O MINISTRO DE ESTADO CHEFE DO GABINETE DE SEGURANÇA INSTITUCIONAL DA PRESIDÊNCIA DA REPÚBLICA, no uso das atribuições que lhe foram conferidas pelo art. 19 do Decreto nº 9.637, de 26 de dezembro de 2018, alterado pelo Decreto nº 9.832, de 12 de junho de 2019, e
CONSIDERANDO o constante dos autos do processo nº 00186.000510/2019-74, resolve:
Art. 1º Aprovar, na forma do Anexo, o Glossário de Segurança da Informação.
Art. 2º Esta Portaria entra em vigor na data de sua publicação.
AUGUSTO HELENO RIBEIRO PEREIRA
ANEXO I
GLOSSÁRIO DE SEGURANÇA DA INFORMAÇÃO
2
2FA – acrônimo de Autenticação de Dois Fatores (2Factor Authentication).
A
AAA – acrônimo de Autenticação, Autorização e Auditoria;
AC – acrônimo de Autoridade Certificadora;
AC-RAIZ – acrônimo de Autoridade Certificadora Raiz;
ACESSO – ato de ingressar, transitar, conhecer ou consultar a informação, bem como possibilidade de usar os ativos de informação de um órgão ou entidade, observada eventual restrição que se aplique;
ACL – acrônimo de Lista de Controle de Acesso (Access Control List);
ADMINISTRADOR DE PERFIL INSTITUCIONAL – agentes públicos que detenham autorização de responsável pela área interessada para administrar perfis institucionais de um órgão ou entidade da APF, direta e indireta, nas redes sociais;
ADMINISTRADOR DE REDE – pessoa física que administra o segmento de rede correspondente à área de abrangência da respectiva unidade;
ADWARE – do inglêsAdvertising Software, é um tipo específico despywareprojetado especificamente para apresentar propagandas. Pode ser usado de forma legítima, quando incorporado a programas e serviços, como forma de patrocínio ou retorno financeiro para quem desenvolve programas livres ou presta serviços gratuitos. Também pode ser usado para fins maliciosos quando as propagandas apresentadas são direcionadas, de acordo com a navegação do usuário e sem que este saiba que tal monitoramento está sendo realizado;
AGENTE PÚBLICO – todo aquele que exerce, ainda que transitoriamente ou sem remuneração, por eleição, nomeação, designação, contratação ou qualquer outra forma de investidura ou vínculo, mandato, cargo, emprego ou função nos órgãos e entidades da APF, direta e indireta;
AGENTE PÚBLICO COM DISPOSITIVO MÓVEL CORPORATIVO – servidor público, empregado, ou militar de carreira de órgão ou entidade da APF, direta ou indireta, que utilize dispositivo móvel de computação de propriedade dos órgãos ou entidades a que pertence;
AGENTE PÚBLICO COM DISPOSITIVO MÓVEL PARTICULAR – servidor público, empregado, ou militar de carreira de órgão ou entidade da APF, direta ou indireta, que utilize dispositivo móvel de computação de sua propriedade. Os dispositivos particulares que se submetem aos padrões corporativos desoftwaree controles de segurança, e que são incorporados à rede de um órgão ou entidade, são considerados como dispositivos corporativos;
AGENTE RESPONSÁVEL – servidor público ou empregado ocupantes de cargo efetivo ou militar de carreira de órgão ou entidade da APF, direta e indireta, que se enquadre em qualquer das opções seguintes: a) possuidor de credencial de segurança; b) incumbido de chefiar e gerenciar a Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais; c) incumbido de chefiar ou gerenciar o processo de Inventário e Mapeamento de Ativos de informação; d) incumbido de chefiar e gerenciar o uso de dispositivos móveis; e) incumbido da gestão do uso seguro de redes sociais;
AGENTES DE TRATAMENTO – o controlador e o operador;
ALGORITMO CRIPTOGRÁFICO – função matemática utilizada na cifração e na decifração de informações sigilosas, necessariamente nas informações classificadas;
ALGORITMO DE ESTADO – algoritmo criptográfico desenvolvido pelo Estado e não comercializável, para uso exclusivo em interesse do serviço de órgãos ou entidades da APF, direta e indireta;
ALGORITMO REGISTRADO – função matemática utilizada na cifração e na decifração de informações não classificadas, para uso exclusivo em interesse do serviço de órgãos e entidades da APF, direta e indireta, cujo código fonte e método de processo sejam passíveis de controle e de auditoria;
