Notificar incidente

RFC 2350

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

1. Informação acerca deste documento
Este documento descreve o serviço de coordenação da resposta a incidentes de cibersegurança do Centro Nacional de Cibersegurança (CNCS) de acordo com o RFC 2350.

1.1 Data da última atualização
Versão 1.2 publicada em 2018/03/12.

1.2 Listas de distribuição para notificações
Não existe um canal de distribuição para notificar alterações a este documento.

1.3 Acesso a este documento
A versão atualizada deste documento está disponível em https://www.cncs.gov.pt/certpt/rfc-2350/
A versão em língua inglesa está disponível em https://www.cncs.gov.pt/en/certpt_en/rfc-2350/

1.4 Autenticidade deste documento
Este documento está assinado com a chave PGP do CERT.PT.

2.Informação de contacto

2.1 Nome da equipa
CERT.PT

2.2 Endereço postal
CNCS - Centro Nacional de Cibersegurança
Rua da Junqueira, 69
1300-342 Lisboa
Portugal

2.3 Zona horária
Portugal/WEST (GMT+0, GMT+1 em horário de verão)

2.4 Telefone
+351 210 497 399 (horário normal de funcionamento - 09h00 - 18h00)
+351 910 601 102 (Contacto de emergência, fora das horas normais de funcionamento)

2.5 Fax
+351 210 497 398

2.6 Outras telecomunicações
Não existentes.

2.7 Endereços de correio eletrónico
Correio eletrónico para notificação de incidentes de cibersegurança:
cert@cert.pt
Correio eletrónico para outros assuntos relacionados com os serviços CERT.PT:
info@cert.pt

2.8 Chaves públicas e informação de cifra
PGP Key ID: 0xA0F7ACFB
PGP Fingerprint: B83E AA3C F80B 25C8 7C65 184E 3AC9 DECE A0F7 ACFB
A chave está disponível em: https://www.cncs.gov.pt/certpt/pgp-certpt/

2.9 Membros da equipa
Coordenação: Rogério Raposo
Membros: André Garrido, Duarte Sousa, Gonçalo Silva, Ivo Vacas, Nuno Marques.

2.10 Outra informação
Mais informação sobre o CERT.PT pode ser encontrada em https://www.cncs.gov.pt/.

2.11 Meios de contacto para utilizadores
O CERT.PT dispõe dos meios de contacto elencados nas secções 2.2 e 2.4 a 2.7.

3. Guião

3.1 Missão
Contribuir para que Portugal use o ciberespaço de uma forma livre, confiável e segura, através da melhoria contínua da cibersegurança nacional e da cooperação internacional.

3.2 Comunidade servida
O CERT.PT coordena a resposta a incidentes de cibersegurança envolvendo entidades do Estado, operadores de Infraestruturas Críticas, operadores de serviços essenciais, prestadores de serviços digitais e, de uma forma geral, o ciberespaço de interesse nacional, incluindo qualquer dispositivo pertencente a uma rede ou bloco de endereçamento atribuído a um operador de comunicações eletrónicas, instituição, pessoa coletiva ou singular com sede em território Português, ou que esteja fisicamente localizado em território Português.

3.3 Filiação
O CERT.PT é um serviço integrante do CNCS.

3.4 Autoridade
O CERT.PT é um serviço do CNCS, cuja competência de autoridade nacional para a cibersegurança se encontra definida no Decreto-Lei n.º 3/2012, de 16 de janeiro, na sua versão atual.

4. Políticas

4.1 Tipos de incidente e nível de suporte
O CERT.PT responde a todos os tipos de incidente de cibersegurança, nomeadamente aqueles que resultam numa violação de segurança dos seguintes tipos:
a) Código Malicioso
b) Disponibilidade
c) Recolha de Informação
d) Tentativa de Intrusão
e) Intrusão
f) Segurança da Informação
g) Fraude
h) Conteúdo Abusivo
i) Vulnerável

O nível de suporte dado pelo CERT.PT varia consoante o tipo, gravidade e âmbito dos incidentes em curso e os recursos disponíveis para o seu tratamento. Em condições de funcionamento normais é um objetivo do CERT.PT dar uma primeira resposta no espaço de um dia útil.
O nível de suporte prestado pelo CERT.PT em condições normais varia também em função da entidade da comunidade servida afetada, sendo assegurados todos os serviços referidos em (5.) a entidades do Estado, operadores de Infraestruturas Críticas, operadores de serviços essenciais e prestadores de serviços digitais. Às restantes entidades e indivíduos constantes da Comunidade servida são assegurados os serviços de Coordenação da resposta a incidentes e Alertas de Segurança.
Em caso de um aumento considerável da severidade e âmbito dos incidentes ou de incidente de larga-escala, será dada prioridade ao tratamento de incidentes das entidades do Estado, operadores de Infraestruturas Críticas, operadores de serviços essenciais e prestadores de serviços digitais.

