RFC2350

1. Преглед

1.1. Вовед

Со овој документ се опишува работата на Националниот центар за одговор на компјутерски инциденти, понатаму MKD-CIRT и е поделен во неколку делови. Секој дел дава насоки и процедури како констиуентите на најдобар начин да пријавуваат компјутерски инциденти до MKD-CIRT.

1.2. Цел

Овој документ содржи опис за MKD-CIRT согласно rfc2350. Во него се содржани информации за членовите и тимот за одговор на компјутерски безбедносни инциденти што го сочинуваат MKD-CIRT, информации за контакт со тимот како и опис на одговорностите и услугите што ги нуди MKD-CIRT.

1.3. Опсег

Оваа политика ги опфаќа конституентите на MKD-CIRT.

1.4. Референции / Врски

[1] RFC2350 шаблон.

[2] Упатство за пријава на инциденти од конституентите.

1.5. Дефиниции и кратенки

Кратенка	Дефиниција
PGP	Pretty Good Privacy
CERT	Computer Emergency Response Team
CIRT	Computer Incident Response Team
CSIRT	Computer Security Incident Response Team

2. Информација за документот

2.1. Датум на последна промена

Ова е верзија 1.0 од документот објавена на 01.02.2015 година.

Оваа верзија на документот е со важност се до објава на нов документ со следен број на верзија.

2.2. Дистрибуциски листи за известувања

Промените на овој документ не се дистрибуираат преку листа на адреси за е-пошта, RSS или било кој друг начин. Ве молиме Вашите прашања или забелешки да ги испраќате на адресата на MKD-CIRT (види точка 3.7).

2.3. Локации каде може да се најде овој документ

Тековната верзија што е во важност постојано е достапна на официјалната веб страна на MKD-CIRT на https://mkd-cirt.mk

2.4. Автентикација на овој документ

Овој документ е потпишан со PGP клуч на MKD-CIRT.

Потписот е достапен на официјалната веб страна на MKD-CIRT на https://mkd-cirt.mk

3. Информации за контакт

3.1. Назив на тимот

Целосен назив: Национален центар за одговор на компјутерски инциденти.

Скратен назив: MKD-CIRT

3.2. Адреса

Агенција за електронски комуникации

Национален центар за одговор на компјутерски инциденти

ул. Кеј Димитар Влахов број 21

1000 Скопје

Република Македонија

3.3. Временска зона

CET / CEST

Central European Time / Central European Summer Time

3.4. Телефонски број

Централа: +389 2 3289 200

Дежурен телефонски број: +389 2 3091 232 (овој број не е достапен за цело време траење надвор од работното време. За достапноста на овој број важи принципот на најдобар напор (best effort).

3.5. Број на факсимил

+389 2 3224 611 (ова НЕ Е безбеден начин на комуникација)

3.6. Други телекомуникации

Интернет веб сајт: https://mkd-cirt.mk

3.7. Адреси за е-пошта

info@mkd-cirt.mk : оваа адреса за е-пошта се користи за размена на општи информации. Пријавување на инциденти (види подолу) преку оваа адреса треба да се избегнува.

soc@mkd-cirt.mk : оваа адреса за е-пошта се користи за известувања на инциденти до тимот на MKD-CIRT.

3.8. Информација за јавни клучеви и енкрипција

Адресите за е-пошта (info@mkd-cirt.mk и soc@mkd-cirt.mk) што ги користи MKD-CIRT го споделуваат истиот PGP клуч, како што е објаснето подолу:

• Key ID: 0x 333C00DB
• Key Type: RSA 4096
• Key Fingerprint: 0FB9 3DA3 E008 FA8B FC6A 9C71 0741 17A1 333C 00DB

Јавниот клуч и неговите потписи може да се најдат на големите меѓународни јавни сервери за клучеви како и на јавната веб страна на MKD-CIRT (https://mkd-cirt.mk).

Со овие клучеви се потпишува секоја комуникација од MKD-CIRT. Тие исто така се користат при секоја доверлива комуникација со MKD-CIRT (известувања за инциденти, предупредувања).

3.9. Членови на тимот на MKD-CIRT

Тимот на MKD-CIRT е составен од посветен персонал на ИТ експерти за информациска безбедност од Агенцијата за електронски комуникации. Целосна листа на членови на тимот на MKD-CIRT не е јавно достапна. При официјална комуникација во врска со компјутерски инцидент, членовите на тимот ќе се идентификуваат на страната што известува за компјутерскиот инцидент со цело име и презиме.

