Ochrona danych i bezpieczeństwo informacji

Wielkość: px
Rozpocząć pokaz od strony:

Download "Ochrona danych i bezpieczeństwo informacji"

Transkrypt

1 Ochrona danych i bezpieczeństwo informacji Dr inż. Janusz Dudziak Bezpieczeństwo ODBI 2 1

2 Bezpieczeństwo Podstawowe źródła pozyskiwania informacji do określenia przez organizację swoich wymagań bezpieczeństwa informacji: Szacowanie ryzyka dotyczącego instytucji; Zbiór wymagań prawnych, statutowych, regulacyjnych i kontraktowych; Istniejący, specyficzny dla danej organizacji zbiór zasad, celów i wymagań dotyczących przetwarzania informacji. Aspekty prawne ochrony informacji Rola środków prawnych w dziedzinie bezpieczeństwa systemów informatycznych Określenie zasad postępowania administratorów użytkowników, zdefiniowanie ich praw i obowiązków Przewidywanie sankcji za naruszenie ustalonych zasad i obowiązków. Sankcje są uruchamiane w sytuacji, gdy zawiodą zabezpieczenia (fizyczne, organizacyjne, kryptograficzne) i dojdzie do zagrożenia bezpieczeństwa lub wyrządzenia szkody. ODBI 2 2

3 Stan prawny w Europie Ochrona informacji Konwencje Konwencja nr 108 o ochronie osób w związku z automatycznym przetwarzaniem danych o charakterze osobowym Protokół dodatkowy do Konwencji Rady Europy Nr 108 o Ochronie Osób w związku z automatycznym przetwarzaniem danych osobowych Zalecenie nr R(89)9 dot. uwzględnienia w ustawodawstwie listy minimalnej przestępstw komputerowych Europejska Konwencja Bioetyczna z dnia 4 kwietnia 1997 r. w obszarze odnoszącym się do ochrony danych osobowych Rekomendacje i rezolucje Rezolucja (73) 22. o ochronie życia prywatnego osób fizycznych w kontekście elektronicznych banków danych w sektorze prywatnym Rezolucja (74) 22. o ochronie życia prywatnego osób fizycznych w kontekście elektronicznych banków danych w sektorze publicznym Stan prawny w Europie 1985 The Select Committee of Experts on Computer-Related Crime of Concil of Europe. Zalecenie nr R(89)/9 Komitetu Ministrów Rady Europy Lista minimalna Oszustwo komputerowe Fałszerstwo komputerowe Włamanie do systemu komputerowego Niszczenie danych lub programów Sabotaż Piractwo Kopiowanie półprzewodników Lista fakultatywna Modyfikacja danych lub programów Szpiegostwo komputerowe Używanie komputera bez zezwolenia Używanie chronionego prawnie oprogramowania bez upoważniania ODBI 2 3

4 Najważniejsze akty prawne Konstytucja Rzeczpospolitej Polskiej Ustawa o rachunkowości Ustawa z dn o ochronie danych osobowych Dz. U. z dn Ustawa o ochronie informacji niejawnych Dz. U. z dn Ustawa z dnia 27 lipca 2001 r., o ochronie baz danych ( Dz.U z późniejszymi zmianami ); Ustawa z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (Dz.U ); Ustawa z dnia 6 września 2001 r. o dostępie do informacji publicznej (Dz.U ); Ustawa z dnia 18 lipca 2002 r., o świadczeniu usług droga elektroniczna ( Dz.U z późniejszymi zmianami ); Rozporządzenie Prezesa Rady Ministrów z dnia 25 sierpnia 2005 r., w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego ( Dz. U ); Najważniejsze akty prawne (2) Rozporządzenie MSWiA z dnia 3 czerwca 1998 r., w sprawie określenia podstawowych warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych ( Dz. U , zmienione rozporządzeniem MSWiA z dnia 1 października 2001 r., (Dz. U ); Rozporządzenie Ministra Finansów z dnia 31 października 2003 r., w sprawie szczegółowych zasad tworzenia, utrwalania, przechowywania i zabezpieczania dokumentów związanych z zawieraniem i wykonywaniem umów ubezpieczenia ( Dz. U ); Rozporządzenie MSWiA z dnia 29 kwietnia 2004 r., w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych( Dz. U ); Rozporządzenie Ministra Sprawiedliwości z dnia 28 kwietnia 2004 r., w sprawie technicznego przygotowania systemów i sieci służących do przekazywania informacji do gromadzenia wykazów połączeń telefonicznych i innych przekazów informacji oraz sposobów zabezpieczenia danych informatycznych ( Dz. U ); ODBI 2 4

