tecnologias da informação vocabulário parte 8: segurançalreal/prnp3003-08.pdf · 2002. 3....
TRANSCRIPT
prNP 3003-08 2001
p. 1 de 43
Tecnologias da informação Vocabulário Parte 8: Segurança Technologies de l’information Vocabulaire Partie 8: Securité Information technology Vocabulary Part 8: Security
ICS DESCRITORES CORRESPONDÊNCIA ISO/IEC 2382-8:1998, idêntica
HOMOLOGAÇÃO ELABORAÇÃO CT 113 (II) EDIÇÃO 2ª edição, CÓDIGO DE PREÇO IPQ reprodução proibida
Instituto Português da ualidade Rua António Gião, 2 PT – 2829-513 CAPARICA PORTUGAL
Tel. (+ 351 1) 294 81 00 Fax. (+ 351 1) 294 81 01 Internet: [email protected] URL: http://www.ipq.pt
prNP 3003-08 2001
p. 2 d 43
prNP 3003-08 2001
p. 3 de 43
0 Preâmbulo O tratamento da informação dá origem a numerosas trocas internacionais de natureza intelectual e material. Estas trocas tornam-se muitas vezes difíceis, quer devido à grande variedade de termos utilizados em diferentes línguas para exprimir o mesmo conceito, quer devido à ausência ou imprecisão das definições de conceitos necessários.
A fim de evitar mal-entendidos e de facilitar tais trocas, é essencial clarificar os conceitos, seleccionar os termos que, em cada língua, deverão ser utilizados para exprimir um determinado conceito, assim como estabelecer definições equivalentes para termos correspondentes nas diferentes línguas.
A Norma Internacional ISO/IEC 2382, actualmente com mais de 30 partes correspondentes a outras tantas áreas dentro do vasto campo das tecnologias da informação, foi elaborada em resposta a este problema. Pretende fornecer definições tanto quanto possível rigorosas, e simultaneamente simples e compreensíveis para todos os interessados nas referidas tecnologias. As definições dos conceitos têm por regra um âmbito muito genérico, embora em certas situações tenha havido necessidade de construir definições mais específicas.
Quanto à divisão da referida Norma em partes, chama-se a atenção do leitor para o seguinte: se por um lado é possível manter a coerência interna de cada parte, por outro lado a dinâmica da língua e as questões associadas à normalização e manutenção de vocabulários poderão provocar eventuais repetições ou incoerências entre as partes.
A Norma Portuguesa 3003 é a tradução da Norma Internacional ISO/IEC 2382 efectuada sob a égide da Comissão Técnica Portuguesa de Normalização de Terminologia Informática (CT 113). Mantém a estrutura da Norma de origem, embora com algumas adaptações impostas pelas directivas para elaboração de Normas Portuguesas.
As partes da Norma Portuguesa 3003 baseiam-se nas partes correspondentes da Norma Internacional ISO/IEC 2382, com as quais se apresentam harmonizadas.
1 Generalidades
1.1 Objectivo e campo de aplicação
A Norma Portuguesa 3003 destina-se a facilitar a comunicação no domínio das tecnologias da informação. Apresenta termos e definições de conceitos relevantes no referido domínio e identifica as relações eventualmente existentes entre as diferentes noções.
A presente parte da Norma define conceitos relativos à protecção de dados e de informação, incluindo criptografia, classificação da informação e controlo de acesso à informação, recuperação de dados e de informação e violação da segurança.
2 Princípios e regras gerais Veja-se a secção 2 da NP 3003-1.
prNP 3003-08 2001
p. 4 d 43
3 Termos e definições
08 Segurança
08.01 Termos gerais
08.01.01 segurança informática
Protecção de dados e de recursos contra actos acidentais ou mal-intencionados, geralmente pela adopção de medidas apropriadas. NOTA: Estes actos podem ser a modificação, a destruição, o acesso, a divulgação ou a aquisição não autorizados.
08.01.02 segurança administrativa
Conjunto de medidas administrativas de segurança informática. NOTA: Estas medidas podem ser procedimentos operacionais ou de imputabilidade, permitindo verificar as intrusões na segurança, e o estudo de pistas de auditoria.
08.01.03 segurança das comunicações
Segurança informática aplicada às comunicações de dados.
08.01.04 segurança dos dados
Segurança informática aplicada aos dados.
08.01.05 auditoria de segurança
Revisão independente e verificação dos registos e da actividade do sistema informático para verificar a adequação dos controlos do sistema, garantir a conformidade com a política de segurança e os procedimentos de exploração estabelecidos, detectar intrusões na segurança e recomendar as modificações apropriadas no controlo, política de segurança e procedimentos.
08.01.06 política de segurança
Plano ou programa de acção adoptado para assegurar a segurança informática.
08.01.07 integridade dos dados
Propriedade dos dados cuja exactidão e coerência são preservadas independentemente das modificações efectuadas.
08.01.08 protecção de ficheiros
Implementação de medidas administrativas, técnicas ou físicas destinadas a proteger os ficheiros contra acessos, modificações ou eliminações não autorizados.
prNP 3003-08 2001
p. 5 de 43
08.01.09 confidencialidade
Propriedade dos dados que indica em que medida estes não se tornaram acessíveis ou foram divulgados a pessoas, processos ou entidades não autorizados.
08.01.10 imputabilidade
Propriedade que garante que as acções de uma entidade só a esta podem ser atribuídas.
08.01.11 autenticação
Acto de verificar a identidade declarada por uma entidade.
08.01.12 autenticação da mensagem
Verificação de que um dado emissor emitiu uma mensagem para o destinatário previsto e de que a mesma não sofreu alterações durante a transmissão.
08.01.13 informação de autenticação
Informação utilizada para estabelecer a validade da identidade declarada por uma entidade.
08.01.14 credenciais
Dados * transferidos para estabelecer a identidade declarada por uma entidade.
08.01.15 troca de autenticação
Mecanismo destinado a garantir a identidade de uma entidade através da troca de informação.
08.01.16 autorização
Atribuição de direitos, que inclui a permissão de acesso, baseada em direitos de acesso.
08.01.17 disponibilidade (em segurança informática)
Propriedade dos dados ou dos recursos serem acessíveis e utilizáveis após solicitação de uma entidade autorizada.
08.01.18 certificação (em segurança informática)
Processo através do qual uma terceira parte assegura por escrito que um sistema informático, no todo ou parte, está em conformidade com as medidas de segurança estabelecidas.
