Criando um Grupo de Respostas a Incidentes de Segurança em Computadores: Um Processo para Iniciar a Implantação

Tradução do documento "Creating a Computer Security Incident Response Team: A Process for Getting Started" do CERT®/CC, com permissão especial do Software Engineering Institute (SEI).

Introdução
Quais são as questões?
Quais são algumas das boas práticas para criar um CSIRT?
Lembre que paciência pode ser um fator chave
Recursos e maiores informações sobre a criação de um CSIRT

Introdução

Manter a segurança da informação de uma organização no ambiente computacional interconectado dos dias atuais é um grande desafio, que se torna mais difícil à medida em que são lançados novos produtos para a Internet e novas ferramentas de ataque são desenvolvidas. A maioria das organizações reconhece que não existe uma solução única, ou uma panacéia, capaz de garantir a segurança de sistemas e dados; ao contrário, é necessário ter uma estratégia de segurança composta de várias camadas. Uma das camadas que vem sendo incluída por diversas organizações nas suas estratégias é a criação de um Grupo de Resposta a Incidentes de Segurança em Computadores, geralmente conhecido como CSIRT (do inglês "Computer Security Incident Response Team").

As motivações para o estabelecimento de CSIRTs incluem:

um aumento generalizado na quantidade de incidentes de segurança sendo reportados
um aumento generalizado na quantidade e variedade de organizações sendo afetadas por incidentes de segurança em computadores
uma maior consciência, por parte das organizações, da necessidade de políticas e práticas de segurança como parte das suas estratégias globais de gerenciamento de riscos
novas leis e regulamentos que afetam a maneira como as organizações precisam proteger as suas informações
a percepção de que administradores de redes e sistemas não podem proteger sozinhos os sistemas e as informações da organização

Quais São as Questões?

À medida em que as organizações começam a implantar o seu mecanismo de resposta a incidentes, elas tentam determinar a melhor estratégia para montar esta estrutura. Elas não só querem saber o que rendeu bons frutos em outras organizações como também buscam orientação a respeito do processo que devem seguir e quais os requisitos que devem ser atendidos para estabelecer um mecanismo de resposta a incidentes que seja eficaz.

Os CSIRTs e as organizações que os abrigam buscam respostas a diversas perguntas para auxiliar na concepção do seu mecanismo de resposta. Eles também estão interessados em saber o que outros grupos em organizações similares estão fazendo. Os questionamentos mais comuns incluem (mas não se limitam) aos seguintes:

Quais são os requisitos básicos para se estabelecer um CSIRT?
Que tipo de CSIRT será necessário?
Que tipos de serviços devem ser oferecidos?
Qual deve ser o tamanho de um CSIRT?
Onde o CSIRT deve estar localizado na organização?
Qual o custo para implementar e manter um CSIRT?
Quais são os passos iniciais que devem ser seguidos para criar um CSIRT?

Não existem respostas padrão para estas perguntas. Os CSIRTs são tão singulares quanto as organizações a que servem, o que significa que dois grupos dificilmente trabalharão exatamente da mesma maneira. É importante que a organização decida por que ela está montando um CSIRT e quais objetivos ela pretende que o CSIRT alcance. Depois que isto estiver determinado, as perguntas acima poderão ser respondidas.

Este documento é o primeiro de uma série de artigos que irão discutir as questões e decisões que precisam ser consideradas no planejamento e implementação de um CSIRT. Este primeiro artigo se concentra em uma visão geral, em alto nível, dos passos que devem ser seguindos pelas organizações para conceber e montar um CSIRT. O artigo foi escrito para servir como um guia para organizações que estejam pensando em assumir esta empreitada e para pessoas que façam parte de uma equipe de projeto encarregada de implantar um CSIRT.

Quais Práticas São Recomendadas para Criar um CSIRT?

Embora as formas de operação dos CSIRTs sejam diferentes, dependendo do pessoal, conhecimento e recursos disponíveis e das características individuais de cada organização, existem algumas práticas básicas que se aplicam a todos os CSIRTs. Nós discutiremos algumas destas práticas conforme elas estejam relacionadas com a criação de um CSIRT. (Para maiores informações sobre o que é um CSIRT, consulte o CSIRT FAQ.) Embora estas ações sejam apresentadas na forma de passos, o processo como um todo não é seqüencial; muitos desses passos podem ser executados em paralelo.

