Metryka dokumentu: RFC-2350 CERT Alior Data wydania pierwszej wersji: wydania kolejnej jego wersji.

Podobne dokumenty
PUBLIC / TLP: WHITE 1 / 7. Przygotowany przez: Jarosław Stasiak Zatwierdzony przez: Jarosław Górski Data Wydanie Autor Zmiana

Załącznik nr 2 Opis wdrożonych środków organizacyjnych i technicznych służących ochronie danych osobowych

Powstanie i działalność Rządowego Zespołu Reagowania na Incydenty Komputerowe CERT.GOV.PL

Szkolenie otwarte 2016 r.

POLITYKA PRYWATNOŚCI Konkurs wiedzy dermatologicznej dla lekarzy

Polityka prywatności 1. Definicje Administrator Cookies - Cookies Administratora - Cookies Zewnętrzne - Serwis - Urządzenie - Ustawa Użytkownik -

Cookies Zewnętrzne - oznacza Cookies zamieszczane przez partnerów Administratora, za pośrednictwem strony internetowej Serwisu.

Polityka prywatności

Niniejsza POLITYKA PRYWATNOŚCI określa zasady przechowywania i dostępu do informacji na

Poradnik dla samorządów - ustawa o krajowym systemie cyberbezpieczeństwa

Szczegółowy opis przedmiotu zamówienia:

OBOWIĄZKI I ODPOWIEDZIALNOŚĆ ZA ZADANIA ZWIĄZANE Z OCHRONĄ DANYCH OSOBOWYCH W SZKOLE GŁÓWNEJ HANDLOWEJ W WARSZAWIE

Reguły plików cookies witryny i usług internetowych tsop.pl

Wymagania w zakresie bezpieczeństwa informacji dla Wykonawców świadczących usługi na rzecz i terenie PSG sp. z o.o. Załącznik Nr 3 do Księgi ZSZ

Regulamin organizacji i zasad funkcjonowania kontroli zarządczej w Powiatowym Urzędzie Pracy w Tarnobrzegu

Krzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014

Stosowanie ciasteczek (cookies)

Wymagania w zakresie bezpieczeństwa informacji dla Wykonawców świadczących usługi na rzecz i terenie PSG sp. z o.o. Załącznik Nr 3 do Księgi ZSZ

SYSTEM KONTROLI DOSTĘPU. XChronos

Załącznik Nr 4 Do Załącznika Nr 7 Do SIWZ [WZORU UMOWY]

Polityka prywatności. Obowiązująca do dnia r.

Polityka Cookies. 1 Definicje. Administrator oznacza przedsiębiorstwo

POLITYKA BEZPIECZEŃSTWA INFORMACJI W ZAKRESIE PRZETWARZANIA DANYCH OSOBOWYCH W FIRMIE TK BATO SP. Z O.O.

Warunki organizacyjne Zarówno podmiot, który świadczy usługi z zakresu cyberbezpieczeństwa, jak i wewnętrzna struktura operatora

1 Jak zbieramy dane? 1/5

Bezpieczeństwo danych w sieciach elektroenergetycznych

ZASADY OCHRONY DANYCH OSOBOWYCH W WITRYNIE INTERNETOWEJ FIRMY ENERVENT ZEHNDER OY

Polityka Prywatności. 3. Pana/Pani dane osobowe przetwarzane będą w celu:

NetIQ Sentinel i Rekomendacja D

INSTRUKCJA 12/015. Dotyczy: dostępu zdalnego do zasobów sieci MAN Wrocław instrukcja działania Osoby Wnioskującej ZWERYFIKOWAŁ: Dariusz Dauksz

Zarządzanie bezpieczeństwem informacji w urzędach pracy

Opis Systemu Kontroli Wewnętrznej funkcjonującego w Santander Consumer Bank S.A.

Instrukcja działania osoby wnioskującej o nadanie dostępu VPN do zasobów INSTRUKCJA

Polityka prywatności woda.krakow.pl

Kwestionariusz dotyczący działania systemów teleinformatycznych wykorzystywanych do realizacji zadań zleconych z zakresu administracji rządowej

dr hab. prof. UO DARIUSZ SZOSTEK Kancelaria Szostek-Bar i Partnerzy RODO a cyberbezpieczeństwo

OŚWIADCZENIE O OCHRONIE PRYWATNOŚCI

Polityka bezpieczeństwa informacji Główne zagadnienia wykładu

PARTNER.

