PORTARIA GSI/PR Nº 93, DE 18 DE OUTUBRO DE 2021

Letra A

AAA - sigla de autenticação, autorização e auditoria;

AC - sigla de autoridade certificadora;

AC-RAIZ - sigla de autoridade certificadora raiz;

ACESSO - ato de ingressar, transitar, conhecer ou consultar a informação, bem como possibilidade de usar os ativos de informação de um órgão ou entidade, observada eventual restrição que se aplique;

ACL - sigla de lista de controle de acesso (access control list);

ADMINISTRADOR DE PERFIL INSTITUCIONAL - agentes públicos que detenham autorização de responsável pela área interessada para administrar perfis institucionais de órgão ou entidade da administração pública federal, direta e indireta, nas redes sociais;

ADMINISTRADOR DE REDE - pessoa física que administra o segmento de rede correspondente à área de abrangência da respectiva unidade;

ADVANCED ENCRYPTION STANDARD(AES) - criado pelo Instituto Nacional de Padrões e Tecnologia (NIST), tornou-se o padrão efetivo do governo federal americano em 2002, após cinco anos de desenvolvimento. Esse desenvolvimento começou em 1997, quando se verificou que seu antecessor, o data encryption standard(criptografia de dados padrão - DES), não estava mais atendia os critérios de segurança. O AES é construído a partir de três cifras de bloco: AES-128, AES-192 e AES-256. Cada uma dessas criptografa e decriptografa os dados em pedaços de 128 bits, usando chaves criptográficas de 128, 192 ou 256 bits. As chaves de 128 bits têm 10 rodadas de processamento, as chaves de 192 bits têm 12 e as de 256 bits 14 rodadas;

ADVERTISING SOFTWARE (ADWARE)- tipo específico de spyware projetado especificamente para apresentar propagandas. Pode ser usado de forma legítima, quando incorporado a programas e serviços, como forma de patrocínio ou retorno financeiro, para quem desenvolve programas livres ou presta serviços gratuitos. Também pode ser usado para fins maliciosos, quando as propagandas apresentadas são direcionadas de acordo com a navegação do usuário e sem que este saiba que tal monitoramento está sendo realizado;

ADWARE- sigla de advertising software;

AES - sigla de advanced encryption standard;

AGENTE DEMANDANTE - servidor público, militar de carreira ou empregado público, ocupantes de cargo efetivo em órgão ou entidade da administração pública federal, direta ou indireta, responsável por uma demanda de serviço endereçada à área de segurança de informação, devidamente autorizada pela chefia superior;

AGENTE PÚBLICO - todo aquele que exerce, ainda que transitoriamente ou sem remuneração, por eleição, nomeação, designação, contratação, ou qualquer outra forma de investidura ou vínculo, mandato, cargo, emprego ou função nos órgãos e entidades da administração pública federal, direta e indireta;

AGENTE PÚBLICO COM DISPOSITIVO MÓVEL CORPORATIVO - servidor público, militar de carreira ou empregado público, ocupantes de cargo efetivo em órgão ou entidade da administração pública federal, direta ou indireta, que utilize dispositivo móvel de computação de propriedade dos órgãos ou entidades a que pertence;

AGENTE PÚBLICO COM DISPOSITIVO MÓVEL PARTICULAR - servidor público, militar de carreira ou empregado público, ocupantes de cargo efetivo em órgão ou entidade da administração pública federal, direta ou indireta, que utilize dispositivo móvel de computação de sua propriedade. Os dispositivos particulares que se submetem aos padrões corporativos de software e controles de segurança e que são incorporados à rede de um órgão ou entidade são considerados como dispositivos corporativos;

AGENTE RESPONSÁVEL - servidor público, militar de carreira ou empregado público, ocupantes de cargo efetivo em órgão ou entidade da administração pública federal, direta e indireta, que se enquadre em qualquer das opções seguintes: a) execute o tratamento de informação classificada; b) possua credencial de segurança; c) seja responsável por um posto de controle de um órgão de registro; d) utilize dispositivos que tenham embarcado criptografia de Estado;

