renap · 2018-04-21 · ... bases de datos, contratos, ... la evaluación de impacto, se obtiene...
TRANSCRIPT
RENAP
Licenciado
Dante Antonio Ávalos AguílarDirector de Gestión y Control Interno
Registro Nacional de las Personas -RENAP-Presente
Licenciado Ávalos:
DIRECCIÓN EJECUTIVA
Ref. DE-3204-2015
Guatemala, 14 de diciembre de 2015
Kfejgisiro Nacional de las Personas^RENAP
irzinmnr;:^
TOLINTERNORbCCiOH OL^
•Hora. /O'OO
Adjunto al presente se remite la "Guía para la Clasificación de la Información", el cual setraslada debidamente firmado por las áreas correspondientes y aprobadas por esteDespacho para que continúe con la divulgación e implementación del mismo.
Atentamente,
cx- Archivo
RLGR/alsc
Adjunto 01 Folder
Lic. Ru^ Leon^ Gallardo RosalesDirecto/r Ejecutivo
RENAP
Calzada Rooseveit 13-46, zona 7
3 Nivel Edificio RENAP CENTRAL
PBX 2416-1900 CALI CENTER: 1516 www renap gob gt
APROBACIÓN
In^Jose Jpr^e Afre Franco'efe de Píanifi'cásión yOrganización
de Geslión yCoÁt(0 InlernoSetísCentra! RSNAP Cü3*sfn¿^r£iiatemala
DIRECCIÓN EJECUTIVA
DTA-GUI-02-15
Registro Nacional de ios Personas
GUÍA PARA LA CLASIFICACIÓN DE LAINFORMACIÓN
Septiembre 2015
aA
Departamentgji^^anificacióny Organización 1
M.A. Antonio Avalos AguilarDireótbr tíá Gestión y Control Interno
'̂3d9 Cenírsf RENAP Gusfema/a, Guafemeía
ona^^^stión y Control Interno
B director ^'̂.'ECUTIVO V
osevelt 13-46, zona 7
GUÍA PARA LA CLASIFICACIÓN DE LA INFORMACIÓN
Introducción
Contenido
Septiembre 2015
Versión 1
Página 2 de 10
II. Objetivo del Documento 3
III. Activo de información 3
IV. Campo de Aplicación 4
V. Base Legal 4
VI. Monitoreo y seguimiento 4
Vil. Instrucciones 4
1. Inventario de activos de información 4
2. Tipo de activos 5
3. Información Pública y No Pública 6
4. Clasificación de los activos de información 6
5. Probabilidad (P) 6
6. Factores de impacto (I) 6
7. Evaluación de impacto del activo de información
Anexo 1 Formato de Activos de información 8
Anexo 2 Tabla Clasificación de la Información 9
Control de Cambios 10
GUÍAPARA LACLASIFICACIÓN DE LAINFORMACIÓN Septiembre 2015
Versión 1
Página 3 de 10
I. Introducción
El Registro Nacional de las Personas -REMAR-, cumpliendo con su visión de prestar servicio de
alta calidad y resguardo de la información de los ciudadanos como un activo valioso, utiliza el
Sistema de Gestión de la Seguridad de la Información -SGSI- IS027001:2013 para la
clasificación de la información, de acuerdo al nivel de sensibilidad de los activos de información
que son propiedad de la Institución, por lo anterior toda la información creada, procesada y
transmitida dentro y fuera del REMAR debe cumplir con las medidas de seguridad
correspondiente, para mitigar la probabilidad de pérdida o daño de acuerdo al impacto.
II. Objetivo del Documento
Proveer un documento técnico-administrativo que cumpla con los requerimientos establecidos en
la Norma ISO 27001:2013, en el cual se definen los criterios, esquemas de clasificación,
procedimientos y grado de protección para el manejo de activos de la información, así como las
medidas especiales necesarias para los diferentes grados de sensibilidad de la información;
garantizando así la confidencialidad, integridad y disponibilidad de la información en el proceso
de "Registro de Inscripción de Nacimientos Universal y Oportuno".
III. Activo de información
Se entiende por activo de información, todo lo que para la Institución representa valor y por ende
se debe proteger para evitar deterioro o pérdida antes, durante y después de su utilización;
cumpliendo de esta manera con la confidencialidad, integridad y disponibilidad de la información.
