Opis Zespołu Cyberbezpieczeństwa Centrum e-Zdrowia (wersja polska) ================================================================== 1. Informacje o dokumencie Dokument zawiera opis Zespołu Cyberbezpieczeństwa bazujący na standardzie RFC2350. Przedstawiono w nim informacje na temat zespołu, sposobów komunikacji oraz świadczonych przez zespół usług. 1.1 Data ostatniej aktualizacji Wersja dokumentu 1.2, opublikowana 2021-08-04. 1.2 Lista dystrybucyjna dla powiadomień Obecnie Zespołu Cyberbezpieczeństwa nie korzysta z żadnej listy dystrybucyjnej mającej na celu powiadamianie o zmianach w tym dokumencie. 1.3 Miejsce, w którym można znaleźć dokument Aktualna wersja tego opisu jest dostępna na stronie internetowej Centrum e-Zdrowia: URL do dokumentu: https://www.cez.gov.pl/CSIRT/ 2. Informacje kontaktowe 2.1 Nazwa zespołu Nazwa skrócona: Zespół Cyberbezpieczeństwa Pełna nazwa: Wydział Centrum Operacji Bezpieczeństwa 2.2 Adres Centrum e-Zdrowia Departament Bezpieczeństwa ul. Stanisława Dubois 5a 00-184 Warszawa Polska 2.3 Strefa czasowa Czas środkowoeuropejski (CET) - UTC + 1 Czas środkowoeuropejski letni (CEST) - UTC + 2 zgodnie z przepisami UE (od ostatniej niedzieli marca do ostatniej niedzieli października) 2.4 Numer telefonu +48 573 205 962 2.5 Pozostałe możliwości komunikacji Niedostępne 2.7 Adres poczty elektronicznej Wszystkie zgłoszenia prosimy kierować na adres e-mail: csirt[at]cez.gov.pl 2.8 Klucze publiczne oraz informacje dotyczące szyfrowania Klucz PGP Zespołu Cyberbezpieczeństwa: ID klucza: A29B 48A5 1099 6DE8 Odcisk palca: 6F6984C2E4AF849B697DAF16D2F81CCB20984DD6 Klucz publiczny wraz ze swoją sygnaturą można znaleźć na stronie Zespołu Cyberbezpieczeństwa Centrum e-Zdrowia: 2.9 Punkt Kontaktowy Preferowaną metodą kontaktu jest wysłanie wiadomości e-mail. Pytania prosimy kierować na adres: csirt[at]cez.gov.pl> 3. Statut 3.1 Misja Główne cele Zespołu Cyberbezpieczeństwa: - Budowanie kompetencji i zdolności Centrum e-Zdrowia w zakresie unikania, identyfikowania i ograniczania cyberzagrożeń - Wsparcie Centrum e-Zdrowia w postępowaniu z zagrożeniami cybernetycznymi - Wsparcie dla działań krajowych w zakresie bezpieczeństwa cybernetycznego 3.2 Zakres działania Działaniami Zespołu Cyberbezpieczeństwa objęte są wszystkie systemy informatyczne będące własnością Centrum e-Zdrowia i zarządzane przez niego. 3.3 Finansowanie i przynależność Zespół Cyberbezpieczeństwa operuje w ramach struktur Departamentu Bezpieczeństwa Centrum e-Zdrowia. 4. Zasady obsługi incydentów (polityki) 4.1 Typy incydentów i poziom wsparcia Zespół Cyberbezpieczeństwa jest upoważniony do obsługi wszystkich rodzajów incydentów związanych z bezpieczeństwem komputerów i sieci, które mogą wystąpić w grupie użytkowników Centrum e-Zdrowia (w zakresie usług świadczonych dla tych użytkowników). Zespół Cyberbezpieczeństwa nadaje priorytet incydentom - odpowiednio do ich dotkliwości, zasięgu i przedmiotu sprawy. Incydenty są obsługiwane zgodnie z nadanym priorytetem. Poziom wsparcia udzielanego przez Zespół Cyberbezpieczeństwa będzie się różnić w zależności od dotkliwości i rodzaju zgłoszenia, a także innych istotnych dla sprawy okoliczności. 