Text page

BS 10008-1: a autenticidade e a integridade das informações

Essa norma, publicada pelo BSI em 2020, estabelece a autenticidade e as integridade das informações que são cada vez mais importante no mundo dos negócios de hoje - especialmente onde as informações eletrônicas são usadas na resolução de disputas ou para demonstrar conformidade. Portanto, detalha o que os usuários precisam fazer para gerenciar informações armazenadas eletronicamente (electronically stored information - ESI) de forma que retenha sua autenticidade e integridade.

09/09/2020 - Equipe Target

A gestão das informações armazenadas eletronicamente

A BS 10008-1:2020 - Evidential weight and legal admissibility of electronically stored information (ESI) - Specification estabelece a autenticidade e as integridade das informações que são cada vez mais importante no mundo dos negócios de hoje - especialmente onde as informações eletrônicas são usadas na resolução de disputas ou para demonstrar conformidade. Portanto, detalha o que os usuários precisam fazer para gerenciar informações armazenadas eletronicamente (electronically stored information - ESI) de forma que retenha sua autenticidade e integridade.

Essa norma se destina a organizações de usuários finais que desejam garantir que o ESI criado, inserido, armazenado e/ou transmitido em seus sistemas de gerenciamento de informações possa ser usado com confiança como evidência em qualquer disputa, dentro ou fora de um tribunal. Ou que desejam garantir que os sistemas de gerenciamento de identidade eletrônica possam ser usados com confiança como evidência em qualquer disputa, dentro ou fora de um tribunal. Ela também pode ser usada por integradores e desenvolvedores de sistemas de gestão de informações que fornecem recursos para atender aos requisitos do usuário.

Os usuários específicos podem ser os gerentes de negócios, registradores ou gerentes de TI, responsáveis pela conformidade da empresa, assessores jurídicos em instituições financeiras, seguradoras e departamentos governamentais locais. Essa norma britânica especifica os requisitos para a implementação e a operação de sistemas eletrônicos de gestão de informações. Isso inclui o armazenamento e a transferência de informações armazenadas eletronicamente (ESI). O objetivo é permitir que os usuários mantenham a autenticidade e integridade do ESI, para que seja confiável e seja aceito sem contestação ou resista a desafios com sucesso.

Tudo isso é importante em circunstâncias em que o ESI possa ser usado como evidência - seja para fins comerciais, de conformidade, legais ou de resolução de disputas. A norma abrange a gestão da disponibilidade de ESI ao longo do tempo, a transferência eletrônica ou comunicação de ESI, a vinculação de identidade eletrônica a um ESI específico, incluindo o uso de assinaturas eletrônicas e sistemas eletrônicos de direitos autorais, bem como a verificação de identidade eletrônica, maneiras de autenticar informações criptografadas e assinaturas eletrônicas e como migrar os registros em papel para microforma ou formato digital sem comprometer a qualidade.

A norma também inclui requisitos para a administração e responsabilidade da gestão de ESI ao longo de seu ciclo de vida. Aplica-se ao ESI em qualquer forma, incluindo documentos gerais de escritório, imagens eletrônicas e informações mantidas em bancos de dados e outros sistemas eletrônicos. O ESI pode ser alfanumérico, baseado em imagem e/ou gravações de voz/vídeo, capturadas de dispositivos estáticos e móveis.

Os benefícios de usar essa norma incluem maior eficiência, maior confiança e melhor gerenciamento de risco, bem como os melhores processos implementados para lidar com problemas de direitos autorais, rastreamento e verificação, o uso reduzido de papel que contribui para credenciais ambientais e custos reduzidos de armazenamento de papel, melhor alinhamento das políticas de segurança da informação da organização, gestão das informações de longo prazo mais direta, incluindo migrações mais fáceis durante as atualizações de tecnologia, continuidade e resiliência dos negócios mais fortes - as informações eletrônicas podem ter backup e proteção mais eficaz do que registros em papel com risco de danos físicos.

Esta norma não cobre os processos usados para avaliar a autenticidade e integridade do ESI antes de ser capturado ou criado no sistema. Mas, a norma contribui para o Objetivo 15 de Desenvolvimento Sustentável das Nações Unidas sobre a proteção, restauração e promoção do uso sustentável de ecossistemas terrestres, incluindo o manejo sustentável de florestas e a redução da perda de biodiversidade, porque apoia o uso de menos papel.

