Ochrona danych i bezpieczeństwo informacji
|
|
- Ignacy Przybysz
- 8 lat temu
- Przeglądów:
Transkrypt
1 Ochrona danych i bezpieczeństwo informacji Dr inż. Janusz Dudziak Bezpieczeństwo ODBI 2 1
2 Bezpieczeństwo Podstawowe źródła pozyskiwania informacji do określenia przez organizację swoich wymagań bezpieczeństwa informacji: Szacowanie ryzyka dotyczącego instytucji; Zbiór wymagań prawnych, statutowych, regulacyjnych i kontraktowych; Istniejący, specyficzny dla danej organizacji zbiór zasad, celów i wymagań dotyczących przetwarzania informacji. Aspekty prawne ochrony informacji Rola środków prawnych w dziedzinie bezpieczeństwa systemów informatycznych Określenie zasad postępowania administratorów użytkowników, zdefiniowanie ich praw i obowiązków Przewidywanie sankcji za naruszenie ustalonych zasad i obowiązków. Sankcje są uruchamiane w sytuacji, gdy zawiodą zabezpieczenia (fizyczne, organizacyjne, kryptograficzne) i dojdzie do zagrożenia bezpieczeństwa lub wyrządzenia szkody. ODBI 2 2
3 Stan prawny w Europie Ochrona informacji Konwencje Konwencja nr 108 o ochronie osób w związku z automatycznym przetwarzaniem danych o charakterze osobowym Protokół dodatkowy do Konwencji Rady Europy Nr 108 o Ochronie Osób w związku z automatycznym przetwarzaniem danych osobowych Zalecenie nr R(89)9 dot. uwzględnienia w ustawodawstwie listy minimalnej przestępstw komputerowych Europejska Konwencja Bioetyczna z dnia 4 kwietnia 1997 r. w obszarze odnoszącym się do ochrony danych osobowych Rekomendacje i rezolucje Rezolucja (73) 22. o ochronie życia prywatnego osób fizycznych w kontekście elektronicznych banków danych w sektorze prywatnym Rezolucja (74) 22. o ochronie życia prywatnego osób fizycznych w kontekście elektronicznych banków danych w sektorze publicznym Stan prawny w Europie 1985 The Select Committee of Experts on Computer-Related Crime of Concil of Europe. Zalecenie nr R(89)/9 Komitetu Ministrów Rady Europy Lista minimalna Oszustwo komputerowe Fałszerstwo komputerowe Włamanie do systemu komputerowego Niszczenie danych lub programów Sabotaż Piractwo Kopiowanie półprzewodników Lista fakultatywna Modyfikacja danych lub programów Szpiegostwo komputerowe Używanie komputera bez zezwolenia Używanie chronionego prawnie oprogramowania bez upoważniania ODBI 2 3
4 Najważniejsze akty prawne Konstytucja Rzeczpospolitej Polskiej Ustawa o rachunkowości Ustawa z dn o ochronie danych osobowych Dz. U. z dn Ustawa o ochronie informacji niejawnych Dz. U. z dn Ustawa z dnia 27 lipca 2001 r., o ochronie baz danych ( Dz.U z późniejszymi zmianami ); Ustawa z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (Dz.U ); Ustawa z dnia 6 września 2001 r. o dostępie do informacji publicznej (Dz.U ); Ustawa z dnia 18 lipca 2002 r., o świadczeniu usług droga elektroniczna ( Dz.U z późniejszymi zmianami ); Rozporządzenie Prezesa Rady Ministrów z dnia 25 sierpnia 2005 r., w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego ( Dz. U ); Najważniejsze akty prawne (2) Rozporządzenie MSWiA z dnia 3 czerwca 1998 r., w sprawie określenia podstawowych warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych ( Dz. U , zmienione rozporządzeniem MSWiA z dnia 1 października 2001 r., (Dz. U ); Rozporządzenie Ministra Finansów z dnia 31 października 2003 r., w sprawie szczegółowych zasad tworzenia, utrwalania, przechowywania i zabezpieczania dokumentów związanych z zawieraniem i wykonywaniem umów ubezpieczenia ( Dz. U ); Rozporządzenie MSWiA z dnia 29 kwietnia 2004 r., w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych( Dz. U ); Rozporządzenie Ministra Sprawiedliwości z dnia 28 kwietnia 2004 r., w sprawie technicznego przygotowania systemów i sieci służących do przekazywania informacji do gromadzenia wykazów połączeń telefonicznych i innych przekazów informacji oraz sposobów zabezpieczenia danych informatycznych ( Dz. U ); ODBI 2 4
5 Najważniejsze akty prawne (3) Rozporządzenie Ministra Finansów z dnia 31 pazdziernika 2003 r., w sprawie szczegółowych zasad tworzenia, utrwalania, przechowywania i zabezpieczania dokumentów związanych z zawieraniem i wykonywaniem umów ubezpieczenia ( Dz. U ); Rozporządzenie MSWiA z dnia 29 kwietnia 2004 r., w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych( Dz. U ); Rozporządzenie Ministra Sprawiedliwości z dnia 28 kwietnia 2004 r., w sprawie technicznego przygotowania systemów i sieci służących do przekazywania informacji do gromadzenia wykazów połączeń telefonicznych i innych przekazów informacji oraz sposobów zabezpieczenia danych informatycznych ( Dz. U ); Najważniejsze akty prawne (4) Rozporządzenie Ministra Gospodarki, Pracy i Polityki Społecznej z dnia 29 kwietnia 2004 r., w sprawie homologacji systemów informatycznych stosowanych w urządzeniach administracji publicznej realizujących zadania w zakresie świadczeń rodzinnych. ( Dz. U ); Rozporządzenie Ministra Gospodarki i Pracy z dnia 30 czerwca 2004 r., w sprawie homologacji systemów informatycznych stosowanych w Urzetach Pracy. ( D.U ); Ustawa z dnia 18 września 2001 r., o podpisie elektronicznym ( Dz.U z późniejszymi zmianami ); Rozporządzenie Rady Ministrów z dnia 7 sierpnia 2002 r., w sprawie określenia warunków technicznych i organizacyjnych dla kwalifikowanych podmiotów świadczących usługi certyfikacyjne, polityk certyfikacji dla kwalifikowanych certyfikatów widywanych przez te podmioty oraz warunków technicznych dla bezpiecznych urządzeń służących do składania i weryfikacji podpisu elektronicznego ( Dz. U ); Ustawa z dnia 22 stycznia 1999 r., o ochronie informacji niejawnych (Dz.U ) ODBI 2 5
6 Znowelizowany w 1998 r Kodeks Karny uwzględnia zalecenia RE i postanowienia art.. 66 Układu Europejskiego Ściganiem objęte są czyny określone w rozdziale XXXIII KK Hakerstwo (art. 267 $1) Posłuch (art. 267 $2) Naruszenie integralności zapisu informacji (art. 268) Sabotaż komputerowy (art. 269 $1 i $2) Rozpowszechnianie wirusów (art. 268 $2 oraz art. 269) w rozdziale XXXV KK Kradzież programu (art. 278 $2) Kradzież karty bankomatowej (art. 278 $5) Oszustwo telekomunikacyjne (art. 285 $1) Oszustwo komputerowe (art. 287) Nowelizacja Kodeksu Karnego dokonana ustawą z dnia 24 października 2008 r. głównie w zakresie dotyczącym przestępstw z art i 2 KK, a także czynu z art. 269 a KK, jest wynikiem dostosowania (implementacji) polskiego prawa karnego w tym zakresie do Decyzji Ramowej Rady Unii Europejskiej z dnia 24 lutego 2005 r., w sprawie ataków na systemy informatyczne (2005/222/WSiSW) ODBI 2 6
