Fonte: SDRs/sdr-0016-seguranca-c3-continuidades.md
SDR — Segurança (C3): SOC, IAM, backup e continuidade
Eixo:
Modelo de Servicos(Modelo de Servicos | Arquitetura Contratual | Ambos)
| Campo | Valor |
|---|---|
| SSoT | Sim — dono das regras construtíveis do contrato C3 |
| Estado | âncora; site consumidor em arquitetura-contratual/site/seguranca.html |
1. Finalidade
Definir o C3 como contrato de proteção, deteção, resposta a incidentes, IAM, backup, recuperação e continuidade, sem assumir a operação ordinária do C2. Estabelece, ainda, como C1, C2 e C3 se cobram mutuamente para garantir um serviço maduro: cada um responde pelo que lhe compete e nenhum se mede sozinho.
2. Escopo canônico
- SOC, monitoramento de segurança e triagem de eventos;
- EDR, SIEM, fontes de log, threat intel e threat hunting;
- IAM, identidades privilegiadas (PAM), MFA, JIT/JEA, break-glass;
- backup, restore, RTO/RPO, DR e evidência de recuperação;
- resposta a incidente de segurança e preservação de evidência (articulação com ETIR — equipe institucional; fornecedor C3 opera SOC/CSIRT contratual — ver sdr-0016a);
- validação de controles (vulnerability management, pentest, red/purple team, ASM, BAS);
- apoio a PPSI/LGPD, privacy/security by design e conscientização.
3. Fronteiras (separação C2/C3)
- C3 orienta segurança; C2 executa mudanças operacionais em servidor, rede, banco e aplicação quando estiverem no escopo do C2.
- C3 não decide comunicação institucional, aceite de risco ou prioridade pública — isso cabe à Administração.
- Backup e recuperação devem ter vínculo com CMDB/catálogo e com o serviço crítico.
- O fornecedor que opera o C2 não pode auditar a si mesmo dentro do C3 (vedação herdada do SDR-0001).
- IN GSI/PR nº 1/2020 — contexto institucional: Gestor de SI (art. 19), Comitê de SI (art. 20), ETIR (composição e constituição conforme NC nº 05/IN01/DSIC/GSIPR); comunicação obrigatória com CTIR Gov e CISC Gov.br quando o PPSI assim exigir (ver sdr-0016a).
- IN GSI/PR nº 3/2021 — continuidade (Cap. IV), mudança (Cap. V), conformidade (Cap. VI); detalhamento por recorte: sdr-0016c, sdr-0016d, sdr-0016f.
4. Camadas funcionais do C3
| Camada | Foco | Entrega típica |
|---|---|---|
| Postura e arquitetura | O que precisa estar verdadeiro | Política, baseline, security architecture review, padrões — 0016f (conformidade aplicada) |
| Proteção e hardening | Reduzir superfície | EDR, WAF, segmentação, IAM/PAM, MFA, segredo, criptografia — 0016b |
| Deteção e SOC | Ver o que está acontecendo | SIEM, casos de uso, monitoração 24/7, threat intel/hunting — 0016a |
| Resposta (ETIR + SOC C3) | Conter, erradicar, recuperar, aprender | Playbook, on-call, forensics, RPI — 0016a |
| Validação ofensiva | Provar que o controle funciona | Vuln mgmt, pentest, red/purple, ASM, BAS — 0016d, 0016e |
| Continuidade (BCP/DRP) | Sobreviver a evento | Backup, restore com evidência, teste de DR, RTO/RPO — 0016c |
| Conformidade aplicada | Honrar marcos legais | PPSI, LGPD, retenção, conscientização, auditoria — 0016f |
As camadas C3 são distintas dos níveis N1/N2/N3 do C2 (SDR-0006). O escalonamento interno do SOC (L1/L2/L3) opera dentro do C3; o handover ao C2 ocorre quando a execução fugir do escopo direto do C3.
5. SOC e cobertura (estrutura mínima)
Recorte normativo e PPSI: sdr-0016a.
- Operação 24/7 em estrutura própria do fornecedor C3, com primeiro reconhecimento de evento e escalonamento interno (L1/L2/L3 do SOC).
- SIEM com regras documentadas, base de casos de uso vivos e tuning periódico.
- Fontes de log mínimas: identidade, EDR, rede de borda, WAF, servidores e aplicações críticas, com pacto de relógio (NTP), formato e retenção.
- Threat intel ingerida e aplicada; threat hunting programado com hipótese, escopo, achados e itens de melhoria do detector.
