ENTRE EM CONTATO 1-888-553-2256

The ISO 27001 & ISO 22301 Blog

Dejan Kosutic

Classificação da Informação de acordo com a ISO 27001

A classificação da informação é certamente uma das partes mais atrativas da gestão da segurança da informação, mas ao mesmo tempo, uma das mais mal entendidas. Isto provavelmente se deve ao fato de que historicamente, a classificação da informação foi o primeiro elemento da segurança da informação a ser gerenciado – muito antes do primeiro computador ser construído, governos, militares, e também corporações, rotularam suas informações como confidencial. Contudo, o processo sobre como isso funcionava permaneceu de certa forma um mistério.

Assim, neste artigo apresentarei a vocês uma visão geral sobre como a classificação da informação funciona, e como torná-la conforme com a ISO 27001, a principal norma de segurança da informação. Embora a classificação possa ser feita de acordo com outro critério, vou falar sobre classificação em termos de confidencialidade, porque este é o tipo mais comum de classificação da informação.

O processo em quatro etapas para gerenciar informações classificadas

blogpost-banner-22301-pt

A boa prática diz que a classificação deveria ser feita de acordo com o seguinte processo:

Classificação da Informação de acordo com a ISO 27001

Isto significa que: (1) a informação deveria ser inserida em um Inventário de Ativos (controle A.8.1.1 da ISO 27001), (2) ela deveria ser classificada (A.8.2.1), (3) então ela deveria ser rotulada (A.8.2.2), e finalmente (4) ela deveria ser manuseada de forma segura (A.8.2.3).

Em muitos casos, organizações irão desenvolver uma Política de Classificação da Informação, a qual deveria descrever todas estas quatro etapas – veja o texto abaixo para cada uma destas etapas.

Inventário de ativos (Registro de ativo)

O propósito em se desenvolver um inventário de ativos é para que você saiba quais informações classificadas você tem em sua posse, e quem é responsável por elas (i.e., que é o proprietário).

Informação classificada pode estar em diferentes formatos e tipos de mídia, como por exemplo:

  • documentos eletrônicos
  • sistemas de informação / bases de dados
  • documentos em papel
  • mídias de armazenamento (ex.: discos, cartões de memória, etc.)
  • informação transmitida verbalmente
  • email

Classificação da informação

A ISO 27001 não prescreve os níveis de classificação – isto é algo que você deveria desenvolver por conta própria, baseado no que é mais comum em seu país ou indústria. Quanto maior e mais complexa sua organização, mais níveis de confidencialidade você terá – por exemplo, para organizações de médio porte você pode utilizar este tipo de níveis de classificação da informação, com três níveis de confidencialidade e um nível público:

  • Confidencial (o mais alto nível de confidencialidade)
  • Restrita (médio nível de confidencialidade)
  • Uso interno (o mais baixo nível de confidencialidade)
  • Pública (todos podem ver a informação)

Em muitos casos, o proprietário do ativo é o responsável por classificar a informação – e isto é usualmente feito com base nos resultados da análise/avaliação de riscos: quanto maior o valor da informação (quanto maiores as consequências de uma quebra da confidencialidade), maior deveria ser o nível de classificação. (Veja também Avaliação e tratamento de riscos segundo a ISO 27001 – 6 etapas básicas.)

Muito frequentemente, uma organização pode ter dois esquemas de classificação diferentes implantados no caso de trabalhar tanto como o setor governamental quanto com o privado. Por exemplo, a OTAN requer a seguinte classificação com quatro níveis de confidencialidade e dois níveis públicos:

  • Cósmico Altamente secreto (Cosmic Top Secret)
  • OTAN Secreto (NATO Secret)
  • OTAN Confidencial (NATO Confidential)
  • OTAN Restrito (NATO Restricted)
  • OTAN Não Classificado (direito autoral) (NATO Unclassified (copyright))
  • INFORMAÇÃO NÃO SENSÍVEL LIBERÁVEL PARA O PÚBLICO (NON SENSITIVE INFORMATION RELEASABLE TO THE PUBLIC)

Rotulagem da informação

Uma vez que você tenha classificado a informação, você precisará rotulá-la apropriadamente – você deveria desenvolver orientações para cada tipo de ativo de informação sobre como ele precisa ser rotulado – novamente, a ISO 27001 não é prescritiva aqui, então você deve desenvolver suas próprias regras.