08.01.19 habilitação de segurança
Direito concedido a um indivíduo de aceder a dados ou a informações cujo nível de segurança é inferior ou igual a um determinado nível.
prNP 3003-08 2001
p. 6 d 43
08.01.20 nível de segurança
Combinação de uma classificação de segurança hierárquica e de uma categoria de segurança, que representa a sensibilidade de um objecto ou a habilitação de segurança de um indivíduo.
08.01.21 ambiente protegido
Ambiente sujeito a uma atenção especial (sob a forma de autorizações, de habilitações de segurança, ou de controlos de configuração, etc.) para proteger os dados e os recursos contra actos acidentais ou mal-intencionados.
08.01.22 ambiente parcialmente protegido
Ambiente no qual os dados e os recursos são protegidos contra actos acidentais ou mal-intencionados através de procedimentos normais.
08.01.23 privacidade
Garantia de não intromissão na vida privada ou negócios de um indivíduo, quando essa intromissão resulta da recolha indevida e utilização ilegal de dados relativos a esse indivíduo.
08.01.24 análise de riscos
Método sistemático de identificação dos elementos constituintes de um sistema informático, das ameaças a esses elementos e da vulnerabilidade do sistema a essas ameaças.
08.01.25 aceitação de riscos
Decisão de gestão que consiste em aceitar um certo nível de risco informático, geralmente devido a razões técnicas ou financeiras.
08.01.26 sensibilidade
Medida da importância atribuída a uma informação, pelo proprietário dessa informação, a fim de assinalar a sua necessidade de protecção.
08.01.27 integridade do sistema
Capacidade de um sistema informático cumprir a sua função operacional, quer proibindo utilizadores não autorizados de usar ou modificar recursos, quer evitando que os utilizadores autorizados efectuem alterações indevidas ou façam uso incorrecto desses recursos.
08.01.28 análise de ameaças
Estudo dos actos e acontecimentos que podem prejudicar o funcionamento de um sistema informático.
08.01.29 sistema informático fiável
Sistema informático que garante a segurança informática suficiente para permitir um acesso concorrente a dados por utilizadores possuidores de direitos de acesso diferentes e um acesso a dados com classificações de segurança e categorias de segurança diferentes.
prNP 3003-08 2001
p. 7 de 43
08.01.30 sujeito (em segurança informática)
Entidade activa que pode aceder a objectos. EXEMPLO: Um processo que compreende a execução de um programa.
NOTA: Um sujeito pode desencadear uma circulação de informação entre objectos ou pode modificar o estado do sistema informático.
08.01.31 objecto (em segurança informática)
Entidade cujo acesso é sujeito a controlo. EXEMPLO: Um ficheiro, um programa, uma área de memória principal; dados recolhidos e actualizados acerca de uma
pessoa.
08.02 Classificação da informação
08.02.01 classificação de segurança
Determinação do nível específico de protecção necessário para evitar o acesso a dados ou a informações, especificando esse nível de protecção. EXEMPLO: "Muito secreto" , "secreto" , "confidencial".
08.02.02 informação sensível
Informação que, por decisão de uma autoridade competente, deve ser protegida porque a sua divulgação, modificação, destruição ou perda, pode provocar graves prejuízos a bens ou a pessoas.
08.02.03 categoria de segurança
Agrupamento não hierárquico de informação sensível utilizada para controlar o acesso aos dados de uma forma mais criteriosa do que apenas com uma classificação de segurança.
08.02.04 compartimentação
Divisão de dados em blocos isolados uns dos outros, munidos de controlos de segurança separados, de forma a reduzir o risco informático. EXEMPLO: Separação de dados relativos a um grande projecto em blocos correspondentes a subprojectos, tendo cada um o seu
próprio sistema de segurança, a fim de limitar a exposição do projecto na sua totalidade.
08.02.05 dispositivo com vários níveis de segurança
Unidade funcional capaz de tratar simultaneamente dados relativos a dois ou mais níveis de segurança, sem correr o risco de comprometer a segurança informática.
08.02.06 dispositivo com um único nível de segurança
Unidade funcional que só pode tratar, num determinado espaço de tempo, dados referentes a um único nível de segurança.
prNP 3003-08 2001
p. 8 d 43
08.03 Técnicas criptográficas
08.03.01 criptografia
Disciplina que inclui os princípios, meios e métodos de transformação dos dados, de forma a ocultar o seu conteúdo semântico, impedir a sua utilização não autorizada ou facultar a detecção de alterações.
08.03.02 cifragem encriptação
Transformação criptográfica dos dados. NOTA 1: O resultado da cifragem é o criptograma.
NOTA 2: A operação inversa é a decifragem.
NOTA 3: Ver também criptografia com chave pública, criptografia simétrica, cifragem irreversível.
08.03.03 cifragem irreversível
Cifragem que produz um criptograma, a partir do qual os dados originais não podem ser reconstituídos. NOTA: A cifragem irreversível é utilizada em procedimentos de autenticação. Por exemplo, uma senha pode ser cifrada de forma irreversível, e o criptograma resultante armazenado. Uma senha introduzida posteriormente será igualmente cifrada, comparando-se os dois criptogramas. Se forem idênticos, a senha introduzida está correcta.
08.03.04 decifragem desencriptação
Reconstituição, a partir de um criptograma, dos dados originais correspondentes. NOTA: Um criptograma pode ser cifrado uma segunda vez; nesse caso, uma simples decifragem não repõe o texto simples original.
08.03.05 sistema criptográfico
Documentos, dispositivos, equipamentos e técnicas associadas que, utilizadas em conjunto, constituem um meio de cifragem ou decifragem.
08.03.06 análise criptográfica
Análise de um sistema criptográfico e das suas entradas e saídas, ou de ambas, para obter informação sensível, tal como texto simples.
08.03.07 texto simples texto não cifrado
Dados cujo conteúdo semântico está disponível sem recorrer a técnicas criptográficas.
08.03.08 criptograma texto cifrado
Dados resultantes de uma cifragem, cujo conteúdo semântico só está disponível após recorrer a técnicas criptográficas.
prNP 3003-08 2001
p. 9 de 43
08.03.09 chave (em segurança informática)
Cadeia de bits que comanda as operações de cifragem ou decifragem.
08.03.10 chave privada
Chave de decifragem para uso exclusivo do seu proprietário.
08.03.11 chave pública
Chave que pode ser utilizada por qualquer entidade para efectuar uma comunicação cifrada com o proprietário da correspondente chave privada.
08.03.12 criptografia com chave pública
Criptografia em que se utiliza uma chave pública e uma chave privada correspondente para a cifragem e decifragem. NOTA: Se uma chave pública for utilizada para a cifragem, a chave privada correspondente deve ser utilizada para a decifragem. E vice-versa.
08.03.13 criptografia simétrica
Criptografia em que se utiliza a mesma chave para a cifragem e a decifragem.
