{"id":4546,"date":"2014-05-14T06:29:28","date_gmt":"2014-05-14T06:29:28","guid":{"rendered":"https:\/\/multiacademstg.wpengine.com\/27001academy\/blog\/014\/05\/14\/classificacao-da-informacao-de-acordo-com-a-iso-27001\/"},"modified":"2023-03-03T09:12:09","modified_gmt":"2023-03-03T09:12:09","slug":"classificacao-da-informacao-de-acordo-com-a-iso-27001","status":"publish","type":"post","link":"https:\/\/advisera.com\/27001academy\/pt-br\/blog\/2014\/05\/14\/classificacao-da-informacao-de-acordo-com-a-iso-27001\/","title":{"rendered":"Classifica\u00e7\u00e3o da Informa\u00e7\u00e3o de acordo com a ISO 27001"},"content":{"rendered":"<p>A classifica\u00e7\u00e3o da informa\u00e7\u00e3o \u00e9 certamente uma das partes mais atrativas da gest\u00e3o da seguran\u00e7a da informa\u00e7\u00e3o, mas ao mesmo tempo, uma das mais mal entendidas. Isto provavelmente se deve ao fato de que historicamente, a classifica\u00e7\u00e3o da informa\u00e7\u00e3o foi o primeiro elemento da seguran\u00e7a da informa\u00e7\u00e3o a ser gerenciado \u2013 muito antes do primeiro computador ser constru\u00eddo, governos, militares, e tamb\u00e9m corpora\u00e7\u00f5es, rotularam suas informa\u00e7\u00f5es como confidencial. Contudo, o processo sobre como isso funcionava permaneceu de certa forma um mist\u00e9rio.<\/p>\n<p>Assim, neste artigo apresentarei a voc\u00eas uma vis\u00e3o geral sobre como a classifica\u00e7\u00e3o da informa\u00e7\u00e3o funciona, e como torn\u00e1-la conforme com a <a href=\"https:\/\/advisera.com\/27001academy\/pt-br\/o-que-e-a-iso-27001\/\" target=\"_blank\" rel=\"noopener noreferrer\">ISO 27001<\/a>, a principal norma de seguran\u00e7a da informa\u00e7\u00e3o. Embora a classifica\u00e7\u00e3o possa ser feita de acordo com outro crit\u00e9rio, vou falar sobre classifica\u00e7\u00e3o em termos de confidencialidade, porque este \u00e9 o tipo mais comum de classifica\u00e7\u00e3o da informa\u00e7\u00e3o.<\/p>\n<h2>O processo em quatro etapas para gerenciar informa\u00e7\u00f5es classificadas<\/h2>\n<p>A boa pr\u00e1tica diz que a classifica\u00e7\u00e3o deveria ser feita de acordo com o seguinte processo:<\/p>\n<p style=\"padding-top: 10px; padding-bottom: 5px;\"><img decoding=\"async\" class=\"alignright wp-image-84970 size-full\" src=\"\/wp-content\/uploads\/\/sites\/5\/2014\/05\/classificacao-informacao-27001.jpg\" alt=\"-\" width=\"1000\" height=\"628\" srcset=\"\/wp-content\/uploads\/sites\/5\/2014\/05\/classificacao-informacao-27001.jpg 1000w, \/wp-content\/uploads\/sites\/5\/2014\/05\/classificacao-informacao-27001-300x188.jpg 300w, \/wp-content\/uploads\/sites\/5\/2014\/05\/classificacao-informacao-27001-768x482.jpg 768w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><\/p>\n<p>Isto significa que: (1) a informa\u00e7\u00e3o deveria ser inserida em um Invent\u00e1rio de Ativos (controle A.8.1.1 da ISO 27001), (2) ela deveria ser classificada (A.8.2.1), (3) ent\u00e3o ela deveria ser rotulada (A.8.2.2), e finalmente (4) ela deveria ser manuseada de forma segura (A.8.2.3).