Ambientes lógicos (ciclo de vida)
O contrato de Segurança (C3-SEC) projeta postura, controles e capacidade de resposta sobre as mesmas faixas operadas pelo C2-OPR — desenvolvimento, homologação, pré-produção (quando houver) e produção — com reforço explícito em produção e em conjuntos de dados sensíveis. A matriz de risco, exceções e o que pode existir só em ambientes inferiores são definidos pela Administração com apoio do C1-GOV.
- Desenvolvimento e laboratórios — controles mínimos de segregação, identidade e código (ex.: revisão de PR, scan SAST/SCA), sem dados produtivos sensíveis.
- Homologação — controles equivalentes a produção em camadas críticas (autenticação, criptografia, registro), com dados anonimizados ou sintéticos, salvo exceção documentada.
- Pré-produção, quando houver — espelho de postura de produção, base para validação de mudanças sensíveis e ensaios de resposta.
- Produção — máxima exigência de hardening, IAM, monitoração, retenção de log, backup testado, RTO/RPO acordados.
A execução, mudança e disponibilidade desses ambientes ficam em Operação (C2-OPR); o C3-SEC estabelece o que precisa estar verdadeiro e como se prova que está. Medição e fiscalização: Governança (C1-GOV).
Camadas do serviço de Segurança (C3-SEC) e modelo operativo
O contrato de Segurança (C3-SEC) não se organiza em níveis de chamado N1, N2 e N3 como a Operação. Estrutura-se em camadas funcionais que se sobrepõem e se reforçam, de modo a entregar três resultados verificáveis: reduzir superfície, detetar rápido e responder bem. Cada camada tem dono no fornecedor C3-SEC, fronteira clara com o C2-OPR (que executa o que é mudança operacional) e evidência exigida pelo C1-GOV.
Camadas funcionais
| Camada | Foco | O que entrega (exemplos) |
|---|---|---|
| Postura e arquitetura de segurança | Definir o que precisa estar verdadeiro | Políticas, baselines, security architecture review, padrões de criptografia e segregação, requisitos para mudança e novo serviço. |
| Proteção e hardening | Reduzir superfície e bloquear classes de ataque | EDR, WAF, segmentação, IAM/PAM, MFA, gestão de segredos, criptografia em trânsito e em repouso, regras Cloudflare, controles de AppSec. |
| Deteção e SOC | Ver o que está acontecendo | SIEM com casos de uso vivos, ingestão de logs, regras de correlação, monitoração 24/7, threat intel, threat hunting, qualidade de alerta. |
| Resposta (ETIR + SOC) | Conter, erradicar, recuperar e aprender | Playbooks, plantão (on-call), forensics, contenção, erradicação, recuperação coordenada com C2-OPR, RPI (relatório pós-incidente) e melhoria; articulação com ETIR institucional e canais CTIR Gov / CISC Gov.br quando aplicável. |
| Validação ofensiva | Provar que o controle funciona | Vulnerability management, pentest, red/purple team, attack surface management, validação contínua de hipóteses de detecção. |
| Continuidade (BCP/DRP) | Sobreviver a evento e voltar ao normal | Backup, restauração com evidência, testes de DR, RTO/RPO por serviço crítico, runbooks de retorno. |
| Conformidade aplicada | Honrar marcos legais e setoriais | PPSI, LGPD, retenção de log, trilhas de auditoria, conscientização e simulação de phishing, apoio a DPO/CISO. |
As camadas C3-SEC não substituem o RACI nem o OLA interno do fornecedor; alinham-se ao catálogo de serviço e às filas no ITSM, com indicadores em C1-GOV.
Modelo operativo do C3-SEC
O SOC é o ponto onde o C3-SEC enxerga e age sobre o ambiente em tempo real. Pode adotar:
- Centralizado 24/7 — turnos próprios, SIEM consolidado, primeira leitura por analista L1 do SOC e escalonamento interno L2/L3 (camadas distintas dos N1/N2/N3 do C2-OPR).
- Hub e spoke — núcleo SOC central com células regionais para resposta presencial em datacenter, sala segura ou perímetro físico.