Os passos são os seguintes:

Passo 1: Obter o apoio e a aprovação da administração superior
Passo 2: Determinar o plano de desenvolvimento estratégico do CSIRT
Passo 3: Coletar as informações relevantes
Passo 4: Conceber a visão do seu CSIRT
Passo 5: Comunicar a visão do CSIRT
Passo 6: Iniciar a implementação do CSIRT
Passo 7: Anunciar o CSIRT
Passo 8: Avaliar a eficácia do CSIRT

Passo 1: Obter o Apoio e a Aprovação da Administração Superior

A nossa experiência mostra que sem a aprovação e o apoio da administração superior pode ser extremamente difícil e problemático criar um mecanismo eficaz de resposta a incidentes. Este apoio deve ser demonstrado de várias formas, incluindo a alocação de recursos materiais e financeiros, e de tempo para trabalhar, para a pessoa ou equipe que será responsável pela implementação do CSIRT. Isso inclui também a dedicação de parte do tempo de executivos e gerentes (e de seus subordinados) para participação no processo de planejamento; a contribuição dessas pessoas é vital durante a fase de concepção.

É importante que a administração coloque as suas expectativas e percepções da função e das responsabilidades do CSIRT. Sem essas informações, é possível que seja formado um grupo cujos serviços e autoridade não sejam adequadamente compreendidos ou utilizados pelo restante de organização.

Além do apoio para o processo de planejamento e implementação, é importante obter da administração da organização o compromisso de sustentar as operações e a autoridade do CSIRT a longo prazo. Uma vez que o grupo esteja estabelecido, quais são os recursos humanos, materiais e financeiros disponíveis para sua manutenção e ampliação? A função e a autoridade do CSIRT continuarão sendo apoiados pela administração perante os vários setores atendidos ou perante a organização mantenedora? A ausência deste apoio continuado pode ameaçar o êxito do CSIRT a longo prazo.

Passo 2: Determinar o Plano de Desenvolvimento Estratégico do CSIRT

Neste passo deve-se pensar em como gerenciar o desenvolvimento do CSIRT. Quais questões administrativas e de gerência do projeto devem ser consideradas?

Existem prazos específicos a cumprir? Estes prazos são realistas? Se não, eles podem ser alterados?
Existe um grupo de projeto? Qual a origem dos membros do grupo? Você deve garantir que todas as partes interessadas estejam representadas. Algumas podem não fazer parte do grupo durante todo o projeto, mas serem convocadas para contribuir com seu conhecimento de áreas específicas e com idéias quando isso for necessário. Você também deve incorporar boas práticas em gerência de projetos, teoria do comportamento organizacional e teoria da comunicação ao seu plano. Se existirem pessoas com conhecimento e/ou experiência nestas áreas, considere a possibilidade delas fazerem parte do grupo.
Como a organização vai tomar conhecimento do desenvolvimento do CSIRT? Um memorando partindo da administração superior anunciando o projeto e solicitando a colaboração total de todas as áreas chaves da organização é um bom começo. Divulgar para a organização o plano de um CSIRT ainda nas fases iniciais do seu desenvolvimento pode ajudar os funcionários a sentirem que eles fazem parte do processo de concepção.
Se existe um grupo de projeto, como vocês armazenam e divulgam as informações que estão coletando, especialmente se o time está espalhado geograficamente?

Passo 3: Coletar as Informações Relevantes

Colete informações para determinar as necessidades de sua organização em termos de serviços e resposta a incidentes. Examine os tipos de incidentes sendo reportados atualmente pela sua comunidade. Isto ajuda a determinar não apenas quais os serviços que devem ser oferecidos mas também qual o conhecimento e experiência que será exigido dos membros do CSIRT. Por exemplo, se sua organização foi vítima de uma contaminação por um vírus ou "worm", você precisará de pessoal com experiência em lidar com vírus para preparar a resposta. Você precisará também de procedimentos de busca, eliminação e recuperação de vírus, juntamente com ferramentas antivírus apropriadas. Você pode querer ter pessoas capacitadas a dar treinamentos e a produzir documentação para ajudar a desenvolver programas de conscientização dos usuários, lidando de forma pró-ativa com os vírus.

Identifique quais informações você precisa para planejar e implementar o CSIRT. Determine quem tem essas informações e qual a melhor maneira de obtê-las, se através de discussões e entrevistas ou integrando estas pessoas ao projeto.

