-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256
RFC 2350
1. Informação acerca deste documento
Este documento descreve o serviço de coordenação da resposta a incidentes de cibersegurança do Centro Nacional de Cibersegurança (CNCS) de acordo com o RFC 2350.
1.1 Data da última atualização
Versão 1.9 publicada em 2021/01/25.
1.2 Listas de distribuição para notificações
Não existe um canal de distribuição para notificar alterações a este documento.
1.3 Acesso a este documento
A versão atualizada deste documento está disponível em https://www.cncs.gov.pt/certpt/rfc-2350/
A versão em língua inglesa está disponível em https://www.cncs.gov.pt/en/certpt_en/rfc-2350/
1.4 Autenticidade deste documento
Este documento está assinado com a chave PGP do CERT.PT.
4. Políticas
4.1 Tipos de incidente e nível de suporte
O CERT.PT responde a todos os tipos de incidente de cibersegurança, nomeadamente aqueles que resultam numa violação de segurança dos seguintes tipos:
a) Código Malicioso
b) Disponibilidade
c) Recolha de Informação
d) Tentativa de Intrusão
e) Intrusão
f) Segurança da Informação
g) Fraude
h) Conteúdo Abusivo
i) Vulnerável
O nível de suporte dado pelo CERT.PT varia consoante o tipo, gravidade e âmbito dos incidentes em curso e os recursos disponíveis para o seu tratamento. Em condições de funcionamento normais é um objetivo do CERT.PT dar uma primeira resposta no espaço de um dia útil.
O nível de suporte prestado pelo CERT.PT em condições normais varia também em função da entidade da comunidade servida afetada, sendo assegurados todos os serviços referidos em (5.) a entidades do Estado, operadores de Infraestruturas Críticas, operadores de serviços essenciais e prestadores de serviços digitais. Às restantes entidades e indivíduos constantes da Comunidade servida são assegurados os serviços de Coordenação da resposta a incidentes e Alertas de Segurança.
Em caso de um aumento considerável da severidade e âmbito dos incidentes ou de incidente de larga-escala, será dada prioridade ao tratamento de incidentes das entidades do Estado, operadores de Infraestruturas Críticas, operadores de serviços essenciais e prestadores de serviços digitais.
4.2 Cooperação, interação e política de privacidade
A política de privacidade e proteção de dados do CERT.PT prevê que informação sensível pode ser passada a terceiros, única e exclusivamente em caso de necessidade e com a autorização prévia expressa do indivíduo ou entidade a quem essa informação diga respeito.
4.3 Comunicação e autenticação
Dos meios de comunicação disponibilizados pelo CERT.PT, o telefone e o correio eletrónico não cifrado são considerados suficientes para a transmissão de informação não sensível. Para a transmissão de informação sensível é obrigatório o uso de cifra PGP.
O CERT.PT adota o standard TLP (Traffic Light Protocol) para a disseminação e partilha de informação.
5. Serviços
5.1 Coordenação da resposta a incidentes
A toda a Comunidade servida.
Sempre que solicitado para o efeito, o CNCS, através do serviço CERT.PT, presta um serviço de coordenação de resposta a incidentes entre as entidades envolvidas. Esta coordenação envolve, tipicamente as vítimas dos ataques e ISPs ou outros CSIRTs sempre que necessário. A coordenação da resposta a incidentes inclui:
1) triagem de notificações de incidentes, a sua análise técnica e forense;
2) articulação com as entidades nacionais e internacionais envolvidas;
3) produção de recomendações de mitigação e/ou de resolução do incidente.
A coordenação da resposta a incidentes pode partir da iniciativa do CNCS, por exemplo numa situação de incidente de larga escala, ou ser-lhe solicitada pelos canais designados para o efeito.
5.2 Suporte On-Site
A entidades do Estado, operadores de Infraestruturas Críticas, operadores de serviços essenciais e prestadores de serviços digitais.
