05/IN01/DSIC/GSIPR 01 /AGO/09 1/7 PRESIDENCIA DE LA REPÚBLICA Gabiete de Seguridad Istitucioal Departameto de Seguridad de la Iformació y Comuicacioes CREACIÓN DE EQUIPOS DE TRATAMIENTO Y RESPUESTA A INCIDENTES EN REDES COMPUTACIONALES - ETIR ORIGEN Departameto de Seguridad de la Iformació y Comuicacioes REFERENCIA NORMATIVA Art. 6º de la Ley º 10.683, de 28 de mayo de 2003. Art. 8º del Adjuto I del Decreto º 5.772, de 8 de mayo de 2006. Decreto º 3.505, de 13 de juio de 2000. Istrucció Normativa º 01 del Gabiete de Seguridad Istitucioal, de 13 de juio de 2008. Icisos II y IV del art. 37 de la Portería º 13 del Gabiete de Seguridad Istitucioal, de 4 de agosto de 2006. CAMPO DE APLICACIÓN Esa Norma Complemetar se aplica e el ámbito de la Admiistració Pública Federal, directa e idirecta. SUMARIO 1. Objetivo 2. Primeras Cosideracioes 3. Fudameto Legal de la Norma Complemetar 4. Coceptos y Defiicioes 5. Resposabilidad 6. Defiició de la Misió 7. Modelo de Implemetació 8. Estructura Orgaizacioal 9. Autoomía de la ETIR 10. Disposicioes Geerales 11. Vigecia 12. Adjuto INFORMACIONES ADICIONALES No hay APROBACIÓN RAPHAEL MANDARINO JUNIOR Director del Departameto de Seguridad de la Iformació y Comuicacioes
05/IN01/DSIC/GSIPR 01 /AGO/09 2/7 1 OBJETIVO Discipliar la creació de Equipo de Tratamieto y Respuesta a Icidetes e Redes Computacioales - ETIR e los órgaos y etidades de la Admiistració Pública Federal, directa e idirecta - APF. 2 PRIMERAS CONSIDERACIONES 2.1 E los últimos años los órgaos públicos viee implemetado y cosolidado redes locales de computadoras cada vez más amplias, como exigecia para aguatar el flujo creciete de iformacioes, bie como permitir que sus empleados tega acceso a la red mudial de computadoras para mejor desempeñe sus fucioes. Mateer la seguridad de la iformació y comuicacioes de ua orgaizació e u ambiete computacioal itercoectado e los días actuales es u grade desafío, que se vuelve más difícil a la medida que so lazados uevos productos para el Iteret y uevas herramietas de ataque so desarrolladas. 2.2 Delate de la premisa de garatizar e icremetar la seguridad de la iformació y comuicacioes e los órgaos y etidades de la Admiistració Pública Federal, directa e idirecta, hay la ecesidad de orietar la coducció de políticas de seguridad ya existetes o a ser implemetadas. 2.3 Cosiderado la estrategia de seguridad de la iformació compuesta por varias capas, de ellas, que viee siedo adoptada por diversas istitucioes, es la creació de Equipos de Tratamieto y Respuesta a Icidetes e Redes Computacioales, mudialmete coocido como CSIRT (del iglés "Computer Security Icidet Respose Team"). 2.4 Es capacidad de la Coordiació-Geeral de Tratamieto de Icidetes de Redes del Departameto de Seguridad de la Iformació y Comuicacioes - DSIC del Despacho de Seguridad Istitucioal - GSI apoyar los órgaos y etidades de la Admiistració Pública Federal, directa e idirecta, e las actividades de capacitació y tratamieto de icidetes de seguridad e redes de computadoras, segú dispuesto e los icisos III y VI del art. 39 del adjuto de la Portería º 13 del GSI, de 04 de agosto de 2006. 2.5 Es codició ecesaria para la creació de u Equipo de Tratamieto y Respuesta a Icidetes e Redes Computacioales, el órgao o etidad poseer la capacidad formal y respectiva atribució de admiistrar la ifraestructura de la red de computadoras de su orgaizació. 3 FUNDAMENTO LEGAL DE LA NORMA COMPLEMENTAR Segú dispuesto e el iciso II del art. 3º de la Istrucció Normativa º 01, de 13 de Juio de 2008, del Gabiete de Seguridad Istitucioal, compete al Departameto de Seguridad de la Iformació y Comuicacioes - DSIC, establecer ormas defiiedo los requisitos metodológicos para implemetació de la Gestió de Seguridad de la Iformació y Comuicacioes por los órgaos y etidades de la Admiistració Pública Federal, directa e idirecta.