AGENTE RESPONSÁVEL PELA ETIR - servidor público, militar de carreira ou empregado público, ocupantes de cargo efetivo em órgão ou entidade da administração pública federal, direta ou indireta, incumbido de chefiar e gerenciar a equipe de prevenção, tratamento e resposta a incidentes cibernéticos (ETIR);

AGENTE RESPONSÁVEL PELA GESTÃO DE CONTINUIDADE DE NEGÓCIOS - servidor público, militar de carreira ou empregado público, ocupantes de cargo efetivo em órgão ou entidade da administração pública federal, direta e indireta, incumbido de gerenciar o processo de gestão de continuidade de negócios em segurança da informação;

AGENTE RESPONSÁVEL PELA GESTÃO DE MUDANÇA - servidor público, militar de carreira ou empregado público, ocupantes de cargo efetivo em órgão ou entidade da administração pública federal, direta e indireta, incumbido de gerenciar o processo de gestão de mudanças em aspectos de segurança da informação;

AGENTE RESPONSÁVEL PELO MAPEAMENTO DOS ATIVOS DE INFORMAÇÃO - servidor público, militar de carreira ou empregado público, ocupantes de cargo efetivo em órgão ou entidade da administração pública federal, direta e indireta, incumbido de gerenciar o processo de mapeamento de ativos de informação;

AGENTE RESPONSÁVEL PELA GESTÃO DE RISCOS - servidor público, militar de carreira ou empregado público, ocupantes de cargo efetivo em órgão ou entidade da administração pública federal, direta e indireta, incumbido de gerenciar o processo de gestão de riscos de segurança da informação;

AGENTE RESPONSÁVEL DE POSTO DE CONTROLE - representante do gestor de segurança e credenciamento de um órgão de registro em um posto de controle, a ele subordinado, podendo ser instituído a critério dos órgãos de registro;

AGENTE RESPONSÁVEL PELO USO SEGURO DE MÍDIAS SOCIAIS - servidor público, militar de carreira ou empregado público, ocupantes de cargo efetivo em órgão ou entidade da administração pública federal, direta e indireta, incumbido de gerenciar, de forma contínua, o uso seguro de mídias sociais de sua organização;

AGENTES DE TRATAMENTO - o controlador ou o operador;

ALERTA DE ETIR - informação descritiva de um incidente cibernético enviada, de forma reativa, para notificação de usuários;

ALGORITMO CRIPTOGRÁFICO - função matemática utilizada na cifração e na decifração de informações sigilosas, necessariamente nas informações classificadas;

ALGORÍTMO DE ESTADO - função matemática utilizada na cifração e na decifração, desenvolvida pelo Estado, para uso exclusivo em interesse do serviço de órgãos ou entidades do Poder Executivo federal;

AMBIENTAÇÃO - evento que oferece informações sobre a missão organizacional do órgão ou entidade da administração pública federal, direta e indireta, bem como sobre o papel do agente público nesse contexto;

AMBIENTE CIBERNÉTICO - inclui usuários, redes, dispositivos, software, processos, informação armazenada ou em trânsito, serviços e sistemas que possam ser conectados direta ou indiretamente a redes de computadores;

AMBIENTE DE INFORMAÇÃO - agregado de indivíduos, organizações ou sistemas que coletam, processam ou disseminam informação;

AMEAÇA - conjunto de fatores externos com o potencial de causar em dano para um sistema ou organização;

AMEAÇA PERSISTENTE AVANÇADA (APT) - operações de longo prazo, projetadas para infiltrar ou exfiltrar o máximo possível de dados, sem serem descobertas. Possui ciclo de vida mais longo e mais complexo que outros tipos de ataque, sendo mais elaboradas e necessitando de volume significativo de recursos para sua viabilização, o que exige forte coordenação. Em geral, são realizadas por grupos com intenção de espionagem ou sabotagem;

