La Política de clasificaciones de seguridad del gobierno (GSCP) es un sistema para clasificar datos gubernamentales confidenciales en el Reino Unido .
Históricamente, los organismos gubernamentales del Reino Unido utilizaban el Sistema de Marcado Protector del Gobierno , que dividía los datos en NO CLASIFICADOS, PROTEGIDOS, RESTRINGIDOS, CONFIDENCIALES, SECRETOS y ALTO SECRETO. Este sistema fue diseñado para registros en papel, no se adapta fácilmente al trabajo gubernamental moderno y no es ampliamente comprendido. [1]
El GSCP utiliza tres niveles de clasificación: OFICIAL, SECRETO y ALTO SECRETO. [2] Este es un modelo más simple que el antiguo y no existe una relación directa entre las clasificaciones antigua y nueva. El término "sin clasificar" se omite deliberadamente en el nuevo modelo. No se espera que los organismos gubernamentales remarquen automáticamente los datos existentes, por lo que puede haber casos en los que las organizaciones que trabajen con el nuevo sistema aún gestionen algunos datos marcados según el sistema antiguo.
Los propietarios de activos de información siguen siendo responsables de la información. La nueva política no especifica requisitos de seguridad informática específicos: los sistemas informáticos deben construirse y utilizarse de acuerdo con las directrices existentes de CESG . [3]
Todos los que trabajan con el gobierno, incluidos contratistas y proveedores, son responsables de proteger la información con la que trabajan, independientemente de si tiene una marca protectora.
La agregación no desencadena automáticamente un aumento de la clasificación de protección. Por ejemplo, una base de datos con miles de registros que son individualmente OFICIALES no debería reetiquetarse como base de datos SECRETA. En cambio, se espera que los propietarios de la información tomen decisiones sobre los controles en función de una evaluación de riesgos y que consideren qué es la información agregada, quién necesita acceder a ella y cómo.
OFICIAL incluye la mayoría de los datos del sector público, incluida una amplia gama de información sobre las actividades diarias del gobierno. No está sujeto a ningún riesgo especial. Los datos personales normalmente serían OFICIALES. [4] Los datos deberían estar protegidos por controles basados en las mejores prácticas comerciales en lugar de tecnología especializada costosa y difícil y burocracia. No existe ningún requisito para marcar todos los documentos como "OFICIAL"; se entiende que esta es la opción predeterminada para los documentos gubernamentales. [5]
Las organizaciones pueden agregar "descriptores" para destacar tipos particulares de datos oficiales, por ejemplo, información comercial sensible sobre contratos o datos diplomáticos que no deben ser vistos por el personal de la embajada contratado localmente. Estos descriptores no requieren automáticamente controles especiales. "OFICIAL" generalmente incluirá los tipos de datos que anteriormente estaban SIN CLASIFICAR, RESTRINGIDOS o CONFIDENCIALES; pero esto puede variar.
El modelo de amenaza para los datos OFICIALES es similar al de las grandes organizaciones del sector privado; prevé que piratas informáticos individuales, grupos de presión, delincuentes y periodistas de investigación podrían intentar obtener información. El modelo de amenaza no garantiza protección contra ataques muy persistentes y hábiles, por ejemplo, por parte de grupos del crimen organizado o de gobiernos extranjeros; estos son posibles, pero los controles normales los harían más difíciles y unos controles mucho más estrictos serían desproporcionados. Las personas con acceso rutinario a información OFICIAL deberían estar sujetas a la evaluación del BPSS .
OFICIAL puede incluir datos que estén sujetos a requisitos regulatorios separados, como la Ley de Protección de Datos (datos personales) o PCI DSS (pagos con tarjeta).
OFICIAL-SENSITIVE es una advertencia adicional para los datos OFICIALES en los que es particularmente importante hacer cumplir las reglas de necesidad de conocer . Los documentos OFICIALES-SENSITIVE deben marcarse, pero no necesariamente se les hace un seguimiento.
No es una clasificación. [6] 'Sensible' es una advertencia de manejo para un pequeño subconjunto de información marcada como OFICIAL que requiere un manejo especial por parte del personal.