3.10. Други информации

Општи информации за MKD-CIRT како и врски или линкови кон други препорачани ресурси за информациска безбедност може да се најдат на јавната веб страна на MKD-CIRT (https://mkd-cirt.mk).

3.11. Точки за контакт со корисници

Денови/часови на работа на MKD-CIRT се од 08:30 до 16:30 CET од Понеделник до Петок освен државните празници во Република Македонија.

Сите известувања за инциденти треба да се испраќаат на soc@mkd-cirt.mk. Оваа адреса за е-пошта се преферира при известувања за итни, осетливи, критични или класифицирани информации, настани за информациска безбедност и пријави на инциденти.

Користењето на телефон или факс за известување на инциденти треба максимално да се избегнува.

MKD-CIRT ги охрабрува своите конституенти при размена на секоја осетлива информација да користат безбедна е-пошта (на пример PGP).

4. Повелба

4.1. Изјава за Мисија на MKD-CIRT

Националниот центар за одговор на компјутерски инциденти MKD-CIRT ја има следната мисија:

• да координира и да помага/асистира на органите и институциите од јавниот сектор во имплементацијата на проактивните услуги за намалување на ризикот од компјутерски безбедносни инциденти, како и при справувањето со инцидентите кога истите ќе настанат,
• да спроведува активности за едуцирање и подигање на свесноста кај граѓаните за негативните ефекти на сајбер заканите и компјутерскиот криминал, и
• навремено да обезбедува совети за сите негови конституенти.

За исполнување на својата мисија, МКД-ЦИРТ има надлежност:

• да ги покрива класифицираните и не класифицираните инфраструктури,
• Да реагира и да координира во случај на инциденти,
• Да спречува и открива големи инциденти, и
• Да ја подобрува координацијата меѓу владините чинители во рамките на управувањето и одговорот на инциденти.

4.2. Конституенти на MKD-CIRT ги сочинуваат:

• Сите министерства, јавната администрација и услугите на Влада на Република Македонија
• Операторите на критичната инфраструктура во Република Македонија, и
• Големи организации во банкарскиот, транспортниот, комуникацискиот, здравствениот, енергетскиот и други стратешки сектори во Република Македонија

Детална листа и повеќе информации за конституентите ќе најдете на веб страната на MKD-CIRT https://mkd-cirt.mk.

4.3. Спонзорство/Поддршка и поврзаност

MKD-CIRT е спонзориран од следните ентитети во Република Македонија:

• Агенција за електронски комуникации
• Министерство за информатичко општество и администрација

MKD-CIRT одржува врски со CERT / CSIRT заедницата преку учество на меѓународни состаноци во организација на FIRST и TF-CSIRT и други меѓународни здруженија.

MKD-CIRT има започнато постапка за пријавување во листата на Trusted Introducer (TI).

4.4. Надлежност

Со измените на Законот за електронските комуникации (Службен весник на Република Македонија број 188/2014), согласно член 26-а во состав на Агенцијата за електронски комуникации се формира посебна организациона единица – Национален центар за одговор на компјутерски инциденти, која ќе претставува официјална национална точка за контакт и координација во справувањето со безбедносните инциденти кај мрежите и информациските системи и кој ќе идентификува и ќе обезбедува одговор на безбедносни инциденти и ризици.

При тоа, MKD-CIRT ги реализира следните цели:

• Да обезбеди клучна улога при координација на справувањето со инциденти кај засегнатите субјекти на национално ниво.
• Да обезбеди одговор за справување со компјутерски инциденти, преку давање на неопходни услуги кон неговиот конституент/корисник, со што неговиот конституент/корисник ќе може ефикасно да се справи со инцидентите.
• Континуирано да врши мониторингот за ризици, да добива информации за компјутерските закани и инциденти (по автоматски пат или од трети страни) и постојано да располага со показатели за малициозен сообраќај што доаѓа или излегува од државата.
• Преставува официјална национална точка за контакт и размена на информации (извештаи за инциденти, ранливост итн.) за внатре во рамките на државата како и за надвор од неа со Националните/Владини CIRT тимови од државите во регионот и пошироко.
• Да навремено ги информира и известува конституентите. Да им обезбедува на конституентите безбедносни совети, информации за рано предупредување и да делува како централна точка за прашањата од областа на сајбер безбедноста.
• Целосно да соработува и разменува информации со институциите од државата надлежни за спроведување на законите, а особено со оние од областа на сајбер криминалот, како и соодветно да ги адресира правните прашања кои можат да се појават за време на инцидент.
• Континуирано да разменува информации, знаење и искуство со конституентите, да утврдува безбедносни најдобри практики/водичи и истите да ги објавува, како и континуирано да обезбедува едукација и обуки за конституентите и за самите вработени во центарот.
• Да обезбедува помош во процесот на воспоставување на Интерни центри за одговор на компјутерски инциденти на големите организации кои управуваат со клучни/критични информациски инфраструктури (јавни и приватни) во Република Македонија.
• Континуирано да ја подига свесноста кај граѓаните за негативните ефекти на сајбер заканите и компјутерскиот криминал

