26/9/2004 Prof. Rossoni, Farias 1
Seguran
Seguranç ç a da Informaç a da Informa ção ão Aula 07
Aula 07
26/9/2004 Prof. Rossoni, Farias 2
Classifica
Classificaç ção de informa ão de informaç ções ões
“
“InformaInformaçção sempre tem valor. Se você não o souber, sempre hão sempre tem valor. Se você não o souber, sempre háá alguéalguém que imagina o quanto ela vale; e você pode ficar sabendo m que imagina o quanto ela vale; e você pode ficar sabendo somente quando for tarde demais.
somente quando for tarde demais.”” Informa
Informaçção ão ééo elemento que sintetiza a natureza de qualquer entidade, o elemento que sintetiza a natureza de qualquer entidade, expressando suas caracter
expressando suas caracteríísticas. O valor intrsticas. O valor intríínseco da informanseco da informaçção pode ser ão pode ser avaliado em fun
avaliado em funçção de sua importância e/ou utilidade e/ou valor financeiro ão de sua importância e/ou utilidade e/ou valor financeiro para a organiza
para a organizaçção. ão.
Isso nos permite classificar as informa
Isso nos permite classificar as informaçções de acordo com os seguintes ões de acordo com os seguintes crit
critéérios de proterios de proteçção:ão:
••Evitar destruiçEvitar destruiçãoão
•
•Evitar revelaçEvitar revelaçãoão
Aula 07
Aula 07
26/9/2004 Prof. Rossoni, Farias 3
Classifica
Classificaç ção de informa ão de informaç ções ões
(continuaç(continuação):ão):Uma pol
Uma políítica de classificatica de classificaçção de informaão de informaçções subordinaões subordina--se se ààpolpolíítica geral de tica geral de seguran
segurançça da empresa; a mesma deve estar baseada no valor das a da empresa; a mesma deve estar baseada no valor das informa
informaçções que estão sendo protegidas e no custo dessa proteões que estão sendo protegidas e no custo dessa proteçção. Se o ão. Se o custo da prote
custo da proteçção for proibitivo, ou ultrapassar o valor que a informaão for proibitivo, ou ultrapassar o valor que a informaçção ão tem para a organiza
tem para a organizaçção, mas ainda assim a informaão, mas ainda assim a informaçção tiver de ser ão tiver de ser considerada sigilosa ou importante para a continuidade do neg considerada sigilosa ou importante para a continuidade do negóócio, cio, éé conveniente fazer uma an
conveniente fazer uma anáálise de todo o processo que envolve essa lise de todo o processo que envolve essa informa
informaçção.ão.
Cada tipo de informa
Cada tipo de informaçção deve ser analisado cuidadosamente.ão deve ser analisado cuidadosamente.
De forma geral, a classifica
De forma geral, a classificaçção de informaão de informaçções quanto ao grau de proteões quanto ao grau de proteçção ão contra destrui
contra destruiçção ão ééimportante para a continuidade operacional dos importante para a continuidade operacional dos neg
negóócios da empresa, ou seja, envolve a utilidade das informacios da empresa, ou seja, envolve a utilidade das informaçções para as ões para as organiza
organizaçções; jões; jááa classificaça classificação quando ao grau de sigilo ão quando ao grau de sigilo ééimportante para importante para a estrat
a estratéégia de neggia de negóócios. cios. ÉÉantes de mais nada uma questão do grau e do antes de mais nada uma questão do grau e do tipo de utilidade.
tipo de utilidade.
Classifica
Classificaç ção de informa ão de informaç ções ões
(continuaç(continuação):ão):Ainda que normalmente, em fun
Ainda que normalmente, em funçção da concentraão da concentraçção de informaão de informaçções, a ões, a principal
principal áárea interessada na proterea interessada na proteçção dos ativos de informaão dos ativos de informaçção ão ééa a inform
informáática, a poltica, a políítica de classificatica de classificaçção de informaão de informaçções ultrapassa os limites ões ultrapassa os limites das ádas áreas interessadas dentro da organizareas interessadas dentro da organizaçção.ão.