- Follow-the-sun — equipes em fusos diferentes mantendo continuidade do turno; o canal único e a custódia da fila de incidentes não podem se quebrar entre passagens.
O NOC (alarmes operacionais) permanece em C2-OPR e troca handover com o SOC quando o sintoma indica evento de segurança. A ETIR (equipe institucional de resposta) e o SOC do fornecedor C3-SEC articulam a resposta; comunicações externas e coordenação setorial seguem a matriz do órgão, incluindo referências nominais a CTIR Gov e CISC Gov.br quando couber. O C2-OPR executa bloqueio, isolamento e restauração técnica orientados pelo C3-SEC.
Requisitos que o TR e o ANS devem explicitar
- Cobertura do SOC e tempos máximos de primeiro reconhecimento, contenção e comunicação à Administração, por severidade — parâmetros numéricos no SDR-0016 e no ANS.
- RTO e RPO por serviço crítico, com testes obrigatórios e evidência de restore bem-sucedido (não basta política; tem que provar).
- Janela e regra de patch por classe de vulnerabilidade (crítica, alta, média), com priorização em C3-SEC e execução em C2-OPR.
- IAM/PAM: MFA obrigatório, JIT/JEA quando aplicável, break-glass auditado, rotação e revogação de credencial, ciclo joiner/mover/leaver.
- Idioma, canal e evidência de incidente no ITSM — o C1-GOV exige consultabilidade para IMR e fiscalização.
- Confidencialidade e segregação entre fornecedores — o operador de C2-OPR não pode também auditar o próprio trabalho dentro do C3-SEC (vedação do SDR-0001).
Presencial, remoto e teletrabalho
Boa parte do C3-SEC é remoto por natureza (SOC, SIEM, threat hunting, validação ofensiva). Há, porém, momentos presenciais incontornáveis: forensics em estação ou servidor físico, intervenção em sala segura, repasse a auditoria e exercícios conjuntos com a Administração e o C2-OPR. Teletrabalho pode ser a forma como o fornecedor organiza turnos e plantões, desde que haja controle de jornada acordado, confidencialidade reforçada (postos com MDM/UEM e criptografia, integrados ao C2-OPR), substituição de plantonista e canal único de incidente.
Vale a mesma regra do C2-OPR: sem buracos de responsabilidade entre presencial, remoto e teletrabalho. Sempre há um titular do turno, com nome, contato e registro no ITSM.
Trilateralidade C1-GOV ↔ C2-OPR ↔ C3-SEC — quem cobra o quê (visão C3-SEC)
A maturidade do serviço vem de três contratos que se cobram mutuamente, sem subordinação operacional entre fornecedores. O C1-GOV mede e cobra evidência; o C2-OPR opera e mantém disponibilidade; o C3-SEC protege, deteta e responde. Cada um tem visibilidade sobre o trabalho do outro no que lhe compete, e a Administração arbitra.
Texto canônico (matriz de cobranças mútuas, listas completas, vedação de duplo papel): Governança — Trilateralidade · SDR-0011c · norma de arquitetura: SDR-0001 · trava trilateral: SDR-0005.
Abaixo apenas o recorte específico do C3-SEC — o que ele cobra do C2-OPR e o que recebe de cobrança do C2-OPR; a matriz central e a visão governance-centric vivem em Governança.
O que C3-SEC cobra de C2-OPR
- Aplicação de patches e baselines no prazo definido por classe de risco; sem postergar sem aceite formal.
- Hardening efetivo (SO, banco, rede, aplicação) e ausência de configuration drift em produção.
- Segregação e gestão de acessos privilegiados (PAM) coerentes com o desenho do C3-SEC, sem contas compartilhadas ou bypass.
- Backup testado com evidência de restore dentro do RTO/RPO; sem "backup que ninguém testou".
- Logs íntegros e enviados ao SIEM no formato e no relógio acordados; sem lacuna silenciosa.
- Mudança comunicada ao C3-SEC antes de afetar produção; janela respeitada; rollback documentado.
O que C2-OPR cobra de C3-SEC
- SLA do SOC: tempo de primeiro reconhecimento, qualidade de triagem, redução de falso positivo que sobrecarrega filas operacionais.