MKD-CIRT очекува соработка со системските администратори од конституентите.

Членовите за заедницата на MKD-CIRT што сакат да поднесат жалба по активности на MKD-CIRT треба да се обратат кај одговорното лице на MKD-CIRT.

Сите членови на тимот на МКД-ЦИРТ ги имаат потребните сертификати за пристап до информации. Заради ова тие имаат широки можности за интеракција со системите, услугите и системските администратори од конституентите на MKD-CIRT.

MKD-CIRT работи согласно важечките закони во Република Македонија.

5. Политики

5.1. Типови на инциденти и нивоа на поддршка

Нивото на поддршка што го пружа MKD-CIRT варира зависно од видот и сериозноста на инцидентот, ранливоста или прашањето, како што ќе утврдат вработените во MKD-CIRT, од видот на средствата, од делот на конституентите што се засегнати како и од моментално расположливите ресурси на MKD-CIRT.

Инцидентите по информациска безбедност кај конституенти што се регистрирани во MKD-CIRT секогаш ќе имаат предност пред инцидентите кај нерегистрираните конституенти.

MKD-CIRT може да реагира по барање на еден од конституентите или доколку еден од неговите конституенти е инволвиран во инцидент по информациска безбедност.

Инцидентите на безбедност на информации се приоретизираат според нивната очигледна тежина и обем. MKD-CIRT не пружа поддршка на крајни корисници кај конституентите. Тие треба да се обратат за помош кај системските или мрежните администратори или кај претпоставените во својата организација. MKD-CIRT пружа само ограничена поддршка за крајни корисници на конституентите.

MKD-CIRT не вржи ad-hoc обуки за системски администратори кај конституентите со цел одржување на мрежата и информациските системи што се во сопственост или со кои управува конституентот. MKD-CIRT не врши одржување на системите на конституентите. MKD-CIRT може да понуди насоки кон информациите потребни за имплементација на соодветни мерки за информациска безбедност на системите и информациите кај конституентите.

5.2. Соработка, Интеракција и Откривање на информации

MKD-CIRT ги презема соодветните мерки за заштита на идентитетот на членовите на своите конституенти. MKD-CIRT споделува информации и помага доколку е истото потребно за разрешување или спречување на безбедносни инциденти.

MKD-CIRT високо ја цени важноста од оперативна соработка и споделување на информации меѓу тимовите за одговор на компјутерски безбедносни инциденти (CSIRT тимови), како и со други организации кои може да допринесат кон безбедноста или од кои може да се користат нивните услуги.

MKD-CIRT ги штити осетливите информации согласно важечката регулатива во Република Македонија. Во таа насока MKD-CIRT ги почитува ознаките за чувствителност и класификација на информациите одредени од страна на доставувачот на информацијата до MKD-CIRT.

При споделување на информации MKD-CIRT додава на информацијата соодветна ознака согласно протоколот Traffic Light Protocol – TLP. MKD-CIRT ќе ја почитува TLP ознаката на примените информации доколку истата е содржана во информацијата.

Политиката за откривање на информации е достапна на веб страната на MKD-CIRT https://mkd-cirt.mk.

5.3. Комуникација и Автентикација

Префериран начин на комуникација е преку е-пошта. Доколку не е можно (или не е препорачливо од безбедносни причини) да се користи електронска комуникација (е-пошта, веб формулар), MKD-CIRT е достапен во работно време преку телефон. Надвор од работното време достапен е дежурен телефонски број но тој не го покрива целиот период и за неговата достапност се применува принципот на најдобар напор.

