Professional Documents
Culture Documents
Controlo de
Incidentes de
Segurana
Informtica
Poltica de actuao do CERT.PT para mitigao de
impacto de incidentes de segurana informtica
Servio CERT.PT
Abril de 2010
Medidas de
Controlo de
Incidentes de
Segurana
Informtica
Poltica de actuao do CERT.PT para mitigao de
impacto de incidentes de segurana informtica
Servio CERT.PT
INT/2010/CERT.PT v.3
Abril de 2010
NDICE
INTRODUO ................................................................................................... 1
MBITO .............................................................................................................. 1
CRITRIOS .........................................................................................................2
REINCIDNCIA ................................................................................................6
10
11
LISTA DE TABELAS
ii
INTRODUO
MBITO
CRITRIOS
O critrio de deciso quanto medida de controlo a aplicar numa dada situao ser ditada
pelos seguintes factores: (a) tipo de incidente e gravidade associada (ver captulos 4 e 6); e
(b) contexto do incidente (ver captulo 8).
A prioritizao nos meios de comunicao utilizados depender da resposta por parte da(s)
instituio(es) envolvidas (ver captulos 5 e 7).
Incidente
Gravidade
Falsidade informtica
Interferncia em dados
A determinar em
funo das
caractersticas do
incidente (*)
(*) A determinao sobre a gravidade do incidente, caso esta no seja ditada pela tabela
acima, ser feita pelo CERT.PT em funo de factores como:
Abrangncia
Gravidade
Tempo
de
Resposta
Esperado Entre Interaces
2 dias teis
1 dia til
2h
Incidente (isolado)
Medida a aplicar
Falsidade informtica
Corte a conectividade
IP/Porta (um ou vrios
pares)
Corte a conectividade de
um ou vrios IPs
Acesso ilegtimo a sistema informtico
Corte a conectividade de
um ou vrios IPs
Interferncia em dados
Corte a conectividade de
um ou vrios IPs
Mensagem
solicitada
de
correio
Corte a conectividade de
um ou vrios IPs
electrnico
no Corte a conectividade
IP/Porta (um ou vrios
pares)
Medida
Entidade competente
Aprovao do Conselho
Executivo da FCCN
REINCIDNCIA
Nos casos em que se venham a detectar vrias ocorrncias de um mesmo tipo de incidente
para a mesma instituo (ou bloco de endereos), a escalagem da situao reflectir-se- nos
meios de comunicao utilizados pelo CERT.PT para notificar a instituio alegadamente
transgressora. A medida de controlo a aplicar no ser agravada, uma vez que uma
repetio de um mesmo incidente no significa, usualmente, uma ameaa mais abrangente.
Assim sendo, a escalagem ter como efeito:
1) Nos casos em que se enviaria inicialmente notificao por email, tentar-se- de
imediato o contacto telefnico;
2) Nos casos em que se notificaria a instituio por telefone, avisar-se- por fax a
instituio em causa da entrada em efeito da medida de controlo no perodo
apropriado (ver Tempo de Resposta Esperado Entre Interaces).
Esta escalagem tem por objectivo minimizar os tempos de resposta das instituies, bem
como reduzir o nmero de interaces possvel.
Note-se que, em casos sem escalagem, esto previstas 3 interaces contacto por email,
seguido (em caso de ausncia de resposta til) de contacto por telefone, seguido (em caso
de ausncia de resposta til) de contacto por fax, notificando da medida de controlo a
aplicar, tal como descrito no captulo 5.
Note-se ainda que, entre cada uma destas interaces, est previsto um tempo mximo de
resposta definido pela Tabela 2 no captulo 4. De acordo com a escalagem descrita acima, o
nmero de interaces fica reduzido a 2 no caso 1). No caso 2), haver lugar apenas a uma
interaco (o envio do fax comunicando a medida de controlo a aplicar).
MLTIPLOS INCIDENTES
Nos casos em que se venha a detectar mais que um tipo de incidente para a mesma
instituio (ou bloco de endereos), a escalagem da situao reflectir-se- na medida de
controlo a aplicar, uma vez que a diversificao de actividade maliciosa aponta, usualmente,
para uma situao de compromisso de segurana mais grave que o caso isolado,
justificando medidas de controlo de maior abrangncia.
PARES)
para
incidentes
isolados,
adoptar-se-
CORTE
9
SUSPENSO E/OU LEVANTAMENTO DE
MEDIDAS
As medidas de controlo de trfego sero suspensas e/ou levantadas logo que verifique que
o incidente foi tratado de forma adequada, tendo da resultado a cessao do trfego
indevido.
O CERT.PT manter um registo actualizado do estado das medidas de controlo de
incidente aplicadas, podendo fornecer essa informao aos contactos credenciados para o
efeito.
10
Para efeitos de aplicao dos termos do presente documento, designadamente para efeitos
de notificao sobre uma situao que possa vir a justificar a imposio de uma medida de
controlo de trfego, entende-se por contactos registados da instituio:
Os contactos indicados pela instituio na descrio tipo RFC2350, dos seus servios
de segurana informtica, presentes no directrio de contactos do CERT.PT ;
Os contactos administrativos e tcnicos das entidades utilizadoras da RCTS constantes
da base de dados da FCCN.
Para efeitos de notificao sobre uma medida de controlo de trfego que tenha sido
decidida e aplicada, notificar-se- para alm dos contactos registados da instituio o
responsvel mximo da instituio.
11
CONTACTOS DO CERT.PT