Los activos de información se encuentran básicamente en ficheros, bases de datos, contratos,
acuerdos, documentación del sistema, manuales técnicos-administrativos, material de formación,
capacitación, aplicaciones, software del sistema, equipos informáticos, equipo de
comunicaciones, servicios informáticos y de comunicaciones, así como también en el fondo
documental (libros registrales y documentos de atestados) que maneja el Registro Central de las
Personas y en el recurso humano de la Institución, que tiene contacto con los activos de la
información al momento de generar, procesar, trasmitir información de acuerdo a los roles y
responsabilidades.
Elaborado por: ^ Revisado por: Revisado por:
d«PianiKca^lón yOrjániucldn
JeEe do^nlficadón yOrganitación Director de Gestito y Contri :
Interno'
GUÍAPARALACLASIFICACIÓN DE LAINFORMACIÓN Septiembre 2015Versión 1
Página 4 de 10
IV. Campo de Aplicación
La presente guía será de aplicación y observancia obligatoria para todos los trabajadores que
laboran en el RENAP, a excepción de la Unidad de Auditoría Interna, la cual se basa de
conformidad con las Normas de Auditoría Gubernamental.
V. Base Legal
• Decreto número 90-2005 del Congreso de la República de Guatemala, Ley del Registro
Nacional de las Personas y sus reformas.
• Acuerdo de Directorio No. 51-2014, Reglamento Interior de trabajo del Registro Nacional
de las Personas -RENAP-.
• Decreto número 57-2008 del Congreso de la República de Guatemala, Ley de Acceso a
la información Pública.
VI. Monitoreo y seguimiento
Para garantizar la vigencia y efectividad del documento, cada Director que pertenece al RENAP,
debe mantener un proceso constante de revisión y solicitar la actualización oportuna para
realizar la inclusión de ajustes y modificaciones que se consideren pertinentes, debiendo
efectuarse cada vez que la guía establecida lo requiera.
Vil. Instrucciones
1. Inventario de activos de información
Cada Director del RENAP, deberá coordinar la clasificación de todos los activos de información
que tienen a su cargo, mediante "Formato de activos de información" {Anexo 1), en el cual se
debe detallar toda información que facilite su recuperación ante cualquier eventualidad. El
inventario de activos de información debe tener en cuenta que la propiedad y la clasificación de
la información, debe estar definida y documentada considerando los criterios:
Elaborado por:
(Oepartamei
O^ntiatUn
Revbado por:
Jefede PlanlÓcaÜón yOrganiiaclún:.
Remado por:
DIreaor de Cestlto f^ontr^interno
Apresado por
—
.jDirect^XIecirttvó
GUÍA PARA LA CLASIFICACIÓN DE LA INFORMACIÓN
• Confidencialidad
• Disponibilidad
• Integridad
• Legal
Ver Anexo 2 "Tabla para la clasificación de la Información'
2. Tipo de activos
Los tipos de activos que existen en el RENAP son:
a. Información:
a.1. Libros regístrales.
a.2. Documentos de atestados.
a.3. Contratos.
a.4. Acuerdos.
a.5. Documentos Técnico-Administrativos.
a.6. Documentos de correspondencia.
b. Software:
b.1. Apllcativos y sistemas operativos.
b.2. Bases de datos.
b.3. Licencias de software.
b.4. Libro virtual de Imágenes,
o. Activos físicos:
C.1. Equipo de cómputo.
C.2. Equipo de comunicaciones.
C.3. Dispositivos removióles,
d. Servicios:
d.1. Telecomunicaciones, energía eléctrica y aire acondicionado.
d.2. Personas, su calificación y habilidades.
Septiembre 2015
Versión 1
Página 5 de 10
Elaborado poi Ravisado por: Revteado por: Aprobado pon
St^^mentodaPtaiOficAyón y|:OrganlM^n'
jlj^deManifiad^iyOrganltacíún : OIractor deGestión yControlInterno
^ Director E^irtfw
GUÍA PARA LA CLASIFICACIÓN DE LA INFORMACIÓNSeptiembre 2015
Versión 1
Página 6 de 10
3. Información Pública y No Pública
La Constitución Política de la República de Guatemala y el Decreto número 57-2008 del Congreso
de la República de Guatemala "Ley de Acceso a la Información Pública", establece en su artículo1, numeral 6"Garantizar que toda persona tenga acceso a los actos de la administración pública".Por lo anterior, la información No Pública es todo el registro de las personas naturales que elRENAP como entidad autónoma, tiene a bien organizar y mantener dentro del marco legal.
