RFC 2350 PT

—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA512

RFC2350 CSIRT-SPMS

  1. Informação acerca deste documento

1.1. Data da última atualização
Versão 2.1 disponibilizada em 2025/09/10.

1.2. Listas de distribuição para notificações
Não existe um canal de distribuição para notificar alterações a este documento.

1.3. Acesso a este documento
A versão atualizada deste documento está disponível em https://www.spms.min-saude.pt/rfc-2350-pt/
The english version of this document is available at https://www.spms.min-saude.pt/rfc-2350-en/

1.4. Autenticidade deste documento
Este documento está assinado com a chave PGP do CSIRT-SPMS.

  1. Informação de contacto

2.1. Nome da equipa
Nome completo: Equipa de Resposta a Incidentes de Cibersegurança da SPMS
Nome curto: CSIRT-SPMS

2.2. Endereço postal
Unidade de Cibersegurança
SPMS – Serviços Partilhados do Ministério da Saúde, EPE
Av. da República 61
1050-099 Lisboa
Portugal

2.3. Zona horária
Portugal (Continente) encontra-se no fuso horário da Europa Ocidental cuja hora padrão da Europa Ocidental (WET) é a hora média de Greenwich (GMT).

2.4. Telefone
+351 933 811 273 (Horário normal de resposta a incidentes: dias úteis das 08h – 20h00)
+351 963 033 650 (Contacto de prevenção fora das horas normais de funcionamento)

2.5. Fax
Não existente.

2.6. Outras telecomunicações
Não existentes.

2.7. Endereços de correio eletrónico
Comunicações sobre eventos ou incidentes de cibersegurança devem ser enviados para: csirt@spms.min-saude.pt

2.8. Chaves públicas e informação de cifra
PGP Key ID: 0x49F2C213
PGP Fingerprint: 8AC3 8A4D AD11 13A3 0F73 88F2 4002 57DF 49F2 C213
A chave PGP está disponível em https://www.spms.min-saude.pt/csirt-spms-pgp/

2.9. Membros da equipa
A informação sobre os membros da equipa apenas está disponivel por solicitação.

2.10. Outra informação
Mais informação sobre a SPMS poderá ser encontrada em https://www.spms.min-saude.pt/

2.11. Meios de contacto para utilizadores
O CSIRT-SPMS dispõe dos meios de contacto elencados nas secções 2.2, 2.4 a 2.7.

  1. Guião

3.1. Missão
O CSIRT-SPMS visa a proteção das infraestruturas centrais de TI que suportam os serviços aplicacionais internos da SPMS, bem como os serviços proporcionados a entidades externas. O CSIRT-SPMS contribui ainda para o reforço de cibersegurança das entidades ligadas à Rede de Informação da Saúde (RIS), englobando serviços limitados para o eSIS (Ecossistema Sistemas de Informação da Saúde) constituído por entidades do Ministério da Saúde e Serviço Nacional de Saúde (MS/SNS).
Para este efeito, o CSIRT-SPMS coordena incidentes dentro da sua comunidade constituinte e âmbito de atuação, auxiliando na resolução dos mesmos, no quadro das políticas internas.
O CSIRT-SPMS contribui para a melhoria da segurança da informação de forma transversal em toda a SPMS e eSIS, promovendo a adoção de boas práticas neste domínio e fomentando uma cultura de cibersegurança.

3.2. Comunidade servida
O CSIRT-SPMS coordena a resposta a incidentes de cibersegurança envolvendo:
1) Ativos de informação que constituem a infraestrutura central da SPMS
2) Espaço de endereçamento pertencente ao AS34873 (ACSS – Administração Central do Sistema de Saúde, I.P.), bem como outras redes especificadas
Endereços incluídos nas redes:
193.164.0.0/24 (AS34873)
213.13.151.0/24
194.79.78.0/23
194.79.80.0/24
194.65.16.85
3) Software produzido pela SPMS enquanto produto
NÃO estão abrangidos problemas de configuração, manutenção ou instalação da responsabilidade de entidades externas à SPMS.
4) Comunidade de utilizadores internos dos sistemas IT da SPMS
5) Elemento de Coordenação Operacional de Segurança da Saúde (ECOS)
Responsável pela validação dos incidentes de cibersegurança notificados pelas entidades do eSIS e pela coordenação centralizada desses incidentes
6) Serviços limitados para o ecossistema eSIS