ANÁLISE DE IMPACTO NOS NEGÓCIOS (BIA) - visa estimar os impactos resultantes da interrupção de serviços e de cenários de desastres que possam afetar o desempenho dos órgãos ou entidades da administração pública federal, bem como as técnicas para qualificar e quantificar esses impactos. Define também a criticidade dos processos de negócio, suas prioridades de recuperação, interdependências e os requisitos de segurança da informação, para que os objetivos de recuperação sejam atendidos nos prazos estabelecidos;

ANÁLISE DE INCIDENTES - consiste em examinar todas as informações disponíveis sobre o incidente, incluindo artefatos e outras evidências relacionadas ao evento. O propósito dessa análise é identificar o escopo do incidente, sua extensão, sua natureza e os prejuízos causados. Também faz parte da análise do incidente propor estratégias de contenção e recuperação;

ANÁLISE DE RISCOS - uso sistemático de informações para identificar fontes e estimar o risco;

ANÁLISE DE VULNERABILIDADES - verificação e exame técnico de vulnerabilidades, para determinar onde estão localizadas e como foram exploradas;

ANÁLISE DINÂMICA - tipo de teste de software que verifica seu comportamento externo em busca de anomalias ou vulnerabilidades. A análise dinâmica ocorre por meio de execução do software com dados de teste para examinar as saídas e o comportamento operacional. Ela opera como complemento da análise estática, considerando o código como uma caixa-preta. A principal vantagem da análise dinâmica é evidenciar defeitos sutis ou vulnerabilidades cujas origens são muito complexas para serem descobertas na análise estática. A análise dinâmica pode desempenhar um papel na garantia da segurança, mas seu principal objetivo é encontrar e eliminar erros (debug). Após o produto passar por um teste de análise dinâmica, ele tende a ficar mais limpo, o que traz consideráveis melhorias na performance;

ANÁLISE ESTÁTICA - tipo de teste de software que verifica a lógica interna em busca de falhas ou vulnerabilidades. A análise estática ocorre por meio de revisão, análise automatizada ou verificação formal do código-fonte ou dos binários, usando uma abordagem do tipo caixa-branca. Uma ferramenta que executa a análise estática de forma automatizada procura, essencialmente, por erros que possam impedir a execução (run-time errors), por erros comuns da linguagem alvo e por código potencialmente malicioso, sendo especialmente eficiente para encontrar erros como a corrupção de memória e estouros de buffer, vazamentos de memória, operações ilegais e inseguras, ponteiros nulos, loops infinitos, código incompleto, código redundante e código morto (absolutamente sem uso). Permite também identificar se está sendo chamada uma biblioteca incorretamente ou se a linguagem está sendo utilizada de forma incorreta ou de forma inconsistente;

ANONIMIZAÇÃO - utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;

ANPD - sigla de Autoridade Nacional de Proteção de Dados;

APETITE AO RISCO - nível de risco que uma organização está disposta a aceitar;

API - sigla de interface de programação de aplicações (application programming interface);

APT - sigla de ameaça persistente avançada (advanced persistent threat);

AQUISIÇÃO DE EVIDÊNCIA - processo de coleta e cópia das evidências de incidente de segurança em redes computacionais;

AR - sigla de autoridade de registro;

ÁREA DE INFORMAÇÃO - esfera de atividade que envolve a criação, transformação e uso da informação, a infraestrutura de tecnologia da informação envolvida e a informação propriamente dita;

ÁREAS E INSTALAÇÕES DE ACESSO RESTRITO - áreas e instalações que contenham documento com Informação Classificada, ou que, por sua utilização ou finalidade, demandarem proteção, as quais tem seu acesso restrito às pessoas autorizadas pelo órgão ou entidade;

ÁREAS PRIORITÁRIAS - áreas definidas no Plano Nacional de Segurança de Infraestruturas Críticas para a aplicação da Política Nacional de Segurança de Infraestruturas Críticas, nos termos do disposto no art. 9º, inciso I, do Anexo ao Decreto nº 9.573, de 22 de novembro de 2018;

ARMA CIBERNÉTICA - software, hardware e firmware projetado ou aplicado especificamente para causar dano, por meio do domínio cibernético. Estão incluídas nessa categoria: ferramentas para acesso não-autorizado, vírus, worms,trojans, DoS, DDoS, botnets e rootkits. Além disso, atividades como a engenharia social também são consideradas armas cibernéticas. Armas cibernéticas podem ser utilizadas individualmente ou em conjunto para aumentar os efeitos desejados;