- Handover ao C2 quando a execução fugir do escopo direto do C3, com instrução clara, custódia de evidência e fechamento documentado.
- Tempos de primeiro reconhecimento, contenção e comunicação por severidade — parametrização numérica no TR/ANS (ver §10).
6. IAM e identidades privilegiadas (PAM)
Recorte normativo e PPSI: sdr-0016b.
- MFA obrigatório em acesso privilegiado, remoto e a painel de plataforma.
- JIT/JEA (just-in-time / just-enough-access) para administração, com janela mínima e aprovação explícita.
- Break-glass documentado, auditado em tempo real e revisado a cada uso.
- Ciclo joiner/mover/leaver com SLA — desligamento revogado em prazo curto e auditável.
- Inventário vivo de contas de serviço; segredos rotacionados; sem credencial em código ou em wiki.
7. Backup, restore e continuidade
Recorte normativo e PPSI: sdr-0016c.
- Política não basta. Vale evidência de restore bem-sucedido dentro do RTO/RPO, em ciclo de teste obrigatório.
- Backup imutável ou com proteção contra ransomware (ex.: 3-2-1-1-0, conforme TR).
- DR testado com cenário, escopo, cronograma e indicador; relatório no ITSM.
- Runbooks de retorno com nome de responsável e dependências de C2 (rede, banco, aplicação).
8. Vulnerabilidades e patching
Recorte normativo e PPSI: sdr-0016d.
- Inventário alinhado ao CMDB de C2 (sem ativo "fantasma" fora do alcance do C3).
- Priorização por risco em C3 (CVSS + contexto + exposição); execução em C2 dentro de janela.
- Janela e prazo por classe (crítica, alta, média) — parametrização numérica no TR/ANS (ver §10).
- Validação pós-patch em amostra; reabertura quando a vulnerabilidade persistir.
9. Resposta a incidente de segurança (ETIR + SOC C3; CTIR Gov; CISC Gov.br)
Recorte normativo e PPSI: sdr-0016a. A ETIR é a equipe institucional de prevenção, tratamento e resposta (NC nº 05/IN01/DSIC/GSIPR); o fornecedor C3 opera SOC e resposta contratual em articulação com a ETIR. Notificações e fluxo com CTIR Gov e CISC Gov.br conforme PPSI medidas 17.2 e correlatas.
- Playbook por classe (phishing, conta comprometida, malware em endpoint, ransomware, exfiltração, abuso interno, exposição em nuvem, etc.).
- Linha do tempo viva no ITSM, com pessoas nomeadas e decisões registradas.
- Preservação de evidência com cadeia de custódia, mesmo quando a restauração pressiona.
- RPI (relatório pós-incidente) em prazo, com causa raiz e ações de melhoria; acompanhamento por C1.
- Comunicação à Administração e a partes interessadas conforme matriz; comunicação institucional não é decisão do C3.
10. Parâmetros quantitativos (placeholder — fechar no TR/ANS)
Os números abaixo não são fixados aqui e devem ser parametrizados no instrumento contratual (TR), refletidos no ANS e medidos por C1 conforme SDR-0007. Este SDR fixa estrutura; o TR fixa valor.
| Parâmetro | Onde fixar | Critério mínimo |
|---|---|---|
| Cobertura do SOC | TR + ANS | 24/7, sem janela cega |
| Tempo de primeiro reconhecimento | TR + ANS | Por severidade (P1–P5 ou equivalente) |
| Tempo de contenção e de comunicação | TR + ANS | Por severidade |
| RTO/RPO por serviço crítico | TR + ANS | Vinculado ao catálogo e ao CMDB |
| Janela de patch por classe | TR + ANS | Crítica/alta/média/baixa |
| Periodicidade de teste de restore e de DR | TR + ANS | Anual no mínimo, conforme criticidade |
| Periodicidade de pentest | TR + ANS | Anual no mínimo, conforme exposição |
| Retenção de log por classe | TR + ANS + LGPD | Conforme marco aplicável |
| Métrica de qualidade do SOC | TR + ANS | Falso positivo, tempo de triagem, MTTR |
11. Trilateralidade C1 ↔ C2 ↔ C3 (cobranças mútuas)
| Direção | Exemplo de cobrança |
|---|---|
| C3 → C2 | Patch no prazo; hardening efetivo; PAM íntegro; backup testado; logs íntegros e enviados ao SIEM; mudança comunicada antes |
| C2 → C3 | SLA do SOC; playbook usável; redução de falso positivo; liberação proporcional de regra; devolução de PAM; RPI no prazo |
| C1 → C2 e C3 | Evidência consultável; aderência PPSI/LGPD; coerência entre catálogo e execução; trava trilateral SDR-0005 |
| C2 e C3 → C1 | Decisão da Administração no prazo; congelamento da base CMDB; integridade do ITSM; sem dupla cobrança do mesmo CI |
A vedação central permanece: nenhum fornecedor audita ou mede a si mesmo no mesmo serviço — desenho herdado do SDR-0001.