08.03.14 chave secreta
Chave de cifragem e de decifragem para uso exclusivo de um número limitado de correspondentes.
08.03.15 transposição
Cifragem que altera a ordem dos caracteres ou dos bits segundo uma certa lógica. NOTA: O criptograma resultante pode designar-se de transposição.
08.03.16 substituição
Cifragem de dados ou de mensagens que substitui cadeias de bits ou cadeias de caracteres por outras cadeias de bits ou de caracteres. NOTA: O criptograma resultante pode designar-se de substituição.
08.04 Controlo de acesso
08.04.01 controlo de acesso
Conjunto de meios que garantem o acesso aos recursos de um sistema informático apenas a entidades autorizadas e de uma forma autorizada.
08.04.02 lista de controlo de acesso
Lista das entidades autorizadas a aceder a um recurso, bem como os seus direitos de acesso.
prNP 3003-08 2001
p. 10 d 43
08.04.03 categoria de acesso
Categoria onde se podem integrar entidades, em função dos recursos que lhes são permitidos utilizar.
08.04.04 nível de acesso
Nível de autorização exigido a uma entidade de forma a poder aceder a um recurso protegido. EXEMPLO: Autorização para aceder aos dados ou às informações com um certo nível de segurança.
08.04.05 direito de acesso
Autorização dada a um sujeito para aceder a um determinado objecto, num tipo de operação específica. EXEMPLO: Autorização para determinado processo * ler um ficheiro, mas não escrever nele.
08.04.06 permissão de acesso
Conjunto de direitos de acesso atribuídos a um sujeito relativamente a um determinado objecto.
08.04.07 período de acesso
Período de tempo durante o qual certos direitos de acesso são válidos.
08.04.08 tipo de acesso (em segurança informática)
Tipo de operação especificada por um direito de acesso. EXEMPLO: Ler, escrever, executar, anexar, modificar, apagar, criar.
08.04.09 bilhete (em segurança informática)
Representação de um ou mais direitos de acesso que um proprietário tem relativamente a um objecto. NOTA: O bilhete representa uma permissão de acesso.
08.04.10 capacidade (em segurança informática)
Representação da identidade de um objecto ou de uma classe de objectos e de um conjunto de tipos de acesso autorizados relativos a esses objectos. NOTA: Uma capacidade pode ser implementada sob a forma de um bilhete.
08.04.11 perfil de acesso
Lista associada a um sujeito e que identifica todos os tipos de acesso desse sujeito para todos os objectos. EXEMPLO: Lista associada a um processo que identifica todos os seus tipos de acesso a todos os ficheiros e outros recursos
protegidos.
08.04.12 validação de identidade
Realização de testes com vista a permitir a um sistema informático reconhecer entidades. EXEMPLO: Verificação de uma senha ou de um testemunho de identidade.
prNP 3003-08 2001
p. 11 de 43
08.04.13 testemunho de identidade
Dispositivo utilizado para realizar uma validação de identidade. EXEMPLO: Cartão magnético, chave metálica.
08.04.14 senha
Cadeia de caracteres utilizada como informação de autenticação.
08.04.15 privilégio mínimo
Conjunto de direitos de acesso estritamente necessários a um sujeito para a execução de tarefas autorizadas.
08.04.16 necessidade de conhecimento
Necessidade legítima sentida por um potencial destinatário de dados em conhecer, aceder ou possuir qualquer informação sensível representada por esses dados.
08.04.17 controlo de acesso lógico
Utilização de mecanismos relativos a dados ou a informações para assegurar controlo de acesso. EXEMPLO: Utilização de uma senha.
08.04.18 controlo de acesso físico
Utilização de mecanismos físicos para assegurar controlo de acesso. EXEMPLO: Conservar o computador numa sala fechada à chave.
08.04.19 sistema de controlo de acesso
Sistema que permite controlo de acesso físico * automático. EXEMPLO: Utilização de etiquetas com pista magnética, cartões inteligentes, leitores biométricos.
08.04.20 acesso para leitura
Direito de acesso que permite ler * dados.
08.04.21 acesso para escrita
Direito de acesso que permite escrever * dados. NOTA: O acesso para escrita permite anexar, modificar, apagar ou criar dados.
08.04.22 identificação do utilizador
Cadeia de caracteres ou padrão utilizado por um sistema informático para identificar um utilizador.
08.04.23 perfil do utilizador
Descrição de um utilizador, geralmente usada para controlo de acesso.
prNP 3003-08 2001
p. 12 d 43 NOTA: Um perfil de utilizador pode incluir dados tais como identificação do utilizador, nome do utilizador, senha, direitos de acesso e outros atributos.
08.04.24 modelo de comportamento do utilizador
Descrição da actividade de um utilizador, que pode ser usada como referência para detectar alterações a essa actividade.
08.05 Violações da segurança
08.05.01 abuso informático
Acção não autorizada, deliberada ou negligente, que afecta ou põe em causa a segurança informática de um sistema informático.
08.05.02 crime informático
Crime cometido com a ajuda ou o envolvimento directo de um sistema informático ou de uma rede de computadores. NOTA: Esta é uma versão revista da definição incluída na norma NP 3003-01: 1997.
08.05.03 fraude informática
Fraude cometida com a ajuda ou o envolvimento directo de um sistema informático ou de uma rede de computadores.
08.05.04 ameaça
Violação potencial da segurança informática. NOTA: Ver figura 1.
08.05.05 ameaça activa
Ameaça de alteração não autorizada ao estado de um sistema informático. EXEMPLO: Uma ameaça que poderia resultar em modificação de mensagens, inclusão de falsas mensagens, disfarce ou recusa
de serviço.
08.05.06 ameaça passiva
Ameaça de divulgação da informação sem alterar o estado do sistema informático. EXEMPLO: Uma ameaça que poderia resultar na obtenção de informação sensível através da intercepção de dados durante a sua
transmissão.
08.05.07 falha (em segurança informática)
Erro na execução de uma ordem, omissão ou descuido que permite a ultrapassagem ou neutralização dos mecanismos de protecção.
prNP 3003-08 2001
p. 13 de 43
08.05.08 vulnerabilidade
Fraqueza ou falha num sistema informático. NOTA 1: Se uma vulnerabilidade corresponde a uma ameaça, existe um risco.
NOTA 2: Ver figura 1.
08.05.09 risco informático
Possibilidade de uma ameaça particular tirar partido de uma vulnerabilidade específica de um sistema informático. NOTA: Ver figura 1.
08.05.10 recusa de serviço
Impedimento de acesso autorizado a recursos ou atraso prejudicial nas operações.
