Daily Journal

Home / Diário Oficial da União / segunda-feira, 22 de junho de 2026

PortariaSeção 1 · Edição 114 · Pág. 129

PORTARIA Nº 412, DE 16 DE JUNHO DE 2026

Ministério dos TransportesGabinete do Ministro

Texto integral

PORTARIA Nº 412, DE 16 DE JUNHO DE 2026 Estabelece a Norma Complementar para a Gestão de Incidentes Cibernéticos no âmbito do Ministério dos Transportes. O MINISTRO DE ESTADO DOS TRANSPORTES, no uso das atribuições que lhe conferem o art. 87, parágrafo único, incisos I e II, da Constituição Federal, o Decreto nº 11.360, de 1º de janeiro de 2023, e o art. 2º do Decreto nº 12.198, de 24 de setembro de 2024, e considerando o disposto no inciso III do art. 3º do Decreto nº 7.579, de 11 de outubro de 2011, na Instrução Normativa GSI/PR nº 1, de 27 de maio de 2020, e no processo nº 50000.048516/2025-70, resolve: Art. 1º Fica aprovada a Norma Complementar para a Gestão de Incidentes Cibernéticos no âmbito do Ministério dos Transportes, na forma do Anexo desta Portaria. Art. 2º Esta Portaria entrará em vigor no primeiro dia útil subsequente à sua publicação. GEORGE SANTORO ANEXO NORMA COMPLEMENTAR PARA A GESTÃO DE INCIDENTES CIBERNÉTICOS DO MINISTÉRIO DOS TRANSPORTES 1. PROPÓSITO 1.1. Este documento estabelece princípios, conceitos, diretrizes e responsabilidades para a gestão de incidentes cibernéticos no Ministério dos Transportes, orientando o funcionamento do processo, de forma que este seja tratado adequadamente, reduzindo ao máximo os impactos para o negócio. 2. ESCOPO 2.1. Esta Norma se aplica a: I - todos os sistemas, serviços e ativos tecnológicos sob responsabilidade do Ministério dos Transportes; II - colaboradores, terceirizados, prestadores de serviço e parceiros institucionais que tenham acesso aos sistemas e informações do Ministério dos Transportes; III - à atuação da Equipe de Prevenção, Tratamento e Resposta a Incidentes - ETIR/MT e da Equipe de Resposta a Incidentes - ERI/MT; IV - à atuação do Serpro no atendimento a incidentes cibernéticos que envolvam ativos de TIC do Ministério dos Transportes sob sua custódia, observadas as disposições desta Norma, nos limites das obrigações estabelecidas em instrumento contratual; e V - aos contratos que envolvam a custódia de bens de TIC do Ministério dos Transportes. 2.2. A atuação do Serpro observará as disposições desta Norma, nos limites das obrigações estabelecidas em instrumento contratual, admitida a compatibilização com seus fluxos, procedimentos internos e normas próprias de segurança da informação. 2.3. Os contratos que envolvam a custódia de bens de TIC do Ministério dos Transportes deverão conter cláusula específica que estabeleça a obrigatoriedade de observância desta Norma no processo de gerenciamento de incidentes cibernéticos, admitida a compatibilização com os fluxos e procedimentos internos adotados pela contratada. 3. ABRANGÊNCIA 3.1. Esta Norma abrange incidentes cibernéticos que possam comprometer a disponibilidade, a integridade, a confidencialidade ou a autenticidade das informações institucionais, tais como: I - acesso não autorizado a sistemas ou dados sensíveis: invasão, uso indevido ou acesso irregular a sistemas, redes ou bases de dados, sem permissão legítima, podendo resultar em exposição, alteração ou exclusão de informações sigilosas ou pessoais; II - vazamento ou divulgação indevida de dados pessoais ou estratégicos: exposição, compartilhamento ou publicação não autorizada de informações pessoais, institucionais ou estratégicas, de forma acidental ou intencional, comprometendo a confidencialidade e a privacidade dos dados; III - sequestro de dados (ransomware) com exfiltração: ataque em que dados são criptografados e copiados (exfiltrados) pelo invasor, que ameaça divulgar ou vender as informações caso não haja pagamento de resgate, afetando a confidencialidade e a disponibilidade; IV - sequestro de dados (ransomware) sem exfiltração: ataque que criptografa dados e bloqueia o acesso a sistemas ou arquivos, sem evidência de cópia ou vazamento, afetando principalmente a disponibilidade das informações; V - infecção por malware: instalação ou execução de código malicioso (vírus, trojan, spyware, worm, entre outros) que visa danificar, espionar ou comprometer sistemas e dados, por meio de e-mails, links, mídias ou sites infectados; VI - phishing ou engenharia social: ataques baseados em fraude e manipulação para induzir usuários a revelar credenciais, clicar em links maliciosos ou executar ações que comprometam a segurança, geralmente por e-mail, mensagem ou sites falsos; VII - exploração de vulnerabilidades: utilização de falhas conhecidas em softwares, sistemas ou dispositivos para obter acesso não autorizado, elevar privilégios ou executar comandos maliciosos, explorando deficiências técnicas ou de configuração; VIII - negação de serviço (DoS/DDoS): ataque que sobrecarrega servidores ou redes com tráfego excessivo, impedindo o acesso de usuários legítimos aos sistemas e afetando a disponibilidade dos serviços; IX - roubo, perda ou extravio de dispositivo corporativo: situação em que equipamentos institucionais contendo informações corporativas ou pessoais são extraviados, furtados ou perdidos, expondo o risco de acesso indevido aos dados; e X - outro incidente cibernético relevante que compromete a segurança da informação, expõe dados sensíveis ou afeta a continuidade de serviços essenciais: evento não listado, mas que compromete a segurança da informação, expõe dados sensíveis ou afeta a continuidade de serviços essenciais, como falhas críticas, sabotagem digital ou uso indevido de credenciais privilegiadas. 4. REFERÊNCIAS NORMATIVAS 4.1. São referências normativas para este documento: I - Decreto nº 12.572/2025, de 4 de agosto de 2025 - Institui a Política Nacional de Segurança da Informação e dispõe sobre a governança da segurança da informação no âmbito da administração pública federal; II - Instrução Normativa GSI/PR nº 1/2020 - Dispõe sobre a Estrutura de Gestão de Segurança da Informação; III - Instrução Normativa GSI/PR nº 9, de 8 de janeiro de 2026 - Altera a Instrução Normativa nº 1, de 27 de maio de 2020 que dispõe sobre a Estrutura de Gestão da Segurança da Informação nos órgãos e nas entidades da administração pública federal; IV - Portaria SGD/MGI nº 9.511/2025 - Institui o Programa de Privacidade e Segurança da Informação - PPSI 2.0; V - Guia do Framework de Privacidade e Segurança da Informação do PPSI 2.0 - Versão 1.0 de 20 de janeiro de 2026; VI - Portaria MT nº 287/2025 - Política de Segurança da Informação - POSIN do Ministério dos Transportes; VII - Portaria GSI/PR nº 120/2022 - Plano de Gestão de Incidentes Cibernéticos para a administração pública federal; VIII - Portaria GSI/PR nº 93/2021 - Glossário de Segurança da Informação do Gabinete de Segurança Institucional; IX - Lei nº 13.709/2018 - Lei Geral de Proteção de Dados Pessoais (LGPD); X - Resolução CD_ANPD nº 15/2024 - Aprova o Regulamento de Comunicação de Incidente de Segurança a ANPD; XI - ABNT NBR ISO/IEC 27035-1:2023 - Gestão de Incidentes de Segurança da Informação; XII - NC 21/IN01/DSIC/GSIPR - Diretrizes para Registro de Eventos, Coleta e Preservação de Evidências de Incidentes de Segurança em Redes; XIII - NC 05/IN01/DSIC/GSIPR - Diretrizes para criação de Equipes de Tratamento e Resposta a Incidentes em Redes Computacionais - ETIR; e XIV - NC 08/IN01/DSIC/GSIPR - Disciplinar o gerenciamento de incidentes de segurança em redes computacionais pelas ETIR dos órgãos e entidades da Administração Pública Federal, direta e indireta - APF. 5. CONCEITOS E DEFINIÇÕES 5.1. Para os efeitos de aplicação e interpretação desta Norma, quando indispensável à adequada compreensão de seus dispositivos, adotam-se as seguintes definições conceituais, de natureza técnica, fundamentais para a uniformidade técnica e operacional: I - Ataque: Ação que constitui uma tentativa deliberada e não autorizada para acessar ou manipular informações, ou tornar um sistema inacessível, não íntegro, ou indisponível; II - CTIR Gov: Centro de Tratamento e Resposta a Incidentes Cibernéticos de Governo, subordinado ao Departamento de Segurança da Informação, o qual é enquadrado na categoria "CSIRT de responsabilidade nacional de coordenação" e tem por objetivo coordenar e integrar as ações destinadas à gestão de incidentes computacionais em órgãos