Skip to content Skip to main navigation Skip to footer

RFC2350 Assinado

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512


Âmbito do SOC do ISCTE e Resposta ao RFC2350
SERVIÇOS DE INFORMÁTICA E INFRAESTRUTURAS DE COMUNICAÇÕES

PÚBLICO
2 de novembro de 2021 

Âmbito do SOC do Iscte e Resposta ao RFC2350

1. Introdução
Este documento define, com detalhe e de acordo com a definição do RFC2350 - “Expectations for Computer Security Incident Response”, a constituency relativa ao SOC (Security Operations Center) do “ISCTE - INSTITUTO UNIVERSITÁRIO DE LISBOA” (doravante mencionado como Iscte), e à CSIRT (Computer Security Incident Response Team) que faz parte integrante do mesmo, bem como outras informações relevantes.

2. Âmbito
2.1 Publicação de Políticas e Procedimentos
A definição e a especificação de políticas e procedimentos que dizem respeito ao serviço de SOC do Iscte e da sua CSIRT, encontram-se detalhadas no documento designado por “Plano de Resposta a Incidentes de Segurança” do Iscte.
O serviço de SOC não só é responsável pela implementação contínua das políticas e processos de monitorização dos Incidentes de Segurança da Informação (doravante mencionados como Incidente/es) na infraestrutura do Iscte e nos seus componentes, mas também pela implementação e manutenção de mecanismos de deteção em tempo-real e dos procedimentos de resposta aos mesmos. 

2.2 Relações entre diferentes CSIRT
O serviço de SOC do Iscte, é a entidade interna que deve servir de ponto de contacto para todas as comunicações com CSIRT de outras organizações ou instituições e é também responsável por acompanhar o ciclo de vida de todos os Incidentes reportados pelos mesmos, e que estejam dentro do âmbito do Iscte.

2.3 Estabelecimento de Comunicações Seguras
A segurança da informação é um critério indispensável ao funcionamento do serviço do SOC. Assim, todos os stakeholders do processo de resposta a Incidentes necessitam de canais de comunicação seguros bem estabelecidos. Estes Canais de Comunicação estão definidos e enumerados no capítulo 6 do documento designado por “Plano de Resposta a Incidentes de Segurança” do Iscte. As informações públicas da chave PGP associada à mailbox do endereço de e-mail para reporting de Incidentes (Método de Contato Preferencial) podem ser encontradas no ponto “Informação sobre Chaves Públicas e Cifras”.

3. Informações, Políticas e Procedimentos
3.1 Acesso ao Documento
A versão atualizada deste documento deve ser disponibilizada a todos os colaboradores do Iscte que pertençam a um departamento ou secção que:
• esteja envolvida no processo de resposta a Incidentes;
• tenha sido previamente definida; e/ou 
• seja uma das partes interessadas no serviço.

3.1.1 Última Atualização
Última atualização realizada a 02/11/2021.

3.1.2 Lista de Distribuição para Notificações 
Qualquer alteração a este documento irá ser comunicada através do envio de um e-mail para todas as partes interessadas e envolvidas presentes na lista distribuição definida para o efeito, abaixo:
• SOC do Iscte - soc@iscte-iul.pt
• Diretor SIIC;
• Responsável da URCS;
• Responsável do GDSI;
• Responsável do NAU;
• Data Protection Officer;
• Responsável Legal;
• Responsável de Comunicação; e
• CNCS - cncs@cncs.pt

3.1.3 Localização do Documento
A versão atualizada da resposta ao RFC2350 por parte do SOC do Iscte encontra-se publicada em:
• https://siic.iscte-iul.pt/ciberseguranca/csirt/pt/rfc2350

3.1.4 Autenticidade do Documento
Este documento foi assinado com a chave PGP do SOC do Iscte.
• User ID:		SOC ISCTE-IUL 
• Fingerprint:		7EE6 FE47 80EA D304 923A 2BDD D261 3476 A184 7050
• Key type:		RSA/4096
• Disponível em: 	https://pgp.surf.nl/pks/lookup?op=get&search=0xD2613476A1847050
De forma a validar a autenticidade deste documento, está disponível uma versão do mesmo em plaintext, assinada com esta chave PGP. Esta versão pode ser encontrada em https://siic.iscte-iul.pt/ciberseguranca/csirt/pt/rfc2350.txt. 

