Glossário de Segurança da Informação:

Acesso físico: Habilidade de obter acesso a um ambiente físico. Os sistemas de controle de acesso físico possibilitam a integração de funcionalidades, com leitores biométricos, alarmes de incêndio, emissão de crachás para visitantes etc. (ICP-Brasil)

Acesso lógico: O controle de acesso lógico permite que os sistemas de Tecnologia da Informação verifiquem a identidade dos usuários que tentam utilizar seus serviços. Como exemplo mais comum, temos o logon de um usuário em um computador. (ICP-Brasil)

Agente de Ameaça: Pode ser alguém: interno (empregado, contratado ou estagiário), externo (parceiro, fornecedor, cliente, visitante, criminoso, espião, hacker, ou terrorista) ou externo com auxílio de interno.

Ameaça: Evento com potencial para causar danos ou perdas a uma organização. Pode ser classificada em três tipos: intencional, acidental ou natural:

Ameaça acidental: Quando não existe a intenção do dolo, ocorrendo o dano por falta de informação, treinamento ou atenção.

Ameaça intencional: Quando existe a intenção e a capacidade de um adversário (agente de ameaça) empreender ações, legais ou ilegais, prejudiciais aos ativos de uma organização.

Ameaça natural: Quando um evento da natureza, sobre o qual não se tem qualquer controle, causa prejuízos aos ativos de uma organização.

Aplicações / Softwares: programas utilizados em computadores, constituídos por um conjunto de instruções executáveis.

Assinatura digital: Código anexado ou logicamente associado a uma mensagem eletrônica que permite de forma única e exclusiva a comprovação da autoria de um determinado conjunto de dados (um arquivo, um e-mail ou uma transação). A assinatura digital comprova que a pessoa criou ou concorda com um documento assinado digitalmente, como a assinatura de próprio punho comprova a autoria de um documento escrito. A verificação da origem do dado é feita com a chave pública do remetente. (ICP-Brasil)

Ativo: Qualquer bem que tenha valor tangível ou intangível para o negócio, sejam: pessoas, instalações administrativas ou operacionais, equipamentos, recursos financeiros, marcas , e informações (estratégias de negócios, novas tecnologias, contratações de bens e serviços, dados sobre as pessoas, bases de dados e arquivos, documentos técnicos e outras).

Ativo crítico: Ativo considerado essencial para os negócios ou ao funcionamento do sistema em que esta inserido, ou, ainda, aquele que, se for fraudado, danificado ou destruído, causará danos graves, interna ou externamente à organização. Dentre todos os ativos, os mais importantes são aqueles que, quando atingidos por ameaças:

· ocasionariam mortes ou danos a pessoas
· provocariam acidentes ambientais
· interromperiam o processo produtivo
· provocariam perdas financeiras consideráveis
· causariam reflexos acionários
· seriam passíveis de multas ou ações legais
· afetariam a imagem da Petrobras ou o abastecimento do País.

Autenticação: Processo de comprovação da identificação de uma determinada entidade. Preferencialmente deve agregar três características: o que se sabe (ex: senha), o que se tem (ex: token) e quem se é (ex: dados obtidos por meio de biometria).

Autenticidade: Propriedade de que a informação foi produzida, expedida, modificada ou destruída por uma determinada pessoa física, ou por um determinado sistema, órgão ou entidade. (IN 1)

Backup: Cópias de segurança dos dados e sistemas de uma empresa, que pode ser armazenado para futura utilização, no caso de perda de informações.

Cabo de fixação: Cabo de aço específico, com cadeado, para prender um microcomputador portátil (notebook), de modo a propiciar sua segurança física.

Caixa postal: Área de armazenamento de mensagens recebidas, enviadas ou em elaboração, associada a uma chave individual de correio, a uma chave estrutural ou a uma chave de bandeja.