ou entidades da Administração Pública Federal (APF), bem como: prevenir, monitorar, analisar e mitigar os incidentes de segurança da informação; promover o intercâmbio científico-tecnológico; participar da articulação para o estabelecimento de diretrizes sobre gestão de incidentes computacionais; e criar processo de inteligência de ameaças cibernéticas para subsidiar criação de políticas públicas e tomada de decisão; III - CISC gov.br: Centro Integrado de Segurança Cibernética do Governo Digital, o qual constitui uma unidade de coordenação setorial, com o objetivo de integrar e fortalecer as ações de prevenção, tratamento e resposta a incidentes cibernéticos nos órgãos e entidades da administração pública federal direta, autárquica e fundacional que possuem unidades que integram o SISP, nos termos do Decreto nº 10.748, de 16 de julho de 2021; IV - Equipe de Resposta a Incidentes - ERI: equipe operacional da ETIR, com atribuições de caráter puramente executivo, podendo ser composta por profissionais das equipes de sustentação de diferentes áreas de negócio, a qual será responsável pela execução das ações técnicas e operacionais estabelecidas no Procedimento Operacional Padrão - POP da ERI/MT, o qual consta do Apêndice B desta Norma; V - Equipe de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos - ETIR: grupo de agentes públicos designados para exercer atribuições relacionadas à segurança cibernética no âmbito do órgão ou da entidade da administração pública federal, no exercício regular de suas competências funcionais, sem percepção de remuneração adicional específica, em observância à política de segurança da informação e aos processos de gestão de riscos de segurança da informação do órgão ou da entidade; VI - Incidente Cibernético: ocorrência que pode comprometer, real ou potencialmente, a disponibilidade, a integridade, a confidencialidade ou a autenticidade de sistema de informação ou das informações processadas, armazenadas ou transmitidas por esse sistema. Pode também ser caracterizado pela tentativa de exploração de vulnerabilidade de sistema de informação que configure violação de norma, política de segurança, procedimento de segurança ou política de uso; VII - Processo de Gestão de Incidentes Cibernéticos: conjunto estruturado de procedimentos, estratégias e responsabilidades destinados a identificar, analisar, conter, erradicar e recuperar incidentes, de forma a minimizar impactos, garantir a continuidade dos serviços essenciais e prevenir sua recorrência; VIII - Procedimento Operacional Padrão - POP: documento que estabelece procedimentos, responsabilidades, fluxos e instruções detalhadas para a execução de atividades específicas, garantindo padronização, consistência e rastreabilidade das ações realizadas pela equipe; IX - Disponibilidade: propriedade pela qual se assegura que a informação esteja acessível e utilizável, sob demanda, por uma pessoa física ou determinado sistema, órgão ou entidade devidamente autorizados; X - Integridade: propriedade pela qual se assegura que a informação não foi modificada ou destruída de maneira não autorizada ou acidental; XI - Confidencialidade: propriedade pela qual se assegura que a informação não esteja disponível ou não seja revelada à pessoa, ao sistema, ao órgão ou à entidade não autorizados nem credenciados; XII - Evento: qualquer mudança de estado que tem importância para a gestão de um item de configuração ou serviço de tecnologia da informação. Em outras palavras, qualquer ocorrência dentro do escopo de tecnologia da informação que tenha relevância para a gestão dos serviços entregues ao cliente; XIII - Evento de Segurança: qualquer ocorrência identificada em um sistema, serviço ou rede, que indique uma possível falha da política de segurança, falha das salvaguardas ou mesmo uma situação até então desconhecida, que possa se tornar relevante em termos de segurança; XIV - Risco: no sentido amplo, trata-se da possibilidade de ocorrência de um evento que pode impactar o cumprimento dos objetivos. Pode ser mensurado em termos de impacto e de probabilidade; XV - Ransomware: tipo de malware, que, por meio de criptografia, impede o acesso a dados computacionais. Para recuperar o acesso, exige-se pagamento de um valor de resgate. Caso o pagamento do resgate não seja realizado, pode-se perder definitivamente o acesso aos dados sequestrados; XVI - Dados Pessoais: informação relacionada a pessoa natural identificada ou identificável; XVII - Dados Pessoais Sensíveis: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural; XVIII - Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais; XIX - Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador; XX - Titular: pessoa natural a quem se referem os dados que são objeto de tratamento; XXI - Agência Nacional de Proteção de Dados - ANPD: é uma Agência Reguladora vinculada ao Ministério da Justiça e Segurança Pública, que tem como missão zelar pela proteção de dados pessoais orientada pela Lei nº 13.709, de 14 de agosto de 2018, a Lei Geral de Proteção de Dados (LGPD) , e zelar pela aplicação da Lei nº 15.211, de 17 de setembro de 2025, Estatuto Digital da Criança e do Adolescente (ECA Digital); e XXII - Notificador: agente que identifica e comunica um possível incidente cibernético à área responsável. 5.2. Além das definições contidas neste artigo, a interpretação e a aplicação desta Norma deverão considerar e respeitar os conceitos dispostos na Lei nº 12.527, de 2011 (Lei de Acesso à Informação - LAI), na Lei nº 13.709, de 2018 (Lei Geral de Proteção de Dados Pessoais - LGPD), no Glossário de Segurança da Informação (Portaria GSI/PR nº 93, de 18 de outubro de 2021) e na Política de Segurança da Informação em vigor no Ministério - POSIN (Portaria MT nº 287, de 4 de abril de 2025). 5.3. Em caso de divergência ou omissão de conceitos técnicos, prevalecerão as definições estabelecidas na Política de Segurança da Informação do Ministério e nas normas de segurança cibernética emitidas pelo Gabinete de Segurança Institucional da Presidência da República - GSI/PR. 6. PROCESSO DE PREVENÇÃO E DETECÇÃO DE INCIDENTES CIBERNÉTICOS 6.1. A prevenção é um processo constante de ações proativas com o objetivo de reduzir a probabilidade de ataques cibernéticos bem-sucedidos. Entre essas ações, enfatizam-se as de definição e de implementação de controles de segurança, de gerenciamento de vulnerabilidades, de conscientização e de capacitação. 6.2. A detecção é um processo de melhoria contínua que analisa todo o ambiente de informação, a fim de identificar atividades maliciosas que possam comprometer os ativos de informação. Tem por objetivo reduzir o impacto do incidente cibernético, antecipando o início do processo de tratamento e de resposta. Logo, a detecção pressupõe o estabelecimento de linhas de base, de monitoramento contínuo e de comunicação dos incidentes cibernéticos. 6.3. Os processos de prevenção e detecção deverão observar o disposto na Portaria GSI/PR nº 120, de 21 de dezembro de 2022, ou norma que a suceder, além das boas práticas seguidas pela administração pública federal. 7. PROCESSO DE GESTÃO DE INCIDENTES CIBERNÉTICOS 7.1. O processo de gestão de incidentes cibernéticos observará o Plano de Gestão de Incidentes Cibernéticos instituído pela Portaria GSI/PR nº 120, de 21 de dezembro de 2022, ou norma que a suceder. 7.2. O processo de gestão de incidentes cibernéticos inicia-se após a detecção ou a notificação de provável ocorrência de incidente cibernético e compreende as seguintes etapas: Processo de Gerenciamento de Incidentes Cibernéticos 1. Entrada I. Notificação de um incidente cibernético 2. Tratamento II. Identificação III. Análise IV. Resposta V. Avaliação Pós Incidente VI. Comunicação 3. Saída VII. Relatórios de incidente Cibernético 7.3 Notificação de um incidente cibernético 7.3.1. Ao identificar um incidente cibernético, o notificador deverá notificar a ETIR/MT informando, dentre outras informações relevantes, as seguintes questões: I - tipo de incidente: informar o tipo de incidente, conforme os tipos previstos na seção "Abrangência" desta Norma; II - indicação de vazamento de dados pessoais: informar se houve vazamento de dados pessoais, especificando quais dados foram afetados (sensíveis ou não); o número total de titulares atingidos, inclusive crianças, adolescentes ou outros titulares vulneráveis, quando aplicável; as categorias de titulares afetadas (funcionários, estudantes, usuários, clientes/cidadãos ou ainda não identificados); e, se for o caso, se os dados estavam protegidos de forma a impedir a identificação de seus titulares; III - descrição do incidente: breve descrição do incidente, tais como tipo do ataque, motivação aparente, ou outras características relevantes; IV - sistema de origem: informar em qual sistema o incidente começou ou onde ele foi percebido pela primeira vez; V - contato do notificador: e-mail, telefone ou outro contato disponível do informante do incidente; e VI - outras informações: protocolos e portas-alvo do incidente, com especificação do tipo de protocolo (IP, TCP, UDP etc.) e das portas utilizadas no destino; serviços envolvidos (HTTP, FTP, SMTP etc.) e respectivas versões; logs, imagens, códigos de erro ou outros registros que evidenciem a ocorrência; bem como arquivos e demais evidências que o notificador considerar pertinentes. 