Copyright © Dia Oficial 2026 | contato@diaoficial.com

DOU 22/08/2023 - Diário Oficial da União - Brasil 

                            Documento assinado digitalmente conforme MP nº 2.200-2 de 24/08/2001,
que institui a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil.
Este documento pode ser verificado no endereço eletrônico
http://www.in.gov.br/autenticidade.html, pelo código 05152023082200030
30
Nº 160, terça-feira, 22 de agosto de 2023
ISSN 1677-7042
Seção 1
A Equipe de Coordenação Setorial da Defesa (ECS/Def) deverá fomentar, para
todas suas Equipes de Prevenção, Tratamento e Resposta a Incidentes em Redes (ETIR)
vinculadas, processos de divulgação de boas práticas sobre o tema Segurança Cibernética. As
informações relativas à prevenção devem utilizar efetivos canais de comunicações, além de
possuírem linguagem adequada ao público-alvo. Podem ser realizadas iniciativas, tais como
seminários,
colóquios, estágios,
treinamentos, palestras,
boletins informativos e
memorandos.
É necessário que as ações de sensibilização e conscientização sobre a Gestão de
Incidentes Cibernéticos contemplem os seguintes aspectos:
a) envolvimento da alta administração
com a Gestão de Incidentes
Cibernéticos;
b) responsabilização dos colaboradores por ações e omissões, inclusive por ações
individuais por imprudência, negligência ou imperícia na Gestão de Incidentes Cibernéticos; e
c) familiarização e compliance em relação às regras e obrigações aplicáveis de
Gestão de Incidentes Cibernéticos.
Com relação à capacitação, é necessário que a Equipe de Coordenação Setorial
da Defesa (ECS/Def), as equipes centrais das Forças Singulares e demais Equipes de
Prevenção, Tratamento e Resposta a Incidentes em Redes (ETIR) do Ministério da Defesa
fomentem:
a) a preparação de um plano de treinamento adequado para equipes técnicas
cujos papéis requerem habilidades e conhecimentos específicos; e
b) a constante atualização e aprimoramento do conhecimento técnico e
profissional.
8. PROCESSO DE DETECÇÃO DE INCIDENTES CIBERNÉTICOS
Sem
detectar incidentes
cibernéticos, nenhuma
Equipe de
Prevenção,
Tratamento e Resposta a Incidentes em Redes (ETIR) será capaz de responder a eles.
Algumas Equipes de Prevenção, Tratamento e Resposta a Incidentes em Redes (ETIR) operam
suas próprias capacidades de detecção (IDS, logs de firewall, honeypots etc.). Outras
dependem de outras Equipes de Prevenção, Tratamento e Resposta a Incidentes em Redes
(ETIR) para receber relatórios de incidentes ou utilizam um Centro de Operações de
Segurança (SOC) para receber possíveis incidentes que precisam ser analisados, sendo a
abordagem mista a mais adequada à realidade do setor Defesa.
O processo de detecção de incidentes cibernéticos analisa todo o ambiente o
espectro de informação definido pelo escopo de atuação estabelecido por cada órgão, a fim
de identificar atividades maliciosas que possam comprometer os ativos de informação. Tem
por objetivo reduzir o impacto do incidente cibernético, antecipando o início do processo de
tratamento e de resposta. Logo, a detecção pressupõe o estabelecimento de linhas de base,
de monitoramento contínuo e de comunicação dos incidentes cibernéticos.
8.1 ESTABELECIMENTO DE LINHAS DE BASE:
Cada integrante da constituência do setor Defesa na Gestão de Incidente
Cibernético necessita estabelecer suas próprias linhas de base que caracterizem o uso
normal da rede. As anormalidades são consideradas indícios de incidente e, se identificadas,
devem ser investigadas. Os critérios para analisar e caracterizar uma anormalidade como
suposto incidente são essenciais para a eficácia do processo.
8.2 MONITORAMENTO CONTÍNUO:
As Equipes de Prevenção, Tratamento e Resposta a Incidentes em Redes (ETIR)
da constituência do setor Defesa integrantes da Rede Federal de Gestão de Incidentes
Cibernéticos (ReGIC) devem estabelecer o monitoramento contínuo de seus ativos de
informação, cabendo a verificação contínua de:
a) alteração de comportamento pela comparação com as linhas de base;
b) acesso de usuários, particularmente quanto a horários e ativos acessados;
c) volumetria do tráfego de saída;
d) logs;
e) funcionamento e atualização das ferramentas de segurança cibernética, em
especial as de anti-malware; e
f) execução não autorizada de serviço, software ou código.
