SEGINFO_ABNT

ABNT/CB-21 1º PROJETO 21:027.00-026

JUL 2012

NÃO TEM VALOR NORMATIVO 1/13

Segurança da Informação - Diretrizes para classificação, rotulação e tratamento da informação

APRESENTAÇÃO

1) Este 1º Projeto de Norma foi elaborado pela Comissão de Estudo de Segurança da Informação (CE-21:027.00) do Comitê Brasilero de Computadores e Processamento de Dados (ABNT/CB-21), nas reuniões de:

2) Não tem valor normativo;

3) Aqueles que tiverem conhecimento de qualquer direito de patente devem apresentar esta informação em seus comentários, com documentação comprobatória;

4) Este Projeto de Norma será diagramado conforme as regras de editoração da ABNT quando de sua publicação como Norma Brasileira.

5) Tomaram parte na elaboração deste Projeto:

Participante Representante

ABCTEC Roberto Henrique

ADP Márcio Freitas

ARCON Reginaldo Sarraf

BR.EXPERIAN Nilton Moreira

CQSI Ariosto Farias

FACITEC Carlos Augusto Valim

IBM Felipe Peñaranda

PROCERGS Marco Vinício Barbosa Dutra

PROXIS Olimpio de Menezes

TV GLOBO Vinicius Brasileiro

USIMINAS Gilmar Pinto Ribeiro

VERISGN Anchises M. G. de Paula

05.12.2011 13.03.2012 04.07.2012


JUL 2012


Segurança da Informação - Diretrizes para classificação, rotulação e tratamento da informação

Information Security – Guidelines for classification, lettering and treatment of information

Prefácio

A Associação Brasileira de Normas Técnicas (ABNT) é o Foro Nacional de Normalização. As Normas Brasileiras, cujo conteúdo é de responsabilidade dos Comitês Brasileiros (ABNT/CB), dos Organismos de Normalização Setorial (ABNT/ONS) e das Comissões de Estudo Especiais (ABNT/CEE), são elaboradas por Comissões de Estudo (CE), formadas por representantes dos setores envolvidos, delas fazendo parte: produtores, consumidores e neutros (universidades, laboratórios e outros).

Os Documentos Técnicos ABNT são elaborados conforme as regras das Diretivas ABNT, Parte 2.

O Escopo desta Norma Brasileira em inglês é o seguinte:

Scope

This Standard establishes the basic guidelines for classification, lettering and treatment of information according to its sensibility and criticality to the Organization for the establishment of appropriate levels of protection.


JUL 2012


1 Escopo

Esta Norma estabelece as diretrizes básicas para classificação, rotulação e tratamento das informações de acordo com sua sensibilidade e criticidade para a Organização visando o estabelecimento de níveis adequados de proteção.

2 Referências normativas

Os documentos relacionados a seguir são indispensáveis à aplicação deste documento. Para referências datadas, aplicam-se somente as edições citadas. Para referências não datadas, aplicam-se as edições mais recentes do referido documento (incluindo emendas).

ABNT NBR ISO/IEC 27001, Tecnologia da informação - Técnicas de segurança - Sistemas de gestão de segurança da informação – Requisitos

ABNT NBR ISO/IEC 27001, Tecnologia da informação - Técnicas de segurança - Código de pratica para a gestão da segurança da informação

ISO/IEC 27000, Information technology -- Security techniques -- Information security management systems -- Overview and vocabulary

3 Termos e definições

Para os efeitos deste documento, aplicam-se os seguintes termos e definições.