7.4. Identificação 7.4.1. O processo de identificação consiste em: I - confirmar se de fato é um incidente cibernético; II - verificar se há correlação com outros incidentes; III - estabelecer a prioridade para o tratamento do incidente; IV - registrar o incidente na base de incidentes cibernéticos; e V - atribuir o tratamento do incidente ao analista ou à equipe responsável. 7.4.2. O processo de priorização dos incidentes cibernéticos deverá considerar suas criticidades, entendidas como o resultado da combinação entre impacto, urgência e abrangência, definidos a seguir: I - Impacto: Dano ao serviço, à informação ou à imagem institucional; II - Urgência: Tempo necessário para resposta antes do agravamento; e III - Abrangência: Quantidade de sistemas, dados ou usuários afetados. 7.4.2.1 A criticidade é organizada em cinco níveis de classificação, numerados de 1 a 5, conforme tabela abaixo: Nível Impacto Urgência Abrangência 1 - Muito Baixo Impacto mínimo; sem dados pessoais críticos; sem risco relevante aos titulares Pode aguardar Afeta um usuário ou sistema isolado 2 - Baixo Impacto restrito; dados pessoais não sensíveis acessados; risco limitado Baixa urgência Pequeno grupo ou departamento 3 - Médio Impacto moderado; possível exposição de dados pessoais comuns; risco relevante limitado; sem envolvimento cumulativo de critérios críticos Moderada urgência Várias equipes ou sistemas importantes 4 - Alto Impacto severo; possível vazamento de dados sensíveis, de crianças, adolescentes ou idosos, financeiros, de autenticação, sigilo legal ou em larga escala; risco relevante cumulativo aos titulares Urgente Múltiplos setores ou sistemas críticos 5 - Crítico Impacto extremo; vazamento confirmado de dados sensíveis ou estratégicos; paralisação de serviços; risco significativo ou dano relevante aos titulares (fraudes, roubo de identidade, discriminação, violação de integridade física, danos à imagem ou reputação) Muito urgente Toda a organização ou serviços críticos 7.4.2.2. O cálculo da pontuação da criticidade será realizado pelo produto dos valores atribuídos a impacto, urgência e abrangência, cada um variando de 1 (mínimo) a 5 (máximo), resultando em pontuação mínima de 1 e máxima de 125. 7.4.2.3. O cálculo da matriz de risco resultará na criticidade de nível baixa, média, alta e crítica, conforme quadro abaixo: Criticidade Faixa de Pontuação Descrição Ações Requeridas Baixa 1 - 29 · Impacto limitado; · Notificar a ETIR/MT em até 8 horas a partir do conhecimento do incidente; · Afeta poucos usuários ou sistemas; · Monitoramento; registrar ocorrência; aplicar medidas preventivas; · Não envolve dados pessoais sensíveis ou críticos, sem risco relevante aos titulares. · Notificar CISC Gov.br; Média 30 - 59 · Impacto moderado; · Notificar a ETIR/MT em até 2 horas a partir do conhecimento do Incidente; · Possível envolvimento de dados pessoais comuns, risco limitado aos titulares; · Ação planejada; aplicar medidas corretivas; monitorar evolução; · Repercussão institucional mínima. · Reportar ao CTIR Gov e o CISC Gov.br; e . Notificar a ANPD se critérios atendidos. Alta 60 - 99 · Impacto significativo; · Notificar a ETIR/MT imediatamente a partir do conhecimento do Incidente; · Possível vazamento de dados sensíveis ou críticos, ou dados de crianças, adolescentes, idosos, financeiros, autenticação, sigilo legal ou em larga escala; · Ação rápida e coordenada; mitigação imediata; monitoramento constante; · Risco relevante cumulativo aos titulares. · Notificar ANPD se critérios atendidos; · Reportar ao CTIR Gov e o CISC Gov.br; e · Comunicar o Gestor de Segurança da Informação do MT. Crítica 100 - 125 · Impacto extremo; · Notificar a ETIR/MT imediatamente a partir do conhecimento do Incidente; · Vazamento confirmado de dados sensíveis ou estratégicos, paralisação de serviços essenciais; · Resposta imediata; mobilização total das equipes e alta gestão; comunicação institucional; · Risco significativo ou dano relevante aos titulares (fraudes, roubo de identidade, discriminação, danos à integridade, imagem ou reputação); · Notificar ANPD, CISC Gov.br e CTIR Gov; coordenar comunicação e mitigação urgente; · Repercussão midiática. · Poderá ser criado um comitê de crise com o membro da ETIR/MT, Gestor de Segurança da Informação e, a depender da infraestrutura de origem do incidente, o preposto do contrato do Serpro ou o Coordenador da ERI/MT. 7.4.2.4. Em caso de ocorrências simultâneas de incidentes cibernéticos, será indicado: I - caso não estejam relacionados: atender de forma isolada em ordem decrescente de criticidade; ou II - caso estejam relacionados: unir o atendimento como um único incidente cibernético, dando a classificação mais alta que já tinha anteriormente. 7.5. Análise 7.5.1. O processo de análise do incidente cibernético consiste nas ações de: I - validar as informações tratadas na triagem, ratificando-as, complementando-as ou retificando-as; II - identificar e avaliar atividades anômalas em relação à linha de base conhecida; III - identificar pelo menos uma parte da cadeia de ataque para permitir a definição das atividades de resposta; IV - complementar e adicionar novos dados a partir da colaboração das fontes utilizadas na detecção; e V - incluir todos os dados coletados na documentação sobre o incidente para viabilizar as ações de pós-incidente. 7.6. Resposta 7.6.1. O processo de resposta a um incidente consiste em ações de: I - Contenção: o objetivo é limitar os danos causados pelo atual incidente cibernético e evitar outros. Devem ser aplicadas medidas para mitigar o incidente, evitando-se a destruição de provas que possam servir de subsídios para possível processo cível, penal ou administrativo; II - Erradicação: consiste em remover ou inutilizar artefatos utilizados pelos atacantes e em restaurar o ambiente afetado; e III - Recuperação: o objetivo é restabelecer o pleno funcionamento do ambiente afetado após garantir que as ameaças foram neutralizadas ou removidas. 7.6.2. As ações de contenção, erradicação e recuperação devem constar do plano de continuidade de negócios em segurança da informação e devem ser baseadas neste plano e nos seguintes critérios: I - criticidade dos ativos afetados; II - tipo e gravidade do incidente; III - necessidade de preservar a evidência; IV - importância de quaisquer sistemas afetados para processos de negócio críticos; e V - recursos necessários para implementar a estratégia. 7.6.3. A ação de contenção poderá envolver as seguintes atividades: I - contenção a curto prazo, que consiste em limitar os danos antes que o incidente se agrave, isolar segmentos de rede, executar desvio de tráfego para recursos saudáveis e disponíveis (failover), bem como realizar a coleta de imagem forense do ambiente afetado; e II - contenção a longo prazo, que consiste em: identificar vulnerabilidades exploradas pelos atacantes e os mecanismos que permitiram o ataque; e aplicar correções temporárias que permitam a volta ao funcionamento dos sistemas afetados. 7.6.4. A ação de erradicação poderá envolver as seguintes atividades: I - restauração completa das imagens de unidades de armazenamento, implicando na exclusão de todos os dados atuais; II - recuperação dos dados a partir dos backups existentes; III - identificação das causas principais que originaram o ataque; IV - realização dos procedimentos necessários para limpar a unidade de armazenamento, removendo ou isolando os artefatos utilizados pelos atacantes; e V - correção das vulnerabilidades encontradas. 