7 Wspomniana Decyzja Ramowa zobowiązała państwa członkowskie do podjęcia niezbędnych środków w celu kryminalizacji następujących zachowań: 1. nielegalnego dostępu do systemów informatycznych polegającego na umyślnym, bezprawnym dostępie do całości lub części systemu informatycznego 2. nielegalnej ingerencji w system polegającej na umyślnym, poważnym naruszeniu lub przerwaniu funkcjonowania systemu informatycznego 3. nielegalnej ingerencji w dane mającej postać umyślnego, bezprawnego usunięcia, uszkodzenia, pogorszenia, zmiany, zatajania lub uczynienia niedostępnymi danych komputerowych 4. kierowania, pomagania, podżegania oraz usiłowania w zakresie czynów określonych w art. 2, 3 i 4 Decyzji Ramowej (art. 5), Kodeks karny wybrane artykuły Art [ ] Dokumentem jest każdy przedmiot lub zapis na komputerowym nośniku informacji,. [ ] Art Kto sprowadza niebezpieczeństwo dla życia lub zdrowia wielu osób albo dla mienia zakłócając, uniemożliwiając lub w inny sposób wpływając na automatyczne przetwarzanie, gromadzenie lub przesyłanie informacji, podlega karze pozbawienia wolności od 6 miesięcy do lat 8. ODBI 2 7
8 Kodeks karny wybrane artykuły Art Kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej, otwierając zamknięte pismo, podłączając się do sieci telekomunikacyjnej lub przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat Tej samej karze podlega, kto bez uprawnienia uzyskuje dostęp do całości lub części systemu informatycznego. 3. Tej samej karze podlega, kto w celu uzyskania informacji, do Kodeks karny - pełny tekst ustawy. Stan prawny na 6 lipca 2009 roku. której nie jest uprawniony, zakłada lub posługuje się urządzeniem podsłuchowym, wizualnym albo innym urządzeniem lub oprogramowaniem. [ ] Kodeks karny Art Kto nie będąc do tego uprawnionym, niszczy, uszkadza, usuwa lub zmienia zapis istotnej informacji albo w inny sposób udaremnia lub znacznie utrudnia osobie uprawnionej zapoznanie się z nią, podlega grzywnie, karze ograniczenia wolności albo karze pozbawienia wolności do lat Jeżeli czyn ten dotyczy zapisu na komputerowym nośniku informacji sprawca podlega karze pozbawienia wolności do lat Kto, dopuszczając się czynu określonego w 1 lub 2, wyrządza znaczną szkodę majątkową, podlega karze pozbawienia wolności od 3 miesięcy do 5 lat. [ ] ODBI 2 8
9 Kodeks karny Art Kto, na komputerowym nośniku informacji, niszczy, uszkadza, usuwa lub zmienia zapis o szczególnym znaczeniu dla obronności kraju, bezpieczeństwa w komunikacji, funkcjonowania administracji rządowej, innego organu państwowego lub organizacji samorządowej albo zakłóca lub uniemożliwia automatyczne gromadzenie lub przekazywanie takich informacji, podlega karze pozbawienia wolności od 6 miesięcy do lat 8. 2.Tej samej karze podlega, kto dopuszcza się takiego czynu, niszcząc albo wymieniając nośnik informacji lub niszcząc albo uszkadzając urządzenie służące automatycznemu przetwarzaniu, gromadzeniu lub przesyłaniu informacji. [ ] Kodeks karny Art. 269a. Kto, nie będąc do tego uprawnionym, przez transmisję, zniszczenie, usunięcie, uszkodzenie lub zmianę danych informatycznych, w istotnym stopniu zakłóca pracę systemu komputerowego lub sieci teleinformatycznej, podlega karze pozbawienia wolności od 3 miesięcy do lat 5. ODBI 2 9
10 Kodeks karny Art. 269b. 1. Kto wytwarza, pozyskuje, zbywa lub udostępnia innym osobom urządzenia lub programy komputerowe przystosowane do popełnienia przestępstwa określonego w art pkt 4, art , art. 268a 1 albo 2 w związku z 1, art albo art. 269a, a także hasła komputerowe, kody dostępu lub inne dane umożliwiające dostęp do informacji przechowywanych w systemie komputerowym lub sieci teleinformatycznej, podlega karze pozbawienia wolności do lat 3. [ ] Kodeks karny Art Kto, w celu użycia za autentyczny, podrabia lub przerabia dokument lub takiego dokumentu jako autentycznego używa, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności od 3 miesięcy do lat 5. [ ]. ODBI 2 10
11 Ochrona danych osobowych Ustawa z dn o ochronie danych osobowych Dz. U. z dn Administrator danych osobowych jest zobowiązany zapewnić kontrolę i zabezpieczenie przepływu informacji oraz fizyczne bezpieczeństwo urządzeń i nośników służących do przechowywania danych. Musi prowadzić ewidencję osób uprawnionych do dostępu Osoba uprawniona jest zobowiązana do zachowania tajemnicy, również po ustaniu zatrudnienia. Zgodnie z Rozporządzeniem Ministra SWiA w sprawie określenia podstawowych warunków technicznych i organizacyjnych jakim powinny odpowiadać systemy informatyczne służące do przetwarzania danych osobowych (1998) powinien wyznaczyć administratora bezpieczeństwa informacji. Odpowiada on za bezpieczeństwo w systemie informatycznym Ochrona informacji niejawnych Dostęp do tego typu informacji reguluje Ustawa o ochronie informacji niejawnych Dz. U. z dn wraz z 12 rozporządzeniami wykonawczymi informacje niejawne Mogą być udostępniane jedynie osobom upoważnionym Muszą być wytwarzane, przechowywane, przekazywane lub przetwarzane w sposób odpowiedni dla ich klauzuli tajności Muszą być chronione. Środki określa rozdz. 9. Ustawy. ODBI 2 11
12 Ochrona informacji niejawnych. Szczególne Wymagania Bezpieczeństwa (SWB) jest dokumentem tworzonym w celu dopuszczenia systemu lub sieci teleinformatycznej do wytwarzania, edytowania lub/i archiwizacji dokumentów niejawnych posiadających klauzulę ZASTRZEŻONE, POUFNE, TAJNE i ŚCIŚLE TAJNE. Dokument ten określa budowę, konfigurację, specyfikę pracy oraz zagrożenia systemu lub sieci teleinformatycznej, wynikające z niepowołanego dostępu do danych niejawnych. Organem zatwierdzającym SWB są służby ochrony państwa, czyli Agencja Bezpieczeństwa Wewnętrznego i Służba Kontrwywiadu Wojskowego. Szczególne Wymagania Bezpieczeństwa (SWB), Podmioty w których konieczne jest opracowanie SWB Sejm Rzeczypospolitej Polskiej; Senat Rzeczypospolitej Polskiej; prezydent Rzeczypospolitej Polskiej; organy administracji rządowej; organy jednostek samorządu terytorialnego; sądy i trybunały; organy kontroli państwowej; organy ochrony prawa; Siły Zbrojne Rzeczypospolitej Polskiej; Narodowy Bank Polski; banki państwowe; państwowe osoby prawne; państwowe jednostki organizacyjne; przedsiębiorcy; jednostki naukowe lub badawczo-rozwojowe ubiegające się o zawarcie lub wykonujące umowy związane z dostępem do informacji niejawnych, dotyczące realizacji zadań opłacanych w całości lub w części ze środków publicznych, w rozumieniu przepisów ustawy z dnia 10 czerwca 1994 r. o zamówieniach publicznych (Dz. U. z 1998 r. Nr 119, poz. 773). ODBI 2 12
13 Kodeks Pracy Art Pracownik jest obowiązany w szczególności: 1) przestrzegać czasu pracy ustalonego w zakładzie pracy, 2) przestrzegać regulaminu pracy i ustalonego w zakładzie pracy porządku, 3) przestrzegać przepisów oraz zasad bezpieczeństwa i higieny pracy, a także przepisów przeciwpożarowych, 4) dbać o dobro zakładu pracy, chronić jego mienie oraz zachować w tajemnicy informacje, których ujawnienie mogłoby narazić pracodawcę na szkodę, 5) przestrzegać tajemnicy określonej w odrębnych przepisach, 6) przestrzegać w zakładzie pracy zasad współżycia społecznego Ustawa o zwalczaniu nieuczciwej konkurencji: Art.11 ust.4: Przez tajemnicę przedsiębiorstwa rozumie się nieujawnione do wiadomości publicznej informacje techniczne, technologiczne, organizacyjne przedsiębiorstwa lub inne informacje posiadające wartość gospodarczą, co do których przedsiębiorca podjął niezbędne działania w celu zachowania ich poufności. ODBI 2 13
14 Źródła dobrych praktyk normy polskie i międzynarodowe metody projektowania rozwiązań rekomendacje branżowe Źródła dobrych praktyk ODBI 2 14
