BUENOS AIRES, 20 de noviembre de 2012
Asunto: Clasificación de
la Información obrante en las bases de datos de la AFIP.
A.
INTRODUCCIÓN
Ante las necesidades de constante aseguramiento
de la información
administrada por el Organismo y como parte del proceso continuo del
mejoramiento de los niveles de seguridad, resulta necesario proceder a la
clasificación de los datos, estableciendo pautas y procedimientos para cumplir
con dicha finalidad.
Dicha
clasificación deberá ser efectuada de acuerdo a su criticidad y sensibilidad y
al riesgo potencial que dicha información sea modificada o accedida o utilizada
indebidamente, o bien que no se encuentre disponible.
Esta
clasificación además resulta necesaria para una posterior toma de acciones
sobre los controles internos para la protección, la retención y destrucción de
la misma.
B.
OBJETIVOS
I.
Establecer los lineamientos que
permitan establecer la clasificación y el rotulado de los datos obrantes en las
bases de datos Institucionales del Organismo, con su grado de reserva,
criticidad y valor.
C.
ALCANCE y
AREAS INTERVINIENTES
II.
La presente Instrucción General será
de aplicación para toda la información almacenada, procesada o a procesar que
deberá ser clasificada por los Definidores de Procesos y Sistemas, de acuerdo
con su grado de criticidad.
Esta clasificación se basará en el análisis de los
riesgos asociados a la divulgación, exposición a la pérdida, o alteración
indebida de la información y al valor estratégico de la misma para la Organización, contemplando los aspectos legales y normativos vigentes, permitiendo
posteriormente adoptar las medidas de protección que resulten menester.
Para la realización de dicha tarea se aprueban los
lineamientos establecidos como Anexo I: “PAUTAS PARA LA CLASIFICACIÖN DE LA INFORMACIÓN”, el cual forma parte de esta Instrucción General.
III.
La presente
Instrucción General tiene cumplimiento obligatorio y su observancia es
responsabilidad de todas las jefaturas de unidades de estructura que se
encuentren involucradas.
IV.
Es obligación de las
indicadas jefaturas la notificación de la presente, por escrito, a todo el
personal a su cargo cualquiera fuese su condición laboral frente a la Administración Federal.
V.
En caso de
detectarse situaciones o acciones que impidan el cumplimiento de la presente
Instrucción General o se verifiquen irregularidades en la operatoria
establecida, tales eventos serán puestos de inmediato en conocimiento de la Superioridad, mediante notificación fehaciente, sin perjuicio de la adopción de medidas
correctivas y sancionatorias que correspondieran.
VI.
La presente Instrucción
General se encuentra alineada al
Manual de Políticas de Seguridad aprobado mediante la Disposición 76/05 (AFIP), especialmente en lo referido a Protección de la información contra el uso no autorizado.
VII.
Se faculta a la Subdirección General de Sistemas y Telecomunicaciones a dictar circulares aclaratorias y la
actualización de los procedimientos conexos a la presente Instrucción General.
D.
PROCEDIMIENTO
I. En un plazo de ciento ochenta (180) días desde el
momento de publicación de la presente, las áreas definidoras de sistemas y
procesos de información, en forma conjunta con las áreas que desarrollan los
mismos, deberán realizar un inventario para identificar en cada instancia de
base de datos, las tablas que componen cada sistema como sus campos.
II.
Como parte de esta
tarea se deberán rotular: a cada uno de los sistemas y transacciones que se
corresponden a cada tabla, cuales son las áreas que intervienen, así como la
descripción de cada componente del inventario de la base de datos, a modo de
conformar un diccionario de datos, con la información previamente descripta.
Quedarán excluidos las tablas y/o campos que resulten auxiliares de cada
sistema o que no representan información en sí misma.
III.
A partir de la
finalización del inventario descripto, y en un plazo no superior a los ciento
ochenta (180) días desde el momento de publicación de la presente, las áreas
definidoras de sistemas y procesos de información deberán realizar la
clasificación de la información contenida en las distintas instancias de la Base de Datos, que consideren “Confidencial” o “Restringida de Riesgo Alto”, de acuerdo a las
pautas que se indican en el Anexo I de la presente. Para el resto de la
información se dispondrá de un plazo de trescientos sesenta días (360) para
completar la clasificación.
IV.
Durante el período
que demande la tarea del apartado III, deberá informar mensualmente el avance
de la misma a la Subdirección General de Sistemas y Telecomunicaciones y a la Subdirección G eneral de Auditoría Interna. En dicho lapso además deberán clasificarse las
transacciones y sistemas que se encuentran implementadas de acuerdo al nivel
establecido.
V.