Pol
Políítica de classificatica de classificaçção de informaão de informaçções ões ééum assunto que afeta um assunto que afeta toda a organiza
toda a organizaçção e não somente uma determinada ão e não somente uma determinada áárea.rea.
A organiza
A organizaçção deve estabelecer uma polão deve estabelecer uma políítica claramente formulada, tica claramente formulada, baseada nos princ
baseada nos princíípios a seguir e subordinada pios a seguir e subordinada ààpolpolíítica de segurantica de segurançça geral a geral e divulgar aos seus funcion
e divulgar aos seus funcionáários.rios.
Aula 07
Aula 07
26/9/2004 Prof. Rossoni, Farias 5
Direito de propriedade:
Direito de propriedade:
As informa
As informaçções geradas na empresa ou para ela, são ativos de sua ões geradas na empresa ou para ela, são ativos de sua propriedade que devem ser preservados e protegidos contra uso ou propriedade que devem ser preservados e protegidos contra uso ou divulga
divulgaçção indevidos.ão indevidos.
CritéCritérios claros de classificarios claros de classificaçção:ão:
As informa
As informaçções devem obedecer a critões devem obedecer a critéérios claros de classificarios claros de classificaçção quanto ão quanto aa necessidade de preserva
necessidade de preservaçção e proteão e proteçção, previamente divulgados, ão, previamente divulgados, subordinados
subordinados ààpolpolíítica de segurantica de segurançça geral da organizaa geral da organizaçção. As informaão. As informaçções ões que possam ser classificadas dentro desses crit
que possam ser classificadas dentro desses critéérios devem sêrios devem sê--lo segundo lo segundo crit
critéérios prrios próóprios e que faprios e que faççam parte dos anexos da polam parte dos anexos da políítica.tica.
Direito de acesso ligado
Direito de acesso ligado àànecessidade funcional:necessidade funcional:
As informa
As informaçções devem ser acessadas somente conforme a necessidade ou ões devem ser acessadas somente conforme a necessidade ou em necessidade do neg
em necessidade do negóócio. Esse conceito cio. Esse conceito éétambétambém conhecido como m conhecido como postura do menor privil
postura do menor priviléégio.gio.
26/9/2004 Prof. Rossoni, Farias 6
Razões para a classifica
Razões para a classificaçção de informaão de informaçções:ões:
Uma pol
Uma políítica de classificatica de classificaçção de informaão de informaçções ões éénecessnecessáária principalmente pelas ria principalmente pelas seguintes razões:
seguintes razões:
••Vulnerabilidade téVulnerabilidade técnica cnica ––quanto mais informatizado estiver o ambiente, maior quanto mais informatizado estiver o ambiente, maior a vulnerabilidade t
a vulnerabilidade téécnica do mesmo devido ao acesso quase indiscriminado e a cnica do mesmo devido ao acesso quase indiscriminado e a concentra
concentraçção de informaão de informaçções existentes.ões existentes.
•
•Diversidade humana –Diversidade humana –a resposta a determinado tipo de situaa resposta a determinado tipo de situaçção varia de ão varia de pessoa para pessoa em fun
pessoa para pessoa em funçção direta do ambiente, de sua experiência, etc. Atão direta do ambiente, de sua experiência, etc. Atéé a mesma pessoa a resposta pode variar com o tempo e com as condi
a mesma pessoa a resposta pode variar com o tempo e com as condiçções do ões do momento, especialmente se não houver um crit
momento, especialmente se não houver um critéério para ser avaliar o que rio para ser avaliar o que éé esperado ou apropriado.
esperado ou apropriado.
••Influências externas e/ou internas –Influências externas e/ou internas –mesmo na falta de um processo formal mesmo na falta de um processo formal de classifica
de classificaçção a variedade de requisitos existentes implica a necessidade deão a variedade de requisitos existentes implica a necessidade de crit
critéérios especiais de classificarios especiais de classificaçção e exige medidas de proteão e exige medidas de proteçção. Isso pode ão. Isso pode incluir: legisla
incluir: legislaçção financeira/ tributão financeira/ tributáária/ bancria/ bancáária/ a respeito do sigilo ou ria/ a respeito do sigilo ou seguran
segurançça de informaa de informaçções, interligaões, interligaçção cada vez maior com a Internet, entre ão cada vez maior com a Internet, entre outros.
outros.