Certificação digital: É a atividade de reconhecimento em meio eletrônico que se caracteriza pelo estabelecimento de uma relação única, exclusiva e intransferível entre uma chave de criptografia e uma pessoa física, jurídica, máquina ou aplicação. Esse reconhecimento é inserido em um Certificado Digital, por uma Autoridade Certificadora. (ICP-Brasil)

Certificado digital: É um conjunto de dados de computador, gerados por uma Autoridade Certificadora, em observância à Recomendação Internacional ITU-T X.509, que se destina a registrar, de forma única, exclusiva e intransferível, a relação existente entre uma chave de criptografia e uma pessoa física, jurídica, máquina ou aplicação. (ICP-Brasil)

Chave administrativa: Chave sob a responsabilidade da TIC utilizada para a execução de tarefas administrativas em sistemas operacionais, software básico, servidores, sistemas e bancos de dados.

Chave de bandeja: Código que identifica uma atividade ou serviço específico, utilizada para comunicação do usuário com a equipe responsável pela atividade ou serviço, independentemente do conhecimento das chaves individuais dos membros da equipe. Não é possível acessar diretamente uma chave deste tipo, pois o acesso a este tipo de chave é feito exclusivamente por meio de uma chave individual de correio.

Chave estrutural: Código que identifica uma única unidade organizacional do Sistema Petrobras. Não é possível acessar diretamente uma chave deste tipo; o acesso a uma chave deste tipo é feito por meio de uma chave individual de correio.

Chave individual: Código que identifica um único usuário. Chave pessoal e intransferível para acesso aos recursos de informática da Petrobras, conforme autorizado especificamente para o usuário.

Chave de serviços: Chave sob a responsabilidade exclusiva da TIC, utilizada por programas ou sistemas para automação dos processos operacionais de tecnologia da informação e de telecomunicações.

Chave de treinamento: Chave criada especificamente para uso por professor externo à companhia, contratado para ministrar um curso.

Chave para sistemas de automação e controle: Chave multiusuário utilizada em sistemas de controle de equipamentos ou monitoração, tendo a característica de rodar ininterruptamente, permitindo a um operador continuar o trabalho de outro sem necessidade de encerramento e início de nova sessão.

Chave bloqueada: Chave temporariamente desabilitada para uso e que pode retornar ao estado de ativa a pedido do gerente do usuário.

Chave desativada: Chave não disponível para uso, que teve todos os seus privilégios e autorizações excluídos e que pode retornar ao estado de ativa a pedido do gerente do usuário.

Cifra: ver Criptografia.

Classificação: Ato ou efeito de analisar e identificar o conteúdo de documentos, atribuindo um grau de sigilo que define as condições de acesso aos mesmos, conforme normas e legislação em vigor. (ICP-Brasil)

Confidencialidade: Garantia de que o acesso à informação seja obtido somente por pessoas autorizadas.

Conta de Internet: Identificação única que permite a um usuário utilizar os Serviços de Internet e é associada à chave individual de acesso à rede do Sistema Petrobras ou ao crachá de acesso de visitantes.

Contratado: Empregado ou preposto de empresa contratada que, por contrato, deve permanecer dentro da organização por um período determinado.

Correio Eletrônico: Meio de comunicação utilizado para troca de mensagens internas e externas ao Sistema Petrobras.

Credenciais de identificação pessoal: São os artefatos físicos para identificação de uma pessoa (como o crachá profissional) e aos códigos lógicos (como a chave individual), ou ainda os atributos biométricos, por meio dos quais são disponibilizados os acessos autorizados para um indivíduo.

Criptografia: Ciência e arte de escrever mensagens em forma cifrada ou em código. É parte de um campo de estudos que trata das comunicações secretas. É usada, dentre outras finalidades, para: autenticar a identidade de usuários; autenticar transações bancárias; proteger a integridade de transferências eletrônicas de fundos, e proteger o sigilo de comunicações pessoais e comerciais. (CERT)

Custódia: Responsabilidade jurídica de guarda e proteção de um ativo, independente de vínculo de propriedade. A custódia, entretanto, não permite automaticamente o acesso ao ativo, nem o direito de conceder acesso a outros. (ICP-Brasil)

Custodiante: Gerente da unidade organizacional responsável pelo armazenamento, processamento, manutenção, recuperação, disponibilização, guarda, transporte e eventual descarte da informação.

Desclassificação da informação: Retirada do grau de sigilo de uma informação, pela autoridade competente, a partir da reanálise do potencial de risco que a divulgação da informação pode ocasionar.

Disponibilidade: Garantia de que os usuários autorizados obtenham acesso à informação e aos ativos correspondentes sempre que necessário.