05/IN01/DSIC/GSIPR 01 /AGO/09 3/7 4 CONCEPTOS Y DEFINICIONES Para los efectos de esa Norma Complemetar so establecidos los siguietes coceptos y defiicioes: 4.1 Agete resposable: Servidor Público ocupate de cargo efectivo o militar de carrera de órgao o etidad de la Admiistració Pública Federal, directa o idirecta delegado de comadar y admiistrar el Equipo de Tratamieto y Respuesta a Icidetes e Redes Computacioales; 4.2 Artefacto malicioso: es cualquier programa de computadora, o parte de u programa, costruido co la iteció de provocar daños, lograr iformacioes o autorizadas o iterrumpir el fucioamieto de sistemas y/o redes de computadoras; 4.3 Comuidad o Público Meta: es el cojuto de persoas, sectores, órgaos o etidades atedidas por u Equipo de Tratamieto y Respuesta a Icidetes e Redes Computacioales; 4.4 CTIR GOV: Cetro de Tratamieto y Respuesta a Icidetes de Seguridad e Redes de Computadoras de la Admiistració Pública Federal, subordiado al Departameto de Seguridad de Iformació y Comuicacioes - DSIC del Gabiete de Seguridad Istitucioal de la Presidecia de la República - GSI; 4.5 Equipo de Tratamieto y Respuesta a Icidetes e Redes Computacioales - ETIR: Grupo de persoas co la resposabilidad de recibir, aalizar y cotestar a las otificacioes y actividades relacioadas a icidetes de seguridad e redes de computadoras; 4.6 Icidete de seguridad: es cualquier eveto adverso, cofirmado o bajo sospecha, relacioado a la seguridad de los sistemas de computació o de las redes de computadoras; 4.7 Servicio: es el cojuto de procedimietos, estructurados e u proceso bie defiido, ofrecido a la comuidad del Equipo de Tratamieto y Respuesta a Icidetes e Redes Computacioales; 4.8 Tratamieto de Icidetes de Seguridad e Redes Computacioales: es el servicio que cosiste e recibir, filtrar, clasificar y cotestar a las solicitacioes y alertas y realizar los aálisis de los icidetes de seguridad, buscado extraer iformacioes que permita impedir la cotiuidad de la acció maliciosa y tambié la idetificació de tedecias; 4.9 Vulerabilidad: es cualquier fragilidad de los sistemas computacioales y redes de computadoras que permita la exploració maliciosa y accesos ideseables o o autorizados. 5 RESPONSABILIDAD Los Gestores de Seguridad de la Iformació y Comuicacioes so los resposables de coordiar la istitució, implemetació y mateimieto de la ifraestructura ecesaria a los Equipos de Tratamieto y Respuesta a Icidetes e Redes Computacioales, e los órgaos y etidades de la Admiistració Pública Federal, directa e idirecta, segú descrito e el iciso V del art 5º de la Istrucció Normativa º 01, del Gabiete de Seguridad Istitucioal, de 13 de juio de 2008.
05/IN01/DSIC/GSIPR 01 /AGO/09 4/7 6 DEFINICIÓN DE LA MISIÓN 6.1 La misió debe sumiistrar ua breve e iequívoca descripció de los objetivos básicos y la fució del Equipo de Tratamieto y Respuesta a Icidetes e Redes Computacioales. La defiició de la misió sumiistrará la líea base para las actividades a ser desarrolladas por el Equipo. 6.2 Se recomieda como misió prioritaria para el Equipo la facilitació y la coordiació de las actividades de tratamieto y respuesta a icidetes e redes computacioales, además de algua otra misió específica, e cosoacia co las actividades de respuesta y tratamieto a icidetes e redes, tales como: recuperació de sistemas, aálisis de ataques e itrusioes, cooperació co otras equipos, participació e foros y redes acioales e iteracioales. 6.3 La defiició de la misió, jutamete co los servicios a ser prestados por el Equipo, iflueciará el modelo de implemetació más adecuado a la ecesidad de la orgaizació. 6.4 Las misioes del Equipo de Tratamieto y Respuesta a Icidetes e Redes Computacioales deberá ser descritas e el respectivo documeto de su costitució, coforme el Adjuto A de esta Norma Complemetar. 7 MODELO DE IMPLEMENTACIÓN Cada órgao o etidad vedrá a establecer, etre los modelos presetados abajo, aquél que mejor si adecua a sus ecesidades y limitacioes, observado que, idepedietemete del modelo escogido, deberá ser observadas las directrices de esta Norma Complemetar. Nada obstate, e cualesquiera de los modelos establecidos deberá ser desigado formalmete el Agete Resposable, que tedrá, etre otras atribucioes, la de ser la iterface co el Cetro de Tratamieto y Respuesta a Icidetes de Seguridad e Redes de Computadoras de la Admiistració Pública Federal - CTIR GOV. Este Agete será el resposable de crear los procedimietos iteros, admiistrar las actividades y distribuir tareas para el Equipo o Equipos que compoe la ETIR. 7.1 Modelo 1 Utilizado el equipo de Tecología de la Iformació TI 7.1.1 E este modelo o existirá u grupo dedicado exclusivamete a las fucioes de tratamieto y respuesta a icidetes de Red. El Equipo será formado desde los miembros de los equipos de TI del propio órgao o etidad, que además de sus fucioes regulares pasará a desempeñar las actividades relacioadas al tratamieto y respuesta a icidetes e redes computacioales. E este modelo las fucioes y servicios de tratamieto de icidete deberá ser realizadas, co preferecia, por admiistradores de red o de sistema o, aú, por peritos e seguridad. 7.1.2 El Equipo que utilizar este modelo desempeñará sus actividades, de preferecia, de forma reactiva, siedo deseable, si embargo que el Agete Resposable por la ETIR atribuya resposabilidades para que sus miembros ejerza actividades pro-activas.