Aula 07
Aula 07
26/9/2004 Prof. Rossoni, Farias 7
Regras para a classifica
Regras para a classificaç ção e identifica ão e identificaç ção de informa ão de informaç ções: ões:
De maneira geral, a pol
De maneira geral, a políítica de classificatica de classificaçção das informaão das informaçções deve contemplar ões deve contemplar os seguintes aspectos:
os seguintes aspectos:
•• Responsabilidade Responsabilidade ––estabelecer claramente as responsabilidades das áestabelecer claramente as responsabilidades das áreas reas envolvidas;
envolvidas;
•• Regras de identificaRegras de identificaçção e classificaão e classificaçção ão ––estabelecer categorias de estabelecer categorias de classifica
classificaçção, fornecer exemplos e requisitos de identificaão, fornecer exemplos e requisitos de identificaçção e os padrões ão e os padrões para preserva
para preservaçção e proteão e proteçção;ão;
•• Regras gerais Regras gerais ––requisitos comuns a todas as categorias de informaçrequisitos comuns a todas as categorias de informação, ão, para ambos crit
para ambos critéérios de classificarios de classificaçção. As regras gerais mais comuns são:ão. As regras gerais mais comuns são:
•
• responsabilidades individuais pela posse e custresponsabilidades individuais pela posse e custóódia da informadia da informaçção ão
•
• responsabilidade da hierarquia quanto a transferência de posseresponsabilidade da hierarquia quanto a transferência de posse
•• responsabilidade pela identificaçresponsabilidade pela identificação e classificaão e classificaçção das informaão das informaççõesões
•• critécritérios de divulgarios de divulgaççãoão
•• cumprimento da polícumprimento da política de classificatica de classificaççãoão
•
• tratamento a ser dado em casos de infraçtratamento a ser dado em casos de infrações ões ààpolípolíticatica
•
• tratamento a ser dado em caso de exceçtratamento a ser dado em caso de exceçãoão
•• Regras especíRegras específicas ficas ––relacionada com os critérelacionada com os critérios para identificar e rios para identificar e classificar informa
classificar informaçções quanto ões quanto ààsua protesua proteçção contra revelaão contra revelaçção, mas que ão, mas que tamb
tambéém aplica a preservam aplica a preservaçção. Exemplo: eliminaão. Exemplo: eliminaçção fão fíísica de informasica de informaçções ões residentes em m
residentes em míídia magndia magnéética. tica.
Estas regras devem contemplar:
Estas regras devem contemplar:
•
• PreparaçPreparação e manuseio ão e manuseio ––deve especificar quem tem autorizaçdeve especificar quem tem autorização para ão para preparar e manusear requisitos de identifica
preparar e manusear requisitos de identificaçção e classificaão e classificaçção de ão de informa
informaçções de entrada, arquivos intermediões de entrada, arquivos intermediáários, rascunhos, esborios, rascunhos, esboçços, os, sucata.
sucata.
Aula 07
Aula 07
26/9/2004 Prof. Rossoni, Farias 9
•
• ReproduçReprodução ão ––deve especificar o ndeve especificar o níível hiervel hieráárquico necessrquico necessáário para rio para reproduzir informa
reproduzir informaçções classificadas ou autorizar sua reproduões classificadas ou autorizar sua reproduçção, em ão, em fun
funçção de sua classificaão de sua classificaçção.ão.
•• DistribuiçDistribuição/ divulgaão/ divulgaçção ão ––deve especificar quem tem autorizadeve especificar quem tem autorizaçção para ão para determinar os crit
determinar os critéérios para distribuirios para distribuiçção e/ou divulgaão e/ou divulgaçção de informaão de informaçções ões sens
sensííveis e como esses procedimentos devem regulamentar essa veis e como esses procedimentos devem regulamentar essa distribui
distribuiçção.ão.
•• Transferência –Transferência –deve especificar os critdeve especificar os critéérios de transferência de rios de transferência de informa
informaçções classificadas, em funões classificadas, em funçção de sua classificaão de sua classificaçção.ão.
