Aula 07
Classificação da Informação
“Classificações grosseiras e generalizações falsas são a maldição da vida organizada.”
Revisão: Aula 06
Introdução
Política de Classificação da Informação
Leitura Recomendada
Considerações Finais
Referências Bibliográficas
Concluímos o estudo sobre o desenvolvimento de PSI;
Estudamos definições, pontos críticos, estrutura e abordagens
Com isso todo conteúdo necessário para o desenvolvimento da PSI foi formalmente visto e discutido em sala de aula.
A Importância da Informação Revisão
Exemplos Desafios
Objetivos da Classificação da Informação
Identificar quais os níveis de proteção que as informações disponíveis na organização requerem ;
Uma informação pode ser classificada com base em diversos critérios, entre eles: sigilo, valor e criticidade.
Definir níveis de proteção e os controles a serem implementados ao longo do ciclo de vida da informação;
Ciclo de Vida da Informação
Manuseio
Refere-se ao instante em que a informação é criada e/ou passa a ser manipulada;
Armazenamento
Como / onde armazenar determinados tipos de informações;
Transporte
Abrange todo o tipo de transporte possível para uma informação (fax, email, entrega via transportadora, etc.)
Descarte
Procedimentos a serem adotados no momento da exclusão de um informação e quando o descarte deve ocorrer.
Definição
Conjunto de normas, procedimentos e instruções existentes que tratam sobre como proteger as informações;
Premissas
Deve estar em conformidade com a cultura e realidade (complexidade) da organização;
Need to Know, nada mais do que o necessário, apenas isso; Levantamento de Informações
Leis, normas, acordos, necessidades do negocio e regulamentações; Esfera governamental (decreto 4553 – Casa Civil)
Considere ainda ...
As informações (independente do seu formato) possuem finalidades específicas e, portanto, destinam-se a determinados grupos de usuários – confidencialidade;
O Grau de Sigilo de uma informação é uma classificação (rótulo) atribuída a cada tipo de informação com base no seu conteúdo e tendo em vista o público que deverá ter acesso;
Exemplos de Rótulos Empresas: Confidencial Privada Sigilosa Pública
Política de Classificação da Informação
Exemplos de Rótulos
Governo e Instituições Militares: Ultra Secreta
Secreta
Confidencial Sigilosa
Definição do Nível de Sigilo
Não basta, apenas, definir os rótulos de classificação é necessário desenvolver e comunicar os critérios utilizados para cada nível;
Valor da Informação;
Consequência do vazamento dessa informação;
Consequência da modificação indevida dessa informação;
É fundamental definir e atribuir funções e responsabilidades; Prazos e ações (revisão da classificação);
Instruir sobre Controles x Etapa do Ciclo de Vida da Informação
Descrição dos Textos de Apoio
Texto 17: Sociedade do Conhecimento - Capítulo 1, Livro “Gestão da Segurança da Informação”; (pasta 137)
Texto 18: Information Classification – Chapter 3, Livro “All In One CISSP Exam Guide” (pasta 137);
Descrição dos Textos de Apoio
Texto 19: Implementing Information Classification within the Enterprise (disponível na página da disciplina).
Benefícios da Classificação da Informação
Proteção das informações importantes / vitais para o negócio; Define e compartilha responsabilidades entre as partes – o
compromisso é de todos os envolvidos no processo;
Ajuda a criar a cultura da segurança da informação (conscientização);
Uso racional dos recursos (controles) utilizados para proteger as informações;
Escritório Limpo
Um Programa de Classificação da Informação serve de base para implementar o controle 10.3.3 (mesa e tela limpa).
Depois de entender o objetivo de controle supracitado (consulte a norma) identifique os riscos do cenário apresentado a seguir.
Sêmola, Marcos. Gestão da Segurança da Informação: Uma Visão
Executiva. Rio de Janeiro, Ed. Campus, 2003.
ABNT NBR ISO/IEC 17799:2005. Código de Prática para a Gestão
da Segurança da Informação.
Ramos, Anderson. Guia Oficial para Formação de Gestores em
Segurança da Informação