RFC2350

—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA256

1. Informação acerca deste documento

Este documento descreve o serviço de resposta a incidentes de cibersegurança dos Serviços Partilhados do Ministério da Saúde (SPMS), EPE de acordo com o RFC 2350.

A SPMS, EPE tem a natureza de pessoa coletiva de direito público de natureza empresarial, dotada de personalidade jurídica, autonomia administrativa e financeira e de património próprio, nos termos do regime jurídico do setor empresarial do Estado, aprovado pelo Decreto-Lei n.º 133/2013, de 03 de outubro, estando sujeita à tutela dos membros do Governo responsáveis pelas áreas das finanças e da saúde.

Com efeito, a SPMS tem por atribuições:
• A prestação de serviços partilhados nas áreas de compras e logística, serviços financeiros, recursos humanos e sistemas e tecnologias de informação e comunicação;
• O funcionamento do Centro de Contacto do Serviço Nacional de Saúde (CCSNS) e do Centro Nacional de TeleSaúde (CNTS);
• Assegurar a atividade e a gestão do Centro de Controlo e Monitorização do SNS (CCMSNS), no âmbito dos serviços partilhados de conferência de faturas de medicamentos, de meios complementares de diagnóstico e terapêutica e de outras áreas de prestações de saúde.

1.1. Data da última atualização
Versão 1.2 datado de 11.12.2020

1.2. Listas de distribuição para notificações
Não existe um canal de distribuição para notificar alterações a este documento.

1.3. Acesso a este documento
A versão atualizada deste documento estará disponível em https://www.spms.min-saude.pt/rfc2350/

1.4. Autenticidade deste documento
Este documento está assinado com a chave PGP da SPMS, EPE.

2. Informação de contacto

2.1. Nome da equipa
CSIRT SPMS

2.2. Endereço postal
SPMS – Serviços Partilhados do Ministério da Saúde, EPE
Av. da República 61
1050-099 Lisboa
Portugal

2.3. Zona horária
Portugal/WEST (GMT+0, GMT+1 em horário de verão)

2.4. Telefone
+351 924137156 e +351 924137107 (horário normal de funcionamento: dias úteis das 08 – 20h00)
+351 960 176 863 (Contacto de prevenção fora das horas normais de funcionamento)

2.5 Fax
+351 211545649

2.6. Outras telecomunicações
Não existentes.

2.7. Endereços de correio eletrónico
Correio eletrónico para notificação de incidentes de cibersegurança: csirt@spms.min-saude.pt
Correio eletrónico para outros assuntos relacionados com serviços cibersegurança: ciberseguranca@spms.min-saude.pt

2.8. Chaves públicas e informação de cifra
Key Type: RSA 2048 bits
PGP Key ID: 4918 601E
PGP Fingerprint: 2620 CF83 6924 C226 5500 3D81 0AE1 D35B 4918 601E
A chave está disponível em: https://www.spms.min-saude.pt/csirt-spms-pgp/ e pode ser encontrada nos habituais servidores de chaves públicas existentes na Internet, como por exemplo pgp.mit.edu e pgp.circl.lu

2.9 Membros da equipa
Coordenação: Jéssica Domingues
Membros: Bruno Morais, Guilherme Silva, Susana Fonseca, Wagner Resende, Wagner Rosa e Christian Duarte

2.10 Outra informação
Mais informação sobre o CSIRT SPMS poderá ser encontrada em https://www.spms.min-saude.pt/2019/04/ciberseguranca-2

2.11 Meios de contacto para utilizadores
O CSIRT SPMS dispõe dos meios de contacto elencados nas secções 2.2, 2.4 a 2.6

3. Guião

3.1. Missão
O CSIRT SPMS visa a proteção das infraestruturas centrais de TI que suportam os serviços aplicacionais internos da SPMS, bem como os serviços proporcionados a entidades externas. Para este efeito, o CSIRT coordena incidentes dentro da sua comunidade constituinte e âmbito de atuação, auxiliando na resolução dos mesmos, no quadro das políticas internas, designadamente a Política de Segurança de Informação e Política de Tratamento de Incidentes. O CSIRT SPMS contribui para a melhoria da segurança da informação de forma transversal em toda a SPMS, promovendo a adoção de boas práticas internas neste domínio e fomentando uma cultura de cibersegurança.