Со оглед на видовите информации со кои работи MKD-CIRT, телефонската комуникација може да се користи како доволно безбеден начин дури и без енкрипција. Не енкриптирани пораки по е-пошта нема да се третираат како доволно безбеден начин за комуникација, но ќе се сметаат за доволни при пренос на некласифициран или информации со ниска осетливост.

Кога е неопходно да се воспостави доверба, на пример пред пренос на информација доставена до MKD-CIRT или пред откривање на доверлива информација, потребно е да се одреди со доволна сигурност идентитетот на испраќачот.

Безбедност на комуникацијата се постигнува на разни начини: преку користење на PGP или на друг претходно договорен начин, зависно од нивото на осетливост на информацијата.

Доколку е неопходно испраќање на осетливи податоци преку е-пошта, мора да се користи енкрипција (на пример PGP). Мрежен пренос на документи се третира исто како и комуникација по е-пошта: осетливите податоци треба да се енкриптираат пред преносот. Во вакви ситуации, целата осетлива комуникација кон MKD-CIRT треба да е енкриптирана со клучот на MKD-CIRT.

Целата податочна комуникација вклучително и користењето на е-пошта што е иницирана од страна на MKD-CIRT е дигитално потпишана со користење на горе спомнатите PGP клучеви на MKD-CIRT или со клучеви за потпис на вработен во MKD-CIRT.

Користењето на енкрипција / дигитално потпишување се препорачува при испраќање на информации до MKD-CIRT, особено при испраќање на осетливи информации.

Кога се испраќа Пријава за инцидент, потребно е да се достави (1) забелешка за итноста, (2) потребата од повратна информација, и (3) да се користи формуларот приложен во дел 7.

6. Услуги

MKD-CIRT е авторизиран за управување и одговор на секако вид на компјутерски безбедносни инциденти кои што вклучуваат класифицирани и некласифицирани информации, кои што се случуваат или се закануваат да се случат во мрежите, системите и услугите на неговите конституенти.

MKD-CIRT им пружа поддршка на конституентите преку група од реактивни и проактивни услуги од областа на информациската безбедност.

MKD-CIRT постепено ќе ги воведува услугите, започнувајќи со Управување со инцидент (Incident Handling).

6.1. Одговор на инцидент

MKD-CIRT ги координира сите активности во врска со одговор на инцидент кај своите конституенти. Ние пружаме поддршка, помош и совет во врска со следните аспекти на управување со инциденти:

	Услуга	Опис
1	Известувања и предупредувања	Откривање на детали за тековните закани и чекори кои можат да се преземат за да заштита од овие закани. Вклучува известување или предупредување за новооткриената информација за сајбер закани и слабости до конституентите со препорачан тек на акции и насоки за тоа како да се заштити системот. Известувањата може да се превентивни, предупредувачки, советодавни, и насочувачки.
2	Далечински одговор на инцидент	Обезбедување на техничка помош за справување со безбедносните инциденти кога ќе се појават, со цел ублажување на штетата и опоравување од инцидентот. Советите и техничката помош обично се обезбедува преку телефон или e-mail-базирана комуникација
3	Одговор на инцидент на лице место	Обезбедување на техничка поддршка и совети за справување со безбедносните инциденти кога ќе се појават на лице место, со цел да се ублажи штетата и опоравување од инцидентот. Оваа услуга вообичаено е поврзана и се реализиара при инциденти од критично ниво.
4	Одговор на ранливост	Оценување на соодветни мерки потребни за да се одговори на новооткриени слабости; да се оцени нивната сериозност и влијание, да се одлучи дали да издадат предупредувања за нив или да се потврдат или понатаму да се испита нивната тежина / влијание. Генерално, овој пристап се однесува на информации за ранливости кои се веќе јавно познати.
5	Основна свест, едукација и обука	Спроведување на програми од мали размери за подигнување на јавната свест. Спроведување на основни обуки за одговор на компјутерски инциденти и основни сајбер безбедносни најдобри практики.

7. Формулар за пријава на инцидент

Известување на инцидент може да се направи на еден од следните два начини:

Анонимен начин: известување за инцидент со користење на веб формуларот (https://mkd-cirt.mk). На овој начин анонимно се пријавуваат инциденти. Инцидентите пријавени преку веб формуларот се енкриптираат пред преносот со јавен клуч на MKD-CIRT.

Стандарден начин: пријава на инцидент со користење на Образец за пријава на инцидент согласно Упатството за пријава на инциденти.