08.05.11 comprometimento
Violação da segurança informática através da modificação, destruição ou acessibilidade de programas ou dados por entidades não autorizadas. NOTA: Ver figura 1.
08.05.12 perda
Medida quantitativa dos danos ou faltas resultantes de um comprometimento. NOTA: Ver figura 1.
08.05.13 exposição
Possibilidade de um ataque particular explorar uma vulnerabilidade específica de um sistema informático. NOTA: Ver figura 1.
08.05.14 emissão comprometedora
Sinais não intencionalmente emitidos e que, se forem interceptados e analisados, poderão revelar informação sensível no decurso de processamento ou transmissão. EXEMPLO: Emissão acústica, emissão electromagnética.
08.05.15 divulgação
Violação da segurança informática através da divulgação de dados a entidades não autorizadas.
08.05.16 penetração
Acesso não autorizado a um sistema informático. NOTA: Ver figura 1.
prNP 3003-08 2001
p. 14 d 43
08.05.17 intrusão
Acção de contornar ou de incapacitar um elemento da segurança informática, com ou sem detecção, e que poderá resultar numa penetração no sistema informático. NOTA: Ver figura 1.
08.05.18 movimentação furtiva
Técnica de penetração na qual são usadas diferentes redes de comunicação para aceder a um sistema informático, de forma a evitar qualquer detecção e rasto.
08.05.19 ataque
Tentativa de violação da segurança informática. EXEMPLO: Programa mal-intencionado, acesso clandestino.
NOTA: Ver figura 1.
08.05.20 ataque analítico ataque criptanalítico
Tentativa para quebrar um código ou encontrar uma chave utilizando métodos analíticos. EXEMPLO: Análise estatística de padrões; pesquisa de falhas num algoritmo de cifragem.
NOTA: Comparar com ataque exaustivo.
08.05.21 ataque através de criptograma
Ataque analítico no qual o criptanalista apenas possui o criptograma.
08.05.22 ataque através de texto simples conhecido
Ataque analítico no qual o criptanalista possui uma quantidade substancial de texto simples e do criptograma correspondente.
08.05.23 ataque através de texto simples escolhido
Ataque analítico no qual o criptanalista pode tratar um número ilimitado de textos simples e examinar os criptogramas correspondentes.
08.05.24 ataque exaustivo
Tentativa de violar a segurança informática usando valores possíveis de senhas ou chaves. NOTA: Comparar com ataque analítico.
08.05.25 intercepção ilícita
Intercepção não autorizada de emissões portadoras de informação.
08.05.26 acesso clandestino
Acesso sub-reptício a uma parte de um circuito de dados para obter, modificar ou inserir dados.
prNP 3003-08 2001
p. 15 de 43
08.05.27 acesso clandestino activo
Acesso clandestino com a intenção de modificar ou inserir dados.
08.05.28 acesso clandestino passivo
Acesso clandestino limitado à obtenção de dados.
08.05.29 disfarce
Acto de uma entidade se fazer passar por outra entidade, de forma a obter acesso não autorizado.
08.05.30 acesso parasita
Acesso não autorizado a um sistema informático através da ligação legítima de um utilizador autorizado.
08.05.31 seguir o rasto
Obter acesso físico não autorizado seguindo uma pessoa autorizada através de uma porta controlada.
08.05.32 recuperação ilícita
Pesquisar, sem autorização, dados residuais para obter informação sensível.
08.05.33 iludir
Actuar de forma a enganar um utilizador, um observador (por exemplo, um interceptor ilícito) ou um recurso.
08.05.34 conexão abortada
Desconexão que não segue os procedimentos estabelecidos. NOTA: Uma conexão abortada pode permitir a outras entidades obter acesso não autorizado.
08.05.35 acesso por falha
Acesso não autorizado e geralmente acidental a dados num sistema informático, resultante de uma falha de equipamento informático ou de suporte lógico.
08.05.36 acesso por infiltração
Acesso obtido por um utilizador não autorizado ao efectuar um acesso clandestino activo a um canal de transmissão de dados, temporariamente inactivo, ligado a um recurso de um utilizador legítimo.
08.05.37 porta dissimulada
Mecanismo dissimulado, de suporte lógico ou de equipamento informático, geralmente criado para testar e detectar erros, que pode ser usado para contornar a segurança informática.
prNP 3003-08 2001
p. 16 d 43
08.05.38 porta de serviço
Porta dissimulada no suporte lógico para facilitar a manutenção e o desenvolvimento de funções suplementares, e que pode permitir aceder ao programa em pontos imprevistos ou sem os habituais controlos.
08.05.39 agregação
Aquisição de informação sensível através de recolha e correlação de informações de sensibilidade inferior.
08.05.40 correlação (em segurança informática)
Combinação voluntária de dados ou informações de um sistema informático com dados ou informações de outro sistema a fim de obter, por dedução, informação protegida.
08.05.41 análise do tráfego
Dedução de informações a partir da observação dos fluxos de dados. EXEMPLO: Análise da presença, ausência, quantidade, direcção e frequência do tráfego.
08.05.42 corrupção de dados
Violação acidental ou intencional da integridade dos dados.
08.05.43 inundação
Inserção acidental ou intencional de um grande volume de dados resultando numa recusa de serviço.
08.05.44 contaminação
Introdução de dados com uma dada classificação de segurança ou categoria de segurança em dados com uma classificação de segurança inferior ou com uma categoria de segurança diferente.
08.05.45 canal clandestino
Canal de transmissão que pode ser usado para transferir * dados de uma maneira que viola a política de segurança.
08.05.46 programa mal-intencionado
Programa implementado no equipamento informático, no suporte lógico permanente ou no suporte lógico e cujo objectivo é efectuar uma acção não autorizada ou perigosa. EXEMPLO: Bomba lógica, cavalo de Tróia, vírus, verme.
08.05.47 vírus
Programa que se propaga modificando outros programas, nos quais inclui uma cópia eventualmente modificada dele próprio, e que é executado quando o programa infectado é activado. NOTA: Um vírus causa muitas vezes danos ou distúrbios e pode ser activado por um dado acontecimento, tal como a ocorrência de uma data predeterminada.
prNP 3003-08 2001
p. 17 de 43
08.05.48 verme
Programa independente que se pode propagar através de sistemas informáticos ou de redes de computadores. NOTA: Os vermes são muitas vezes concebidos para absorver recursos disponíveis, tais como o espaço de memória ou o tempo de processamento.
08.05.49 cavalo de Tróia
Programa mal-intencionado, aparentemente inofensivo, que permite a recolha, falsificação ou destruição não autorizadas de dados.
08.05.50 bactéria
Programa que se propaga através do correio electrónico para todos os endereços da lista de distribuição de cada destinatário.
