Gestione incidenti

PROCEDURA DI GESTIONE INCIDENTI

Questo documento descrive la procedura utilizzata da CERT-UniBo nella gestione degli incidenti di sicurezza che coinvolgono la Rete dell'Università di Bologna.

Le comunicazioni emesse da CERT-UniBo verso gli altri soggetti coinvolti si svologno principalmente tramite posta elettronica (con firma elettronica PGP).

La procedura si compone dei seguenti punti:

  1. CERT-UniBo riceve la segnalazione di incidente, e verifica che vi siano coinvolti soggetti appartenenti alla rete ALMANet.
  2. Se la verifica dà esito affermativo, CERT-UniBo assegna all'incidente un numero univoco, ed invia una comunicazione al team informatico di struttura, in quanto responsabile dei servizi informatici della struttura e possibile soggetto di una successiva richiesta di azione. Al referente viene anche richiesta collaborazione per individuare i responsabili locali interessati. La comunicazione richiede l'intervento per la risoluzione del problema e, se possibile, fornisce anche indicazioni e suggerimenti utili. CERT-UniBo risponde anche a coloro che hanno segnalato l'incidente, inviando una comunicazione con il numero assegnato all'incidente. Nei casi particolarmente gravi, in particolare quelli con rilevanza anche penale, la comunicazione inviata al referente conterrà anche la segnalazione di messa in quarantena sul bordo dell'IP coinvolto.
  3. Se i responsabili locali non reagiscono in un tempo accettabile, CERT-UniBo cordinandosi con NOC-UniBo provvederà al filtraggio della rete/calcolatore/servizio sull router di accesso (POP) della struttura. L'ulteriore comunicazione viene inviata per conoscenza a NOC-UniBo, in quanto responsabile del router di accesso (POP) alla rete locale (e possibile soggetto di una successiva richiesta di azione), nonchè ai responsabili locali della rete/calcolatore/servizio coinvolta.
  4. CERT-UniBo verifica che la rete/calcolatore/servizio che causano il problema siano stati filtrati, e invia a coloro che hanno segnalato l'incidente la comunicazione di "problema mitigato".
  5. Quando il referente comunica l'avvenuta risoluzione del problema, CERT-Unibo procede alla rimozione dei filtri applicati coordinandosi con NOC-UniBo. CERT-UniBo invia quindi a coloro che hanno segnalato l'incidente la comunicazione di "problema risolto". A questo punto CERT-UniBo chiude definitivamente l'incidente.