05/IN01/DSIC/GSIPR 01 /AGO/09 5/7 7.2 Modelo 2 Cetralizado 7.2.1 El Equipo de Tratamieto y Respuesta a Icidetes e Redes Computacioales será establecido de forma cetralizada e el ámbito de la orgaizació. 7.2.2 El Equipo será compuesto por persoal co dedicació exclusiva a las actividades de tratamieto y respuesta a los icidetes e redes computacioales. 7.3 Modelo 3 Descetralizado 7.3.1 E el modelo descetralizado el Equipo de Tratamieto y Respuesta a Icidetes e Redes Computacioales será compuesto por colaboradores distribuidos por diversos locales adetro de la orgaizació, dispersos por ua regió o por el país etero. Esos equipos debe poseer persoal propio dedicado a las actividades de tratamieto y respuesta a los icidetes de red computacioales, pudiedo actuar operacioalmete de forma idepediete, si embargo aliñadas co las directrices establecidas por la coordiació cetral. 7.3.2 La ETIR de la orgaizació será formada por el cojuto de esos equipos distribuidos y dirigidos por el Agete Resposable desigado. 7.4 Modelo 4 Acordado o Mezcla Se trata del empalme de los modelos Descetralizado y Cetralizado. E este modelo existirá u Equipo de Tratamieto y Respuesta a Icidetes e Redes Computacioales cetral y Equipos distribuidos por la orgaizació. 7.4.1 7.4.2 El Equipo cetral será resposable de crear las estrategias, admiistrar las actividades y distribuir las tareas etre los Equipos descetralizados, además de ser resposable, delate toda la orgaizació, por la comuicació co el CTIR GOV. 7.4.3 Los Equipos distribuidos será resposables de implemetar las estrategias y ejercer sus actividades e sus respectivas áreas de resposabilidad. 8 ESTRUCTURA ORGANIZACIONAL 8.1 Existe muchas maeras diferetes de u Equipo de Tratamieto y Respuesta a Icidetes e Redes Computacioales ser estructurada. La estructura depederá del modelo de implemetació a ser adoptado, del tamaño de la orgaizació, del úmero de localizacioes geográficas distribuidas y dode las fucioes está localizadas, del úmero de sistemas y plataformas aguatadas, del úmero de servicios a ser ofrecidos y del coocimieto técico del persoal existete. 8.2 Los miembros del Equipo deberá ser seleccioados, siempre que posible, etre el persoal existete, co perfil técico adecuado a las fucioes de tratamieto de icidetes de red, quiées deberá dedicar el tiempo itegral, o u porcetual de su tiempo, depediedo del modelo de implemetació adoptado, de forma reactiva y pro-activa.