•• Armazenamento –Armazenamento –deve especificar os critdeve especificar os critéérios de armazenamento de rios de armazenamento de informa
informaçções classificadas, em funões classificadas, em funçção de sua classificaão de sua classificaçção.ão.
•
• Perda –Perda –deve especificar como os casos de perda devem ser relatados e deve especificar como os casos de perda devem ser relatados e acompanhados.
acompanhados.
•• DestruiçDestruição/eliminaão/eliminaçção ão ––deve especificar os critdeve especificar os critéérios para destruirios para destruiçção ão e/ou elimina
e/ou eliminaçção de informaão de informaçções, quando deixarem de ser necessões, quando deixarem de ser necessáárias, rias, em fun
em funçção de sua classificaão de sua classificaçção.ão.
26/9/2004 Prof. Rossoni, Farias 10
•• RecuperaçRecuperação ão ––deve especificar os critédeve especificar os critérios para recuperarios para recuperaçção de ão de informa
informaçções, em funões, em funçção de sua classificaão de sua classificaçção.ão.
Aula 07 Aula 07
Aspectos regulamentados por uma pol
Aspectos regulamentados por uma políítica de classificatica de classificaçção de informaão de informaçções.ões.
Recupera Recuperaççãoão Destrui
Destruiççãoão
Perda Perda Classifica
Classificaçção de ão de informa informaççõesões Armazenamento
Armazenamento
Transferência Transferência Distribui
Distribuiçção / ão / divulga divulgaççãoão Reprodu
Reproduççãoão
26/9/2004 Prof. Rossoni, Farias 11
•• Regras especiais –Regras especiais –os critéos critérios especiais devem ser agrupados nesta rios especiais devem ser agrupados nesta seçseção, a exemplo dos critão, a exemplo dos critéérios relacionados com processamento de rios relacionados com processamento de texto.
texto.
Deve ser exigida obediência, mas tamb
Deve ser exigida obediência, mas tambéém deve haver bom senso para m deve haver bom senso para simplificar a pol
simplificar a políítica. Sempre que necesstica. Sempre que necessáário, deve ser permitido que rio, deve ser permitido que situa
situaçções especiais, e que não tenham sido completadas na polões especiais, e que não tenham sido completadas na políítica ou em tica ou em seus crit
seus critéérios, desde que devidamente justificadas, obederios, desde que devidamente justificadas, obedeççam a critam a critéérios que rios que as atendam.
as atendam.
Modelo de classifica
Modelo de classifica ção de informa ç ão de informaç ções: ões:
Segue uma sugestão. Cada organiza
Segue uma sugestão. Cada organizaçção deve avaliar o modelo de ão deve avaliar o modelo de classifica
classificaçção de informaão de informaçções que melhor atenda a suas necessidades.ões que melhor atenda a suas necessidades.
Neste descrevemos dois modelos de sistemas de classifica Neste descrevemos dois modelos de sistemas de classificaçção de ão de informa
informaçções:ões:
1.1. Refere-Refere-se se ààclassificaclassificaçção de informaão de informaçções para efeito de ões para efeito de preserva
preservaçção contra destruião contra destruiçção ;ão ; 2.
2. Refere-Refere-se se ààclassificaclassificaçção de informaão de informaçções quanto ao grau de sigilo ões quanto ao grau de sigilo das mesmas.
das mesmas.
Aula 07
Aula 07
26/9/2004 Prof. Rossoni, Farias 13
Classifica
Classificaçção quanto ão quanto àànecessidade de preservaçnecessidade de preservação:ão:
Vital
Vital ––ééa informaa informaçção essencial para a sobrevivência da organizaão essencial para a sobrevivência da organizaçção, sem a ão, sem a qual ela não pode funcionar.
qual ela não pode funcionar.
Cr
Críítica tica ––ééa informaa informaçção crucial para a consecuão crucial para a consecuçção dos objetivos da ão dos objetivos da organiza
organizaçção.ão.