Esta edição é uma revisão completa da BS 10008:2014, introduzindo algumas mudanças. Foi adicionada orientação sobre informações relacionadas à Internet das Coisas. Foram adicionados requisitos relacionados às informações gerenciadas pela tecnologia de blockchain/livro digital distribuído (DLT) e todos os aspectos técnicos deste documento foram atualizados, incluindo o armazenamento na nuvem e onde as informações são armazenadas em objetos digitais.

Conteúdo da norma

Introdução 1

1 Escopo 2

2 Referências normativas 2

3 Termos e definições 3

4 Contexto da organização 6

4.1 Geral 6

4.2 Questões 6

4.3 Requisitos 6

4.4 Limites e aplicabilidade 6

5 Liderança 6

5.1 Liderança e comprometimento 6

5.2 Declarações de política 7

5.3 Funções e responsabilidades dos trabalhadores 10

5.4 Ambiente legal e regulatório 11

6 Planejamento 11

6.1 Ações para abordar os riscos e as oportunidades 11

6.2 Objetivos e realizações 12

7 Suporte 12

7.1 Recursos 12

7.2 Competência 12

7.3 Conscientização 13

7.4 Relatórios e comunicação 13

7.5 Informações documentadas 13

8 Operação 15

8.1 Geral 15

8.2 Criação 15

8.3 Importando 16

8.4 Gestão de processos de negócios, automação de processos robóticos e sistemas de fluxo de trabalho 16

8.5 Digitalização de documentos 16

8.6 Extração de dados 17

8.7 Captura de metadados 17

8.8 Arquivos automodificáveis 17

8.9 Documentos compostos 17

8.10 ESI em bancos de dados estruturados 17

8.11 Blockchain e tecnologias de razão distribuída 18

8.12 Controle de versão 19

8.13 Sistemas de armazenamento 19

8,14 Transferência de ESI 20

8,15 Indexação e outros metadados 21

8.16 Procedimentos de saída autenticados 21

8,17 Identidade 21

8,18 Retenção, redação e descarte de ESI 22

8,19 Procedimentos de segurança da informação 23

8.20 Manutenção do sistema 24

8,21 Prestação de serviço externo 24

8.22 Teste do sistema de gerenciamento de informações 25

9 Avaliação de desempenho 25

9.1 Monitoramento, medição, análise e avaliação 25

9.2 Auditoria interna 26

9.3 Análise crítica da gestão 26

10 Melhoria 27

10.1 Não conformidade e ações corretivas 27

10.2 Melhoria contínua 27

Bibliografia 28

A informação é um ativo organizacional que precisa ser gerenciado ao longo de seu ciclo de vida, sendo freqüentemente necessária para ser usada dentro e fora de uma organização para demonstrar conformidade e/ou resolução de disputas. Se a autenticidade e/ou integridade das informações não puderem ser confiáveis, as conclusões baseadas nelas podem ser desacreditadas. Esta norma britânica especifica como as informações armazenadas eletronicamente (ESI) devem ser gerenciadas por uma organização, em um sistema de gestão das informações, para permitir que tenham um forte peso probatório e sejam comprovadamente confiáveis no que diz respeito à sua autenticidade e integridade sempre que durante seu ciclo de vida for necessário a ser usado - seja para fins comerciais, de conformidade, legais ou de resolução de disputas.

Se o sistema de gestão eletrônico de informações de uma organização estiver em conformidade com esta norma, prevê-se que o peso da evidência do ESI gerenciado pela organização será maximizado, garantindo sua confiabilidade e confiabilidade. Isso provavelmente reduzirá o esforço e o custo envolvidos na resolução de disputas, pois o foco do processo de resolução estará menos preocupado com a autenticidade ou integridade do ESI divulgado do que seria o caso se o sistema de gestão não estivesse em conformidade com esta norma. Também se prevê que a conformidade com esta norma minimizará os riscos envolvidos na retenção de ESI a longo prazo.

O BSI publicou inicialmente o PD 0008, Código de Prática para Peso de Prova e Admissibilidade Legal, em 1996. Este código de prática foi amplamente adotado e é referenciado, por exemplo, pelo Código de Prática Lord Chancellor sobre a gestão de registros [3] publicado sob a Seção 46 da Lei de Liberdade de Informação de 2000 e no equivalente escocês, o Código de Prática sobre a gestão de registros emitido [5] sob a Seção 61 da Liberdade de Informação (Escócia) Lei de 2002 [6]. A edição de 2004 foi emitida como BIP 0008 de acordo com as alterações de procedimento do BSI. Em 2008, para refletir as solicitações dos adotantes do Código de Prática do BIP 0008, foi publicada uma especificação padrão formal, BS 10008: 2008, Peso da prova e admissibilidade legal da informação eletrônica - Especificação. Foi substituído pela edição de 2014, que agora é substituída por esta edição.

