POLTICA DE CLASSIFICAO DAS INFORMAES E SISTEMAS GOVERNAMENTAIS

Dezembro de 2006

Documento Poltica de Classificao das Informaes e Sistemas Governamentais

Aplicao Rede Governamental

Verso 1.0

Reviso 02/12-2006

Pgina -1-

ndice

1 2 3 3. 4

Objetivo.........................................................................................................................2 Designaes dos nveis de Segurana....................................................................2 Introduo aos Nveis de Segurana........................................................................2 Classificao das Informaes..................................................................................3 Nveis de Sensibilidade para Informaes...............................................................6

5 Classificao de Redes Locais, Sistemas Corporativos e Servios da Rede Governamental.....................................................................................................................8 6 7 Responsabilidades.....................................................................................................11 Poltica.........................................................................................................................11

ANEXOS........... ..................................................................................................................12 ANEXO A - PLANILHA DE CLASSIFICAO DE SISTEMAS E SERVIOS.........12 ANEXO B - ACORDO PARA SALVAGUARDAR INFORMAES SENSVEIS.....13

Documento Poltica de Classificao das Informaes e Sistemas Governamentais 1 Objetivo

Aplicao Rede Governamental

Verso 1.0

Reviso 02/12-2006

Pgina -2-

O propsito deste documento ser um guia para a determinao do nvel de segurana necessrio para cada informao ou sistema governamental(sistema corporativo, redes locais e servios da rede governamental). Os responsveis pelos sistemas devem usar este guia para determinar o nvel de segurana adequado exigido pelas redes locais, sistemas corporativos e servios da rede sob sua responsabilidade. 2 Designaes dos nveis de Segurana Os esforos de classificao de informaes so baseados na sensibilidade da informao contida em sistemas governamentais e na criticidade operacional de disponibilidade da capacidade de processamento dos sistemas corporativos, redes locais e servios da rede governamental. Designaes dos nveis de segurana so usadas para definir as exigncias destes esforos de segurana. 3 Introduo aos Nveis de Segurana A designao do nvel de segurana, dentro do Programa de Segurana de Redes locais, sistemas corporativos e servios da rede, baseada na: A. Sensibilidade da informao; ou seja, na necessidade de proteo da informao contra exposio no autorizada, fraude, roubo ou abuso; B. Criticidade Operacional da Disponibilidade de Processamento da Informao; ou seja, as conseqncias causadas pela interrupo das capacidades de processamento de informaes. Existem quatro nveis de designao de segurana para sensibilidade da informao e quatro nveis para criticidade operacional. O responsvel pelo sistema deve considerar a segurana para cada sistema sob estes dois pontos de vista, e depois escolher a taxa mais elevada para o nvel de segurana do sistema como um todo. Um sistema de informao deve ser compartimentado, pois geralmente conjuntos de informaes ou processos so mais sensveis do que outros dentro de um mesmo sistema. O responsvel pelo sistema deve designar o nvel mais alto de qualquer conjunto de informaes ou Processos dentro do sistema como a designao final do nvel de segurana como um todo. Esta prtica deve suportar a Confidencialidade, Integridade, e Disponibilidade necessrias para tais sistemas como descrito abaixo: Confidencialidade O sistema contm informao que exige proteo contra exposio no autorizada.

Documento Poltica de Classificao das Informaes e Sistemas Governamentais

Aplicao Rede Governamental

Verso 1.0

Reviso 02/12-2006

Pgina -3-

Integridade - O sistema contm informao que deve ser protegida contra modificao no autorizada, intencional ou no. Disponibilidade - O sistema contm informao ou fornece servios que devem estar disponveis o maior tempo possvel baseado nas exigncias da misso ou para evitar perdas substanciais.