08.05.51 bomba lógica
Programa mal-intencionado que causa danos a um sistema informático quando é activado por condições específicas do sistema.
08.05.52 bomba temporizada
Bomba lógica que se destina a ser activada num momento predeterminado.
08.06 Protecção de informação sensível
08.06.01 verificação
Comparação de uma actividade, de um processo, ou de um produto com as exigências ou especificações correspondentes. EXEMPLO: Comparação de uma especificação com um modelo de política de segurança ou comparação de um código objecto
com um código fonte.
08.06.02 protecção de dados
Implementação de um conjunto de medidas administrativas, técnicas ou físicas para prevenir o acesso não autorizado a dados. NOTA: Esta é uma versão revista da definição incluída na norma NP 3003-01: 1997.
08.06.03 contramedida
Acção, dispositivo, procedimento, técnica ou outra medida concebida para minimizar a vulnerabilidade.
08.06.04 à prova de falhas (em segurança informática)
Relativo ao facto de evitar o comprometimento em caso de uma falha.
prNP 3003-08 2001
p. 18 d 43
08.06.05 validação de dados
Processo utilizado para determinar se os dados são exactos, completos ou se correspondem aos critérios especificados. NOTA: A validação de dados pode incluir controlos de formato, controlos de presença, verificações através de chaves de controlo, controlos de verosimilhança e controlos de valores limites.
08.06.06 comprovação por digitação
Determinação da exactidão da entrada de dados fazendo a reintrodução desses mesmos dados no teclado.
08.06.07 pista de auditoria (em segurança informática)
Dados recolhidos para potencial utilização numa auditoria de segurança.
08.06.08 protecção da privacidade
Conjunto de medidas tomadas para garantir a privacidade. NOTA: As medidas incluem protecção de dados e restrições na recolha, combinação e processamento de dados acerca dos indivíduos.
08.06.09 assinatura digital
Dados acrescentados a uma mensagem, que permitem ao destinatário dessa mensagem verificar a fonte da mesma.
08.06.10 envelope digital
Dados incluídos numa mensagem, que permitem ao destinatário visado verificar a integridade do conteúdo da mesma.
08.06.11 biométrica
Relativo à utilização de atributos específicos que reflectem características pessoais únicas, tais como impressões digitais, padrão de vasos sanguíneos do globo ocular ou um registo vocal, para validar a identidade de uma pessoa.
08.06.12 chamada de retorno
Técnica através da qual um sistema informático identifica um terminal * chamador, desliga a chamada e liga de novo a esse terminal de forma a verificar a identidade do mesmo.
08.06.13 apagamento (em segurança informática)
Destruição de dados classificados num suporte de dados que tem uma classificação de segurança e uma categoria de segurança particulares, de forma a permitir que esse suporte de dados possa ser reutilizado para escrita ao mesmo nível de classificação de segurança e categoria de segurança.
08.06.14 limpeza
Retirar informação sensível de um documento para reduzir a sua sensibilidade.
prNP 3003-08 2001
p. 19 de 43
08.06.15 dados residuais
Dados deixados num suporte de dados após apagamento de um ficheiro ou parte de um ficheiro. NOTA: Os dados residuais podem ser recuperados até ao apagamento do suporte de dados.
08.06.16 separação das responsabilidades
Divisão das responsabilidades em matéria de informação sensível, de forma que um indivíduo actuando isoladamente apenas possa comprometer a segurança de uma parte limitada de um sistema informático.
08.06.17 armadilhar
Colocar, de forma deliberada, falhas aparentes num sistema informático com a intenção de poder detectar tentativas de penetração ou de confundir um intruso sobre as falhas que deverá explorar.
08.06.18 teste de penetração
Exame das funções de um sistema informático, de forma a encontrar um meio de contornar a segurança informática.
08.06.19 auditoria do sistema informático
Exame dos procedimentos utilizados num sistema informático, de forma a avaliar a sua eficácia e conformidade e propor melhoramentos.
08.06.20 procedimento de contingência
Procedimento utilizado como alternativa ao caminho normal de um processo, caso aconteça uma situação invulgar, mas previsível.
08.06.21 autenticação de dados
Processo utilizado para verificar a integridade de dados. EXEMPLO: Verificação de que os dados recebidos são idênticos aos dados enviados, verificação de que um programa não está
infectado por um vírus.
NOTA: Não confundir com autenticação.
08.06.22 código de autenticação da mensagem
Cadeia de bits que é uma função quer dos dados (texto simples ou criptograma) quer de uma chave secreta, e que está anexado aos dados, de forma a permitir a autenticação dos dados. NOTA: A função utilizada para gerar o código de autenticação de mensagem é geralmente uma função unilateral.
08.06.23 detecção de modificação
Método utilizado para detectar as modificações dos dados, sejam elas acidentais ou intencionais.
prNP 3003-08 2001
p. 20 d 43
08.06.24 código de detecção de modificação
Cadeia de bits que é uma função dos dados aos quais está anexada, de forma a permitir a detecção de modificação. NOTA 1: A mensagem resultante (dados mais código de detecção de modificação) pode então ser cifrada, de forma a garantir o segredo da autenticação de dados.
NOTA 2: A função utilizada para gerar o código de detecção de modificação deve ser pública.
08.06.25 rejeição
Negação, por parte de uma das entidades envolvidas numa comunicação, de ter participado em toda ou parte da comunicação. NOTA - Na descrição das técnicas e dos mecanismos, o termo “não-rejeição” é muitas vezes usado para significar que nenhuma das partes envolvidas numa comunicação pode negar a sua participação na comunicação.
08.06.26 filtro de segurança
Sistema informático fiável que aplica uma política de segurança nos dados que passam através dele.
08.06.27 guarda (em segurança informática)
Unidade funcional que fornece um filtro de segurança entre dois sistemas informáticos que operam a níveis de segurança diferentes ou entre um terminal de utilizador e uma base de dados para filtrar os dados aos quais o utilizador não tem autorização de aceder.
08.06.28 desconfiança mútua
Relação entre duas entidades interactuantes, na qual nenhuma das duas confia na actuação correcta ou segura da outra, relativamente a uma determinada propriedade.
08.06.29 registo notarial
Registo dos dados numa terceira parte credível, que reconheça posteriormente a exactidão das características de dados tais como o conteúdo, a origem, a hora e o envio.
08.06.30 enchimento de tráfego
Contramedida de prevenção que consiste em gerar dados parasitas nos meios de transmissão, de forma a dificultar a análise de tráfego e a decifragem.
08.06.31 assinatura (de vírus)
Cadeia de bits única que é comum a cada cópia de um determinado vírus, e que pode ser utilizada por um programa de varrimento para detectar a presença do vírus.