Polityka Prywatności*

PROCEDURA EWALUACJI WEWNĘTRZNEJ W SZKOLE PODSTAWOWEJ NR 2 IM.BOLESŁAWA PRUSA W MYSŁOWICACH

Rola i zadania polskiego CERTu wojskowego

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH w Urzędzie Miasta Kościerzyna

Polityka Cookies I. DEFINICJE

ZAŁACZNIK NR 1D KARTA USŁUGI Utrzymanie Systemu Poczty Elektronicznej (USPE)

Fundacja Ośrodka KARTA z siedzibą w Warszawie, przy ul. Narbutta 29 ( Warszawa),

POLITYKA PRYWATNOŚCI

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

MidpSSH - analiza bezpieczeństwa

Przykład opisu cookies

REKOMENDACJA D Rok PO Rok PRZED

7. zainstalowane oprogramowanie zarządzane stacje robocze

Opis techniczny urządzeń wielofunkcyjnych

Opis systemu zarządzania ryzykiem i systemu kontroli wewnętrznej w Poznańskim Banku Spółdzielczym

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

2016 Proget MDM jest częścią PROGET Sp. z o.o.

Szczegółowe warunki świadczenia drogą elektroniczną usług w zakresie rejestracji szkód.

Zasady Wykorzystywania Plików Cookies

Polityka prywatności. 1 Postanowienia ogólne. zarówno do Użytkowników Zarejestrowanych, jak i Niezarejestrowanych w Serwisie.

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora

Załącznik dotyczący Opcji Serwisowych nabycie od Partnera Handlowego IBM. Rozszerzone Wsparcie Techniczne dla Sieci. 1. Zakres Usług. 2.

Opracowanie protokołu komunikacyjnego na potrzeby wymiany informacji w organizacji

OFERTA DLA MIAST, GMIN, INSTYTUCJI FINANSOWYCH I PODMIOTÓW KOMERCYJNYCH DOTYCZĄCA ZAGADNIEŃ ZWIĄZANYCH Z CYBERBEZPIECZEŃSTWEM

SIŁA PROSTOTY. Business Suite

Wpisz Nazwę Spółki. Grupa Lotos S.A.

KARTA AUDYTU WEWNĘTRZNEGO

POLITYKA PRYWATNOŚCI

Instytut-Mikroekologii.pl

Sklep internetowy wtspartner.pl dokłada wszelkich starań, aby prowadzony serwis ułatwiał każdemu użytkownikowi

Informacje dla Klientów opracowane na podstawie Polityki Ochrony Danych Osobowych w Miejskim Zakładzie Gospodarki Komunalnej Sp. z o.o.

Polityka Bezpieczeństwa jako kluczowy element systemu informatycznego. Krzysztof Młynarski Teleinformatica

REGULAMIN ZARZĄDZANIA RYZYKIEM. w Sądzie Okręgowym w Krakowie

S Y S T E M K O N T R O L I Z A R Z Ą D C Z E J W U NI WE RSYTECIE JANA KO CHANOWS KIE GO W KIE LCACH

POLITYKA COOKIES. Definicje. Rodzaje wykorzystywanych Cookies

POLITYKA PRYWATNOŚCI WSPÓŁADMINISTRATORÓW

PLAN ZARZĄDZANIA KONFIGURACJĄ OPROGRAMOWANIA PROJEKT <NAZWA PROJEKTU> WERSJA <NUMER WERSJI DOKUMENTU>

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI

ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ

Ochrona Informacji i innych aktywów Zamawiającego

4. Obowiązki firmy IBM Poza obowiązkami wymienionymi w odpowiedniej umowie SOW firma IBM przyjmuje następujące obowiązki:

Polityka prywatności

Studia podyplomowe PROGRAM NAUCZANIA PLAN STUDIÓW

REGULAMIN KORZYSTANIA Z USŁUGI DOSTĘPU DO SIECI INTERNET BEZ POBIERANIA OPŁAT. 1 Postanowienia ogólne

Instrukcja zarządzania RODO. w Liceum Ogólnokształcącym im. Komisji Edukacji Narodowej w Gogolinie

Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Urzędzie Miasta Lublin

Pełna specyfikacja pakietów Mail Cloud

Polityka Ochrony Danych Osobowych w Szkole Podstawowej nr 1 w Siemiatyczach

Polityka prywatności w serwisie internetowym IPN

ZAŁĄCZNIK Nr 1 do CZĘŚCI II SIWZ

SZCZEGÓŁOWY HARMONOGRAM KURSU

Bezpieczeństwo cybernetyczne

Postanowienia ogólne

Bezpieczeństwo usług oraz informacje o certyfikatach

Miejsce NASK w systemie cyberbezpieczeństwa państwa. Juliusz Brzostek Dyrektor NC Cyber NASK Państwowy Instytut Badawczy

Bezpieczne dane - dobre praktyki w szkole. Roman Pinoczek Dyrektor Szkoły

Kompleksowe zabezpieczenie współczesnej sieci. Adrian Dorobisz inżnier systemowy DAGMA

Instrukcja zarządzania systemem informatycznym STORK Szymon Małachowski

Transkrypt:

RFC-2350 CERT Alior

Metryka dokumentu: Tytuł: RFC-2350 CERT Alior Data wydania pierwszej wersji: 13.05.2019 Data wygaśnięcia dokumentu: Dokument jest obowiązujący do czasu wydania kolejnej jego wersji. Właściciel: Alior Bank S.A. Obecna wersja: 1.0 Data publikacji obecnej wersji: 13.05.2019

1. Informacje na temat dokumentu 1.1. Data ostatniej aktualizacji To jest wersja 1.0, wydana 13.05.2019. 1.2. Lista dystrybucyjna powiadomień Obecnie CERT Alior nie korzysta z żadnej listy dystrybucyjnej mającej na celu powiadamianie o zmianach w tym dokumencie. 1.3. Lokalizacje w których można znaleźć ten dokument Aktualna wersja dokumentu może być znaleziona na: https://www.aliorbank.pl/dodatkowe-informacje/bezpieczenstwo/cert-alior.html 1.4. Uwierzytelnianie tego dokumentu Ten dokument został podpisany kluczem PGP należącym do CERT Alior. Jego sygnaturę można znaleźć na: https://www.aliorbank.pl/dodatkowe-informacje/bezpieczenstwo/certalior.html

2. Dane kontaktowe 2.1. Nazwa zespołu CERT Alior 2.2. Adres zespołu CERT Alior Alior Bank S.A. Łopuszańska 38 D 02-232 Warszawa Polska 2.3. Data założenia CERT Alior został założony w październiku 2010. 2.4. Strefa czasowa Środkowoeuropejski (GMT+0100, GMT+0200 od kwietnia do października) 2.5. Numer telefonu +48 22 5552925 2.6. Adres poczty elektronicznej Wszystkie incydenty powinny być raportowane na cert[at]alior.pl 2.7. Klucze publiczne, informacje dotyczące szyfrowania Klucz PGP CERT Alior Fingerprint: B880 CCF1 0654 5C3A 9FD7 03B7 39A5 3E6D D212 C453 Klucz publiczny wraz ze swoją sygnaturą może być znaleziony na https://www.aliorbank.pl/dodatkowe-informacje/bezpieczenstwo/cert-alior.html 2.8. Członkowie zespołu Zespół CERT Alior składa się z doświadczonych ekspertów w dziedzinie zagadnień cyberbezpieczeństwa. 2.9. Inne informacje Więcej informacji na temat zespołu CERT Alior można znaleźć na: https://www.aliorbank.pl/dodatkowe-informacje/bezpieczenstwo/cert-alior.html

3. Statut 3.1. Misja Celem zespołu CERT Alior jest podejmowanie działań minimalizujących prawdopodobieństwo wystąpienia incydentów cyberbezpieczeństwa, oraz aktywności minimalizujących skutek ich wystąpienia w grupie swoich użytkowników (w zakresie świadczonych usług). 3.2. Grupa użytkowników CERT Alior zapewnia wsparcie w zakresie obsługi zdarzeń bezpieczeństwa dla Alior Bank S.A., uniwersalnego banku w Polsce, w tym podmiotów korzystających z infrastruktury sieciowej Banku i systemów informatycznych, a także użytkowników platform serwisowych Banku w zakresie świadczonych usług. 3.3. Sponsoring oraz afiliacje CERT Alior operuje w ramach Alior Bank S.A. 3.4. Autorytet CERT Alior działa pod auspicjami i upoważnieniem kierownictwa Alior Banku.