15 Źródła dobrych praktyk PN-I Technika informatyczna.-wytyczne do zarządzania bezpieczeństwem systemów informatycznych. PN-I : 1999 Pojęcia i modele bezpieczeństwa systemów informatycznych ISO/IEC TR :1997 Zarządzanie i planowanie bezpieczeństwa systemów informatycznych ISO/IEC TR :1998 Techniki zarządzania bezpieczeństwem systemów informatycznych ISO/IEC TR :2000 Dobór zabezpieczeń ISO/IEC TR :2001 Zabezpieczenia połączeń zewnętrznych PN ISO/IEC Technika informatyczna - Techniki zabezpieczeń - Kryteria oceny zabezpieczeń informatycznych PNISO/IEC : 2002 Kryteria oceny zabezpieczeń. Model ogólny PNISO/IEC : 2005 Wymagania bezpieczeństwa funkcjonalnego PNISO/IEC : 2005 Wymagania uzasadnienia zaufania do zabezpieczeń PN ISO/IEC 17799: 2003 Praktyczne zasady zarządzania bezpieczeństwem informacji PN ISO27001: 2006 Wytyczne do stosowania Źródła dobrych praktyk metoda COBIT ( (Control Objectives for Information and related Technology) - standard opracowany przez ISACA oraz IT Governance Institute, zbiór dobrych praktyk z zakresu IT Governance, które mogą być wykorzystywane w szczególności przez audytorów systemów informatycznych. COBIT 4.1 opisuje 34 wysokopoziomowe procesy, które obejmują 210 celów kontrolnych pogrupowanych w czterech domenach: planowanie i organizacja nabywanie i wdrażanie, dostarczanie i wsparcie, monitorowanie i ocena COBIT został wskazany w Rekomendacji D, dotyczącej zarządzania ryzykami towarzyszącymi systemom informatycznym i telekomunikacyjnym używanym przez banki, wydanej przez Generalny Inspektorat Nadzoru Bankowego, jako jeden z uznanych standardów międzynarodowych, dotyczących badania i oceny bezpieczeństwa informacji w systemach informatycznych. ODBI 2 15
16 Źródła dobrych praktyk metodyka TISM ( (Total Information Security Management) metodyka opracowana przez European Network Security Institute wspierająca określenie wymagań bezpieczeństwa; uszczegółowienie wymagań dla grup informacji; spełnienie wymagań bezpieczeństwa przez systemy Krajowy odpowiednik normy ISO/IEC 17799, która jest odpowiednikiem brytyjskiego standardu BS Zalecenia pozwalające określić wymagania przedsiębiorstwa co do bezpieczeństwa informacji oraz wybrać konieczne środki standardowy kodeks praktyki, katalog zagadnień, jakie należy realizować dla potrzeb bezpieczeństwa informacji ODBI 2 16
17 PN-ISO/IEC 27001:2007 Krajowy odpowiednik normy ISO/IEC 27001, która z kolei jest kontynentalnym odpowiednikiem brytyjskiego standardu BS Zalecenia związane z ustanowieniem, wdrożeniem, eksploatacją, monitorowaniem, przeglądem, utrzymaniem i doskonaleniem systemu zarządzania bezpieczeństwem informacji Podstawa dla rozwijania wewnętrznych standardów bezpieczeństwa Uzupełnienie odpowiednich regulacji i przepisów prawnych dotyczących ochrony informacji PN-ISO/IEC 27001:2007 Bezpieczeństwo informacji oznacza jej ochronę przed szerokim spektrum zagrożeń w celu zapewnienia Ciągłości działania Minimalizacji ryzyka Maksymalizacji zwrotu z inwestycji Maksymalizacji możliwości biznesowych ODBI 2 17
18 PN-ISO/IEC 27001:2007 jedenaście obszarów, mających wpływ na bezpieczeństwo informacji w organizacji: Polityka bezpieczeństwa; Organizacja bezpieczeństwa informacji; Zarządzanie aktywami; Bezpieczeństwo zasobów ludzkich; Bezpieczeństwo fizyczne i środowiskowe; Zarządzanie systemami i sieciami; Kontrola dostępu; Zarządzanie ciągłością działania; Pozyskiwanie, rozwój i utrzymanie systemów informatycznych; Zarządzanie incydentami związanymi z bezpieczeństwem informacji; Zgodność z wymaganiami prawnymi i własnymi standardami. PN-ISO/IEC 27001:2007 Zabezpieczenia uznawane za powszechną praktykę obejmują Dokument polityki bezpieczeństwa informacji Przypisanie odpowiedzialności w zakresie bezpieczeństwa informacji Uświadamianie, kształcenie i szkolenie w zakresie bezpieczeństwa informacji Zarządzanie podatnościami technicznymi Zarządzanie ciągłością działania Zarządzanie incydentami związanymi z bezpieczeństwem informacji ODBI 2 18
19 PN-ISO/IEC 27001:2007 Krytyczne czynniki sukcesu (Plan-Do-Check-Act) Planuj Ustanowienie polityki bezpieczeństwa, cele, zakres stosowania, procesy i procedury odpowiadające zarządzaniu ryzykiem oraz zwiększające bezpieczeństwo informacji tak, aby uzyskać wyniki zgodne z ogólnymi zasadami i celami instytucji. Wykonuj Wdrożenie i eksploatacja polityki bezpieczeństwa, zabezpieczeń, procesów i procedur. Sprawdź Szacowanie oraz tam, gdzie ma to zastosowanie, pomiar wykonania procesów w odniesieniu do polityki bezpieczeństwa, cele i praktyczne doświadczenia oraz przekazywanie kierownictwu wyników przeglądu. Działaj Podejmowanie działań korygujących i prewencyjnych w oparciu o wyniki przeglądu realizowanego przez kierownictwo, tak aby osiągnąć stałe doskonalenie ISMS PN-ISO/IEC 27001:2007 Poszczególne etapy modelu Planuj-Wykonuj-Sprawdź-Działaj są opisane w drugiej części normy (PN-I ) w rozdziale 4.2 (Ustanawianie i zarządzanie ISMS). Opisane są działania jakie instytucja musi podjąć na każdym z tych etapów. Każde z tych działań jest bezwzględnie wymagane przez normę. Norma zawiera opis zabezpieczeń, jakie należy stosować w celu minimalizacji ryzyka (Załącznik A). Stosowanie jest obligatoryjne. ODBI 2 19
20 Związki w zarządzaniu ryzykiem WYKORZYSTUJĄ ZAGROŻENIA VULNERABILITIES PODATNOŚCI CHRONIĄ ZWIĘKSZAJĄ ZWIĘKSZAJĄ PRZED ZABEZPIECZENIA ZMNIEJSZAJĄ RYZYKO RYZYKA NARAŻAJĄ ZASOBY REALIZOWANE PRZEZ ANALIZA WSKAZUJE ZWIĘKSZAJĄ WAGĘ POSIADAJĄ WYMAGANIA bezpieczeństwa WARTOŚCI STĄD Potencjalne NASTĘPSTWA skutki DLA TP Zarządzanie ryzykiem Accept Acknowledge that the risk exists, but apply no safeguard Transfer Shift responsibility for the risk to a third party (ISP, Insurance, etc.) Risk Mitigate Change the asset s risk exposure (apply safeguard) Avoid Eliminate the asset s exposure to risk, or eliminate the asset altogether ODBI 2 20
21 Zarządzanie ryzykiem Zarządzanie ryzykiem Identyfikacja ryzyka Jakościowa analiza ryzyka Ilościowa analiza ryzyka Planowanie reakcji na ryzyko Monitorowanie i kontrolowanie ryzyka Polityka bezpieczeństwa Polityka bezpieczeństwa stanowi element polityki biznesowej firmy. Jest to formalny dokument opisujący strategię bezpieczeństwa. Realizacja polityki bezpieczeństwa podlega oczywistym etapom: zaprojektowanie, zaimplementowanie, zarządzanie (w tym monitorowanie i okresowe audyty bezpieczeństwa). ODBI 2 21
22 Polityka bezpieczeństwa Zakres tematyczny polityki bezpieczeństwa: definicja celu i misji polityki bezpieczeństwa, standardy i wytyczne, których przestrzegania wymagamy, kluczowe zadania do wykonania, zakresy odpowiedzialności. Polityka bezpieczeństwa Polityka bezpieczeństwa powinna określać środki jej realizacji takie jak: ochrona fizyczna, polityka proceduralno-kadrowa (odpowiedzialność personalna), Środki techniczne. ODBI 2 22
