PORTARIA SE/MTUR Nº 5, DE 24 DE NOVEMBRO DE 2025

Aprova a Política de Defesas contra Malware no âmbito do Ministério do Turismo

A SECRETÁRIA-EXECUTIVA, no uso das atribuições que lhe conferem o art. 6°, III, do Decreto n° 7.579, de 11 de outubro de 2011, e o art. 13, IV, ‘a”, do Anexo I, aprovado pelo Decreto nº 11.416, de 16 de fevereiro de 2023, combinado com o art. 8° da Portaria SGD/MGI n° 852, de 28 de março de 2023, e o que consta do Processo nº 72031.006111/2023-78,

RESOLVE:

Art. 1º Aprovar, na forma dos Anexos desta portaria, a Política de Defesas contra Malware – PDM no âmbito do Ministério do Turismo.

Art. 2º Esta Portaria entra em vigor na data de sua publicação.

ANA CARLA MACHADO LOPES

Este conteúdo não substitui o publicado no Boletim de Serviços, de 25 de novembro de 2025.

ANEXO I

POLÍTICA DE DEFESAS CONTRA MALWARE

CAPÍTULO I

DISPOSIÇÕES GERAIS

Seção I

Do propósito

Art. 1º Esta Portaria tem como objetivos :

I - garantir a proteção adequada, com controles de proteção recomendados, contra malware em todos os ativos de informação do órgão; e

II - garantir a segurança e a continuidade do negócio por meio da adoção de defesas antimalware atualizadas e aplicadas em todos os pontos de entrada e ativos da instituição,.

Parágrafo único. Os ativos de informação do Ministério do Turismo devem ser classificados a fim de permitir a definição de níveis de segurança, mantendo-se registro em base de dados gerenciada de forma centralizada.

Seção II

Do escopo

Art. 2º Esta Portaria se aplica, no que couber:

I - a todos os processos de negócios e dados, sistemas de informação e componentes lógicos do órgão; e

II - a todos os possíveis pontos de entrada e ativos institucionais em que for possível detectar e impedir a propagação, ou controlar a execução, de software ou código malicioso.

CAPÍTULO II

CONCEITOS E DEFINIÇÕES

Art. 3º Os termos utilizados nesta Portaria estão definidos a seguir, conforme Glossário de Segurança da Informação da Presidência da República ou definido pelo órgão, de acordo com informações técnicas correspondentes:

I - ativos de informação: meios de armazenamento, transmissão e processamento da informação, equipamentos necessários a isso, sistemas utilizados para tal, locais onde se encontram esses meios, recursos humanos que a eles têm acesso e conhecimento ou dado que tem valor para um indivíduo ou organização;

II – backup: conjunto de procedimentos que permitem salvaguardar os dados de um sistema computacional, garantindo guarda, proteção e recuperação.;

III - BIOS (Basic Input/Output System): programa essencial que inicializa os componentes do computador e carrega o sistema operacional durante a inicialização, realizando o teste e configuração dos elementos básicos;

IV - cavalo de Tróia: tipo de malware que, além de executar funções para as quais foi aparentemente projetado, também executa outras funções normalmente maliciosas e sem o conhecimento do usuário;

V – exploit: técnicas, programas ou parte de programas maliciosos, projetados para explorar uma vulnerabilidade existente em um programa de computador. Entre os tipos mais comuns de exploits estão o SQL injection, o cross-site scripting, o abuso de configuração de autenticação fraca e o abuso de falhas de configuração de segurança;

VI – firewall: ferramenta para evitar acesso não autorizado, tanto na origem quanto no destino, a uma ou mais redes. Podem ser implementados por meio de hardware ou software, ou por meio de ambos. Cada mensagem que entra ou sai da rede passa pelo firewall, que a examina a fim de determinar se atende ou não os critérios de segurança especificados;

VII – host: dispositivo ou sistema conectado a uma rede que fornece serviços ou informações a outros dispositivos;