- Playbook usável: instruções claras para que o C2-OPR execute o bloqueio sem improviso e sem risco de quebrar produção legítima.
- Liberação de regras (WAF, EDR, firewall) quando o impacto operacional for desproporcional ao risco residual.
- Devolução de credencial PAM e break-glass em tempo hábil, para que o C2-OPR não fique impedido de operar.
- RPI no prazo, com causa raiz e ações que o C2-OPR consiga implementar, sem ficção técnica.
- Calendário de DR e exercícios compatível com janelas operacionais e ciclos de negócio.
Vedação de duplo papel
O fornecedor que opera o C2-OPR não pode ser o mesmo que monitora, audita ou avalia o próprio trabalho dentro do C3-SEC, e vice-versa. Isso vale para serviços compartilhados (SIEM, ITSM, CMDB), regras de mudança e leitura de log: o desenho lógico admite acesso de leitura cruzada, mas quem decide a aceitação de risco ou a glosa não é o avaliado. A regra está no SDR-0001 e é controlada operacionalmente pelo C1-GOV em conjunto com a Administração.
PPSI, normas GSI/PR (DSIC) e sub-SDRs do C3-SEC
O PPSI do órgão é a base central de referência para medir aderência e desenhar o TR/ANS. As Instruções Normativas do GSI/PR (ex.: IN nº 1/2020 e IN nº 3/2021) e as Normas Complementares da DSIC completam o arcabouço quando existirem e forem aplicáveis ao escopo. Onde não houver NC aplicável, o contrato deve declarar explicitamente a LACUNA-GSI-DSIC e compensar com requisitos mensuráveis (ver SDR-0015a).
Ordem de citação sugerida no TR/ANS: (1) PPSI medido no período; (2) IN/NC GSI/DSIC aplicáveis; (3) boas práticas de mercado (NIST, CIS, ISO 27001, etc.) como reforço, não como substituto do item anterior.
Mapa PPSI × três contratos (C1-GOV/C2-OPR/C3-SEC): SDR-0014a · pirâmide normativa e catálogo de IN/NC: SDR-0015a · hub C3-SEC: SDR-0016.
Sub-SDRs por tema (C3-SEC)
| Tema | SDR | Abrir no site |
|---|---|---|
| SOC, detecção, resposta, ETIR, CTIR Gov, CISC Gov.br, RPI | sdr-0016a | visualizar |
| IAM, PAM, MFA, JIT/JEA | sdr-0016b | visualizar |
| BCP/DRP, backup, RTO/RPO | sdr-0016c | visualizar |
| Vulnerabilidades, patching, validação pós-patch | sdr-0016d | visualizar |
| Validação ofensiva (pentest, red/purple, ASM, BAS) | sdr-0016e | visualizar |
| Conformidade aplicada (PPSI/LGPD, retenção, criptografia) | sdr-0016f | visualizar |
Regras mínimas do TR — Segurança (C3-SEC)
As regras abaixo materializam exigências do Termo de Referência e do ANS para o contrato de Segurança. A base de contagem e os parâmetros numéricos (cobertura, severidades, tempos, RTO/RPO, retenção) ficam no SDR-0016 e são herdados pelo ANS; o TR fecha categoria, severidade e cláusula. Aqui fixa-se a estrutura mínima que o TR precisa exigir, em paralelo às regras de capacidade do C2-OPR.
SOC e cobertura de monitoração
O SOC é operado em estrutura própria do fornecedor C3-SEC, com turno contínuo 24/7 para detecção e primeiro reconhecimento de evento de segurança. Deve trazer:
- SIEM com regras documentadas, base de casos de uso vivos, tuning periódico e métricas de qualidade (volume, falso positivo, tempo de triagem).
- Fontes de log mínimas: identidade, EDR, rede de borda, WAF, servidores e aplicações críticas — com pacto de relógio (NTP), formato e retenção.
- Threat intel aplicada: ingestão de IOCs e TTPs relevantes, com regras vivas e descarte do que não agrega.
- Threat hunting programado, com hipótese, escopo, achados e itens de melhoria do detector.