23 Polityka bezpieczeństwa Podstawowe zasady opracowywania polityki bezpieczeństwa: inicjatywa w zakresie bezpieczeństwa informacji musi wyjść ze strony kierownictwa, ostateczną odpowiedzialność za bezpieczeństwo informacji ponosi kierownictwo, tylko, gdy kierownictwo jest zainteresowane bezpieczeństwem, zadania w tym zakresie są traktowane poważnie, wszystkie strategie i procedury powinny odzwierciedlać potrzeby ochrony dane powinny być chronione niezależnie od nośnika, na którym występują, w skład zespołu d/s zarządzania bezpieczeństwem muszą wejść przedstawiciele praktycznie wszystkich komórek organizacyjnych, każdy powinien sobie uświadomić sobie własną odpowiedzialność za utrzymywanie bezpieczeństwa. (konieczność szkoleń i motywacji) Polityka bezpieczeństwa Schemat postępowania przy opracowywaniu polityki bezpieczeństwa Planowanie zaprojektowanie polityki bezpieczeństwa, określenie pożądanego poziomu bezpieczeństwa, powołanie zespołu d/s zarządzania bezpieczeństwem, opracowanie polityki bezpieczeństwa; opracowanie koncepcji bezpieczeństwa. Realizacja wdrożenie zaplanowanych przedsięwzięć bezpieczeństwa, szkolenie personelu w zakresie bezpieczeństwa. Eksploatacja -utrzymywanie bezpieczeństwa (proces ciągły) Okresowe audyty Wprowadzanie zmian ODBI 2 23
24 Strategia bezpieczeństwa Polityka bezpieczeństwa Dokumenty tworzone w trakcie budowy polityki bezpieczeństwa informacji zgodnie z metodologią TISM 1. Polityka Bezpieczeństwa Informacji, 2. Zasady Zarządzania Bezpieczeństwem Informacji, Polityki bezpieczeństwa dla poszczególnych grup informacji, 3. Polityki bezpieczeństwa dla wszystkich systemów przetwarzania informacji chronionych 4. szczegółowe procedury i instrukcje, regulaminy dla wszystkich użytkowników i administratorów oraz 5. standardy bezpieczeństwa dla systemów przetwarzania. ODBI 2 24
25 Polityka bezpieczeństwa Zawartość dokumentu (grupa 2) wg metodologii TISM Polityka Bezpieczeństwa Grupy Informacji chronionych. 1. Cel Należy podać, że dokument jest wypełnieniem założeń Polityki Bezpieczeństwa Informacji w stosunku do danej grupy informacji chronionych 2. Zakres Definicja zakresu informacji należących do danej grupy. 3. Dostęp do informacji kryteria uzyskania dostępu (role) do informacji, wymogi prawne, co do osób 4. Zarządzanie informacją lista: Administratora Informacji oraz Administratora Bezpieczeństwa Informacji. 5. Przetwarzanie informacji wymogi bezpieczeństwa dla systemów przetwarzania informacji danej grupy 6. Archiwizowanie informacji zasady archiwizacji informacji z grupy, system, procedura 7. Postępowanie w sytuacjach kryzysowych zasady postępowania, priorytety w sytuacji kryzysowej Polityka bezpieczeństwa Przykład dokumentu (grupa 4) wg metodologii TISM procedura zakładania/modyfikacji/usuwania konta dostępu w systemie przetwarzania informacji chronionych. 1. CEL PROCEDURY warunki i sposób zakładania/ modyfikacji/usuwania konta w systemie. 2. WYMAGANIA Istnienie ról Główny Administrator Bezpieczeństwa Informacji (GABI), Administratorzy Informacji (AI) dla wszystkich grup informacji Administratorzy Bezpieczeństwa Informacji (ABI) Administrator Bezpieczeństwa Systemu (ABS) Administratorzy Systemu danego systemu przetwarzania. 3. ZAKRES STOSOWANIA kogo obowiązuje procedura: stanowiska i nazwa jednostki organizacyjnej. 4. OPIS Procedura ma zapewnić, że zakładanie/modyfikacja/usuwanie konta w systemie przetwarzania (nazwa) odbywać się będzie w sposób zgodny z Polityką Bezpieczeństwa Informacji. ODBI 2 25
26 Polityka bezpieczeństwa Przykład dokumentu (grupa 4) wg metodologii TISM procedura zakładania/modyfikacji/usuwania konta dostępu w systemie przetwarzania informacji chronionych. cd. 5. WEJŚCIE co stanowi początek (wniosek) 6. WYJŚCIE co stanowi zakończenie procesu.: Założone/zmodyfikowane/usunięte konto w systemie przetwarzania (nazwa). 7. STANDARD standardy postępowania oraz dokumenty Formularz wniosku o założenie/modyfikację/usuniecie Wykaz praw dostępu do informacji danego użytkownika rola dostępu Standard Przesyłania Haseł do użytkownika Rejestr Użytkowników Grupy Informacji Rejestr Użytkowników Systemu Przetwarzania Księga podpisów i pieczęci osób wnioskujących i zatwierdzających Standard Komunikacji miedzy rolami AI, ABI, ABS, AS, GABI 8. PROCES szczegółowy opis procesu zakładania/modyfikacji/usunięcia konta 9. Lista kontaktów kontakty do osób odpowiedzialnych za procedurę 10. KONIEC PROCEDURY Stopnie dojrzałości zarządzania bezpieczeństwem informacji Stopień 0 - Brak świadomości Brak zdefiniowania wymagań bezpieczeństwa bezpieczeństwo traktowane jako problem poszczególnych użytkowników ODBI 2 26
27 Stopnie dojrzałości zarządzania bezpieczeństwem informacji Stopień 1 - Początkowy świadomość potrzeby Kierownictwo uważa to za problem IT (typu: prawa dostępu, ochrona antywirusowa) Stopnie dojrzałości zarządzania bezpieczeństwem informacji Stopień 2 - Intuicyjny Próby tworzenia zabezpieczeń Brak jednolitego podejścia Efekty zależne od zaangażowania osób zainteresowanych ODBI 2 27
28 Stopnie dojrzałości zarządzania bezpieczeństwem informacji Stopień 3 - Zdefiniowany Zdefiniowane zasady (w tym Polityka bezpieczeństwa) w całej organizacji Procedury bezpieczeństwa są utrzymywane i komunikowane Brak kontroli stosowania Stopnie dojrzałości zarządzania bezpieczeństwem informacji Stopień 4 - Zarządzany Jednolite podejście dla wszystkich komórek i wszystkich rozwiązań obowiązuje perspektywa biznesu Funkcjonuje mechanizm kontroli stosowania ODBI 2 28
29 Stopnie dojrzałości zarządzania bezpieczeństwem informacji Stopień 5 - Optymalizowany świadome zarządzanie ryzykiem zgodność strategii bezpieczeństwa ze strategią biznesową Zapewnianie bezpieczeństwa jako proces (wiedza, doskonalenie) ODBI 2 29
Szkolenie. z zakresu ochrony. informacji niejawnych
Szkolenie z zakresu ochrony informacji niejawnych Warszawa 2015 r. PODSTAWY PRAWNE, INFORMACJE OGÓLNE Ustawa z dnia 5 sierpnia 2010r. o ochronie informacji niejawnych Rozporządzenie Rady Ministrów z dnia
Bardziej szczegółowoPromotor: dr inż. Krzysztof Różanowski
Warszawska Wyższa Szkoła Informatyki Prezentacja do obrony pracy dyplomowej: Wzorcowa polityka bezpieczeństwa informacji dla organizacji zajmującej się testowaniem oprogramowania. Promotor: dr inż. Krzysztof
Bardziej szczegółowoWybrane przestępstwa komputerowe w kodeksie karnym z dnia 2 sierpnia 1997r. (na podstawie komentarza dr Andrzeja Adamskiego)
Wybrane przestępstwa komputerowe w kodeksie karnym z dnia 2 sierpnia 1997r. (na podstawie komentarza dr Andrzeja Adamskiego) Informacja: - środek do służący do gromadzenia dóbr materialnych i zarządzania
Bardziej szczegółowoSystemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej
Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej Wiesław Paluszyński Prezes zarządu TI Consulting Plan prezentacji Zdefiniujmy
Bardziej szczegółowoRodzaje danych (informacji) m.in.: Podmioty przetwarzające dane: podmioty publiczne, podmioty prywatne.
Rodzaje danych (informacji) m.in.: Dane finansowe Dane handlowe Dane osobowe Dane technologiczne Podmioty przetwarzające dane: podmioty publiczne, podmioty prywatne. Przetwarzane dane mogą być zebrane
Bardziej szczegółowoOdpowiedzialność karna i służbowa za naruszenie przepisów o ochronie informacji niejawnych.