VIII - HTTPS Strict Transport Security (HSTS): mecanismo de política de segurança web que ajuda a proteger websites contra os ataques do tipo degradação de protocolo e sequestro de cookies. Ele permite que os servidores web determinem que os browsers (ou outros mecanismos de acesso) devem interagir com eles, utilizando apenas conexões seguras HTTPS. O HSTS é um padrão IETF e está especificado na RFC 6797;

IX – incidente: interrupção não planejada ou redução da qualidade de um serviço, ou seja, ocorrência, ação ou omissão, que tenha permitido, ou possa vir a permitir, acesso não autorizado, interrupção ou mudança nas operações (inclusive pela tomada de controle), destruição, dano, deleção ou mudança da informação protegida, remoção ou limitação de uso da informação protegida ou ainda a apropriação, disseminação e publicação indevida de informação protegida de algum ativo de informação crítico ou de alguma atividade crítica por um período de tempo inferior ao tempo objetivo de recuperação;

X - internet das coisas (IoT): infraestrutura que integra a prestação de serviços de valor adicionado com capacidades de conexão física ou virtual de coisas, com dispositivos baseados em tecnologias da informação existentes e nas suas evoluções, com interoperabilidade, conforme disposto no Decreto nº 9.854, de 25 de junho de 2019, que institui o Plano Nacional de Internet das Coisas;

XI - IPS (Intrusion Prevention System): sistema que monitora e bloqueia atividades maliciosas em tempo real, protegendo a rede contra ataques e intrusões;

XII - IP - sigla de Internet Protocol;

XIII - LOG (REGISTRO DE AUDITORIA): registro de eventos relevantes em um dispositivo ou sistema computacional;

XIV – malware: software malicioso, projetado para infiltrar um sistema computacional, com a intenção de roubar dados ou danificar aplicativos ou o sistema operacional. Esse tipo de software costuma entrar em uma rede por meio de diversas atividades aprovadas pela empresa, como e-mail ou sites. Entre os exemplos de malware estão os vírus, worms, trojans (ou cavalos de Troia), spyware, adware e rootkits;

XV – rootkit: conjunto de programas e de técnicas que permitem esconder e assegurar a presença de um invasor ou de outro código malicioso em um computador comprometido. É importante ressaltar que o nome rootkit não indica que as ferramentas que o compõem são usadas para obter acesso privilegiado em um computador (root ou administrator), mas, sim, para manter o acesso privilegiado em um computador previamente comprometido;

XVI – sandbox: consiste na segregação de um programa (software) em um ambiente isolado para análise, sem afetar o restante do sistema;

XVII - SIEM (Security Information and Event Management): sistema que coleta e analisa dados de segurança em tempo real para identificar e responder a ameaças, centralizando informações de várias fontes para melhorar a gestão de segurança;

XVIII – sniffer: ferramenta que captura e monitora o tráfego de dados em uma rede, podendo ser usada tanto para diagnóstico quanto para interceptação maliciosa de informações;

XIX - sistema de detecção de intrusão (IDS): refere-se a um mecanismo que, sigilosamente, ouve o tráfego na rede para detectar atividades anormais ou suspeitas e, deste modo, reduz os riscos de intrusão. Existem duas famílias distintas de IDS: os N-IDS (network based intrusion detection system ou sistema de detecção de intrusões de rede), que garantem a segurança dentro da rede e os H-IDS (host based intrusion detection system ou sistema de detecção de intrusões no host), que asseguram a segurança no host;

XX – trojan: tipo de malware que, além de executar funções para as quais foi aparentemente projetado, também executa outras funções normalmente maliciosas e sem o conhecimento do usuário;

XXI - transmission control protocol (TCP): protocolo da camada de transporte do modelo TCP/IP, que permite gerenciar os dados originados ou destinados ao protocolo IP. Trata-se de um protocolo orientado à conexão, o qual permite a comunicação entre duas máquinas e o controle do estado da transmissão;