7.6.5. A ação de recuperação poderá envolver as seguintes atividades: I - definição de cronograma para a restauração das operações pelos responsáveis pelos ativos de informação afetados, com base em subsídios apresentados pela ETIR/MT; II - realização de varredura completa do ambiente recuperado, de forma a garantir que este esteja apto para uso seguro; III - realização de testes de funcionamento do ambiente recuperado, validando os resultados com as linhas de base definidas, à medida em que estarão novamente disponibilizados para uso; e IV - monitoramento do ambiente recuperado, a ser executado num período após o incidente cibernético, de forma a verificar comportamentos atípicos ou anormalidade nas operações. 7.6.5.1. Após o término do processo de recuperação, a ETIR/MT, observando os critérios definidos, elaborará um relatório do incidente para o CTIR Gov, contendo as seguintes informações: I - atores atacantes e atacados; II - atores envolvidos no tratamento e resposta do incidente; III - evidências coletadas; IV - indicadores de comprometimento (IoCs), bem como táticas, técnicas e procedimentos (TTPs); V - ativos de infraestrutura, serviços e total de usuários afetados; VI - volume de dados exfiltrados; VII - cronologia dos fatos; VIII - medidas de contenção, erradicação e recuperação adotadas; e IX - medidas preventivas propostas para ocorrências similares. 7.7. Avaliação Pós Incidente 7.7.1. O objetivo desta fase é realizar a análise da documentação dos incidentes, do processo de comunicação e das regras de proteção do ambiente para evitar incidentes semelhantes e aperfeiçoar os processos existentes. 7.7.2. Os principais objetivos da avaliação pós-incidente incluem: I - confirmar que a causa raiz foi eliminada ou mitigada; II - estabelecer medidas preventivas para incidentes similares; III - identificar os erros ou ausências de infraestrutura a serem resolvidos; IV - identificar as oportunidades de melhoria na política organizacional, normativos ou nos processos; V - revisar e atualizar as funções, as responsabilidades, o processo de comunicação e a autoridade da ETIR/MT para garantir a resposta adequada e oportuna; VI - identificar necessidades de treinamento técnico ou operacional; e VII - melhorar as ferramentas, ações e capacidades necessárias para realizar a prevenção, a detecção, o tratamento e a resposta. 7.7.3. A ETIR/MT deverá atualizar as atividades preparatórias e os processos de prevenção, detecção, tratamento e resposta a partir das análises do pós-incidente, devendo: I - identificar IoCs ou TTPs da ameaça, encaminhando esses dados obrigatoriamente ao CTIR Gov, a fim de realizar ações colaborativas no âmbito da Regic; II - adicionar outros critérios para detecção e triagem da ameaça; e III - identificar e propor soluções para situações omissas verificadas no incidente. 7.8. Comunicação 7.8.1. A ETIR/MT deverá manter, conforme necessidade, comunicação com órgãos externos, como CISC Gov.br, CTIR Gov e ANPD. 7.8.2. Internamente, a equipe deverá manter comunicação com o Gestor de Segurança da Informação, Assessoria Especial de Comunicação Social - AESCOM e outras áreas de negócio que forem necessárias. 7.8.3. Por fim, ao término do incidente cibernético, deverá haver comunicação final com o usuário e com o Gestor de Segurança da Informação do órgão. 7.8.4. A ETIR/MT deve ter a capacidade de detectar e responder incidentes cibernéticos ocorridos nos ativos de sua responsabilidade, comunicando ao CTIR Gov a ocorrência de incidentes com "maiores impactos" na primeira oportunidade. 7.8.5. A ETIR/MT deve notificar ao CISC Gov.br os incidentes cibernéticos identificados. 7.8.6. A LGPD determina que os controladores de dados, através da figura do encarregado de dados, deverão comunicar um incidente cibernético envolvendo dados pessoais à ANPD e aos titulares de dados desde que este incidente atenda, cumulativamente, os seguintes critérios: I - Tenha a ocorrência confirmada pelo agente; II - Envolva dados pessoais sujeitos à LGPD; e III - Possa acarretar risco ou dano relevante aos titulares dos dados. 7.8.7. Nos casos previstos na NC 21/IN01/DSIC/GSIPR, o relatório final do incidente cibernético deverá ser encaminhado a autoridade responsável do órgão, respeitando o sigilo e a cadeia de custódia descritos na norma. Após receber a comunicação, a autoridade responsável pelo órgão deverá, de imediato, encaminhá-la formalmente à autoridade com atribuição para apurar os fatos. 7.9. Relatórios de Incidente Cibernético 7.9.1. Ao término do tratamento do incidente cibernético, a equipe responsável pela resposta, deverá providenciar o relatório técnico do incidente cibernético, conforme modelo presente no Apêndice D, e encaminhá-lo à ETIR/MT. 7.9.2. Recebido o relatório, a ETIR/MT deverá providenciar o registro do Relatório Final do Incidente Cibernético, o qual deverá ser criado no SEI com, pelo menos, os seguintes documentos: I - Inclusão do Relatório Técnico do Incidente Cibernético; II - Inclusão dos Formulários encaminhados à ANPD (quando comunicada); III - Inclusão de outros arquivos necessários; e IV - Nota Técnica. 8. DISPOSIÇÕES FINAIS 8.1. Os casos omissos serão submetidos ao Gestor de Segurança da Informação, mediante manifestação técnica da ETIR/MT. 8.2. As propostas de alteração ou criação de normas internas sobre segurança da informação deverão ser submetidas à análise técnica da ETIR/MT, competindo ao Gestor de Segurança da Informação a deliberação final. APÊNDICE A - PROCEDIMENTO OPERACIONAL PADRÃO - POP DA ETIR/MT RESUMO EXECUTIVO O presente Procedimento Operacional Padrão - POP da ETIR/MT tem por finalidade padronizar os procedimentos técnicos e administrativos relacionados ao tratamento de incidentes de segurança da informação e comunicações no âmbito do Ministério dos Transportes - MT. Este manual operacionaliza as diretrizes estabelecidas, dentre outras normas, na Política de Segurança da Informação do Ministério dos Transportes - POSIN/MT e nas orientações do Gabinete de Segurança Institucional da Presidência da República GSI/PR. OBJETIVO Definir fluxos de trabalho, responsabilidades, formas de comunicação, registros e padronizações documentais que orientem a atuação da ETIR/MT, assegurando resposta rápida, coordenada e eficaz aos incidentes cibernéticos. ESCOPO Aplica-se a todos os integrantes da ETIR/MT, às equipes de sustentação de TIC, e às unidades organizacionais que utilizem serviços e ativos tecnológicos sob responsabilidade do MT. PROCESSO DE RESPOSTA A INCIDENTES CIBERNÉTICOS PELA ETIR/MT A seguir é apresentado o fluxograma detalhado do processo e o detalhamento das atividades a serem realizadas no processo de tratamento do incidente cibernético pela ETIR/MT. Fluxograma do Processo de Gestão de Incidentes Cibernéticos pela ETIR/MT: Detalhamento do Processo de Gestão de Incidente Cibernético pela ETIR/MT: 1. Identificar evento adverso e comunicá-lo 2. Realizar triagem do evento 3. Atender conforme regras ordinárias (Níveis 1, 2 e 3) Objetivo: Detectar evento anômalo e comunicar à ETIR/MT conforme a Norma Complementar para a Gestão de Incidentes Cibernéticos no âmbito do Ministério dos Transportes. Objetivo: Analisar o evento e verificar se é incidente cibernético. Objetivo: Tratar eventos não admitidos como incidentes. Responsável: Notificador. Responsável: ETIR/MT. Responsável: Área de Negócio. Entrada: Percepção da ocorrência ou suspeita. Entrada: Comunicação inicial. Entrada: Procedimento padrão. Ações: Preservar indícios; anotar detalhes; solicitar esclarecimentos; descrever o evento. Ações: Verificar escopo; encaminhar à área de negócio se não for incidente; classificar criticidade; adotar contenção se necessário. Ações: Consultar base; analisar causa; aplicar solução; registrar ações; enviar retorno. Saída: Mensagem com informações substanciais. Saída: Evento triado e classificado. Saída: Comunicação final ao notificador. 