Wyciąg z Kodeksu karnego dot. przestępstw przeciwko ochronie informacji Odpowiedzialność karna i służbowa za naruszenie przepisów o ochronie informacji niejawnych. Ustawa o ochronie informacji niejawnych
Bardziej szczegółowoPolityka bezpieczeństwa informacji Główne zagadnienia wykładu
Polityka bezpieczeństwa informacji Główne zagadnienia wykładu Bezpieczeństwo systemów informatycznych Polityka bezpieczeństwa Zbigniew Suski 1 Polityka Bezpieczeństwa Jest zbiorem zasad i procedur obowiązujących
Bardziej szczegółowoAutor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski
Autor: Artur Lewandowski Promotor: dr inż. Krzysztof Różanowski Przegląd oraz porównanie standardów bezpieczeństwa ISO 27001, COSO, COBIT, ITIL, ISO 20000 Przegląd normy ISO 27001 szczegółowy opis wraz
Bardziej szczegółowoDoświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001
Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001 na przykładzie Urzędu Miejskiego w Bielsku-Białej Gliwice, dn. 13.03.2014r. System Zarządzania Bezpieczeństwem
Bardziej szczegółowoZnaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)
Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO) Normy ISO 31000, ISO 27001, ISO 27018 i inne Waldemar Gełzakowski Copyright 2016 BSI. All rights reserved. Tak było Na dokumentację,
Bardziej szczegółowoOCHRONA INFORMACJI NIEJAWNYCH
Dowództwo Wojsk Obrony Terytorialnej Oddział Ochrony Informacji Niejawnych OCHRONA INFORMACJI NIEJAWNYCH TEMAT 1: Ogólne zasady ochrony informacji niejawnych. Odpowiedzialność karna, dyscyplinarna i służbowa
Bardziej szczegółowoZnaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)
Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO) Normy ISO 31000, ISO 27001, ISO 27018 i inne Waldemar Gełzakowski Witold Kowal Copyright 2016 BSI. All rights reserved. Tak
Bardziej szczegółowoKrzysztof Świtała WPiA UKSW
Krzysztof Świtała WPiA UKSW Podstawa prawna 20 ROZPORZĄDZENIA RADY MINISTRÓW z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany
Bardziej szczegółowoPolityka bezpieczeństwa
Polityka bezpieczeństwa Formalny dokument opisujący strategię bezpieczeństwa. Oczekiwana zawartość: cele, standardy i wytyczne, zadania do wykonania, specyfikacja środków, zakresy odpowiedzialności. Tomasz
Bardziej szczegółowoMINISTERSTWO ADMINISTRACJI I CYFRYZACJI
MINISTERSTWO ADMINISTRACJI I CYFRYZACJI S y s t e m Z a r z ą d z a n i a B e z p i e c z e ń s t w e m I n f o r m a c j i w u r z ę d z i e D e f i n i c j e Bezpieczeństwo informacji i systemów teleinformatycznych
Bardziej szczegółowoPodstawy organizacji systemów zarządzania bezpieczeństwem informacji dokumenty podstawowe
Podstawy organizacji systemów zarządzania bezpieczeństwem informacji dokumenty podstawowe Autor Anna Papierowska Praca magisterska wykonana pod opieką dr inż. Dariusza Chaładyniaka mgr inż. Michała Wieteski
Bardziej szczegółowoZarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk
Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk dr T Bartosz Kalinowski 17 19 września 2008, Wisła IV Sympozjum Klubu Paragraf 34 1 Informacja a system zarządzania Informacja
Bardziej szczegółowoWZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends
Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji dr inż. Bolesław Szomański Wydział Zarządzania Politechnika Warszawska b.szomański@wz.pw.edu.pl Plan Prezentacji
Bardziej szczegółowoPOLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ ODJ KRAKÓW
POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ ODJ KRAKÓW I. Podstawa prawna Polityka Bezpieczeństwa została utworzona zgodnie z wymogami zawartymi w ustawie z dnia 29 sierpnia 1997r.
Bardziej szczegółowoWarszawa, dnia 28 czerwca 2012 r. Poz. 93
Warszawa, dnia 28 czerwca 2012 r. ZARZĄDZENIE MINISTRA SPRAWIEDLIWOŚCI z dnia 27 czerwca 2012 r. w sprawie wprowadzenia Polityki Bezpieczeństwa Informacji Ministerstwa Sprawiedliwości i sądów powszechnych
Bardziej szczegółowoRegulacje prawne. Artur Sierszeń
Regulacje prawne Artur Sierszeń asiersz@kis.p.lodz.pl http://bzyczek.kis.p.lodz.pl Regulacje prawne Wymienione zastaną regulacje prawne związane z bezpieczeństwem systemów teleinformatycznych Poza wymienionymi
Bardziej szczegółowoKOMENDA WOJEWÓDZKA POLICJI W POZNANIU PCZOŚĆ KOMPUTEROWA
KOMENDA WOJEWÓDZKA POLICJI W POZNANIU PRZESTĘPCZO PCZOŚĆ KOMPUTEROWA POZNAŃ, LISTOPAD 2007 AGENDA CO TO JEST PRZESTĘPSTWO RODZAJE PRZESTĘPSTW KOMPUTEROWYCH PRZESTĘPSTWA POPEŁNIANE PRZY UśYCIU KOMPUTERA
Bardziej szczegółowoZarządzanie bezpieczeństwem informacji w świetle zmian w prawie po 2014 roku
Zarządzanie bezpieczeństwem informacji w świetle zmian w prawie po 2014 roku Cele szkolenia - wykazanie roli MBI w organizacji, - określenie i prezentacja zróżnicowanych struktur ochrony informacji w jednostkach
Bardziej szczegółowoNormalizacja dla bezpieczeństwa informacyjnego
Normalizacja dla bezpieczeństwa informacyjnego J. Krawiec, G. Ożarek Kwiecień, 2010 Plan wystąpienia Ogólny model bezpieczeństwa Jak należy przygotować organizację do wdrożenia systemu zarządzania bezpieczeństwem
Bardziej szczegółowoNa czym polega planowanie ochrony informacji niejawnych w jednostce organizacyjnej?
dr Agata Lasota - Jądrzak ekspert ds. bezpieczeństwa informacji ZPP Wielkopolska Na czym polega planowanie ochrony informacji niejawnych w jednostce organizacyjnej? Planowanie ochrony informacji niejawnych
Bardziej szczegółowoPrawne instrumenty zapobiegania cyberatakom i wyciekom informacji
Prawne instrumenty zapobiegania cyberatakom i wyciekom informacji r.pr. Agnieszka Wachowska apl. radc. Joanna Jastrząb Warszawa, dnia 6 kwietnia 2017r. Plan wystąpienia 1. Podstawowe zagadnienia dot. cyberbezpieczeństwa
Bardziej szczegółowoOCHRONA INFORMACJI NIEJAWNYCH
OCHRONA INFORMACJI NIEJAWNYCH Zasady ochrony informacji niejawnych w Polsce określa ustawa z dnia 5 sierpnia 2010r o ochronie informacji niejawnych, która weszła w życie 2 stycznia 2011r. (t.j. Dz. U.
Bardziej szczegółowoRektora-Komendanta Szkoły Głównej Służby Pożarniczej. z dnia 9 lipca 2008 r. w sprawie ustalenia Polityki Bezpieczeństwa Informacji w SGSP
ZARZĄDZENIE NR 33/08 Rektora-Komendanta Szkoły Głównej Służby Pożarniczej z dnia 9 lipca 2008 r. w sprawie ustalenia Polityki Bezpieczeństwa Informacji w SGSP Na podstawie 16 Regulaminu organizacyjnego
Bardziej szczegółowoUchwała wchodzi w życie z dniem uchwalenia.
Uchwała nr 1412/19 Zarządu Głównego Społecznego Towarzystwa Oświatowego z dnia 16 marca 2019 r. w sprawie przyjęcia Polityki bezpieczeństwa danych osobowych Społecznego Towarzystwa Oświatowego. Zarząd
Bardziej szczegółowoZarządzanie bezpieczeństwem informacji przepisy prawa a normy
Zarządzanie bezpieczeństwem informacji przepisy prawa a normy Dr inż. Grażyna Ożarek UKSW, Warszawa, Listopad 2015 Dr inż. Grażyna Ożarek Projekt Badawczo- Rozwojowy realizowany na rzecz bezpieczeństwa
Bardziej szczegółowoAudyt procesu zarządzania bezpieczeństwem informacji. Prowadzący: Anna Słowińska audytor wewnętrzny
Audyt procesu zarządzania bezpieczeństwem informacji Prowadzący: Anna Słowińska audytor wewnętrzny Audyt wewnętrzny Definicja audytu wewnętrznego o o Art. 272.1. Audyt wewnętrzny jest działalnością niezależną
Bardziej szczegółowoZagrożenia w Internecie z akcentem na ochronę i dochodzenie praw. Diagnoserw Dawid Stramowski, Chrząstowo 4, 89-100 Nakło Nad Notecią
Zagrożenia w Internecie z akcentem na ochronę i dochodzenie praw W przypadku cyberprzemocydostępne są dwie drogi ochrony prawnej: karna i cywilna. Należy pamiętać, że: w przypadku cyberprzemocy w stosunku
Bardziej szczegółowoSzkolenie otwarte 2016 r.