Reúna-se com os principais interessados não apenas para discutir as suas necessidades em termos de resposta a incidentes, mas também para chegar a um consenso sobre as expectativas, direção estratégica, definições e responsabilidades do CSIRT. A sua definição do que é um CSIRT e o que ele faz pode ser bastante diferente da definição do seu gerente ou de outros membros da sua organização. Use estas discussões com os interessados para delinear e identificar como cada grupo precisará interagir com o CSIRT. As partes interessadas podem incluir, entre outras:

Gerentes de negócios. Eles precisam compreender o que é o CSIRT e como ele pode auxiliar nos seus processos de negócio. Devem ser estabelecidos acordos determinando a autoridado do CSIRT sobre sistemas em produção e quem irá tomar decisões caso sistemas críticos para os negócios precisem ser desconectados da rede ou desligados.
Representantes de TI. Como o pessoal de TI e o CSIRT interagem? Quais ações são tomadas pelo pessoal de TI e quais são tomadas pelos membros do CSIRT durante operações de resposta? O CSIRT terá fácil acesso aos logs da rede e dos sistemas para fins de análise? O CSIRT poderá fazer recomendações para melhorar a segurança da infra-estrutura organizacional?
Representantes do departamento jurídico. Quando e como o departamento jurídico se envolverá em esforços de resposta a incidentes? O pessoal jurídico também pode ser convocado para revisar acordos de confidencialidade, revisar os termos em contatos por escrito com outros sites e organizações e para determinar se o site pode ser responsabilizado em casos de incidentes de segurança.
Representantes do departamento de recursos humanos. Eles podem ajudar a escrever descrições de cargos para a contratação de pessoal para o CSIRT, bem como desenvolver políticas e procedimentos para desligar funcionários que estejam envolvidos em atividades não autorizadas ou ilegais usando os computadores da organização.
Representantes de relações públicas. Eles devem estar preparados para atender a solicitações da imprensa e devem ajudar a desenvolver políticas e práticas de divulgação de informações.
Grupos de segurança já existentes, inclusive de segurança das instalações. O CSIRT precisará trocar informações com estes grupos sobre incidentes envolvendo computadores, e poderá dividir com eles a responsabilidade na resolução de casos que envolvam roubo de computadores ou dados.
Especialistas em auditoria e gerenciamento de riscos. Eles podem ajudar a desenvolver métricas para ameaças e análises de vulnerabilidades, assim como incentivar a adoção de boas práticas de segurança em computadores dentro da organização.
Representantes gerais da comunidade atendida pelo CSIRT, que podem ajudar a esclarecer as suas necessidades.

As partes interessadas incluem também todos os que estarão envolvidos com os processos de tratamento e/ou notificação de incidentes. Pense em quem precisará ser notificado quando ocorrerem diferentes tipos de incidentes. Existem pessoas em outras partes da organização que podem fornecer informações para o CSIRT ou com quem o CSIRT precisa compartilhar informações? Elas podem incluir outras partes dos setores de TI e/ou segurança, incluindo grupos que fazem análises de vulnerabilidades, detecção de intrusões e monitoramento de rede. Saber o que o CSIRT precisará fazer pode ajudá-lo a identificar as pessoas certas que devem ser incorporadas ao desenvolvimento de procedimentos.

Descubra se existe mais alguém realizando os serviços que o CSIRT pretende prestar. Determine se estes serviços devem ficar com o grupo atual ou migrar para o CSIRT após um período de tempo acordado entre as partes. Resolver este tipo de questão nas fases de planejamento pode ajudar a identificar quais responsabilidades precisam ser delineadas e quais informações precisam ser coletadas.

Podem haver ainda outros recursos disponíveis que irão ajudá-lo na coleta de informações. Tais recursos podem incluir:

organogramas da empresa e de unidades de negócio específicas
topologias de redes e sistemas da organização ou da comunidade que será atendida
inventários dos sistemas e recursos críticos
planos existentes de recuperação de desastres ou de continuidade dos negócios
normas existentes para comunicar violações de segurança física
quaisquer planos de resposta a incidentes já existentes
quaisquer regulamentos institucionais existentes
quaisquer políticas e procedimentos de segurança existentes

Uma análise destes documentos serve a um duplo propósito: primeiro, identificar interessados, recursos e proprietários de sistemas; segundo, fornecer uma visão geral de políticas existentes que devam ser seguidas pelo CSIRT. De quebra, estes documentos podem conter textos que podem ser usados no desenvolvimento de políticas, procedimentos e documentos do CSIRT. Eles também podem incluir listas de pessoas na organização que devem ser contactadas durante emergências. Tais listas podem ser adaptadas para o trabalho e os processos do CSIRT.

