Aula 07 Classificação da Informação Prof. Leonardo Lemes Fagundes
Classificações grosseiras e generalizações falsas são a maldição da vida organizada. Bernard Shaw
Agenda Revisão: Aula 06 Introdução Política de Classificação da Informação Leitura Recomendada Considerações Finais Referências Bibliográficas
Revisão: Aula 06 Concluímos o estudo sobre o desenvolvimento de PSI; Estudamos definições, pontos críticos, estrutura e abordagens Com isso todo conteúdo necessário para o desenvolvimento da PSI foi formalmente visto e discutido em sala de aula.
Introdução A Importância da Informação Revisão Exemplos Desafios
Introdução Objetivos da Classificação da Informação Identificar quais os níveis de proteção que as informações disponíveis na organização requerem ; Uma informação pode ser classificada com base em diversos critérios, entre eles: sigilo, valor e criticidade. Definir níveis de proteção e os controles a serem implementados ao longo do ciclo de vida da informação;
Introdução Ciclo de Vida da Informação Manuseio Refere-se ao instante em que a informação é criada e/ou passa a ser manipulada; Armazenamento Como / onde armazenar determinados tipos de informações; Transporte Abrange todo o tipo de transporte possível para uma informação (fax, email, entrega via transportadora, etc.) Descarte Procedimentos a serem adotados no momento da exclusão de um informação e quando o descarte deve ocorrer.
Política de Classificação da Informação Definição Conjunto de normas, procedimentos e instruções existentes que tratam sobre como proteger as informações; Premissas Deve estar em conformidade com a cultura e realidade (complexidade) da organização; Need to Know, nada mais do que o necessário, apenas isso; Levantamento de Informações Leis, normas, acordos, necessidades do negocio e regulamentações; Esfera governamental (decreto 4553 Casa Civil)
Política de Classificação da Informação Considere ainda... As informações (independente do seu formato) possuem finalidades específicas e, portanto, destinam-se a determinados grupos de usuários confidencialidade; O Grau de Sigilo de uma informação é uma classificação (rótulo) atribuída a cada tipo de informação com base no seu conteúdo e tendo em vista o público que deverá ter acesso;
Política de Classificação da Informação Exemplos de Rótulos Empresas: Confidencial Privada Sigilosa Pública Exemplos de Rótulos Governo e Instituições Militares: Ultra Secreta Secreta Confidencial Sigilosa Não Classificada
Política de Classificação da Informação Definição do Nível de Sigilo Não basta, apenas, definir os rótulos de classificação é necessário desenvolver e comunicar os critérios utilizados para cada nível; Valor da Informação; Consequência do vazamento dessa informação; Consequência da modificação indevida dessa informação; É fundamental definir e atribuir funções e responsabilidades; Prazos e ações (revisão da classificação); Instruir sobre Controles x Etapa do Ciclo de Vida da Informação
Leitura Recomendada Descrição dos Textos de Apoio Texto 17: Sociedade do Conhecimento - Capítulo 1, Livro Gestão da Segurança da Informação ; (pasta 137) Texto 18: Information Classification Chapter 3, Livro All In One CISSP Exam Guide (pasta 137);
Leitura Recomendada Descrição dos Textos de Apoio Texto 19: Implementing Information Classification within the Enterprise (disponível na página da disciplina).
Considerações Finais Benefícios da Classificação da Informação Proteção das informações importantes / vitais para o negócio; Define e compartilha responsabilidades entre as partes o compromisso é de todos os envolvidos no processo; Ajuda a criar a cultura da segurança da informação (conscientização); Uso racional dos recursos (controles) utilizados para proteger as informações;
Atividade 03 Escritório Limpo Um Programa de Classificação da Informação serve de base para implementar o controle 10.3.3 (mesa e tela limpa). Depois de entender o objetivo de controle supracitado (consulte a norma) identifique os riscos do cenário apresentado a seguir.
Referências Bibliográficas Sêmola, Marcos. Gestão da Segurança da Informação: Uma Visão Executiva. Rio de Janeiro, Ed. Campus, 2003. ABNT NBR ISO/IEC 17799:2005. Código de Prática para a Gestão da Segurança da Informação. Ramos, Anderson. Guia Oficial para Formação de Gestores em Segurança da Informação