SNS Logo SNS Logo SPMS Logo SPMS Logo

RFC 2350 PT

—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA512

RFC2350 CSIRT-SPMS

  1. Informação acerca deste documento

1.1. Data da última atualização
Versão 2.0 disponibilizada em 2025/08/06.

1.2. Listas de distribuição para notificações
Não existe um canal de distribuição para notificar alterações a este documento.

1.3. Acesso a este documento
A versão atualizada deste documento está disponível em https://www.spms.min-saude.pt/rfc-2350-pt/
The english version of this document is available at https://www.spms.min-saude.pt/rfc-2350-en/

1.4. Autenticidade deste documento
Este documento está assinado com a chave PGP do CSIRT-SPMS.

  1. Informação de contacto

2.1. Nome da equipa
Nome completo: Equipa de Resposta a Incidentes de Cibersegurança da SPMS
Nome curto: CSIRT-SPMS

2.2. Endereço postal
Unidade de Cibersegurança
SPMS – Serviços Partilhados do Ministério da Saúde, EPE
Av. da República 61
1050-099 Lisboa
Portugal

2.3. Zona horária
Europe/Lisbon (GMT+0, GMT+1 hora de verão)

2.4. Telefone
+351 933 811 273 (Horário normal de resposta a incidentes: dias úteis das 08h – 20h00)
+351 963 033 650 (Contacto de prevenção fora das horas normais de funcionamento)

2.5. Fax
Não existente.

2.6. Outras telecomunicações
Não existentes.

2.7. Endereços de correio eletrónico
Comunicações de incidentes de segurança informática devem ser enviados para: csirt@spms.min-saude.pt

2.8. Chaves públicas e informação de cifra
PGP Key ID: 0x49F2C213
PGP Fingerprint: 8AC3 8A4D AD11 13A3 0F73 88F2 4002 57DF 49F2 C213
A chave PGP está disponível em https://www.spms.min-saude.pt/csirt-spms-pgp/

2.9. Membros da equipa
A informação sobre os membros da equipa apenas está disponivel por solicitação.

2.10. Outra informação
Mais informação sobre a SPMS poderá ser encontrada em https://www.spms.min-saude.pt/

2.11. Meios de contacto para utilizadores
O CSIRT-SPMS dispõe dos meios de contacto elencados nas secções 2.2, 2.4 a 2.7.

  1. Guião

3.1. Missão
O CSIRT-SPMS visa a proteção das infraestruturas centrais de TI que suportam os serviços aplicacionais internos da SPMS, bem como os serviços proporcionados a entidades externas. Para este efeito, o CSIRT-SPMS coordena incidentes dentro da sua comunidade constituinte e âmbito de atuação, auxiliando na resolução dos mesmos, no quadro das políticas internas, designadamente a Política de Segurança de Informação e Política de Tratamento de Incidentes.
O CSIRT-SPMS contribui para a melhoria da segurança da informação de forma transversal em toda a SPMS, promovendo a adoção de boas práticas internas neste domínio e fomentando uma cultura de cibersegurança.

3.2. Comunidade servida
O CSIRT-SPMS coordena a resposta a incidentes de cibersegurança envolvendo:
1) Ativos de informação que constituem a infraestrutura central da SPMS
2) Espaço de endereçamento pertencente ao AS34873 (ACSS – Administração Central do Sistema de Saúde, I.P.), bem como outras redes especificadas
Endereços incluídos nas redes:
193.164.0.0/24 (AS34873)
213.13.151.0/24
194.79.78.0/23
194.79.80.0/24
194.65.16.85
3) Software produzido pela SPMS enquanto produto
NÃO estão abrangidos problemas de configuração, manutenção ou instalação da responsabilidade de entidades externas à SPMS.
4) Comunidade de utilizadores internos dos sistemas IT da SPMS
5) Elemento de Coordenação Operacional de Segurança da Saúde (ECOS)
Responsável pela validação dos incidentes de cibersegurança notificados pelas entidades do MS/SNS, pela coordenação centralizada desses incidentes dentro do eSIS (Ecossistema Sistemas de Informação da Saúde), e pela consecutiva notificação obrigatória centralizada através dos canais de comunicação do CNCS.
6) Serviços limitados para a comunidade de instituições, hospitais e centros de saúde ULS
Apoio numa base de “best effort” ao eSIS, com a exceção do serviço de e-mail prestado pela SPMS ao eSIS, que é considerado serviço central e, portanto, se considera abrangido pelo ponto “Ativos de informação que constituem a infraestrutura central ou sob a gestão da SPMS”, acima.