3.1 informação ativo que, como qualquer outro ativo importante, é essencial para os negócios de uma organização e consequentemente necessita ser adequamente protegida. É o conjunto de dados relacionados entre si que levam à compreensão de algo e que trazem um determinado conhecimento, podendo estar na forma escrita, verbal ou de imagem e em meio digital ou físico

3.2 classes de informação classe de informação visa agrupar informações com requisitos de proteção similares. Um ponto importante na classe de informações é que os documentos que a compõem tenham a mesma classificação e o mesmo grupo de acesso

3.3 classificação da informação processo de classificação caracteriza-se pela ação de definir o nível de sensibilidade da informação e os grupos de acesso à mesma. Visa assegurar que a informação receba um nível adequado de proteção, conforme seu valor, requisitos legais, sensibilidade e criticidade para a organização

3.4 rotulação da informação ação de registrar claramente nas informações o nível de classificação que foi atribuído e o grupo de acesso às mesmas


JUL 2012


3.5 tratamento da informação conjunto de ações referente ao estabelecimento de diretrizes de proteção da informação em função do seu nível de classificação, envolvendo: a produção, recepção, utilização, acesso, reprodução, transporte, transmissão, distribuição, destinação, arquivamento, armazenamento e eliminação da informação

3.6 ciclo de vida da informação é caracterizado pelo ciclo formado desde sua criação ou obtenção, passando por seu uso, manipulação, compartilhamento, armazenamento, transporte e descarte

3.7 criticidade determina o nível de crise (ou impacto) que pode advir pela divulgação ou uso indevido da informação

3.8 sensibilidade determina o nível de sigilo necessário para informação

3.9 documento conjunto de informações ou instruções dispostas de forma ordenada, podendo estar na forma física ou eletrônica

3.10 proprietário da Informação pessoa responsável por assegurar que as informações e os ativos associados com os recursos de processamento da informação estejam adequadamente classificados. Cabe também ao proprietário a responsabilidade por definir e periodicamente realizar análise critica das classificações e restrições de acesso, levando em conta as políticas de controle de acesso aplicáveis

As tarefas de rotina podem ser delegadas, por exemplo, para um custodiante que cuida do ativo no dia-a-dia, porem a responsabilidade permanece com o proprietário

3.11 custodiante da informação pessoas, grupos de trabalho ou áreas delegadas pelo proprietário da informação para cuidar da manutenção e guarda do ativo de informação no dia-a-dia. Não faz parte do grupo de acesso e, portanto, não está autorizado a acessar a informação

3.12 usuário pessoa autorizada a interagir com a informação. A definição do acesso deve ter como base a necessidade de conhecer a informação para a adequada execução das tarefas inerentes ao seu cargo ou função

3.13 grupo de acesso pessoas, grupos de trabalho ou áreas autorizadas a terem acesso à determinada informação


JUL 2012


3.14 necessidade de conhecer condição pessoal inerente à função ou atividade, indispensável para que o usuário tenha acesso a dados ou informações classificadas. De acordo com este princípio as pessoas só devem ter acesso às informações necessárias para o desenvolvimento de suas atividades dentro da Organização (ABNT NBR ISO IEC 27002)

3.15 nível de classificação categoria a ser definida para cada informação ou classe de informação. Estabelece a sensibilidade da informação em termos da preservação de sua confidencialidade

4 Diretrizes

4.1 Princípio da necessidade de acesso

As pessoas somente devem possuir acesso às informações desde que sejam necessárias, direta ou indiretamente, ao desenvolvimento de suas atividades de trabalho e demais responsabilidades associadas.

4.2 Diretrizes gerais

a) Convém que as informações de propriedade da Organização ou de terceiros, utilizadas durante as atividades de negócio, sejam classificadas de acordo com o nível de sensibilidade que representam para o negócio para indicar a necessidade, prioridade e o nível esperado de proteção quando de seu tratamento pelos colaboradores.

b) Convém que seja definido o papel de “proprietário da informação”, e que este seja responsável por sua classificação.

NOTA 1 O proprietário da informação pode delegar esta atividade para os responsáveis pelos processos que geram as informações, porém a responsabilidade permanece com o proprietário.

NOTA 2 No caso de dúvidas sobre a classificação de determinada informação, recorrer ao gerente responsável pela área, que em ultima análise, é o responsável pelas informações da área.