Além disso, investigue o que organizações similares estão fazendo para prover serviços de tratamento de incidentes ou para organizar um CSIRT. Se você possui contatos nestas organizações, veja se você pode conversar com eles sobre como o seu grupo foi formado. Visite as páginas Web de outros CSIRTs e veja suas missões, estatutos, esquema de financiamento e lista de serviços prestados. Isto pode fornecer idéias para a organização do seu time. Veja livros e outras publicações sobre tratamento de incidentes ou CSIRTs. Uma lista inicial de fontes de consulta pode ser encontrada na página "CSIRT Development" do CERT/CC.

Faça cursos ou assista a conferências que incluam sessões sobre desenvolvimento de estratégias de resposta a incidentes ou criação de CSIRTs. Estes eventos podem lhe dar oportunidade de trocar idéias e interagir com outras pessoas ligadas à resposta a incidentes. A Conferência Anual do FIRST pode ser um bom lugar para começar.

Passo 4: Conceber a Visão do seu CSIRT

Conforme a obtenção de informações traz à tona as necessidades da comunidade com relação à resposta de incidentes e conforme você constrói um entendimento das expectativas da gerência, você pode começar a identificar os componentes chave do CSIRT. Isto permite definir a visão do CSIRT e seus objetivos e funções. Você necessita que a comunidade a ser atendida e a gerência apóiem estes objetivos e funções para que o CSIRT tenha sucesso.

É importante alcançar um entendimento claro da definição e das expectativas para o CSIRT sendo formado. A opinião sobre qual será o papel do CSIRT por parte do pessoal do grupo pode ser completamente diferente da opinião da gerência e da comunidade em geral. Diversas pessoas têm a percepção de que um CSIRT é um "cyber cop" para a organização ou comunidade. Embora isto possa ser verdade para um número pequeno de times, normalmente não é este o foco principal de um CSIRT. O foco principal é prevenir e responder a incidentes. A visão do CSIRT deve incluir uma explanação clara sobre onde as funções do CSIRT entram na estrutura organizacional corrente e como o CSIRT interage com sua comunidade. A visão explica quais os benefícios que um CSIRT oferece, quais ações ele pode tomar, com quem ele se coordena e como ele desempenha suas atividades de resposta a incidentes.

Ao criar a sua visão, você deve:

Identificar a comunidade a ser atendida. A quem o CSIRT presta serviços e suporte?
Definir a missão e os objetivos do seu CSIRT. O que o CSIRT faz para a comunidade a que ele atende?
Selecionar os serviços a serem prestados à comunidade (ou a outros). Como o CSIRT dá suporte à sua missão?
Determinar o modelo organizacional. Como o CSIRT é estruturado e organizado?
Identificar os recursos necessários. Que pessoal, equipamentos e infra-estrutura são necessários para operar um CSIRT?
Determinar o modelo de financiamento do seu CSIRT. Como o CSIRT será financiado na sua fase de implantação e durante as fases de crescimento e manutenção a longo prazo?

Passo 5: Comunicar a Visão do CSIRT

Comunique a visão do CSIRT e seu plano operacional para a gerência, para sua comunidade e para outros que necessitam conhecer e entender suas operações. Faça ajustes no plano, quando apropriado, com base no retorno obtido.

Comunicar antecipadamente a visão pode ajudar a identificar, antes da implementação, problemas organizacionais ou no processo. É uma maneira de deixar as pessoas saberem o que está por vir e permitir que elas contribuam para o desenvolvimento do CSIRT. Esta é uma maneira de começar a fazer o marketing de um CSIRT para sua comunidade e de ganhar a aprovação necessária de todos os níveis organizacionais.

Você pode receber informações que foram esquecidas ou que não estavam disponíveis durante a fase de obtenção de informações. Use estas informações para fazer os ajustes finais nos processos e na estrutura organizacional do CSIRT.

Passo 6: Iniciar a Implementação do CSIRT

Uma vez obtida a aprovação da gerência e da comunidade para a visão apresentada, inicie a implementação:

Contrate e treine o pessoal inicial do CSIRT.
Compre os equipamentos e monte a infra-estrutura de rede necessária para dar suporte ao grupo.
Desenvolva um conjunto inicial de políticas e procedimentos para o CSIRT, de maneira a dar suporte aos serviços.
Defina as especificações para o seu sistema de acompanhamento de incidentes e implemente-o.
Desenvolva recomendações e formulários para sua comunidade sobre como reportar incidentes.

