1. Definições
CSIRT– a função de resposta a incidentes de segurança informática (Computer Security Incident Response Team) participante na REDE e que presta o serviço de gestão de incidentes;
Incidente – um incidente de segurança das redes e da informação. Uma acção ou conjunto de acções desenvolvidas contra um computador ou rede de computadores que resulta, ou pode resultar, na perda da confidencialidade ou integridade da informação ou prejudica o desempenho de uma rede de comunicação de dados ou sistema. Normalmente um incidente de segurança das redes e da informação significa uma violação da política de segurança de uma organização;
Gestão de incidentes – o conjunto de serviços prestados pela CSIRT e que inclui obrigatoriamente o tratamento e/ou a coordenação de incidentes;
REDE – o conjunto das equipas que se regem por este mesmo Código de Conduta e que assegurem a gestão de incidentes.
2. Enquadramento
O presente documento destina-se a fornecer uma orientação de princípios para a REDE. Neste âmbito, pretende-se que as equipas nela participantes cooperem na actividade de gestão de incidentes e se constituam como uma comunidade. A adopção das práticas propostas como condição de adesão tem como objectivos fundamentais:
- Melhorar a eficiência da actividade de gestão de incidentes dentro da Rede;
- Facilitar uma troca de informação fluída entre as equipas participantes; e
- Promover uma recolha de indicadores e estatísticas que se determinem relevantes para a comunidade.
Esta versão do Código de Conduta para a Rede de Resposta a Incidentes de Segurança é baseada em documento homólogo do serviço Trusted Introducer versão 2.1 de 15 de Setembro de 2005.
3. Linhas orientadoras
A participação na REDE é voluntária e pode ser terminada por qualquer uma das CSIRT a todo o tempo;
A cooperação dentro da REDE faz-se sem prejuízo do cumprimento dos compromissos profissionais de cada um dos membros da equipa para com a sua entidade patronal;
Será assegurada a confidencialidade de informação sensível partilhada dentro da REDE. Entende-se por informação sensível aquela que possa vir a afectar a segurança ou a imagem pública de outra CSIRT, da comunidade servida por esta, da REDE como um todo ou da Internet e dos seus utilizadores em geral;
Os documentos produzidos dentro da REDE não podem ser utilizados fora desse âmbito sem o consentimento expresso do(s) seu(s) autor(es);
As políticas e processos de todas as CSIRT deverão ser optimizados através da partilha de conhecimentos e experiência e poderão constituir material de formação dentro da REDE;
O trabalho e cooperação entre os participantes deverá constituir um exemplo para outras CSIRT e servir de modelo a iniciativas semelhantes.
4. Requisitos legais
A CSIRT e os seus membros devem cumprir, no decurso da actividade de gestão de incidentes ou outro serviço associado, os normativos aplicáveis na ordem jurídica portuguesa;
A obrigação prevista no parágrafo anterior deve prevalecer sobre qualquer outro princípio ou regra previstos neste documento;
Dentro das suas capacidades, é recomendável que no decurso da gestão de incidentes de carácter trans-fronteiriço a equipa possa atender a requisitos legais de outros Estados nele envolvidos, desde que tal não conflitue com o estabelecido no primeiro parágrafo.
5. A CSIRT e os seus membros
A CSIRT e todos os seus membros devem pautar a sua actuação dentro de parâmetros de comportamento responsável e exemplar;
Sempre que, no decurso das suas actividades de gestão de incidentes, a CSIRT tomar conhecimento que outros membros da REDE e/ou as suas respectivas comunidades estejam a ser ou possam vir a ser afectadas por um qualquer incidente, é dever dessa CSIRT informar os membros da REDE implicados;
A CSIRT deve assegurar que todos os seus membros recebem uma cópia deste documento, que a lêem e que aceitam os seus termos;
Por forma a manter presentes os princípios e regras enunciados neste documento, é recomendado que a CSIRT promova, numa base regular, sessões de discussão sobre os tópicos aqui versados.
6. Tratamento da informação
O tratamento de informação no contexto das actividades de gestão de incidentes que possa vir a afectar a segurança e/ou a imagem pública de outra CSIRT, da sua comunidade, da REDE como um todo ou da Internet e dos seus utilizadores em geral, deve ser feito com responsabilidade, assegurando-se a sua protecção contra acessos não autorizados;
No contexto da gestão de incidentes, a informação comunicada a outras equipas ou terceiros envolvidos no incidente deve seguir o princípio da necessidade com vista à sua solução, considerando a protecção dos envolvidos;
A CSIRT deve usar meios adequados à comunicação da informação de acordo com a sua natureza. Informação classificada como sensível deve ser transmitida em canal criptográfico disponível na REDE.