ADG 30/2025 ADG - ATO DA DIRETORIA-GERAL
Origem DGER - DIRETORIA-GERAL
Data de Assinatura 21/08/2025
Classificação 1 - ATOS NORMATIVOS


Fonte Data de Publicação Seção Página
Boletim Administrativo do Senado Federal 26/08/2025 1 1
Tipo da Versão Texto da Versão
Original
Com fundamento n(o)(a) APR 10/2020
Com fundamento n(o)(a) ATC 6/2022
Com fundamento n(o)(a) ATC 15/2024

Secretaria de Gestão da Informação e DocumentaçãoArmas_oficios.jpg

 

 

ATO DA DIRETORIA-GERAL Nº 30, DE 2025

 

Institui a Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais (ETIR) do Senado Federal.

 

A DIRETORA-GERAL DO SENADO FEDERAL, no uso de suas atribuições regulamentares e da competência prevista no art. 26 do Ato da Comissão Diretora nº 15, de 2024, que institui a Política Corporativa de Gestão de Incidentes de Segurança da Informação do Senado Federal - PCGIS,

 

CONSIDERANDO o Acórdão nº 1.768/2022 TCU - Plenário, cujo objeto de análise é a gestão de controles críticos de Segurança Cibernética das organizações públicas federais;

 

CONSIDERANDO o Aviso nº 785 - GP/TCU. ACÓRDÃO nº 1768/2022 - TCU - Plenário, que versa sobre monitoramento com vistas a mapear a maturidade das organizações públicas federais quanto à implementação de controles críticos de segurança cibernética, que recomenda ao Senado Federal, com fulcro no art. 11 da Resolução TCU 315/2020: formalizar, junto ao Gabinete de Segurança Institucional da Presidência da República, ato de adesão à Rede Federal de Gestão de Incidentes Cibernéticos, nos termos do § 4º do art. 7º do Decreto nº 10.748, de 2021;

 

CONSIDERANDO a Norma Complementar (NC) nº 05 do Gabinete de Segurança Institucional da Presidência daRepública, de 14 de agosto de 2009, que dispõessobre a criação de equipes de tratamento e resposta a incidentes em redes computacionais - ETIR;

 

CONSIDERANDO a Norma Complementar (NC) nº 08 do Gabinete de Segurança Institucional da Presidência da República, de 19 de agosto de 2010, que dispõe sobre as diretrizes para gerenciamento de incidentes em redes computacionais nos órgãos e entidades da administração pública federal;

 

CONSIDERANDO o Anexo ao Ato da Comissão Diretora nº 5, de 2015, do qual destaca-se o compromisso de preservar a memória do Senado, material e imaterial, garantindo a proteção e transparência devida, nos termos da lei;

 

CONSIDERANDO o Ato da Comissão Diretora Nº 9, de 2017, que institui a Política Corporativa de Segurança da Informação do Senado Federal (PCSI), cujo objetivo é estabelecer princípios, diretrizes estratégicas, responsabilidades, competências e subsídios para a implantação do sistema de gestão de segurança da informação, a fim de viabilizar e assegurar a disponibilidade, a integridade, a autenticidade e a confidencialidade das informações recebidas, produzidas, processadas, armazenadas e transmitidas pelo Senado Federal;

 

CONSIDERANDO o Ato da Presidência do Senado nº 10, de 2020, que dispõe sobrea Política Institucional de Proteção de Dados Pessoais;

 

CONSIDERANDO o Ato da Comissão Diretora nº 6, de 2022, que dispõe sobre a Política de Preservação Digital de Documentos do Senado Federal (PPDD) e estabelece princípios dentre os quais se destaca a "Integridade e confiabilidade das informações custodiadas, de modo agarantir a segurança dos documentos e evitar a corrupção e perda de dados";

 

CONSIDERANDO o Ato da Comissão Diretora nº 15, de 2024, que institui a Política Corporativa de Gestão de Incidentes de Segurança da Informação do Senado Federal - PCGIS, RESOLVE:

 

Art. 1º Instituir, regulamentar e disciplinar o funcionamento da Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais (ETIR).

 

Art. 2º O objetivo da ETIR do Senado Federal é planejar, coordenar e executar atividades de tratamento e resposta a incidentes em redes computacionais, preservando os ativos informacionais e de infraestrutura do Senado Federal.