XXII - UDP (User Datagram Protocol): protocolo de transporte que envia dados rapidamente, sem garantir a entrega ou correção de erros, sendo ideal para aplicações que priorizam velocidade, como streaming e jogos online;

XXIII – vírus: seção oculta e autorreplicante de um software de computador, geralmente utilizando lógica maliciosa, que se propaga pela infecção (inserindo uma cópia sua e tornando-se parte) de outro programa. Não é autoexecutável, ou seja, necessita que o seu programa hospedeiro seja executado para se tornar ativo;

XXIV – worm: programa capaz de se propagar automaticamente pelas redes, enviando cópias de si mesmo de computador para computador. Diferente do vírus, o worm não embute cópias de si mesmo em outros programas ou arquivos, e não necessita ser explicitamente executado para se propagar. Sua propagação se dá por meio da exploração de vulnerabilidades existentes ou de falhas na configuração de programas instalados em computadores; e

XXV - .exe - arquivo digital executável.

CAPÍTULO III

REFERÊNCIA LEGAL E DE BOAS PRÁTICAS

Art. 4º Além da necessidade de observância da legislação correlata, são referências legais e de boas práticas a serem observadas nesta Política as constantes no Anexo II desta Portaria.

CAPÍTULO IV

DECLARAÇÕES DA POLÍTICA

Seção I

Das diretrizes e premissas

Art. 5º Esta Portaria seguirá as seguintes diretrizes ou premissas:

I - estar alinhada com a Política de Segurança da Informação do órgão;

II - estar alinhada com uma gestão de continuidade de negócios em nível organizacional;

III - levar em conta as especificidades de cada tipo de malware, podendo considerar procedimentos diferentes para lidar com incidentes de cada categoria, conforme o caso;

IV - o órgão deve empenhar-se em detectar e validar ameaças de malware rapidamente para minimizar o número de ativos de informação expostos e a quantidade de danos que possa vir a sofrer;

V - a PDM deve ser revisada e atualizada regularmente tanto para refletir as mudanças das ameaças e novas tecnologias quanto para garantir que esteja em conformidade com normas e regulamentações vigentes; e

VI - a eficácia e efetividade da PDM devem ser avaliadas continuamente por meio de auditorias e análise de eventuais incidentes.

Seção II

Da papéis e responsabilidades

Art. 6º Cabe à Coordenação-Geral de Tecnologia da Informação – CGTI:

I - estabelecer o responsável por garantir que os ativos da informação conectados à rede estejam devidamente instalados, atualizados e protegidos contra malwares;

II - indicar o responsável por realizar a monitoração dos ativos de informação que não estejam de acordo com a esta Política;

III - orientar todos os colaboradores e eventuais usuários dos ativos de informação em relação ao cumprimento das diretrizes estabelecidas nesta política; e

IV - manter uma relação de todos os aplicativos que podem ser instalados nos ativos de informação.

Art. 7º Os provedores de serviço de TIC do Ministério do Turismo devem garantir que todos os ativos de informação estejam de acordo com as diretrizes estabelecidas nesta política.

Art. 8º O órgão deve documentar os procedimentos utilizados na atribuição de responsabilidades para lidar com a proteção nos ativos de informação e recuperação de ataques de malware.

Seção III

Da conscientização e do treinamento

Art. 9º O Gestor de Segurança da Informação do Ministério do Turismo deve promover ações de conscientização de recursos humanos em temas relacionados à segurança da informação, conforme previsto no art. 19 da Instrução Normativa GSI/PR nº 1, de 27 de maio de 2020.

Art. 10. No âmbito do Ministério do Turismo, deve-se promover a conscientização ou treinamento a todos os usuários sobre como identificar arquivos e programas infectados por malware e a quem relatar uma possível infecção.

Art. 11. O órgão deve basear-se em relatórios de eventos de malware ocorridos anteriormente para planejar o programa de conscientização e treinamento de seus colaboradores.

