Você está na página 1de 7

Classificao e Controle dos Ativos de Informao

4.1 Classificao quanto forma de apresentao Um ativo de informao pode ser classificado, quanto forma de apresentao, em: Eletrnico; impresso; falado. 4.2 Classificao quanto criticidade do ativo de informao Um ativo de informao deve ser classificado, quanto ao tipo, em: Pblico : qualquer ativo de informao, de propriedade do LEA ou no, que pode vir ao pblico sem consequncias danosas ao funcionamento normal . Pode ser acessado por qualquer pessoa, interna ou externa ao LEA. Integridade da informao no vital. Pessoal : qualquer ativo de informao relacionado informao pessoal. Por exemplo: mensagem pessoal de correio eletrnico, arquivo pessoal, dados pessoais, etc. Restrita : qualquer ativo de informao, de propriedade do LEA ou no, que no seja considerado pblico. Ativo de informao relacionado s atividades do LEA que direcionado estritamente para uso interno. A divulgao no autorizada do ativo de informao pode causar impacto imagem do LEA. Por exemplo: cdigo-fonte de programa, cronograma de atividades, atas de reunies, etc. Confidencial : qualquer ativo de informao que seja crtico para as atividades do LEA em relao ao sigilo e integridade. A divulgao no autorizada do ativo de informao pode causar grande impacto imagem e s atividades do LEA. Cada unidade do LEA deve definir quais ativos de informao devem ser classificados como confidencial. Qualquer material e informao recebida para ensaio, assim como qualquer resultado do ensaio (como relatrio) deve ser considerado confidencial.

4.3 Rtulo de ativo de informao Todo ativo de informao classificado como pessoal, restrito ou confidencial, quando apresentado de forma impressa ou eletrnica, deve ser rotulado. 4.3.1 Informaes presentes no rtulo: O rtulo de ativo de informao deve conter as seguintes informaes: Ttulo: ttulo do ativo de informao . Verso: verso do ativo de informao . Data De emisso : data da ltima emisso do ativo de informao. Para os ativos de informao nas fases de desenvolvimento ou minuta, deve constar a data da ltima modificao . Classificao de segurana : pblico, pessoal, restrito ou confidencial, conforme Tabela 2 ; Tabela 2 Rtulo de Classificao de Informao.
Classificao Rtulo de classificao Pblico LEA:PUBLICO Pessoal LEA:PESSOAL Restrito LEA:RESTRITO Confidencial LEA:CONFIDENCIAL

Autor(es): identificao dos autores do ativo de informao. Identificao do proprietrio : papel da pessoa, departamento ou entidade proprietria da informao. Quando for documento de entidade externa deve ser informada qual a entidade proprietria ou entidade que disponibilizou a informao.

Identificao do aprovador : pessoa responsvel pela aprovao do documento. Necessria somente para os ativos de informao do tipo documento (diretriz, norma, procedimento, ...) . Autorizaes de acesso : conjunto de pessoas ou entidades que podem ter acesso ao ativo de informao. Restries de cpia : devem ser informadas eventuais restries em relao cpia eletrnica, cpia fsica ou impresso do documento.

4.3.2 Componentes de rotulagem Para possibilitar a aplicao de controles de segurana associados classificao da informao, os componentes de rotulagem relacionados na Tabela 3, devem estar presentes em diferentes locais, dependendo do formato de apresentao. Tabela 3 Componentes de Rotulagem da Informao.
Componente de rotulagem Descrio Pgina de rosto Pgina de rosto contendo ttulo, verso, data, classificao, proprietrio, autorizaes de acesso e restries de cpia. Rodap Rodap presente em todas as pginas, exceto na pgina de rosto, contendo ttulo, verso, data e classificao do ativo da informao. Rtulo em mdia Rtulo em mdia de armazenamento removvel contendo ttulo da mdia, ttulo do contedo, verso, data, classificao, proprietrio, autorizaes de acesso e restries de cpia. Rtulo em invlucro Rtulo em mdia de armazenamento removvel contendo ttulo da mdia, ttulo do contedo, verso, data, classificao, proprietrio, autorizaes de acesso e restries de cpia.

4.3.3 Obrigatoriedade do rtulo A Tabela 4 apresenta as condies de obrigatoriedade dos rtulos de classificao. Tabela 4

Obrigatoriedade de Rtulo de Classificao da Informao.


Classificao Obrigatoriedade Componentes obrigatrios Pblico Opcional Pessoal Opcional Restrito Obrigatrio Pgina de rosto e rodap (*) ou Rtulo em mdia ou Rtulo em invlucro Confidencial obrigatrio Pgina de rosto e rodap (*) ou Rtulo em mdia ou Rtulo em invlucro

(*) Quando o ativo de informao for gerado por entidade externa o requisito de componente de rtulo em rodap, no aplicvel. Quando um ativo de informao impresso for gerado por uma entidade externa deve ser adicionado pgina de rosto. Quando um ativo de informao eletrnico for gerado por uma entidade externa e quando armazenado em mdia no removvel, deve ser gerada uma pgina de rosto e armazenada prximo ao ativo. Quando no for possvel aplicar o rtulo do documento original eletrnico armazenado em uma mdia removvel deve ser aplicado, se possvel, o rtulo na mdia de armazenamento. Caso no seja possvel, a mdia deve ser armazenada em um invlucro que possibilite a sua rotulagem. 4.3.4 Alterao do rtulo de classificao Sempre que necessrio, o proprietrio da informao deve alterar o rtulo de classificao da informao com objetivo de adequ-la s novas necessidades: Novas entidades de acesso (incluso ou excluso); reclassificao; proprietrio da Informao. 4.4 Tratamento de ativo de informao De acordo com a classificao aplicada ao ativo de informao podem existir restries sua manipulao, relacionadas s seguintes operaes: Acesso; proteo; armazenamento;

transmisso; cpia; impresso; destruio. A seguir esto descritos os requisitos que devem ser aplicados aos ativos de informao, de acordo com sua classificao.