3.2 Comunidade servida
O CSIRT SPMS coordena a resposta a incidentes de cibersegurança envolvendo:

I. Ativos de informação que constituem a infraestrutura central da SPMS
II. Espaço de endereçamento pertencente ao AS34873 (ACSS – Administração Central do Sistema de Saúde, I.P.), bem como outras redes especificadas
Endereços incluídos nas redes:
• 193.164.0.0/24 (AS34873)
• 213.13.151.0/24
• 194.65.16.85
• 194.65.182.0/24

III. Software produzido pela SPMS enquanto produto
NÃO estão abrangidos problemas de configuração, manutenção ou instalação da responsabilidade de entidades externas à SPMS.
IV. Comunidade de utilizadores internos dos sistemas IT da SPMS
V. Elemento de Coordenação Operacional de Segurança da Saúde (ECOS)
Responsável pela validação dos incidentes de cibersegurança notificados pelas entidades do MS/SNS, pela coordenação centralizada desses incidentes dentro do eSIS (Ecossistema Sistemas de Informação da Saúde), e pela consecutiva notificação obrigatória centralizada através dos canais de comunicação do CNCS.
VI. Serviços limitados para a comunidade de instituições, hospitais e centros de saúde
Apoio numa base de “best effort” ao eSIS, com a exceção do serviço de e-mail prestado pela SPMS ao eSIS, que é considerado serviço central e, portanto, se considera abrangido pelo ponto “Ativos de informação que constituem a infraestrutura central ou sob a gestão da SPMS”, acima.

3.3. Filiação
O CSIRT SPMS é um serviço integrante da SPMS, EPE.

3.4 Autoridade
O CSIRT SPMS é um serviço integrante da Unidade de Proteção de dados e Cibersegurança da SPMS, EPE, cuja competência se encontra discriminada em Regulamento Interno, aprovado por deliberação de 15.09.2020 e homologado pela tutela em 25.09.2020. Adicionalmente, a esta orgânica encontram-se também atribuídas responsabilidades no âmbito do Despacho 1348/2017 – que estabelece o Elemento de Coordenação Operacional de Segurança (ECOS) da Saúde, o qual deve assegurar a operacionalização do Procedimento de Notificação e desempenhar funções de ponto único de contacto, do Ministério da Saúde, junto do Centro Nacional de Cibersegurança e no Despacho 8877/2017 que estabelece o modelo de governação relativo à implementação da política de cibersegurança da saúde.

4. Políticas

4.1. Tipos de incidente e nível de suporte
O CSIRT SPMS responde a todos os tipos de incidente de segurança, sendo que adota a taxonomia da Rede Nacional CSIRT:
a) Malware
b) Disponibilidade
c) Recolha de Informação
d) Tentativa de Intrusão
e) Intrusão
f) Segurança de Informação
g) Fraude
h) Conteúdo Abusivo
i) Vulnerabilidade
j) Outros

O nível de suporte dado pelo CSIRT SPMS varia consoante o tipo, gravidade e âmbito dos incidentes em curso e os recursos disponíveis para o seu tratamento. Em caso de um aumento considerável da severidade e âmbito dos incidentes ou de incidente de larga-escala em entidades do Ministério da Saúde e Serviço Nacional de Saúde (MS/SNS), será sempre dada prioridade ao tratamento de incidentes da SPMS, EPE.

4.2 Cooperação, interação e política de privacidade
A política de privacidade e proteção de dados do CSIRT SPMS estabelece que informação sensível pode ser transmitida a terceiros, única e exclusivamente em caso de necessidade e com a autorização prévia expressa do indivíduo ou entidade a quem essa informação diga respeito.

4.3 Comunicação e autenticação
Dos meios de comunicação disponibilizados pelo CSIRT SPMS, o telefone e o correio eletrónico não cifrado são considerados suficientes para a transmissão de informação não sensível. Para a transmissão de informação sensível é obrigatório o uso de cifra PGP, identificada no ponto 2.8 deste documento.

5. Serviços

I. Tratamento de incidentes de segurança dentro do âmbito constituinte
O tratamento de incidentes de segurança configura o principal serviço do CSIRT SPMS que terá sempre em consideração o âmbito do incidente, englobando, entre outros:
a) Articulação e facilitador de comunicações com equipas internas da SPMS e/ou outras entidades como CNCS, fornecedores, entidades do MS/SNS, etc.;
b) Análises e investigações técnicas de segurança;
c) Atividades de suporte e/ou contenção e erradicação de incidentes de segurança;
d) Desenvolvimento de documentação do incidente;
e) Produção de recomendações e acompanhamento de ações para evitar incidentes futuros.