Tal processo pode ser complementado com ações de detecção proativa, que
incluem:
a) exploração controlada de vulnerabilidades;
b) atividades proativas de equipes de análise;
c) correlação de log e eventos;
d) teste de penetração; e
e) monitoramento proativo de rede.
Uma vez identificada uma anomalia, as informações referentes ao evento
adverso deverão ser encaminhadas para o tratamento do incidente cibernético, iniciando
pela triagem.
Como apêndice ao presente plano, a Equipe de Coordenação Setorial da Defesa
(ECS/Def) disponibiliza as orientações de como emitir notificações de prováveis incidentes
detectados, as quais estão alinhadas às orientações do Centro de Prevenção, Tratamento e
Resposta a Incidentes Cibernéticos de Governo (CTIR GOV).
8.3 COMUNICAÇÃO:
As equipes centrais das Forças Singulares e as Equipes de Prevenção, Tratamento
e Resposta a Incidentes em Redes (ETIR) do setor Defesa vinculadas diretamente à Equipe de
Coordenação Setorial da Defesa (ECS/Def) devem informar um endereço de correio
eletrônico institucional de suas Equipes de Prevenção, Tratamento e Resposta a Incidentes
em Redes (ETIR) para troca de informações relacionadas a incidentes cibernéticos com a
Equipe de Coordenação Setorial da Defesa (ECS/Def). Também devem manter atualizado
seus cadastros na Rede Federal de Gestão de Incidentes Cibernéticos (ReGIC), junto ao
Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR
GOV), por intermédio do termo de adesão disponibilizado no seu sítio eletrônico.
Quando o tratamento do incidente exigir comunicações frequentes, a troca de
informações deve seguir, prioritariamente, entre o agente responsável da Equipe de
Coordenação Setorial da Defesa (ECS/Def)e os agentes responsáveis das equipes centrais das
Forças Singulares e/ou das Equipes de Prevenção, Tratamento e Resposta a Incidentes em
Redes (ETIR) a ela diretamente vinculadas, ou seus substitutos, de modo a centralizar o fluxo
de informações entre as equipes.
Havendo indisponibilidade do correio eletrônico, poderão ser utilizados outros
canais para comunicações, como:
1) voz;
2) Inter-Network Operation Center Dial by Autonomous System Number (INOC - D BA ) * ;
3) mensagem instantânea;
4) reunião por videoconferência;
5) sítios eletrônicos e mídias sociais institucionais; e
6) reunião presencial de agentes responsáveis ou seus representantes.
As principais mensagens que serão transmitidas por meio desses canais de
comunicações dizem respeito à notificação de incidentes cibernéticos, as quais devem seguir
a padronização definida e disponibilizada pela Equipe de Coordenação Setorial da Defesa
(ECS/Def). É importante ressaltar que a comunicação de tais incidentes deve ocorrer com a
maior brevidade possível.
A comunicação do incidente cibernético à Equipe de Coordenação Setorial da
Defesa (ECS/Def) não exime a responsabilidade de comunicação do fato aos Gestores de
Segurança de Informação envolvidos e ao processamento das informações da forma
estabelecida por cada instituição, garantindo o respeito à hierarquia da cadeia de
comando.
8.4 TRAFFIC LIGHT PROTOCOL¹ (TLP):
O TLP é um padrão global, mantido pelo FIRST, para indicar os limites de
compartilhamento de informações entre partes interessadas. Tal padrão foi criado para
facilitar o compartilhamento mais amplo de informações potencialmente sensíveis e a
colaboração mais efetiva.
Fica estabelecida, no âmbito do setor Defesa, entre os integrantes da Rede
Federal de Gestão de Incidentes Cibernéticos (ReGIC), a adesão ao padrão Traffic Light
Protocol (TLP) na sua versão mais atualizada pelo FISRT. Para o envio de notificações,
recomenda-se utilizar o TLP apropriado no assunto e no corpo do e-mail. O TLP provê um
esquema simples e intuitivo para indicar com quem informações potencialmente sensíveis
podem ser compartilhadas.