3.3. Filiação
O CSIRT-SPMS é um serviço integrante da Unidade de Cibersegurança da SPMS, EPE.

3.4. Autoridade
O CSIRT-SPMS é um serviço integrante da Unidade de Cibersegurança da SPMS, EPE, cuja competência se encontra discriminada em Regulamento Interno, aprovado por deliberação pelo Conselho de Administração a 17.11.2023 e homologado pela tutela em 30.11.2023. Adicionalmente, a esta orgânica encontram-se também atribuídas responsabilidades no âmbito do Despacho nº 1348/2017 – que estabelece o Elemento de Coordenação Operacional de Segurança (ECOS) da Saúde, o qual deve assegurar a operacionalização do Procedimento de Notificação e desempenhar funções de ponto único de contacto, do Ministério da Saúde, junto do Centro Nacional de Cibersegurança e no Despacho nº 8877/2017 que estabelece o modelo de governação relativo à implementação da política de cibersegurança da saúde.

  1. Políticas

4.1. Classes de incidentes e nível de suporte
O CSIRT-SPMS responde a todas as classes de incidentes de cibersegurança, que ocorram no âmbito da sua comunidade da saúde, nomeadamente aqueles que resultam numa violação de segurança das seguintes classes, sendo que adota a taxonomia da Rede Nacional CSIRT:
a) Conteúdo Abusivo
b) Código Malicioso
c) Recolha de Informação
d) Tentativa de Intrusão
e) Intrusão
f) Disponibilidade
g) Segurança da Informação
h) Fraude
i) Vulnerabilidade
j) Outro
O nível de suporte dado pelo CSIRT-SPMS varia consoante o tipo, gravidade e âmbito dos incidentes em curso e os recursos disponíveis para o seu tratamento. Em caso de um aumento considerável da severidade e âmbito dos incidentes ou de incidente de larga-escala em entidades do Ministério da Saúde e Serviço Nacional de Saúde (MS/SNS), será sempre dada prioridade ao tratamento de incidentes da SPMS, EPE.

4.2. Cooperação, interação e política de privacidade
A política de privacidade e proteção de dados do SPMS estabelece que informação sensível pode ser transmitida a terceiros, única e exclusivamente em caso de necessidade e com a autorização prévia expressa do indivíduo ou entidade a quem essa informação diga respeito.

4.3. Comunicação e autenticação
Dos meios de comunicação disponibilizados pelo CSIRT-SPMS, o telefone e o correio eletrónico não cifrado são considerados suficientes para a transmissão de informação não sensível. Para a transmissão de informação sensível é obrigatório o uso de cifra PGP, identificada no ponto 2.8 deste documento.

  1. Serviços

5.1. Tratamento de incidentes de segurança dentro do âmbito constituinte
O tratamento de incidentes de segurança configura o principal serviço do CSIRT-SPMS que terá sempre em consideração o âmbito do incidente, englobando, entre outros:
1) Articulação e facilitador de comunicações com equipas internas da SPMS e/ou outras entidades como CNCS, fornecedores, entidades do MS/SNS, etc.;
2) Análises e investigações técnicas de segurança;
3) Atividades de suporte e/ou contenção e erradicação de incidentes de segurança;
4) Desenvolvimento de documentação do incidente;
5) Produção de recomendações e acompanhamento de ações para evitar incidentes futuros.