Art. 12. Deve ser criado e mantido programa de conscientização, educação e treinamento que aborde temas entendidos como importantes, levando em consideração a política de segurança da informação e suas diretrizes.

§ 1º O programa de conscientização e treinamento de que trata o caput deve:

I - ser revisado e atualizado de forma periódica;

II - considerar a orientação de novos colaboradores;

III - se avaliado por meio de "feedback" dos participantes;

IV - ter como um dos objetivos elucidar os colaboradores sobre as suas responsabilidades no que diz respeito a segurança da informação de ativos de informação do órgão;

V - observar a importância de conscientização dos prestadores de serviço de acordo com novas contratações e encerramento de contrato;

VI - utilizar, se viável, ferramentas como salas virtuais e físicas de treinamento, folhetos, cartazes, websites, boletins informativos e eventos específicos para manter o público-alvo, informado e atualizado sobre as diretrizes de proteção contra malware;

VII - prover treinamentos específicos para os diferentes requisitos de segurança da informação inerentes a cada cargo ou função de seus servidores;

VIII - conscientizar os seus colaboradores quanto à importância de relatar o mais rápido possível supostas infecções ou eventos de segurança da informação; e

IX - manter e divulgar de forma ampla o canal de comunicação de possíveis eventos de segurança da informação.

CAPÍTULO V

PREVENÇÃO E TRATAMENTO

Seção I

Da prevenção de incidentes de malware

Art. 13. Para prevenção de incidentes de malware, o Ministério do Turismo, por meio de equipe técnica da CGTI, deve:

I - adotar medidas que visem mitigar o impacto da exploração de vulnerabilidades por malwares, tais como a indisponibilidade de recursos, como redes, aplicações etc., que venham a afetar negativamente a continuidade dos negócios;

II - adotar técnicas de segmentação de rede visando mitigar a propagação ou disseminação de ameaças, tais como malwares, dentro da rede da organização;

III - adotar, quando necessário, infraestrutura como código para a configuração e atualização do ambiente de redes, bem como, implementar protocolos de redes seguros, tais como SSH e HTTPS;

IV - manter planos de continuidade de negócios para recuperação de ataques de malware, incluindo backups e softwares necessários;

V - implantar procedimentos para coletar informações sobre novos malwares;

VI - realizar, regularmente e de forma automatizada, backup de todos os dados de sistemas;

VII - implementar medidas para detecção de uso de softwares permitidos ou não permitidos;

VIII - implementar medidas para detecção de acessos a sites maliciosos ou suspeitos;

IX - armazenar Logs e alertas do software antimalware em um local seguro, com acesso restrito para evitar roubo ou vazamento de dados pessoais que tenham sido coletados; e

X - especificar tipos de softwares preventivos (antimalware, antivírus, firewall) necessários para cada tipo de host (servidor, laptop, smartphone, computadores etc.) e listar os requisitos para configuração e atualização de tais dispositivos.

§ 1º As cópias de segurança devem ser armazenadas e protegidas em locais adequados, por meio de segurança física ou criptografados.

§ 2º Devem ser executados testes de integridade dos dados e das mídias de armazenamento em período regular.

Art. 14. As ameaças para tipos de malware que não exploram vulnerabilidades, como ataques de engenharia social, devem ser mitigados pelo órgão.

Seção II

Da configuração e atualização

Art. 15. No âmbito do Ministério do Turismo, deve ser mantido processo de configuração seguro para ativos corporativos, dispositivos de usuário final incluindo portáteis e móveis, dispositivos não computacionais/IoT, servidores e softwares como sistemas operacionais e aplicações.

§ 1º O processo de configuração de que trata o caput deve ser revisado e atualizado em períodos predefinidos ou quando ocorrer mudanças significativas no órgão que possam impactar esta medida de segurança.

Art. 16. O gerenciamento de software antimalware deve ser realizado, preferencialmente, de forma centralizada com a instalação de agentes do software nos ativos de informação, como estações de trabalho e servidores.

Art. 17. A configuração e atualização de software de detecção antimalware deve ocorrer regularmente e deve ser realizada varredura nos computadores, servidores e mídias de armazenamento eletrônico, incluindo:

I - dados recebidos por meio da rede ou qualquer mídia de armazenamento eletrônico; e

II - e-mails, mensagens instantâneas e downloads.

Art. 18. O software antimalware deve ser configurado para obter as atualizações das bases de forma automática.

Parágrafo único. A impossibilidade de configurar atualizações automáticas do software antimalware deve ser devidamente justificada.

Art. 19. Os dispositivos computacionais devem ser configurados para não executar ou reproduzir automaticamente mídias removíveis.

Art. 20. Os softwares antimalware devem ser configurados para realizar a varredura automática de mídias removíveis quando inseridas nos dispositivos.

Art. 21. As funcionalidades anti-exploits disponíveis nos sistemas operacionais devem ser configuradas e ferramentas adicionais devem ser implementadas para ampliar as proteções aplicáveis a um conjunto maior de aplicações executáveis.

Art. 22. O gerenciamento do controle de acesso em ativos que se conectam remotamente ao órgão deve ser realizado, considerando, mas não se limitando a:

I - determinar a quantidade de acessos às soluções utilizando recursos de softwares e de rede;

II - possuir processos de configuração segura de ativos remotos; e

III - certificar-se que os sistemas operacionais, software antimalware e demais aplicações estejam sempre atualizados.

Art. 23. Poderá ser utilizado software antimalware com função holística que tenha a capacidade de monitorar e identificar os comportamentos atípicos de seus ativos de informação.

Art. 24. As atualizações de sistemas operacionais e softwares devem ser realizadas por meio de gestão automatizada de patches.

Art. 25. O software antimalware no servidor de e-mail deve ser configurado para varrer anexos, e um ambiente virtual controlado, como uma sandbox, deve ser implementado para a verificação e abertura segura desses anexos.

Art. 26. As contas locais e senhas padrão de sistemas operacionais e softwares devem ser removidas ou alteradas para evitar acessos não autorizados.

Art. 27. Os serviços desnecessários, especialmente os de rede, devem ser desativados ou removidos.

Art. 28. O servidor de e-mail deve ser configurado para proibir o envio e o recebimento de arquivos [Bd1] do tipo .exe.

Seção III

Da detecção e análise de malware

Art. 29. Quando da detecção e da análise de malware no âmbito do Ministério do Turismo, devem ser observados os seguintes procedimentos:

I - verificação e validação regular de softwares, sistemas críticos e de dados de sistemas em busca de arquivos desconhecidos que não tenham sido aprovados ou alterações não autorizadas;

II - divulgação amplamente comunicados sobre ameaças e procedimentos que os usuários devam realizar ao detectar possíveis anormalidades nos ativos de informação;

III - isolamento do ambiente ou os ativos de informação suspeitos, infectados e os que possam ser potencialmente comprometidos para análise e identificação de malware;

IV - investigação de todo incidente onde haja suspeita de que a origem possa ser um malware, para verificar se essa é de fato a causa subjacente;

V - identificação de quais ativos de informação estão infectados por malware, para que assim, todos estes ativos consigam ser analisados e, consequentemente, ações específicas de contenção, erradicação e recuperação sejam realizadas;

VI - garantia que toda a identificação de infecção por malware seja realizada por meio de ferramentas automatizadas;

VII - classificação e nomeação dos ativos de informação, de forma a tornar a detecção de malware mais eficaz;

VIII - determinação de quais tipos de informações de identificação do ativo de informação são necessárias (IP, Sistema Operacional, localização física do ativo de informação), bem como quais fontes de dados dos sistemas de detecção serão utilizadas;

IX – utilização de ferramentas de detecção do malware como SIEM, IDS, IPS, para identificar as características de ação do malware; e

X - pesquisa de informações sobre malware em fornecedores de antivírus, tais como:

a) categoria do malware;

b) serviços, portas, protocolos que são explorados pelo malware;

c) de que forma o malware impacta o ativo de informação infectado;

d) vulnerabilidades que são exploradas pelo malware;

e) de que forma o malware se propaga nos ativos de informação; e

f) de que forma realizar a contenção e remoção do malware.

Art. 30. Podem ser utilizados sniffers de pacotes para realizar a busca ativa de um malware específico.

Art. 31. A equipe de segurança da informação do Ministério do Turismo deve analisar o comportamento do malware de forma ativa, ao executar o malware em um ambiente controlado, ou de forma forense.

§ 1º Ao analisar o comportamento do malware, a equipe de segurança tratada no caput deve analisar as evidências de ações do malware no ativo de informação infectado.

§ 2º Caso a análise de malware seja feita por meio de ambiente controlado, deve-se estabelecer um sistema de testes isolado, sem acesso à rede corporativa e operacional.

Art. 32. Os sistema de testes devem ser estabelecidos em sistema operacional virtualizado.

§ 1º Após a realização da análise de comportamento do malware, o sistema de teste deverá ser apagado.

§ 2º O sistema de testes de que trata o caput deve incluir ferramentas de identificação e detecção de malware atualizadas.

§ 3º Pode-se utilizar da análise de logs para analisar o comportamento de um malware.

Art. 33. Deve-se implementar ferramenta de análise de tráfego baseada em rede, como o sistema de prevenção de intrusão, , com vistas a interromper a atividade potencialmente maliciosa.

Art. 34. Devem ser utilizadas tecnologias de inspeção e filtragem de conteúdo, tais como:

I - ferramenta de filtragem de spam;

II - ferramenta de filtragem e inspeção de conteúdo da web; e

III - listas negras de sites maliciosos.

Art. 35. Deve-se utilizar métodos de arquitetura defensiva, tais como:

I - Proteção de BIOS; e

II - SandBox.

Seção IV

Da remediação

Subseção I

Da Contenção

Art. 36. As estratégias de contenção estabelecidas nesta Portaria devem apoiar os responsáveis pelo tratamento de incidentes na seleção da combinação apropriada de métodos, com base nas características de uma situação específica.

Art. 37. Os usuários devem receber instruções sobre como identificar infecções e quais medidas tomar se um host for infectado.

§ 1º As instruções tratadas no caput incluem:

I - ligar para o suporte técnico;

II - desconectar o host da rede; e

III - desligar o host.

Art. 38. O malware identificado deve ser removido dos ativos.

Art. 39. Os softwares não autorizados devem ser removidos dos ativos ou devem receber uma exceção documentada.

Art. 40. Todas as exceções devem ser anotadas no inventário de software e no registro de exceções.

Art. 41. Devem ser adotados mecanismos alternativos para distribuir informações aos usuários, como o envio de mensagens para todas as caixas de correio de voz, a afixação de cartazes nas áreas de trabalho e a distribuição de instruções nas entradas

Art. 42. Devem ser identificados e implementados métodos para fornecer utilitários e atualizações de software aos usuários, visando apoiar a contenção.

Art. 43. Sempre que viável, deve-se utilizar tecnologias automatizadas para prevenir e detectar infecções.

Parágrafo único. As tecnologias tratadasno caput incluem softwares tais como antivírus, filtragem de conteúdo e prevenção de intrusões.

Art. 44. O órgão deve estar preparado para usar outras ferramentas de segurança para conter o malware até que as assinaturas antivírus possam realizar a contenção de forma eficaz.

Art. 45. Se o órgão receber assinaturas atualizadas, deve testá-las antes da implantação para garantir que a atualização em si não cause um impacto negativo.

Art. 46. Pode-se adotar métodos de detecção automatizados que não sejam software antivírus, tais como os seguintes:

I - filtragem de conteúdo;

II- software IPS baseado em rede; e

III - lista negra executável.

Art. 47. Deve-se manter lista das portas TCP e UDP utilizadas por cada serviço para que possa suportar a desativação de serviços de rede.

Art. 48. Deve-se manter lista de dependências entre os principais serviços para que a equipe de resposta a incidentes esteja ciente deles ao tomarem decisões de contenção.

Art. 49. É recomendável parar os serviços que estiverem com vulnerabilidades e oferecer outros alternativos com funcionalidades semelhantes aos usuários.

Art. 50. A Equipe de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos - ETIR deve considerar bloquear todo o acesso ao host externo ( se os hosts infectados tentarem estabelecer conexões com um host externo para baixar malwares.

Art. 51. Se hosts infectados tentarem espalhar um malware, o órgão poderá bloquear o tráfego de rede dos endereços IP dos hosts para controlar a situação enquanto os hosts infectados são fisicamente localizados e limpos.

Art. 52. O órgão deve projetar e implementar suas redes para tornar a contenção, através da perda de conectividade, mais fácil e menos perturbadora, isso poderá incluir:

I - distribuição de servidores e estações de trabalho em sub-redes separadas; e

II - uso de redes locais virtuais (VLAN) separadas para hosts infectados.

Art. 53. A Equipe de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos - ETIR deve selecionar uma combinação de métodos de contenção que, provavelmente, serão eficazes na contenção do atual incidente, ao mesmo tempo em que limita os danos aos hosts e reduz o impacto que os métodos de contenção podem ter sobre outros hosts.

Subseção II

Da Erradicação

Art. 54. Nos casos em que a destruição do malware for possível, o Ministério do Turismo poderá fazer uso das ferramentas que possibilite tal erradicação e que sejam de uso recomendável, tais como:

I - software antivírus;

II - software de controle de acesso à rede; e

III - outras ferramentas projetadas para remover malware e corrigir vulnerabilidades.

Art. 55. Para erradicação de malware, devem ser considerados:

I – a utilização de métodos automatizados de erradicação, como acionar verificações de antivírus remotamente;

II – o fornecimento de instruções e atualizações de software aos usuários além de assistência durante o processo de erradicação de malwares; e

III – e a manutenção de áreas de suporte técnico formais ou informais nas principais instalações para aumentar a eficácia e eficiência na erradicação de malwares.

Art. 56. Durante incidentes graves, integrantes da equipe de TI podem ser realocados temporariamente de outras funções para ajudar nos esforços de erradicação.

Parágrafo único. A equipe designada deve estar preparada para reconstruir hosts rapidamente, conforme necessário, quando ocorrerem incidentes de malware.

Art. 57. Deve-se reconstruir qualquer hospedeiro que apresente alguma das seguintes características de incidente:

I - quando um ou mais invasores obtiveram acesso de nível de administrador ao host;

II - quando o acesso não autorizado de nível de administrador ao host estiver disponível para qualquer pessoa através de um backdoor, através de um compartilhamento desprotegido criado por um worm ou por outros meios;

III - quando os arquivos do sistema foram substituídos por um cavalo-de-tróia, backdoor, rootkit, ferramentas de ataque ou outros meios;

IV - quando o host ficar instável ou não funcionar corretamente depois que o malware foi erradicado por software antivírus ou outros programas ou técnicas, indicando que o malware não foi completamente erradicado ou que causou danos a arquivos ou configurações importantes do sistema ou de aplicativos; e

V - quando houver dúvidas sobre a natureza e a extensão da infecção ou sobre qualquer acesso não autorizado obtido em decorrência da infecção.

Art. 58. A Equipe de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos - ETIR deve realizar, periodicamente, atividades de identificação de hospedeiros que ainda estão infectados e estimar o sucesso da erradicação.

Art. 59. Devem ser adotadas medidas para reduzir o número suspeito de máquinas infectadas e vulneráveis a níveis suficientemente baixos, para que, se todas elas estiverem conectadas a rede de uma só vez e todas as máquinas vulneráveis estiverem infectadas, o impacto geral das infecções seja o menor possível.

Seção V

Da recuperação

Art. 60. Para adequada recuperação de incidentes de malware, deve-se observar dois aspectos principais:

I - restauração da funcionalidade e os dados dos hosts infectados; e

II - remoção de medidas de contenção temporárias.

Art. 61. Para incidentes de malware que são muito mais prejudiciais, como cavalos de Tróia, rootkits ou backdoors, deve-se avaliar a conveniência de reconstruir primeiro o host.

Art. 62. Deve-se considerar os possíveis cenários de pior caso e determinar os cenários de recuperação de hosts.

Parágrafo único. A determinação de cenários de recuperação de hosts de que trata o caput pode incluir:

I - identificação dos responsáveis pelas tarefas de recuperação;

II- estimativa das horas de trabalho necessárias e tempo de calendário; e

III - determinação de como os esforços de recuperação devem ser priorizados.

Art. 63. Deve-se avaliar o período para remoção de medidas de contenção temporárias.

Art. 64. A Equipe de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos deve:

I - esforçar-se para manter medidas de contenção em vigor até que o número estimado de hospedeiros infectados e de hospedeiros vulneráveis à infecção seja suficientemente baixo, de modo que os possíveis incidentes subsequentes tenham poucas consequências;

II - considerar medidas de contenção alternativas que possam manter adequadamente a contenção do incidente e, ao mesmo tempo, causar menor impacto nas funções normais do órgão; e

III - avaliar os riscos de restaurar o(s) serviço(s).

Art. 65. O Comitê de Governança Digital e Segurança da Informação - CGDSI deve, em última análise, ser responsável por determinar o que deve ser feito, com base nas recomendações da equipe de resposta a incidentes e na compreensão da gestão sobre o impacto no órgão da manutenção das medidas de contenção.

Seção VI

Dos relatos e lições aprendidas

Art. 66. Todos os alertas de alta gravidade confirmados no âmbito do Ministério do Turismo devem ser relatados à Equipe de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos.

Art. 67. Os usuários devem ser treinados para reportar à Equipe de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos malwares descobertos.

Art. 68. A partir das lições aprendidas com incidentes de malware, deve-se avaliar a necessidade de:

I - mudanças na política de segurança;

II - mudanças no Programa de Conscientização;

III - reconfiguração de software;

IV - implantação de software de detecção de malware; e

V - reconfiguração do software de detecção de malware.

CAPÍTULO VI

DISPOSIÇÕES FINAIS

Art. 69. Todas as pessoas envolvidas, direta ou indiretamente, devem seguir as disposições desta Portaria.

Art. 70. No âmbito do Ministério do Turismo deve-se promover cultura de segurança da informação e incentivar a colaboração e a comunicação aberta sobre ameaças de malware e melhores práticas de segurança.

Art. 71. A alta administração deve apoiar a implementação e execução eficaz desta Portaria alocando, na medida do possível, recursos adequados e priorizando a segurança cibernética como uma preocupação organizacional.

Art. 72. Deve ser avaliado periodicamente o impacto desta Portaria na segurança geral do órgão, identificando áreas de sucesso e oportunidades de melhoria.

Art. 73. Deve-se considerar a comunicação da Política de Defesas Contra Malware para partes externas, como fornecedores e parceiros, para promover a conscientização e colaboração na proteção contra ameaças.

Art. 74. Esta Portaria, no que couber, deve ser integrada aos planos de continuidade do negócio, garantindo que o órgão possa lidar com interrupções causadas por ataques de malware e outros incidentes de segurança da informação.

Art. 75. A implementação das diretrizes e normas de que tratam esta Portaria, conforme suas peculiaridades e complexidades, ocorrerá de forma gradual, de acordo com as possibilidades técnica, operacional, administrativa e, se for o caso, financeira do órgão.

Seção I

Da não conformidade

Art. 76. A violação desta Portaria poderá ensejar, por meio de autoridade competente, apurações nas esferas administrativa, civil e penal, conforme o caso e de acordo com a legislação correlata.

ANEXO II