3.2 Informações de Contato
3.2.1 Nome da Equipa
SOC do Iscte

3.2.2 Morada
Av.ª das Forças Armadas, 1649-026 Lisboa, Portugal

3.2.3 Fuso Horário
UTC/GMT Lisbon, London, Dublin - WEST (Western European Summer Time)

3.2.4 Horário de Expediente
O serviço do SOC do Iscte funciona no horário de expediente normal, entre as 9h e as 18h.

3.2.5 Telefone
• +351 210 464 500

3.2.6 Outras Comunicações
Para assuntos que não estejam relacionados com o reporting e resposta a Incidentes:
• soc@iscte-iul.pt

3.2.7 Método de Contato Preferencial
O método de contacto preferencial da equipa do SOC do Iscte é o endereço de e-mail utilizado para reporting de Incidentes:
• csirt@iscte-iul.pt

3.2.8 Portal de Reporting e Gestão de Incidentes (apenas para a comunidade do Iscte)
• https://iajuda.iscte-iul.pt/

3.2.9 Informação sobre Chaves Públicas e Cifras
O serviço de SOC disponibiliza uma chave PGP que deve ser utilizada sempre que exista a necessidade de encriptar qualquer tipo de informação ou ficheiro:
• User ID:		CSIRT ISCTE-IUL 
• Fingerprint:		1D08 1964 6E48 A2E8 2932 EAF3 49E8 B051 87CF 1A3D
• Key type:		RSA/4096
• Disponível em: 	https://pgp.surf.nl/pks/lookup?op=get&search=0x49E8B05187CF1A3D

3.2.10 Membros da Equipa
• Coordenador: Dauto Ussene Jeichande
o dauto.jeichande@iscte-iul.pt
• Equipa Operacional:
o soc@iscte-iul.pt

3.2.11 Outras Informações
Para encontrar mais informações sobre o Iscte pode consultar o site: https://iscte-iul.pt/.

3.3 Guião
3.3.1 Missão
O propósito do serviço de SOC do Iscte é o de servir a sua comunidade interna e os seus clientes num contexto de resposta a Incidentes de segurança da informação, bem como de proteger os seus serviços e a informação pessoal respetiva aos mesmos, e ainda o de prevenir possíveis ataques informáticos que possam ter algum impacto associado nas infraestruturas respetivas e/ou no negócio da instituição.

3.3.2 Comunidade
O serviço de SOC serve os colaboradores do Iscte e os seus clientes e é a entidade responsável pela colaboração no processo de resposta a Incidentes com outras entidades internas, externas e/ou prestadores de serviço envolvidos e necessários.

O serviço de SOC do Iscte atua assim, não só mas também, na prevenção e monitorização das seguintes gamas de endereços IP, pertencentes ao próprio Iscte:
• 192.92.146.0/24
• 193.136.188.0/24
• 193.136.189.0/24
• 193.136.190.0/24
• 193.136.191.0/24
• 194.210.64.0/20
• 194.210.80.0/22
• 194.210.84.0/23
• 194.210.86.0/24

3.3.3 Filiação
O serviço de SOC é um serviço do Iscte, cujo âmbito são os sistemas e recursos da instituição. As fontes de eventos que são recolhidos e monitorizados pelo serviço de SOC estão documentadas no capítulo 11  do documento designado por “Plano de Resposta a Incidentes de Segurança” do Iscte.

3.3.4 Autoridade
O serviço de SOC tem autoridade para responder a Incidentes que ocorram dentro da comunidade do Iscte, bem como para responder em nome da organização nos processos resposta a Incidentes em colaboração com entidades externas à mesma.

3.4 Políticas
3.4.1 Tipos de Incidente e Nível de Suporte
O serviço de SOC  do Iscte adota a taxonomia definida no capítulo 7 do documento designado por “Plano de Resposta a Incidentes de Segurança” do Iscte. Esta, à exceção da categoria de “Manutenção”, está em total conformidade com a taxonomia adotada a nível nacional pelo Centro Nacional de Cibersegurança (CNCS) e pelos membros da Rede Nacional de CSIRT, em dezembro de 2019, e a nível europeu, também em 2019, pela ENISA, a entidade para a Segurança das Redes e da Informação da União Europeia.
O nível de suporte dado a cada Incidente pode variar dependendo, não só da Severidade do mesmo no Iscte, conforme os valores definidos no capítulo 8 do documento designado por “Plano de Resposta a Incidentes de Segurança” do Iscte, mas também dos recursos do SOC disponíveis. Embora todos os Incidentes sejam tratados com a maior celeridade possível pelo serviço de SOC, estas diferenças estão detalhadas no capítulo 9 do documento designado por “Plano de Resposta a Incidentes de Segurança” do Iscte.