Constitui-se um incidente de cibersegurança:
1) Qualquer evento de segurança que tenha probabilidade de causar impacto nos ativos em âmbito do CSIRT SPMS deve ser submetido para investigação pelo CSIRT.
2) Alertas de ataques eminentes (e.g. avisos de hacktivismo, DoS de âmbito público, manifestos, alertas e avisos de autoridades – CNCS, forças policiais ou outras fontes acreditadas).
3) Eventos de segurança recorrentes relacionados com um determinado sistema (severidade elevada).
4) Alto número de sistemas SPMS abrangidos por um evento de segurança
5) Eventos de segurança em âmbito do CSIRT-SPMS reportados por fontes externas acreditadas.

5.2. Disseminação de alertas de segurança
A toda a comunidade servida e partes interessadas, o CSIRT-SPMS propõe-se a emanar alertas de segurança e recomendações, prestando, igualmente, informação necessária para a sua proteção e/ou remediação através de fontes como o CNCS e outras autoridades nacionais, assim como de informações proactivamente reunidas, rececionadas e publicadas de outras fontes e fóruns fidedignos.

5.3. Coordenação da resposta a incidentes dentro da comunidade eSIS
No âmbito das responsabilidades de Elemento de Coordenação Operacional de Segurança (ECOS) da Saúde (Despacho nº 1348/2017), o CSIRT-SPMS é responsável pela coordenação centralizada de incidentes dentro do eSIS que inclui:
1) Triagem de notificações de incidentes, a sua análise técnica e forense;
2) Articulação com as entidades envolvidas;
3) Ação de medidas de mitigação e/ou resolução de âmbito central;
4) Produção de recomendações de mitigação e/ou de resolução do incidente de âmbito local;
5) Reporte de incidentes ao CNCS.

5.4. Suporte de cibersegurança à comunidade eSIS
O suporte de cibersegurança à comunidade eSIS prevê, numa base de “best effort”, a disponibilização de técnicos especializados do CSIRT-SPMS, para análise e resposta a incidentes de cibersegurança de âmbito local. Dependendo das necessidades em concreto, este apoio pode, entre outros, incluir:
1) Análise de código malicioso;
2) Análise de tráfego;
3) Análise forense a máquinas ou hardware;
4) Produção de recomendações para evitar incidentes semelhantes futuros;
5) Apoio na aplicação local de medidas de mitigação e resolução.

5.5. Atividades proativas de cibersegurança
No âmbito proativo, incluem-se as seguintes atividades:
1) Monitorização proativa de eventos de segurança com recurso a ferramentas tecnológicas com despistagem de atividade maliciosa;
2) Threat hunting;
3) Desenho, Desenvolvimento, instalação, configuração e implementação, suporte e manutenção de soluções técnicas de segurança;
4) Análises de vulnerabilidades e Auditorias de segurança (Pentests);
5) Ações de formação de resposta a incidentes de segurança;
6) Workshops e campanhas de consciencialização para temáticas de segurança da informação e cibersegurança.

5.6. Cooperação e Partilha de Informação
CSIRT-SPMS considera de extrema importância a cooperação e a partilha de informação a todos os níveis, entre CERTs, CSIRTs, SOCs e entidades similares, bem como com outras organizações. Este serviço tem como objetivo contribuir para a antecipação e proatividade, resultantes da partilha de informação e inteligência sobre ameaças e para melhorar globalmente a postura de segurança.
Este serviço visa o desenvolvimento e promoção de plataformas, quadros e bases de dados de partilha de informação, criando laços de cooperação entre o CSIRT-SPMS e os seus constituintes e demais entidades.

  1. Formulários de report de incidentes
    Não estão definidos formulários para o efeito.
  2. Salvaguarda de responsabilidade
    Embora todas as precauções sejam tomadas na preparação da informação divulgada quer no portal Internet, quer através das listas de distribuição, o CSIRT-SPMS não assume qualquer responsabilidade por erros ou omissões, ou por danos resultantes do uso dessa informação.

—–BEGIN PGP SIGNATURE—–
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=ioB4
—–END PGP SIGNATURE—–

Voltar
Resposta Sazonal em Saúde
Voltar para o topo.