NOTA 3 Convém que os proprietários das informações cuidem para que todas as informações sob sua responsabilidade sejam classificadas e rotuladas.

c) Convém que seja definido o papel de Agentes de Mudança / Transformação nas áreas de negócio da Organização visando facilitar a implantação da cultura de classificação da informação, acompanhamento das ações realizadas e suportar as dúvidas dos usuários da informação;

d) Convém que seja atribuída a todos os colaboradores a responsabilidade por tratar as informações de acordo com sua classificação e com as diretrizes de tratamento estabelecidas pela Organização;

e) Convém que seja desenvolvido um processo amplo de conscientização, treinamento e educação visando disseminar a cultura de classificação e tratamento da informação;

f) Convém que seja implantado um sistema de medição para verificação de aderência do processo de classificação e tratamento da informação e obtenção de sugestões de melhoria.


JUL 2012


5 Recomendações para classificação

a) Convém que no processo de classificação seja considerado o valor da informação, requisitos legais, sensibilidade, criticidade, prazo de validade (ou vida útil), necessidade de compartilhamento e restrição, a análise de riscos e os impactos para o negócio.

b) Convém que os proprietários das informações realizem sua classificação de acordo com os critérios definidos nesta Norma e considerem:

O momento em que a informação é gerada ou inserida no contexto de negócios;

O momento em que é identificada uma informação que ainda não foi classificada.

c) Convém que o processo de classificação de uma determinada informação contemple a análise crítica periódica a intervalos regulares visando assegurar que o nível de classificação e proteção está adequado, pois podem ocorrer alterações na classificação durante o ciclo de vida da informação.

Neste contexto pode ocorrer a reclassificação da informação quando:

For identificada uma informação incorretamente classificada;

Ocorrer mudanças no contexto de sensibilidade das informações durante seu ciclo de vida;

Vencer o prazo de manutenção da informação nos processos de negócio, ou seja, fim do ciclo de vida da informação.

d) Convém que informações de origem externa que participam dos processos de negócio, como relatórios de terceiros, informações e documentos de clientes e fornecedores, correspondências etc., sejam classificadas, rotuladas e tratadas de acordo com seu nível de criticidade e sensibilidade.

NOTA 1 Convém que seja considerado o estabelecimento de acordo com terceiros para a correta identificação da classificação e tratamento entre as organizações visando o compartilhamento seguro das informações.

NOTA 2 Convém que seja dada atenção especial na interpretação dos rótulos de classificação de outras organizações, que podem ter definições diferentes para rótulos iguais ou semelhantes aos usados pela Organização (ABNT NBR ISO IEC 27002 – 7.2.1).

NOTA 3 Informações de origem externa que não estão relacionadas a atividades de negócio da organização não necessitam ser classificadas e rotuladas.

e) Convém que seja considerada pela organização a criação de classes de informação para simplificar a tarefa de classificação.

f) Convém que o sistema de classificação da informação seja considerado para definição dos requisitos de segurança da informação dos ambientes físicos que armazenam informações sensíveis. Deve ser considerada pela Organização a instalação de controles apropriados, como por exemplo, a instalação de sistemas adequados e controle de acesso, monitoração por CFTV etc.


JUL 2012


5.1 Níveis de classificação

De acordo com a ABNT NBR ISO IEC 27002, item 7.2.1, recomenda-se ter atenção com a criação de esquemas de classificação muito complexos utilizando diversos níveis, pois isto pode engessar o processo e conseqüentemente, o fluxo de informação. Em contrapartida, poucos níveis podem gerar uma falsa sensação de segurança devido relaxamento na classificação ou mesmo perda de recursos por tratamento além do necessário.

Uma referência básica para o estabelecimento dos níveis de classificação pode ser vista na Tabela 1.

A titulação de cada nível deve ser definida pela Organização.

Tabela 1 — Níveis de classificação

Níveis de classificação

Características básicas

Nível 1 Informações que podem ser divulgadas publicamente. Normalmente este tipo de informação é de responsabilidade de áreas específicas que fazem a interface com os públicos externos, como por exemplo, as áreas de Comunicação e Marketing.

Exemplos deste nível são informações divulgadas para as mídias externas, ao mercado, à sociedade etc.