Constitui-se um incidente de cibersegurança:
• Qualquer evento de segurança que tenha probabilidade de causar impacto nos ativos em âmbito do CSIRT SPMS deve ser submetido para investigação pelo CSIRT.
• Alertas de ataques eminentes (e.g. avisos de hacktivismo, DoS de âmbito público, manifestos, alertas e avisos de autoridades – CNCS, forças policiais ou outras fontes acreditadas).
• Eventos de segurança recorrentes relacionados com um determinado sistema (severidade elevada).
• Alto número de sistemas SPMS abrangidos por um evento de segurança
• Eventos de segurança em âmbito do CSIRT SPMS reportados por fontes externas acreditadas.

II. Disseminação de alertas de segurança
A toda a comunidade servida e partes interessadas, o CSIRT SPMS propõe-se a emanar alertas de segurança e recomendações, prestando, igualmente, informação necessária para a sua proteção e/ou remediação através de fontes como o CNCS e outras autoridades nacionais, assim como de informações proactivamente reunidas, rececionadas e publicadas de outras fontes e fóruns fidedignos.

III. Coordenação da resposta a incidentes dentro da comunidade eSIS
No âmbito das responsabilidades de Elemento de Coordenação Operacional de Segurança (ECOS) da Saúde (Despacho 1348/2017), o CSIRT SPMS é responsável pela coordenação centralizada de incidentes dentro do eSIS que inclui:
a) triagem de notificações de incidentes, a sua análise técnica e forense;
b) articulação com as entidades envolvidas;
c) ação de medidas de mitigação e/ou resolução de âmbito central;
d) produção de recomendações de mitigação e/ou de resolução do incidente de âmbito local;
e) reporte de incidentes ao CNCS.

IV. Suporte de cibersegurança à comunidade eSIS
O suporte de cibersegurança à comunidade eSIS prevê, numa base de “best effort”, a disponibilização de técnicos especializados do CSIRT SPMS, para análise e resposta a incidentes de cibersegurança de âmbito local. Dependendo das necessidades em concreto, este apoio pode, entre outros, incluir:
a) análise de malware;
b) análise de tráfego;
c) análise forense a máquinas ou hardware;
d) produção de recomendações para evitar incidentes semelhantes futuros;
e) apoio na aplicação local de medidas de mitigação e resolução.

V. Atividades proativas de cibersegurança
No âmbito proativo, incluem-se as seguintes atividades:
• Monitorização proativa de eventos de segurança com recurso a ferramentas tecnológicas com despistagem de atividade maliciosa;
• Threat hunting;
• Desenho, Desenvolvimento, instalação, configuração e implementação, suporte e manutenção de soluções técnicas de segurança;
• Análises de vulnerabilidades e Auditorias de segurança (Pentests);
• Ações de formação de resposta a incidentes de segurança;
• Workshops e campanhas de consciencialização para temáticas de segurança da informação e cibersegurança.
VI. Formulários de Reporte de Incidentes
Não estão definidos formulários para o efeito

VII. Salvaguarda de responsabilidade
Embora todas as precauções sejam tomadas na preparação da informação divulgada quer no portal Internet, quer através das listas de distribuição, o CSIRT SPMS não assume qualquer responsabilidade por erros ou omissões, ou por danos resultantes do uso dessa informação.

—–BEGIN PGP SIGNATURE—–iQEzBAEBCAAdFiEEJiDPg2kkwiZVAD2BCuHTW0kYYB4FAl/TnuwACgkQCuHTW0kY
YB5QZQf+J7ZJbsbeAwjWtGxvGa7YeDREhmf6nJrjst0nEaU1+eKwHQ15sekeXe0V
m8ekh1CpN+iHHSl5oIMSQD1Ere4fijD15gofuBs+qRcH41qS3N2qkNNE3ZSF6u+I
01HeMjR+LcGRzrY6uGVKBVMLYUhXllcr7GUseggU1XJM3GFKrdTZz2mIpl55FozA
3M4VdqofEJrdDyoxeS6fWfUsVZBBAU90PkBa9/5mbOWoPgZT9vCadTgg+RKMYUry
Iaw9iPdZ3w7GENAAXZZoFXGvIFA5TzolFMzR4lEYFSB2+ZBcYP/uAidjImqfW4EZ
hmphPSU0+Y38nAGbVvJqTPtqSE4iyA==
=fmOO
—–END PGP SIGNATURE—–

Voltar
co-financiamento
Voltar para o topo.