Opis CSIRT-CEZ (wersja polska) ================================================================== 1. Informacje o dokumencie Dokument zawiera opis CSIRT-CEZ bazujący na standardzie RFC2350. 1.1 Data ostatniej aktualizacji Wersja dokumentu 1.4, opublikowana 2025-11-25. 1.2 Lista dystrybucyjna dla powiadomień Obecnie CSIRT-CEZ nie korzysta z żadnej listy dystrybucyjnej mającej na celu powiadamianie o zmianach w tym dokumencie. 1.3 Miejsce, w którym można znaleźć dokument Aktualna wersja tego opisu jest dostępna na stronie internetowej Centrum e-Zdrowia: URL dokumentu: https://cez.gov.pl/sites/default/files/2024-11/RFC2350PL_v.1.4.txt URL wersji angielskiej tego dokumentu: https://cez.gov.pl/sites/default/files/2024-11/RFC2350EN_v.1.4.txt Upewnij się, że używasz najnowszej wersji. 1.4 Poświadczenie dokumentu Dokument został podpisany przy użyciu klucza PGP CSIRT-CEZ, podpis może zostać zweryfikowany przy użyciu klucza publicznego wskazanego w punkcie 2.7 tego dokumentu. 2. Informacje kontaktowe 2.1 Nazwa zespołu Nazwa skrócona: CSIRT-CEZ Pełna nazwa: Sektorowy Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego 2.2 Adres Centrum e-Zdrowia Sektorowy Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego ul. Stanisława Dubois 5a 00-184 Warszawa Polska 2.3 Strefa czasowa Czas środkowoeuropejski (CET) - UTC + 1 Czas środkowoeuropejski letni (CEST) - UTC + 2 zgodnie z przepisami UE (od ostatniej niedzieli marca do ostatniej niedzieli października) 2.4 Numer telefonu +48 573 205 962 2.5 Pozostałe możliwości komunikacji Niedostępne 2.6 Adres poczty elektronicznej Wszystkie zgłoszenia prosimy kierować na adres e-mail: incydent[at]csirt.cez.gov.pl 2.7 Klucze publiczne oraz informacje dotyczące szyfrowania Klucz PGP Zespołu Cyberbezpieczeństwa: ID klucza: 784E 6C77 8BBC 67EE Odcisk palca: 37C775358972DE361DC2D78C784E6C778BBC67EE Klucz publiczny dostępny jest na stronie CSIRT-CEZ: https://cez.gov.pl/sites/default/files/Klucz%20publiczny.asc 2.8 Punkt kontaktowy Preferowaną metodą kontaktu jest wysłanie wiadomości e-mail. Pytania prosimy kierować na adres: Adres e-mail do zgłaszania incydentów: Formularz zgłoszenia incydentu dostępny jest po adresem: https://cez.gov.pl/pl/page/zglos-incydent 3. Statut 3.1 Misja Misją CSIRT-CEZ jest wspieranie działań na rzecz cyberbezpieczeństwa poprzez rozwijanie kompetencji i zdolności do unikania, identyfikowania i ograniczania działań stwarzających ryzyko dla bezpieczeństwa sieci i systemów informatycznych, poufności, integralności, dostępności i autentyczności przetwarzanych danych oraz wspieranie zdolności do reagowania na zagrożenia cybernetyczne i minimalizowania ich wpływu na polski sektor ochrony zdrowia. 3.2 Obszar działania Obszar działania CSIRT-CEZ stanowią podmioty wchodzące w skład sektora zdrowia w Polsce, wskazane w załączniku nr 1 do ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa. 3.3 Finansowanie i przynależność CSIRT-CEZ operuje w ramach struktur Centrum e-Zdrowia i podlega jego regulacjom wewnętrznym. Jego działanie jest finansowane w ramach budżetu Centrum e-Zdrowia. 3.4 Upełnomocnienie CSIRT-CEZ został powołany przez Ministra Zdrowia jako CSIRT sektorowy na podstawie art. 44 ust. 1 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa i działa na podstawie przepisów tej ustawy 4. Zasady obsługi incydentów (polityki) 4.1 Typy incydentów i poziom wsparcia CSIRT-CEZ jest upoważniony do obsługi wszystkich rodzajów incydentów związanych z bezpieczeństwem komputerów i sieci, które mogą wystąpić w obszarze jego działania (zgodnie z zakresem usług). CSIRT-CEZ nadaje priorytet incydentom - odpowiednio do ich krytyczności, zasięgu i przedmiotu sprawy. Incydenty są obsługiwane zgodnie z nadanym priorytetem. Poziom wsparcia udzielanego przez CSIRT-CEZ będzie się różnić w zależności od krytyczności i rodzaju zgłoszenia, a także innych istotnych okoliczności. 