Os profissionais responsveis por Redes locais, sistemas corporativos e servios da rede devem certificar-se que as informaes tratadas sejam acessadas somente por usurios autorizados que utilizem totalmente as exigncias das salvaguardas do nvel de segurana do sistema. Os Responsveis por Redes locais, sistemas corporativos e servios da rede devem tomar cuidados especiais quando especificarem o nvel de segurana exigido para as redes locais, sistemas corporativos e servios da rede, que utilizam servios terceirizados de desenvolvimento do sistema e pessoal de suporte responsvel pela manuteno dos sistemas. Ao especificarem o nvel de segurana, os responsveis por Redes locais, sistemas corporativos e servios da rede devero habilitar todos os registros possveis de auditoria para que estes sejam auditados sempre que necessrio. A designao do nvel de segurana de uma determinada classificao constitui a pilastra que vai possibilitar determinar as salvaguardas mnimas necessrias para proteger informaes sensveis e garantir a continuidade operacional crtica da capacidade de processamento das informaes. 4 Classificao das Informaes As informaes de propriedade do Governo do Estado do Cear, mantidas nos sistemas corporativos governamentais devem ser classificadas de acordo com os nveis de segurana apresentados abaixo:
Nvel de Segurana Alto Nvel de Segurana Mdio Nvel de Segurana Baixo Nvel de Segurana No Classificado

Nvel Secreto Nvel Confidencial Nvel Classificado Nvel no Classificado

Documento Poltica de Classificao das Informaes e Sistemas Governamentais 4.1

Aplicao Rede Governamental

Verso 1.0

Reviso 02/12-2006

Pgina -4-

Nveis de Segurana da Informao Os esforos de segurana de TI so baseados na sensibilidade de dados contidos nos sistemas governamentais, sejam as redes locais, os sistemas corporativos ou os servios oferecidos pela rede governamental e na disponibilidade de processamento destes sistemas governamentais. Designaes de nvel de segurana so usadas para definir exigncias destes esforos de segurana.

4.2

Categoria de Informao Os rgos ou entidades da rede pblica estadual tratam diversas informaes, que vo desde informaes sensveis para o Governo at informaes necessrias para o seu desenvolvimento como entidades. As informaes devem ser avaliadas de acordo com o critrio de seleo descrito na tabela abaixo e devem ser associadas com o nvel mnimo de segurana exigido.
Nvel de Segurana B M A

Categoria

Explicao e exemplos

(1) Informao Qualquer informao que seja declarada para Pblica consumo dos rgo ou entidade da rede pblica estaduais e entidades pblicas por autoridades B oficiais, tais como informaes do dirio Oficial. Tambm inclui Informaes colocadas na Internet. (2) Informao Informao de pessoal, mdica, e dados similares. sobre indivduos Inclui todas as informaes cobertas pela lei de privacidade tais como: salrios, identificadores de usurios (IDs), perfil pessoal (endereo de casa e nmero telefnico), histrico mdico, histrico do empregado e histrico de investigao (criminal/priso). (3) Informaes Financeiras, oramentrias, comerciais e proprietrias. Informaes e aplicaes financeiras, comerciais recebidas em confidncia, ou segredos comerciais (proprietrio, informao de ordem de contratos, informao sensvel sobre patentes, e informaes protegidas legalmente). Informao sobre pagamento, tomada de deciso automatizada, aquisies, inventario, outras financeiras relacionadas a sistemas, e operao do lugar e despesas com segurana.

(4) Administrao Informao da administrao interna do rgo ou interna entidade da rede pblica estadual, tais como regras pessoais, posies de compras e negociao, e informaes sobre aes judiciais.

Documento Poltica de Classificao das Informaes e Sistemas Governamentais

Aplicao Rede Governamental

Verso 1.0

Reviso 02/12-2006

Pgina -5-

Nvel de Segurana (5) Informaes de outros rgo ou entidade da rede pblica estaduals e entidades A proteo da Informao que exigida por estatuto, ou que recebida de um outro rgo ou entidade da rede pblica estadual Federal e exige aprovao pelo rgo ou entidade da rede pblica estadual emissor para liberao.