3.3. Filiação
O CSIRT-SPMS é um serviço integrante da Unidade de Cibersegurança da SPMS, EPE. Este serviço mantém afiliações com vários SOC’s, CSIRTs e CERTs em Portugal, na Europa e globalmente, de acordo com as necessidades e princípios de cooperação da sua missão e valores.

3.4. Autoridade
O CSIRT-SPMS é um serviço integrante da Unidade de Cibersegurança da SPMS, EPE, cuja competência se encontra discriminada em Regulamento Interno, aprovado por deliberação pelo Conselho de Administração a 17.11.2023 e homologado pela tutela em 30.11.2023. Adicionalmente, a esta orgânica encontram-se também atribuídas responsabilidades no âmbito do Despacho nº 1348/2017 – que estabelece o Elemento de Coordenação Operacional de Segurança (ECOS) da Saúde, o qual deve assegurar a operacionalização do Procedimento de Notificação e desempenhar funções de ponto único de contacto, do Ministério da Saúde, junto do Centro Nacional de Cibersegurança e no Despacho nº 8877/2017 que estabelece o modelo de governação relativo à implementação da política de cibersegurança da saúde.

  1. Políticas

4.1. Classes de incidentes e nível de suporte
O CSIRT-SPMS responde a todas as classes de incidentes de cibersegurança, que ocorram no âmbito da sua comunidade da saúde, nomeadamente aqueles que resultam numa violação de segurança das seguintes classes, sendo que adota a taxonomia da Rede Nacional CSIRT:
a) Conteúdo Abusivo
b) Código Malicioso
c) Recolha de Informação
d) Tentativa de Intrusão
e) Intrusão
f) Disponibilidade
g) Segurança da Informação
h) Fraude
i) Vulnerabilidade
j) Outro
O nível de suporte dado pelo CSIRT-SPMS varia consoante o tipo, gravidade e âmbito dos incidentes em curso e os recursos disponíveis para o seu tratamento. Em caso de um aumento considerável da severidade e âmbito dos incidentes ou de incidente de larga-escala em entidades do Ministério da Saúde e Serviço Nacional de Saúde (MS/SNS), será sempre dada prioridade ao tratamento de incidentes da SPMS, EPE.

4.2. Cooperação, interação e política de privacidade
O CSIRT-SPMS coopera com outras entidades e redes de cooperação em assuntos relacionados com a cibersegurança e a segurança informática. Esta cooperação inclui a troca de informações anonimizada sobre ameaças, incidentes de segurança, campanhas de ataque e vulnerabilidades, bem como técnicas de mitigação.
A política de privacidade e proteção de dados da SPMS estabelece que informação sensível pode ser transmitida a terceiros, única e exclusivamente em caso de necessidade e com a autorização prévia expressa do indivíduo ou entidade a quem essa informação diga respeito, a não ser que partilha de informação decorra do cumprimento de uma obrigação legal ou pedido judicial.

4.3. Comunicação e autenticação
Dos meios de comunicação disponibilizados pelo CSIRT-SPMS, o telefone e o correio eletrónico não cifrado são considerados suficientes para a transmissão de informação não sensível. Para a transmissão de informação sensível é obrigatório o uso de cifra PGP.