Nível 2 Informações internas que devem ser divulgadas a todos os colaboradores e prestadores de serviços, desde que estes estejam comprometidos com a confidencialidade das informações.

Exemplos deste nível são as normas corporativas e campanhas internas da Organização.

Nível 3 Informações restritas a determinados grupos, áreas ou cargos.

Exemplos de informações deste nível são: informações de projetos, procedimentos específicos das áreas, relatórios de desempenho de processos, indicadores das áreas etc.

Nível 4 Informações que requerem um tratamento especial e cuja divulgação não autorizada ou acessos indevidos pode gerar prejuízos financeiros, legais, normativos, contratuais, na reputação, na imagem ou nas estratégias da Organização.

Normalmente se encaixam neste nível informações privadas das pessoas, de clientes, de fornecedores e informações estratégicas da Organização.

NOTA 1 Níveis adicionais podem ser inseridos a critério da Organização, considerando, entretanto, a questão do aumento da complexidade.

NOTA 2 Em algumas organizações pode ser avaliada a divisão do nível 2 em dois itens, sendo um direcionado para os empregados da Organização e o outro englobando os empregados e demais colaboradores, desde que seja considerada a questão da assinatura dos acordos de confidencialidade pelos prestadores de serviço.

NOTA 3 São exemplos de titulação para representar os níveis de classificação que podem ser considerado pelas organizações:

Nível 1: Pública, Externa


JUL 2012


Nível 2: Interna, Uso interno

Nível 3: Restrita, Reservada, Setorial

Nível 4: Confidencial, Sigilosa, Secreta

6 Recomendações para Rotulação da Informação

a) Convém que as informações que contenham restrição de acesso sejam rotuladas. Estes rótulos devem conter no mínimo o nível de classificação que foi atribuída à informação e o grupo de acesso às mesmas.

NOTA 1 A inserção de outros atributos nos rótulos como, proprietário da informação, data de classificação, entre outros, podem ser considerados.

NOTA 2 A rotulação de informações que podem ser divulgadas publicamente é opcional.

b) Convém que o processo de rotulação da informação estabeleça claramente o nível de classificação que foi atribuído para determinada informação e o grupo de acesso. Exemplos de informação a serem consideradas englobam: documentos, pastas, envelopes, arquivos físicos ou eletrônicos, mídias eletrônicas, relatórios emitidos por sistemas, telas de sistema, mensagens eletrônicas, conversas, palestras, etc.

c) Convém que a responsabilidade pela rotulação das informações seja atribuída aos responsáveis pela criação ou obtenção da informação. Recomenda-se que o rótulo contenha no mínimo o nível de classificação e o grupo de acesso definidos pelos proprietários da informação.

d) Convém que documentos que contenham informações com diferentes níveis de classificação sejam classificados e rotulados de acordo com o nível mais alto existente em seu conteúdo.

e) Convém que o rótulo seja claramente visível, no mínimo, na capa dos documentos, pastas ou arquivos de armazenamento. Onde aplicável, pode ser considerada a rotulação de todo o documento, com a inserção do rótulo em cabeçalhos ou rodapé dos documentos.

f) Convém que a classificação das informações transmitidas verbalmente, seja divulgada pelos responsáveis pela comunicação antes do início da transmissão, bem como os cuidados com o tratamento das mesmas em função de sua sensibilidade. Exemplos: Reuniões, apresentações etc.

g) Convém que informações armazenadas nos servidores de arquivos, e outros dispositivos de armazenamento possuam rótulos claros indicando o nível de classificação atribuído. Estas informações podem ser rotuladas a partir de uma das seguintes formas:

Individualmente, através do nome do arquivo, seguido de sua classificação.

Armazenamento em pastas classificadas.

Diretamente nos documentos. Descrição na capa, na primeira página, ou em cabeçalhos/rodapés dos documentos.


JUL 2012


h) Convém que as mídias digitais, como CDs/DVDs, mídias de “backup”, fitas de vídeo ou áudio e outras que permitem o armazenamento e transporte de informações, sejam rotuladas de acordo com o mais alto nível de classificação atribuído às informações armazenadas.

