2. Zespoły CERT/CSIRT

2.11. PODSUMOWANIE

ℹ️

·       Różnica między zwykłym zespołem ds. bezpieczeństwa a zespołem CERT/CSIRT polega głównie na zaangażowaniu w globalną infrastrukturę bezpieczeństwa, wymianie informacji w ramach tej infrastruktury oraz przestrzeganiu ustalonych procedur formalnych.

·      Podstawowym wymogiem społeczności jest publiczne ogłoszenie przez zespół CERT/CSIRT swoich danych kontaktowych i zasad działania:

o   który jest jego operatorem,

o   którzy są jego członkami,

o   jak i kiedy można skontaktować się z zespołem,

o   jakie usługi oferuje,

o   Zakres (numer AS[1] , sieć, domeny, usługi), w którym zespół jest uprawniony do działania i w jaki sposób, tzn. określenie jego uprawnień i odpowiedzialności. Na podstawie zakresu działania zespół jest następnie kontaktowany (np. przez atakowanego) i rozwiązuje odpowiednie problemy (incydenty).

·       Zakres działania zespołu - określa, za co zespół jest odpowiedzialny i jaka jest jego rola. To oczywiście zależy od tego, jaki to jest zespół. Możliwe jest utworzenie zespołów o mniej więcej następujących typach:

o   wewnętrzny - obsługuje i odpowiada za konkretną sieć (np. za określony zakres adresów IP, domen), zwykle jest tworzony przez operatora sieci,

o   koordynacja - zespół, którego głównym zadaniem jest koordynowanie rozwiązywania incydentów bezpieczeństwa, a nie ich rozwiązywanie,

o   sprzedawca - zespół zajmujący się incydentami bezpieczeństwa, które dotyczą konkretnego produktu (SW),

o   krajowe, rządowe - specjalne przypadki oparte na zasadach dwóch pierwszych wymienionych zespołów (wewnętrzny i koordynacyjny), ich zakres i rola zależy od założyciela, a często także od ustawodawstwa danego kraju.

·       Zespoły CERT/CSIRT nie mają oficjalnej hierarchii, która czyniłaby jeden zespół lepszym od drugiego. Wszystkie zespoły są równe pod względem funkcjonowania, komunikacji, współpracy i wymiany informacji i nie są w tych obszarach ograniczone.

·       Krajowy CERT/CSIRT działa jako ostatnia deska ratunku - ostatnia instancja, do której można zwrócić się o interwencję, pomoc i interwencję.

·      Rządowe zespoły CERT/CSIRT zazwyczaj koncentrują się na administracji państwowej i samorządowej oraz na reagowaniu na incydenty zagrażające bezpieczeństwu państwa i jego służb. Rządowy CERT/CSIRT może mieć formę wewnętrznego zespołu zdolnego do bezpośredniej interwencji w przypadku wystąpienia problemu. Jego istnienie jest zwykle poparte przepisami prawa.

 

 🗝️

SŁOWA KLUCZOWE, KTÓRE WARTO ZAPAMIĘTAĆ                                                             

·       Zespół CSIRT

·       Zespół CERT

·       Obsługa incydentów

·       Hierarchia zespołów

·       Zakres

 

PYTANIA KONTROLNE                                                                                                                                                           

·       Co to jest zespół CSIRT/CERT?

·       W jaki sposób tworzy się i powołuje zespół CSIRT/CERT?

·       Na czym skupia się krajowy zespół CSIRT?

·       Na czym skupia się rządowy zespół CSIRT?

·       Jakie są podstawowe wymagania społeczności lokalnej wobec zespołu CERT/CSIRT?



[1] AS - Autonomous System (system autonomiczny). System autonomiczny to zbiór sieci IP i routerów pod wspólnym zarządem technicznym, który reprezentuje wspólną politykę routingu w Internecie.