4. Analisar alcance e comunicações necessárias 5. Receber comunicado 6. Analisar repercussão midiática Objetivo: Verificar dados pessoais, mídia, ANPD, CTIR e CISC. Objetivo: Receber comunicação da ETIR/MT e tomar ações. Objetivo: Avaliar impacto na mídia. Responsável: ETIR/MT. Responsável: CTIR Gov e CISC Gov.br. Responsável: Assessoria de Comunicação (AESCOM). Entrada: Registro do incidente. Entrada: Mensagem institucional conforme TLP. Entrada: Indicação de repercussão midiática. Ações: Avaliar dados pessoais; repercussão; necessidade de comunicação; registrar justificativas. Ações: Analisar; encaminhar; acolher; compartilhar quando aplicável. Ações: Analisar veículos; responder mídia; manter diálogo com ETIR/MT. Saída: Parecer sobre comunicações. Saída: Comunicação aos órgãos da APF (quando aplicável). Saída: Resposta institucional à mídia. 7. Receber notificação inicial de vazamento de dados 8. Produzir notificação preliminar 9. Comunicar preliminarmente os titulares Objetivo: Analisar vazamento inicial. Objetivo: Preparar notificação para titulares e ANPD. Objetivo: Enviar comunicação preliminar aos titulares. Responsável: Encarregado de Dados (DPO). Responsável: Encarregado de Dados. Responsável: Encarregado de Dados. Entrada: Registro do incidente com vazamento Entrada: Informações do incidente. Entrada: Comunicado elaborado. Ações: Avaliar necessidade de notificação. Ações: Organizar dados; preencher formulário; construir comunicado. Ações: Consolidar contatos; verificar conformidade com as normativas da ANPD Saída: Informações para notificação preliminar. Saída: Formulário e comunicado preliminar. Saída: Comunicação enviada aos titulares. 10. Comunicar preliminarmente à ANPD 11. Analisar infraestrutura de origem 12. Resposta a incidentes - ERI/MT Objetivo: Enviar comunicação preliminar à ANPD. Objetivo: Definir se origem é MT ou Serpro. Objetivo: Tratar incidente com origem no MT. Responsável: Encarregado de Dados. Responsável: ETIR/MT. Responsável: ERI/MT. Entrada: Formulário preenchido. Entrada: Evidências coletadas Entrada: Análise inicial. Ações: Enviar; confirmar protocolo; registrar processo. Ações: Analisar registros; determinar origem. Ações: Tratar incidente conforme a Norma Complementar para a Gestão de Incidentes Cibernéticos no âmbito do Ministério dos Transportes e o POP da ERI; produzir relatório. Saída: Comunicação preliminar à ANPD. Saída: Origem determinada. Saída: Relatório de Incidente ERI/MT. 13. Resposta a incidentes - Serpro 14. Analisar relatório do incidente 15. Adotar recomendações Objetivo: Tratar incidente com origem no Serpro. Objetivo: Avaliar relatórios ERI/MT e Serpro. Objetivo: Executar recomendações técnicas. Responsável: Serpro. Responsável: ETIR/MT. Responsável: Área de Negócio. Entrada: Análise inicial. Entrada: Relatórios recebidos. Entrada: Relatórios do incidente. Ações: Tratar conforme a Norma Complementar para a Gestão de Incidentes Cibernéticos no âmbito do Ministério dos Transportes e procedimentos internos da instituição; produzir relatório. Ações: Analisar; solicitar correções; verificar recomendações. Ações: Analisar recomendações; solicitar informações extras; implementar. Saída: Relatório de Incidente Serpro. Saída: Insumos para relatório final. Saída: Recomendações implementadas. 16. Produzir relatório final 17. Receber comunicação final 18. Avaliar necessidade de comunicação final Objetivo: Elaborar relatório final no SEI. Objetivo: Dar ciência ao notificador. Objetivo: Verificar necessidade de informar ANPD, CTIR ou CISC. Responsável: ETIR/MT. Responsável: Notificador. Responsável: ETIR/MT. Entrada: Relatórios ERI/MT e Serpro. Entrada: Relatório final. Entrada: Relatório final. Ações: Incluir documentos no SEI conforme a Norma Complementar para a Gestão de Incidentes Cibernéticos no âmbito do Ministério dos Transportes. Ações: Receber comunicação. Ações: Avaliar necessidade de comunicações adicionais. Saída: Relatório Final do Incidente. Saída: Comunicação final recebida. Saída: Relatórios enviados a autoridades competentes. 19. Receber relatório final p/ notificação complementar 20. Produzir notificação complementar 21. Comunicar complementarmente os titulares Objetivo: Preparar comunicação adicional. Objetivo: Preparar novos instrumentos de notificação. Objetivo: Enviar comunicação complementar. Responsável: Encarregado de Dados. Responsável: Encarregado de Dados. Responsável: Encarregado de Dados. Entrada: Relatório final. Entrada: Relatório final. Entrada: Comunicado elaborado. Ações: Organizar dados; preencher formulário; elaborar comunicado. Ações: Analisar vazamento; preparar notificações. Ações: Consolidar contatos; verificar conformidade com as normativas da ANPD. Saída: Formulário e comunicado complementar. Saída: Notificação complementar aos titulares/ANPD. Saída: Comunicação enviada aos titulares. 22. Comunicar complementarmente à ANPD 23. Receber relatório final para decisão legal 24. Encaminhar formalmente às autoridades competentes Objetivo: Enviar comunicação complementar à ANPD. Objetivo: Verificar necessidade de comunicação a autoridades. Objetivo: Enviar notificações oficiais. Responsável: Encarregado de Dados. Responsável: Autoridade Responsável. Responsável: Autoridade Responsável. Entrada: Formulário preenchido. Entrada: Relatório final. Entrada: Artefatos de comunicação. Ações: Enviar; confirmar protocolo; registrar processo. Ações: Analisar; decidir; preparar artefatos. Ações: Encaminhar às autoridades. Saída: Comunicação complementar enviada. Saída: Decisão sobre autoridades a notificar. Saída: Notificação oficial realizada. 25. Receber Relatório Final do Incidente 26. Encerrar o incidente 27. Receber relatório final - CGDSI/SGETI Objetivo: Ações internas após comunicação final. Objetivo: Encerrar formalmente o incidente. Objetivo: Tomar ciência e adotar medidas complementares. Responsável: CTIR Gov e CISC. Responsável: ETIR/MT. Responsável: Gestor de Segurança da Informação. Entrada: Mensagem institucional da ETIR/MT. Entrada: Relatório final no SEI. Entrada: Relatório final. Ações: Analisar; encaminhar; compartilhar (quando aplicável). Ações: Atualizar status; arquivar. Ações: Avaliar e decidir ações adicionais. Saída: Comunicação interna aos órgãos. Saída: Incidente encerrado. Saída: Medidas complementares adotadas. 28. Avaliar histórico e melhorias Objetivo: Garantir a melhoria contínua. Responsável: ETIR/MT. Entrada: Histórico de incidentes. Ações: Identificar padrões; propor ajustes; registrar lições. Saída: Plano de melhoria contínua. MATRIZ RACI A matriz RACI, apresentada na tabela a seguir, é um instrumento utilizado para definir e esclarecer as atribuições, papéis e responsabilidades dos envolvidos nas atividades do processo. A sigla RACI, do inglês Responsible, Accountable, Consulted e Informed, representa, respectivamente, os seguintes significados: R - Responsável (Responsible): quem executa a atividade e realiza o trabalho. A - Responsabilizado (Accountable): quem aprova formalmente o resultado e detém a autoridade final sobre a tarefa. C - Consultado (Consulted): quem deve ser consultado para esclarecimentos, ajustes ou decisões, mantendo comunicação de mão dupla. I - Informado (Informed): quem deve ser mantido informado sobre ações, mudanças ou resultados, sem participação na decisão. Fase ERI/MT ou SERPRO ETIR/MT Encarregado de Dados Usuário (Notificado) Identificar um evento adverso e comunicá-lo R C I R Identificação R C I I Receber notificação de incidente R A I I Tomar providências cabíveis (ETIR/MT) I R C I Tratar o incidente R A C I Produzir Relatório do Incidente Cibernético R A C I Aplicar melhorias cabíveis R A C I Comunicar o incidente cibernético aos titulares e à ANPD I C A I Adotar medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais R C A I APÊNDICE B - PROCEDIMENTO OPERACIONAL PADRÃO - POP DA ERI/MT RESUMO EXECUTIVO O presente Procedimento Operacional Padrão - POP disciplina a atuação da Equipe de Resposta a Incidentes - ERI/MT, estabelecendo seu escopo de atuação, responsabilidades, procedimentos operacionais, métodos de registro e documentação de evidências, bem como a periodicidade de revisão e atualização do referido POP, além de contemplar demais informações relevantes à execução de suas atividades. OBJETIVO Estabelecer diretrizes, responsabilidades e procedimentos padronizados para a atuação da Equipe de Resposta a Incidentes do Ministério dos Transportes - ERI/MT, visando garantir a detecção, análise, resposta, mitigação e registro adequados dos incidentes cibernéticos. ESCOPO Este POP se aplica à ERI/MT, a qual poderá ser composta por membros das