Por exemplo, você poderia definir as regras para documentos em papel de tal forma que o nível de confidencialidade seja indicado no canto superior direito de cada página do documento, e que a classificação também seja indicada na capa ou no envelope que transporta tal documento, assim como na pasta onde o documento é armazenado.

A rotulagem da informação geralmente é responsabilidade do proprietário da informação.

Manuseio de ativos

Esta é usualmente a parte mais complexa do processo de classificação – você deveria desenvolver regras sobre como proteger cada tipo de ativo dependendo do nível de confidencialidade. Por exemplo, você poderia usar uma tabela na qual você deve definir as regras para cada nível de confidencialidade para cada tipo de mídia, por exemplo:

Uso internoRestritoConfidencial
Documentos eletrônicos
Sistemas de informação
Documentos em papel
Mídia de armazenamento
Informação transmitida verbalmente
Email

Desta forma nesta tabela, você pode definir que documentos em papel classificado como Restrito deveriam ser trancados em um armário, documentos podem ser transferidos dentro e fora da organização apenas em um envelope fechado, e no caso de ser enviado para fora da organização, o documento deve ser enviado como entrega registrada.

Como mencionado antes, a ISO 27001 permite a você definir suas próprias regras, e elas são geralmente definidas na política de classificação da informação, ou nos procedimentos de classificação.

Assim, como você pode ver, o processo de classificação pode ser complexo, mas ele não tem que ser incompreensível – a ISO 27001 na verdade dá a você uma grande liberdade, e você definitivamente deveria aproveitar esta vantagem: faça o processo adaptado as suas necessidades especiais, mas também seguros o bastante de forma que você possa assegurar que informações sensíveis estejam protegidas.

Clique aqui para ver uma pré-visualização gratuita da Política de classificação da informação.

Nós agradecemos a Rhand Leal pela tradução para o português.

Caso tenha gostado deste artigo, inscreva se para receber atualizações

Melhore seu conhecimento com nossos recursos gratuitos sobre as normas ISO 27001 / ISO 22301.

Você pode cancelar sua inscrição a qualquer momento.

Para mais informações sobre quais dados nós coletamos, por que precisamos deles, o que nós fazemos com eles, por quanto tempo nós os mantemos, e quais são os seus direitos, veja esta Aviso de Privacidade.

4 respostas para “Classificação da Informação de acordo com a ISO 27001”

  1. Charline disse:

    Gostei! Mto bom

  2. Marcos Vinícius disse:

    Muito bom, obrigado!

  3. Reginaldo Darcy Queiroz disse:

    como você me responderia essa questão?

    Como é denominado a classificação e controle de ativos de informação?

    • Rhand Leal disse:

      Olá, Reginaldo.

      Não sei se compreendi corretamente sua pergunta, mas como critérios para se classificar uma informação com relação ao impacto da perda de confidencialidade, você poderia considerar os custos de se gerar uma informação de valor similar, ou o valor da perda de uma vantagem de mercado de a informação vier a público.

      Por exemplo, no caso da fórmula de um refrigerente famoso vir a público, os custos do impacto poderiam ser relacionados aos custos de se desenvolver uma outra fórmula que atinja o mesmo sucesso, ou às perdas de mercado por outras empresas lançarem um sabor similar.

      Outra fonte para se definir o valor do impacto da perda de confidencialidade seriam multas ou custos de processos judiciais envolvidos.

      A definição dos controles envolvidos dependeria diretamente de se ter uma estimativa destes custos, visto que o custo do controle (aquisição e manutenção) não pode ser maior do que o valor da perda, pois isso inviabilizaria o controle.

      Espero ter respondido sua dúvida. Caso não seja essa a resposta esperada, por favor avise por aqui mesmo para que eu tente lhe ajudar da melhor forma possível.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

NOSSOS CLIENTES

NOSSOS PARCEIROS

  • Advisera é um Provedor Certificado TPECS da Exemplar Global para as Unidades de Competência em IS, QM, EM, TL e AU.
  • ITIL® é uma marca registrada da AXELOS Limited. É usada sob licença da AXELOS Limited. Todos os direitos reservados.
  • DNV GL Business Assurance é um dos principais provedores de certificações de sistema de gestão acreditados.