Valiosa
Valiosa ––ééa informaa informaçção de valor reconhecido para segmentos ou indivão de valor reconhecido para segmentos ou indivííduos duos dentro da companhia. Sua perda pode causar graves transtornos pa dentro da companhia. Sua perda pode causar graves transtornos para ra fun
funçções da empresa.ões da empresa.
26/9/2004 Prof. Rossoni, Farias 14
Classifica
Classificaçção quanto ão quanto àànecessidade de preservanecessidade de preservaçção ão (continua(continuaçção)ão): : 1. Requisitos de preven
1. Requisitos de prevençção ão ÆÆ ééonde devem estar descritas as diretrizes que onde devem estar descritas as diretrizes que digam respeito
digam respeito ààpreservaçpreservação de informaão de informaçções da organizaões da organizaçção.ão.
Vitais: devem ser mantidas sem exce
Vitais: devem ser mantidas sem exceçção, isto ão, isto éé, as informa, as informaçções vitais a ões vitais a sobrevivência da organiza
sobrevivência da organizaçção devem ter sempre sua preservaão devem ter sempre sua preservaçção ão garantida, a despeito das amea
garantida, a despeito das ameaçças que sofram.as que sofram.
Cr
Crííticas: devem ser mantidas, a não ser que uma exceticas: devem ser mantidas, a não ser que uma exceçção adequadamente ão adequadamente documentada o justifique.
documentada o justifique.
Valiosas: devem ser mantidas em fun
Valiosas: devem ser mantidas em funçção do custo/benefão do custo/benefíício. Sua cio. Sua preserva
preservaçção ão ééacima de tudo uma questão de grau.acima de tudo uma questão de grau.
Aula 07
Aula 07
26/9/2004 Prof. Rossoni, Farias 15
Classifica
Classificaçção quanto ão quanto àànecessidade de preservanecessidade de preservaçção ão (continua(continuaçção)ão):: 2. Requisitos de restaura
2. Requisitos de restauraçção ão ÆÆ ééonde devem estar descritas as diretrizes onde devem estar descritas as diretrizes que digam respeito
que digam respeito ààrestauraçrestauração de informaão de informaçções da organizaões da organizaçção.ão.
Vitais: devem ser mantidas todas as fontes usadas para gerar as Vitais: devem ser mantidas todas as fontes usadas para gerar as
informa
informaçções, com a quantidade de cões, com a quantidade de cóópias que forem necesspias que forem necessáárias e nas rias e nas versões que garantam a seguran
versões que garantam a segurançça ma mááxima, em vxima, em váários lugares rios lugares separados.
separados.
Cr
Crííticas: devem ser mantidas todas as fontes usadas para gerar as ticas: devem ser mantidas todas as fontes usadas para gerar as informa
informaçções, a não ser que uma exceões, a não ser que uma exceçção adequadamente ão adequadamente
documentada o justifique, neste caso deve ser mantido um caminho documentada o justifique, neste caso deve ser mantido um caminho de restaura
de restauraçção a partir de versões anteriores.ão a partir de versões anteriores.
Valiosas: devem ser mantidas em fun
Valiosas: devem ser mantidas em funçção do custo/benefão do custo/benefíício.cio.
Classifica
Classificaçção quanto ão quanto àànecessidade de preservanecessidade de preservaçção ão (continua(continuaçção)ão):: 3. Requisitos de armazenamento
3. Requisitos de armazenamento ÆÆ ééonde devem estar descritas as onde devem estar descritas as diretrizes que digam respeito ao armazenamento de informa diretrizes que digam respeito ao armazenamento de informaçções da ões da organiza
organizaçção.ão.
Vitais: devem ser armazenadas em pelo menos três locais que gara Vitais: devem ser armazenadas em pelo menos três locais que garantam a ntam a
seguran
segurançça ma mááxima. xima.
Cr
Crííticas: devem ser armazenadas em pelo menos dois locais que garanticas: devem ser armazenadas em pelo menos dois locais que garantam tam a seguran
a segurançça ma mááxima.xima.
Valiosas: devem ser armazenadas em pelo menos um local que garan Valiosas: devem ser armazenadas em pelo menos um local que garanta a ta a
seguran
segurançça ma mááxima.xima.