3.4.2 Cooperação, Interação e Política de Privacidade
A Política de Privacidade e Proteção de Dados do SOC estipula que qualquer tipo de informação considerada como sensível só será passada a terceiros em caso de extrema necessidade e sempre com a autorização prévia do indivíduo, departamento ou entidade a que esta pertence.

3.4.3 Comunicação e Autenticação
O e-mail e o telefone indicados neste documento são considerados suficientes para a transmissão de informação ao serviço de SOC do Iscte que não seja sensível e/ou confidencial. Caso seja necessário, pode ser utilizada a chave PGP do e-mail para reporting de incidentes, disponível no ponto “Informação sobre chaves públicas e cifras”, para encriptação das mensagens enviadas com conteúdo considerado sensível.

3.5 Serviços
3.5.1 Resposta a Incidentes
O serviço de SOC do Iscte fornece um serviço de coordenação e resposta aos Incidentes de segurança informática relacionados com toda a comunidade do Iscte.

3.5.1.1 Triagem de Incidentes
Na fase de Triagem os Incidentes são triados e uma primeira análise é realizada, com o objectivo de determinar se estes constituem efetivamente um Incidente e para lhes atribuir uma classificação adequada ao seu contexto.

3.5.1.2 Coordenação de Incidentes
Nesta fase é realizada uma análise mais detalhada para determinar as causas que levaram à ocorrência do Incidente e as contramedidas imediatas necessárias para mitigar o mesmo. Se necessário, são contatadas outras partes interessadas, internas ou externas.

3.5.1.3 Resolução de Incidentes
Por último, são delineadas e aplicadas as medidas de erradicação e/ou mitigação respetivas ao Incidente e, sempre que se justifique e seja necessário, é feita uma análise posterior de lições a tirar, um relatório mais detalhado e uma reunião com as equipas envolvidas.

3.5.2 Monitorização
O serviço de SOC garante a monitorização, correlação e análise dos eventos provenientes das ferramentas de segurança do Iscte integradas no SIEM no capítulo 11 do documento designado por “Plano de Resposta a Incidentes de Segurança” do Iscte.

3.5.3 Atividades Proativas
O serviço de SOC está constantemente a acompanhar possíveis ameaças que possam surgir e irá alertar, proactivamente, a comunidade e outras partes interessadas e definidas para esse propósito, sempre que se verifique a ocorrência de um Incidente relacionado com as mesmas.

3.6 Formulários
3.6.1 Formulário de Post-Mortem
É elaborado um relatório com uma análise mais pormenorizada de todos os detalhes do respetivo Incidente, seguindo o template definido para esse efeito, presente no capítulo 16 do documento designado por “Plano de Resposta a Incidentes de Segurança” do Iscte, indicando a timeline do ciclo de vida do Incidente, as medidas tomadas a cada fase, as pessoas envolvidas e as lições aprendidas para tentar erradicar futuros Incidentes semelhantes, entre outras informações.

3.7 Disclaimer
Apesar de serem tomadas todas as precauções na preparação da informação que é divulgada, quer na Internet, quer através das listas de distribuição, o SOC-do Iscte não assume qualquer responsabilidade por erros ou omissões cuja origem não seja o próprio SOC, bem como pela ocorrência de Incidentes que possam advir da utilização dessa mesma informação.


Âmbito do SOC do ISCTE e Resposta ao RFC2350	Serviços de Informática e Infraestruturas de Comunicações | Ver. 1      | PÚBLICO

Iscte − Instituto Universitário de Lisboa · Av. Forças Armadas, 1649-026 Lisboa · 
+351 217 903 000 · · geral@iscte-iul.pt
-----BEGIN PGP SIGNATURE-----
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=Cc0G
-----END PGP SIGNATURE-----