08.06.32 programa anti-vírus
Programa concebido para detectar vírus e eventualmente sugerir ou efectuar acções correctoras.
prNP 3003-08 2001
p. 21 de 43
08.07 Recuperação de dados
08.07.01 restauração de dados
Acção de recuperar dados que se perderam ou foram contaminados. NOTA: Os métodos de restauração de dados incluem a cópia a partir de um arquivo, a reconstrução de dados a partir de dados originais ou a reconstituição de dados a partir de fontes alternativas.
08.07.02 reconstrução de dados
Método de restauração de dados através da análise de fontes originais.
08.07.03 reconstituição de dados
Método de restauração de dados através da reunião de dados disponíveis em fontes alternativas.
08.07.04 procedimento de salvaguarda
Método que permite a restauração de dados em caso de falha ou de desastre. EXEMPLO: Criar ficheiros de salvaguarda.
08.07.05 ficheiro de salvaguarda
Ficheiro criado para uma eventual restauração de dados posterior. EXEMPLO: Cópia de um ficheiro guardado num sítio alternativo.
08.07.06 recuperação por regressão
Reconstituição de dados de uma versão anterior de dados, utilizando uma versão mais actualizada e dados registados num diário.
08.07.07 recuperação por progressão
Reconstituição de dados de uma versão actualizada de dados, utilizando uma versão anterior e dados registados num diário.
08.07.08 arquivar
Armazenar * ficheiros de salvaguarda e quaisquer jornais e eles associados, geralmente durante um determinado período de tempo.
08.07.09 ficheiro de arquivos
Ficheiro guardado para pesquisa ou verificação posteriores, por razões de segurança ou qualquer outro motivo.
08.07.10 ficheiro arquivado
Ficheiro inserido num ficheiro de arquivos.
prNP 3003-08 2001
p. 22 d 43
08.07.11 centro de socorro diferido
Conjunto de meios que incluem, no mínimo, o equipamento necessário que permita a instalação e o funcionamento de um sistema informático alternativo.
08.07.12 centro de socorro imediato
Centro informático, totalmente equipado, que possibilita uma alternativa imediata de processamento de dados.
08.07.13 plano de contingência plano de recuperação de desastre
Plano para procedimentos de salvaguarda, resposta a emergências e recuperação após desastre.
08.08 Protecção contra cópia
08.08.01 protecção contra cópia
Utilização de técnicas especiais para detectar ou prevenir a cópia não autorizada de dados, de suporte lógico ou de suporte lógico permanente.
08.08.02 pirataria informática
Utilização, cópia ou distribuição não autorizadas de suportes lógicos. NOTA: Esta é uma versão revista da definição incluída na norma NP 3003-01:1997.
08.08.03 aferrolhar
Utilização de técnicas especiais para proteger dados ou suporte lógico contra cópia indevida.
08.08.04 sectorização falsificada
Técnica de protecção contra cópia, de acordo com a qual sectores deficientes são intencionalmente escritos num disco.
08.08.05 código de verificação
Instruções-máquina que lêem uma parte de um disco para verificar se é uma cópia não autorizada.
08.08.06 sector extra
Sector que está escrito numa pista, para além do número normal de sectores, como parte de um método de protecção contra cópia.
08.08.07 pista extra
Pista que está escrita num disco, para além do número normal de pistas, como parte de um método de protecção contra cópia.
prNP 3003-08 2001
p. 23 de 43
08.08.08 sector falso
Sector que consiste num cabeçalho, mas sem dados, utilizado em grande número num disco, de forma a evitar que um programa de cópia possa copiar o disco.
08.08.09 pista deslocada
Pista * escrita numa posição anormal num disco, como parte de um método de protecção contra cópia.
08.08.10 alinhamento de sector
Técnica de protecção contra cópia, que determina se um disco é uma cópia não autorizada, verificando se os sectores estão correctamente posicionados de pista em pista.
08.08.11 pista em espiral
Pista em forma de espiral sobre um disco, como parte de um método de protecção contra cópia.
08.08.12 supersector
Sector sobredimensionado escrito num disco, como parte de um método de protecção contra cópia.
08.08.13 bit fraco
Bit * escrito num disco, com um campo magnético intencionalmente fraco, que pode ser interpretado como zero ou um e que está escrito como parte de um método de protecção contra cópia.
08.08.14 pista larga
Conjunto de duas ou mais pistas adjacentes de um disco, nas quais estão escritos os mesmos dados, como parte de um método de protecção contra cópia.
prNP 3003-08 2001
p. 24 d 43
Ameaça + Vulnerabilidade = Risco
↓
Ataque + Vulnerabilidade = Exposição
↓
Intrusão
↓
Penetração → Comprometimento
↓
Perda
Figura 1 – Níveis de violações da segurança
prNP 3003-08 2001
p. 25 de 43
Índice alfabético
A abortada conexão abortada 08.05.34 abuso abuso informático 08.05.01 aceitação aceitação de riscos 08.01.25 acesso acesso clandestino
acesso clandestino activo acesso clandestino passivo acesso para escrita acesso para leitura acesso parasita acesso por falha acesso por infiltração categoria de acesso controlo de acesso controlo de acesso físico controlo de acesso lógico direito de acesso lista de controlo de acesso nível de acesso perfil de acesso período de acesso permissão de acesso sistema de controlo de acesso tipo de acesso (em segurança informática)
08.05.26 08.05.27 08.05.28 08.04.21 08.04.20 08.05.30 08.05.35 08.05.36 08.04.03 08.04.01 08.04.18 08.04.17 08.04.05 08.04.02 08.04.04 08.04.11 08.04.07 08.04.06 08.04.19 08.04.08
activa ameaça activa 08.05.05 activo acesso clandestino activo 08.05.27 administrativa segurança administrativa 08.01.02 aferrolhar aferrolhar 08.08.03 agregação agregação 08.05.39 alinhamento alinhamento de sector 08.08.10 ambiente ambiente parcialmente protegido
ambiente protegido 08.01.22 08.01.21
ameaça ameaça ameaça activa ameaça passiva
08.05.04 08.05.05 08.05.06
ameaças análise de ameaças 08.01.28 análise análise de ameaças
análise criptográfica análise de riscos análise do tráfego
08.01.28 08.03.06 08.01.24 08.05.41
analítico ataque analítico 08.05.20 anti-vírus programa anti-vírus 08.06.32 apagamento apagamento (em segurança informática) 08.06.13 armadilhar armadilhar 08.06.17 arquivado ficheiro arquivado 08.07.10 arquivar arquivar 08.07.08 arquivos ficheiro de arquivos 08.07.09