<\/p>\n<p>Em muitos casos, organiza\u00e7\u00f5es ir\u00e3o desenvolver uma <a href=\"https:\/\/advisera.com\/27001academy\/pt-br\/documentation\/politica-de-gestao-de-informacoes-classificadas\/\" target=\"_blank\" rel=\"noopener noreferrer\">Pol\u00edtica de Classifica\u00e7\u00e3o da Informa\u00e7\u00e3o<\/a>, a qual deveria descrever todas estas quatro etapas \u2013 veja o texto abaixo para cada uma destas etapas.<\/p>\n<h2>Invent\u00e1rio de ativos (Registro de ativo)<\/h2>\n<p>O prop\u00f3sito em se desenvolver um invent\u00e1rio de ativos \u00e9 para que voc\u00ea saiba quais informa\u00e7\u00f5es classificadas voc\u00ea tem em sua posse, e quem \u00e9 respons\u00e1vel por elas (i.e., que \u00e9 o propriet\u00e1rio).<\/p>\n<p>Informa\u00e7\u00e3o classificada pode estar em diferentes formatos e tipos de m\u00eddia, como por exemplo:<\/p>\n<ul>\n<li>documentos eletr\u00f4nicos<\/li>\n<li>sistemas de informa\u00e7\u00e3o \/ bases de dados<\/li>\n<li>documentos em papel<\/li>\n<li>m\u00eddias de armazenamento (ex.: discos, cart\u00f5es de mem\u00f3ria, etc.)<\/li>\n<li>informa\u00e7\u00e3o transmitida verbalmente<\/li>\n<li>email<\/li>\n<\/ul>\n<h2>Classifica\u00e7\u00e3o da informa\u00e7\u00e3o<\/h2>\n<p>A ISO 27001 n\u00e3o prescreve os n\u00edveis de classifica\u00e7\u00e3o \u2013 isto \u00e9 algo que voc\u00ea deveria desenvolver por conta pr\u00f3pria, baseado no que \u00e9 mais comum em seu pa\u00eds ou ind\u00fastria. Quanto maior e mais complexa sua organiza\u00e7\u00e3o, mais n\u00edveis de confidencialidade voc\u00ea ter\u00e1 \u2013 por exemplo, para organiza\u00e7\u00f5es de m\u00e9dio porte voc\u00ea pode utilizar este tipo de n\u00edveis de classifica\u00e7\u00e3o da informa\u00e7\u00e3o, com tr\u00eas n\u00edveis de confidencialidade e um n\u00edvel p\u00fablico:<\/p>\n<ul>\n<li><strong>Confidencial<\/strong> (o mais alto n\u00edvel de confidencialidade)<\/li>\n<li><strong>Restrita<\/strong> (m\u00e9dio n\u00edvel de confidencialidade)<\/li>\n<li><strong>Uso interno<\/strong> (o mais baixo n\u00edvel de confidencialidade)<\/li>\n<li><strong>P\u00fablica<\/strong> (todos podem ver a informa\u00e7\u00e3o)<\/li>\n<\/ul>\n<p>Em muitos casos, o propriet\u00e1rio do ativo \u00e9 o respons\u00e1vel por classificar a informa\u00e7\u00e3o \u2013 e isto \u00e9 usualmente feito com base nos resultados da an\u00e1lise\/avalia\u00e7\u00e3o de riscos: quanto maior o valor da informa\u00e7\u00e3o (quanto maiores as consequ\u00eancias de uma quebra da confidencialidade), maior deveria ser o n\u00edvel de classifica\u00e7\u00e3o. (Veja tamb\u00e9m <a href=\"https:\/\/advisera.com\/27001academy\/pt-br\/knowledgebase\/avaliacao-e-tratamento-de-riscos-segundo-a-iso-27001-6-etapas-basicas\/\" target=\"_blank\" rel=\"noopener noreferrer\">Avalia\u00e7\u00e3o e tratamento de riscos segundo a ISO 27001 \u2013 6 etapas b\u00e1sicas<\/a>.)