Documento: Informação registrada, qualquer que seja o suporte.

Documento digital: Informação registrada por meio de dígitos binários.

Documento eletrônico: Documento acessível por meio de um equipamento eletrônico.

Documentos de valor histórico: Documento que deve ser preservado em caráter definitivo: possui valor histórico ou probatório.

Documentos eletrônicos em mídia transportável: São aqueles armazenados em mídias tais como disquetes, CDs, DVDs, fitas magnéticas, cartuchos eletrônicos, flash memories ou qualquer outro meio eletrônico transportável que exista ou venha a ser criado.

Gestor da informação: Gerente da unidade organizacional que origina ou adquire a informação, tornando-se responsável pela sua segurança, ou da unidade organizacional especificamente designada como tal pelo nível gerencial competente.

Grau de sigilo: Gradação atribuída a dados, informações, área ou instalação considerados sigilosos em decorrência de sua natureza ou conteúdo. A empresa admite três graus de sigilo: reservado, confidencial e secreto.

Incidente de Segurança da Informação: Descumprimento dos padrões de segurança da informação da Companhia ou qualquer evento ou ocorrência que promova uma ou mais ações que comprometam ou que sejam uma ameaça à disponibilidade, à integridade, à confidencialidade, ou à autenticidade das informações da Petrobras (ou de terceiros).

Alguns exemplos de incidentes mais comuns observados em um ambiente corporativo:

· furto ou perda de computadores portáteis, pendrive ou token;
· notebook desassistido e sem cabo de fixação;
· sessão de trabalho desassistida (sem usuário presente) e sem estar bloqueada;
· chaves e senhas de acesso compartilhadas ou expostas;
· indivíduos circulando sem crachá;
· falha no controle de acesso físico (às instalações) e lógico (às informações em meio eletrônico);
· informações sigilosas expostas em mesas, copiadoras, lixeiras ou impressoras;
· publicação não autorizada de informações sigilosas;
· uso dos recursos e das informações da Companhia para benefícios pessoais;
· uso indevido do correio eletrônico, sobretudo para correntes;
· uso indevido do serviço internet, sobretudo para acessar sites não adequados ao ambiente de trabalho;
· uso não autorizado de um sistema para processamento ou armazenamento de dados;
· instalação de programa não autorizado;
· alteração na configuração de equipamento sem autorização;
· tentativas (com ou sem sucesso) de ganhar acesso não autorizado à informação;
· interrupção indesejada ou negação de serviço que comprometa as operações do negócio;
· armazenamento, uso ou repasse de arquivos que violem direitos autorais, de material com conteúdo pornográfico ou de conteúdo não alinhado com os interesses do Sistema Petrobras.

Informação: Conjunto de dados, imagens, textos e quaisquer outras formas de representação dotadas de significado dentro de um contexto.

Informações pessoais: Qualquer informação de natureza privada relativa a pessoa identificada ou identificável, direta ou indiretamente.

Informações sigilosas: Informações de conhecimento restrito e que devem ser classificadas conforme o grau de sigilo.

Integridade: Salvaguarda da exatidão e completeza da informação e dos métodos de processamento.

Internet: Conglomerado de redes de computadores em escala mundial interligados por meio de protocolo comum de comunicação (TCP/IP), que permite o acesso a informações e transferência de dados. Originalmente desenvolvida para fins militares, se estendeu para o uso acadêmico e hoje é amplamente utilizada, principalmente para fins comerciais. A internet provê vários recursos e serviços, incluindo documentos interligados, serviços de comunicação e compartilhamento de arquivos.

Log: Conjunto de registros que lista as atividades realizadas por uma máquina ou usuário específico. Um único registro é conhecido como 'registro de log'. Em termos de segurança, os logs são usados para identificar e investigar as atividades suspeitas e estudar as tentativas (ou os sucessos) dos ataques, para conhecimento dos mecanismos usados e aprimoramento do nível de eficiência da segurança. (ICP-Brasil)

Logon: Processo de identificação e autenticação de um usuário para permitir seu acesso a um sistema.

Medidas de proteção: Medidas destinadas a garantir sigilo, inviolabilidade, integridade, autenticidade, legitimidade e disponibilidade de dados e informações sigilosos. Também objetivam prevenir, detectar, anular e registrar ameaças reais ou potenciais a esses dados e informações.