4. Clasificación de los activos de información
Cada Director, deberá coordinar la clasificación de los activos de acuerdo a los criterios:Confidencialidad, Disponibilidad, Integridad y Legal que para la Institución representan riesgo.
5. Probabilidad (P)
Los activos de la información dados de alta deberán tener un análisis previo, basado en
antecedentes de pérdida o daño ocasionados a la Institución desde su formación o bien,considerar las amenazas que existen en el entorno. Los parámetros para ponderar la probabilidad
de pérdida o daño son: 1 Rara vez, 2 Poco probable, 3 Moderado, 4 Probable, 5 Casi cierto.
6. Factores de impacto (I)
Para los factores de impacto, se le asigna un valor a cada activo de la Información, de acuerdo a
la importancia que tiene para la Institución, basado en el impacto que tendrá el evento: 1 Nulo, 2Bajo, 3 Medio, 4 Alto, 5 Muy alto.
Para la clasificación de los activos, se deben considerar tanto el impacto que pueden sufrir los
activos de información, así como de la probabilidad de ocurrencia del evento que ponga en riesgo
la información de la Institución, por lo anterior se presenta la siguiente matriz en el cual se
presenta la metodología para la clasificación:
Impacto
Probabilidad
Muvbaio Baio Medio Alto Muy alto
1 2 3 4 5
Rara vez 1 Verde Verde Verde Amarillo Amarillo
Poco probable 2 Verde Verde Amarillo Amarillo Rojo
Moderado 3 Verde Amarillo Amarillo Amarillo Roio
Probable 4 Verde Amarillo Amarillo Roio Roio
Casi cierto 5 Amarillo Amarillo Rojo Rojo
% .DepartameM^e Plantflca^nyOrganitaclófl
Jefe de PtanMcaddn y Organitación Director de Gestión y ControlInterno
: Director Ejecutivo
GUÍAPARA LACLASIFICACIÓN DE LAINFORMACIÓN Septiembre 2015Versión 1
Página 7 de 10
7. Evaluación de Impacto del activo de información
La evaluación de impacto, se obtiene utilizando la formula de Riesgo, multiplicando la
Probabilidad x el Impacto, posteriormente se procede con la suma de cada uno de los valores
obtenidos, el cual debe tener una distribución equivalente a los criterios establecidos.
Como ejemplo de lo anterior, se presenta la evaluación de un activo de la información de los
"Documentos atestados":
Tipode Activo; Información Responsable del activo:
Descripción del Documentos atestados Información; Confidencial
Área del Registro Central de las personas Almacenamiento:
Criterio Probabilidad ¡PJ* Factores de Impacto j íEvaluadóndel impacto (Px1)
Confiabilidad 5 4 20
Integridad 5 4 20
Disponibilidad 3 2 6
Legal 5 5 25
Suma Evaluación de Impacto Rlesgo)/Crlterios 18
tyaípf delActivo Rango del Impacto Clasificación
Bajo 1-4 Información Pública
Medio 5-12 Uso Interno
Alto 13-25 Confidencial
Rango del Impacto 18
Valor del Activo Alto
Clasificación Confidencial
*1 Rara vez, 2 Poco probable, 3 Moderado, 4 Probable, 5 Casi cierto.** 1 Nulo, 2 Bajo, 3 Medio, 4 Alto, 5 Muy alto.
Para este ejemplo, el resultado de la evaluación del impacto "18", significa que la probabilidad de
pérdida del activo de información "Documentos atestados" representa un valor "Alto" para el
Registro Central de las Personas, por lo tanto la etiqueta de acuerdo a su clasificación es
"Confidencial".
Nota: Se debe tomar en cuenta que la evaluación del impacto, debe ser clasificado por cada activo de
información dado de alta.