La tarea indicada en
los puntos precedentes se realizará con una herramienta dispuesta para tal fin,
por el Departamento de Arquitectura Informática de la Dirección de Infraestructura Tecnológica.
VI.
Cuando, debido a condiciones tecnológicas o de
aplicación, la normalización demande un plazo superior al instruido, se procederá a clasificar a la información “no
clasificada” como restringida de nivel alto, debiendo el área
responsable requerir
formalmente una prórroga al Comité de Seguridad de la Información, con su respectiva justificación, informando el plan detallado para la
normalización.
VII.
Todas las tareas
indicadas en la presente requieren que las áreas responsables efectúen
revisiones periódicas y el mantenimiento actualizado de los niveles
establecidos.
VIII.
Desde la fecha de
publicación de la presente Instrucción General, y en forma previa a puesta en
producción de nuevas tablas, campos, sistemas y transacciones, deberá darse
cumplimiento al procedimiento descripto en el punto D.
E.
PUBLICACIÓN
I.
La presente
Instrucción General y su Anexo, estará disponible para su lectura y/o descarga
tanto en Biblioteca Electrónica como en la página de la Subdirección General de Sistemas y Telecomunicaciones.
F.
NOTIFICACIÓN
Notificación a los
interesados y a la Dirección de Personal para su conocimiento.
G.
VIGENCIA
La presente Instrucción
General regirá a partir de la fecha de su publicación.
INSTRUCCIÓN GENERAL Nº 5
/12 (AFIP)
Abog. RICARDO ECHEGARAY
ADMINISTRADOR FEDERAL
ANEXO I
|
|
|
|
|
|
|
|
|
PAUTAS PARA LA CLASIFICACIÓN DE LA INFORMACIÓN
|
|
|
|
|
|
|
|
|
|
Información Confidencial
|
Información Restringida Riesgo Alto
|
Información Restringida Riesgo Medio
|
Información Pública Interna
|
Información Pública
|
|
Riesgo de Difusión
|
MUY ALTO
|
ALTO
|
MEDIO
|
BAJO
|
No aplica
|
|
Tipos de Acceso
|
Sistema Unico de Autenticación con
Hardware Token - Clave Fiscal Nivel de Seguridad 4
|
Sistema Unico de Autenticación con
Password – Clave Fiscal Nivel de Seguridad 3
|
Sistema Unico de Autenticación con
Password - Clave Fiscal Nivel de Seguridad 2
|
Publicada en la Intranet sin restricciones
|
Publicada en Internet Sin
restricciones
|
|
Ejemplos
|
Datos relacionados a devoluciones de
Reintegros de IVA
|
SI DEINCO
|
Ventanilla Electrónica
|
Tablas SUPA
|
Constancias de inscripción
|
|
Sistema Informático María
|
Atenea Modulo PTN
|
Mi Celular
|
Email oficial
|
Formularios
|
|
Accesos externos a la red de AFIP
|
|
|
Agenda Telefónica
|
|
|
Requerimientos Legales y Normativos
|
Ley N° 25326 Habeas Data
|
|
Ley 11683 Procedimiento Fiscal
|
|
Disp. 98/2009 (AFIP) Secreto Fiscal
|
|
Disposición 76/2005 (AFIP) Manual de Políticas de Seguridad de la Información
|
|
Valores de la Información a Preservar
|
Integridad: Objetivo de la seguridad de la información que se cumple cuando
la información no carece de ninguna de sus partes. Grado de criticidad de que
el dato sea alterado.
|
|
|
Confidencialidad: proteger la información contra uso no autorizado o
revelaciones accidentales, atendiendo leyes y regulaciones.
|
|
Disponibilidad: posibilidad
de acceso a la información cuando se necesite, sin retardos inapropiados.
Impacto organizacional de no acceso al dato.
|
|
Grado de Reserva de la Información
|
Información pública: Toda aquella puesta a disposición
del público en general por personal debidamente autorizado.
|
|
Información pública interna: Toda aquella puesta
a disposición del personal del organismo, por personal debidamente
autorizado.
|
|
Información restringida: Toda aquella que no es
explícitamente clasificada como pública. La divulgación no autorizada de la
información restringida puede ocasionar pérdidas importantes a la AFIP. El grado de protección de los datos es a discreción del propietario o custodio
|
|
|
Información confidencial: Toda aquella cuya divulgación pueda
poner en riesgo el desenvolvimiento de la AFIP u ocasionar serios problemas a la misma o al Estado Nacional, o que afecte la privacidad de los
contribuyentes o del personal de la AFIP. Por su naturaleza, la información confidencial es de conocimiento de un número reducido de personas,
unívocamente identificado y deberán tomarse los recaudos que permitan que la
misma se encuentre protegida y preservada por algún medio.
|
|
|
|