05/IN01/DSIC/GSIPR 01 /AGO/09 6/7 8.3 El porcetual del esfuerzo dedicado será egociado etre la supervisió de cada uo de los miembros y el Agete Resposable por el Equipo y deberá estar descrito e el documeto de costitució del Equipo de Tratamieto y Respuesta a Icidetes e Redes Computacioales. 8.4 Se recomieda que los miembros de la ETIR sea: admiistradores de sistemas o de seguridad, admiistradores de baco de datos, admiistradores de red, aalistas de soporte o cualesquiera otras persoas de la orgaizació co coocimieto técico comprobado. El Equipo podrá ser extedido co la iclusió de los siguietes miembros: represetates legales de áreas específicas de la orgaizació, abogados, estadísticos, recursos humaos, relacioes públicas, gestió de riesgos, cotrol itero y grupo de averiguació, u otro que la orgaizació etieda ser adecuado. 8.5 Para cada miembro del Equipo deberá ser desigado u substituto que deberá ser etreado y orietado para la realizació de las tareas y actividades de la ETIR. 8.6 El Gestor de Seguridad de la Iformació y Comuicacioes de la orgaizació será el resposable de proveer los medios ecesarios para la capacitació y el perfeccioamieto técico de los miembros del Equipo, bie como proveer la ifraestructura ecesaria. 9 AUTONOMÍA DE LA ETIR La autoomía del Equipo de Tratamieto y Respuesta a Icidetes e Redes Computacioales - ETIR describe el objetivo de actuació y el ivel de resposabilidad que el Equipo tiee sobre sus propias accioes y sobre las actividades de respuesta y tratamieto de los icidetes e la red de computadoras. La autoomía defie el ivel de cotrol del Equipo e la relació co los compoetes de su orgaizació. La autoomía deberá ser defiida, explícitamete, e el documeto de costitució de la ETIR, segú presetado e el Adjuto A de esta Norma. 9.1 Autoomía Completa Si ua ETIR tiee plea autoomía, podrá acarrear su público meta para realizar accioes o las medidas ecesarias para reforzar la respuesta o la postura de la orgaizació e la recuperació de icidetes de seguridad. Durate u icidete de seguridad, desde que haya justificativa, el Equipo podrá tomar la decisió de ejecutar las medidas de recuperació, si esperar por la aprobació de iveles superiores de gestió. 9.2 Autoomía Compartida 9.2.1 Si la ETIR posee la autoomía compartida, trabajará e acuerdo co los otros sectores de la orgaizació a fi de participar del proceso de tomada de decisió sobre cuales medidas deba ser adoptadas. 9.2.2 La ETIR participará e el resultado de la decisió, siedo, si embargo, apeas u miembro e el proceso decisorio. E este caso, el Equipo podrá recomedar los procedimietos a ser ejecutados o las medidas de recuperació durate u ataque y discutirá las accioes que deberá ser
05/IN01/DSIC/GSIPR 01 /AGO/09 7/7 hechas (o las repercusioes si las recomedacioes o so seguidas) co los otros miembros de la orgaizació. 9.2.3 La idicació de los miembros del proceso decisorio deberá ser defiida explícitamete e el documeto de costitució de la ETIR. 9.3 Si Autoomía 9.3.1 Si u Equipo o tiee autoomía, solo podrá actuar co la autorizació de u miembro de la orgaizació co la autoridad para tal, desigado e el documeto de costitució de la ETIR. 9.3.2 La ETIR o tedrá autoomía para la tomada de decisioes o adopció de accioes, pudiedo, si embargo, recomedar los procedimietos a ser ejecutados o las medidas de recuperació durate u ataque, pero o tedrá u voto e la decisió fial. 9.3.3 La ETIR podrá ser capaz, debido a su posició e la orgaizació y capacidad técica, de acarrear los tomadores de decisió a actuar durate u icidete de seguridad, observado el carácter sugestivo de las recomedacioes. 10 DISPOSICIONES GENERALES 10.1 Los órgaos o etidades que iicialmete opte por la implatació del Modelo 1 (Utilizado el equipo de Tecología de la Iformació) deberá, e cuato posible, emigrar para uo de los otros modelos. 10.2 De preferecialmete el Equipo debe ser compuesto por servidores públicos ocupates de cargo efectivo o militares de carrera, coforme el caso, co perfil técico compatible, atestados e sus respectivos órgaos. 10.3 Cada órgao podrá deliberar el ombre de su Equipo de Tratamieto y Respuesta a Icidetes e Redes Computacioales. 10.4 La ETIR deberá guiarse por calidades y procedimietos técicos y ormativos e el cotexto de tratamieto de icidetes de red orietados por el Cetro de Tratamieto y Respuesta a Icidetes de Seguridad e Redes de Computadoras de la Admiistració Pública Federal - CTIR GOV. 10.5 La ETIR podrá usar las mejores prácticas de mercado, desde que esté de acuerdo co los dispositivos de esta Norma Complemetar. 10.6 La ETIR deberá comuicar de imediato la ocurrecia de todos los icidetes de seguridad ocurridos e su área de actuació al CTIR GOV, coforme calidad defiida por ese órgao, a fi de permitir la geeració de estadísticas y solucioes itegradas para la Admiistració Pública Federal. 10.7 El cambio de iformacioes y la forma de comuicació etre las ETIR, y etre éstas y el CTIR GOV, será formalizadas caso a caso, si ecesario, por Térmio de Cooperació Técica.
05/IN01/DSIC/GSIPR 01 /AGO/09 8/7 11 VIGENCIA Esa Norma Complemetaria etra e vigor e la fecha de su publicació. 12 ADJUNTO A - DOCUMENTO DE CONSTITUCIÓN DE LA ETIR.