5 Najważniejsze akty prawne (3) Rozporządzenie Ministra Finansów z dnia 31 pazdziernika 2003 r., w sprawie szczegółowych zasad tworzenia, utrwalania, przechowywania i zabezpieczania dokumentów związanych z zawieraniem i wykonywaniem umów ubezpieczenia ( Dz. U ); Rozporządzenie MSWiA z dnia 29 kwietnia 2004 r., w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych( Dz. U ); Rozporządzenie Ministra Sprawiedliwości z dnia 28 kwietnia 2004 r., w sprawie technicznego przygotowania systemów i sieci służących do przekazywania informacji do gromadzenia wykazów połączeń telefonicznych i innych przekazów informacji oraz sposobów zabezpieczenia danych informatycznych ( Dz. U ); Najważniejsze akty prawne (4) Rozporządzenie Ministra Gospodarki, Pracy i Polityki Społecznej z dnia 29 kwietnia 2004 r., w sprawie homologacji systemów informatycznych stosowanych w urządzeniach administracji publicznej realizujących zadania w zakresie świadczeń rodzinnych. ( Dz. U ); Rozporządzenie Ministra Gospodarki i Pracy z dnia 30 czerwca 2004 r., w sprawie homologacji systemów informatycznych stosowanych w Urzetach Pracy. ( D.U ); Ustawa z dnia 18 września 2001 r., o podpisie elektronicznym ( Dz.U z późniejszymi zmianami ); Rozporządzenie Rady Ministrów z dnia 7 sierpnia 2002 r., w sprawie określenia warunków technicznych i organizacyjnych dla kwalifikowanych podmiotów świadczących usługi certyfikacyjne, polityk certyfikacji dla kwalifikowanych certyfikatów widywanych przez te podmioty oraz warunków technicznych dla bezpiecznych urządzeń służących do składania i weryfikacji podpisu elektronicznego ( Dz. U ); Ustawa z dnia 22 stycznia 1999 r., o ochronie informacji niejawnych (Dz.U ) ODBI 2 5

6 Znowelizowany w 1998 r Kodeks Karny uwzględnia zalecenia RE i postanowienia art.. 66 Układu Europejskiego Ściganiem objęte są czyny określone w rozdziale XXXIII KK Hakerstwo (art. 267 $1) Posłuch (art. 267 $2) Naruszenie integralności zapisu informacji (art. 268) Sabotaż komputerowy (art. 269 $1 i $2) Rozpowszechnianie wirusów (art. 268 $2 oraz art. 269) w rozdziale XXXV KK Kradzież programu (art. 278 $2) Kradzież karty bankomatowej (art. 278 $5) Oszustwo telekomunikacyjne (art. 285 $1) Oszustwo komputerowe (art. 287) Nowelizacja Kodeksu Karnego dokonana ustawą z dnia 24 października 2008 r. głównie w zakresie dotyczącym przestępstw z art i 2 KK, a także czynu z art. 269 a KK, jest wynikiem dostosowania (implementacji) polskiego prawa karnego w tym zakresie do Decyzji Ramowej Rady Unii Europejskiej z dnia 24 lutego 2005 r., w sprawie ataków na systemy informatyczne (2005/222/WSiSW) ODBI 2 6

7 Wspomniana Decyzja Ramowa zobowiązała państwa członkowskie do podjęcia niezbędnych środków w celu kryminalizacji następujących zachowań: 1. nielegalnego dostępu do systemów informatycznych polegającego na umyślnym, bezprawnym dostępie do całości lub części systemu informatycznego 2. nielegalnej ingerencji w system polegającej na umyślnym, poważnym naruszeniu lub przerwaniu funkcjonowania systemu informatycznego 3. nielegalnej ingerencji w dane mającej postać umyślnego, bezprawnego usunięcia, uszkodzenia, pogorszenia, zmiany, zatajania lub uczynienia niedostępnymi danych komputerowych 4. kierowania, pomagania, podżegania oraz usiłowania w zakresie czynów określonych w art. 2, 3 i 4 Decyzji Ramowej (art. 5), Kodeks karny wybrane artykuły Art [ ] Dokumentem jest każdy przedmiot lub zapis na komputerowym nośniku informacji,. [ ] Art Kto sprowadza niebezpieczeństwo dla życia lub zdrowia wielu osób albo dla mienia zakłócając, uniemożliwiając lub w inny sposób wpływając na automatyczne przetwarzanie, gromadzenie lub przesyłanie informacji, podlega karze pozbawienia wolności od 6 miesięcy do lat 8. ODBI 2 7

