Take the ISO 27001 course exam and get the EU GDPR course exam for free
LIMITED-TIME OFFER – VALID UNTIL SEPTEMBER 30, 2021
  • (0)
    ISO-27001-ISO-22301-blog

    Blog ISO 27001 e ISO 22301

    Classificação da Informação de acordo com a ISO 27001

    A classificação da informação é certamente uma das partes mais atrativas da gestão da segurança da informação, mas ao mesmo tempo, uma das mais mal entendidas. Isto provavelmente se deve ao fato de que historicamente, a classificação da informação foi o primeiro elemento da segurança da informação a ser gerenciado – muito antes do primeiro computador ser construído, governos, militares, e também corporações, rotularam suas informações como confidencial. Contudo, o processo sobre como isso funcionava permaneceu de certa forma um mistério.

    Assim, neste artigo apresentarei a vocês uma visão geral sobre como a classificação da informação funciona, e como torná-la conforme com a ISO 27001, a principal norma de segurança da informação. Embora a classificação possa ser feita de acordo com outro critério, vou falar sobre classificação em termos de confidencialidade, porque este é o tipo mais comum de classificação da informação.

    O processo em quatro etapas para gerenciar informações classificadas

    A boa prática diz que a classificação deveria ser feita de acordo com o seguinte processo:

    Classificação da Informação de acordo com a ISO 27001

    Isto significa que: (1) a informação deveria ser inserida em um Inventário de Ativos (controle A.8.1.1 da ISO 27001), (2) ela deveria ser classificada (A.8.2.1), (3) então ela deveria ser rotulada (A.8.2.2), e finalmente (4) ela deveria ser manuseada de forma segura (A.8.2.3).

    Em muitos casos, organizações irão desenvolver uma Política de Classificação da Informação, a qual deveria descrever todas estas quatro etapas – veja o texto abaixo para cada uma destas etapas.

    Inventário de ativos (Registro de ativo)

    O propósito em se desenvolver um inventário de ativos é para que você saiba quais informações classificadas você tem em sua posse, e quem é responsável por elas (i.e., que é o proprietário).

    Informação classificada pode estar em diferentes formatos e tipos de mídia, como por exemplo:

    • documentos eletrônicos
    • sistemas de informação / bases de dados
    • documentos em papel
    • mídias de armazenamento (ex.: discos, cartões de memória, etc.)
    • informação transmitida verbalmente
    • email

    Classificação da informação

    A ISO 27001 não prescreve os níveis de classificação – isto é algo que você deveria desenvolver por conta própria, baseado no que é mais comum em seu país ou indústria. Quanto maior e mais complexa sua organização, mais níveis de confidencialidade você terá – por exemplo, para organizações de médio porte você pode utilizar este tipo de níveis de classificação da informação, com três níveis de confidencialidade e um nível público:

    • Confidencial (o mais alto nível de confidencialidade)
    • Restrita (médio nível de confidencialidade)
    • Uso interno (o mais baixo nível de confidencialidade)
    • Pública (todos podem ver a informação)

    Em muitos casos, o proprietário do ativo é o responsável por classificar a informação – e isto é usualmente feito com base nos resultados da análise/avaliação de riscos: quanto maior o valor da informação (quanto maiores as consequências de uma quebra da confidencialidade), maior deveria ser o nível de classificação. (Veja também Avaliação e tratamento de riscos segundo a ISO 27001 – 6 etapas básicas.)

    Muito frequentemente, uma organização pode ter dois esquemas de classificação diferentes implantados no caso de trabalhar tanto como o setor governamental quanto com o privado. Por exemplo, a OTAN requer a seguinte classificação com quatro níveis de confidencialidade e dois níveis públicos:

    • Cósmico Altamente secreto (Cosmic Top Secret)
    • OTAN Secreto (NATO Secret)
    • OTAN Confidencial (NATO Confidential)
    • OTAN Restrito (NATO Restricted)
    • OTAN Não Classificado (direito autoral) (NATO Unclassified (copyright))
    • INFORMAÇÃO NÃO SENSÍVEL LIBERÁVEL PARA O PÚBLICO (NON SENSITIVE INFORMATION RELEASABLE TO THE PUBLIC)

    Rotulagem da informação

    Uma vez que você tenha classificado a informação, você precisará rotulá-la apropriadamente – você deveria desenvolver orientações para cada tipo de ativo de informação sobre como ele precisa ser rotulado – novamente, a ISO 27001 não é prescritiva aqui, então você deve desenvolver suas próprias regras.

    Por exemplo, você poderia definir as regras para documentos em papel de tal forma que o nível de confidencialidade seja indicado no canto superior direito de cada página do documento, e que a classificação também seja indicada na capa ou no envelope que transporta tal documento, assim como na pasta onde o documento é armazenado.

    A rotulagem da informação geralmente é responsabilidade do proprietário da informação.

    Manuseio de ativos

    Esta é usualmente a parte mais complexa do processo de classificação – você deveria desenvolver regras sobre como proteger cada tipo de ativo dependendo do nível de confidencialidade. Por exemplo, você poderia usar uma tabela na qual você deve definir as regras para cada nível de confidencialidade para cada tipo de mídia, por exemplo:

    Uso interno Restrito Confidencial
    Documentos eletrônicos
    Sistemas de informação
    Documentos em papel
    Mídia de armazenamento
    Informação transmitida verbalmente
    Email

    Desta forma nesta tabela, você pode definir que documentos em papel classificado como Restrito deveriam ser trancados em um armário, documentos podem ser transferidos dentro e fora da organização apenas em um envelope fechado, e no caso de ser enviado para fora da organização, o documento deve ser enviado como entrega registrada.

    Como mencionado antes, a ISO 27001 permite a você definir suas próprias regras, e elas são geralmente definidas na política de classificação da informação, ou nos procedimentos de classificação.

    Assim, como você pode ver, o processo de classificação pode ser complexo, mas ele não tem que ser incompreensível – a ISO 27001 na verdade dá a você uma grande liberdade, e você definitivamente deveria aproveitar esta vantagem: faça o processo adaptado as suas necessidades especiais, mas também seguros o bastante de forma que você possa assegurar que informações sensíveis estejam protegidas.

    Clique aqui para ver uma pré-visualização gratuita da Política de classificação da informação.

    Nós agradecemos a Rhand Leal pela tradução para o português.

    Advisera Dejan Kosutic
    Autor
    Dejan Kosutic
    Dejan possui um grande número de certificações, Consultor de Gestão Certificado, Auditor Líder ISO 27001, Auditor Líder ISO 9001 e Associate Business Continuity Professional. Dejan lidera nossa equipe na gestão de diversos websites especializados em apoiar profissionais de ISO e TI no entendimento e implementação bem sucedida de normas internacionais. Dejan obteve seu MBA na Henley Management College, e possui larga experiência e setores de investimento, seguro e bancário. Ele é reconhecido por sua expertise em normas internacionais para continuidade de negócio e segurança da informação – ISO 22301 e ISO 27001 – e pela autoria de diversos tutoriais web, kits de documentação e livros relacionados a estes assuntos.
    Tag: #ISO 27001