Elaborado por
Departamento deMañiftc^iún yOrganluctófl
Revisado por:
Jefe de Pianiflcadón y Organlzacidn
Revisado por:
Directorde GestkSn y Contribktemo
Aprobado por:
DiAietorEjecutivo:
GUÍAPARA LACLASIFICACIÓN DE LAINFORMACIÓN
Anexo 1 Fonnato de Activos de información
Formato de activos de información
Sistema de gestión de seguridad de información180 27001:2013
SEDE/OFICINA:
Septiembre 2015Versión 1
Página 6 de 10
REJNAR
No. CódigoDescripción 'del activo
Tipo Almacenamiento::: Responsable
^del activo
Puesto delresponsable
Area delresponsable
Valor
del
Activo
Clasiflcaclón
1
2
3
4
5
6
7
6
9
10
11
12
13
14
Elaborado por:
Departamentcrde PlanlAcaíldnyOrganización
NOMENCLATURA
No. Código Activos de información
1 LR Libros regístrales
2 DA Documentos atestados
3 CO Contratos
4 AC Acuerdos
5 BD Bases de datos
6 •TA Documentos Técnico-Administrativos
7 MNP Manual de Normas y Procedimientos
8 POL Políticas
9 PRO Protocolos
10 GA Guías Administrativa
11 DDC Documentos de correspondencia
12 OF Oficios
13 CIR Circulares
14 ME Memorandos
15 PROV Providencias
16 CDO Control de oficios
17 MA Marginados
18 MES Memoriales
19 LE Leyes
20 RE Reglamentos
21 DE Decretos
Revisado por:
: Jefe de Planificación y Organización
Revisado por:
Director de Gestite yControlItitemo
Aprobado por
#=3
pirectóf EJectifiwó
GUÍA PARA LACLASIFICACIÓN DE LA INFORMACIÓN
Anexo 2 Tabla Clasificación de la Información
Septiembre 2015Versión 1
Página 9 de 10
Criterio Identificador Impacto Especificación del Criterio
Confiabilidad
Nulo El conocimiento o divulgación no autorizada de la información que gestiona este activo noimpacta negativamente a la Institución.
2 8ajo El conocimiento o divulgación no autorizada de la información que gestiona este activoimpacta negativamente al proceso evaluado.
3 Medio El conocimiento o divulgación no autorizada de la información que gestiona este activoimpacta negativamente no sólo el proceso evaluado sino otros procesos de la Institución.
4 Alto El conocimiento o divulgación no autorizada de la información que gestiona este activoimpacta negativamente a la Institución.
5 Muy alto Sí se compromete el activo o no se encuentra disponible, se perderá la confidencialidad delos ciudadanos.
Integridad
NuloLa pérdida de exactitud y estado completo del activo no impacta negativamente en elproceso.
2 BajoLa pérdida de exactitud y estado completo del activo impacta negativamente al procesoevaluado.
3 Medio La pérdida de exactitud y estado completo del activo impacta negativamente no sólo elproceso evaluado sino otros procesos de la Institudón.
4 Alto La pérdida de exactitud y estado completo del activo impacta negativamente la prestacióndel servicio a los ciudadanos.
5 Muy alto El activo de información es de interés público v muy difícilmente se podría recuperar.
Disponibilidad
NuloLa falta o no disponibilidad del activo de información no ímpacta negativamente a laInstitución.
2 BajoLa falta o no disponibilidad del activo de información impacta negativamente al procesoevaluado.
3 Medio La falta o no disponibilidad del activo de información impacta negativamente no sólo elproceso evaluado sino otros procesos de la Institución.
4 Alto La falta o no disponibilidad del activo de infonnación impacta negativamente la prestacióndel servido a los dudadanos o impacta negativamente a la Institudón.
5 Muy alto Intervención de la Institución por incumplimiento, derivado de ta falta de disponibilidad oafectación del activo.
----- •' • , . . ,,,
Legal
1 Nulo La Institución no se ve afectada si el activo no se encuentra disponible
2 Bajo Si ios usuarios se ven afectados por la disponibilidad o afectadón del activo, pero nosobrepasan ios umbrales estableddos.
3 Medio Existen quejas de parte de los dudadanos, derivadas de la disponibilidad y afectadón delactivo de información
4 AltoExisten denuncias ante autoridades, derivadas de la disponibilidad o afectadón del activode información.
5 Muy alto Intervención de la Institudón por incumplimiento, derivado de ta falta o afectación del activo.
Elaborado por; . Ravbado por;
/
Rtvtoado por;
1 I
Departamento 4a ^nlfwaclón yOffinbatiófl
iefe de Plantficadón y Organizácidn Diroctorde Gestión yControibitemo
. . 1 Plr^&otJiecutha»--''' ^i