1. Informacje o dokumencie Dokument zawiera informacje na temat reagowania i obsługi incydentów bezpieczeństwa komputerowego przez SOC ESKOM w formacie zgodnym ze standardem RFC 2350. 1.1 Data ostatniej aktualizacji To jest wersja 1.1 opublikowana 2 sierpnia 2023r. 1.2 Lista dystrybucyjna Obecnie SOC ESKOM nie korzysta z żadnych list dystrybucyjnych do powiadamiania o zmianach w tym dokumencie. 1.3 Lokalizacje, w których dostępny jest dokument Obowiązująca wersja dokumentu „RFC 2350 dla SOC ESKOM†jest dostępna pod adresem URL: https://eskom.eu/RFC2350-pl.txt 1.4 Uwierzytelnianie tego dokumentu Ten dokument został podpisany z wykorzystaniem klucza PGP. Skróty plików SHA256 znajdują się pod adresem URL: https://eskom.eu/soc-pl.sha 2 Informacje kontaktowe 2.1 Nazwa zespołu SOC ESKOM 2.2 Adres ESKOM IT Sp. z o.o. ul. Puławska 543, 02-844 Warszawa, Polska 2.3 Strefa czasowa Czas środkowoeuropejski UTC+1 Czas środkowoeuropejski letni UTC+2 (od ostatniej niedzieli marca do ostatniej niedzieli października). 2.4 Numer telefonu +48 22 100 55 79 2.5 Numer faksu Nie dotyczy. 2.6 Inne sposoby komunikacji Nie dotyczy. 2.7 Adres poczty elektronicznej Do kontaktów z zespołem wykorzystywany jest adres dbi@eskom.eu 2.8 Klucze publiczne i informacje o szyfrowaniu Klucz GPG używany przez SOC ESKOM: User ID: SOC ESKOM <dbi@eskom.eu> Key ID: 8BDE AD5A 3F77 8E0A Key type: RSA Key size: 4096 Expires: never Fingerprint: 336029BE91BA6F9281C4C1556A49A759F681889E Ten klucz może być uzyskany ze strony internetowej: https://www.eskom.eu/soceskom.asc Plik podpisu dokumentu: https://www.eskom.eu/RFC2350-pl.txt.sig 2.9 Członkowie zespołu Zespół SOC ESKOM składa się z praktyków oraz inżynierów bezpieczeństwa, posiadających długoletnie doświadczenie w zakresie bezpieczeństwa IT, legitymujących się m.in. takimi certyfikatami jak: ISO 27001, ISO 22301, CISA, CISM, CISSP, OSCP, CEH. 2.10 Inne informacje Ogólne informacje o ESKOM IT Sp. z o.o. można znaleźć na stronie https://eskom.eu/ 2.11 Dodatkowe informacje kontaktowe Preferowaną metodą kontaktu z SOC ESKOM jest poczta elektroniczna na adres dbi@eskom.eu Wszystkie e-maile wysyłane na ten adres są przekazywane do odpowiedzialnego, dyżurującego człowieka. W przypadku braku możliwości (lub gdy niewskazane jest to ze względów bezpieczeństwa) korzystania z poczty elektronicznej, z SOC ESKOM można kontaktować się telefonicznie w normalnych godzinach pracy biura (08.00 – 16.00, pon. – pt.). 3 Statut 3.1 Misja Misją SOC ESKOM jest obsługa klientów prywatnych i publicznych w reagowaniu i w obsłudze incydentów bezpieczeństwa komputerowego. 3.2 Obszar działania Obszar działania SOC ESKOM obejmuje klientów prywatnych i publicznych, z którymi ESKOM IT Sp. z o.o. ma zawartą umowę z w zakresie wsparcia w reagowaniu na incydenty bezpieczeństwa komputerowego. 3.3 Sponsorowanie i/lub Przynależność SOC ESKOM funkcjonuje w ramach ESKOM IT Sp. z o.o. 3.4 Umocowanie SOC ESKOM działa pod kierownictwem i z upoważnienia Zarządu ESKOM IT Sp. z o.o., w oparciu o umowy zawarte z klientami. 