(6) Tecnologia Informao relacionada nova tecnologia, nova ou controlada Informao cientifica que proibida de exposio cientificamente para certos Governos estrangeiros ou que podem exigir uma licena de exportao do departamento de Estado. (8) Informao Informao que exige proteo durante operaes; Operacional geralmente informao crtica ao tempo. (9) Informao sobre gerenciamento de configurao de sistemas Qualquer informao pertencente a operaes da rede ou sistema computacional interno, tais como endereos de dispositivos de rede; esquemas de endereamento de sistemas e protocolos implementados no rgo ou entidade da rede pblica estadual; protocolos de informao de gerenciamento de rede, string de comunidade SNMP, pacotes de informao da rede, etc.; senhas de dispositivos e sistemas; informao de configurao de dispositivos e sistemas.

(10) Informao de Informao de Investigao por lei para propsitos Investigao, a de coero; Informao relacionada Inteligncia segurana estadual que no pode ser classificada, mas est sujeita a confidencialidade e controles extras de segurana, tais como planos de segurana, de contingncia, de operaes emergenciais, relatrios de incidentes, relatrios de investigaes, de verificao e certificao de riscos. (11) Informao de Informao qualificada como crtica para a misso misso crtica do rgo ou entidade da rede pblica estadual ou para o Estado, incluindo informaes de estatsticas vitais para operaes de emergncia. (12) vital Informao Informao crtica para a vida til de sistemas tais como, informaes onde a incerteza, perda, ou alteraes da informao pode resultar em perda de vida.

(13) Patrimnios Informaes sobre patrimnios dos cidados tais dos cidados como veculos, registro de imveis, poupana, aes nominais, dentro outros.

Legenda: B-Baixo, M- Mdia, A- Alta.

Documento Poltica de Classificao das Informaes e Sistemas Governamentais 5

Aplicao Rede Governamental

Verso 1.0

Reviso 02/12-2006

Pgina -6-

Nveis de Sensibilidade para Informaes Nveis de Sensibilidade classificam informaes de acordo com o tipo de informao armazenada na base de dados e exigncia de leis especificas governando a proteo ou exposio da informao armazenada.

A designao de nvel 01 usada para informaes com o menor grau de sensibilidade e a designao de nvel 04 usada para informaes com a maior sensibilidade relativa. 5.1 Nvel 01: Sensibilidade Baixa Esta categoria classifica informaes que exigem proteo mnima. Ameaas para estas informaes so consideradas mnimas, e somente as precaues mnimas do ambiente do usurio precisam ser tomadas para proteger a informao. Alterao no intencional ou destruio so as principais preocupaes para esta classe de informao. Esta categoria constituda por informaes de registros submetidos lei de privacidade, virtualmente de domnio pblico, tais como arquivos de informaes limitadas sobre funcionrios, de forma que sua exposio no autorizada no afete o funcionrio. 5.2 Nvel 02: Sensibilidade Moderada Esta categoria classifica informaes que possuem alguma importncia para o rgo ou entidade da rede pblica estadual e entidade da administrao estadual ou para o Estado e que devem ser protegidas contra atos destrutivos e maliciosos. Como estes tipos de informaes