<\/p>\n<p>Muito frequentemente, uma organiza\u00e7\u00e3o pode ter dois esquemas de classifica\u00e7\u00e3o diferentes implantados no caso de trabalhar tanto como o setor governamental quanto com o privado. Por exemplo, a OTAN requer a seguinte classifica\u00e7\u00e3o com quatro n\u00edveis de confidencialidade e dois n\u00edveis p\u00fablicos:<\/p>\n<ul>\n<li>C\u00f3smico Altamente secreto (Cosmic Top Secret)<\/li>\n<li>OTAN Secreto (NATO Secret)<\/li>\n<li>OTAN Confidencial (NATO Confidential)<\/li>\n<li>OTAN Restrito (NATO Restricted)<\/li>\n<li>OTAN N\u00e3o Classificado (direito autoral) (NATO Unclassified (copyright))<\/li>\n<li>INFORMA\u00c7\u00c3O N\u00c3O SENS\u00cdVEL LIBER\u00c1VEL PARA O P\u00daBLICO (NON SENSITIVE INFORMATION RELEASABLE TO THE PUBLIC)<\/li>\n<\/ul>\n<h2>Rotulagem da informa\u00e7\u00e3o<\/h2>\n<p>Uma vez que voc\u00ea tenha classificado a informa\u00e7\u00e3o, voc\u00ea precisar\u00e1 rotul\u00e1-la apropriadamente \u2013 voc\u00ea deveria desenvolver orienta\u00e7\u00f5es para cada tipo de ativo de informa\u00e7\u00e3o sobre como ele precisa ser rotulado \u2013 novamente, a ISO 27001 n\u00e3o \u00e9 prescritiva aqui, ent\u00e3o voc\u00ea deve desenvolver suas pr\u00f3prias regras.<\/p>\n<p>Por exemplo, voc\u00ea poderia definir as regras para documentos em papel de tal forma que o n\u00edvel de confidencialidade seja indicado no canto superior direito de cada p\u00e1gina do documento, e que a classifica\u00e7\u00e3o tamb\u00e9m seja indicada na capa ou no envelope que transporta tal documento, assim como na pasta onde o documento \u00e9 armazenado.<\/p>\n<p>A rotulagem da informa\u00e7\u00e3o geralmente \u00e9 responsabilidade do propriet\u00e1rio da informa\u00e7\u00e3o.<\/p>\n<h2>Manuseio de ativos<\/h2>\n<p>Esta \u00e9 usualmente a parte mais complexa do processo de classifica\u00e7\u00e3o \u2013 voc\u00ea deveria desenvolver regras sobre como proteger cada tipo de ativo dependendo do n\u00edvel de confidencialidade. Por exemplo, voc\u00ea poderia usar uma tabela na qual voc\u00ea deve definir as regras para cada n\u00edvel de confidencialidade para cada tipo de m\u00eddia, por exemplo:<\/p>\n<table class=\"table\" style=\"text-align: left; width: 100%;\" border=\"0\" cellspacing=\"2\" cellpadding=\"2\">\n<thead>\n<tr>\n<td style=\"width: 25%;\"><\/td>\n<td style=\"width: 25%;\">Uso interno<\/td>\n<td style=\"width: 25%;\">Restrito<\/td>\n<td style=\"width: 25%;\">Confidencial<\/td>\n<\/tr>\n<\/thead>\n<tbody>\n<tr>\n<td style=\"padding-left: 5px;\">Documentos eletr\u00f4nicos<\/td>\n<td style=\"padding-left: 5px;\"><\/td>\n<td style=\"padding-left: 5px;\"><\/td>\n<td style=\"padding-left: 5px;\"><\/td>\n<\/tr>\n<tr>\n<td style=\"padding-left: 5px;\">Sistemas de informa\u00e7\u00e3o<\/td>\n<td style=\"padding-left: 5px;\"><\/td>\n<td style=\"padding-left: 5px;\"><\/td>\n<td style=\"padding-left: 5px;\"><\/td>\n<\/tr>\n<tr>\n<td style=\"padding-left: 5px;\">Documentos em papel<\/td>\n<td style=\"padding-left: 5px;\"><\/td>\n<td style=\"padding-left: 5px;\"><\/td>\n<td style=\"padding-left: 5px;\"><\/td>\n<\/tr>\n<tr>\n<td style=\"padding-left: 5px;\">M\u00eddia de armazenamento<\/td>\n<td style=\"padding-left: 5px;\"><\/td>\n<td style=\"padding-left: 5px;\"><\/td>\n<td style=\"padding-left: 5px;\"><\/td>\n<\/tr>\n<tr>\n<td style=\"padding-left: 5px;\">Informa\u00e7\u00e3o transmitida verbalmente<\/td>\n<td style=\"padding-left: 5px;\"><\/td>\n<td style=\"padding-left: 5px;\"><\/td>\n<td style=\"padding-left: 5px;\"><\/td>\n<\/tr>\n<tr>\n<td style=\"padding-left: 