4 Polityki 4.1 Typy incydentów i poziom wsparcia Poziom wsparcia udzielanego przez SOC ESKOM jest uzależniony od rodzaju, wagi i zakresu incydentu. SOC ESKOM dokonuje klasyfikacji incydentów zgodnie z umowami zawartymi z klientami. 4.2 Współpraca, interakcja i ujawnienie informacji Informacje związane z obsługą incydentów traktowane są jako poufne i są zabezpieczone na mocy umów oraz dokumentów o zachowaniu poufności informacji. Informacje związane z obsługą incydentów mogą być przekazane do zainteresowanych stron trzecich (np. CSIRT, CERT) przy zachowaniu anonimowości, wyłącznie w celu obsługi incydentów. 4.3 Komunikacja i Uwierzytelnianie SOC ESKOM zabezpiecza pozyskane informacje zgodnie z odpowiednimi przepisami prawa i regulacjami wewnętrznymi dotyczącymi klasyfikacji informacji (m.in. wynikającymi z SZBI wg ISO 27001). Aby zagwarantować poufność i integralność komunikacji, SOC ESKOM zaleca stosowanie PGP (opisane w punkcie punkt 2.8). Wszystkie istotne informacje, które są przesyłane, powinny być szyfrowane. 5 Usługi SOC ESKOM świadczy usługi Security Operations Center (SOC) w modelu „as-a-service†(SOCaaS) w skład których wchodzą m.in. usługi reagowania na incydenty. Więcej informacji dotyczących usług z obszaru cyberbezpieczeństwa znaleźć można na https://eskom.eu/technologie 5.1 Reagowanie na incydenty Reagowanie przez SOC ESKOM na incydenty składa się z czterech kroków: 1) Przygotowanie na wypadek incydentów, 2) Identyfikacja i analiza incydentów, 3) Ograniczanie, eliminacja i przywracanie po incydencie, 4) Działania po incydencie i wyciąganie wniosków z incydentów. 5.2 Działania proaktywne Na działania proaktywne podejmowane przez SOC ESKOM składają się następujące działania: 1) Budowanie świadomości bezpieczeństwa użytkowników, 2) Prowadzenie testy podatności oraz testów socjotechnicznych, 3) Wdrażanie rozwiązań z zakresu bezpieczeństwa, 4) Utrzymywanie i rozwój rozwiązań z zakresu bezpieczeństwa, 5) Przekazywanie ostrzeżeń o podatnościach i zagrożeniach. 5.3 Formularze zgłaszania incydentów Nie opracowano formularzy zgłaszania incydentów do SOC ESKOM. Raporty o incydentach można przesyłać na adres dbi@eskom.eu. Rekomendujemy korzystanie z klucza PGP (opisane w punkcie 2.8) w celu zaszyfrowania wszelkich prywatnych lub poufnych informacji. Kontaktując się z SOC ESKOM, prosimy o przekazanie informacji: 1) Dane kontaktowe osoby/organizacji (imię i nazwisko, funkcja, e-mail, numer telefonu), 2) Krótkie podsumowanie incydentu, 3) Szczegóły dotyczące incydentu – w jakim systemie/systemach zostało zaobserwowane, jakie systemy zostały dotknięte, 4) Zaobserwowany wpływ incydentu na działanie organizacji, 5) Dodatkowe, zebrane informacje i działania dotychczas podjęte. 5.4 Zastrzeżenia Pomimo zachowania wszelkich środków ostrożności podczas przygotowywania informacji, powiadomień i ostrzeżeń, SOC ESKOM nie ponosi odpowiedzialności za błędy lub pominięcia, ani za szkody powstałe w wyniku wykorzystania zawartych tam informacji.