O suporte on-site prevê o apoio, nas instalações do requerente, de técnicos especializados do CNCS, para análise e resposta a incidentes de cibersegurança. Dependendo das necessidades em concreto, este apoio pode, entre outros, incluir:
1) análise forense a máquinas ou hardware;
2) análise de tráfego;
3) análise de malware;
4) articulação com outros CSIRT nacionais ou internacionais;
5) produção de recomendações;
6) apoio na aplicação de medidas de mitigação e resolução.
O CNCS não executa as medidas de mitigação ou de resolução atrás referidas. Esta responsabilidade é de cada uma das entidades intervenientes.
5.3 Capacitação CSIRTs
A entidades do Estado, operadores de Infraestruturas Críticas, operadores de serviços essenciais e prestadores de serviços digitais.
Melhorar a capacidade nacional de resposta a incidentes de cibersegurança através da criação de novos CSIRTs e do desenvolvimento das capacidades dos já existentes. Para esse efeito, o CNCS promove ou desenvolve um conjunto de actividades com vista à capacitação de CSIRTs em território nacional, designadamente:
1) Ações de formação para técnicos e decisores que operem ou pretendam vir a operar um CSIRT;
2) Coordenação de exercícios nacionais e promoção da participação portuguesa em exercícios de cibersegurança internacionais;
3) Definição de um conjunto mínimo de capacidades técnicas, operacionais e humanas para um CSIRT;
4) Divulgação de boas práticas para a gestão de incidentes de cibersegurança;
5) Consultoria para a criação de novos CSIRT.
5.4 Alertas de Segurança
A toda a Comunidade servida.
Alertar as partes interessadas, incluindo o público em geral, para novos riscos de cibersegurança, prestando, igualmente, a informação necessária para a sua proteção e/ou remediação. Assim, o CNCS desenvolve duas actividades:
1) Em articulação com as restantes autoridades nacionais, emite um código único de perigosidade nacional;
2) Produz e dissemina às partes interessadas, alertas de segurança
-----BEGIN PGP SIGNATURE-----
iQIzBAEBCAAdFiEEuD6qPPgLJch8ZRhOOsnezqD3rPsFAmAOs4kACgkQOsnezqD3
rPv7jw//RYJ7JcSnDhd/IYYO6US69FpDClUZJZNPOVCWgYETo3wawqJfM3cn8xRo
pCnNkZjmNDEBSUHZKQvUqFjJs8LWHJvh3Qri34aJJHpFpZ8tUH0OGtoDFxnIJe8m
8758FENos4MXzW53gWNby8hmyfmAClKPYNM5MOzdlmWUdjHkzqnTRw7hpEkJgR92
lEOfKQ51EEeCEIl6hz/gH9beDAMBQUVNHpYNR7ptDhQdIKEjZ/fpfziOcv0Rtk6l
Yec8tTVweBZ5wczYNN9I7W2O7Q2F31CxODUfvUoSQSHQ3rr9mJZCqibS+oBv9Djp
y9Q74GbXaQPRdG/ch62wKUNdbT1J8iPONPXutkW9kqgdR1tpyTuiTaMtdH/cUoBT
0uTJA7vkyS4vGNGUM4RqPQ2ilXaxR3dM3hiTiB4yAOghtgenJ/toAQbeG4rnUWZd
pdpUr3ZMsInzpsUma5ElMeXaf0067vVG8X6vb8AdP8U3pvyStX4iM3dCyHQgtSqd
DTIYKsm5yRmgSwSbVBwUMb6nKu+4I7b7wttlUZNB01XkzNxxGcV+jQbrnrAsouhd
cOLLJox36q4bDs6SfZ6732lpYUhnKOkx+CY3JciQFFLcxg5xw6zO+amvHl6etawE
0lkt5OQdkgvsdM3vNAKnM2OAIp/O0J/fzoMlukZKR2nZSnqyp/Y=
=njYj
-----END PGP SIGNATURE-----