5px;\">Email<\/td>\n<td style=\"padding-left: 5px;\"><\/td>\n<td style=\"padding-left: 5px;\"><\/td>\n<td style=\"padding-left: 5px;\"><\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p>Desta forma nesta tabela, voc\u00ea pode definir que documentos em papel classificado como Restrito deveriam ser trancados em um arm\u00e1rio, documentos podem ser transferidos dentro e fora da organiza\u00e7\u00e3o apenas em um envelope fechado, e no caso de ser enviado para fora da organiza\u00e7\u00e3o, o documento deve ser enviado como entrega registrada.<\/p>\n<p>Como mencionado antes, a ISO 27001 permite a voc\u00ea definir suas pr\u00f3prias regras, e elas s\u00e3o geralmente definidas na pol\u00edtica de classifica\u00e7\u00e3o da informa\u00e7\u00e3o, ou nos procedimentos de classifica\u00e7\u00e3o.<\/p>\n<p>Assim, como voc\u00ea pode ver, o processo de classifica\u00e7\u00e3o pode ser complexo, mas ele n\u00e3o tem que ser incompreens\u00edvel \u2013 a ISO 27001 na verdade d\u00e1 a voc\u00ea uma grande liberdade, e voc\u00ea definitivamente deveria aproveitar esta vantagem: fa\u00e7a o processo adaptado as suas necessidades especiais, mas tamb\u00e9m seguros o bastante de forma que voc\u00ea possa assegurar que informa\u00e7\u00f5es sens\u00edveis estejam protegidas.<\/p>\n<p><em>Clique aqui para ver uma pr\u00e9-visualiza\u00e7\u00e3o gratuita da<\/em> <a href=\"https:\/\/advisera.com\/27001academy\/pt-br\/documentation\/politica-de-gestao-de-informacoes-classificadas\/\" target=\"_blank\" rel=\"noopener noreferrer\">Pol\u00edtica de classifica\u00e7\u00e3o da informa\u00e7\u00e3o<\/a>.<\/p>\n<p>N\u00f3s agradecemos a Rhand Leal pela tradu\u00e7\u00e3o para o portugu\u00eas.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>A classifica\u00e7\u00e3o da informa\u00e7\u00e3o \u00e9 certamente uma das partes mais atrativas da gest\u00e3o da seguran\u00e7a da informa\u00e7\u00e3o, mas ao mesmo tempo, uma das mais mal entendidas. Isto provavelmente se deve ao fato de que historicamente, a classifica\u00e7\u00e3o da informa\u00e7\u00e3o foi o primeiro elemento da seguran\u00e7a da informa\u00e7\u00e3o a ser gerenciado \u2013 muito antes do primeiro &#8230;<\/p>\n","protected":false},"author":26,"featured_media":82660,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[310],"tags":[906],"class_list":["post-4546","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-blog-pt-br","tag-iso-27001-pt-br"],"acf":[],"_links":{"self":[{"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts\/4546","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/users\/26"}],"replies":[{"embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/comments?post=4546"}],"version-history":[{"count":0,"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts\/4546\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/media\/82660"}],"wp:attachment":[{"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/media?parent=4546"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/categories?post=4546"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/tags?post=4546"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}