7 Recomendações para Tratamento da informação

O tratamento da informação é o objetivo final do processo. É por meio do tratamento adequado das informações que iremos prover os controles e a proteção adequada visando garantir sua confidencialidade, integridade e disponibilidade.

Para viabilizar este processo, convém que sejam identificados os cenários que ocorrem no dia a dia das organizações no que tange ao fluxo de informações e, para cada cenário, sejam estabelecidas as diretrizes de tratamento em função do nível de classificação.

Os cenários podem envolver: processamento, armazenamento, transmissão, comunicação, uso/manipulação e descarte da informação. Estes cenários e respectivas diretrizes formam o “senso comum” para o tratamento das informações de modo que, independente de pessoas e áreas, o tratamento seja o mesmo para as diversas situações.

A Tabela 2 é uma referência para o estabelecimento das diretrizes de tratamento em função do tipo de cenário e do nível de classificação.

Tabela 2 — Tratamento da informação

Cenários Nível 1 Nível 2 Nível 3 Nível 4

Acesso lógico ou físico

Sem restrição

Somente colaboradores da

Organização

Somente pessoas do grupo de

acesso

Somente pessoas do grupo de acesso

Armazenamento mídia impressa

(papéis, cartazes, etc.)

Sem restrição

Somente dentro das áreas da

Organização

Somente em áreas com acesso físico controlado

ao grupo de acesso.

Somente para áreas com acesso físico

controlado ao grupo de acesso, em locais com

restrição de acesso (armário / gavetas com

chaves)

Armazenamento arquivos digitais

(rede)

Sem restrição

Somente nos servidores de

arquivos na rede da Organização.

Somente nos servidores de

arquivos na rede da Organização e com controle de

acesso.

Somente nos servidores de arquivos

na rede da Organização e com controle de acesso. Convém que seja

considerado o uso de criptografia.


JUL 2012


Tabela 2 (continuação)


Armazenamento mídia digital

(DVDs, CDs, Fitas, etc.)

Sem restrição

Convém que as mídias sejam armazenadas

dentro das dependências da

Organização.

Somente com autorização do

proprietário responsável.

Convém que a mídia seja

armazenada dentro das dependências

da Organização em armários e gavetas

com chave e em locais com acesso físico controlado ao grupo de acesso.


proprietário responsável e com

senha ou criptografia. Convém que a mídia

seja armazenada dentro das

dependências da Organização em

armários e gavetas com chave e em locais

com acesso físico controlado ao grupo de

acesso.

Cópia (impressa ou digital)

Sem restrição

Somente para os colaboradores da

Organização.

Somente para o grupo de acesso,

para outras pessoas somente

com autorização do proprietário responsável



Transporte Físico Sem restrição

Sem restrições dentro das

dependências da Organização. Somente com autorização do proprietário da

informação se o transporte for para

fora da Organização.

Somente com utilização de lacres, caso o transporte não seja realizado

por alguém do grupo de acesso.

A autorização do proprietário da informação é

necessária se for para fora das

dependências da Organização.

Armazenar em locais protegidos durante viagens.

Somente com utilização de lacres.

Caso o transporte não seja realizado por

alguém do grupo de acesso, usar serviço de entrega em mãos. Transporte para fora das dependências da

Organização necessita autorização do proprietário da

informação.

Armazenar em locais com chaves ou cofres

durante viagens.

Envio por e-mail Sem restrição

Interno sem restrições. Para

fora da Organização necessária

autorização do proprietário da

informação.

Somente para o grupo de acesso.

Para fora do grupo de acesso, necessária


informação.

Somente para o grupo de acesso. Para fora do grupo de acesso é

necessária a autorização do proprietário da

informação. Adicionalmente

convém que sejam consideradas técnicas de proteção, como por

exemplo o uso de senhas e criptografia.


JUL 2012




Transmissão Digital Externa

(através de redes de dados, FTP,

links, Internet, etc.)