ALTA ADMINISTRAÇÃO – Ministros de Estado, ocupantes de cargos de natureza especial, ocupantes de cargo de nível 5 (cinco) do Grupo Direção e Assessoramento Superiores – DAS e presidentes e diretores de autarquias, inclusive as especiais, e de fundações públicas ou autoridades de hierarquia equivalente;
AMBIENTAÇÃO – evento que oferece informações sobre a missão organizacional do órgão ou entidade da APF, direta e indireta, bem como sobre o papel do agente público nesse contexto;
AMBIENTE CIBERNÉTICO – inclui usuários, redes, dispositivos,software, processos, informação armazenada ou em trânsito, serviços e sistemas que possam ser conectados direta ou indiretamente a redes de computadores;
AMBIENTE DE INFORMAÇÃO – agregado de indivíduos, organizações e/ou sistemas que coletam, processam ou disseminam informação;
AMEAÇA – conjunto de fatores externos ou causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organização;
AMEAÇA PERSISTENTE AVANÇADA (APT) – operações de longo prazo projetadas para infiltrar ou exfiltrar o máximo possível de dados sem serem descobertas, sendo mais conhecidas pelo seu acrônimo em inglês APT -Advanced Persistent Threat. Possui ciclo de vida mais longo e complexo que outros tipos de ataque, sendo mais elaborados e necessitando de volume significativo de recursos para sua viabilização, o que exige forte coordenação. Em geral, são realizados por grupos com intenção de espionagem ou sabotagem;
ANÁLISE DE IMPACTO NOS NEGÓCIOS (AIN) – visa estimar os impactos resultantes da interrupção de serviços e de cenários de desastres que possam afetar o desempenho dos órgãos ou entidades da APF, bem como as técnicas para qualificar e quantificar esses impactos. Define também a criticidade dos processos de negócio, suas prioridades de recuperação, interdependências e os requisitos de segurança da informação para que os objetivos de recuperação sejam atendidos nos prazos estabelecidos;
ANÁLISE DE INCIDENTES – consiste em examinar todas as informações disponíveis sobre o incidente, incluindo artefatos e outras evidências relacionadas ao evento. O propósito da análise é identificar o escopo do incidente, sua extensão, sua natureza e quais os prejuízos causados. Também faz parte da análise do incidente propor estratégias de contenção e recuperação;
ANÁLISE DE RISCOS – uso sistemático de informações para identificar fontes e estimar o risco;
ANÁLISE DINÂMICA – tipo de teste desoftwareque verifica seu comportamento externo em busca de anomalias ou vulnerabilidades. A análise dinâmica ocorre por meio de execução dosoftwarecom dados de teste para examinar as saídas e o comportamento operacional. Ela opera como complemento da análise estática, considerando o código como uma caixa-preta. A principal vantagem da análise dinâmica é evidenciar defeitos sutis ou vulnerabilidades cujas origens são muito complexas para serem descobertas na análise estática. A análise dinâmica pode desempenhar um papel na garantia da segurança, mas seu principal objetivo é encontrar e eliminar erros, o chamadodebug. Após o produto passar por um teste de análise dinâmica, ele tende a ficar mais limpo, o que traz consideráveis melhorias na performance;
ANÁLISE ESTÁTICA – tipo de teste de software que verifica a lógica interna em busca de falhas ou vulnerabilidades. A análise estática ocorre por meio de revisão, análise automatizada ou verificação formal do código-fonte ou dos binários, usando uma abordagem do tipo caixa-branca. Uma ferramenta que executa a análise estática de forma automatizada vai, essencialmente, procurar por erros que possam impedir a execução (run-time errors), erros comuns da linguagem alvo e código potencialmente malicioso, sendo especialmente eficiente para encontrar erros como a corrupção de memória e estouros debuffer, vazamentos de memória, operações ilegais e inseguras, ponteiros nulos,loopsinfinitos, código incompleto, código redundante e código morto (absolutamente sem uso) e permitindo também identificar se está sendo chamada uma biblioteca incorretamente ou se a linguagem está sendo utilizada de forma incorreta ou de forma inconsistente;