Documento Poltica de Classificao das Informaes e Sistemas Governamentais

Aplicao Rede Governamental

Verso 1.0

Reviso 02/12-2006

Pgina -7-

so geralmente usados para propsitos analticos, problemas de exposio no so to significantes. Esta categoria inclui: a. Informao gerencial sobre carga de trabalho, nomeao, e informaes similares, geralmente em forma estatstica, usadas para gerar relatrios que refletem o status de algum rgo ou entidade da rede pblica estadual. Acessos para estas informaes precisam ser restritos somente para uma classe de usurios limitada. As informaes so protegidas por causa do seu valor para o Estado ou algum rgo ou entidade da rede pblica estadual entidade da administrao estadual. b. Informaes de domnio no pblico sujeitas lei de privacidade, que sua exposio no autorizada poderia causar problemas indeterminados para um cidado. c. Informaes de e-mails e documentos que devem ser protegidos contra alterao ou exposio no autorizada. Estes tipos de informaes incluem todas as correspondncias, memorandos, e outros documentos que seu lanamento ou distribuio para fora do governo estadual precise ser controlado. 5.3 Nvel 03: Sensibilidade Alta Esta categoria classifica as informaes mais sensveis para o Estado. A informao nesta categoria exige o maior nvel de proteo, salvaguarda e ambiente de usurio mais restrito. Esta categoria inclui: a. Informao sobre pagamentos e informao usada para autorizar ou fazer pagamentos para pessoas ou organizaes. Estas informaes so geralmente armazenadas em redes locais, sistemas corporativos e servios da rede em produo, e constituem informaes privilegiadas, tais como a folha de pagamento. b. Informao Proprietria que possui valor para o Estado e que deve ser protegida de exposio no autorizada. c. Informaes em e-mails e documentos considerados altamente sensveis para o Estado e algum rgo ou entidade da rede pblica estadual, cuja informao deva ser protegida de alterao no autorizada e/ou exposio antes do tempo, tais como licitaes. d. Informaes de registros de redes locais, sistemas corporativos e servios da rede submetidos lei de Privacidade, em que a exposio no autorizada constitua uma invaso de privacidade pessoal trazendo conseqncias para um cidado em termos financeiros, mdicos, psicolgicos, ou posio social.

Documento Poltica de Classificao das Informaes e Sistemas Governamentais 5.4

Aplicao Rede Governamental

Verso 1.0

Reviso 02/12-2006

Pgina -8-

Nvel 04: Sensibilidade Muito Alta Esta categoria classifica todas as informaes classificadas como segurana estadual ou nacional, onde a falta ou uso inadequado desta informao pode afetar a segurana estadual.

Classificao de Redes Locais, Sistemas Corporativos e Servios da Rede Governamental

Se a classificao de um sistema governamental (rede local, sistema corporativo ou servio da rede governamental) for classificado baseado no tipo de informao governamental que ele(a) manipula, tal sistema deve encaixarse em uma das categorias abaixo: Tipo de Informao Alta Confidencialidade Descrio Sistemas que manipulam informaes governamentais, cujo acesso indevido pode trazer: prejuzo financeiro para o Estado ou terceiros, impactos negativos imagem do Estado, danos a certos indivduos em benefcios de outros e insegurana para alguns indivduos. Sistemas que manipulam informaes governamentais cuja manipulao indevida pode acarretar em danos ao Estado ou a indivduos que confiam em tais sistemas tais como: resultados de aprovaes, meteorolgicas, indicadores econmicos e sociais, informaes privadas. Servios, tais como comunicao de rede, Internet, correio eletrnico, banco de dados de sistemas crticos, cuja paralisao pode trazer danos ao Estado como perda de arrecadao, de negcios, dentre outros.

Alta Integridade

Alta disponibilidade

6.1 Nveis de Criticidade para Redes Locais, Sistemas Corporativos e Servios da rede Nveis de criticidade classificam redes locais, sistemas corporativos e servios da rede de acordo com o nvel de informaes que eles suportam e sua disponibilidade de processamento para o Estado. Uma designao de nvel 01 usada por uma rede local, sistema corporativo ou servio da rede contendo processamento de informao de menor sensibilidade relativa para o Estado ou que requeira baixa disponibilidade. Uma designao de nvel 04 usada por uma rede local, sistema corporativo e servio da rede com processamento de informao com a mais alta sensibilidade relativa ou que requeira alta disponibilidade para o Estado.

