Detalle de la norma IG-5-2012-AFIP
Instrucción General Nro. 5 Administración Federal de Ingresos Públicos
Organismo Administración Federal de Ingresos Públicos
Año 2012
Asunto Clasificación de la información obrante en las bases de datos Afip
Detalle de la norma

                                                           

 

                                                             BUENOS AIRES,  20 de noviembre de 2012    

 

 

Asunto: Clasificación de la Información obrante en las bases de datos de la AFIP.

 

 

 

 

A.            INTRODUCCIÓN

 

Ante las necesidades de constante aseguramiento de la información administrada por el Organismo y como parte del proceso continuo del mejoramiento de los niveles de seguridad, resulta necesario proceder a  la clasificación de los datos, estableciendo pautas y procedimientos para cumplir con dicha finalidad.

 

Dicha clasificación deberá ser efectuada de acuerdo a su criticidad y sensibilidad y al riesgo potencial que dicha información sea modificada o accedida o utilizada indebidamente, o bien que no se encuentre disponible.

Esta clasificación además resulta necesaria para una posterior toma de acciones sobre los controles internos para la protección, la retención y destrucción de la misma.

 

 

B.            OBJETIVOS

 

I.                 Establecer los lineamientos que permitan establecer la clasificación y el rotulado de los datos obrantes en las bases de datos Institucionales del Organismo, con su grado de reserva, criticidad y valor.

C.            ALCANCE y AREAS INTERVINIENTES

 

II.              La presente Instrucción General será de aplicación para toda la información almacenada, procesada o a procesar que deberá ser clasificada por los Definidores de Procesos y Sistemas, de acuerdo con su grado de criticidad.

Esta clasificación se basará en el análisis de los riesgos asociados a la divulgación, exposición a la pérdida, o alteración indebida de la información y al valor estratégico de la misma para la Organización, contemplando los aspectos legales y normativos vigentes, permitiendo posteriormente adoptar  las medidas de protección que resulten menester.

Para la realización de dicha tarea se aprueban los lineamientos establecidos como Anexo I: “PAUTAS PARA LA CLASIFICACIÖN DE LA INFORMACIÓN”, el cual forma parte de esta Instrucción General.

 

 

III.           La presente Instrucción General tiene cumplimiento obligatorio y su observancia es responsabilidad de todas las jefaturas de unidades de estructura que se encuentren involucradas.

IV.            Es obligación de las indicadas jefaturas la notificación de la presente, por escrito, a todo el personal a su cargo cualquiera fuese su condición laboral frente a la Administración Federal.

V.                En caso de detectarse situaciones o acciones que impidan el cumplimiento de la presente Instrucción General o se verifiquen irregularidades en la operatoria establecida, tales eventos serán puestos de inmediato en conocimiento de la Superioridad, mediante notificación fehaciente, sin perjuicio de la adopción de medidas correctivas y sancionatorias que correspondieran.

VI.            La presente Instrucción General se encuentra alineada al Manual de Políticas de Seguridad aprobado mediante la Disposición 76/05 (AFIP), especialmente en lo referido a Protección de la información contra el uso no autorizado.

VII.         Se faculta a la Subdirección General de Sistemas y Telecomunicaciones a dictar circulares aclaratorias y la actualización de los procedimientos conexos a la presente Instrucción General.

 

 

D.            PROCEDIMIENTO

 

I. En un plazo de ciento ochenta (180) días desde el momento de publicación de la presente, las áreas definidoras de sistemas y procesos de información, en forma conjunta con las áreas que desarrollan los mismos, deberán realizar un inventario para identificar en cada instancia de base de datos, las tablas que componen cada sistema como sus campos.

II.                Como parte de esta tarea se deberán rotular: a cada uno de los sistemas y transacciones que se corresponden a cada tabla, cuales son las áreas que intervienen, así como la descripción de cada componente del inventario de la base de datos, a modo de conformar un diccionario de datos, con la información previamente descripta. Quedarán excluidos las tablas y/o campos que resulten auxiliares de cada sistema o que no representan información en sí misma.

III.              A partir de la finalización del inventario descripto, y en un plazo no superior a los ciento ochenta (180) días desde el momento de publicación de la presente, las áreas definidoras de sistemas y procesos de información deberán realizar la clasificación de la información contenida en las distintas instancias de la Base de Datos, que consideren “Confidencial” o “Restringida de Riesgo Alto”, de acuerdo a las pautas que se indican en el Anexo I de la presente. Para el resto de la información se dispondrá de un plazo de trescientos sesenta días (360) para completar la clasificación.

