Segurança a da Informação Aula 07. Aula 07

Transcrição

1 Segurança a da Informação Prof. Rossoni, Farias 1 Classificação de informações Informação sempre tem valor. Se você não o souber, sempre há alguém que imagina o quanto ela vale; e você pode ficar sabendo somente quando for tarde demais. Informação é o elemento que sintetiza a natureza de qualquer entidade, expressando suas características. O valor intrínseco nseco da informação pode ser avaliado em função de sua importância e/ou utilidade e/ou valor financeiro para a organização. Isso nos permite classificar as informações de acordo com os seguintes critérios rios de proteção: Evitar destruição Evitar revelação Prof. Rossoni, Farias 2 1

2 Classificação de informações (continuação): Uma política de classificação de informações subordina-se se à política geral de segurança a da empresa; a mesma deve estar baseada no valor das informações que estão sendo protegidas e no custo dessa proteção. Se o custo da proteção for proibitivo, ou ultrapassar o valor que a informação tem para a organização, mas ainda assim a informação tiver de ser considerada sigilosa ou importante para a continuidade do negócio, é conveniente fazer uma análise de todo o processo que envolve essa informação. Cada tipo de informação deve ser analisado cuidadosamente. De forma geral, a classificação ão de informações quanto ao grau de proteção contra destruição é importante para a continuidade operacional dos negócios da empresa, ou seja, envolve a utilidade das informações para as organizações; jáj a classificação quando ao grau de sigilo é importante para a estratégia de negócios. É antes de mais nada uma questão do grau e do tipo de utilidade. Prof. Rossoni, Farias 3 Classificação de informações (continuação): Ainda que normalmente, em função da concentração de informações, a principal área interessada na proteção dos ativos de informação é a informática, a política de classificação de informações ultrapassa os limites das áreas interessadas dentro da organização. Política de classificação de informações é um assunto que afeta toda a organização e não somente uma determinada área. A organização deve estabelecer uma política tica claramente formulada, baseada nos princípios pios a seguir e subordinada à política de segurança a geral e divulgar aos seus funcionários. Prof. Rossoni, Farias 4 2

3 Direito de propriedade: As informações geradas na empresa ou para ela, são ativos de sua propriedade que devem ser preservados e protegidos contra uso ou divulgação indevidos. Critérios rios claros de classificação: As informações devem obedecer a critérios rios claros de classificação quanto a necessidade de preservação e proteção, previamente divulgados, subordinados à política de segurança a geral da organização. As informações que possam ser classificadas dentro desses critérios rios devem sê-lo segundo critérios rios próprios prios e que façam am parte dos anexos da política. tica. Direito de acesso ligado à necessidade funcional: As informações devem ser acessadas somente conforme a necessidade ou em necessidade do negócio. Esse conceito é também m conhecido como postura do menor privilégio. Prof. Rossoni, Farias 5 Razões para a classificação de informações: Uma política de classificação de informações é necessária principalmente pelas seguintes razões: Vulnerabilidade técnica t quanto mais informatizado estiver o ambiente, maior a vulnerabilidade técnica t do mesmo devido ao acesso quase indiscriminado e a concentração de informações existentes. Diversidade humana a resposta a determinado tipo de situação varia de pessoa para pessoa em função direta do ambiente, de sua experiência, etc. Até a mesma pessoa a resposta pode variar com o tempo e com as condições do momento, especialmente se não houver um critério rio para ser avaliar o que é esperado ou apropriado. Influências externas e/ou internas mesmo na falta de um processo formal de classificação a variedade de requisitos existentes implica a necessidade de critérios rios especiais de classificação e exige medidas de proteção. Isso pode incluir: legislação financeira/ tributária/ ria/ bancária/ a respeito do sigilo ou segurança a de informações, interligação cada vez maior com a Internet, entre outros. Prof. Rossoni, Farias 6 3

4 Regras para a classificação e identificação de informações: De maneira geral, a política de classificação das informações deve contemplar os seguintes aspectos: Responsabilidade estabelecer claramente as responsabilidades das áreas envolvidas; Regras de identificação e classificação estabelecer categorias de classificação, fornecer exemplos e requisitos de identificação e os padrões para preservação e proteção; Regras gerais requisitos comuns a todas as categorias de informação, para ambos critérios rios de classificação. As regras gerais mais comuns são: responsabilidades individuais pela posse e custódia da informação responsabilidade da hierarquia quanto a transferência de posse Prof. Rossoni, Farias 7 responsabilidade pela identificação e classificação das informações critérios rios de divulgação cumprimento da política de classificação tratamento a ser dado em casos de infrações à política tratamento a ser dado em caso de exceção Regras específicas relacionada com os critérios rios para identificar e classificar informações quanto à sua proteção contra revelação, mas que também m aplica a preservação. Exemplo: eliminação física f de informações residentes em mídia m magnética. Estas regras devem contemplar: Preparação e manuseio deve especificar quem tem autorização para preparar e manusear requisitos de identificação e classificação de informações de entrada, arquivos intermediários, rios, rascunhos, esboços, os, sucata. Prof. Rossoni, Farias 8 4