Aula 07
Aula 07
26/9/2004 Prof. Rossoni, Farias 17
Classifica
Classificaçção quanto ão quanto àànecessidade de preservanecessidade de preservaçção ão (continua(continuaçção)ão):: 4. Transporte de c
4. Transporte de cóópias pias ÆÆ ééonde devem estar descritas as diretrizes que onde devem estar descritas as diretrizes que digam respeito ao transporte de c
digam respeito ao transporte de cóópias de informapias de informaçções da organizaões da organizaçção.ão.
(quando nos referimos
(quando nos referimos ààccóópia de uma informapia de uma informaçção, estamos nos referindoão, estamos nos referindo a todas as c
a todas as cóópias de uma mesma gerapias de uma mesma geraçção.)ão.) Vitais, Cr
Vitais, Crííticas e Valiosas: as cticas e Valiosas: as cóópias da mesma gerapias da mesma geraçção não devem ser ão não devem ser transportadas simultaneamente. Todas as c
transportadas simultaneamente. Todas as cóópias da gerapias da geraçção a ser ão a ser substitu
substituíída sda sóódevem ser removidas de seu locais de armazenamento devem ser removidas de seu locais de armazenamento ap
apóós a chegada das cs a chegada das cóópias da nova gerapias da nova geraçção e avaliadas suas ão e avaliadas suas condi
condiçções. ões.
26/9/2004 Prof. Rossoni, Farias 18
Classifica
Classificaçção quanto ão quanto àànecessidade de preservanecessidade de preservaçção ão (continua(continuaçção)ão):: 5. Elimina
5. Eliminaçção da versão antiga ão da versão antiga ÆÆIndependentemente da importância da Independentemente da importância da informa
informaçção, este critão, este critéério deve ser uniforme para as três categorias rio deve ser uniforme para as três categorias ––vitais, vitais, cr
crííticas e valiosa. Este ticas e valiosa. Este ééum critéum critério de proterio de proteçção que se refere mais a um ão que se refere mais a um processo operacional do que
processo operacional do que ààimportância da informaimportância da informaçção para a empresa. ão para a empresa.
Em qualquer das três categorias, s
Em qualquer das três categorias, sóódeve ser eliminada a versão da códeve ser eliminada a versão da cópia pia substitu
substituíída, e sda, e sóóapapóós a sua substituis a sua substituiçção. Antes da eliminaão. Antes da eliminaçção da cão da cóópia a pia a ser substitu
ser substituíída deveda deve--se garantir que a nova cse garantir que a nova cóópia esteja em perfeitas pia esteja em perfeitas condi
condiçções.ões.
Aula 07
Aula 07
26/9/2004 Prof. Rossoni, Farias 19
Classifica
Classificaçção quanto ão quanto àànecessidade de proteçnecessidade de proteção contra revelaão contra revelaçção:ão:
Secreta
Secreta ––ééa informaça informação de importância crucial para os objetivos da empresa. ão de importância crucial para os objetivos da empresa.
Sua revela
Sua revelaçção prematura poderão prematura poderáátrazer strazer séérios embararios embaraçços acarretando os acarretando preju
prejuíízos financeiros ou perda de participazos financeiros ou perda de participaçção ou competitividade do ão ou competitividade do mercado. Estas informa
mercado. Estas informaçções estão classificadas como vitais.ões estão classificadas como vitais.
Confidencial
Confidencial ––ééa informaa informaçção de importância especial, estão relacionadas com ão de importância especial, estão relacionadas com questões de privacidade ou sigilo comercial. Estas informa
questões de privacidade ou sigilo comercial. Estas informaçções estão ões estão classificadas como cr
classificadas como crííticas.ticas.
Uso interno
Uso interno ––ééa informaça informação relacionada normalmente com a organizaão relacionada normalmente com a organizaçção interna ão interna da empresa. Estas informa
da empresa. Estas informaçções estão classificadas como valiosas.ões estão classificadas como valiosas.
Qualquer informa
Qualquer informaçção eu não seja classificada em nenhuma das categorias acima ão eu não seja classificada em nenhuma das categorias acima pode ser liberada para divulga
pode ser liberada para divulgaçção pão púública, sem restriblica, sem restriçções. ões.