4.2 Wsparcie, interakcja i ujawnianie informacji Zespół Cyberbezpieczeństwa wymienia wszystkie niezbędne do współpracy informacje z innymi zespołami CSIRT, a także z administratorami zainteresowanych stron. Żadne dane osobowe nie są wymieniane, chyba że za wyraźnym upoważnieniem. Wszystkie wrażliwe dane (takie jak dane osobowe, konfiguracje systemu, znane luki w ich lokalizacjach) są szyfrowane, jeśli muszą być przesyłane w niezabezpieczonym środowisku. 4.3 Komunikacja i uwierzytelnianie Zespół Cyberbezpieczeństwa jest zobowiązany do przestrzegania przepisów i zasad obowiązujących w Polsce i Unii Europejskiej w sprawach dotyczących informacji wrażliwych. Dla standardowej komunikacji Zespół Cyberbezpieczeństwa może używać standardowej komunikacji takiej jak nieszyfrowana poczta elektroniczna lub telefon. Do bezpiecznej komunikacji Zespół Cyberbezpieczeństwa używa poczty szyfrowanej PGP. W celu uwierzytelnienia osoby przed nawiązaniem kanału komunikacji możliwe jest użycie istniejących stron społeczności takich jak Trusted Introducer, FIRST itp., ewentualnie innych metod taki jak oddzwonienie czy spotkanie jeśli jest to wymagane. Zespół Cyberbezpieczeństwa deklaruje pełne wsparcie dla ISTLP (Information Sharing Traffic Light Protocol). 5. Usługi 5.1 Reagowanie na incydenty Zespół Cyberbezpieczeństwa świadczy usługi dla Centrum e-Zdrowia dotyczące obsługi incydentów związanych z bezpieczeństwem informacji w zakresie technicznym i organizacyjnym. Usługi obejmują pełny cykl reagowania na incydenty: - obsługę - zarządzanie - rozwiązywanie - łagodzenie. 5.1.1 Detekcja i analiza incydentów Usługa obejmuje: - określanie autentyczności zdarzenia - ocena dotkliwości 5.1.2 Koordynacja obsługi incydentu Koordynacja obsługi incydentów jest przeprowadzana jedynie w ramach wewnętrznej struktury Centrum e-Zdrowia. 5.1.3 Rozwiązywanie incydentów Obejmuje: - wsparcie techniczne przy dochodzeniu, włączając analizę skompromitowanego systemu - likwidacja i eliminacja przyczyny incydentu oraz skutków incydentu - zbieranie dowodów w celu wszczęcia śledztwa (jeżeli wymagane) - rekomendacja ulepszeń bezpieczeństwa dla administratorów i kierownictwa Centrum e-Zdrowia - przygotowywanie raportów 5.2 Działania proaktywne Zespół Cyberbezpieczeństwa prowadzi działania mające na celu zwiększenie odporności środowiska informatycznego na zdarzenia związane z bezpieczeństwem i ograniczające potencjalny wpływ tych zdarzeń. 6. Formularze zgłaszania incydentów Wspomniana powyżej Procedura zarządzania incydentami cyberbezpieczeństwa dla Centrum e-Zdrowia, definiuje zestaw informacji niezbędnych do zgłaszania incydentów do Zespołu Cyberbezpieczeństwa, ale w razie potrzeby użytkownik może wysłać e-mail z odpowiednimi informacjami. W nagłym wypadku lub sytuacji kryzysowej prosimy o przekazanie do Zespołu Cyberbezpieczeństwa co najmniej następujących informacji: Dane kontaktowe i informacje organizacyjne: imię i nazwisko oraz nazwa organizacji i adres, adres e-mail, numer telefonu, adresy IP, nazwę domenową FQDN oraz wszelkie inne istotne elementy techniczne i obserwacje; Wyniki skanowania (jeśli istnieją) i / lub wyciąg z rejestru log systemu, pokazujący problem. 7. Zastrzeżenia Podczas przygotowywania wszelkich informacji, powiadomień i alertów zostaną podjęte wszelkie środki ostrożności, jednak Zespół Cyberbezpieczeństwa nie ponosi odpowiedzialności za błędy lub pominięcia oraz szkody wynikające z wykorzystania informacji zawartych w tym dokumencie.