Warsztaty Administratorów Bezpieczeństwa Informacji Szkolenie otwarte 2016 r. PROGRAM SZKOLENIA: I DZIEŃ 9:00-9:15 Powitanie uczestników, ustalenie szczególnie istotnych elementów warsztatów, omówienie
Bardziej szczegółowoBezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC 27001 oraz BS 25999 doświadczenia audytora
Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC 27001 oraz BS 25999 doświadczenia audytora Krzysztof Wertejuk audytor wiodący ISOQAR CEE Sp. z o.o. Dlaczego rozwiązania
Bardziej szczegółowoPrzegląd rodzajów ataków hackerskich
Warszawa dn. 19.10.2016 Przegląd rodzajów ataków hackerskich Opracował: mgr inż. Ryszard Piotrowski Wstęp Pociąg ludzi do zła ujawnia się zwłaszcza tam, gdzie pojawia się nowa technologia Stanisław LEM
Bardziej szczegółowoCO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek
CO ZROBIĆ ŻEBY NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek ŹRÓDŁA PRAWA REGULUJĄCEGO ZASADY PRZETWARZANIA DANYCH OSOBOWYCH ŹRÓDŁA PRAWA REGULUJĄCEGO ZASADY PRZETWARZANIA DANYCH
Bardziej szczegółowoBezpieczeństwo informacji i usług w nowoczesnej instytucji i firmie / Andrzej Białas. Wyd. 2, 1 dodr. Warszawa, Spis treści
Bezpieczeństwo informacji i usług w nowoczesnej instytucji i firmie / Andrzej Białas. Wyd. 2, 1 dodr. Warszawa, 2017 Spis treści Od Autora 15 1. Wstęp 27 1.1. Bezpieczeństwo informacji i usług a bezpieczeństwo
Bardziej szczegółowoDz.U Nr 18 poz. 162 ROZPORZĄDZENIE PREZESA RADY MINISTRÓW
Kancelaria Sejmu s. 1/5 Dz.U. 1999 Nr 18 poz. 162 ROZPORZĄDZENIE PREZESA RADY MINISTRÓW z dnia 25 lutego 1999 r. w sprawie podstawowych wymagań bezpieczeństwa systemów i sieci teleinformatycznych. Na podstawie
Bardziej szczegółowoBezpieczeństwo danych i systemów informatycznych. Wykład 1
Bezpieczeństwo danych i systemów informatycznych Wykład 1 1. WPROWADZENIE 2 Bezpieczeństwo systemu komputerowego System komputerowy jest bezpieczny, jeśli jego użytkownik może na nim polegać, a zainstalowane
Bardziej szczegółowoMaciej Byczkowski ENSI 2017 ENSI 2017
Znaczenie norm ISO we wdrażaniu bezpieczeństwa technicznego i organizacyjnego wymaganego w RODO Maciej Byczkowski Nowe podejście do ochrony danych osobowych w RODO Risk based approach podejście oparte
Bardziej szczegółowoZARZĄDZENIE NR 473/2015 PREZYDENTA MIASTA KIELCE. z dnia 29 grudnia 2015 r.
ZARZĄDZENIE NR 473/2015 PREZYDENTA MIASTA KIELCE w sprawie powołania i określenia zadań Administratora Bezpieczeństwa Informacji, Administratora Systemów Informatycznych oraz Lokalnych Administratorów
Bardziej szczegółowoRyzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( )
Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( ) Dr inż. Elżbieta Andrukiewicz Przewodnicząca KT nr 182 Ochrona informacji w systemach teleinformatycznych
Bardziej szczegółowoPrz r e z st t pczo kompu kom pu e t row ow i n i t n e t rn r e n tow i i n i t n e t le l ktu kt al u n al a
Przestępczość komputerowa, internetowa i intelektualna Pojęcie przestępczości internetowej i charakterystyka obszarów zagroŝeń. W polskim prawie karnym brak jest definicji przestępstwa internetowego. Potocznie
Bardziej szczegółowo1. Czym jest RODO? 2. Kluczowe zmiany wynikające z RODO. 3. Kogo dotyczy RODO?
PROGRAM SZKOLENIA: I DZIEŃ SZKOLENIA 9:00-9:15 POWITANIE UCZESTNIKÓW SZKOLENIA. 9:15-10:30 BLOK I WSTĘPNE ZAGADNIENIA DOTYCZĄCE RODO 1. Czym jest RODO? 2. Kluczowe zmiany wynikające z RODO. 3. Kogo dotyczy
Bardziej szczegółowoZARZĄDZENIE Nr 20/2011
ZARZĄDZENIE Nr 20/2011 Rektora Akademii Wychowania Fizycznego im. Bronisława Czecha w Krakowie z dnia 29 sierpnia 2011 roku w sprawie organizacji i funkcjonowania ochrony informacji niejawnych oraz postępowania
Bardziej szczegółowoOpis systemu kontroli wewnętrznej (SKW) funkcjonującego w ING Banku Hipotecznym S.A.
Opis systemu kontroli wewnętrznej (SKW) funkcjonującego w ING Banku Hipotecznym S.A. Jednym z elementów zarządzania Bankiem jest system kontroli wewnętrznej (SKW), którego podstawy, zasady i cele wynikają
Bardziej szczegółowoPolityka Bezpieczeństwa jako kluczowy element systemu informatycznego. Krzysztof Młynarski Teleinformatica Krzysztof.Mlynarski@security.
Polityka Bezpieczeństwa jako kluczowy element systemu informatycznego Krzysztof Młynarski Teleinformatica Krzysztof.Mlynarski@security.pl Główne zagadnienia referatu Pojęcie Polityki Bezpieczeństwa Ocena
Bardziej szczegółowoMONITORING POCZTY ELEKTRONICZNEJ I INNE FORMY MONITORINGU
MONITORING POCZTY ELEKTRONICZNEJ I INNE FORMY MONITORINGU r.pr. Grzegorz Gołębiewski 16 kwietnia 2019 SPOSOBY MONITOROWANIA monitoring wizyjny kamery przemysłowe dostęp do pomieszczeń / przemieszczanie
Bardziej szczegółowoRaport o usługach cloud computing w działalności ubezpieczeniowej Regulacje prawne dotyczące ubezpieczeo związane z outsourcingiem usług IT
Raport o usługach cloud computing w działalności ubezpieczeniowej Regulacje prawne dotyczące ubezpieczeo związane z outsourcingiem usług IT Julita Zimoch-Tuchołka, radca prawny, Partner Monika Malinowska-Hyla,
Bardziej szczegółowoZarządzenie nr. xx / 2013 DYREKTORA Zespołu Szkół Publicznych w Kazuniu Polskim z dnia dnia miesiąca roku
Zarządzenie nr. xx / 2013 DYREKTORA Zespołu Szkół Publicznych w Kazuniu Polskim z dnia dnia miesiąca roku w sprawie: wprowadzenia w życie Polityki Bezpieczeństwa oraz Instrukcji Zarządzania Systemem Informatycznym,
Bardziej szczegółowoPlan prezentacji. Projektowanie i wdrażanie systemów zarządzania bezpieczeństwem informacji zgodnie z ISO/IEC 27003 dokumentacja ISO/IEC 27003:2010
Projektowanie i wdrażanie systemów zarządzania bezpieczeństwem informacji zgodnie z ISO/IEC 27003 dokumentacja Plan prezentacji Norma ISO/IEC 27003:2010 Dokumenty wymagane przez ISO/IEC 27001 Przykładowe
Bardziej szczegółowoCyberprzestępczość zagrożenie dla infrastruktury krytycznej. Wybrane aspekty prawne
Cyberprzestępczość zagrożenie dla infrastruktury krytycznej. Wybrane aspekty prawne kom. Grzegorz Matyniak Sanok, 24 października 2013 Agenda 1.Infrastruktura krytyczna definicja, podstawowe pojęcia 2.
Bardziej szczegółowoC Y B E R P R Z E M O C. Rodzaje zagrożeń, sposoby
C Y B E R P R Z E M O C Rodzaje zagrożeń, sposoby reagowania. D E F I N I CJA CYBERPRZEMOCY Wirtualne tyranizowanie, nękanie jest wykorzystywaniem technik informacyjnych i komunikacyjnych, np. e-mail,
Bardziej szczegółowoBezpieczeństwo informacji. Opracował: Mariusz Hoffman
Bezpieczeństwo informacji Opracował: Mariusz Hoffman Akty prawne dotyczące przetwarzania i ochrony danych osobowych: Konstytucja Rzeczpospolitej Polskiej z dnia 2 kwietnia 1997 r. (Dz. U. z 1997 r. Nr
Bardziej szczegółowoPROCEDURY BEZPIECZNEJ EKSPLOATACJI NAZWA SYSTEMU WERSJA.(NUMER WERSJI DOKUMENTU, NP. 1.0)
pełna nazwa jednostki organizacyjnej ZATWIERDZAM... PROCEDURY BEZPIECZNEJ EKSPLOATACJI DLA SYSTEMU TELEINFORMATYCZNEGO NAZWA SYSTEMU WERSJA.(NUMER WERSJI DOKUMENTU, NP. 1.0) Pełnomocnik Ochrony Kierownik
Bardziej szczegółowoDeklaracja Zarządu o ustanowieniu Polityki Bezpieczeństwa PLT Sp. z o.o.