Esta norma é complementada por recomendações e orientações na BS 10008-2. Sua publicação reflete as solicitações dos adotantes do BIP 0008 para um padrão formal de conformidade. As recomendações detalhadas e orientações fornecidas na BS 10008-2 destinam-se a auxiliar na implementação bem-sucedida desta parte da BS 10008. A BS 10008-2 substitui o BIP 0008 (agora retirado), que consistia em três partes que tratavam separadamente de armazenamento, transferência e vinculação de identidade para ESI; BS 10008-2 consolida essas três partes em um único código de prática. A Lista de Verificação de Conformidade BIP 0009 fornece uma ferramenta que permite a demonstração da conformidade com esta norma britânica juntamente com as partes apropriadas da BS 10008-2.

A edição anterior do BS 10008 e código de prática associado, BIP 0008, concentrou-se nas coleções estáticas do ESI de uma maneira muito controlada; no entanto, ESI agora está sendo criado usando dispositivos móveis, que incluem os telefones celulares, câmeras usadas no corpo (por exemplo, por ciclistas, polícia, oficiais de justiça, guardas de trânsito), câmeras do painel (frontal e traseira), drones, sistemas de CFTV (públicos e privados), radares (estáticos e portáteis), cobertura de televisão e campainhas com sensores de movimento. Este documento se aplica a todos esses métodos de captura, mas requer procedimentos adicionais para impor controles sobre como este ESI será gerenciado.

FONTE: Equipe Target

Baseado nos documentos visitados

Normas recomendadas para você

Tecnologia da Informação - Técnicas de segurança - Diretrizes para segurança cibernética
NBRISO/IEC27032 de 06/2015

Tecnologia da Informação - Técnicas de segurança - Diretrizes para segurança cibernética

Tecnologia da informação - Técnicas de segurança - Especificação para redação digital
NBRISO/IEC27038 de 12/2014

Tecnologia da informação - Técnicas de segurança - Especificação para redação digital

Tecnologia da informação — Técnicas de segurança — Diretrizes para identificação, coleta, aquisição e preservação de evidência digital
NBRISO/IEC27037 de 12/2013

Tecnologia da informação — Técnicas de segurança — Diretrizes para identificação, coleta, aquisição e preservação de evidência digital

Sistemas espaciais de dados e informações - Modelo de referência para um sistema aberto de arquivamento de informação (SAAI)
NBR15472 de 07/2021

Sistemas espaciais de dados e informações - Modelo de referência para um sistema aberto de arquivamento de informação (SAAI)

Tecnologia da informação - Gestão de serviço - Parte 2: Orientação para aplicação de sistemas de gestão de serviço
NBRISO/IEC20000-2 de 01/2021

Tecnologia da informação - Gestão de serviço - Parte 2: Orientação para aplicação de sistemas de gestão de serviço

Tecnologia da informação - Técnicas de segurança - Código de Prática para controles de segurança da informação
NBRISO/IEC27002 de 11/2013

Tecnologia da informação - Técnicas de segurança - Código de Prática para controles de segurança da informação

Tecnologia da informação — Técnicas de segurança — Sistemas de gestão da segurança da informação — Requisitos
NBRISO/IEC27001 de 11/2013

Tecnologia da informação — Técnicas de segurança — Sistemas de gestão da segurança da informação — Requisitos

Tecnologia de informação - Gerência de senhas - Procedimento
NBR12896 de 11/1993

Tecnologia de informação - Gerência de senhas - Procedimento

Tecnologia de informação - Código Brasileiro para Intercâmbio de Informação - Padronização
NBR9611 de 02/1991

Tecnologia de informação - Código Brasileiro para Intercâmbio de Informação - Padronização

Tecnologia da informação — Técnicas de segurança — Sistemas de gestão da segurança da informação — Monitoramento, medição, análise e avaliação
NBRISO/IEC27004 de 08/2017

Tecnologia da informação — Técnicas de segurança — Sistemas de gestão da segurança da informação — Monitoramento, medição, análise e avaliação

Tecnologia da informação - Governança da TI para a organização
NBRISO/IEC38500 de 11/2018

