# SDR — Catálogo GSI/PR e NCs DSIC/GSIPR (referência para contratação)

> **Eixo:** `Arquitetura Contratual` (Modelo de Servicos | Arquitetura Contratual | Ambos)

| Campo | Valor |
|-------|-------|
| **Pai** | [sdr-0015-rastreabilidade-normativa.md](./sdr-0015-rastreabilidade-normativa.md) |
| **SSoT** | Sim — dono do **catálogo** de instrumentos GSI/PR + NCs DSIC/GSIPR citados no PPSI do projeto |
| **Estado** | âncora; cópia local de normas: *placeholder* `processo-contratacao/01_referencias_normativas/gsi-dsic/` (criar em rodada futura) |

---

## 1. Finalidade

Listar os **instrumentos de governo** de segurança da informação que o PPSI do repositório já cita literalmente, com **vínculo** aos SDRs que materializam o requisito no modelo C1/C2/C3. Separar o que tem base em GSI/DSIC do que é **LACUNA-GSI-DSIC** (só padrão de mercado).

---

## 2. Pirâmide normativa (ordem de citação recomendada)

1. **PPSI** (medida e segmento) — base central; mapa em [sdr-0014a](./sdr-0014a-ppsi-mapeamento-trilateral.md).
2. **IN GSI/PR** (capítulo/artigo quando couber).
3. **NC DSIC/GSIPR** (número completo).
4. **Padrão de mercado** (NIST, ISO, CIS, MITRE, OWASP, etc.) — **depois** dos itens 1–3.

---

## 3. IN GSI/PR (catálogo mínimo do projeto)

| ID | Ementa (resumo) | Capítulo / artigo (âncora lógica) | SDR(s) que consomem |
|----|-----------------|-----------------------------------|---------------------|
| **IN GSI/PR nº 1/2020** | Gestor de SI (art. 19); Comitê de SI (art. 20); ETIR | arts. 19–20 e correlatos | [0016a](./sdr-0016a-c3-soc-deteccao-resposta.md), [0014a](./sdr-0014a-ppsi-mapeamento-trilateral.md) |
| **IN GSI/PR nº 3/2021** | Inventário (Cap. II); riscos (Cap. III); continuidade (Cap. IV); mudança (Cap. V); conformidade (Cap. VI); PGSI (art. 45) | Caps. II–VI; art. 45 | [0006](./sdr-0006-operacao-c2-niveis-capacidade.md), [0011](./sdr-0011-governanca-c1-medicao.md), [0016c](./sdr-0016c-c3-bcp-drp-continuidade.md), [0016d](./sdr-0016d-c3-vulnerabilidades-patching.md), [0016f](./sdr-0016f-c3-conformidade-aplicada.md) |

---

## 4. NCs DSIC/GSIPR (catálogo mínimo citado no PPSI)

| ID | Tema | SDR(s) que consomem |
|----|------|---------------------|
| **NC nº 05/IN01/DSIC/GSIPR** | Constituição da ETIR | [0016a](./sdr-0016a-c3-soc-deteccao-resposta.md) |
| **NC nº 08/IN01/DSIC/GSIPR** | Gestão de incidentes de SI | [0016a](./sdr-0016a-c3-soc-deteccao-resposta.md) |
| **NC nº 09/IN01/DSIC/GSIPR** | Criptografia (endpoint, mídia, trânsito, repouso) | [0016f](./sdr-0016f-c3-conformidade-aplicada.md) |
| **NC nº 17/IN01/DSIC/GSIPR** | Capacitação em SI | [0016f](./sdr-0016f-c3-conformidade-aplicada.md) |
| **NC nº 18/IN01/DSIC/GSIPR** | Conscientização em SI | [0016f](./sdr-0016f-c3-conformidade-aplicada.md) |
| **NC nº 21/IN01/DSIC/GSIPR** | Logs de auditoria; gestão de incidentes (complemento) | [0016a](./sdr-0016a-c3-soc-deteccao-resposta.md) |

Fonte textual das citações: `PPSI/relatorio-simples-segmento-1.md` e `PPSI/relatorio-simples-segmento-2.md`.

---

## 5. LACUNA-GSI-DSIC (tema sem norma específica no catálogo acima)

Quando o TR/SDR tratar dos itens abaixo, citar **apenas** padrão de mercado e marcar **LACUNA-GSI-DSIC** no parágrafo:

| Tema | Padrão de mercado (exemplos) | Sub-SDR |
|------|------------------------------|---------|
| *Pentest*, *red team*, *purple team*, ASM | NIST SP 800-115, PTES, OWASP WSTG | [0016e](./sdr-0016e-c3-validacao-ofensiva.md) |
| BAS, validação de detecção | MITRE ATT&CK, D3FENG | [0016e](./sdr-0016e-c3-validacao-ofensiva.md) |
| CVSS, janela de *patch* por classe | NIST SP 800-40 r4, FIRST CVSS | [0016d](./sdr-0016d-c3-vulnerabilidades-patching.md) |
| PAM/JIT/*break-glass* detalhado | NIST SP 800-207, CIS Controls 5–6 | [0016b](./sdr-0016b-c3-iam-pam-identidade.md) |
| EDR/SIEM arquitetura moderna | NIST SP 800-61 r2, CIS Control 8 | [0016a](./sdr-0016a-c3-soc-deteccao-resposta.md) |

---

## 6. Consumidores

Todos os SDRs que citam segurança; entrada principal para agentes: [sdr-0015](./sdr-0015-rastreabilidade-normativa.md), [sdr-0014a](./sdr-0014a-ppsi-mapeamento-trilateral.md), sub-SDRs `sdr-0016a`–`f`.

---

## Ligações

- [sdr-0015-rastreabilidade-normativa.md](./sdr-0015-rastreabilidade-normativa.md)
- [sdr-0014a-ppsi-mapeamento-trilateral.md](./sdr-0014a-ppsi-mapeamento-trilateral.md)

---

## Agentes de conformidade (Cursor)

Os três agentes abaixo aplicam-se à edição e à revisão dos arquivos `SDRs/sdr-*.md` (exceto `SDRs/templates/` e normas em `SDRs/governance/`). Este bloco é **informativo**; use o script na raiz do repositório para diagnóstico estrutural.

| Agente | Regra Cursor | Norma em `SDRs/governance/rules/` |
|--------|----------------|-------------------------------------|
| Verificador de conformidade SDR | [`sdr-conformity-checker.mdc`](../.cursor/rules/sdr-conformity-checker.mdc) | [`sdr-conformity-checker.md`](./governance/rules/sdr-conformity-checker.md) |
| Detector de implementação sem vínculo SDR | [`implementation-without-sdr-detector.mdc`](../.cursor/rules/implementation-without-sdr-detector.mdc) | [`implementation-without-sdr-detector.md`](./governance/rules/implementation-without-sdr-detector.md) |
| Anti-vibecoding sem SDR | [`no-vibecoding-without-sdr.mdc`](../.cursor/rules/no-vibecoding-without-sdr.mdc) | [`no-vibecoding-without-sdr.md`](./governance/rules/no-vibecoding-without-sdr.md) |

**Processo:** [`governance/README.md`](./governance/README.md) · **Rastreabilidade código:** [`traceability.md`](./traceability.md) · **Checagem:** `python scripts/check_sdr_conformity.py` (na raiz do repositório).