5 Reprodução deve especificar o nível n hierárquico rquico necessário para reproduzir informações classificadas ou autorizar sua reprodução, em função de sua classificação. Distribuição/ divulgação deve especificar quem tem autorização para determinar os critérios rios para distribuição e/ou divulgação de informações sensíveis e como esses procedimentos devem regulamentar essa distribuição. Transferência deve especificar os critérios rios de transferência de informações classificadas, em função de sua classificação. Armazenamento deve especificar os critérios rios de armazenamento de informações classificadas, em função de sua classificação. Perda deve especificar como os casos de perda devem ser relatados e acompanhados. Destruição/elimina ão/eliminação deve especificar os critérios rios para destruição e/ou eliminação de informações, quando deixarem de ser necessárias, em função de sua classificação. ão. Prof. Rossoni, Farias 9 Recuperação deve especificar os critérios rios para recuperação de informações, em função de sua classificação. Reprodução Distribuição / divulgação Transferência Armazenamento Classificação de informações Perda Destruição Recuperação Aspectos regulamentados por uma política de classificação de informações. Prof. Rossoni, Farias 10 5

6 Regras especiais os critérios rios especiais devem ser agrupados nesta seção, a exemplo dos critérios rios relacionados com processamento de texto. Deve ser exigida obediência, mas também m deve haver bom senso para simplificar a política. Sempre que necessário, deve ser permitido que situações especiais, e que não tenham sido completadas na política ou em seus critérios, rios, desde que devidamente justificadas, obedeçam a critérios rios que as atendam. Prof. Rossoni, Farias 11 Modelo de classificação de informações: Segue uma sugestão. Cada organização deve avaliar o modelo de classificação de informações que melhor atenda a suas necessidades. Neste descrevemos dois modelos de sistemas de classificação de informações: 1. Refere-se à classificação de informações para efeito de preservação contra destruição ; 2. Refere-se à classificação de informações quanto ao grau de sigilo das mesmas. Prof. Rossoni, Farias 12 6

7 Classificação quanto à necessidade de preservação: Vital é a informação essencial para a sobrevivência da organização, sem a qual ela não pode funcionar. Crítica é a informação crucial para a consecução dos objetivos da organização. Valiosa é a informação de valor reconhecido para segmentos ou indivíduos duos dentro da companhia. Sua perda pode causar graves transtornos para funções da empresa. Prof. Rossoni, Farias 13 Classificação quanto à necessidade de preservação (continuação) : 1. Requisitos de prevenção é onde devem estar descritas as diretrizes que digam respeito à preservação de informações da organização. Vitais: devem ser mantidas sem exceção, isto é,, as informações vitais a sobrevivência da organização devem ter sempre sua preservação garantida, a despeito das ameaças as que sofram. Críticas: devem ser mantidas, a não ser que uma exceção adequadamente documentada o justifique. Valiosas: devem ser mantidas em função do custo/benefício. cio. Sua preservação é acima de tudo uma questão de grau. Prof. Rossoni, Farias 14 7

8 Classificação quanto à necessidade de preservação (continuação) : 2. Requisitos de restauração é onde devem estar descritas as diretrizes que digam respeito à restauração de informações da organização. Vitais: devem ser mantidas todas as fontes usadas para gerar as informações, com a quantidade de cópias c que forem necessárias e nas versões que garantam a segurança a máxima, m em vários v lugares separados. Críticas: devem ser mantidas todas as fontes usadas para gerar as informações, a não ser que uma exceção adequadamente documentada o justifique, neste caso deve ser mantido um caminho de restauração a partir de versões anteriores. Valiosas: devem ser mantidas em função do custo/benefício. cio. Prof. Rossoni, Farias 15 Classificação quanto à necessidade de preservação (continuação) : 3. Requisitos de armazenamento é onde devem estar descritas as diretrizes que digam respeito ao armazenamento de informações da organização. Vitais: devem ser armazenadas em pelo menos três locais que garantam a segurança a máxima. m Críticas: devem ser armazenadas em pelo menos dois locais que garantam a segurança a máxima. m Valiosas: devem ser armazenadas em pelo menos um local que garanta a segurança a máxima. m Prof. Rossoni, Farias 16 8

9 Classificação quanto à necessidade de preservação (continuação) : 4. Transporte de cópias c é onde devem estar descritas as diretrizes que digam respeito ao transporte de cópias c de informações da organização. (quando nos referimos à cópia de uma informação, estamos nos referindo a todas as cópias c de uma mesma geração.) Vitais, Críticas e Valiosas: as cópias c da mesma geração não devem ser transportadas simultaneamente. Todas as cópias c da geração a ser substituída da sós devem ser removidas de seu locais de armazenamento após s a chegada das cópias c da nova geração e avaliadas suas condições. Prof. Rossoni, Farias 17 Classificação quanto à necessidade de preservação (continuação) : 5. Eliminação da versão antiga Independentemente da importância da informação, este critério rio deve ser uniforme para as três categorias vitais, críticas e valiosa. Este é um critério rio de proteção que se refere mais a um processo operacional do que à importância da informação para a empresa. Em qualquer das três categorias, sós deve ser eliminada a versão da cópia c substituída, e sós após s a sua substituição. ão. Antes da eliminação da cópia c a ser substituída deve-se garantir que a nova cópia c esteja em perfeitas condições. Prof. Rossoni, Farias 18 9