Documento Poltica de Classificao das Informaes e Sistemas Governamentais

Aplicao Rede Governamental

Verso 1.0

Reviso 02/12-2006

Pgina -9-

6.2

Nvel 01: Criticidade Baixa Esta categoria classifica redes locais, sistemas corporativos e servios da rede com capacidade de processamento de informao que exigem proteo mnima. No caso de alterao ou falha, estas redes locais, sistemas corporativos e servios da rede devem afetar minimamente o Estado ou o rgo/entidade da rede pblica estadual relacionada, podendo ficar indisponvel e ainda assim representar um impacto mnimo de tempo, custo e pessoal. Esta categoria tambm inclui redes locais, sistemas corporativos e servios da rede que geram, armazenam, processam, transferem, ou comunicam informaes que so consideradas de baixa ou nenhuma sensibilidade (Nvel 01 de Sensibilidade). Caso uma ameaa a esta categoria de informaes se realize, ocasionar um Impacto notvel na misso do rgo/entidade da rede pblica estadual ou entidade governamental, funes, imagem, ou reputao. Uma brecha deste nvel de segurana pode gerar um resultado negativo, causando danos, exigindo reparos a um patrimnio ou recurso.

6.3

Nvel 02: Criticidade Moderada Esta categoria classifica redes locais, sistemas corporativos e servios da rede com disponibilidade de processamento de mdia criticidade e sensibilidade de informaes que so considerados importantes, mas no criticas para o gerenciamento interno do Estado como um todo. Esta categoria inclui:

Documento Poltica de Classificao das Informaes e Sistemas Governamentais

Aplicao Rede Governamental

Verso 1.0

Reviso 02/12-2006

Pgina - 10 -

a. Redes locais, sistemas corporativos e servios da rede em que falhas no seu funcionamento por um longo perodo de tempo no devem causar um impacto ao Estado ou aos rgos e entidades da administrao pblica estadual que elas suportam. b. Redes locais, sistemas corporativos e servios da rede que geram, armazenam, processam, transferem, ou comunicam informaes consideradas de sensibilidade moderada (Nvel 02 de Sensibilidade). Caso uma ameaa a esta categoria de informaes se realize, ocasionar uma falha grave para misso do rgo ou entidade da rede pblica estadual, funes, imagem, ou reputao que deve colocar o rgo ou entidade da rede pblica estadual em desvantagem significativa ou poderia resultar em danos maiores, exigindo reparos extensivos para patrimnios ou recursos. 6.4 Nvel 03: Criticidade Alta Esta categoria classifica redes locais, sistemas corporativos e servios da rede com disponibilidade crtica de processamento e sensibilidade de informao considerada sensvel para o Estado ou rgos e entidades da administrao pblica estadual que elas suportam. Esta categoria inclui: a. Redes locais, sistemas corporativos e servios da rede em que falhas no seu funcionamento por um certo perodo de tempo causem um impacto grave para o Estado ou para rgo e entidades da administrao pblica estadual que elas suportam. b. Redes locais, sistemas corporativos e servios da rede que tratam informaes que so consideradas de alta potencialidade para fraude, destruio, ou abuso. c. Redes locais, sistemas corporativos e servios da rede que geram, armazenam, processam, transferem, ou comunicam informaes consideradas de sensibilidade alta (Nvel 03 de sensibilidade). Caso uma ameaa a esta categoria de informaes se realize, ocasionar uma perda total da capacidade de desempenho da misso do rgo ou entidade da administrao pblica estadual por um longo perodo de tempo, ou resultar em perda dos principais patrimnios e recursos, podendo chegar a colocar vidas humanas em risco. 6.5 Nvel 04: Criticidade Muito Alta Esta categoria classifica todos as redes locais, sistemas corporativos e servios da rede com disponibilidade de processamento crtico e sensibilidade de informao considerada sensvel para o bem do Estado e da populao.