4.4.1 Ativo de informao pblica 4.4.1.1 Acesso Qualquer entidade pode ter acesso a um ativo de informao pblica. 4.4.1.2 Proteo Um ativo de informao pblica no formato eletrnico no deve ser protegido com criptografia nas dependncias do LEA. opcional o uso de outros controles de segurana aos ativos de informao pblica. 4.4.1.3 Cpia Deve ser verificado se existe restrio de cpia aplicvel ao ativo de informao antes de ser realizada a sua cpia. 4.4.1.4 Impresso Deve ser verificado se existe restrio de cpia aplicvel ao ativo de informao antes de ser realizada a sua impresso. 4.4.2 Ativo de informao pessoal 4.4.2.1 Acesso Somente o proprietrio da informao pode ter acesso a um ativo de informao pessoal. O proprietrio deve configurar os controles de acesso adequados. 4.4.2.2 Proteo Um ativo de informao pessoal no formato eletrnico no deve ser protegido com criptografia nas dependncias do LEA. opcional o uso de outros controles de segurana aos ativos de informao pessoal. 4.4.2.3 Armazenamento Um ativo de informao pessoal no formato impresso no deve ser armazenado no nvel 3. O LEA deve definir um local reservado para esta finalidade para cada usurio. Para um ativo de informao pessoal no formato eletrnico, o LEA deve definir para cada usurio, um local reservado para armazenamento de ativo de informao pessoal.

4.4.3

Ativo de informao restrito 4.4.3.1 Acesso Somente as pessoas autorizadas, relacionadas no rtulo, podem ter acesso ao ativo de informao. Devem ser especificados controles de acesso adequados. 4.4.3.2 Proteo Ativo de informao restrito no formato eletrnico no pode ser protegido com criptografia nas dependncias do LEA. Ativo de informao no formato impresso deve ser armazenado com controles de segurana adequados. 4.4.3.3 Transmisso para entidades externas Ativo de informao restrito no pode sair das dependncias do LEA sem autorizao do proprietrio da informao. 4.4.3.4 Destruio Um ativo de informao no formato impresso deve ser destrudo, obrigatoriamente, em picotadora. 4.4.3.5 Cpia Cpia de ativo de informao restrito deve seguir as restries descritas no rtulo de classificao do ativo de informao. 4.4.3.6 Impresso A impresso de ativo de informao restrito deve seguir as restries relacionadas cpia descritas no rtulo de classificao do ativo de informao. 4.4.4 Ativo de informao confidencial 4.4.4.1 Acesso Somente uma entidade autorizada que esteja relacionada no rtulo, pode ter acesso a um ativo de informao confidencial. 4.4.4.2 Proteo Um ativo de informao confidencial no formato eletrnico deve ser obrigatoriamente protegido com criptografia (ver poltica de uso de material criptogrfico). Ativo de informao em papel deve ser armazenado em local protegido por chave. 4.4.4.3 Impresso A impresso de ativo de informao confidencial deve seguir as restries relacionadas cpia descritas no rtulo de classificao do ativo de informao. O processo de impresso de ativo de informao confidencial deve ser acompanhado pelo responsvel pela impresso. 4.4.4.4 Transmisso para entidades externas Ativo de informao confidencial no pode ser retirado das dependncias do LEA exceto quando forem atendidos os requisitos descritos a seguir. O LEA deve divulgar internamente um documento contendo a relao de Entidades

autorizadas para comunicao de ativo de informao confidencial que deve relacionar as entidades envolvidas e a natureza da informao trocada. Para cada uma destas entidades deve ser mantido um contrato de sigilo relacionado manipulao de informao confidencial. Qualquer transmisso de ativo de informao confidencial para outra entidade no definida previamente como entidade autorizada deve possuir contrato de sigilo e autorizao por escrito do Coordenador Geral do LEA. A transmisso de um ativo de informao confidencial para uma entidade externa pode ser realizada somente se a entidade estiver relacionada no rtulo do ativo, na lista de entidades com direito de acesso. Todo ativo de informao confidencial disponibilizado para o ambiente externo deve ser numerado e armazenado em um repositrio especfico para este fim, juntamente com a autorizao por escrito e a identificao do destinatrio. A transmisso de um ativo de informao confidencial pode ser realizada somente de forma protegida e para entidades autorizadas. 4.4.4.5 Destruio Ativo de informao eletrnico deve ser destrudo utilizando tcnicas de sobreposio ( wipe). Ativo de informao em papel deve ser destrudo em picotadora. 4.4.4.6 Cpia Cpia de ativo de informao confidencial deve seguir as restries descritas no rtulo de classificao do ativo de informao