Um dos recursos principais que você deve prover para sua comunidade são as recomendações sobre como reportar incidentes. Estas recomendações definem como sua comunidade interage com o seu CSIRT, o que constitui um incidente, que tipos de incidentes devem ser reportados, quem deve reportar um incidente, por que um incidente deve ser reportado, qual o processo para reportar um incidente e qual o processo para responder a um incidente. Elas devem ser claras e facilitar a compreensão por parte da comunidade que está sendo atendida.

O processo para reportar um incidente inclui uma descrição detalhada dos mecanismos para submissão de notificações: telefone, email, formulário Web ou outros. Ele deve também incluir detalhes sobre que tipo de informação deve ser incluída na notificação.

O processo para responder a um incidente deve detalhar como o CSIRT prioriza e trata as notificações recebidas. Isto inclui como a pessoa que está reportando um incidente é informada de sua resolução, os prazos de resposta que devem ser observados e qualquer outra notificação que ocorra.

Para um exemplo de recomendações para notificações de incidentes, veja o documento "CERT/CC Incident Reporting Guidelines".

Passo 7: Anunciar o CSIRT

Quando o CSIRT estiver operacional, anuncie-o amplamente para a comunidade e para sua organização. É melhor se este anúncio vier da administração que está apoiando o grupo. Inclua as informações de contato e horários de operação do CSIRT no anúncio. Esta é uma excelente ocasião para tornar disponíveis as recomendações para notificação de incidentes. Você pode também desenvolver material para divulgar o CSIRT, como um simples folheto ou livreto delineando a missão e os serviços do CSIRT, que pode ser distribuído em conjunto com o anúncio. Alguns grupos abrem suas portas para a visitação ou promovem um evento especial para anunciar a implantação do CSIRT.

Passo 8: Avaliar a Eficácia do CSIRT

Uma vez que o CSIRT esteja em operação por algum tempo, a gerência desejará avaliar a eficácia do time e utilizar os resultados da avaliação para melhorar os processos do CSIRT e para ter certeza de que o time está atingindo as necessidades da comunidade atendida. O CSIRT, em conjunto com a gerência e a comunidade, deverá desenvolver um mecanismo para realizar esta avaliação.

Informações sobre a eficácia podem ser obtidas através de diversos mecanismos, incluindo:

benchmarking com outros CSIRTs
discussões com representantes da comunidade sendo atendida
formulários de avaliação distribuídos periodicamente para os membros da comunidade
definição de critérios ou parâmetros de qualidade que podem utilizados por uma auditoria ou por um grupo externo para avaliar o time

Pode ser útil analisar informações coletadas sobre a comunidade ou organização antes da implementação do grupo. Estas informações podem ser usadas como referência para determinar o efeito do CSIRT na sua comunidade. As informações a serem coletadas para comparação podem incluir:

número de incidentes reportados
tempo de resposta ou tempo de vida de um incidente
número de incidentes resolvidos com sucesso
informações fornecidas para a comunidade sobre assuntos relativos à segurança de computadores ou atividades em andamento
atenção às questões de segurança dentro da organização
técnicas de prevenção e práticas de segurança implantadas

Consulte a seção 2.2.4 do "Handbook for Computer Security Incident Response Teams" para maiores informações sobre avaliação da qualidade dos serviços de um CSIRT.

Lembre que Paciência Pode Ser um Fator Chave

O tempo que levará para conceber, planejar e implementar um time pode variar de acordo com a situação de cada organização. Temos visto que o tempo até que um CSIRT esteja operacional pode ir de dois meses a dois anos. É importante notar que pode levar de 12 a 18 meses para terminar as políticas e procedimentos, especialmente para uma empresa grande e distribuída. Depois que o grupo estiver operacional pode levar outros 12 a 18 meses para obter um bom nível de confiança e conforto na relação com a comunidade sendo atendida. Muitos times mostram um grande crescimento no número de incidentes reportados ao longo do primeiro ano de operações. Quanto maior o tempo de operação do grupo, mais a comunidade entenderá o trabalho que está sendo feito e é mais provável que ela notifique incidentes para o seu time.