Classifica
Classificaçção quanto ão quanto àànecessidade de proteçnecessidade de proteção contra revelaão contra revelaççãoão 1. Controle da divulga
1. Controle da divulgaçção ão ÆÆ devem estar descritas as diretrizes que digam devem estar descritas as diretrizes que digam respeito ao controle da informa
respeito ao controle da informaçção de informaão de informaçções da organizaões da organizaçção.ão.
Secreta e Confidencial: s
Secreta e Confidencial: sóódeve ser divulgada para quem precisa saber em deve ser divulgada para quem precisa saber em fun
funçção da necessidade de servião da necessidade de serviçço; seu nome deve constar de lista de o; seu nome deve constar de lista de autoriza
autorizaçção previamente aprovada. ão previamente aprovada.
Uso interno: para qualquer funcion Uso interno: para qualquer funcionáário.rio.
Aula 07
Aula 07
26/9/2004 Prof. Rossoni, Farias 21
Classifica
Classificaçção quanto ão quanto àànecessidade de proteçnecessidade de proteção contra revelaão contra revelaççãoão 2. Controle da c
2. Controle da cóópias pias ÆÆ devem estar descritas as diretrizes que digam devem estar descritas as diretrizes que digam respeito ao controle de c
respeito ao controle de cóópias de informapias de informaçções da organizaões da organizaçção.ão.
Secreta e Confidencial: s
Secreta e Confidencial: sóódeve ser divulgada para quem precisa saber em deve ser divulgada para quem precisa saber em fun
funçção da necessidade de servião da necessidade de serviçço; seu nome deve constar de lista de o; seu nome deve constar de lista de autoriza
autorizaçção previamente aprovada. ão previamente aprovada.
Uso interno: para qualquer funcion Uso interno: para qualquer funcionáário.rio.
26/9/2004 Prof. Rossoni, Farias 22
Classifica
Classificaçção quanto ão quanto àànecessidade de proteçnecessidade de proteção contra revelaão contra revelaççãoão 3. Armazenamento
3. Armazenamento ÆÆ devem estar descritas as diretrizes que digam respeito devem estar descritas as diretrizes que digam respeito ao armazenamento de informa
ao armazenamento de informaçções da organizaões da organizaçção.ão.
Secreta: arquivo de seguran
Secreta: arquivo de segurançça total, com registro do contea total, com registro do conteúúdo do arquivo em do do arquivo em outro arquivo. A pessoa que est
outro arquivo. A pessoa que estáácontrolando o armazenamento de controlando o armazenamento de informa
informaçções secretas deve ter autorizaões secretas deve ter autorizaçção formal para isto.ão formal para isto.
Confidencial: arquivo de seguran Confidencial: arquivo de segurançça. a.
Uso interno: op
Uso interno: opçção local.ão local.
Aula 07
Aula 07
26/9/2004 Prof. Rossoni, Farias 23
Classifica
Classificaçção quanto ão quanto àànecessidade de proteçnecessidade de proteção contra revelaão contra revelaççãoão 4. Transporte interno e expedi
4. Transporte interno e expediçção ão ÆÆ devem estar descritas as diretrizes que devem estar descritas as diretrizes que digam respeito ao transporte interno de c
digam respeito ao transporte interno de cóópias de informapias de informaçções da ões da organiza
organizaçção.ão.
Secreta: em recipiente simples com identifica
Secreta: em recipiente simples com identificaçção do grau de sensibilidade. ão do grau de sensibilidade.
Entretanto, deve ser evitado o uso do transporte em malotes inte Entretanto, deve ser evitado o uso do transporte em malotes internos, rnos, dando
dando--se preferência se preferência ààentrega pessoal por pessoa devidamente entrega pessoal por pessoa devidamente autorizada.
autorizada.
Confidencial:
Confidencial: em recipiente simples com identificaem recipiente simples com identificaçção do grau de ão do grau de sensibilidade
sensibilidade. .
Uso interno: pode ser transportado aberta.
Uso interno: pode ser transportado aberta.