  1. Serviços

5.1. Tratamento de incidentes de segurança dentro do âmbito constituinte
O tratamento de incidentes de segurança configura o principal serviço do CSIRT-SPMS que terá sempre em consideração o âmbito do incidente e sua criticidade, englobando, entre outros:
1) Articulação e facilitador de comunicações com equipas internas da SPMS e/ou entidades do eSIS;
2) Análises e investigações técnicas de segurança;
3) Atividades de suporte e/ou contenção e erradicação de incidentes de segurança;
4) Desenvolvimento de documentação do incidente;
5) Produção de recomendações e acompanhamento de ações para evitar incidentes futuros;
6) Comunicação com CNCS, fornecedores, etc.;

5.2. Monitorização proativa de segurança
O CSIRT-SPMS assegura atividades de monitorização contínua e proativa da segurança dos sistemas, redes e serviços dentro do âmbito constituinte através de ferramentas e processos de inteligência e deteção de ameaças (cyber threat intelligence), correlação e análise em tempo real, com vista a:
1) Detetar precocemente potenciais incidentes de segurança;
2) Recolher, analisar e partilhar informação sobre ameaças digitais;
3) Identificar padrões de ataque e comportamentos anómalos;
4) Reforçar a capacidade de prevenção e mitigação de riscos;
5) Fornecer informação acionável para uma resposta célere e eficaz.

5.3. Disseminação de alertas de segurança
A toda a comunidade servida e partes interessadas, o CSIRT-SPMS propõe-se a emanar alertas de segurança e recomendações, prestando, igualmente, informação necessária para a sua proteção e/ou remediação através de fontes e fóruns fidedignos ou proactivamente reunidas.

5.4. Coordenação da resposta a incidentes dentro da comunidade eSIS
No âmbito das responsabilidades de Elemento de Coordenação Operacional de Segurança (ECOS) da Saúde (Despacho nº 1348/2017), o CSIRT-SPMS é responsável pela coordenação centralizada de incidentes dentro do eSIS.
Neste âmbito, incluem-se as ações de corte total ou parcial, temporário ou definitivo, de serviços, quando estas se afigurem necessárias para a proteção de outras entidades, da RIS ou da internet em geral.

5.5. Suporte de cibersegurança à comunidade eSIS
O suporte de cibersegurança à comunidade eSIS prevê, numa base de “best effort”, a disponibilização de técnicos especializados do CSIRT-SPMS para apoio à resposta e recuperação de incidentes de cibersegurança de âmbito local. Dependendo das necessidades em concreto, este apoio pode, entre outros, incluir:
1) Análise de código malicioso;
2) Análise de tráfego;
3) Análise forense a máquinas ou hardware;
4) Produção de recomendações para evitar incidentes semelhantes futuros;
5) Apoio na aplicação local de medidas de mitigação e resolução.

5.6. Outras atividades proativas de cibersegurança
Neste âmbito incluem-se, a título de exemplo, as seguintes atividades:
1) Desenho, instalação, configuração, implementação, suporte e manutenção de soluções técnicas de segurança;
2) Análises de vulnerabilidades e Auditorias de segurança (Pentests);
3) Threat hunting;
4) Ações de formação de resposta a incidentes de segurança;
5) Workshops e campanhas de consciencialização para temáticas de segurança da informação e cibersegurança.

5.7. Cooperação e Partilha de Informação
O CSIRT-SPMS assegura participação em várias redes e fóruns de cooperação e partilha de informação a todos os níveis, entre SOC’s, CSIRTs e CERTs e entidades similares, bem como com outras organizações.
O CSIRT-SPMS assegura ainda a representatividade setorial da saúde nestes fóruns e iniciativas de cibersegurança, garantindo que as especificidades e necessidades críticas do setor são devidamente refletidas.
Este serviço tem como objetivo contribuir para a antecipação e proatividade, resultantes da partilha de informação e inteligência sobre ameaças e para melhorar globalmente a postura de segurança.

  1. Formulários de report de incidentes
    Não estão definidos formulários para o efeito.

  2. Salvaguarda de responsabilidade
    Embora todas as precauções sejam tomadas na preparação da informação divulgada quer no portal Internet, quer através das listas de distribuição, o CSIRT-SPMS não assume qualquer responsabilidade por erros ou omissões, ou por danos resultantes do uso dessa informação.

—–BEGIN PGP SIGNATURE—–
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=xL2o
—–END PGP SIGNATURE—–

Voltar
Voltar para o topo.