Documento Poltica de Classificao das Informaes e Sistemas Governamentais 7 7.1 Responsabilidades

Aplicao Rede Governamental

Verso 1.0

Reviso 02/12-2006

Pgina - 11 -

Administrador de Segurana Governamental

a. Garantir que as designaes de Nvel de Segurana (4, 3, 2, ou 1) sejam associadas para todos os sistemas corporativos e servios da rede governamental e infra-estrutura respectiva do sistema. b. Coordenar o processo de classificao de sensibilidade das informaes; c. Coordenar o processo de classificao de criticidade dos sistemas governamentais. 7.2 Auditor de Segurana a. Auditar as determinaes dos nveis de segurana das informaes governamentais baseado na sensibilidade de tais informaes; b. Auditar as associaes de criticidade dos servios, dos sistemas corporativos, redes locais e servios da rede governamental. 7.3 Administrador de Rede, sistema ou servio a. Determinao da designao do Nvel de Segurana para os sistemas corporativos e servios da rede governamental sob sua gerncia e bases de dados associadas. b. Notificao do Auditor de Segurana de TI Estadual e usurios dos nveis de segurana exigidos pela informao e capacidade de processamento da informao dos sistemas corporativos e servios da rede governamental sob sua gerncia. 8 Poltica Todas informaes do Estado do Cear tratadas por rgos/entidades da rede pblica estadual devem ser classificadas quanto a sensibilidade de tais informaes de acordo com a planilha de classificao de sistemas e servios em anexo neste documento; Todos os sistemas corporativos, servios da rede governamental, de dominio pblico devem ser classificados quanto a criticidade de suas operaes de acordo com a planilha de classificao de sistemas e servios em anexo neste documento.

Documento Poltica de Classificao das Informaes e Sistemas Governamentais

Aplicao Rede Governamental

Verso 1.0

Reviso 02/12-2006

Pgina - 12 -

ANEXOS ANEXO A - PLANILHA DE CLASSIFICAO DE SISTEMAS E SERVIOS Nome do Sistema Governamental: Tipo do Sistema: rgo ou entidade responsvel: Profissional responsvel pelo sistema: Misso do sistema / servio Objetivos do sistema / servio Classificao das informaes Informao manipulada Nvel de classificao Justificativa Rede local Sistema Corporativo Servio da Rede

Nvel de classificao do sistema Sensibilidade Observaes: Criticidade

Aprovao Auditor de Segurana Estadual Administrador de Segurana de TI Estadual

Responsvel pelo Sistema

Responsvel pelo rgo

Documento Poltica de Classificao das Informaes e Sistemas Governamentais

Aplicao Rede Governamental

Verso 1.0

Reviso 02/12-2006

Pgina - 13 -

ANEXO B - ACORDO PARA SALVAGUARDAR INFORMAES SENSVEIS Governo do Estado do Cear Eu, ______________________________________, reconheo que tenho acesso a informaes sensveis mantidas pelo governo do Estado do Cear na intranet da rede governamental. Eu aceito que obterei, usarei ou revelarei tais informaes somente na conexo da execuo das obrigaes da minha posio para propsitos autorizados. Eu aceito manter a confidencialidade da informao em conformidade com as leis estaduais. Eu entendo que falhas na salvaguarda de informaes sensveis podem resultar em imposio de penalidades, incluindo afastamento do cargo, demisso do Estado at processos judiciais. Se eu observo quaisquer condies que causariam a exposio da informao de qualquer maneira, eu entendo que minha responsabilidade tomar aes para salvaguardar o governo do Estado do Cear e informar o incidente para meu superior. Eu aceito que minha obrigao para salvaguardar a confidencialidade dos dados do governo deve sobreviver o termino do meu emprego ou contrato com o governo do Estado do Cear RECONHECIMENTO E ASSINATURA: ______________________________________ ____________________ (Empregado/contratado) ______________________________________ ____________________ (Supervisor/Assinatura) (Data) (Data)