Sem restrição Somente com autorização do



proprietário responsável e através dos

equipamentos da Organização.


proprietário responsável, através dos equipamentos da

Organização e de forma criptografada.

Transmissão Vídeo / Voz

Sem restrição Somente para os colaboradores da

Organização.


Somente para o grupo de acesso e através

dos equipamentos da Organização.

Transmissão Fax

Sem restrição Somente para as dependências da

Organização.


Somente se não houver intermediários

no processo de envio e recebimento.

Recomenda-se que o destinatário

pertencente ao grupo de acesso receba pessoalmente o

documento através do aparelho de fax.

Apresentações

Sem restrição

Somente para os colaboradores da

Organização. Para fora da

Organização apenas com


informação.

Somente para o grupo de acesso. Para pessoas fora

do grupo de acesso, somente

com autorização do proprietário da

informação.

Somente para o grupo de acesso. Para

pessoas fora do grupo de acesso, somente com autorização do

proprietário da informação.

Descarte Mídia Digital/Analógica

Sem restrição Somente dentro das áreas da Organização.

Convém que os dispositivos que contenham informações sensíveis sejam destruídos fisicamente ou as informações sejam destruídas, apagadas ou sobregravadas por meio de técnicas que tornem as informações originais irrecuperáveis, em vez de usarem as funções-padrão de apagar ou formatar

Convém que os dispositivos que contenham informações sensíveis sejam destruídos fisicamente ou as informações sejam destruídas, apagadas ou sobregravadas por meio de técnicas que tornem as informações originais irrecuperáveis, em vez de usarem as funções-padrão de apagar ou formatar


JUL 2012




Descarte Mídia impressa

Sem restrição Convém que a fragmentação seja

realizada nas dependências da

Organização.

Convém que a fragmentação seja

realizada nas dependências do setor responsável pela informação quando possível,

ou na presença de alguém do grupo de

acesso ou do custodiante da

informação.

Convém que a fragmentação seja

realizada nas dependências do setor

responsável pela informação quando

possível, ou na presença de alguém

do grupo de acesso ou do custodiante da

informação.

Descarte de arquivos de computador

Sem restrição Excluir da pasta onde está arquivada

Excluir da pasta onde está

arquivada e da lixeira também.

Excluir da lixeira dos dispositivos e adotar

soluções tecnológicas visando garantir que as informações não

possam ser recuperadas.

IMPRESSÃO Sem restrição Somente dentro das áreas da Organização.

Somente em locais com acesso

controlado ao grupo de acesso ou convém que o

usuário acompanhe a impressão e garantir que ninguém terá

acesso ao documento

impresso. Uso de senha, quando a

máquina impressora possuir este recurso, para

liberação da impressão.

Somente com autorização do proprietário da

informação. Convém que o usuário acompanhe a

impressão e garantir que ninguém terá

acesso ao documento impresso. Uso de senha, quando a

máquina impressora possuir este recurso,

para liberação da impressão.

NOTA 1 Informações menos críticas tem menos controles, ao passo que informações mais sensíveis tem maiores controles e restrições. Um exemplo tradicional é o descarte de informações físicas: Informações que podem ser divulgadas publicamente não têm restrições quanto ao descarte, enquanto as informações sensíveis são fragmentadas.

NOTA 2 Convém que procedimentos complementares quanto ao tratamento da informação sejam considerados e desenvolvidos de acordo com o item “10.7 – Manuseio de mídias” da ABNT NBR ISO IEC 27002.

NOTA 3 Convém que sejam definidos procedimentos específicos de tratamento da informação onde a aplicação do rótulo não for possível, como por exemplo o uso de metadados (ABNT NBR ISO IEC 27002 – Item 7.2.2 – Informações adicionais).


JUL 2012


NOTA 4 Convém que sejam definidos pela Organização processos disciplinares adequados para apoiar no tratamento dos desvios realizados pelas pessoas em relação às diretrizes desta Norma, conforme a ABNT NBR ISO IEC 27002 – Item 8.2.3.

Documents

SEGINFO_ABNT