Tecnologia da informação - Governança da TI para a organização

Segurança da informação - Diretrizes para classificação, rotulação, tratamento e gestão da informação
NBR16167 de 12/2020

Segurança da informação - Diretrizes para classificação, rotulação, tratamento e gestão da informação

Tecnologia de informação - Teclados em equipamentos de processamento de dados - Conjunto alfanumérico - Padronização
NBR10346 de 08/1991

Tecnologia de informação - Teclados em equipamentos de processamento de dados - Conjunto alfanumérico - Padronização

Segurança da informação, segurança cibernética e proteção da privacidade - Governança da segurança da informação
NBRISO/IEC27014 de 09/2021

Segurança da informação, segurança cibernética e proteção da privacidade - Governança da segurança da informação

Tecnologia de informação - Teclados em equipamentos de processamento de dados - Conjunto numérico - Padronização
NBR10347 de 08/1991

Tecnologia de informação - Teclados em equipamentos de processamento de dados - Conjunto numérico - Padronização

Segurança da informação, segurança cibernética e proteção da privacidade - Diretrizes para auditoria de sistemas de gestão da segurança da informação
NBRISO/IEC27007 de 05/2021

Segurança da informação, segurança cibernética e proteção da privacidade - Diretrizes para auditoria de sistemas de gestão da segurança da informação

Tecnologia da informação - Computação em nuvem - Visão geral e vocabulário
NBRISO/IEC17788 de 12/2015

Tecnologia da informação - Computação em nuvem - Visão geral e vocabulário

Tecnologia da informação — Técnicas de segurança — Gestão de riscos de segurança da informação
NBRISO/IEC27005 de 10/2019

Tecnologia da informação — Técnicas de segurança — Gestão de riscos de segurança da informação

Tecnologia da informação - Técnicas de segurança - Código de prática para proteção de dados pessoais (DP) em nuvens públicas que atuam como operadores de DP
NBRISO/IEC27018 de 03/2021

Tecnologia da informação - Técnicas de segurança - Código de prática para proteção de dados pessoais (DP) em nuvens públicas que atuam como operadores de DP

Tecnologia da informação - Gerenciamento de Serviços Parte 5: Exemplo de um plano de implementação da ABNT NBR ISO/IEC 20000-1
ABNT ISO/IEC TR 20000-5 de 06/2011

Tecnologia da informação - Gerenciamento de Serviços Parte 5: Exemplo de um plano de implementação da ABNT NBR ISO/IEC 20000-1

Tecnologia de informação - Técnicas criptográficas de dados - Modos de operação de um algoritmo de cifração de blocos padrão - Padronização
NBR12964 de 09/1993

Tecnologia de informação - Técnicas criptográficas de dados - Modos de operação de um algoritmo de cifração de blocos padrão - Padronização

Tecnologia da informação - Formato aberto de documento para aplicações de escritório (OpenDocument) v1.0
NBRISO/IEC26300 de 05/2008

Tecnologia da informação - Formato aberto de documento para aplicações de escritório (OpenDocument) v1.0

Tecnologia da informação — Diretrizes para o processamento de interceptação telemática judicial
NBR16386 de 06/2015

Tecnologia da informação — Diretrizes para o processamento de interceptação telemática judicial

Sistemas espaciais de transferência de dados e informação – Interface Produtor-Arquivo – Padrão de metodologia abstrata
NBR15862 de 08/2010

Sistemas espaciais de transferência de dados e informação – Interface Produtor-Arquivo – Padrão de metodologia abstrata

Tecnologia da informação - Técnicas de segurança - Código de prática para controles de segurança da informação com base ABNT NBR ISO/IEC 27002 para serviços em nuvem
NBRISO/IEC27017 de 07/2016

Tecnologia da informação - Técnicas de segurança - Código de prática para controles de segurança da informação com base ABNT NBR ISO/IEC 27002 para serviços em nuvem

Tecnologia da informação — Técnicas de segurança — Sistemas de gestão da segurança da informação — Orientações
NBRISO/IEC27003 de 04/2020

Tecnologia da informação — Técnicas de segurança — Sistemas de gestão da segurança da informação — Orientações

Tecnologia da informação - Gestão de serviços - Parte 1: Requisitos do sistema de gestão de serviços
NBRISO/IEC20000-1 de 03/2020

Tecnologia da informação - Gestão de serviços - Parte 1: Requisitos do sistema de gestão de serviços