prNP 3003-08 2001
p. 26 d 43
assinatura assinatura (de vírus) assinatura digital
08.06.31 08.06.09
ataque
ataque ataque analítico ataque através de criptograma ataque através de texto simples conhecido ataque através de texto simples escolhido ataque criptanalítico ataque exaustivo
08.05.19 08.05.20 08.05.21 08.05.22 08.05.23 08.05.20 08.05.24
auditoria
auditoria de segurança auditoria do sistema informático pista de auditoria (em segurança informática)
08.01.05 08.06.19 08.06.07
autenticação
autenticação autenticação da mensagem autenticação de dados código de autenticação da mensagem informação de autenticação troca de autenticação
08.01.11 08.01.12 08.06.21 08.06.22 08.01.13 08.01.15
autorização autorização 08.01.16
B bactéria bactéria 08.05.50 bilhete bilhete (em segurança informática) 08.04.09 biométrica biométrica 08.06.11 bit bit fraco 08.08.13 bomba bomba lógica
bomba temporizada 08.05.51 08.05.52
C
canal canal clandestino 08.05.45 capacidade capacidade (em segurança informática) 08.04.10 categoria categoria de acesso
categoria de segurança 08.04.03 08.02.03
cavalo cavalo de Tróia 08.05.49 centro centro de socorro diferido
centro de socorro imediato 08.07.11 08.07.12
certificação certificação (em segurança informática) 08.01.18 chamada chamada de retorno 08.06.12 chave chave (em segurança informática)
chave privada chave pública chave secreta criptografia com chave pública
08.03.09 08.03.10 08.03.11 08.03.14 08.03.12
cifrado texto cifrado texto não cifrado
08.03.08 08.03.07
cifragem cifragem cifragem irreversível
08.03.02 08.03.03
clandestino acesso clandestino acesso clandestino activo acesso clandestino passivo canal clandestino
08.05.26 08.05.27 08.05.28 08.05.45
prNP 3003-08 2001
p. 27 de 43
classificação classificação de segurança 08.02.01 código código de autenticação da mensagem
código de detecção de modificação código de verificação
08.06.22 08.06.24 08.08.05
compartimentação compartimentação 08.02.04 comportamento modelo de comportamento do utilizador 08.04.24 comprometedora emissão comprometedora 08.05.14 comprometimento comprometimento 08.05.11 comprovação comprovação por digitação 08.06.06 comunicações segurança das comunicações 08.01.03 conexão conexão abortada 08.05.34 confidencialidade confidencialidade 08.01.09 conhecimento necessidade de conhecimento 08.04.16 conhecido ataque através de texto simples conhecido 08.05.22 contaminação contaminação 08.05.44 contingência plano de contingência
procedimento de contingência 08.07.13 08.06.20
contra protecção contra cópia 08.08.01 contramedida contramedida 08.06.03 controlo
controlo de acesso controlo de acesso físico controlo de acesso lógico lista de controlo de acesso sistema de controlo de acesso
08.04.01 08.04.18 08.04.17 08.04.02 08.04.19
cópia protecção contra cópia 08.08.01 correlação correlação (em segurança informática) 08.05.40 corrupção corrupção de dados 08.05.42 credenciais credenciais 08.01.14 crime crime informático 08.05.02 criptanalítico ataque criptanalítico 08.05.20 criptografia criptografia
criptografia com chave pública criptografia simétrica
08.03.01 08.03.12 08.03.13
criptográfica análise criptográfica 08.03.06 criptográfico sistema criptográfico 08.03.05 criptograma ataque através de criptograma
criptograma 08.05.21 08.03.08
D
dados autenticação de dados
corrupção de dados dados residuais integridade dos dados protecção de dados reconstituição de dados reconstrução de dados restauração de dados segurança dos dados validação de dados
08.06.21 08.05.42 08.06.15 08.01.07 08.06.02 08.07.03 08.07.02 08.07.01 08.01.04 08.06.05
decifragem decifragem 08.03.04 desastre plano de recuperação de desastre 08.07.13
prNP 3003-08 2001
p. 28 d 43
desconfiança desconfiança mútua 08.06.28 desencriptação desencriptação 08.03.04 deslocada pista deslocada 08.08.09 detecção código de detecção de modificação
detecção de modificação 08.06.24 08.06.23
diferido centro de socorro diferido 08.07.11 digitação comprovação por digitação 08.06.06 digital assinatura digital
envelope digital 08.06.09 08.06.10
direito direito de acesso 08.04.05 disfarce disfarce 08.05.29 disponibilidade disponibilidade (em segurança informática) 08.01.17 dispositivo dispositivo com um único nível de segurança
dispositivo com vários níveis de segurança 08.02.06 08.02.05
dissimulada porta dissimulada 08.05.37 divulgação divulgação 08.05.15
E emissão emissão comprometedora 08.05.14 enchimento enchimento de tráfego 08.06.30 encriptação encriptação 08.03.02 envelope envelope digital 08.06.10 escolhido ataque através de texto simples escolhido 08.05.23 escrita acesso para escrita 08.04.21 espiral pista em espiral 08.08.11 exaustivo ataque exaustivo 08.05.24 exposição exposição 08.05.13 extra pista extra
sector extra 08.08.07 08.08.06
F
falha falha (em segurança informática)
acesso por falha 08.05.07 08.05.35
falhas à prova de falhas 08.06.04 falsificada sectorização falsificada 08.08.04 falso sector falso 08.08.08 fiável sistema informático fiável 08.01.29 ficheiro ficheiro arquivado
ficheiro de arquivos ficheiro de salvaguarda
08.07.10 08.07.09 08.07.05
ficheiros protecção de ficheiros 08.01.08 filtro filtro de segurança 08.06.26 físico controlo de acesso físico 08.04.18 fraco bit fraco 08.08.13 fraude fraude informática 08.05.03 furtiva movimentação furtiva 08.05.18
G
prNP 3003-08 2001
p. 29 de 43
guarda guarda (em segurança informática) 08.06.27
H habilitação habilitação de segurança 08.01.19
I identidade testemunho de identidade
validação de identidade 08.04.13 08.04.12
identificação identificação do utilizador 08.04.22 ilícita intercepção ilícita
recuperação ilícita 08.05.25 08.05.32
iludir iludir 08.05.33 imediato centro de socorro imediato 08.07.12 imputabilidade imputabilidade 08.01.10 infiltração acesso por infiltração 08.05.36 informação informação de autenticação
informação sensível 08.01.13 08.02.02
informática fraude informática pirataria informática segurança informática