Deklaracja Zarządu o ustanowieniu Polityki Bezpieczeństwa PLT Sp. z o.o. Dokument przygotowany w oparciu o obowiązujące przepisy prawa, dot. ochrony zasobów ludzkich, materialnych i niematerialnych. Przygotował
Bardziej szczegółowoISO 27001. bezpieczeństwo informacji w organizacji
ISO 27001 bezpieczeństwo informacji w organizacji Czym jest INFORMACJA dla organizacji? DANE (uporządkowane, przefiltrowane, oznaczone, pogrupowane ) Składnik aktywów, które stanowią wartość i znaczenie
Bardziej szczegółowoPOLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH w przedsiębiorstwie QBL Wojciech Śliwka Daszyńskiego 70c, Ustroń
POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH w przedsiębiorstwie QBL Wojciech Śliwka Daszyńskiego 70c, 43-450 Ustroń Administrator Danych Osobowych: Wojciech Śliwka 1. PODSTAWA PRAWNA Niniejsza Polityka
Bardziej szczegółowoDamian Klimas Szostek Bar i Partnerzy Kancelaria Prawna
Damian Klimas Szostek Bar i Partnerzy Kancelaria Prawna Społeczeństwo informacyjne Ujawnienie informacji Art. 266 1 KK Każdy kto, wbrew przepisom ustawy lub przyjętemu na siebie zobowiązaniu, ujawnia
Bardziej szczegółowoSzkolenie. Ochrona danych osobowych
Szkolenie Ochrona danych osobowych Ustawa o Ochronie Danych Osobowych Art. 1. 1. Każdy ma prawo do ochrony dotyczących go danych osobowych. Art. 36a 2. Do zadań administratora ( ) należy: c) zapewnianie
Bardziej szczegółowoSZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH
SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH REJESTRACJA UCZESTNIKÓW 09.00 09.05 Zapytamy o Państwa oczekiwania wobec szkolenia oraz o zagadnienia, na Wyjaśnieniu których
Bardziej szczegółowoAGENDA. Prawne aspekty systemów pułapek. Obrona przez atak
AGENDA Prawne aspekty systemów pułapek Obrona przez atak TYTUŁEM WSTĘPU gospodarka oparta na wiedzy prawo nie nadąża za rozwojem techniki HONEYPOT TO Prawidłowo przygotowany honeypot jest odpowiednio skonfigurowanym
Bardziej szczegółowoPolityka bezpieczeństwa przeznaczona dla administratora danych, który nie powołał administratora bezpieczeństwa informacji
Polityka bezpieczeństwa przeznaczona dla administratora danych, który nie powołał administratora bezpieczeństwa informacji POLITYKA BEZPIECZEŃSTWA. 1 1. PODSTAWA PRAWNA Niniejsza Polityka bezpieczeństwa
Bardziej szczegółowoZarządzenie nr 25 Burmistrza Kolonowskiego Z roku
Zarządzenie nr 25 Z 15.04.2011 roku w sprawie: ochrony danych osobowych przetwarzanych w Urzędzie Miasta i Gminy Kolonowskie Na podstawie art. 3 ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych
Bardziej szczegółowoPolityka Bezpieczeństwa Danych Osobowych. w sklepie internetowym kozakominek.pl prowadzonym przez firmę Worldflame Sp. z o. o.
Polityka Bezpieczeństwa Danych Osobowych w sklepie internetowym kozakominek.pl prowadzonym przez firmę Worldflame Sp. z o. o. Spis treści 1. Ogólne zasady przetwarzania danych osobowych... 3 2. Analiza
Bardziej szczegółowoROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r.
Dz.U.2004.100.1024 ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych,
Bardziej szczegółowoReforma ochrony danych osobowych RODO/GDPR
Reforma ochrony danych osobowych RODO/GDPR Reforma ochrony danych osobowych (RODO/GDPR) wyzwania dla organów państwa, sektora publicznego i przedsiębiorców. Marek Abramczyk CISA, CRISC, CISSP, LA 27001,
Bardziej szczegółowoDECYZJA RAMOWA RADY 2005/222/WSiSW z dnia 24 lutego 2005 r. w sprawie ataków na systemy informatyczne
16.3.2005 Dziennik Urzędowy Unii Europejskiej L 69/67 (Akty przyjęte na mocy Tytułu VI Traktatu o Unii Europejskiej) DECYZJA RAMOWA RADY 2005/222/WSiSW z dnia 24 lutego 2005 r. w sprawie ataków na systemy
Bardziej szczegółowoMarcin Soczko. Agenda
System ochrony danych osobowych a System Zarządzania Bezpieczeństwem Informacji - w kontekście normy PN-ISO 27001:2014 oraz Rozporządzenia o Krajowych Ramach Interoperacyjności Marcin Soczko Stowarzyszenie
Bardziej szczegółowoOpis Systemu Kontroli Wewnętrznej funkcjonującego w Santander Consumer Bank S.A.
Opis Systemu Kontroli Wewnętrznej funkcjonującego w Santander Consumer Bank S.A. I. Cele Systemu Kontroli Wewnętrznej 1. System Kontroli Wewnętrznej stanowi część systemu zarządzania funkcjonującego w
Bardziej szczegółowoOchrona informacji niejawnych.
FRDL Centrum Szkoleniowe w Łodzi zaprasza w dniu 29 września 2017 roku na szkolenie na temat: Ochrona informacji niejawnych. Cele i korzyści ze szkolenia: Szkolenie jest spełnieniem obowiązku wynikającego
Bardziej szczegółowoRyzyka prawne związane z elektronicznym obiegiem informacji w firmie.
Ryzyka prawne związane z elektronicznym obiegiem informacji w firmie www.kancelariajakubowski.pl Elektroniczny obieg informacji w ujęciu prawnym Obieg informacji a obieg dokumentów Obowiązek zachowania
Bardziej szczegółowoPolityka Zarządzania Ryzykiem
Polityka Zarządzania Ryzykiem Spis treści 1. Wprowadzenie 3 2. Cel 3 3. Zakres wewnętrzny 3 4. Identyfikacja Ryzyka 4 5. Analiza ryzyka 4 6. Reakcja na ryzyko 4 7. Mechanizmy kontroli 4 8. Nadzór 5 9.
Bardziej szczegółowoSpis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych
Wstęp... 13 1. Wprowadzenie... 15 1.1. Co to jest bezpieczeństwo informacji?... 17 1.2. Dlaczego zapewnianie bezpieczeństwa informacji jest potrzebne?... 18 1.3. Cele, strategie i polityki w zakresie bezpieczeństwa
Bardziej szczegółowoPolityka Bezpieczeństwa Informacji w PKP Polskie Linie Kolejowe S.A. dla Partnerów Biznesowych Spółki. SZBI-Ibi-1a
System Zarządzania Bezpieczeństwem Informacji w PKP Polskie Linie Kolejowe S.A. Data wdrożenia SZBI: 2013-01-02 Polityka Bezpieczeństwa Informacji w PKP Polskie Linie Kolejowe S.A. dla Partnerów Biznesowych
Bardziej szczegółowoImed El Fray Włodzimierz Chocianowicz
Imed El Fray Włodzimierz Chocianowicz Laboratorium Certyfikacji Produktów i Systemów Informatycznych Wydział Informatyki Katedra Inżynierii Oprogramowania Zachodniopomorski Uniwersytet Technologiczny w
Bardziej szczegółowoBudowanie polityki bezpieczeństwa zgodnie z wymogami PN ISO/IEC 17799 przy wykorzystaniu metodologii OCTAVE
Budowanie polityki bezpieczeństwa zgodnie z wymogami PN ISO/IEC 17799 przy wykorzystaniu metodologii OCTAVE AGENDA: Plan prezentacji Wstęp Charakterystyka zagrożeń, zasobów i zabezpieczeń Założenia bezpieczeństwa
Bardziej szczegółowoROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia... r.
projekt ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia... r. w sprawie szczegółowych warunków organizacyjnych i technicznych dla systemu teleinformatycznego służącego identyfikacji
Bardziej szczegółowoISO 27001 w Banku Spółdzielczym - od decyzji do realizacji
ISO 27001 w Banku Spółdzielczym - od decyzji do realizacji Aleksander Czarnowski AVET Information and Network Security Sp. z o.o. Agenda ISO 27001 zalety i wady Miejsce systemów bezpieczeństwa w Bankowości
Bardziej szczegółowoCZĘŚĆ PIERWSZA WSTĘP. B. Ochrona na płaszczyźnie międzynarodowej str. 34
Spis treści Wykaz skrótów str. 11 Od autorów str. 19 CZĘŚĆ PIERWSZA WSTĘP A. Wprowadzenie str. 23 B. Ochrona na płaszczyźnie międzynarodowej str. 34 I. Konwencja o ochronie praw człowieka i podstawowych
Bardziej szczegółowoPRZEMIANY W POLSKIM SEKTORZE POCZTOWYM Łódź, 09 grudnia 2015 r.