 

Art. 3º São serviços prestados pela ETIR:

 

I - recepção de qualquer evento adverso à segurança da informação, confirmado ou sob suspeita, relacionado às redes de computadores, análise, priorização e ativação dos procedimentos adequados ao tratamento e à mitigação dos riscos, bem como iniciação do processo de notificação, às partes interessadas, nos termos dos dispositivos legais e normativos internos;

 

II - manutenção de registros de incidentes de segurança em redes de computadores, com a finalidade de assegurar registro histórico das atividades, promoção de melhoria de processos e garantia de evidências de conformidade das atividades da ETIR;

 

III - tratamento de artefatos maliciosos - recebimento de informações ou da cópia do artefato malicioso utilizado em ataque ou em qualquer outra atividade desautorizada ou maliciosa, devendo, uma vez recebido, ser analisado quanto à sua natureza, mecanismo, versão e objetivo, a fim de que se possa desenvolver, ou ao menos sugerir, uma estratégia de detecção, remoção e defesa contra tais artefatos;

 

IV - tratamento de vulnerabilidades - recebimento de informações sobre vulnerabilidades, quer sejam em hardware ou software, objetivando analisar sua natureza, mecanismo e suas consequências e desenvolver estratégias para detecção e correção dessas vulnerabilidades;

 

V - emissão de alertas e advertências - divulgação de alertas ou advertências imediatas, com o objetivo de advertir ou dar orientações sobre como a organização deve agir diante do problema;

 

VI - avaliação de segurança - realização de análise detalhada da infraestrutura de segurança em redes de computadores, bem como de ativos corporativos, com base em requisitos da própria organização ou em melhores práticas de mercado. O serviço pode incluir: revisão da infraestrutura, revisão de processos, varredura da rede e testes de penetração;

 

VII - detecção de intrusão - avaliação do histórico de dispositivos que detectam as tentativas de intrusões em redes de computadores, com vistas a identificar e iniciar os procedimentos de resposta a incidentes de segurança em redes de computadores, com base em eventos com características pré-definidas, que possam levar a uma possível intrusão e, ainda, possibilitar o envio de alertas em consonância com padrão de comunicação previamente definido entre a ETIR e o Centro de Tratamento e Resposta a Incidentes de Segurança em Redes de Computadores da Administração Pública Federal (CTIR Gov);

 

Art. 4º Para cumprir os serviços prestados previstos no art. 3º, a ETIR deverá:

 

I - tratar a informação de forma a viabilizar e assegurar disponibilidade, integridade, confidencialidade e autenticidade das informações, observada a legislação em vigor, naquilo que diz respeito ao estabelecimento de graus de sigilo;

 

II - possuir os recursos materiais, tecnológicos e humanos, bem como capacitação suficiente para prestar os serviços oferecidos;

 

III - comunicar a ocorrência de incidentes de segurança em redes de computadores ao Centro de Tratamento de Incidentes de Segurança em Redes de Computadores da Administração Pública Federal (CTIR Gov), conforme procedimentos definidos pelo próprio CTIR Gov;

 

IV - atuar durante o gerenciamento de incidentes de segurança em redes de computadores, quando houver indícios de ilícitos criminais, sem prejuízo do disposto no inciso III, para:

 

a) acionar a Secretaria de Polícia do Senado Federal (SPOL) para a adoção dos procedimentos legais;

 

b) observar os procedimentos para preservação das evidências exigindo consulta às orientações sobre cadeia de custódia, conforme normativos internos;

 

c) priorizar a continuidade dos serviços da ETIR e da missão institucional da organização.

 

Art. 5º O modelo de implementação da ETIR segue o Modelo 1, disposto no item 7.1 da Norma Complementar nº 05/IN01/DSIC/GSIPR.

 

§ 1º A ETIR do Senado Federal será formado por servidores efetivos que, além de suas atribuições regulares, desempenharão as atividades relacionadas ao tratamento e resposta a incidentes em redes computacionais, compatíveis com as competências estabelecidas para o cargo e unidade de trabalho de lotação do servidor.

 

§ 2º As atividades de tratamento e resposta a incidentes em redes computacionais serão organizadas de forma reativa.

 

§ 3º As atividades de tratamento e resposta a incidentes, uma vez iniciadas em decorrência de uma suspeita ou confirmação de incidente, deverão ter prioridade máxima.

 

§ 4º A ETIR funcionará de maneira permanente, multidisciplinar e se reunirá a qualquer tempo, mediante convocação do Agente Responsável conforme definido no art. 7º, sempre que necessário.

 

§ 5º A ETIR pode, a qualquer tempo, acionar fornecedores de soluções corporativas para atuar nas atividades de tratamento de incidentes.

 

§ 6º Os contratos e convênios administrativos, bem como outros ajustes congêneres em vigor, deverão ser avaliados com objetivo de aditamento para a inclusão do disposto no § 5º, em caso de concordância dos pactuantes.

 

§ 7º Os membros da ETIR desempenharão suas funções sem percepção de qualquer adicional ou gratificação.

