Notificar incidente

RFC 2350

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

RFC 2350

1. Informação acerca deste documento
Este documento descreve o serviço de coordenação da resposta a incidentes de cibersegurança do Centro Nacional de Cibersegurança (CNCS) de acordo com o RFC 2350.

1.1 Data da última atualização
Versão 1.4 publicada em 2018/09/19.

1.2 Listas de distribuição para notificações
Não existe um canal de distribuição para notificar alterações a este documento.

1.3 Acesso a este documento
A versão atualizada deste documento está disponível em https://www.cncs.gov.pt/certpt/rfc-2350/
A versão em língua inglesa está disponível em https://www.cncs.gov.pt/en/certpt_en/rfc-2350/

1.4 Autenticidade deste documento
Este documento está assinado com a chave PGP do CERT.PT.

2.Informação de contacto

2.1 Nome da equipa
CERT.PT

2.2 Endereço postal
CNCS - Centro Nacional de Cibersegurança
Rua da Junqueira, 69
1300-342 Lisboa
Portugal

2.3 Zona horária
Portugal/WEST (GMT+0, GMT+1 em horário de verão)

2.4 Telefone
+351 210 497 399 (horário normal de funcionamento - 09h00 - 18h00)
+351 910 599 284 (Contacto de emergência, fora das horas normais de funcionamento)

2.5 Fax
+351 210 497 398

2.6 Outras telecomunicações
Não existentes.

2.7 Endereços de correio eletrónico
Correio eletrónico para notificação de incidentes de cibersegurança:
cert@cert.pt
Correio eletrónico para outros assuntos relacionados com os serviços CERT.PT:
info@cert.pt

2.8 Chaves públicas e informação de cifra
PGP Key ID: 0xA0F7ACFB
PGP Fingerprint: B83E AA3C F80B 25C8 7C65 184E 3AC9 DECE A0F7 ACFB
A chave está disponível em: https://www.cncs.gov.pt/certpt/pgp-certpt/

2.9 Membros da equipa
Coordenação: Rogério Raposo
Membros: André Garrido, Duarte Sousa, Gonçalo Silva, Ivo Vacas, Nuno Marques.

2.10 Outra informação
Mais informação sobre o CERT.PT pode ser encontrada em https://www.cncs.gov.pt/.

2.11 Meios de contacto para utilizadores
O CERT.PT dispõe dos meios de contacto elencados nas secções 2.2 e 2.4 a 2.7.

3. Guião

3.1 Missão
Contribuir para que Portugal use o ciberespaço de uma forma livre, confiável e segura, através da melhoria contínua da cibersegurança nacional e da cooperação internacional.

3.2 Comunidade servida
O CERT.PT coordena a resposta a incidentes de cibersegurança envolvendo entidades do Estado, operadores de Infraestruturas Críticas, operadores de serviços essenciais, prestadores de serviços digitais e, de uma forma geral, o ciberespaço de interesse nacional, incluindo qualquer dispositivo pertencente a uma rede ou bloco de endereçamento atribuído a um operador de comunicações eletrónicas, instituição, pessoa coletiva ou singular com sede em território Português, ou que esteja fisicamente localizado em território Português.

3.3 Filiação
O CERT.PT é um serviço integrante do CNCS.

3.4 Autoridade
O CERT.PT é um serviço do CNCS, cuja competência de autoridade nacional para a cibersegurança se encontra definida no Decreto-Lei n.º 3/2012, de 16 de janeiro, na sua versão atual e na Lei n.º 46/2018, de 13 de agosto. Nos termos da mesma Lei, o CERT.PT é a Equipa de Resposta a Incidentes de Segurança Informática (CSIRT) Nacional.

4. Políticas

4.1 Tipos de incidente e nível de suporte
O CERT.PT responde a todos os tipos de incidente de cibersegurança, nomeadamente aqueles que resultam numa violação de segurança dos seguintes tipos:
a) Código Malicioso
b) Disponibilidade
c) Recolha de Informação
d) Tentativa de Intrusão
e) Intrusão
f) Segurança da Informação
g) Fraude
h) Conteúdo Abusivo
i) Vulnerável

O nível de suporte dado pelo CERT.PT varia consoante o tipo, gravidade e âmbito dos incidentes em curso e os recursos disponíveis para o seu tratamento. Em condições de funcionamento normais é um objetivo do CERT.PT dar uma primeira resposta no espaço de um dia útil.
O nível de suporte prestado pelo CERT.PT em condições normais varia também em função da entidade da comunidade servida afetada, sendo assegurados todos os serviços referidos em (5.) a entidades do Estado, operadores de Infraestruturas Críticas, operadores de serviços essenciais e prestadores de serviços digitais. Às restantes entidades e indivíduos constantes da Comunidade servida são assegurados os serviços de Coordenação da resposta a incidentes e Alertas de Segurança.
Em caso de um aumento considerável da severidade e âmbito dos incidentes ou de incidente de larga-escala, será dada prioridade ao tratamento de incidentes das entidades do Estado, operadores de Infraestruturas Críticas, operadores de serviços essenciais e prestadores de serviços digitais.

