La clasificación de la información debe utilizarse para facilitar la seguridad de los recursos y los datos. Si es utilizada adecuadamente puede contemplarse como un medio para comunicar a todos los usuarios la protección que requiere cada uno de los datos. Se pueden utilizar distintos criterios para clasificar la información; los criterios de clasificación deben elegirse en base a los riesgos de los datos y los recursos. Algunos criterios pueden ser:
- Clasificación por niveles: se basa en un esquema de clasificación jerárquica en el que el nivel más bajo es, normalmente, «no clasificado» y el nivel más alto, «secreto o alto secreto». El orden de los niveles implica la importancia relativa de los datos y los requisitos de los procedimientos de seguridad.
- Clasificación por categorías: no es jerárquica y se utiliza para grupos independientes de datos y recursos que necesitan procedimientos similares de protección. Las categorías diferentes no tienen ninguna relación ni dependencia entre ellas. Las categorías se asignan tanto a usuarios como a datos; si el usuario no tiene la misma categoría (o categorías) que los datos, el acceso es denegado.
- La clasificación combinada: se basa en ambas estructuras. La combinación de niveles jerárquicos y categorías no jerárquicas se representa en una tabla de seguridad. Para realizar la clasificación completa de la información se necesita tanto el nivel como la categoría.
No hay comentarios:
Publicar un comentario