PRZEMIANY W POLSKIM SEKTORZE POCZTOWYM Łódź, 09 grudnia 2015 r. Penalizacja naruszenia tajemnicy korespondencji jednego z podstawowych warunków usług pocztowych. Stan prawny w Polsce. Eksplikacja czynu
Bardziej szczegółowoSzkolenie : Administrator Bezpieczeństwa Informacji (2 dni)
ZRBS/45/2015 Warszawa, dnia 05.06. Szanowni Państwo, Zarząd Banku Spółdzielczego Związek Rewizyjny Banków Spółdzielczych im. F. Stefczyka realizując swoją statutową działalność przesyła ofertę na szkolenie
Bardziej szczegółowoOchrona informacji niejawnych w Zachodniopomorskim Uniwersytecie Technologicznym.
Ochrona informacji niejawnych w Zachodniopomorskim Uniwersytecie Technologicznym. I. Informacje ogólne W rozumieniu ustawy o ochronie informacji niejawnych (Dziennik Ustaw z 2016 r. poz. 1167.) tajemnicą
Bardziej szczegółowoSZCZEGÓŁOWY HARMONOGRAM KURSU
SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I - WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH REJESTRACJA UCZESTNIKÓW Zapytamy o Państwa oczekiwania wobec szkolenia oraz o zagadnienia, na wyjaśnieniu których szczególnie
Bardziej szczegółowo2.11. Monitorowanie i przegląd ryzyka 2.12. Kluczowe role w procesie zarządzania ryzykiem
Spis treści Wstęp 1. Wprowadzenie 1.1. Co to jest bezpieczeństwo informacji? 1.2. Dlaczego zapewnianie bezpieczeństwa informacji jest potrzebne? 1.3. Cele, strategie i polityki w zakresie bezpieczeństwa
Bardziej szczegółowoOpis systemu kontroli wewnętrznej w Polskim Banku Apeksowym S.A.
Opis systemu kontroli wewnętrznej w Polskim Banku Apeksowym S.A. I. Informacje ogólne 1. Zgodnie z postanowieniami Ustawy Prawo bankowe z dnia 29 sierpnia 1997 r. (Dz.U. 1997 Nr 140 poz. 939), w ramach
Bardziej szczegółowoOchrona danych osobowych i informacji prawnie chronionych. OCHRONA INFORMACJI PRAWNIE CHRONIONYCH. Korzyści i obowiązki
OCHRONA INFORMACJI PRAWNIE CHRONIONYCH. Korzyści i obowiązki Artur Górecki Prezes Zarządu STANDARDER Sp. z o.o. wdrażanie procedur ochrony danych osobowych wdrażanie Tajemnicy Przedsiębiorstwa i ochrony
Bardziej szczegółowoAUDYT BEZPIECZEŃSTWA INFORMACJI Podstawy
AUDYT BEZPIECZEŃSTWA INFORMACJI Podstawy ROZPORZĄDZENIE RADY MINISTRÓW z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji
Bardziej szczegółowoOchrona danych osobowych w biurach rachunkowych
Ochrona danych osobowych w biurach rachunkowych w kontekście zmienianych przepisów prawa, w szczególności w zgodzie z RODO Prowadzi: Piotr Glen Ekspert ds. ochrony danych osobowych Administrator bezpieczeństwa
Bardziej szczegółowoPolskie Normy w zarządzaniu bezpieczeństwem informacji
Polskie Normy w zarządzaniu bezpieczeństwem informacji Normy dotyczące systemów zarządzania: Typ A - Normy zawierające wymagania dotyczące systemu zarządzania, Typ B - Normy zawierające wytyczne dotyczące
Bardziej szczegółowoPismo okólne Nr 31/2012/2013 Rektora Uniwersytetu Kazimierza Wielkiego z dnia 12 marca 2013 r.
Pismo okólne Nr 31/2012/2013 Rektora Uniwersytetu Kazimierza Wielkiego z dnia 12 marca 2013 r. w sprawie zatwierdzenia instrukcji dotyczącej sposobu i trybu przetwarzania informacji niejawnych o klauzuli
Bardziej szczegółowoI. O P I S S Z K O L E N I A
Sektorowy Program Operacyjny Rozwój Zasobów Ludzkich Priorytet 2 Rozwój społeczeństwa opartego na wiedzy Działanie 2.3 Rozwój kadr nowoczesnej gospodarki I. O P I S S Z K O L E N I A Tytuł szkolenia Metodyka
Bardziej szczegółowoZasady systemu kontroli wewnętrznej w Banku Spółdzielczym. w Łubnianach
Załącznik nr 3 do Regulaminu systemu kontroli wewnętrznej B S w Łubnianach Zasady systemu kontroli wewnętrznej w Banku Spółdzielczym w Łubnianach Rozdział 1. Postanowienia ogólne 1 Zasady systemu kontroli
Bardziej szczegółowoZarządzenie Nr 38/2015 Wójta Gminy Michałowice z dnia 24 lutego 2015 roku w sprawie ustalenia wytycznych kontroli zarządczej.
Zarządzenie Nr 38/2015 Wójta Gminy Michałowice z dnia 24 lutego 2015 roku w sprawie ustalenia wytycznych kontroli zarządczej. Na podstawie ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych (Dz.
Bardziej szczegółowoAgenda. Ogólne rozporządzenie o ochronie danych -RODO. Jakie działania należy podjąć, aby dostosować firmę do wymagań rozporządzenia GDPR/RODO?
Jakie działania należy podjąć, aby dostosować firmę do wymagań rozporządzenia GDPR/RODO? Maciej Byczkowski European Network Security Institute Agenda Nowy system przepisów dotyczących ochrony danych osobowych
Bardziej szczegółowoMaciej Gawroński Maruta Wachta Sp.j. Odpowiedzialność za cyberbezpieczeństwo
Maciej Gawroński Maruta Wachta Sp.j. Odpowiedzialność za cyberbezpieczeństwo CYBERBEZPIECZEŃSTWO to zapewnienie ciągłości działania systemów teleinformatycznych oraz bezpieczeństwa ich funkcji i informacji
Bardziej szczegółowoABI potrzebny i przydatny Zakres i sposób wykonywania zadań ABI w praktyce. Andrzej Rutkowski
ABI potrzebny i przydatny Zakres i sposób wykonywania zadań ABI w praktyce Andrzej Rutkowski Stowarzyszenie Administratorów Bezpieczeństwa Informacji Agenda 1. Pozytywy nowelizacji u.o.d.o. z 7 listopada
Bardziej szczegółowoPowiązania norm ISO z Krajowymi Ramami Interoperacyjności i kontrolą zarządczą
Powiązania norm ISO z Krajowymi Ramami Interoperacyjności i kontrolą zarządczą Punkt widzenia audytora i kierownika jednostki Agnieszka Boboli Ministerstwo Finansów w 22.05.2013 r. 1 Agenda Rola kierownika
Bardziej szczegółowodr hab. prof. UO DARIUSZ SZOSTEK Kancelaria Szostek-Bar i Partnerzy RODO a cyberbezpieczeństwo
dr hab. prof. UO DARIUSZ SZOSTEK Kancelaria Szostek-Bar i Partnerzy RODO a cyberbezpieczeństwo RODO a cyberbezpieczeństo ROZPORZĄDZENIE RODO Projekt ustawy o krajowym systemie cyberbezpieczeństwa 25 maja
Bardziej szczegółowoPolityka Bezpieczeństwa Informacji w PKP Polskie Linie Kolejowe S.A. dla Partnerów Biznesowych Spółki. SZBI-Ibi-1a
System Zarządzania Bezpieczeństwem Informacji w PKP Polskie Linie Kolejowe S.A. Data wdrożenia SZBI: 2013-01-02 Polityka Bezpieczeństwa Informacji w PKP Polskie Linie Kolejowe S.A. dla Partnerów Biznesowych
Bardziej szczegółowo