4.2 Cooperação, interação e política de privacidade
A política de privacidade e proteção de dados do CERT.PT prevê que informação sensível pode ser passada a terceiros, única e exclusivamente em caso de necessidade e com a autorização prévia expressa do indivíduo ou entidade a quem essa informação diga respeito.

4.3 Comunicação e autenticação
Dos meios de comunicação disponibilizados pelo CERT.PT, o telefone e o correio eletrónico não cifrado são considerados suficientes para a transmissão de informação não sensível. Para a transmissão de informação sensível é obrigatório o uso de cifra PGP.
O CERT.PT adota o standard TLP (Traffic Light Protocol) para a disseminação e partilha de informação.

5. Serviços

5.1 Coordenação da resposta a incidentes
A toda a Comunidade servida.
Sempre que solicitado para o efeito, o CNCS, através do serviço CERT.PT, presta um serviço de coordenação de resposta a incidentes entre as entidades envolvidas. Esta coordenação envolve, tipicamente as vítimas dos ataques e ISPs ou outros CSIRTs sempre que necessário. A coordenação da resposta a incidentes inclui:
1) triagem de notificações de incidentes, a sua análise técnica e forense;
2) articulação com as entidades nacionais e internacionais envolvidas;
3) produção de recomendações de mitigação e/ou de resolução do incidente.

A coordenação da resposta a incidentes pode partir da iniciativa do CNCS, por exemplo numa situação de incidente de larga escala, ou ser-lhe solicitada pelos canais designados para o efeito.

5.2 Suporte On-Site
A entidades do Estado, operadores de Infraestruturas Críticas, operadores de serviços essenciais e prestadores de serviços digitais.
O suporte on-site prevê o apoio, nas instalações do requerente, de técnicos especializados do CNCS, para análise e resposta a incidentes de cibersegurança. Dependendo das necessidades em concreto, este apoio pode, entre outros, incluir:
1) análise forense a máquinas ou hardware;
2) análise de tráfego;
3) análise de malware;
4) articulação com outros CSIRT nacionais ou internacionais;
5) produção de recomendações;
6) apoio na aplicação de medidas de mitigação e resolução.

O CNCS não executa as medidas de mitigação ou de resolução atrás referidas. Esta responsabilidade é de cada uma das entidades intervenientes.

5.3 Capacitação CSIRTs
A entidades do Estado, operadores de Infraestruturas Críticas, operadores de serviços essenciais e prestadores de serviços digitais.
Melhorar a capacidade nacional de resposta a incidentes de cibersegurança através da criação de novos CSIRTs e do desenvolvimento das capacidades dos já existentes. Para esse efeito, o CNCS promove ou desenvolve um conjunto de actividades com vista à capacitação de CSIRTs em território nacional, designadamente:
1) Ações de formação para técnicos e decisores que operem ou pretendam vir a operar um CSIRT;
2) Coordenação de exercícios nacionais e promoção da participação portuguesa em exercícios de cibersegurança internacionais;
3) Definição de um conjunto mínimo de capacidades técnicas, operacionais e humanas para um CSIRT;
4) Divulgação de boas práticas para a gestão de incidentes de cibersegurança;
5) Consultoria para a criação de novos CSIRT.

5.4 Alertas de Segurança
A toda a Comunidade servida.
Alertar as partes interessadas, incluindo o público em geral, para novos riscos de cibersegurança, prestando, igualmente, a informação necessária para a sua proteção e/ou remediação. Assim, o CNCS desenvolve duas actividades:
1) Em articulação com as restantes autoridades nacionais, emite um código único de perigosidade nacional;
2) Produz e dissemina às partes interessadas, alertas de segurança

6. Salvaguarda de responsabilidade
Embora todas as precauções sejam tomadas na preparação da informação divulgada quer no portal Internet, quer através das listas de distribuição, o CERT.PT não assume qualquer responsabilidade por erros ou omissões, ou por danos resultantes do uso dessa informação.
A notificação de incidentes ao CNCS não se substitui à comunicação à autoridade judiciária ou ao órgão de polícia criminal competente, quando esses incidentes configurem também um ilícito criminal cujo procedimento penal dependa de queixa ou de acusação particular.
-----BEGIN PGP SIGNATURE-----
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=fljB
-----END PGP SIGNATURE-----