4.2 Cooperação, interação e política de privacidade
A política de privacidade e proteção de dados do CERT.PT prevê que informação sensível pode ser passada a terceiros, única e exclusivamente em caso de necessidade e com a autorização prévia expressa do indivíduo ou entidade a quem essa informação diga respeito.

4.3 Comunicação e autenticação
Dos meios de comunicação disponibilizados pelo CERT.PT, o telefone e o correio eletrónico não cifrado são considerados suficientes para a transmissão de informação não sensível. Para a transmissão de informação sensível é obrigatório o uso de cifra PGP.
O CERT.PT adota o standard TLP (Traffic Light Protocol) para a disseminação e partilha de informação.

5. Serviços

5.1 Coordenação da resposta a incidentes
A toda a Comunidade servida.
Sempre que solicitado para o efeito, o CNCS, através do serviço CERT.PT, presta um serviço de coordenação de resposta a incidentes entre as entidades envolvidas. Esta coordenação envolve, tipicamente as vítimas dos ataques e ISPs ou outros CSIRTs sempre que necessário. A coordenação da resposta a incidentes inclui:
1) triagem de notificações de incidentes, a sua análise técnica e forense;
2) articulação com as entidades nacionais e internacionais envolvidas;
3) produção de recomendações de mitigação e/ou de resolução do incidente.

A coordenação da resposta a incidentes pode partir da iniciativa do CNCS, por exemplo numa situação de incidente de larga escala, ou ser-lhe solicitada pelos canais designados para o efeito.

5.2 Suporte On-Site
A entidades do Estado, operadores de Infraestruturas Críticas, operadores de serviços essenciais e prestadores de serviços digitais.
O suporte on-site prevê o apoio, nas instalações do requerente, de técnicos especializados do CNCS, para análise e resposta a incidentes de cibersegurança. Dependendo das necessidades em concreto, este apoio pode, entre outros, incluir:
1) análise forense a máquinas ou hardware;
2) análise de tráfego;
3) análise de malware;
4) articulação com outros CSIRT nacionais ou internacionais;
5) produção de recomendações;
6) apoio na aplicação de medidas de mitigação e resolução.

O CNCS não executa as medidas de mitigação ou de resolução atrás referidas. Esta responsabilidade é de cada uma das entidades intervenientes.

5.3 Capacitação CSIRTs
A entidades do Estado, operadores de Infraestruturas Críticas, operadores de serviços essenciais e prestadores de serviços digitais.
Melhorar a capacidade nacional de resposta a incidentes de cibersegurança através da criação de novos CSIRTs e do desenvolvimento das capacidades dos já existentes. Para esse efeito, o CNCS promove ou desenvolve um conjunto de actividades com vista à capacitação de CSIRTs em território nacional, designadamente:
1) Ações de formação para técnicos e decisores que operem ou pretendam vir a operar um CSIRT;
2) Coordenação de exercícios nacionais e promoção da participação portuguesa em exercícios de cibersegurança internacionais;
3) Definição de um conjunto mínimo de capacidades técnicas, operacionais e humanas para um CSIRT;
4) Divulgação de boas práticas para a gestão de incidentes de cibersegurança;
5) Consultoria para a criação de novos CSIRT.

5.4 Alertas de Segurança
A toda a Comunidade servida.
Alertar as partes interessadas, incluindo o público em geral, para novos riscos de cibersegurança, prestando, igualmente, a informação necessária para a sua proteção e/ou remediação. Assim, o CNCS desenvolve duas actividades:
1) Em articulação com as restantes autoridades nacionais, emite um código único de perigosidade nacional;
2) Produz e dissemina às partes interessadas, alertas de segurança

6. Salvaguarda de responsabilidade
Embora todas as precauções sejam tomadas na preparação da informação divulgada quer no portal Internet, quer através das listas de distribuição, o CERT.PT não assume qualquer responsabilidade por erros ou omissões, ou por danos resultantes do uso dessa informação.
A notificação de incidentes ao CNCS não se substitui à comunicação à autoridade judiciária ou ao órgão de polícia criminal competente, quando esses incidentes configurem também um ilícito criminal cujo procedimento penal dependa de queixa ou de acusação particular.
-----BEGIN PGP SIGNATURE-----
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=CO4Z
-----END PGP SIGNATURE-----