Elgesio kodeksas

Iš LITNET WIKI.
Peršokti į: navigacija, paiešką

Trusted Introducer suformulavo ir CSIRT bendruomenė patvirtino laikytis tam tikro elgesio kodekso, taisyklių:

  1. https://tiw.trusted-introducer.org/links/CCoP-v2.1-approved.pdf
  2. https://tiw.trusted-introducer.org/links/ISTLP-v1.1-approved.pdf

Esmė:

Elgesio kodeksas

  • PRIVALOMA
    • Tarnyba ir nariai dirbdami su incidentais privalo laikytis šalies įstatymų
    • Tarnyba privalo informuoti kitas CSIRT tarnybas, gamintojus ir organizacijas, kurios veikla gali žymiai įtakoti nagrinėjamas įvykis
    • tarnyba užtikrina, kad visi nariai gauna popierinę ir elektroninę kodekso kopiją ir užtikrina, kad visi punktai yra suprantami
    • tarnyba užtikrina, kad informacija, liečianti kitų CSIRT klientus, bendruomenę, ar interneto arba naudotojų saugumą, bus apsaugota ir užtikrintas tokios informacijos privatumas
    • Kitos CSIRT, gamintojai informuojami kaip galima anksčiau
    • informuojant trečias šalis būtina pašalinti tą informaciją, kuri nereikalinga trečiai šaliai
    • jautri informacija siunčiama ir išsaugoma tik naudojant šifravimą
    • Jei tarnyba atlieka pažeidžiamumų tyrimus, būtina turėti dokumentuotas procedūras, pagal kurias tvarkoma surinkta informacija
    • informacija apie atrastus pažeidžiamumus perduodama atitinkamam gamintojui kaip galima anksčiau
  • REKOMENDUOJAMA
    • atkreipti dėmesį į kitų šalių įstatymus, kylant įstatymų konfliktams pati tarnyba turi nuspręsti, kaip problema turėtų būti sprendžiama
    • tarnyba turėtų rodyti saugaus elgesio internete pavyzdį
    • tarnyba reguliariai turėtų vesti diskusijas tarp narių dėl šio kodekso punktų
    • tarnybos pažeidžiamumų tyrimo procedūros turėtų būti pateiktos gamintojams, kitiems CSIRT tarnyboms
    • gamintojams turėtų būti suteikta galimybė ištaisyti pažeidžiamumus prieš paskelbiant pažeidžiamumų informaciją viešai

Informacijos dalinimo žymos

LITNET CERT pripažįsta tokią informacijos žymėjimo schemą:

  • RED/raudona - Negalima atskleisti asmenims, nedalyvaujantiems informacijos apsikeitime, leidžiama tik nurodytiems adresatams
  • AMBER/oranžinė - Ribojamas atskleidimas tik asmenims toje organizacijoje, tarnyboje, kuriems tai žinoti yra BŪTINA (gali būti darbuotojai, konsultantai, sutarčių partneriai)
  • GREEN/žalia - Informacija gali būti dalinamasi su kitomis organizacijomis, asmenims, kurie vykdo saugumo operacijas bendruomenėje, tačiau NEGALIMA viešinti internete visiems
  • WHITE/balta - informaciją galima viešinti visiems (atkreipiant dėmesį į autorių teises)
Gauta iš „https://wiki.litnet.lt/index.php?title=Elgesio_kodeksas&oldid=43