10 Classificação quanto à necessidade de proteção contra revelação: Secreta é a informação de importância crucial para os objetivos da empresa. Sua revelação prematura poderá trazer sérios s embaraços acarretando prejuízos financeiros ou perda de participação ou competitividade do mercado. Estas informações estão classificadas como vitais. Confidencial é a informação de importância especial, estão relacionadas com questões de privacidade ou sigilo comercial. Estas informações estão classificadas como críticas. Uso interno é a informação ão relacionada normalmente com a organização interna da empresa. Estas informações estão classificadas como valiosas. Qualquer informação eu não seja classificada em nenhuma das categorias acima pode ser liberada para divulgação pública, p sem restrições. Prof. Rossoni, Farias 19 Classificação quanto à necessidade de proteção contra revelação 1. Controle da divulgação devem estar descritas as diretrizes que digam respeito ao controle da informação de informações da organização. Secreta e Confidencial: sós deve ser divulgada para quem precisa saber em função da necessidade de serviço; seu nome deve constar de lista de autorização previamente aprovada. Uso interno: para qualquer funcionário. Prof. Rossoni, Farias 20 10

11 Classificação quanto à necessidade de proteção contra revelação 2. Controle da cópias c devem estar descritas as diretrizes que digam respeito ao controle de cópias c de informações da organização. Secreta e Confidencial: sós deve ser divulgada para quem precisa saber em função da necessidade de serviço; seu nome deve constar de lista de autorização previamente aprovada. Uso interno: para qualquer funcionário. Prof. Rossoni, Farias 21 Classificação quanto à necessidade de proteção contra revelação 3. Armazenamento devem estar descritas as diretrizes que digam respeito ao armazenamento de informações da organização. Secreta: arquivo de segurança a total, com registro do conteúdo do arquivo em outro arquivo. A pessoa que está controlando o armazenamento de informações secretas deve ter autorização formal para isto. Confidencial: arquivo de segurança. a. Uso interno: opção local. Prof. Rossoni, Farias 22 11

12 Classificação quanto à necessidade de proteção contra revelação 4. Transporte interno e expedição devem estar descritas as diretrizes que digam respeito ao transporte interno de cópias c de informações da organização. Secreta: em recipiente simples com identificação do grau de sensibilidade. Entretanto, deve ser evitado o uso do transporte em malotes internos, dando-se preferência à entrega pessoal por pessoa devidamente autorizada. Confidencial: em recipiente simples com identificação do grau de sensibilidade. Uso interno: pode ser transportado aberta. Prof. Rossoni, Farias 23 Classificação quanto à necessidade de proteção contra revelação 5. Transporte externo devem estar descritas as diretrizes que digam respeito ao transporte externo de cópias c de informações da organização. Secreta: em recipiente simples com identificação do grau de sensibilidade. O transporte e a entrega devem ser efetuados sempre por pessoas autorizadas. Confidencial: em recipiente simples com identificação do grau de sensibilidade. O transporte e a entrega devem ser efetuados, preferencialmente, por pessoas autorizadas. Uso interno: em recipiente simples. Prof. Rossoni, Farias 24 12

13 Classificação quanto à necessidade de proteção contra revelação 6. Transmissão via linha telefônica devem estar descritas as diretrizes que digam respeito à transmissão de informações da organização através s de linhas de telefones. a) Transmissão de voz: Secreta e confidencial: proibida. Linhas telefônicas são muito suscets uscetíveis a interceptação, mesmo dentro de ambientes controlados. Uso interno: permitida. b) Transmissão de dados: Secreta e Confidencial: se o meio de transmissão, do ponto inicial ao final, estiver sob controle completo da organização, pode ser transmitida em texto claro, a critério rio de seu criador. Se o meio de transmissão, do ponto inicial ao final, não estiver sob controle da companhia, a informação deve ser transmitida criptografada. Uso interno: permitido em texto livre para qualquer caso. Prof. Rossoni, Farias 25 Conclusão O trabalho de classificação deve obedecer a um padrão único para toda a organização, para que cada funcionário saiba que comportamento adotar em relação a informações que esteja manuseando, não importando quem as tem gerado. Para avaliar a importância de informações para a empresa deve se fazer uso do mesmo ferramental empregado para análise de risco econômico da segurança, a, visto que a classificação de informações não deixa de ser também m uma espécie de análise de risco econômico do quanto a informação vale para a empresa. Prof. Rossoni, Farias 26 13

14 Segurança a da Informação Termino da Prof. Rossoni, Farias 27 14