08.05.03 08.08.02 08.01.01
informático abuso informático auditoria do sistema informático crime informático risco informático sistema informático fiável
08.05.01 08.06.19 08.05.02 08.05.09 08.01.29
integridade integridade do sistema integridade dos dados
08.01.27 08.01.07
intercepção intercepção ilícita 08.05.25 intrusão intrusão 08.05.17 inundação inundação 08.05.43 irreversível cifragem irreversível 08.03.03
L larga pista larga 08.08.14 leitura acesso para leitura 08.04.20 limpeza limpeza 08.06.14 lista lista de controlo de acesso 08.04.02 lógica bomba lógica 08.05.51 lógico controlo de acesso lógico 08.04.17
M mal-intencionado programa mal-intencionado 08.05.46 mensagem
autenticação da mensagem código de autenticação da mensagem
08.01.12 08.06.22
mínimo privilégio mínimo 08.04.15
prNP 3003-08 2001
p. 30 d 43
modelo modelo de comportamento do utilizador 08.04.24 modificação código de detecção de modificação
detecção de modificação 08.06.24 08.06.23
movimentação movimentação furtiva 08.05.18 mútua desconfiança mútua 08.06.28
N necessidade necessidade de conhecimento 08.04.16 níveis dispositivo com vários níveis de segurança 08.02.05 nível dispositivo com um único nível de segurança
nível de acesso nível de segurança
08.02.06 08.04.04 08.01.20
notarial registo notarial 08.06.29
O objecto objecto (em segurança informática) 08.01.31
P parasita acesso parasita 08.05.30 parcialmente ambiente parcialmente protegido 08.01.22 passiva ameaça passiva 08.05.06 passivo acesso clandestino passivo 08.05.28 penetração penetração
teste de penetração 08.05.16 08.06.18
perda perda 08.05.12 perfil
perfil de acesso perfil do utilizador
08.04.11 08.04.23
período período de acesso 08.04.07 permissão permissão de acesso 08.04.06 pirataria pirataria informática 08.08.02 pista pista de auditoria (em segurança informática)
pista deslocada pista em espiral pista extra pista larga
08.06.07 08.08.09 08.08.11 08.08.07 08.08.14
plano plano de contingência plano de recuperação de desastre
08.07.13 08.07.13
política política de segurança 08.01.06 porta porta de serviço
porta dissimulada 08.05.38 08.05.37
privacidade
privacidade protecção da privacidade
08.01.23 08.06.08
privada chave privada 08.03.10 privilégio privilégio mínimo 08.04.15 procedimento procedimento de contingência
procedimento de salvaguarda 08.06.20 08.07.04
prNP 3003-08 2001
p. 31 de 43
programa programa anti-vírus programa mal-intencionado
08.06.32 08.05.46
progressão recuperação por progressão 08.07.07 protecção protecção contra cópia
protecção da privacidade protecção de dados protecção de ficheiros
08.08.01 08.06.08 08.06.02 08.01.08
protegido ambiente parcialmente protegido ambiente protegido
08.01.22 08.01.21
prova à prova de falhas 08.06.04 pública
chave pública criptografia com chave pública
08.03.11 08.03.12
R
rasto seguir o rasto 08.05.31 reconstituição reconstituição de dados 08.07.03 reconstrução reconstrução de dados 08.07.02 recuperação plano de recuperação de desastre
recuperação ilícita recuperação por progressão recuperação por regressão
08.07.13 08.05.32 08.07.07 08.07.06
recusa recusa de serviço 08.05.10 registo registo notarial 08.06.29 regressão recuperação por regressão 08.07.06 rejeição rejeição 08.06.25 residuais dados residuais 08.06.15 responsabilidades separação das responsabilidades 08.06.16 restauração restauração de dados 08.07.01 retorno chamada de retorno 08.06.12 risco risco informático 08.05.09 riscos aceitação de riscos
análise de riscos 08.01.25 08.01.24
S
salvaguarda ficheiro de salvaguarda
procedimento de salvaguarda 08.07.05 08.07.04
secreta chave secreta 08.03.14 sector alinhamento de sector
sector extra sector falso
08.08.10 08.08.06 08.08.08
sectorização sectorização falsificada 08.08.04 seguir seguir o rasto 08.05.31 segurança auditoria de segurança
categoria de segurança classificação de segurança dispositivo com um único nível de segurança dispositivo com vários níveis de segurança filtro de segurança
08.01.05 08.02.03 08.02.01 08.02.06 08.02.05 08.06.26
prNP 3003-08 2001
p. 32 d 43
habilitação de segurança nível de segurança política de segurança segurança administrativa segurança das comunicações segurança dos dados segurança informática
08.01.19 08.01.20 08.01.06 08.01.02 08.01.03 08.01.04 08.01.01
senha senha 08.04.14 sensibilidade sensibilidade 08.01.26 sensível informação sensível 08.02.02 separação separação das responsabilidades 08.06.16 serviço
porta de serviço recusa de serviço
08.05.38 08.05.10
simétrica criptografia simétrica 08.03.13 simples ataque através de texto simples conhecido
ataque através de texto simples escolhido texto simples
08.05.22 08.05.23 08.03.07
sistema
auditoria do sistema informático integridade do sistema sistema de controlo de acesso sistema criptográfico sistema informático fiável
08.06.19 08.01.27 08.04.19 08.03.05 08.01.29
socorro centro de socorro diferido centro de socorro imediato
08.07.11 08.07.12
substituição substituição 08.03.16 sujeito sujeito (em segurança informática) 08.01.30 supersector supersector 08.08.12
T temporizada bomba temporizada 08.05.52 teste teste de penetração 08.06.18 testemunho testemunho de identidade 08.04.13 texto ataque através de texto simples conhecido
ataque através de texto simples escolhido texto cifrado texto não cifrado texto simples
08.05.22 08.05.23 08.03.08 08.03.07 08.03.07
tipo tipo de acesso (em segurança informática) 08.04.08 tráfego análise do tráfego
enchimento de tráfego 08.05.41 08.06.30
transposição transposição 08.03.15 troca troca de autenticação 08.01.15 Tróia cavalo de Tróia 08.05.49
U único dispositivo com um único nível de segurança 08.02.06 utilizador identificação do utilizador
modelo de comportamento do utilizador perfil do utilizador
08.04.22 08.04.24 08.04.23
prNP 3003-08 2001
p. 33 de 43
V
validação validação de dados
validação de identidade 08.06.05 08.04.12
vários dispositivo com vários níveis de segurança 08.02.05 verificação código de verificação
verificação 08.08.05 08.06.01
verme verme 08.05.48 vírus assinatura (de vírus)
vírus 08.06.31 08.05.47
vulnerabilidade vulnerabilidade 08.05.08