11.1 RACI mínimo durante "sob ataque"
| Atividade | C3 | C2 | C1 | Administração |
|---|---|---|---|---|
| Diagnóstico, triagem e estratégia de resposta | R/A | C | I | I |
| Bloqueio em borda, EDR, IAM, firewall | A | R | I | I |
| Restauração técnica de serviço | C | R/A | I | I |
| Comunicação institucional | C | C | R | A |
| Aceite de risco e exceção | C | C | R | A |
| Linha do tempo, evidência e ateste de tempos | C | C | R/A | I |
| RPI, causa raiz e melhoria | R/A | C | R | I |
Critério de saída do estado "sob ataque": vetor encerrado e controle compensatório em vigor, serviços críticos restaurados (RTO/RPO) ou risco aceito formal, evidência preservada com RPI no ITSM e comunicação concluída conforme matriz da Administração.
12. Regras para agentes
- Separar "proteger e validar" de "operar infraestrutura".
- Todo controle de segurança deve ter evidência consultável por C1.
- Incidente sob ataque deve ter linha do tempo, responsáveis e RPI.
- Continuidade exige testes, não apenas política declarada.
- Não fixar números canônicos no HTML — estrutura aqui, valor no TR/ANS.
13. Derivação para documentos de contratação (checklist)
| Entregável | O que trazer deste SDR |
|---|---|
| TR / anexos técnicos | Camadas C3, SOC 24/7, IAM/PAM, backup com teste, vuln mgmt, IR, validação ofensiva, conformidade, integração C2 ↔ C3 (logs, mudança), vedação de duplo papel. |
| ETP / justificativa | Risco, parque sensível, criticidade por serviço, base CMDB que será congelada. |
| ANS | Valores de cobertura, severidade, RTO/RPO, janela e retenção, em conjunto com SDR-0007. |
| Matriz de riscos | Cenários de ataque e continuidade, com tratamento e dono — SDR-0012. |
| PPSI/LGPD | Articulação com SDR-0014 para tratamento de dado pessoal e incidente correlato. |
14. Consumidores
- TR C3, ANS, matriz de riscos, site de Segurança, PPSI/LGPD, continuidade e resposta a incidentes.
Ligações
- sdr-0016a-c3-soc-deteccao-resposta.md · sdr-0016b-c3-iam-pam-identidade.md · sdr-0016c-c3-bcp-drp-continuidade.md · sdr-0016d-c3-vulnerabilidades-patching.md · sdr-0016e-c3-validacao-ofensiva.md · sdr-0016f-c3-conformidade-aplicada.md
- sdr-0014a-ppsi-mapeamento-trilateral.md
- sdr-0015a-catalogo-gsi-dsic.md
- sdr-0001-arquitetura-tres-contratos.md
- sdr-0006-operacao-c2-niveis-capacidade.md
- sdr-0011-governanca-c1-medicao.md
- sdr-0014-ppsi-lgpd-conformidade.md
- sdr-0012-matriz-riscos.md
- sdr-0005-trava-e-glosa.md
- sdr-0007-ans-parametros-sla.md
Agentes de conformidade (Cursor)
Os três agentes abaixo aplicam-se à edição e à revisão dos arquivos SDRs/sdr-*.md (exceto SDRs/templates/ e normas em SDRs/governance/). Este bloco é informativo; use o script na raiz do repositório para diagnóstico estrutural.
| Agente | Regra Cursor | Norma em SDRs/governance/rules/ |
|---|---|---|
| Verificador de conformidade SDR | sdr-conformity-checker.mdc |
sdr-conformity-checker.md |
| Detector de implementação sem vínculo SDR | implementation-without-sdr-detector.mdc |
implementation-without-sdr-detector.md |
| Anti-vibecoding sem SDR | no-vibecoding-without-sdr.mdc |
no-vibecoding-without-sdr.md |
Processo: governance/README.md · Rastreabilidade código: traceability.md · Checagem: python scripts/check_sdr_conformity.py (na raiz do repositório).