Microcomputador: Computador de pequeno porte utilizado sobre as mesas dos usuários, também conhecido por desktop, ou computador portátil, chamado de notebook ou laptop.

Microcomputador portátil – computador de dimensões e peso reduzidos que, com o uso de bateria, permitem mobilidade. Ex.: Notebook (Laptop), PDA e Tablet PC.

Mídia: Base física (hardware) ou lógica (software) sobre a qual a informação é registrada, podendo ser exportada para outra mídia ou permanecer armazenada nela própria. (ICP-Brasil)

Necessidade de conhecer: - condição pessoal, inerente ao efetivo exercício de cargo, função, emprego ou atividade, indispensável para que uma pessoa possuidora de credencial de segurança, tenha acesso a dados ou informações sigilosos.

Privilégios de Administração Local do Microcomputador: Privilégios que atribuem ao usuário direitos para administração do seu microcomputador, possibilitando a instalação de softwares e modificação de parâmetro de configuração.

Privilégios: Tradução do nível de autorização de um dado usuário no sistema.

Público externo: São todas as pessoas que não fazem parte do público interno da empresa.

Público interno: Empregados e aposentados, familiares e pensionistas, conselheiros, aprendizes e estagiários da Petrobras e de suas subsidiárias, bem como empregados das empresas prestadoras de serviços que atuam em instalações da Petrobras.

Recibo de custódia: Documento destinado ao controle da expedição e custódia dos documentos secretos, no qual o destinatário atesta que recebeu uma correspondência ou material sigiloso.

Reclassificação da informação: Alteração do grau de sigilo de uma informação, pela autoridade competente, a partir da reanálise do potencial de risco que a divulgação da informação pode

Recursos tecnológicos: Recursos de informática (aplicativos, software, hardware etc.) que compõem o ambiente de tecnologia da informação.

Recursos da Informação: Todos os meios usados para aquisição, geração, armazenamento e transporte de informação, incluindo recursos do ambiente tecnológico e meios convencionais como telefone, papel, microfilme, vídeo etc.

RIC: Rede Integrada Corporativa - rede de computadores de uso corporativo que permite a interação entre os colaboradores da empresa, o uso dos sistemas corporativos e o acesso a sistemas externos.

Risco: Combinação da probabilidade de ocorrência e da(s) consequência(s) de um determinado evento não desejado. (FNQ)

Rotulagem: Inserção de rótulo de classificação, ou seja, aposição de marca assinalando o grau de sigilo de um documento ou de qualquer outra unidade de registro de informações.

SAU: Sistema de Administração de Usuários.

Segurança da Informação: Preservação da confidencialidade, da integridade e da disponibilidade da informação.

Adicionalmente, outras propriedades, tais como autenticidade, responsabilidade, não repúdio e confiabilidade podem também estar envolvidas. (27002)

Segurança Física: Conjunto de medidas ativas (controle de acessos, inspeções em bagagens e pessoas, alarmes e sensores, botões de pânico etc.) e passivas (Níveis de Segurança de Unidades, barreiras perimetrais, iluminação etc.), que visam a proteção da integridade física das pessoas, a continuidade operacional e os ativos tangíveis da Companhia.

Segurança lógica: Conjunto de tecnologia, métodos e procedimentos destinados a proteger os recursos tecnológicos contra o acesso não autorizado e uso indevido de permissões de acesso. Inclui as funções de identificação e autenticação de usuários, gerenciamento e monitoramento de privilégios, limitação e desabilitação de acessos e na prevenção de acessos não autorizados.

Senha: Conjunto de caracteres, de conhecimento único do usuário, utilizado no processo de verificação de sua identidade, assegurando que ele é realmente quem diz ser. (CERT)

Sigilo: Segredo; de conhecimento restrito a pessoas credenciadas; proteção contra revelação não-autorizada.

Terceiro: qualquer pessoa que não seja empregado ou contratado do Sistema Empresarial.

Usuário: Empregado da Petrobras ou empregado de empresa contratada autorizados a utilizar as informações e os recursos da informação do Sistema Empresarial.

Usuário Empresarial: O mesmo que Usuário.

Vulnerabilidade: Fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças.