Información de seguridad sensible o SSI es un término utilizado en los Estados Unidos para denotar información sensible pero no clasificada obtenida o desarrollada en la realización de actividades de seguridad, cuya divulgación pública constituiría una invasión injustificada de la privacidad, revelaría secretos comerciales o información privilegiada o confidencial. , o sea perjudicial para la seguridad del transporte. No es una forma de clasificación según la Orden Ejecutiva 12958 enmendada. SSI no es información clasificada de seguridad nacional en el sentido de Alto Secreto, Secreto o Confidencial. La protección y el intercambio de SSI se rigen por el Título 49 del Código de Regulaciones Federales.(CFR) partes 15 y 1520. Esta designación se asigna a la información para limitar la exposición de la información solo a aquellas personas que " necesitan saber " para participar o supervisar la protección del sistema de transporte de la nación. Aquellos con una necesidad de saber pueden incluir personas fuera de la TSA, como operadores de aeropuertos, operadores de aeronaves, transportistas ferroviarios, expedidores y receptores de materiales peligrosos por ferrocarril, propietarios y operadores de embarcaciones y puertos marítimos, propietarios de embarcaciones extranjeros y otras personas. [1]
La información designada como SSI no se puede compartir con el público en general y está exenta de divulgación según la Ley de Libertad de Información (FOIA). [2]
Antecedentes: historia legislativa y regulatoria
Después de los ataques terroristas del 11 de septiembre de 2001 en los Estados Unidos, el Congreso aprobó la Ley de Seguridad del Transporte y la Aviación (Pub. L. No. 107-71) conocida como ATSA, que estableció la Administración de Seguridad del Transporte del DOT (TSA). La Ley también transfirió la responsabilidad de la seguridad de la aviación civil de la FAA a la TSA. El 22 de febrero de 2002, la FAA y la TSA publicaron una regla final conjunta transfiriendo la mayor parte de las reglas de seguridad de la aviación de la FAA, incluida la reglamentación SSI de la FAA a la TSA como 49 CFR Parte 1520. También especificó con más detalle qué información es SSI y las evaluaciones de vulnerabilidad protegidas para todos los modos de transporte. La Ley de Seguridad Nacional de 2002 (Pub. L. No. 107-296) estableció el Departamento de Seguridad Nacional (DHS) y transfirió la TSA del DOT al DHS. La Ley también enmendó el Título 49 USC §40119 para retener la autoridad de SSI para el Secretario de Transporte, y agregó subsecciones a 49 USC § 114, reafirmando la autoridad de TSA bajo DHS para prescribir regulaciones de SSI. La TSA y el DOT expandieron la regulación SSI para incorporar medidas de seguridad marítima implementadas por las regulaciones de la Guardia Costera de los EE. UU. Y aclarar las disposiciones SSI preexistentes en una regla final provisional (IFR) emitida el 18 de mayo de 2004. La regulación SSI del DOT está en 49 CFR Parte 15, y la regulación TSA SSI permanece en 49 CFR Parte 1520.
La Ley REAL ID de 2005 (Pub. L. No. 109-13) requería que el DHS estableciera estándares para las licencias de conducir que las agencias federales pudieran aceptar con fines de identificación oficial, incluido el "embarque en aeronaves comerciales reguladas por el gobierno federal". El Título 6 CFR Parte 37 se publicó el 29 de enero de 2008 y requiere un plan de seguridad y evaluaciones de vulnerabilidad relacionadas que se definen como SSI y se rigen por 49 CFR 1520.
La Ley de Asignaciones de Seguridad Nacional de 2006 (Pub. L. No. 109-90, codificada en 6 USC § 114) requería que el DHS proporcionara políticas para todo el departamento para designar, salvaguardar y marcar documentos como SSI, junto con procedimientos de auditoría y rendición de cuentas. . La ley también requiere que el DHS informe al Congreso el número de coordinadores de SSI dentro del DHS y proporcione una lista de los documentos designados como SSI en su totalidad. También requirió que el DHS proporcione una guía que incluya ejemplos extensos de SSI para definir mejor las categorías individuales que se encuentran en 49 CFR sección 1520.5 (b) (1) a (16). La Ley ordenó que dicha guía sirva como la base principal y la autoridad para proteger, compartir y marcar información como SSI.
La Ley de Asignaciones de Seguridad Nacional de 2007 (Pub. L. No. 109-295) requirió que el DHS revisara sus directivas de SSI y ordenó la revisión oportuna de las solicitudes de SSI. También contenía requisitos de informes, obligaba a ampliar el acceso a SSI en litigios y requería que todos los SSI de más de tres años, y no en las categorías actuales de SSI, se divulgaran a pedido, a menos que el Secretario del DHS [o su designado] haga una determinación por escrito de que la información debe seguir siendo SSI.
La Regla Final de Seguridad del Transporte Ferroviario, publicada en el Registro Federal el 26 de noviembre de 2008, agrega términos relacionados con los ferrocarriles y personas cubiertas a la Parte 1520, incluidos los transportistas ferroviarios, las instalaciones ferroviarias, los transportistas y receptores de materiales peligrosos ferroviarios y los sistemas de tránsito ferroviario que son detallada en una nueva Parte 1580. Aunque las evaluaciones de vulnerabilidad ferroviaria y la información de amenazas ya eran SSI bajo la Parte 1520, esta regla final ferroviaria especifica que la información sobre investigaciones e inspecciones de seguridad ferroviaria, medidas de seguridad, materiales de capacitación de seguridad, activos de infraestructura ferroviaria crítica e investigación y el desarrollo también es SSI.
Categorías
Como se enumera en 49 CFR §1520.5 (b), hay 16 categorías de SSI de las cuales hay tres tipos. Cuatro de las categorías se denominan "categóricas" y se designan automáticamente como SSI. Once de las categorías requieren un juicio o análisis para recibir una designación de SSI y una categoría se denomina "otra" y se determina mediante una solicitud por escrito de una oficina autorizada. [3]
Determinación de la información de seguridad confidencial
La información que recibe la designación de SSI incluye pero no se limita a:
- Programas de seguridad y planes de contingencia con respecto a cualquier operador de aeronaves, operador de aeropuerto o programa de seguridad de operador de base fija.
- Planes de contingencia de seguridad con respecto a cualquier buque, instalación marítima o zona portuaria.
- Planes de seguridad nacionales o territoriales.
- Planes de respuesta a incidentes de seguridad.
- Directivas de seguridad emitidas por la TSA [1]
- Diseños de seguridad de la licencia de conducir, descripciones de las funciones de seguridad y claves privadas para los datos cifrados legibles por máquina contenidos en ellos.
- Información relacionada con métodos avanzados de autenticación de licencias de conducir y tarjetas de identificación emitidas por el estado.
- Planes de seguridad para licencias de conducir y tarjetas de identificación del gobierno estatal.
- Métodos para evaluar vulnerabilidades en documentos seguros emitidos por el gobierno
Críticas y elogios de las políticas de SSI
En septiembre de 2004, dos miembros del Comité de Asignaciones de la Cámara de Representantes solicitaron que los auditores revisaran cómo el Departamento de Seguridad Nacional está usando su autoridad para ocultar al público la información de seguridad del transporte. La preocupación es que el material necesita ser protegido, pero el público también necesita ser informado sobre la información que afecta su seguridad y protección.
Algunos ejemplos en cuestión fueron:
- La TSA había respondido por escrito a preguntas que fueron designadas como información de seguridad sensible, pero no trató la misma información como sensible el mes anterior.
- La TSA había dicho que cierta información relacionada con el control electrónico del equipaje facturado en los aeropuertos era SSI donde esta información ya había sido expuesta al dominio público.
Se determinó que la aplicación de las regulaciones SSI por parte de la TSA ha dado lugar a algunas disputas sobre los procedimientos de seguridad aeroportuaria, la responsabilidad de los empleados, el control de pasajeros y los acuerdos de secreto aeroportuario. Algunos creen que se ha ocultado demasiada información al público sobre algunas de estas circunstancias. [4]
La opinión resultante fue que el material sensible debe protegerse, pero el público también debe estar informado de la información que afecta la seguridad y la protección. "Aunque la divulgación de cierta información confidencial podría poner en riesgo a los ciudadanos y la infraestructura de la nación, el gobierno federal debe tener en cuenta el interés legítimo del público y el derecho a conocer la información relacionada con las amenazas al sistema de transporte y las vulnerabilidades asociadas. En consecuencia, el acceso a esta información solo debe limitarse cuando sea necesario para protegerse contra quienes representan una amenaza y su capacidad para desarrollar técnicas para subvertir las medidas de seguridad ". [5]
En un informe al Congreso del 30 de noviembre de 2007 titulado Procesos de la Administración de Seguridad del Transporte para designar y divulgar información de seguridad confidencial , la Oficina de Responsabilidad del Gobierno (GAO) declaró:
"El DHS, principalmente a través de la Oficina de SSI de la TSA, ha abordado todos los mandatos legislativos de la Ley de Asignaciones del DHS de 2007 y ha tomado medidas para satisfacer todas las recomendaciones de nuestro informe de junio de 2005. El DHS revisó su MD (es decir, Directiva de gestión) para abordar la necesidad de actualizar la guía de SSI, y la TSA ha establecido criterios y ejemplos de SSI más extensos que responden a los requisitos de la Ley de Apropiaciones del DHS de 2007 y nuestra recomendación de 2005 de que la TSA establezca una guía y procedimientos para usar las regulaciones de la TSA para determinar qué constituye SSI. Además, la TSA ha documentado los criterios y ejemplos en varias publicaciones para que sirvan como guía para identificar y designar SSI. La TSA también ha compartido su documentación de los criterios y ejemplos con otras agencias del DHS ".
En el testimonio del Congreso sobre el intercambio de información para la seguridad nacional y la información no clasificada controlada (CUI) presentada el 28 de julio de 2008, la GAO fue aún más lejos al afirmar:
"El programa de la Administración de Seguridad del Transporte (TSA) sobre la gestión de la información que designa como información de seguridad sensible podría servir como modelo para guiar la implementación de CUI por otras agencias".
Referencias
- ^ a b "Política y procedimientos relacionados con la designación de SSI" (PDF) . 2003-10-08 . Consultado el 26 de junio de 2008 .
- ^ "Guía de información confidencial de seguridad" . Consultado el 26 de junio de 2008 .
- ^ "Se necesitan políticas claras y supervisión para la designación de información de seguridad sensible" (PDF) . Consultado el 26 de junio de 2008 .
- ^ "Informe CRS para el Congreso" (PDF) . Consultado el 26 de junio de 2008 .
- ^ "Crítica a las políticas de SSI" . Consultado el 26 de junio de 2008 .