 

Art. 6º A ETIR é composta por 15 (quinze) membros, indicados pelos titulares das respectivas unidades e designados por Portaria da Diretoria-Geral, nos seguintes quantitativos:

 

I - 12 (doze) representantes da Secretaria de Tecnologia da Informação (Prodasen), sendo:

 

a) 5 (cinco) da Coordenação de Infraestrutura de Tecnologia da Informação (COINTI);

 

b) 2 (dois) da Coordenação de Soluções de Tecnologia da Informação Corporativa (COSTIC);

 

c) 1 (um) da Coordenação de Informática Legislativa e Parlamentar (COLEP);

 

d) 3 (três) do Núcleo de Segurança da Informação em Tecnologia da Informação (NSITI);

 

e) 1 (um) da Núcleo de Qualidade e Padronização de Processos e Produtos deSoftware (NQPPPS);

 

II - 1 (um) representante da Coordenação de Informação da Secretaria de Gestão da Informação e Documentação (SGIDOC);

 

III - 1 (um) representante da Secretaria de Comunicação Social (SECOM);

 

IV - 1 (um) representante da Coordenação de Tecnologia da Informação (COTIN) do Instituto Legislativo Brasileiro (ILB).

 

Parágrafo único. Para cada membro titular haverá um suplente.

 

Art. 7º Para fins deste Ato, o Agente Responsável é o titular do NSITI.

 

Parágrafo único. São atribuições do Agente Responsável:

 

I - criar os procedimentos internos, distribuir, gerenciar e acompanhar as atividades da ETIR;

 

II - chefiar e gerenciar a ETIR;

 

III - convocar a ETIR.

 

Art. 8º A ETIR tem autonomia compartilhada, conforme definido no item 9.2 da Norma Complementar nº 05/IN01/DSIC/GSIPR, e as decisões técnicas, as recomendações e os respectivos impactos serão participados aos membros do processo decisório do Senado Federal, nos termos deste Ato, com fins de tomada de decisão em caráter definitivo.

 

§ 1º São membros do processo decisório, na medida de suas responsabilidades regimentais:

 

I - Diretor do Prodasen;

 

II - Coordenador-Geral do Prodasen;

 

III - Diretor-Executivo de Gestão;

 

IV - Diretor-Geral;

 

§ 2º É facultada a participação de 2 (dois) representantes do Comitê de Segurança da Informação (CSI), desde que não sejam aqueles indicados nos incisos I a IV do §1º deste artigo.

 

§ 3º Fica o Diretor do Prodasen responsável por realizar a comunicação com o CTIR Gov.

 

Art. 9º A troca de informações e a forma de comunicação acontecerão:

 

I - por meio de formulário próprio disponível na Intranet do Senado Federal ou pormeio do endereço etir@senado.leg.br, quando da notificação de um incidente ou possível incidente à ETIR

 

II - por meio de e-mail, software Microsoft Teams, documentos oficiais, reuniões presenciais, WhatsApp ou outro meio que permita registro e compartilhamento dos acontecimentos, quando da triagem inicial dos eventos e incidentes de Segurança da Informação ou de Segurança Cibernética ou, após a triagem, quando do tratamento de um incidente já materializado.

 

Art. 10. A ETIR deverá guiar-se por padrões e procedimentos técnicos e normativos no contexto de tratamento de incidentes de segurança de redes orientados pelo CTIR Gov, por recomendações e orientações do Tribunal de Contas da União (TCU) e por melhores práticas de mercado, desde que não conflitem com dispositivos normativos e legais.

 

Art. 11. As informações às quais a ETIR tenha acesso em decorrência de suas atividades devem ser tratadas em conformidade com a Lei nº 13.709, de 14 de agosto de 2019 (Lei Geral de Proteção de dados - LGPD), com a Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação - LAI), em consonância com o Ato da Comissão Diretora nº 6, de 2017, que aprova o Manual de Transparência e Classificação de Informações do Senado Federal, e com o Ato da Comissão Diretora nº 15, de 2024, que institui a Política Corporativa de Gestão de Incidentes de Segurança da Informação do Senado Federal - PCGIS e com o Ato do Presidente nº 10, de 2020, que dispõe sobre a Política Institucional de Proteção de Dados Pessoais do Senado Federal, sem prejuízo de demais normativos e dispositivos legais atinentes ao tratamento da informação.

 

Art. 12. Este Ato entra em vigor na data de sua publicação.

 

Senado Federal, 21 de agosto de 2025. Ilana Trombka, Diretora-Geral.

 

Publicado:

- Boletim Administrativo do Senado Federal, nº 9908, seção 1, de 26 de agosto de 2025, p. 1.

traco.jpg