"Información muy sensible", que podría (por ejemplo) perjudicar gravemente la defensa nacional o las investigaciones criminales. Los datos sólo deben marcarse como SECRETOS si el Responsable de Riesgos de Información (que es un puesto de nivel directivo en una organización) está de acuerdo en que son de alto impacto y que los datos deben protegerse contra atacantes muy capaces. Aunque se puede utilizar alguna tecnología especializada para proteger los datos, todavía se hace mucho hincapié en la reutilización de herramientas de seguridad comerciales.
SECRETO es un gran paso adelante respecto a OFICIAL; se advierte a los organismos gubernamentales que no sean demasiado cautelosos y apliquen reglas mucho más estrictas cuando OFICIAL sería suficiente.
Las personas que tienen acceso habitual a información SECRETA normalmente deben contar con autorización de la Corte Suprema . Los datos SECRETOS suelen estar exentos de la divulgación conforme a la Ley de Libertad de Información (FOIA) .
Datos con niveles de impacto excepcionalmente altos; su vulneración tendría consecuencias muy graves (por ejemplo, muchas muertes). Esto requiere un nivel de protección extremadamente alto y se espera que los controles sean similares a los que se utilizan en los datos "Top Secret" existentes, incluidos los productos aprobados por el CESG. Se puede tolerar muy poco riesgo en TOP SECRET, aunque ninguna actividad está completamente libre de riesgos. [7]
Las personas que tienen acceso habitual a información TOP SECRET normalmente deberían tener autorización DV . Se supone que la información TOP SECRET está exenta de la divulgación de la FOIA . Se supone que la divulgación de dicha información está por encima del umbral para el procesamiento de la Ley de Secretos Oficiales . [8]
Las instrucciones especiales de manipulación son marcas adicionales que se utilizan junto con una marca de clasificación para indicar la naturaleza o la fuente de su contenido, limitar el acceso a grupos designados y/o indicar la necesidad de medidas de manipulación mejoradas. Además de un párrafo cerca del comienzo del documento, las instrucciones especiales de manipulación incluyen descriptores, palabras clave, prefijos y advertencias nacionales. [2]
Un DESCRIPTOR se utiliza con la clasificación de seguridad para identificar ciertas categorías de información sensible e indica la necesidad de tomar precauciones de sentido común para limitar el acceso. Los descriptores normales son 'COMERCIAL', 'LOCSEN' y 'PERSONAL'. [2]
Una palabra clave es una palabra única expresada en letras MAYÚSCULAS que sigue la clasificación de seguridad para brindar protección a un activo o evento en particular. Por lo general, solo se aplican a activos SECRETOS y ALTO SECRETO. [2]
El prefijo UK se añade a la clasificación de seguridad de todos los activos enviados a gobiernos extranjeros u organizaciones internacionales. Este prefijo designa al Reino Unido como el país de origen y que se debe consultar al Gobierno británico antes de cualquier posible divulgación. [2]
Las advertencias nacionales se ajustan a la clasificación de seguridad. A menos que se indique explícitamente, la información que lleva una advertencia nacional no se envía a gobiernos extranjeros, contratistas extranjeros, organizaciones internacionales ni se divulga a ningún ciudadano extranjero. [2] Ejemplo
Con excepción de las embajadas y misiones diplomáticas británicas o las unidades o establecimientos de servicio, los activos que llevan la advertencia nacional UK EYES ONLY no se envían al exterior. [2]
Al igual que en el modelo GPMS anterior, la elección de la clasificación se relaciona únicamente con la confidencialidad de los datos. Sin embargo, a diferencia del modelo anterior, el GSCP no considera las consecuencias de una vulneración como el factor principal, sino que se basa en la capacidad y la motivación de los posibles actores amenazantes (atacantes) y la aceptabilidad de ese riesgo para la empresa.
Cuando se considera que un atacante capaz y motivado, como un servicio de inteligencia exterior o un grupo delictivo grave y organizado, está dentro del alcance de los datos que se van a clasificar, la empresa debe aceptar implícitamente este riesgo para clasificar los datos como OFICIALES. Si no acepta este riesgo o no puede hacerlo, debe considerar al menos inicialmente que los datos son SECRETOS, aunque más adelante se puede reducir su categoría a OFICIALES o aumentarla a ALTO SECRETO cuando también se consideren las consecuencias de una vulneración.