4. Polityki 4.1. Typy incydentów oraz poziom wsparcia CERT Alior jest upoważniony do obsługi wszystkich rodzajów incydentów związanych z bezpieczeństwem komputerów i sieci, które mogą wystąpić w grupie użytkowników CERT Alior (w zakresie usług świadczonych dla tych użytkowników). CERT Alior nadaje priorytet incydentom - odpowiednio do ich dotkliwości, zasięgu i przedmiotu sprawy. Incydenty są obsługiwane zgodnie z nadanym priorytetem. Poziom wsparcia udzielanego przez CERT Alior będzie się różnić w zależności od dotkliwości i rodzaju zgłoszenia, a także innych istotnych dla sprawy okoliczności. 4.2. Współpraca, interakcja i ujawnianie informacji CERT Alior wymienia wszystkie niezbędne do współpracy informacje z innymi zespołami CSIRT, a także z administratorami zainteresowanych stron. Żadne dane osobowe nie są wymieniane, chyba że za wyraźnym upoważnieniem. Wszystkie wrażliwe dane (takie jak dane osobowe, konfiguracje systemu, znane luki w ich lokalizacjach) są szyfrowane, jeśli muszą być przesyłane w niezabezpieczonym środowisku. CERT Alior uznaje i wspiera protokół Information Sharing Traffic Light Protocol (v1.1). Każda komunikacja z tagami wspieranymi przez TLP będzie odpowiednio obsługiwana. 4.3. Komunikacja i uwierzytelnianie CERT Alior jest zobowiązany do przestrzegania przepisów i zasad obowiązujących w Polsce i Unii Europejskiej w sprawach dotyczących informacji wrażliwych. Wszelkie wiadomości e-mail powinny być oznaczone za pomocą standardów TLP. Dane o niskiej wrażliwości można wysyłać za pomocą niezaszyfrowanych wiadomości e-mail, jednak nie jest to uznawane za bezpieczne. Zalecane jest szyfrowanie PGP, szczególnie w przypadku poufnych danych.

5. Usługi 5.1. Odpowiedź na incydenty Dla incydentów występujących w grupie użytkowników, CERT Alior świadczy szeroki zakres usług, w tym: 5.1.1. Detekcja i analiza incydentów - Określanie autentyczności zdarzenia - Określenie początkowej przyczyny zdarzenia - Definiowanie adekwatnej odpowiedzi - Ocena dotkliwości o Ewaluacja potencjalnego ryzyka wystąpienia prawdziwych efektów o Ewaluacja potencjalnej skali incydentu oraz zasobów dotkniętych przez niego. o Ustalenie priorytetu incydentu - Zbieranie dowodów oraz wskaźników kompromitacji - Analiza złośliwego oprogramowania - Inżynieria wsteczna 5.1.2. Ograniczenie zagrożenia, plany naprawcze - Przygotowanie strategii naprawczej post factum - Tworzenie zaleceń dotyczących ulepszeń bezpieczeństwa dla administratorów systemu - Opracowanie procedur obsługi różnych typów incydentów bezpieczeństwa 5.1.3. Ocena I ewaluacja incydentów - Korelacja incydentów na podstawie zebranych danych - Stałe poszukiwanie sposobów na poprawę wydajności zespołu - Tworzenie raportów I zabezpieczanie ich do wykorzystania w przyszłości. 5.2. Prewencja - Koordynacja odpowiedzi na zidentyfikowane podatności - Zbieranie danych dotyczących zagrożeń bezpieczeństwa i znanych wskaźników kompromitacji ze zróżnicowanych źródeł - Obserwacja aktualnych zagrożeń w technologii i bezpieczeństwie - Tworzenie i ulepszanie narzędzi i mechanizmów bezpieczeństwa mających na celu ciągłe zwiększanie poziomu bezpieczeństwa 5.3. Czynności proaktywne - Współtworzenie ogłoszeń o nowych zagrożeniach dla klientów - Szkolenia oraz inne aktywności (w tym również symulacje rzeczywistych incydentów) w celu poprawy wydajności zespołu

6. Raportowanie incydentów bezpieczeństwa Incydenty bezpieczeństwa powinny być raportowane za pośrednictwem poczty szyfrowanej na adres cert[at]alior.pl. 7. Zastrzeżenia Zastrzega się, że mimo pomimo że wszelkie dostępne środki ostrożności zostaną powzięte podczas przygotowania informacji, notyfikacji oraz alarmów bezpieczeństwa, CERT Alior (oraz Alior Bank S.A.) nie ponosi odpowiedzialności za błędy, pominięcia oraz szkody wynikające z informacji w nich zawartych.

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres