Objetivos

Membros da rede nacional de CSIRT

Line Icons

RCTS CERT

Comunidade
Rede RCTS e organismos do Ministério da Educação e Ciência

Data de Adesão

21 de Janeiro de 2008

email
Este endereço de email está protegido contra piratas. Necessita ativar o JavaScript para o visualizar.

\

Como Aderir

Requisitos para adesão

indicando os seguintes elementos:

  1. Ser pessoa coletiva;
  2. Prestar um conjunto de serviços de segurança que inclua, pelo menos, o serviço de tratamento de incidentes de segurança informática;
  3. Possuir uma equipa de resposta a incidentes de segurança informática (CSIRT) formalizada e anunciada.
  4. Atuar por referência a uma comunidade de utilizadores relevante e bem definida,dentro do território nacional, caracterizada à custa de pelo menos 2 (dois) dos seguintes parâmetros:
    • Espaços de endereçamento em âmbito (CIDRs ou ranges de IP) – e.g.: 203.0.113.0/24 ou 203.0.113.0 – 203.0.113.255;
    • Enumeração de Autonomous System Number (ASN) – e.g.: AS 64496;
    • Sub-domínios – e.g.: *.pt;
    • Definição clara e concisa sobre o tipo e número de utilizadores da comunidade servida – e.g.: “2500 utilizadores de ativos de rede e informação corporativos da empresa [ENTIDADE]”
  5. Realizar tratamento de incidentes pelo menos para os seguintes tipos de incidente:
    • Infeção, distribuição ou controlo (C&C) de malware;
    • Ataques à disponibilidade;
    • Fraude.


O procedimento de adesão é feito mediante o envio de candidatura para Este endereço de email está protegido contra piratas. Necessita ativar o JavaScript para o visualizar. indicando os seguintes elementos:

  1. Nome da CSIRT
  2. Nome da Entidade
  3. Descrição da comunidade constituinte
  4. Descrição dos serviços de segurança prestados
  5. Motivação para integração na rede nacional de CSIRT
  6. O Candidato deverá reunir recomendações de pelo menos 2 (dois) MEMBROS da REDE, atestando os requisitos acima mencionados (Requisitos para adesão).
  7. A entidade proponente (CANDIDATO) deve possuir aprovação e autorização expressa de representante da sua organização devidamente mandatado para o efeito em todo o processo de candidatura à REDE.

O pedido de adesão é analisado pela Comissão Executiva da Rede. Durante o processo de análise podem ser solicitados esclarecimentos adicionais. Não existindo objecções, a adesão da CSIRT candidata será submetida a votação da Assembleia Geral da Rede e, mediante aprovação, passará a constar da lista de Membros da Rede Nacional de CSIRT.

Documentos Rede Nacional CSIRT

Código de conduta dos membros da Rede

1. Definições

CSIRT– a função de resposta a incidentes de segurança informática (Computer Security Incident Response Team) participante na REDE e que presta o serviço de gestão de incidentes;

Incidente – um incidente de segurança das redes e da informação. Uma acção ou conjunto de acções desenvolvidas contra um computador ou rede de computadores que resulta, ou pode resultar, na perda da confidencialidade ou integridade da informação ou prejudica o desempenho de uma rede de comunicação de dados ou sistema. Normalmente um incidente de segurança das redes e da informação significa uma violação da política de segurança de uma organização;

Gestão de incidentes – o conjunto de serviços prestados pela CSIRT e que inclui obrigatoriamente o tratamento e/ou a coordenação de incidentes;

REDE – o conjunto das equipas que se regem por este mesmo Código de Conduta e que assegurem a gestão de incidentes.

2. Enquadramento

O presente documento destina-se a fornecer uma orientação de princípios para a REDE. Neste âmbito, pretende-se que as equipas nela participantes cooperem na actividade de gestão de incidentes e se constituam como uma comunidade. A adopção das práticas propostas como condição de adesão tem como objectivos fundamentais:

  1. Melhorar a eficiência da actividade de gestão de incidentes dentro da Rede;
  2. Facilitar uma troca de informação fluída entre as equipas participantes; e
  3. Promover uma recolha de indicadores e estatísticas que se determinem relevantes para a comunidade.

Esta versão do Código de Conduta para a Rede de Resposta a Incidentes de Segurança é baseada em documento homólogo do serviço Trusted Introducer versão 2.1 de 15 de Setembro de 2005.

3. Linhas orientadoras

A participação na REDE é voluntária e pode ser terminada por qualquer uma das CSIRT a todo o tempo;

A cooperação dentro da REDE faz-se sem prejuízo do cumprimento dos compromissos profissionais de cada um dos membros da equipa para com a sua entidade patronal;

Será assegurada a confidencialidade de informação sensível partilhada dentro da REDE. Entende-se por informação sensível aquela que possa vir a afectar a segurança ou a imagem pública de outra CSIRT, da comunidade servida por esta, da REDE como um todo ou da Internet e dos seus utilizadores em geral;

Os documentos produzidos dentro da REDE não podem ser utilizados fora desse âmbito sem o consentimento expresso do(s) seu(s) autor(es);

As políticas e processos de todas as CSIRT deverão ser optimizados através da partilha de conhecimentos e experiência e poderão constituir material de formação dentro da REDE;

O trabalho e cooperação entre os participantes deverá constituir um exemplo para outras CSIRT e servir de modelo a iniciativas semelhantes.

4. Requisitos legais

A CSIRT e os seus membros devem cumprir, no decurso da actividade de gestão de incidentes ou outro serviço associado, os normativos aplicáveis na ordem jurídica portuguesa;

A obrigação prevista no parágrafo anterior deve prevalecer sobre qualquer outro princípio ou regra previstos neste documento;

Dentro das suas capacidades, é recomendável que no decurso da gestão de incidentes de carácter trans-fronteiriço a equipa possa atender a requisitos legais de outros Estados nele envolvidos, desde que tal não conflitue com o estabelecido no primeiro parágrafo.

5. A CSIRT e os seus membros

A CSIRT e todos os seus membros devem pautar a sua actuação dentro de parâmetros de comportamento responsável e exemplar;

Sempre que, no decurso das suas actividades de gestão de incidentes, a CSIRT tomar conhecimento que outros membros da REDE e/ou as suas respectivas comunidades estejam a ser ou possam vir a ser afectadas por um qualquer incidente, é dever dessa CSIRT informar os membros da REDE implicados;

A CSIRT deve assegurar que todos os seus membros recebem uma cópia deste documento, que a lêem e que aceitam os seus termos;

Por forma a manter presentes os princípios e regras enunciados neste documento, é recomendado que a CSIRT promova, numa base regular, sessões de discussão sobre os tópicos aqui versados.

6. Tratamento da informação

O tratamento de informação no contexto das actividades de gestão de incidentes que possa vir a afectar a segurança e/ou a imagem pública de outra CSIRT, da sua comunidade, da REDE como um todo ou da Internet e dos seus utilizadores em geral, deve ser feito com responsabilidade, assegurando-se a sua protecção contra acessos não autorizados;

No contexto da gestão de incidentes, a informação comunicada a outras equipas ou terceiros envolvidos no incidente deve seguir o princípio da necessidade com vista à sua solução, considerando a protecção dos envolvidos;

A CSIRT deve usar meios adequados à comunicação da informação de acordo com a sua natureza. Informação classificada como sensível deve ser transmitida em canal criptográfico disponível na REDE.

Política de classificação de incidentes da Rede

Na resposta a incidentes de segurança informática, onde a coordenação entre vários intervenientes é essencial para o seu sucesso, a utilização de uma taxonomia comum assume um papel de especial relevância. Da mesma forma, a existência de um método único de classificação de incidentes para toda a Rede Nacional de CSIRT permite a reunião de dados estatísticos e indicadores a partir de várias fontes.

Assim, a classificação de incidentes deverá ser feita de acordo com 2 vetores – “Tipo de Incidente” e “Tipo de Evento”.

No modelo de classificação de incidentes adotado foi ainda decidida uma divisão dos vários Tipos específicos de incidentes por Classes genéricas que agrupam conjuntos de incidentes com resultados ou objetivos semelhantes.

Para além das Classes e Tipos de incidentes foi ainda identificado um conjunto de eventos associados a cada Tipo de incidente.

O documento da Taxonomia desenvolvido em conjunto com a Rede de CSIRTs disponibiliza todas as informações sobre a Taxonomia referida.

Serviços

A Rede Nacional de CSIRTs disponibiliza um conjunto de serviços aos seus membros:


Serviço de directório

A Rede Nacional de CSIRT mantém actualizado um directório com informação pública sobre as CSIRT que integram a REDE. Os registos seguirão um formato compatível com   o IRT Object do RIPE. Este serviço tem como objectivo identificar os interlocutores e respectivos pontos de contacto para tratamento de incidentes em território nacional.

Workshops de segurança

A Rede Nacional de CSIRT promoverá a realização de dois workshops anuais subordinados ao tema da segurança informática e destinados aos membros da REDE. Os workshops visam especialmente a actualização técnica e troca de experiências entre membros de CSIRTs. Servem igualmente como plataforma para a criação das relações de confiança necessárias à cooperação entre CSIRTs.

Coordenação de incidentes de segurança

No caso de ocorrência de um incidente de segurança considerado grave o CERT.PT   actua oficiosamente, ou quando solicitado por um dos membros da REDE, como centro de coordenação do respectivo tratamento, canalizando a informação e promovendo as medidas ao seu alcance que se revelarem adequadas de acordo com a natureza da emergência em causa, junto das partes envolvidas.

Alertas de segurança

As CSIRTs trocam informação de segurança relevante entre si. Sempre que, no decurso das suas actividades de gestão de incidentes, uma CSIRT tomar conhecimento que outros membros da REDE e/ou as suas respectivas comunidades estejam a ser ou possam vir a ser afectadas por um qualquer incidente, é dever dessa CSIRT informar os membros da REDE implicados. Neste contexto a informação comunicada deve seguir o princípio da necessidade com vista à sua solução.

Fórum técnico

A REDE beneficia de um grupo técnico de discussão, designado por fórum técnico. Este fórum pode emitir recomendações e promover formas de cooperação entre as CSIRT e entre estas e parceiros externos, sobre matérias relativas à segurança informática.
Para além dos membros da REDE, podem ser convidadas a nele participar outras organizações ou especialistas de reconhecido mérito que contribuam para os objectivos da REDE.
Com o objectivo de articular temas específicos de uma comunidade mais restrita ou desenvolver um trabalho entre um grupo pequeno de CSIRTs, a REDE pode ainda criar fóruns técnicos sectoriais ou ad-hoc (grupos de trabalho). O secretariado do fórum técnico é assegurado pela Rede Nacional de CSIRT.

Informação estatística e indicadores

O objectivo deste serviço é criar um repositório nacional de indicadores de segurança informática. Tendo em vista um melhor conhecimento de tendências ou actividade maliciosa observadas e, consequentemente, uma melhor preparação de medidas preventivas, as CSIRT comprometem-se a partilhar indicadores e estatísticas relacionadas com problemas de segurança informática que sejam susceptíveis de distribuição. A informação estatística trocada não permite a identificação dos atacantes ou das vítimas envolvidas nos incidentes de segurança.