Clasificación de datos en un sistema de gestión de seguridad de la Información

Paso 1: Establecer las clases de seguridad 

Un ejemplo es la clasificación de confidencialidad de acuerdo a InfoSiG (Limitada, confidencial, secreto, Top secret). También existen clasificaciones según su propia definición:

• ABIERTO: La información que ha sido expresamente aprobada para su publicación (por ejemplo, leyes, Reglamento, comunicados de prensa, publicaciones, folletos promociónales, página web)
• CONFIDENCIAL: Información para el uso interno de la empresa y no existe  la intención de su publicación (por ejemplo, la correspondencia interna, directorios telefónicos internos , organigramas)
• SECRETO: La información cuya utilización indebida de la organización pueda causar daños significativos. (Por ejemplo, datos sobre ofertas, costos internos, planificación estratégica, ...)

La Disponibilidad de Sistemas y Aplicaciones también se pueden clasificar  en diferentes categorías según sus esquemas de operación 

1. Sin Precaución:  La falta de acceso por  un período indefinido no afectará el desempeño de las operaciones fundamentales (no crítico) 
2. Aseguramiento cuando no hay conexión: Medidas de seguridad, servicios contratados externamente, Reinicio de la aplicación después de la reparación de los daños del sistema original.
3. Infraestructura redundante:  En el caso de que un dispositivo falle hay continuidad del servicio o la operación sin interrupción.
4. Redundancia en el lugar de Ubicación: redundancia de la infraestructura, sistemas y aplicaciones para reanudar el funcionamiento total en caso de una interrupción

Paso 2: Definir las responsabilidades y Métodos

• ¿Quién es responsable de la clasificación?
• ¿Cuáles son los criterios para clasificar?
• ¿Cuándo y por quién van a ser desclasificados los datos?

Paso 3: Reglas para tratar Información clasificada

• Identificación de la información clasificada (electrónica o no electrónica) 
• Almacenamiento de información clasificada ( Permisos de acceso y algunos  requisitos para aplicar Criptografía)
• Transmisión de información clasificada (Sobre que canales de comunicación,   las reglas de cifrado)
• Forma en que se presenta la información clasificada (Archivos de solo lectura, permisos de modificación o impresión, a quien se le conceden tales permisos y a quien se le restringen)
• Copia de seguridad (texto, cifrados, la protección de los dispositivos donde se almacenan las copias de seguridad)
• Almacenamiento / recuperación / destrucción de los discos con información clasificada
• Divulgación de información clasificada (de quién, por quién, en qué condiciones) 
• Desclasificación de la información clasificada (cuándo, por quién)

Si tienes información adicional sobre este tema, tus comentarios o links de referencia son bienvenidos.