Classificação da Informação de acordo com a ISO 27001

A classificação da informação é certamente uma das partes mais atrativas da gestão da segurança da informação, mas ao mesmo tempo, uma das mais mal entendidas. Isto provavelmente se deve ao fato de que historicamente, a classificação da informação foi o primeiro elemento da segurança da informação a ser gerenciado – muito antes do primeiro computador ser construído, governos, militares, e também corporações, rotularam suas informações como confidencial. Contudo, o processo sobre como isso funcionava permaneceu de certa forma um mistério.

Assim, neste artigo apresentarei a vocês uma visão geral sobre como a classificação da informação funciona, e como torná-la conforme com a ISO 27001, a principal norma de segurança da informação. Embora a classificação possa ser feita de acordo com outro critério, vou falar sobre classificação em termos de confidencialidade, porque este é o tipo mais comum de classificação da informação.

O processo em quatro etapas para gerenciar informações classificadas

A boa prática diz que a classificação deveria ser feita de acordo com o seguinte processo:

Classificação da Informação de acordo com a ISO 27001 - 27001Academy

Isto significa que: (1) a informação deveria ser inserida em um Inventário de Ativos (controle A.8.1.1 da ISO 27001), (2) ela deveria ser classificada (A.8.2.1), (3) então ela deveria ser rotulada (A.8.2.2), e finalmente (4) ela deveria ser manuseada de forma segura (A.8.2.3).

Em muitos casos, organizações irão desenvolver uma Política de Classificação da Informação, a qual deveria descrever todas estas quatro etapas – veja o texto abaixo para cada uma destas etapas.

Inventário de ativos (Registro de ativo)

O propósito em se desenvolver um inventário de ativos é para que você saiba quais informações classificadas você tem em sua posse, e quem é responsável por elas (i.e., que é o proprietário).

Informação classificada pode estar em diferentes formatos e tipos de mídia, como por exemplo:

  • documentos eletrônicos
  • sistemas de informação / bases de dados
  • documentos em papel
  • mídias de armazenamento (ex.: discos, cartões de memória, etc.)
  • informação transmitida verbalmente
  • email

Classificação da informação

A ISO 27001 não prescreve os níveis de classificação – isto é algo que você deveria desenvolver por conta própria, baseado no que é mais comum em seu país ou indústria. Quanto maior e mais complexa sua organização, mais níveis de confidencialidade você terá – por exemplo, para organizações de médio porte você pode utilizar este tipo de níveis de classificação da informação, com três níveis de confidencialidade e um nível público:

  • Confidencial (o mais alto nível de confidencialidade)
  • Restrita (médio nível de confidencialidade)
  • Uso interno (o mais baixo nível de confidencialidade)
  • Pública (todos podem ver a informação)

Em muitos casos, o proprietário do ativo é o responsável por classificar a informação – e isto é usualmente feito com base nos resultados da análise/avaliação de riscos: quanto maior o valor da informação (quanto maiores as consequências de uma quebra da confidencialidade), maior deveria ser o nível de classificação. (Veja também Avaliação e tratamento de riscos segundo a ISO 27001 – 6 etapas básicas.)

Muito frequentemente, uma organização pode ter dois esquemas de classificação diferentes implantados no caso de trabalhar tanto como o setor governamental quanto com o privado. Por exemplo, a OTAN requer a seguinte classificação com quatro níveis de confidencialidade e dois níveis públicos:

  • Cósmico Altamente secreto (Cosmic Top Secret)
  • OTAN Secreto (NATO Secret)
  • OTAN Confidencial (NATO Confidential)
  • OTAN Restrito (NATO Restricted)
  • OTAN Não Classificado (direito autoral) (NATO Unclassified (copyright))
  • INFORMAÇÃO NÃO SENSÍVEL LIBERÁVEL PARA O PÚBLICO (NON SENSITIVE INFORMATION RELEASABLE TO THE PUBLIC)

Rotulagem da informação

Uma vez que você tenha classificado a informação, você precisará rotulá-la apropriadamente – você deveria desenvolver orientações para cada tipo de ativo de informação sobre como ele precisa ser rotulado – novamente, a ISO 27001 não é prescritiva aqui, então você deve desenvolver suas próprias regras.

Por exemplo, você poderia definir as regras para documentos em papel de tal forma que o nível de confidencialidade seja indicado no canto superior direito de cada página do documento, e que a classificação também seja indicada na capa ou no envelope que transporta tal documento, assim como na pasta onde o documento é armazenado.

A rotulagem da informação geralmente é responsabilidade do proprietário da informação.

Manuseio de ativos

Esta é usualmente a parte mais complexa do processo de classificação – você deveria desenvolver regras sobre como proteger cada tipo de ativo dependendo do nível de confidencialidade. Por exemplo, você poderia usar uma tabela na qual você deve definir as regras para cada nível de confidencialidade para cada tipo de mídia, por exemplo:

Uso interno Restrito Confidencial
Documentos eletrônicos
Sistemas de informação
Documentos em papel
Mídia de armazenamento
Informação transmitida verbalmente
Email

Desta forma nesta tabela, você pode definir que documentos em papel classificado como Restrito deveriam ser trancados em um armário, documentos podem ser transferidos dentro e fora da organização apenas em um envelope fechado, e no caso de ser enviado para fora da organização, o documento deve ser enviado como entrega registrada.

Como mencionado antes, a ISO 27001 permite a você definir suas próprias regras, e elas são geralmente definidas na política de classificação da informação, ou nos procedimentos de classificação.

Assim, como você pode ver, o processo de classificação pode ser complexo, mas ele não tem que ser incompreensível – a ISO 27001 na verdade dá a você uma grande liberdade, e você definitivamente deveria aproveitar esta vantagem: faça o processo adaptado as suas necessidades especiais, mas também seguros o bastante de forma que você possa assegurar que informações sensíveis estejam protegidas.

Clique aqui para ver uma pré-visualização gratuita da Política de classificação da informação.

Nós agradecemos a Rhand Leal pela tradução para o português.

Advisera Dejan Kosutic
Autor
Dejan Kosutic
Leading expert on cybersecurity & information security and the author of several books, articles, webinars, and courses. As a premier expert, Dejan founded Advisera to help small and medium businesses obtain the resources they need to become compliant with EU regulations and ISO standards. He believes that making complex frameworks easy to understand and simple to use creates a competitive advantage for Advisera's clients, and that AI technology is crucial for achieving this.

As an ISO 27001 and NIS 2 expert, Dejan helps companies find the best path to compliance by eliminating overhead and adapting the implementation to their size and industry specifics.
Tag: #ISO 27001