La implicación de este enfoque y la naturaleza binaria de determinar si un riesgo de atacantes capaces y motivados es aceptable o no, significa que los datos no pueden progresar fácilmente a través del GSCP de manera lineal como lo hacían a través de GPMS.
Esta es una complejidad que a menudo se pierde en los propietarios de activos de información que anteriormente estaban acostumbrados a la estructura jerárquica estrictamente ascendente de GPMS (por ejemplo, NO CLASIFICADO, PROTEGIDO, RESTRINGIDO, CONFIDENCIAL, SECRETO, ALTO SECRETO).
Por el contrario, los datos GSCP comienzan con una clasificación OFICIAL O SECRETA dependiendo de la naturaleza de la amenaza y su aceptabilidad para el negocio, y luego avanzan hacia arriba o hacia abajo según las consecuencias del compromiso.
Los datos OFICIALES pueden por tanto alcanzar el nivel de ALTO SECRETO, pero no pueden ser SECRETOS a menos que se revise el riesgo previamente aceptado para un atacante capaz.
Los datos SECRETOS pueden reducirse a OFICIALES cuando no se pueden identificar consecuencias graves de una posible violación, o SECRETOS también pueden ascender a ALTO SECRETO si pudieran surgir consecuencias graves.
Los niveles de impacto también consideran la integridad y la disponibilidad, pero el sistema de Niveles de Impacto Empresarial (BIL) de CESG también está bajo revisión y en la mayoría de los contextos prácticos ahora ha caído en desuso.
Por lo tanto, ya no es estrictamente el caso que cuanto mayores sean las consecuencias si la confidencialidad de los datos se viera comprometida, mayor sea la clasificación, ya que los datos con un alto impacto (incluido el material que podría resultar en una amenaza para la vida) aún pueden clasificarse como OFICIALES si el propietario de la empresa en cuestión cree que no es necesario protegerlos de un atacante que tenga las capacidades de un Servicio de Inteligencia Exterior o del Crimen Grave y Organizado.
Por el contrario, algunos datos con consecuencias mucho menores (por ejemplo, investigaciones policiales en curso sobre un grupo criminal o información de inteligencia relacionada con posibles procesamientos) pero que la empresa no aceptará que un atacante los vulnere, podrían clasificarse como SECRETOS.
Las directrices emitidas en abril de 2014 en el momento de la implementación del GSCP y aún disponibles en las fuentes de Gov.UK [9] sugerían que los sistemas de información del Gobierno del Reino Unido seguirían estando acreditados como antes, normalmente utilizando las Normas de Garantía de la Información 1 y 2 de CESG . Sin embargo, esto se ha ido descartando progresivamente a través de las declaraciones en blogs de GDS y NCSC desde mayo de 2014 y la propia norma IS1 y 2 ya no se mantiene ni es obligatoria. La acreditación también ha sido reemplazada en gran medida por modelos alternativos de garantía alineados con diversas prácticas comerciales.
El informe de la NAO "Protección de la información en todo el gobierno" (septiembre de 2016) fue un tanto crítico con el paso a este modelo y la adopción del GSCP en general [10].
Las directrices publicadas existentes continúan sugiriendo que los medios de almacenamiento que contienen datos del gobierno del Reino Unido aún deben destruirse o purgarse de acuerdo con la Política HMG IA No. 5 , sin embargo, la terminología en esta guía y otro material no se ha actualizado completamente para reflejar los cambios de las marcas de protección GPMS a las clasificaciones GSCP y, como tal, su valor ahora se puede decir que está algo reducido como estándar publicado.
Las clasificaciones más altas todavía tienden a requerir una verificación de personal más estricta .
La Política de clasificación de seguridad del Gobierno se completó y publicó en diciembre de 2012; con el tiempo se desarrollaron orientaciones adicionales y procesos de apoyo. La política entró en vigor el 2 de abril de 2014. Los procedimientos de contratación pública tuvieron en cuenta la nueva política a partir del 21 de octubre de 2023, de modo que se pudieran tener en cuenta los nuevos requisitos de seguridad en los contratos adjudicados a partir de esa fecha. [11]