4.2 Wsparcie, interakcja i ujawnianie informacji CSIRT-CEZ współpracuje z CSIRT poziomu krajowego w ramach krajowego systemu cyberbezpieczeństwa. CSIRT-CEZ może przekazywać do innych państw, w tym państw członkowskich Unii Europejskiej, i przyjmować z tych państw informacje o incydentach. CSIRT-CEZ może otrzymywać zgłoszenia incydentu poważnego z innego państwa członkowskiego Unii Europejskiej. CSIRT-CEZ wymienia wszystkie niezbędne do współpracy informacje z innymi zespołami CSIRT, uprawnionymi organami, a także z administratorami zainteresowanych stron, zgodnie z zasadą wiedzy uzasadnionej. CSIRT-CEZ przetwarza dane osobowe pozyskane w związku z incydentami i zagrożeniami bezpieczeństwa: - dotyczące użytkowników systemów informatycznych oraz użytkowników telekomunikacyjnych urządzeń końcowych; - dotyczące telekomunikacyjnych urządzeń końcowych; - gromadzone przez operatorów usług kluczowych i dostawców usług cyfrowych w związku ze świadczeniem usług; - gromadzone przez podmioty publiczne w związku z realizacją zadań publicznych, dotyczące podmiotów zgłaszających incydent Wszystkie dane wrażliwe (takie jak dane osobowe, konfiguracje systemu, znane podatności i miejsca ich wystąpienia) są szyfrowane, jeśli muszą być przesyłane w niezabezpieczonym środowisku. 4.3 Komunikacja i uwierzytelnianie CSIRT-CEZ jest zobowiązany do przestrzegania przepisów i zasad obowiązujących w Polsce i Unii Europejskiej w sprawach dotyczących informacji wrażliwych. Dla standardowej komunikacji CSIRT-CEZ może używać standardowej komunikacji takiej jak nieszyfrowana poczta elektroniczna lub telefon. Do bezpiecznej komunikacji CSIRT-CEZ używa poczty szyfrowanej PGP. W celu uwierzytelnienia osoby przed nawiązaniem kanału komunikacji możliwe jest użycie istniejących społeczności takich jak sieć CSIRT, ewentualnie innych metod taki jak oddzwonienie czy spotkanie jeśli jest to wymagane. CSIRT-CEZ deklaruje pełne wsparcie dla ISTLP (Information Sharing Traffic Light Protocol). 5. Usługi 5.1 Reagowanie na incydenty CSIRT-CEZ wspiera podmioty w swoim obszarze działania w obsłudze incydentów związanych z bezpieczeństwem informacji. Usługi obejmują: - detekcję i analizę incydentów - koordynację obsługi incydentów - wsparcie w rozwiązywaniu incydentów. 5.1.1 Detekcja i analiza incydentów Usługa obejmuje: - przyjęcie zgłoszenia; - określenie, czy doszło do incydentu; - analizę materiału dowodowego; - ocenę wpływu incydentu; - ocenę zasięgu incydentu; - nadanie priorytetu. 5.1.2 Koordynacja obsługi incydentu Koordynacja obsługi incydentów jest przeprowadzana we współpracy z podmiotem, którego dotyczy incydent, CSIRT poziomu krajowego oraz uprawnionymi podmiotami i obejmuje: - określenie przyczyny incydentu (wykorzystanej podatności); - wymianę informacji z innymi podmiotami, objętymi incydentem; - wymianę informacji z CSIRT poziomu krajowego oraz, w razie potrzeby, organami ścigania. 5.1.3 Rozwiązywanie incydentów Usługa obejmuje: - wsparcie planowania reakcji; - wsparcie administratorów systemów i sieci w likwidacji i eliminacji przyczyny incydentu (wykorzystanej podatności) oraz skutków incydentu; - zbieranie dowodów w celu wszczęcia śledztwa (jeżeli wymagane); - rekomendacje ulepszeń bezpieczeństwa dla administratorów i kierownictwa; - przygotowywanie raportów. 5.2 Działania proaktywne CSIRT-CEZ prowadzi działania mające na celu zwiększenie odporności środowiska informatycznego na zdarzenia związane z bezpieczeństwem i ograniczające potencjalny wpływ tych zdarzeń. Działania obejmują: - dostarczanie informacji dotyczących znanych podatności, poprawek lub rozwiązań znanych problemów, - edukację i szkolenia, - wsparcie operatorów usług kluczowych w wypełnianiu ich ustawowych obowiązków wynikających z ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa. - audyty i doradztwo. 6. Formularze zgłaszania incydentów Formularz zgłoszenia incydentu dostępny jest pod adresem: https://cez.gov.pl/pl/page/zglos-incydent 7. Zastrzeżenia Podczas przygotowywania wszelkich informacji, powiadomień i alertów podejmowane są wszelkie środki ostrożności, jednak CSIRT-CEZ nie ponosi odpowiedzialności za błędy lub pominięcia oraz szkody wynikające z wykorzystania informacji zawartych w tym dokumencie. Dołożyliśmy wszelkich starań, aby ten dokument dokładnie przetłumaczyć z polskiego na angielski, jednak nie ma pewności,że poziomy szczegółowości i dokładności obu wersji są równe. W przypadku jakiejkolwiek różnicy między wersjami pierwszeństwo ma wersja polska.