Fonte: SDRs/sdr-0015a-catalogo-gsi-dsic.md
SDR — Catálogo GSI/PR e NCs DSIC/GSIPR (referência para contratação)
Eixo:
Arquitetura Contratual(Modelo de Servicos | Arquitetura Contratual | Ambos)
| Campo | Valor |
|---|---|
| Pai | sdr-0015-rastreabilidade-normativa.md |
| SSoT | Sim — dono do catálogo de instrumentos GSI/PR + NCs DSIC/GSIPR citados no PPSI do projeto |
| Estado | âncora; cópia local de normas: placeholder processo-contratacao/01_referencias_normativas/gsi-dsic/ (criar em rodada futura) |
1. Finalidade
Listar os instrumentos de governo de segurança da informação que o PPSI do repositório já cita literalmente, com vínculo aos SDRs que materializam o requisito no modelo C1/C2/C3. Separar o que tem base em GSI/DSIC do que é LACUNA-GSI-DSIC (só padrão de mercado).
2. Pirâmide normativa (ordem de citação recomendada)
- PPSI (medida e segmento) — base central; mapa em sdr-0014a.
- IN GSI/PR (capítulo/artigo quando couber).
- NC DSIC/GSIPR (número completo).
- Padrão de mercado (NIST, ISO, CIS, MITRE, OWASP, etc.) — depois dos itens 1–3.
3. IN GSI/PR (catálogo mínimo do projeto)
| ID | Ementa (resumo) | Capítulo / artigo (âncora lógica) | SDR(s) que consomem |
|---|---|---|---|
| IN GSI/PR nº 1/2020 | Gestor de SI (art. 19); Comitê de SI (art. 20); ETIR | arts. 19–20 e correlatos | 0016a, 0014a |
| IN GSI/PR nº 3/2021 | Inventário (Cap. II); riscos (Cap. III); continuidade (Cap. IV); mudança (Cap. V); conformidade (Cap. VI); PGSI (art. 45) | Caps. II–VI; art. 45 | 0006, 0011, 0016c, 0016d, 0016f |
4. NCs DSIC/GSIPR (catálogo mínimo citado no PPSI)
| ID | Tema | SDR(s) que consomem |
|---|---|---|
| NC nº 05/IN01/DSIC/GSIPR | Constituição da ETIR | 0016a |
| NC nº 08/IN01/DSIC/GSIPR | Gestão de incidentes de SI | 0016a |
| NC nº 09/IN01/DSIC/GSIPR | Criptografia (endpoint, mídia, trânsito, repouso) | 0016f |
| NC nº 17/IN01/DSIC/GSIPR | Capacitação em SI | 0016f |
| NC nº 18/IN01/DSIC/GSIPR | Conscientização em SI | 0016f |
| NC nº 21/IN01/DSIC/GSIPR | Logs de auditoria; gestão de incidentes (complemento) | 0016a |
Fonte textual das citações: PPSI/relatorio-simples-segmento-1.md e PPSI/relatorio-simples-segmento-2.md.
5. LACUNA-GSI-DSIC (tema sem norma específica no catálogo acima)
Quando o TR/SDR tratar dos itens abaixo, citar apenas padrão de mercado e marcar LACUNA-GSI-DSIC no parágrafo:
| Tema | Padrão de mercado (exemplos) | Sub-SDR |
|---|---|---|
| Pentest, red team, purple team, ASM | NIST SP 800-115, PTES, OWASP WSTG | 0016e |
| BAS, validação de detecção | MITRE ATT&CK, D3FENG | 0016e |
| CVSS, janela de patch por classe | NIST SP 800-40 r4, FIRST CVSS | 0016d |
| PAM/JIT/break-glass detalhado | NIST SP 800-207, CIS Controls 5–6 | 0016b |
| EDR/SIEM arquitetura moderna | NIST SP 800-61 r2, CIS Control 8 | 0016a |
6. Consumidores
Todos os SDRs que citam segurança; entrada principal para agentes: sdr-0015, sdr-0014a, sub-SDRs sdr-0016a–f.
Ligações
Agentes de conformidade (Cursor)
Os três agentes abaixo aplicam-se à edição e à revisão dos arquivos SDRs/sdr-*.md (exceto SDRs/templates/ e normas em SDRs/governance/). Este bloco é informativo; use o script na raiz do repositório para diagnóstico estrutural.
| Agente | Regra Cursor | Norma em SDRs/governance/rules/ |
|---|---|---|
| Verificador de conformidade SDR | sdr-conformity-checker.mdc |
sdr-conformity-checker.md |
| Detector de implementação sem vínculo SDR | implementation-without-sdr-detector.mdc |
implementation-without-sdr-detector.md |
| Anti-vibecoding sem SDR | no-vibecoding-without-sdr.mdc |
no-vibecoding-without-sdr.md |
Processo: governance/README.md · Rastreabilidade código: traceability.md · Checagem: python scripts/check_sdr_conformity.py (na raiz do repositório).