ARMA CIBERNÉTICA CINÉTICA - software, hardware e firmware projetado ou aplicado especificamente para causar danos físicos, direta ou indiretamente, tanto em pessoas como em equipamentos, somente por meio da exploração de vulnerabilidades dos sistemas e processos de informação;

ARP - sigla de addressresolution protocol(protocolo de resolução de endereços);

ARQUITETURA AAA - arquitetura que define uma forma estruturada para integração das funcionalidades de autenticação, autorização e auditoria;

ARQUITETURA DE REDE - definição de alto nível do comportamento e das conexões entre os nós em uma rede, suficiente para possibilitar a avaliação das propriedades da rede;

ARTEFATO MALICIOSO - qualquer programa de computador, ou parte de um programa, construído com a intenção de provocar danos, obter informações não autorizadas ou interromper o funcionamento de sistemas ou redes de computadores;

ASSINATURA DIGITAL - tipo de assinatura eletrônica que usa operações matemáticas, com base em algoritmos criptográficos de criptografia assimétrica, para garantir segurança na autenticidade das documentações. É necessário possuir um certificado digital para assinar digitalmente um documento. Entre as principais vantagens do uso de assinatura digital estão o não repúdio, princípio em que não há dúvidas quanto ao remetente, e tempestividade, princípio pelo qual a autoridade certificadora pode verificar data e hora da assinatura de um documento;

ASSINATURA ELETRÔNICA - mecanismos que permitem a assinatura de documentos virtuais com validade jurídica. A legislação brasileira disciplinou a assinatura eletrônica, de forma ampla, por meio da Medida Provisória 2.200-2, de 24 de agosto de 2001;

ATAQUE - ação que constitui uma tentativa deliberada e não autorizada para acessar ou manipular informações, ou tornar um sistema inacessível, não íntegro, ou indisponível;

ATAQUE SYBIL- estratégia baseada na saturação de uma rede blockchain, com diversos clones (sybils), dando apoio a uma determinada decisão, a fim de reverter o consenso obtido anteriormente, utilizando mecanismos proof of work ou proof of stake. Ataques sybil são uma extensão do conceito de gastos-duplos;

ATIVIDADE - ação ou conjunto de ações executados por um órgão ou entidade, ou em seu nome, que produzem ou suportem um ou mais produtos ou serviços;

ATIVIDADE CRÍTICA - atividade que deve ser executada visando garantir a consecução de produtos e serviços fundamentais do órgão ou entidade, de forma a atingir os objetivos mais importantes e sensíveis ao tempo;

ATIVIDADE MALICIOSA - qualquer atividade que infrinja a política de segurança de uma instituição ou que atente contra a segurança de um sistema;

ATIVO - tudo que tenha valor para a organização, material ou não;

ATIVO DE REDE - equipamento que centraliza, interliga, roteia, comuta, transmite ou concentra dados em uma rede de computadores;

ATIVOS DE INFORMAÇÃO - meios de armazenamento, transmissão e processamento da informação, equipamentos necessários a isso, sistemas utilizados para tal, locais onde se encontram esses meios, recursos humanos que a eles têm acesso e conhecimento ou dado que tem valor para um indivíduo ou organização;

ATOS INTERNACIONAIS - vide tratados internacionais;

ATUALIZAÇÃO AUTOMÁTICA - atualizações que são feitas no dispositivo ou sistema, sem a interferência do usuário, inclusive, em alguns casos, sem notificação ao usuário;

ATUALIZAÇÃO AUTOMATIZADA - fornece aos usuários a habilidade de aprovar, autorizar e rejeitar uma atualização. Em alguns casos, o usuário pode necessitar ter o controle de como e quando as atualizações serão implementadas, em função de horário de funcionamento, limite de consumo de dados da conexão, padronização do ambiente, garantia de disponibilidade, entre outros aspectos;