De maneira apropriada serão tratadas as notificações de acordo com as
marcações definidas pela versão mais atual do TLP. Em sua forma escrita elas nunca devem
conter espaços, devem ser em letras maiúsculas e não devem ser traduzidas.
a) TLP:RED = Somente para os olhos e ouvidos dos indivíduos destinatários, não
é permitido compartilhamento nenhum. Fontes podem usar TLP:RED quando não é possível
atuar sobre a informação sem colocar em risco significativo a privacidade, reputação ou
operações das organizações envolvidas. Destinatários não podem compartilhar informações
TLP:RED com mais ninguém. No contexto de uma reunião, por exemplo, informações
TLP:RED são limitadas àqueles presentes na reunião;
b) TLP:AMBER = Divulgação limitada, destinatários só podem disseminar para
aqueles que necessitam saber (need-to-know basis) dentro de sua própria organização e com
seus clientes. Note que o TLP:AMBER+STRICT restringe o compartilhamento apenas para a
própria organização. Fontes podem usar o TLP:AMBER quando é necessário apoio para agir
de maneira efetiva sobre a informação, mas ainda assim há riscos para a privacidade,
reputação ou operações das organizações envolvidas. Destinatários podem compartilhar
TLP:AMBER com membros de sua própria organização e com seus clientes, mas somente
com aqueles que necessitam saber da informação (need-to-know basis) para proteger sua
organização e seus clientes e evitar danos continuados. Nota: se a fonte quiser restringir o
compartilhamento somente para a organização ela deve especificar TLP:AMBER+STRIC T;
c) TLP:GREEN = Divulgação limitada, destinatários podem divulgar dentro de sua
comunidade. Fontes podem usar TLP:GREEN quando a informação é útil para a
conscientização dentro de sua comunidade mais ampla. Destinatários podem compartilhar
informações TLP:GREEN com seus pares e organizações parceiras dentro de sua comunidade,
mas não por meio de canais publicamente acessíveis. Informações TLP:GREEN não podem
ser compartilhadas fora de uma comunidade. Nota: quando a "comunidade" não estiver
definida, assume-se que é a comunidade de segurança/defesa cibernética; e
d) TLP:CLEAR = Destinatários podem disseminar para o mundo, não há limites na
divulgação. Fontes podem usar TLP:CLEAR quando há um risco mínimo ou não há previsão
de risco de mau uso da informação, de acordo com regras e procedimentos aplicáveis para
divulgação pública. Desde que respeitadas as regras padrão de direitos autorais, as
informações TLP:CLEAR podem ser compartilhadas sem restrições.
¹ 
TRAFFIC
LIGHT 
PROTOCOL
(TLP) 
-
Versão 
2.0,
disponível 
em
https://www.first.org/tlp
9. TRATAMENTO DE INCIDENTES CIBERNÉTICOS
O tratamento de incidentes cibernéticos inicia-se imediatamente após a detecção
ou a notificação de sua provável ocorrência, pelo processo de triagem, seguido pelo
processo de análise.
9.1 TRIAGEM:
Triagem é o processo de julgar relatórios de incidentes cibernéticos recebidos e
atribuí-los para tratamento posterior, fazendo parte da detecção de incidentes. As atividades
previstas nesse processo passam pela eliminação de falsos-positivos, pela validação de
incidentes, registro de informações, categorização, definição de prioridade e de severidade
dos incidentes. Normalmente, são usadas ferramentas para dar suporte a esses processos, as
quais devem seguir as ações descritas a seguir:
a) confirmar se realmente trata-se de um incidente cibernético, sendo que, caso
seja confirmado e o incidente não tenha ocorrido no Espaço Cibernético de Interesse (ECI) do
setor Defesa, redirecionar a informação para o responsável pelo tratamento;
b) verificar se há correlação com outros incidentes cibernéticos;
c) estabelecer a prioridade para o tratamento do incidente;
d) registrar o incidente na base de incidentes cibernéticos; e
e) atribuir o tratamento do incidente ao analista ou à equipe responsável.
Cada Equipe de Prevenção, Tratamento e Resposta a Incidentes em Redes (ETIR)
deve estabelecer suas próprias prioridades, em função do tipo do incidente cibernético,
considerando os planos e as peculiaridades do setor em que atua, o plano estratégico da sua
organização, sua área de atuação, cadeia de suprimentos, geolocalização, sua missão, o
escopo definido e outros fatores considerados relevantes.
Após estabelecer essa priorização, a Equipes de Prevenção, Tratamento e
Resposta a Incidentes em Redes (ETIR) deverá classificar o incidente cibernético de acordo
com seu impacto na disponibilidade, integridade, confidencialidade e autenticidade da
informação sob risco em um dos seguintes níveis: crítico, alto, médio, moderado ou baixo.
1_MD_22_003
1_MD_22_004
1_MD_22_005

Fechar