- Handover ao C2-OPR sempre que houver execução em servidor, rede ou aplicação fora do escopo direto do C3-SEC, com instrução clara e custódia da evidência.
IAM e identidades privilegiadas (PAM)
- MFA obrigatório em todo acesso privilegiado, remoto e em painel de plataforma.
- JIT/JEA (just-in-time / just-enough-access) para administração, com janela mínima e aprovação explícita.
- Break-glass documentado, auditado em tempo real, revisado a cada uso.
- Ciclo joiner/mover/leaver com SLA — desligamento revogado em prazo curto e auditável.
- Inventário vivo de contas de serviço; segredos rotacionados; sem credencial em código ou em wiki.
Backup, restore e continuidade
- Política não basta — o que conta é evidência de restore bem-sucedido dentro do RTO/RPO, em ciclo definido pelo SDR-0016/ANS.
- Backup imutável ou com proteção contra ransomware (3-2-1-1-0 ou equivalente, conforme TR).
- DR testado: cenário, escopo, cronograma, indicadores e relatório no ITSM.
- Runbooks de retorno com nome de responsável e dependências de C2-OPR (rede, banco, aplicação).
Vulnerabilidades e patching
- Inventário alinhado ao CMDB de C2-OPR; sem ativo "fantasma" fora do alcance do C3-SEC.
- Priorização por risco em C3-SEC (CVSS + contexto + exposição); execução em C2-OPR dentro da janela contratada.
- Janela e prazo por classe (crítica, alta, média) no SDR-0016; vencimentos sob risco aceito formalmente pela Administração.
- Validação pós-patch em amostra; reabertura quando a vulnerabilidade persistir.
Resposta a incidente (ETIR, SOC, CSIRT/IR)
- Playbook por classe (phishing, conta comprometida, malware em endpoint, ransomware, exfiltração, abuso interno, exposição em nuvem, etc.).
- Linha do tempo viva no ITSM, com pessoas nomeadas e decisões registradas.
- Preservação de evidência conforme cadeia de custódia, mesmo quando o tempo aperta a restauração.
- RPI (relatório pós-incidente) em prazo; ações de melhoria com responsável e prazo, acompanhadas pelo C1-GOV.
- Comunicação à Administração e a partes interessadas conforme a matriz, sem improviso.
Validação ofensiva
- Vulnerability management contínuo (scan autenticado e externo); pentest periódico; red/purple team em ciclos definidos.
- Attack surface management: visão da exposição externa real, com follow-up em C2-OPR quando exigir mudança.
- Validação de detecção (BAS ou exercícios) para que o SOC não confie em alerta que nunca foi posto à prova.
Conformidade aplicada (PPSI, LGPD, conscientização)
- PPSI/LGPD: o C3-SEC apoia o desenho de controle, registro de tratamento e respostas a incidente com dados pessoais — norma em SDR-0014.
- Conscientização: campanhas, simulação de phishing, métricas de exposição comportamental, sem virar teatro.
- Trilhas de auditoria íntegras, em retenção compatível com o marco aplicável.
Fonte normativa (SDR): texto canônico entre os arquivos sdr-*.md — visualizar em HTML · baixar sdr-0016-seguranca-c3-continuidades.md · índice no planejamento da contratação.
Domínios de infraestrutura — Segurança (C3-SEC)
A coluna de Operação (C2-OPR) cobre execução, mudança e disponibilidade na mesma matriz; aqui está o que o C3-SEC garante e valida em cada domínio, para todas as faixas do escopo do contrato.
| Domínio | Segurança (C3-SEC) |
|---|---|
| Nuvem | Postura (CSPM), exposição de identidade e dado, segregação de conta, validação de configuração crítica, regras compartilhadas com C2-OPR nas mudanças. |
| Cloudflare | WAF, regras de bot, mitigação DDoS, política de cache para conteúdo sensível, certificados, integração com SIEM e revisão periódica de regra. |
| Endpoints | EDR, criptografia de disco, conformidade de postura, DLP onde couber, isolamento e resposta orquestrada com C2-OPR. |
| Redes | Coleta de logs (firewall, SD-WAN, AP), segmentação lógica, detecção de tráfego suspeito, validação de regras pós-mudança do C2-OPR. |
| Servidores e aplicações | Hardening, gestão de vulnerabilidade, AppSec (SAST/DAST/SCA), revisão de mudança sensível, custódia de log de aplicação. |
Disciplinas transversais (ênfase em C3-SEC)
Impressão
Postura de acesso, autenticação no equipamento, criptografia de fila e trilha de auditoria; execução e suporte ficam em C2-OPR, validação em C3-SEC, medição em C1-GOV.