Recursos e Mais Informações Sobre a Criação de um CSIRT

Os componentes descritos acima são amplamente discutidos em:

Overview of Creating and Managing Computer Security Incident Response Teams (Workshop de um dia do CERT/CC)
Handbook for Computer Security Incident Response Teams

Estes recursos podem prover informações adicionais:

Forming an Incident Response Team
Um artigo que examina o papel que um grupo de resposta a incidentes deve ter na comunidade e quais as questões que devem ser tratadas, tanto durante a formação quanto depois do início das operações. Este artigo foi escrito por um ex-membro do AusCERT (Australian Computer Emergency Response Team).
Expectations for Computer Security Incident Response (RFC 2350)
Este é um documento de boas práticas que recomenda os requisitos gerais e o comportamento que um CSIRT deve seguir quando está sendo estabelecido ou está operando. Ele se concentra nos métodos para informar a comunidade sobre os serviços e processos do grupo.
Avoiding the Trial-by-Fire Approach to Security Incidents
Este artigo discute a importância de possuir um processo organizado e definido para detectar e responder a incidentes.
Responding to Intrusions (Security Improvement Module)
As práticas neste módulo identificam os passos que você deve seguir para responder e se recuperar de uma intrusão. Este módulo é complementar ao módulo "Detecting Signs of Intrusion".
Detecting Signs of Intrusion (Security Improvement Module)
The CERT® Guide to System and Network Security Practices
As práticas de segurança do CERT foram compiladas neste livro publicado pela Addison-Wesley e disponível on-line e em livrarias. Usando uma abordagem prática, o livro mostra como os administradores podem proteger os sistemas e redes contra ataques maliciosos e invasões, com base nos incidentes de segurança reportados ao CERT/CC.

Tradução e Revisão Técnica: Cristine Hoepers e Rafael Obelheiro

Translations of Creating a Computer Security Incident Response Team: A Process for Getting Started, (c) 2002 by Carnegie Mellon University, with special permission from the Software Engineering Institute.

Accuracy and interpretation of this translation are the responsibility of NBSO. The SEI has not participated in this translation.

®CERT and CERT Coordination Center are registered in the U.S. Patent and Trademark Office.

NO WARRANTY. THIS CARNEGIE MELLON UNIVERSITY AND SOFTWARE ENGINEERING INSTITUTE MATERIAL IS FURNISHED ON AN "AS IS" BASIS. CARNEGIE MELLON UNIVERSITY MAKES NO WARRANTIES OF ANY KIND, EITHER EXPRESSED OR IMPLIED AS TO ANY MATTER INCLUDING, BUT NOT LIMITED TO, WARRANTY OF FITNESS FOR PURPOSE OR MERCHANTABILITY, EXCLUSIVITY OR RESULTS OBTAINED FROM USE OF THE MATERIAL. CARNEGIE MELLON UNIVERSITY DOES NOT MAKE ANY WARRANTY OF ANY KIND WITH RESPECT TO FREEDOM FROM PATENT, TRADEMARK, OR COPYRIGHT INFRINGEMENT.

CMU Indemnification. NBSO hereby agrees to defend, indemnify, and hold harmless CMU, its trustees, officers, employees, and agents from all claims or demands made against them (and any related losses, expenses, or attorney's fees) arising out of, or relating to NBSO's and/or its sublicensees' negligent use or willful misuse of or negligent conduct or willful misconduct regarding CMU intellectual Property, facilities, or other rights or assistance granted by CMU under this Agreement, including, but not limited to, any claims of product liability, personal injury, death, damage to property, or violation of any laws or regulations. This indemnification will not apply to claims by third parties which allege that CMU Intellectual Property infringes on the intellectual property rights of such third parties, unless such infringement results from NBSO modifying CMU Intellectual Property or combining it with other intellectual property.

Disputes. This Agreement shall be governed by the laws of the Commonwealth of Pennsylvania. Any dispute or claim arising out of or relating to this Agreement will be settled by arbitration in Pittsburgh, Pennsylvania in accordance with the rules of the American Arbitration Association and judgment upon award rendered by the arbitrator(s) may be entered in any court having jurisdiction.

Translations of CMU/SEI copyrighted material are not official SEI-authorized translations.

NBSO agrees to assign and transfer to CMU/SEI all copyrights in the translation of any CMU/SEI document.

This permission is granted on a non-exclusive basis for non-commercial purposes.

Disclaimers and copyright information

Última alteração: 20 de dezembro de 2004