equipes de sustentação de diferentes áreas de negócio, terá a responsabilidade de executar as ações técnicas e operacionais definidas na Norma Complementar para a Gestão de Incidentes Cibernéticos no âmbito do Ministério dos Transportes. Entre suas funções, destacam-se: detectar, analisar e classificar incidentes; aplicar medidas de contenção, erradicação e recuperação; coletar evidências técnicas para investigação; notificar a ETIR/MT sobre a ocorrência de alertas de segurança nos serviços de TIC; apoiar a ETIR/MT com informações detalhadas sobre incidentes cibernéticos; e garantir o cumprimento de procedimentos padronizados e a documentação técnica. PROCESSO DE RESPOSTA A INCIDENTES CIBERNÉTICOS PELA ERI/MT O processo de resposta a incidentes cibernéticos pela Equipe de Resposta a Incidentes - ERI do Ministério dos Transportes seguirá o fluxo abaixo e deverá seguir o Processo de Gestão de Incidentes Cibernéticos descrito nessa Norma, bem como os seus documentos complementares. A seguir é apresentado o fluxograma detalhado do processo e o detalhamento das atividades a serem realizadas no processo de tratamento do incidente cibernético pela ERI/MT. Fluxograma de Resposta a Incidentes Cibernéticos pela ERI/MT: Detalhamento do Processo de Resposta a Incidentes Cibernéticos pela ERI/MT: 1. Identificar evento adverso e comunicá-lo 6. Tratar o incidente Objetivo: Detectar evento suspeito e informar a equipe responsável. Objetivo: Eliminar a causa e restaurar o ambiente afetado. Responsável: Notificador. Responsável: ERI/MT. Entrada: Ocorrência ou evidência de evento adverso. Entrada: Diagnóstico do incidente. Ações: Observar o evento; registrar informações; comunicar o fato ao ERI/MT. Ações: Conter o incidente; restaurar serviços; eliminar causas; reforçar segurança; documentar todas as ações. Saída: Notificação de evento adverso. Saída: Incidente tratado e ambiente restabelecido. 2. Identificar se é incidente cibernético 7. Produzir Relatório do Incidente Cibernético Objetivo: Verificar se o evento constitui incidente e classificá-lo conforme a Norma Complementar para a Gestão de Incidentes Cibernéticos no âmbito do Ministério dos Transportes. Objetivo: Documentar o ocorrido e as ações tomadas. Responsável: ERI/MT. Responsável: ERI/MT. Entrada: Notificação recebida. Entrada: Informações do tratamento. Ações: Avaliar contexto; validar informações; decidir pela existência de indício de incidente e classificá-lo conforme a Norma Complementar para a Gestão de Incidentes Cibernéticos no âmbito do Ministério dos Transportes; notificar a ETIR/MT, caso necessário. Ações: Redigir relatório; validar informações; encaminhar ao ETIR/MT. Saída: Evento caracterizado como incidente (ou descartado). Saída: Relatório de incidente cibernético. 3. Receber notificação de incidente 8. Receber relatório de incidente cibernético Objetivo: Avaliar se a classificação inicial está conforme a Norma Complementar para a Gestão de Incidentes Cibernéticos no âmbito do Ministério dos Transportes. Objetivo: Consolidar informações para encerramento do caso. Responsável: ETIR/MT. Responsável: ETIR/MT. Entrada: Comunicação de incidente feita pelo ERI/MT. Entrada: Relatório enviado pelo ERI/MT. Ações: Analisar se a classificação está correta. Ações: Registrar recebimento; avaliar recomendações; tomar providências necessárias. Saída: Incidente registrado para análise. Saída: Definição das ações até o encerramento do incidente. 4. Tomar providências cabíveis (ETIR/MT) 9. Aplicar melhorias cabíveis Objetivo: Iniciar o acompanhamento da resposta ao incidente. Objetivo: Aprimorar processos e controles para evitar reincidências. Responsável: ETIR/MT. Responsável: ERI/MT. Entrada: Incidente registrado. Entrada: Recomendações e lições aprendidas. Ações: Informar membros da ETIR/MT; acompanhar o processo conduzido pela ERI/MT; avaliar providências cabíveis. Ações: Identificar falhas; propor ações corretivas; implementar melhorias. Saída: Ações de resposta imediata executadas. Saída: Plano de ação e medidas preventivas implementadas. 5. Analisar o incidente Objetivo: Compreender causa e impacto. Responsável: ERI/MT. Entrada: Dados e evidências do incidente. Ações: Avaliar relevância e impacto; coletar e analisar logs; identificar tipo, gravidade e impacto; investigar causas, extensão e consequências. Saída: Diagnóstico do incidente. MATRIZ RACI A matriz RACI, apresentada na tabela a seguir, é um instrumento utilizado para definir e esclarecer as atribuições, papéis e responsabilidades dos envolvidos nas atividades do processo. A sigla RACI, do inglês Responsible, Accountable, Consulted e Informed, representa, respectivamente, os seguintes significados: R - Responsável (Responsible): quem executa a atividade e realiza o trabalho. A- Responsabilizado (Accountable): quem aprova formalmente o resultado e detém a autoridade final sobre a tarefa. C - Consultado (Consulted): quem deve ser consultado para esclarecimentos, ajustes ou decisões, mantendo comunicação de mão dupla. I - Informado (Informed): quem deve ser mantido informado sobre ações, mudanças ou resultados, sem participação na decisão. Fase ERI/MT ETIR/MT Encarregado de Dados Usuário (Notificado) Identificar um evento adverso e comunicá-lo R C I R Identificação R C I I Receber notificação de incidente R A I I Tomar providências cabíveis (ETIR/MT) I R C I Tratar o incidente R A C I Produzir Relatório do Incidente Cibernético R A C I Aplicar melhorias cabíveis R A C I Comunicar o incidente cibernético aos titulares e à ANPD I C A I Adotar medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais R C A I CONSTITUIÇÃO DA ERI/MT A ERI/MT deverá ser composta, inicialmente, pela equipe de sustentação de infraestrutura tecnológica do Ministério, sendo ela liderada pelo preposto do contrato e constituída por agente de tratamento de nível 1, 2 e 3. APÊNDICE C - PROCEDIMENTO OPERACIONAL REFERENCIAL PARA TRATAMENTO DE INCIDENTES CIBERNÉTICOS EM ATIVOS DO MINISTÉRIO DOS TRANSPORTES CUSTODIADOS PELO SERPRO RESUMO EXECUTIVO O presente Procedimento Operacional Referencial estabelece diretrizes orientadoras para o tratamento de incidentes cibernéticos em ativos do Ministério dos Transportes custodiados pelo Serpro, aplicando-se nos limites das obrigações contratuais pactuadas entre as partes. OBJETIVO Estabelecer diretrizes referenciais e parâmetros operacionais para o tratamento de incidentes cibernéticos em ativos do Ministério dos Transportes custodiados pelo Serpro, nos termos do contrato firmado entre as partes. ESCOPO Este POP se aplica aos incidentes cibernéticos em ativos do Ministério dos Transportes custodiados pelo Serpro. Este Procedimento possui caráter referencial e aplica-se exclusivamente no âmbito das obrigações contratuais pactuadas entre o Ministério dos Transportes e o Serpro e da legislação vigente, não implicando subordinação administrativa ou alteração das competências legais da empresa. PROCESSO DE RESPOSTA A INCIDENTES CIBERNÉTICOS NOS ATIVOS DOS MINISTÉRIOS HOSPEDADOS NA INFRAESTRUTURA DO SERPRO O tratamento de incidentes cibernéticos pelo Serpro observará, como referência, o fluxo abaixo, em compatibilidade com seus normativos internos e obrigações contratuais. Quando ocorrer incidente cibernético em ativos sob sua custódia, o Serpro deverá comunicar o fato ao Ministério dos Transportes, na qualidade de controlador, sem demora injustificada, conforme previsto contratualmente e na legislação aplicável. A seguir é apresentado o fluxograma detalhado do processo e o detalhamento das atividades a serem realizadas no processo de tratamento do incidente cibernético pelo Serpro. Fluxograma do Processo de Resposta a Incidentes Cibernéticos em ativos do Ministério dos Transportes custodiados pelo Serpro: Detalhamento do Processo de Resposta a Incidentes Cibernéticos em ativos do Ministério dos Transportes custodiados pelo Serpro: 1. Identificar evento adverso e comunicá-lo 6. Tratar o incidente Objetivo: Detectar um evento suspeito e informar a equipe responsável. Objetivo: Eliminar a causa e restaurar o ambiente afetado. Responsável: Notificador. Responsável: Serpro. Entrada: Ocorrência ou evidência de evento adverso. Entrada: Diagnóstico do incidente. Ações: Observar o evento; registrar informações; comunicar o fato ao Serviço Federal de Processamento de Dados (Serpro). Ações: Conter o incidente; restaurar serviços; eliminar causas; reforçar segurança; documentar todas as ações. Saída: Notificação de evento adverso. Saída: Incidente tratado e ambiente restabelecido. 