IV.              Durante el período que demande la tarea del apartado III, deberá informar mensualmente el avance de la misma a la Subdirección General de Sistemas  y Telecomunicaciones y a la Subdirección G eneral de Auditoría Interna. En dicho lapso además deberán clasificarse las transacciones y sistemas que se encuentran implementadas de acuerdo al nivel establecido.

V.                 La tarea indicada en los puntos precedentes se realizará con una herramienta dispuesta para tal fin, por el Departamento de Arquitectura Informática de la Dirección de Infraestructura Tecnológica.

VI.              Cuando, debido a condiciones tecnológicas o de aplicación, la normalización demande un plazo superior al instruido, se procederá a clasificar a la información “no clasificada” como restringida de nivel alto, debiendo el área responsable requerir formalmente una prórroga al Comité de Seguridad de la Información, con su respectiva justificación, informando el plan detallado para la normalización.

VII.            Todas las tareas indicadas en la presente requieren que las áreas responsables efectúen revisiones periódicas y el mantenimiento actualizado de los niveles establecidos.

VIII.         Desde la fecha de publicación de la presente Instrucción General, y en forma previa a puesta en producción de nuevas tablas, campos, sistemas y transacciones,  deberá darse cumplimiento al procedimiento descripto en el punto D.

 

E.            PUBLICACIÓN

 

I.                   La presente Instrucción General y su  Anexo, estará disponible para su lectura y/o descarga tanto en Biblioteca Electrónica como  en la página de la Subdirección General de Sistemas y Telecomunicaciones.

 

F.            NOTIFICACIÓN

Notificación  a los interesados y a la Dirección de Personal para su conocimiento.

 

G.            VIGENCIA

La presente Instrucción General regirá a partir de la fecha de su publicación.

 

 

INSTRUCCIÓN GENERAL Nº        5        /12 (AFIP)

 

 

Abog. RICARDO ECHEGARAY

ADMINISTRADOR FEDERAL

 

 

ANEXO I

 

 

 

 

 

 

PAUTAS PARA LA CLASIFICACIÓN DE LA INFORMACIÓN

 

 

 

 

 

 

 

Información Confidencial

Información Restringida Riesgo Alto

Información Restringida Riesgo Medio

Información Pública Interna

Información Pública

Riesgo de Difusión

MUY ALTO

ALTO

MEDIO

BAJO

No aplica

Tipos de Acceso

Sistema Unico de Autenticación con Hardware Token  -  Clave Fiscal Nivel de Seguridad 4

Sistema Unico de Autenticación con Password – Clave Fiscal Nivel de Seguridad 3

  Sistema Unico de Autenticación con Password - Clave Fiscal Nivel de Seguridad 2

Publicada en la Intranet sin restricciones

Publicada en Internet Sin restricciones

Ejemplos

Datos relacionados a devoluciones de Reintegros de IVA

SI DEINCO

Ventanilla Electrónica

Tablas SUPA

Constancias de inscripción

Sistema Informático María

Atenea Modulo PTN

Mi Celular

Email oficial

Formularios

Accesos externos a la red de AFIP

 

 

Agenda Telefónica

 

Requerimientos Legales y Normativos

Ley N° 25326 Habeas Data                   

Ley 11683 Procedimiento Fiscal

Disp. 98/2009 (AFIP) Secreto Fiscal

Disposición 76/2005 (AFIP) Manual de Políticas de Seguridad de la Información 

Valores de la Información a Preservar

Integridad: Objetivo de la seguridad de la información que se cumple cuando la información no carece de ninguna de sus partes. Grado de criticidad de que el dato sea alterado.

Confidencialidad: proteger la información contra uso no autorizado o revelaciones accidentales, atendiendo leyes y regulaciones.

Disponibilidad: posibilidad de acceso a la información cuando se necesite, sin retardos inapropiados. Impacto organizacional de no acceso al dato.

Grado de Reserva de la Información

 Información pública: Toda aquella puesta a disposición del público en general por personal debidamente autorizado.

 Información pública interna: Toda aquella puesta a disposición del personal del organismo, por personal debidamente autorizado.

Información restringida: Toda aquella que no es explícitamente clasificada como pública. La divulgación no autorizada de la información restringida puede ocasionar pérdidas importantes a la AFIP. El grado de protección de los datos es a discreción del propietario o custodio

Información confidencial: Toda aquella cuya divulgación pueda poner en riesgo el desenvolvimiento de la AFIP u ocasionar serios problemas a la misma o al Estado Nacional, o que afecte la privacidad de los contribuyentes o del personal de la AFIP. Por su naturaleza, la información confidencial es de conocimiento de un número reducido de personas, unívocamente identificado y deberán tomarse los recaudos que permitan que la misma se encuentre protegida y preservada por algún medio.