del país. | Sin importancia estratégica o vínculo alguno con las operaciones medulares del país. |
Tabla 1. Guía rápida para la Clasificación de la Información
Anexo: B
Color | Figura Geométrica | Clasificación |
ROJO | Círculo | Estrictamente confidencial |
ANARANJADO | Pentágono | Confidencial |
AZUL | Cuadrado | De uso Privado |
VERDE | Triángulo | De uso público |
Tabla 2. Colores y figuras para la Clasificación de la Información
Comuníquese y Publíquese,
NIURKA HERNÁNDEZ
Superintendente
☞Visualiza la versión original publicada en la Gaceta Oficial de la República Bolivariana de Venezuela
El servicio de envío de los archivos de las Publicaciones Oficiales (Gaceta Oficial de la República, Gaceta Judicial, Gaceta Legislativa y Gaceta Electoral), está reservado exclusivamente a los Mecenas de Pandectas Digital, quienes gracias a su contribución, permiten que la visualización y consulta que estás haciendo de este documento sea de acceso público, libre y totalmente gratuita.
Te invitamos a que te conviertas tú también en Mecenas de este proyecto, y así podrás recibir en tu correo los archivos de las Publicaciones Oficiales que vayamos incorporando a nuestra compilación.
Visítanos en www.patreon.com/pandectasdigital para obtener toda la información sobre ésta y otras de las ventajas de convertirte en Mecenas.
Te invitamos a que te conviertas tú también en Mecenas de este proyecto, y así podrás recibir en tu correo los archivos de las Publicaciones Oficiales que vayamos incorporando a nuestra compilación.
Visítanos en www.patreon.com/pandectasdigital para obtener toda la información sobre ésta y otras de las ventajas de convertirte en Mecenas.