MDM/UEM
O C3-SEC define a postura mínima do dispositivo (criptografia, conformidade, EDR ativo); o C2-OPR opera o ciclo do parque; o C1-GOV mede aderência por equipamento e perfil.
Patch management
Priorização e validação por risco em C3-SEC; execução em janela em C2-OPR; SLA por classe medido em C1-GOV, com glosa quando vencer sem aceite formal.
Self-service
Padrões de segurança nos fluxos automatizados (identidade, aprovação, evidência); catálogo e métricas em C1-GOV; execução em C2-OPR com revisão de C3-SEC antes de ir a produção.
Condição "Sob ataque"
Quando há ataque em curso (ou suspeita fundamentada), a sequência de prioridades não muda; o que muda é o ritmo e a clareza dos papéis trilaterais.
- Conter o ataque — bloqueio na borda, isolamento de host, rotação de credencial, interrupção de fluxo.
- Preservar evidências — imagem, log, dump de memória, cópia de artefato; cadeia de custódia ativa.
- Restaurar serviços críticos — pelo runbook, dentro do RTO/RPO; sem recriar o vetor.
- Reduzir superfície de exposição — fechar a porta usada, revisar configuração análoga em outros ativos.
- Comunicar e registrar decisões — Administração informada, partes interessadas no fluxo certo, linha do tempo no ITSM.
- Pós-incidente — RPI assinado, ações de melhoria com prazo, fechamento controlado pelo C1-GOV.
RACI mínimo durante ataque
| Atividade | C3-SEC (Segurança) | C2-OPR (Operação) | C1-GOV (Governança) | Administração |
|---|---|---|---|---|
| Diagnóstico, triagem e estratégia de resposta | R/A | C | I | I |
| Bloqueio em borda, EDR, IAM, firewall | A | R | I | I |
| Restauração técnica de serviço | C | R/A | I | I |
| Comunicação institucional | C | C | R | A |
| Aceite de risco e exceção | C | C | R | A |
| Linha do tempo, evidência e ateste de tempos | C | C | R/A | I |
| RPI, causa raiz e melhoria | R/A | C | R | I |
R responsável (faz) · A autoridade (decide) · C consultado · I informado.
Critério de saída do estado "sob ataque"
- Vetor encerrado e controle compensatório em vigor.
- Serviços críticos restaurados dentro do RTO/RPO ou com risco aceito formal.
- Evidência preservada e RPI protocolado no ITSM.
- Comunicação concluída conforme matriz da Administração.
Referências
- SDR-0016 — regras canônicas de Segurança (C3-SEC): SOC, IAM, backup, continuidade. visualizar em HTML · baixar
- SDR-0016a–f — sub-SDRs por tema (SOC/IR, IAM, BCP/DRP, patching, validação ofensiva, conformidade). Links na secção PPSI, GSI/DSIC e sub-SDRs acima.
- SDR-0014a — mapa PPSI × três contratos. visualizar
- SDR-0015a — catálogo GSI/PR e DSIC; lacuna NC. visualizar
- SDR-0001 — arquitetura dos três contratos (vedação de duplo papel). visualizar
- SDR-0011 — Governança (C1-GOV): medição, ITSM, CMDB e conformidade. visualizar
- SDR-0014 — PPSI, LGPD e conformidade. visualizar
- SDR-0005 — trava trilateral e glosa. visualizar
- SDR-0012 — matriz de riscos. visualizar
- SDR-0006 — Operação (C2-OPR): níveis e capacidade (página irmã). página de Operação
- Documento de referência — Ambientes lógicos · Domínios de infra · Transversais · Sob ataque