AUDITORIA - processo de exame cuidadoso e sistemático das atividades desenvolvidas, cujo objetivo é averiguar se elas estão de acordo com as disposições planejadas e estabelecidas previamente, se foram implementadas com eficácia e se estão adequadas e em conformidade à consecução dos objetivos;

AUTENTICAÇÃO - processo que busca verificar a identidade digital de uma entidade de um sistema, no momento em que ela requisita acesso a esse sistema. O processo é realizado por meio de regras preestabelecidas, geralmente pela comparação das credenciais apresentadas pela entidade com outras já pré-definidas no sistema, reconhecendo como verdadeiras ou legítimas as partes envolvidas em um processo;

AUTENTICAÇÃO DE DOIS FATORES (2 FACTOR AUTHENTICATION) - processo de segurança que exige que os usuários forneçam dois meios de identificação antes de acessarem suas contas;

AUTENTICAÇÃO DE MULTIFATORES (MFA) - utilização de dois ou mais fatores de autenticação para concessão de acesso a um sistema. Os fatores de autenticação se dividem em: algo que o usuário conhece (senhas, frases de segurança, PIN, dentre outros); algo que o usuário possui (certificado digital, tokens, códigos enviados por SMS, dentre outros); algo que o usuário é (aferível por meios biométricos, tais como digitais, padrões de retina, reconhecimento facial, dentre outros); e onde o usuário está (quando o acesso só pode ser feito em uma máquina específica, cujo acesso é restrito);

AUTENTICAÇÃO MÚTUA - processo em que duas partes, tipicamente um cliente e um servidor, se autenticam mutuamente. Essa autenticação permite que ambos conheçam a identidade um do outro. Na autenticação mútua, o servidor solicita também um certificado do cliente. Também conhecida como autenticação bidirecional;

AUTENTICIDADE - propriedade pela qual se assegura que a informação foi produzida, expedida, modificada ou destruída por uma determinada pessoa física, equipamento, sistema, órgão ou entidade;

AUTORIDADE CERTIFICADORA (AC) - entidade responsável por emitir e gerenciar certificados digitais;

AUTORIDADE CERTIFICADORA RAIZ (AC-RAIZ) - situa-se no topo da hierarquia da cadeia de certificação, portanto sendo a primeira autoridade. Sua função é executar as normas técnicas e operacionais e as políticas de certificados estabelecidas pelo Comitê Gestor da Infraestrutura de Chaves Públicas Brasileira (ICP). Isso significa que a AC-Raiz pode emitir, distribuir, expedir, revogar e gerenciar os certificados das autoridades que estão abaixo de seu nível hierárquico, que são as autoridades certificadoras. A autoridade certificadora raiz da ICP Brasil é o Instituto Nacional de Tecnologia da Informação (ITI);

AUTORIDADE DE REGISTRO (AR) - estabelece a interface entre o usuário e a autoridade certificadora (AC). A AR vincula-se à AC e tem como principal objetivo ser o intermediário presencial entre a AC e o interessado pelo certificado digital, recebendo, validando e encaminhando as solicitações de emissão ou revogação dos certificados digitais, além de identificar os solicitantes de certificados digitais de forma presencial;

AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS (ANPD) - órgão da administração pública federal responsável por zelar, implementar e fiscalizar o cumprimento da Lei nº 13.709, de 14 de agosto de 2018;

AUTORIZAÇÃO - processo que ocorre após a autenticação e que tem a função de diferenciar os privilégios atribuídos ao usuário que foi autenticado. Os atributos de autorização normalmente são definidos em grupos mantidos em uma base de dados centralizada, sendo que cada usuário herda as características do grupo a que ele pertence; portanto, autorização é o direito ou a permissão de acesso a um recurso de um sistema;

AVALIAÇÃO DE CONFORMIDADE DE SEGURANÇA DA INFORMAÇÃO - exame sistemático do grau de atendimento dos requisitos relativos à segurança da informação com legislações específicas;

AVALIAÇÃO DE RISCOS - processo de comparar o risco estimado com critérios de risco predefinidos para determinar a importância do risco;