A explosão no recurso a redes e a serviços de comunicações e das inerentes formas de trabalho e de tratamento de informação tem exposto cada vez mais a actividade económica desenvolvida pelas organizações públicas e privadas a riscos de quebra no acesso e de sigilo, corrupção e destruição de informação, entre outros. A garantia de disponibilidade e a robustez e resiliência das redes e dos serviços de comunicações electrónicas assume, assim, cada vez mais, um papel relevante e incontornável na garantia de continuidade e da sustentabilidade das operações e dos negócios necessária ao desenvolvimento da actividade económica.
1.1. Enquadramento no Plano Estratégico da ANACOM
1.1.1. Segundo o Plano Estratégico 2009/2011 esta acção identifica-se como ''Proceder ao estudo de avaliação e caracterização da segurança de comunicações em redes públicas de comunicações electrónicas'' (acção 2.22).
1.1.2. A acção 2.22 enquadra-se no objectivo estratégico do ICP-ANACOM de garantia e protecção dos direitos dos utilizadores e dos cidadãos em geral.
1.1.3. Esta acção do plano vem na sequência de preocupações manifestadas pelo Governo às quais o ICP-ANACOM apresentou oportunamente as suas propostas e nas quais este estudo se insere.
1.2. Normas e recomendações técnicas
1.2.1. O estudo deverá ter em conta as especificações e recomendações técnicas de organismos de normalização europeia e internacional e ainda outras entidades que sejam reconhecidas internacionalmente, nomeadamente ITU, ISO/IEC, ETSI, CEN, CENELEC, IETF, IEEE, OTAN e outros, aplicáveis em termos de segurança de redes e de sistemas de informação.
1.2.2. Sem prejuízo de outras normas e/ou recomendações técnicas que se determine serem aplicáveis, o estudo deverá, para efeitos do parágrafo anterior, ter em conta as normas e recomendações técnicas seguintes, explicitando e fazendo referência às suas cláusulas específicas:
a) ITU-T Recommendation X.800 (1991), Security architecture for Open Systems Interconnection for CCITT applications;
b) ITU-T Recommendation X.805 (10/2003), Security architecture for systems providing end-to-end communications;
c) ITU-T Recommendation X.1051 (02/2008), Telecommunication security - Information security management guidelines for telecommunications organizations based on ISO/IEC 27002;
d) ISO/IEC - 13335-1 - Information technology - Security techniques - Management of information and communications technology security - Part 1: Concepts and models for information and communications technology security management - First edition - 2004-11-15;
e) ISO/IEC - 13335-3 - Information technology - Guidelines for the management of IT Security - Part 3: Techniques for the management of IT Security - First edition - 1998-06-15;
f) ISO/IEC - 27002 - Information technology - Security techniques - Code of practice for information security management - First edition - 2005-06-15;
g) ITU-T Recommendation X.1121 (04/2004), Telecommunication security Framework of security technologies for mobile end-to-end data communications;
h) RFC 2350 (June/1998), Expectations for Computer Security Incident Response, Expectations for Computer Security Incident Responsehttp://www.ietf.org/rfc/rfc2350.txt;
i) Handbook for Computer Security Incident Response Teams (CSIRTs), CMU/SEI-2003-HB-002, First release: December 1998, 2nd Edition: April 2003.
1.3. Estudo ARECI
1.3.1. Este estudo analisa a disponibilidade e robustez das infra-estruturas de comunicações electrónicas e apresenta nesse sentido dez recomendações, dirigidas à Comissão, aos Estados-Membros e ao sector privado.
1.3.2. As recomendações identificam áreas críticas que deverão receber acção prioritária, reforçando a importância de uma cooperação ao nível da União Europeia, e incidem sobre diversos aspectos, como a preparação para situações de emergência, as infra-estruturas públicas, a partilha de informação vital entre Estados-Membros, a normalização, a interoperabilidade, entre outros.
1.3.3. Releva-se de entre as recomendações apresentadas no estudo ARECI as que terão maior significado no contexto nacional, pelo que o estudo a desenvolver deverá ter em especial consideração as seguintes recomendações:
a) Preparação para emergências;
b) Estabelecimento de comunicações prioritárias em redes públicas de acordo com normas internacionais aplicáveis;
c) Estabelecimento de acordos formais de ajuda mutua na preparação e resposta a incidentes;
d) Estabelecimento de mecanismos e procedimentos de partilha de informação de sobre elementos da infra-estrutura críticos;
e) Estabelecimento de um programa de identificação das interdependências entre o sector das comunicações e outros sectores críticos;
f) Estabelecimento de um programa de melhoria da integridade das cadeias de fornecimento e de implementação de conceitos de confiança inovativos para o suporte de operação deste sistema;
g) Estabelecimento de um programa de teste de interoperabilidade na interligação a novas redes.
1.3.4. Em termos destas recomendações o estudo a desenvolver deverá dar especial atenção àquelas que permitam fazer face a situações de congestionamento de redes e estabelecer os mecanismos e procedimentos necessários à salvaguarda de reservas de capacidade para comunicações de emergência de interesse público.