Classifica
Classificaçção quanto ão quanto àànecessidade de proteçnecessidade de proteção contra revelaão contra revelaççãoão 5. Transporte externo
5. Transporte externo ÆÆ devem estar descritas as diretrizes que digam respeito devem estar descritas as diretrizes que digam respeito ao transporte externo de c
ao transporte externo de cóópias de informapias de informaçções da organizaões da organizaçção.ão.
Secreta: em recipiente simples com identifica
Secreta: em recipiente simples com identificaçção do grau de sensibilidade. O ão do grau de sensibilidade. O transporte e a entrega devem ser efetuados sempre por pessoas transporte e a entrega devem ser efetuados sempre por pessoas autorizadas.
autorizadas.
Confidencial:
Confidencial: em recipiente simples com identificaem recipiente simples com identificaçção do grau de ão do grau de sensibilidade
sensibilidade. . O transporte e a entrega devem ser efetuados, O transporte e a entrega devem ser efetuados, preferencialmente, por pessoas autorizadas.
preferencialmente, por pessoas autorizadas.
Uso interno: em recipiente simples.
Uso interno: em recipiente simples.
Aula 07
Aula 07
26/9/2004 Prof. Rossoni, Farias 25
Classifica
Classificaçção quanto ão quanto àànecessidade de proteçnecessidade de proteção contra revelaão contra revelaççãoão 6. Transmissão via linha telefônica
6. Transmissão via linha telefônica ÆÆ devem estar descritas as diretrizes que devem estar descritas as diretrizes que digam respeito
digam respeito ààtransmissão de informatransmissão de informaçções da organizaões da organizaçção atravão atravéés de s de linhas de telefones.
linhas de telefones.
a)a) Transmissão de voz: Transmissão de voz:
Secreta e confidencial: proibida. Linhas telefônicas são muito s
Secreta e confidencial: proibida. Linhas telefônicas são muito suscetuscetííveis veis a intercepta
a interceptaçção, mesmo dentro de ambientes controlados.ão, mesmo dentro de ambientes controlados.
Uso interno: permitida.
Uso interno: permitida.
b)
b) Transmissão de dados:Transmissão de dados:
Secreta e Confidencial: se o meio de transmissão, do ponto inici Secreta e Confidencial: se o meio de transmissão, do ponto inicial ao al ao final, estiver sob controle completo da organiza
final, estiver sob controle completo da organizaçção, pode ser transmitida ão, pode ser transmitida em texto claro, a crit
em texto claro, a critéério de seu criador. Se o meio de transmissão, do rio de seu criador. Se o meio de transmissão, do ponto inicial ao final , não estiver sob controle da companhia,
ponto inicial ao final , não estiver sob controle da companhia, a a informa
informaçção deve ser transmitida criptografada. ão deve ser transmitida criptografada.
Uso interno: permitido em texto livre para qualquer caso.
Uso interno: permitido em texto livre para qualquer caso.
26/9/2004 Prof. Rossoni, Farias 26
Conclusão Conclusão
O trabalho de classifica
O trabalho de classificaç ção deve obedecer a um padrão ão deve obedecer a um padrão ú único nico para toda a organiza
para toda a organizaç ção, para que cada funcion ão, para que cada funcioná ário saiba que rio saiba que comportamento adotar em rela
comportamento adotar em relaç ção a informa ão a informaç ções que esteja ões que esteja manuseando, não importando quem as tem gerado.
manuseando, não importando quem as tem gerado.
Para avaliar a importância de informa
Para avaliar a importância de informaç ções para a empresa deve ões para a empresa deve se fazer uso do mesmo ferramental empregado para an
se fazer uso do mesmo ferramental empregado para aná álise de lise de risco econômico da seguran
risco econômico da seguranç ça, visto que a classifica a, visto que a classificaç ção de ão de informa
informaç ções não deixa de ser tamb ões não deixa de ser també ém uma esp m uma espé écie de an cie de aná álise de lise de risco econômico do quanto a informa
risco econômico do quanto a informaç ção vale para a empresa. ão vale para a empresa.
Aula 07
Aula 07
26/9/2004 Prof. Rossoni, Farias 27