2. Identificar se é incidente cibernético 7. Produzir Relatório do Incidente Cibernético Objetivo: Verificar se o evento é um incidente cibernético e classificá-lo conforme a Norma Complementar para a Gestão de Incidentes Cibernéticos no âmbito do Ministério dos Transportes. Objetivo: Documentar o incidente e as ações tomadas. Responsável: Serpro. Responsável: Serpro. Entrada: Notificação recebida. Entrada: Diagnóstico do incidente. Ações: Avaliar o contexto; validar informações; decidir se há indício de incidente e classificá-lo conforme a Norma Complementar para a Gestão de Incidentes Cibernéticos no âmbito do Ministério dos Transportes; notificar a Equipe de Tratamento e Resposta a Incidentes do Ministério dos Transportes - ETIR/MT, caso a notificação inicial não tenha partido dela, enviando-a para o e-mail etir.mt@transportes.gov.br Ações: Redigir relatório técnico; validar informações; encaminhar o relatório à ETIR/MT. Saída: Evento caracterizado como incidente ou descartado. Saída: Relatório de incidente cibernético encaminhado. 3. Receber notificação de incidente 8. Receber relatório de incidente cibernético Objetivo: Receber o comunicado do incidente e avaliar se a classificação inicial está de acordo com a Norma Complementar para a Gestão de Incidentes Cibernéticos no âmbito do Ministério dos Transportes. Objetivo: Consolidar informações para avaliação final e encerramento do caso. Responsável: ETIR/MT. Responsável: ETIR/MT. Entrada: Comunicação de incidente enviada pelo Serpro. Entrada: Relatório de incidente encaminhado pelo Serpro. Ações: Verificar se o incidente foi classificado conforme as diretrizes da Norma Complementar para a Gestão de Incidentes Cibernéticos no âmbito do Ministério dos Transportes. Ações: Registrar recebimento; avaliar recomendações; determinar providências complementares, se necessárias. Saída: Incidente registrado para análise. Saída: Definição das ações até o encerramento do incidente. 4. Tomar providências cabíveis (ETIR/MT) 9. Aplicar melhorias cabíveis Objetivo: Iniciar o acompanhamento da resposta ao incidente quando a notificação não tiver sido originada pela ETIR/MT. Objetivo: Aprimorar processos e controles para evitar reincidências. Responsável: ETIR/MT. Responsável: Serpro. Entrada: Incidente registrado. Entrada: Recomendações e lições aprendidas. Ações: Informar os membros da equipe sobre o incidente; acompanhar o processo conduzido pelo Serpro; avaliar providências cabíveis. Ações: Identificar falhas; propor ações corretivas; implementar melhorias. Saída: Ações de resposta imediata executadas. Saída: Plano de ação e medidas preventivas implementadas. 5. Analisar o incidente Objetivo: Compreender a causa e o impacto do incidente. Responsável: Serpro. Entrada: Dados e evidências do incidente. Ações: Avaliar relevância e impacto; coletar e analisar logs e registros; identificar tipo, gravidade e impacto; investigar causas, extensão e consequências para orientar decisões e ações de contenção. Saída: Diagnóstico do incidente. MATRIZ RACI A matriz RACI, apresentada na tabela a seguir, é um instrumento utilizado para definir e esclarecer as atribuições, papéis e responsabilidades dos envolvidos nas atividades do processo. A sigla RACI, do inglês Responsible, Accountable, Consulted e Informed, representa, respectivamente, os seguintes significados: R - Responsável (Responsible): quem executa a atividade e realiza o trabalho; A- Responsabilizado (Accountable): quem aprova formalmente o resultado e detém a autoridade final sobre a tarefa; C - Consultado (Consulted): quem deve ser consultado para esclarecimentos, ajustes ou decisões, mantendo comunicação de mão dupla; e I - Informado (Informed): quem deve ser mantido informado sobre ações, mudanças ou resultados, sem participação na decisão. A matriz abaixo possui caráter referencial e não altera as competências ou responsabilidades definidas contratualmente entre as partes. Fase Serpro ETIR/MT Encarregado de Dados Usuário (Notificado) Identificar um evento adverso e comunicá-lo R C I R Identificação R C I I Receber notificação de incidente R A I I Tomar providências cabíveis (ETIR/MT) I R C I Tratar o incidente R A C I Produzir Relatório do Incidente Cibernético R A C I Aplicar melhorias cabíveis R A C I Comunicar o incidente cibernético aos titulares e à ANPD I C A I Adotar medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais R C A I EQUIPE DE TRATAMENTO DE INCIDENTES DO SERPRO Deverá ser criado um canal de comunicação entre a ETIR/MT e o Centro de Operações de Segurança - SOC do Serpro com o objetivo de facilitar a comunicação antes, durante e depois de um incidente cibernético. O responsável por criar esse canal será o preposto do contrato. APÊNDICE D - RELATÓRIO TÉCNICO DE INCIDENTE CIBERNÉTICO RELATÓRIO TÉCNICO DE INCIDENTE CIBERNÉTICO Resumo Executivo Resumo executivo das informações coletadas e dos exames realizados: apresentação resumida do incidente, incluindo a data de ocorrência, os sistemas afetados e a natureza do evento (ex.: violação de dados, ransomware, interrupção de serviços - DDoS), indicação do time responsável por coordenar o incidente, ações tomadas para tratar o incidente tais como isolamento, investigação, recuperação de sistemas, comunicação, os resultados obtidos, como causas identificadas, vulnerabilidades corrigidas e medidas de mitigação implementadas. Síntese sobre dever de comunicação: resultado da avaliação de risco do incidente e decisão sobre comunicação aos titulares e à ANPD. Descrição do Incidente Identificação do Incidente Cibernético: IC xxx/202X - Serpro ou ERI/MT Classificação do Incidente: Informe a classificação do chamado, conforme esta Norma Complementar. Descreva por que o incidente ocorreu: Identifique, de forma resumida, a origem e a causa raiz do incidente ou indique a razão para não ser possível identificá-la. Como foi detectado o incidente: Identifique como o incidente foi identificado. Metodologia de Investigação: Listar as ferramentas e tecnologias empregadas na investigação do incidente, incluindo as ferramentas forenses e a sua versão. Além disso, é indicado descrever quaisquer limitações na investigação, como falta de acesso a dados específicos ou dificuldades na análise forense. Cronologia do incidente Data de ocorrência do incidente: especificar a data e hora precisas do incidente, conforme logs de sistema e outros registros. Utilizar um formato para registrar a data e hora (ex.: ISO 8601: YYYY-MM-DDThh:mm:ss[Z]), incluindo o fuso horário para evitar ambiguidades em casos de equipes ou sistemas distribuídos em diferentes localidades. Datas e atividades realizadas desde a detecção do incidente: documentar todas as ações tomadas desde a detecção, incluindo isolamento de sistemas, análise forense, recuperação de dados, notificação de autoridades e comunicação com stakeholders. Critérios para Início da Recuperação: documentar o momento e a justificativa para a transição das fases de contenção/erradicação para a fase de recuperação, com base nos critérios definidos no plano de resposta a incidentes. Recomendação adicional: incluir o tempo de resposta para cada atividade realizada (ex.: tempo para isolar os sistemas, tempo para análise forense). A medição do tempo de resposta permite a identificação de gargalos no processo, a otimização das ações e a avaliação da eficiência da equipe, contribuindo para a avaliação de desempenho do programa. Evidências do Incidente Cadeia de custódia: documentar a cadeia de custódia das evidências, descrevendo detalhadamente o processo de coleta, armazenamento, acesso e transferência das informações, incluindo os responsáveis por cada etapa. A documentação da cadeia de custódia garante a integridade e a admissibilidade legal das evidências, protegendo-as contra adulteração e questionamentos em eventuais processos legais. Indicação dos documentos e informações relevantes para descrição do incidente: listar todos os documentos, registros e informações relevantes ao incidente, incluindo logs de sistema (SIEM), logs de firewall, relatórios de análise forense, mensagens de e-mail etc. Resultado da análise: detalhar as evidências examinadas e os métodos