Copyright © Dia Oficial 2026 | contato@diaoficial.com

DOU 22/08/2023 - Diário Oficial da União - Brasil 

                            Documento assinado digitalmente conforme MP nº 2.200-2 de 24/08/2001,
que institui a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil.
Este documento pode ser verificado no endereço eletrônico
http://www.in.gov.br/autenticidade.html, pelo código 05152023082200031
31
Nº 160, terça-feira, 22 de agosto de 2023
ISSN 1677-7042
Seção 1
Cabe à equipe central das Forças Singulares e às demais Equipes de Prevenção,
Tratamento e Resposta a Incidentes em Redes (ETIR) vinculadas diretamente à Equipe de
Coordenação Setorial da Defesa (ECS/Def) classificar os incidentes cibernéticos que serão
notificados, de acordo com o previsto nos respectivos Planos de Gestão de Risco.
O incidente cibernético que implique em vazamento de dados pessoais não
isenta as demais atribuições previstas pela Lei Geral de Proteção de Dados (LGPD) a serem
observadas pelas Equipes de Prevenção, Tratamento e Resposta a Incidentes em Redes
(ETIR) envolvidas e pelos Encarregados de Dados dos órgãos.
Caso a instituição do setor Defesa utilize ou receba notificação de incidente
cibernético com outro padrão de classificação, o nível "moderado" poderá ser considerado
por essa instituição como "baixo" ou "médio", a seu critério. Assim como, o nível "crítico"
também se enquadra com a mesma classificação nos padrões que adotam os níveis
"severo" ou "muito alto".
Os incidentes cibernéticos classificados como crítico, alto e médio devem ser
notificados, obrigatoriamente, à Equipe de Coordenação Setorial da Defesa (ECS/Def) para
fins de coordenação e obtenção da consciência situacional.
Os incidentes cibernéticos classificados como de maior impacto, sendo eles
crítico ou alto, além de serem notificados à Equipe de Coordenação Setorial da Defesa
(ECS/Def), obrigatoriamente, devem ser notificados ao Centro de Prevenção, Tratamento e
Resposta a Incidentes Cibernéticos de Governo (CTIR GOV).
Os demais incidentes cibernéticos classificados como moderado ou baixo
poderão ser notificados à Equipe de Coordenação Setorial da Defesa (ECS/Def) e/ou ao
Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR
GOV) à critério das equipes centrais das Forças Singulares e das Equipes de Prevenção,
Tratamento e Resposta a Incidentes em Redes (ETIR) vinculadas diretamente à Equipe de
Coordenação Setorial da Defesa (ECS/Def).
Em qualquer uma das situações, qualquer Equipe de Prevenção, Tratamento e
Resposta a Incidentes em Redes (ETIR) deve notificar, o mais brevemente possível, todos
os envolvidos e afetados pelo incidente cibernético, ainda que fora de sua constituência,
respeitando as normas e leis que protegem informações de segurança de Estado quanto ao
acesso, a divulgação e o tratamento de informação classificada ou sob restrição de acesso,
no âmbito do Ministério da Defesa.
A consciência situacional obtida por intermédio das notificações de incidentes
cibernéticos pode subsidiar o Comando de Defesa Cibernética (ComDCiber) no
assessoramento ao Chefe do Estado-Maior Conjunto das Forças Armadas (EMCFA) sobre
qual nível de alerta cibernético é o mais adequado no âmbito do Sistema Militar de Defesa
Cibernética (SMDC).
1_MD_22_006
Figura 2 - Questões de triagem
9.2 ANÁLISE:
As equipes centrais das Forças Singulares e as demais Equipes de Prevenção,
Tratamento e Resposta a Incidentes em Redes (ETIR) do setor Defesa devem atentar ao
processo de análise, o qual consiste nas atividades listadas abaixo e detalhadas na Figura 3:
a) 
validar
as 
informações
tratadas 
na
triagem, 
ratificando-as,
complementando-as ou retificando-as;
b) identificar e avaliar atividades anômalas em relação à linha de base
conhecida;
c) identificar pelo menos uma parte da cadeia de ataque para permitir a
definição das atividades de resposta;
d) complementar e adicionar novos dados a partir da colaboração das
fontes utilizadas na detecção; e
e) incluir todos os dados coletados na documentação sobre o incidente para
viabilizar as ações de pós-incidente.
1_MD_22_007
Figura 3 - Atividades da análise
Na atividade da Colaboração (Figura 3), conforme apresentado na Figura 1, é
obrigatória a comunicação dos incidentes cibernéticos classificados como de maior
impacto, sendo eles crítico ou alto, diretamente ao Centro de Prevenção, Tratamento e
Resposta a Incidentes Cibernéticos de Governo (CTIR GOV) pelas equipes centrais das
Forças Singulares e por todas as demais Equipes de Prevenção, Tratamento e Resposta a
Incidentes em Redes (ETIR) do setor Defesa, com cópia à Equipe de Coordenação Setorial
da Defesa (ECS/Def).
10. PROCESSO DE RESPOSTA A INCIDENTES CIBERNÉTICOS
O processo de resposta a incidentes consiste nas atividades de contenção,
erradicação e recuperação, sendo executado pelas equipes centrais da Forças Singulares e
demais Equipes de Prevenção, Tratamento e Resposta a Incidentes em Redes (ETIR) do
setor Defesa - com autonomia para exercer a coordenação na resposta de incidente
cibernético ocorrido na sua constituência. Cabe à Equipe de Coordenação Setorial da
Defesa (ECS/Def) o acompanhamento e a coordenação entre as equipes centrais e as
Equipes de Prevenção, Tratamento e Resposta a Incidentes em Redes (ETIR) do setor
Defesa, além da articulação com o Centro de Prevenção, Tratamento e Resposta a
Incidentes Cibernéticos de Governo (CTIR GOV), para fins de notificação e de obtenção da
consciência situacional da Rede Federal de Gestão de Incidentes Cibernéticos (ReGIC).
As ações de contenção, erradicação e recuperação devem constar do plano de
continuidade de negócios em segurança da informação² e devem ser baseadas nos
seguintes critérios:
a) criticidade dos ativos afetados;
b) tipo e gravidade do incidente;
c) necessidade de preservar a evidência;
d) importância de quaisquer sistemas afetados para processos de negócio
críticos; e
e) recursos necessários para implementar a estratégia.
A Equipe de Prevenção, Tratamento e Resposta a Incidentes em Redes (ETIR)
deverá encaminhar, tempestivamente, em função do tipo e do impacto, os dados relativos
ao incidente cibernético para o gestor de segurança da informação, os quais deverão ser
analisados em conjunto com a área jurídica do órgão ou da entidade, de forma que sejam
adotadas as medidas legais, administrativas e cíveis cabíveis, incluindo a comunicação com
as autoridades policiais competentes.
Havendo exfiltração de dados pessoais, o encarregado de dados pessoais do
órgão ou da entidade deverá informar à Autoridade Nacional de Proteção de Dados (ANPD)
de acordo com os procedimentos previstos em legislação, normativos e orientações.

Fechar