de coleta utilizados. Descrever também a investigação conduzida no ambiente, como, por exemplo, a análise de um endereço IP desconhecido, e explicar o processo que levou aos resultados. Descrição do impacto do incidente nos ambientes/servidores, sistemas, dados e operações: descrever o impacto do incidente, incluindo sistemas afetados, dados comprometidos, interrupções de serviço e eventuais custos financeiros. É importante também especificar os ambientes, servidores e aplicativos afetados pelo incidente. A documentação deve se basear nos inventários de ativos da organização. Causa-raiz e vetor de ataque: identificar a causa raiz do incidente, o vetor de ataque e as vulnerabilidades exploradas. Fornecer evidências, como mensagens de resgate, alertas de segurança e logs de firewall, para apoiar a análise. Descrição da exfiltração ou da ausência de evidência de exfiltração: determinar se houve exfiltração e apresentar evidências para sustentar a conclusão, com base na análise de tráfego de rede (NetFlow) e logs. Impactos do Incidente Sobre os Dados Pessoais De que forma o incidente afetou os dados pessoais (admite mais de uma marcação): ( ) Confidencialidade Houve acesso não autorizado aos dados, violando seu sigilo. ( ) Integridade Houve alteração ou destruição de dados de maneira não autorizada ou acidental. ( ) Disponibilidade Houve perda ou dificuldade de acesso aos dados por período significativo. Se aplicável, quais os tipos de dados pessoais sensíveis foram violados? (admite mais de uma marcação) ( )Origem racial ou étnica. ( )Convicção religiosa. ( )Referente à saúde. ( )Biométrico. ( )Referente à vida sexual. ( )Filiação a organização sindical, religiosa, filosófica ou política. ( )Opinião política. ( )Genético. Se aplicável, descreva os tipos de dados pessoais sensíveis violados: Quais os demais tipos de dados pessoais violados? (admite mais de uma marcação) ( ) Dados básicos de identificação (ex: nome, sobrenome, data de nascimento, matrícula) ( ) Número de documentos de identificação oficial. (ex: RG, CPF, CNH, passaporte) ( ) Dados de meios de pagamento. (ex: cartão de crédito/débito) ( ) Cópias de documentos de identificação oficial. ( ) Dado financeiro ou econômico. ( ) Nomes de usuário de sistemas de informação. ( ) Imagens / Áudio / Vídeo ( ) Dado de geolocalização. (ex: coordenadas geográficas) ( ) Dados de contato. (ex: telefone, endereço, e-mail) ( ) Dados protegidos por sigilo profissional/legal. ( ) Dado de autenticação de sistema. (ex: senhas, PIN ou tokens) ( ) Outros (especifique abaixo) Descreva os tipos de dados pessoais não sensíveis violados: Foi elaborado um Relatório de Impacto à Proteção de Dados Pessoais (RIPD) das atividades de tratamento afetadas pelo incidente? ( ) Sim ( ) Não Qual o número total de titulares cujos dados são tratados nas atividades afetadas pelo incidente? Qual a quantidade aproximada de titulares afetados pelo incidente? Total de titulares afetados Crianças e/ou adolescentes Outros titulares vulneráveis Se aplicável, descreva as categorias de titulares vulneráveis afetados: Quais a categorias de titulares foram afetadas pelo incidente? (admite mais de uma marcação) ( ) Funcionários. ( ) Prestadores de serviços. ( ) Estudantes/Alunos. ( ) Clientes/Cidadãos. ( ) Usuários. ( ) Inscritos/Filiados. ( ) Pacientes de serviço de saúde. ( ) Ainda não identificadas. ( ) Outros. (especifique abaixo) Informe o quantitativo de titulares afetados, por categoria: Quais as prováveis consequências do incidente para os titulares? (admite mais de uma marcação) ( ) Danos morais. ( ) Danos materiais. ( ) Violação à integridade física ( ) Discriminação social. ( ) Danos reputacionais. ( ) Roubo de identidade. ( ) Engenharia social / Fraudes. ( ) Limitação de acesso a um serviço. ( ) Exposição de dados protegidos por sigilo profissional/legal. ( ) Restrições de direitos. ( ) Perda de acesso a dados pessoais. ( ) Outros (especifique abaixo). Se cabível, descreva as prováveis consequências do incidente para cada grupo de titulares: Qual o provável impacto do incidente sobre os titulares? (admite só uma marcação) ( ) Podem não sofrer danos, sofrer danos negligenciáveis ou superáveis sem dificuldade. ( ) Podem sofrer danos, superáveis com certa dificuldade. ( ) Podem sofrer danos importantes, superáveis com muita dificuldade. ( ) Podem sofrer lesão ou ofensa a direitos ou interesses difusos, coletivos ou individuais, que, dadas as circunstâncias, ocasionam ou tem potencial para ocasionar dano significativo ou irreversível. Se cabível, quais medidas foram adotadas para mitigação dos riscos causados pelo incidente aos titulares? Medidas Técnicas e Administrativas de Segurança Adotadas Ações adotadas para tratamento do incidente:descrever as ações de contenção (para evitar a expansão do incidente) e erradicação (para eliminar a causa) tomadas, como isolamento de sistemas, remoção de malware, restauração de dados, aplicação de patches e correções. É importante detalhar e distinguir explicitamente as ações tomadas em cada uma das fases: 1. Contenção: medidas para impedir a expansão do incidente (ex: isolar segmento de rede, colocar endpoint em quarentena). 2. Erradicação: medidas para eliminar a causa raiz e os componentes do incidente (ex: remover malware, desabilitar contas comprometidas, aplicar patches). 3. Recuperação: medidas para restaurar os sistemas à operação normal e confirmar sua integridade (ex: restaurar de backup limpo, validar funcionalidades, monitoramento pós-incidente. Antes do incidente, quais das seguintes medidas de segurança eram adotadas?(admite mais de uma marcação) ( ) Políticas de segurança da informação e privacidade. ( ) Processo de Gestão de Riscos. ( ) Registro de incidentes. ( ) Controle de acesso físico. ( ) Controle de acesso lógico. ( ) Segregação de rede. ( ) Criptografia/Anonimização. ( ) Cópias de segurança. (backups) ( ) Gestão de ativos. ( ) Antivírus. ( ) Firewall. ( ) Atualização de Sistemas. ( ) Registros de acesso (logs). ( ) Monitoramento de uso de rede e sistemas. ( ) Múltiplos fatores de autenticação. ( ) Testes de invasão. ( ) Plano de resposta a incidentes. ( ) Outras (especifique). Descreva as demais medidas de segurança técnicas e administrativas adotadas antes do incidente: Após o incidente, foi adotada alguma nova medida de segurança? (admite mais de uma marcação) ( ) Políticas de segurança da informação e privacidade. ( ) Processo de Gestão de Riscos. ( ) Registro de incidentes. ( ) Controle de acesso físico. ( ) Controle de acesso lógico. ( ) Segregação de rede. ( ) Criptografia/Anonimização. ( ) Cópias de segurança. (backups) ( ) Gestão de ativos. ( ) Antivírus. ( ) Firewall. ( ) Atualização de Sistemas. ( ) Registros de acesso (logs). ( ) Monitoramento de uso de rede e sistemas. ( ) Múltiplos fatores de autenticação. ( ) Testes de invasão. ( ) Plano de resposta a incidentes. ( )Outras (especifique). Se cabível, descreva as medidas de segurança adicionais adotadas após o incidente: Os dados violados estavam protegidos de forma a impossibilitar a identificação de seus titulares? ( ) Sim, integralmente protegidos por criptografia / pseudonimização. ( ) Sim, parcialmente protegidos por criptografia / pseudonimização. ( ) Não. Descreva os meios utilizados para proteger a identidade dos titulares, e a quais tipos dados foram aplicados: As atividades de tratamento de dados afetadas estão submetidas a regulações de segurança setoriais? ( )Sim ( ) Não Se cabível, indique as regulamentações setoriais de segurança aplicáveis às atividades de tratamento de dados afetadas pelo incidente: Lições Aprendidas e Recomendações Lições aprendidas: indicar quais foram as principais lições aprendidas com o incidente, não apenas no final, mas também durante o processo de resposta. Prevenção de incidentes: identificar e comunicar as melhorias necessárias assim que forem descobertas, mesmo que a resposta ao incidente ainda esteja em andamento. A melhoria contínua não deve esperar pelo fim do incidente para ser iniciada. Prevenção de incidentes (Plano de Ação): relacionar as lições aprendidas com as melhorias propostas no plano de ação para garantir a efetividade do aprendizado e a prevenção de incidentes futuros. Assinatura Cidade, XX de mês de 202x. ______________________________ Nome do Responsável Técnico que Produziu o Relatório Cargo/Função