8 Kodeks karny wybrane artykuły Art Kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej, otwierając zamknięte pismo, podłączając się do sieci telekomunikacyjnej lub przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat Tej samej karze podlega, kto bez uprawnienia uzyskuje dostęp do całości lub części systemu informatycznego. 3. Tej samej karze podlega, kto w celu uzyskania informacji, do Kodeks karny - pełny tekst ustawy. Stan prawny na 6 lipca 2009 roku. której nie jest uprawniony, zakłada lub posługuje się urządzeniem podsłuchowym, wizualnym albo innym urządzeniem lub oprogramowaniem. [ ] Kodeks karny Art Kto nie będąc do tego uprawnionym, niszczy, uszkadza, usuwa lub zmienia zapis istotnej informacji albo w inny sposób udaremnia lub znacznie utrudnia osobie uprawnionej zapoznanie się z nią, podlega grzywnie, karze ograniczenia wolności albo karze pozbawienia wolności do lat Jeżeli czyn ten dotyczy zapisu na komputerowym nośniku informacji sprawca podlega karze pozbawienia wolności do lat Kto, dopuszczając się czynu określonego w 1 lub 2, wyrządza znaczną szkodę majątkową, podlega karze pozbawienia wolności od 3 miesięcy do 5 lat. [ ] ODBI 2 8

9 Kodeks karny Art Kto, na komputerowym nośniku informacji, niszczy, uszkadza, usuwa lub zmienia zapis o szczególnym znaczeniu dla obronności kraju, bezpieczeństwa w komunikacji, funkcjonowania administracji rządowej, innego organu państwowego lub organizacji samorządowej albo zakłóca lub uniemożliwia automatyczne gromadzenie lub przekazywanie takich informacji, podlega karze pozbawienia wolności od 6 miesięcy do lat 8. 2.Tej samej karze podlega, kto dopuszcza się takiego czynu, niszcząc albo wymieniając nośnik informacji lub niszcząc albo uszkadzając urządzenie służące automatycznemu przetwarzaniu, gromadzeniu lub przesyłaniu informacji. [ ] Kodeks karny Art. 269a. Kto, nie będąc do tego uprawnionym, przez transmisję, zniszczenie, usunięcie, uszkodzenie lub zmianę danych informatycznych, w istotnym stopniu zakłóca pracę systemu komputerowego lub sieci teleinformatycznej, podlega karze pozbawienia wolności od 3 miesięcy do lat 5. ODBI 2 9

10 Kodeks karny Art. 269b. 1. Kto wytwarza, pozyskuje, zbywa lub udostępnia innym osobom urządzenia lub programy komputerowe przystosowane do popełnienia przestępstwa określonego w art pkt 4, art , art. 268a 1 albo 2 w związku z 1, art albo art. 269a, a także hasła komputerowe, kody dostępu lub inne dane umożliwiające dostęp do informacji przechowywanych w systemie komputerowym lub sieci teleinformatycznej, podlega karze pozbawienia wolności do lat 3. [ ] Kodeks karny Art Kto, w celu użycia za autentyczny, podrabia lub przerabia dokument lub takiego dokumentu jako autentycznego używa, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności od 3 miesięcy do lat 5. [ ]. ODBI 2 10

11 Ochrona danych osobowych Ustawa z dn o ochronie danych osobowych Dz. U. z dn Administrator danych osobowych jest zobowiązany zapewnić kontrolę i zabezpieczenie przepływu informacji oraz fizyczne bezpieczeństwo urządzeń i nośników służących do przechowywania danych. Musi prowadzić ewidencję osób uprawnionych do dostępu Osoba uprawniona jest zobowiązana do zachowania tajemnicy, również po ustaniu zatrudnienia. Zgodnie z Rozporządzeniem Ministra SWiA w sprawie określenia podstawowych warunków technicznych i organizacyjnych jakim powinny odpowiadać systemy informatyczne służące do przetwarzania danych osobowych (1998) powinien wyznaczyć administratora bezpieczeństwa informacji. Odpowiada on za bezpieczeństwo w systemie informatycznym Ochrona informacji niejawnych Dostęp do tego typu informacji reguluje Ustawa o ochronie informacji niejawnych Dz. U. z dn wraz z 12 rozporządzeniami wykonawczymi informacje niejawne Mogą być udostępniane jedynie osobom upoważnionym Muszą być wytwarzane, przechowywane, przekazywane lub przetwarzane w sposób odpowiedni dla ich klauzuli tajności Muszą być chronione. Środki określa rozdz. 9. Ustawy. ODBI 2 11

12 Ochrona informacji niejawnych. Szczególne Wymagania Bezpieczeństwa (SWB) jest dokumentem tworzonym w celu dopuszczenia systemu lub sieci teleinformatycznej do wytwarzania, edytowania lub/i archiwizacji dokumentów niejawnych posiadających klauzulę ZASTRZEŻONE, POUFNE, TAJNE i ŚCIŚLE TAJNE. Dokument ten określa budowę, konfigurację, specyfikę pracy oraz zagrożenia systemu lub sieci teleinformatycznej, wynikające z niepowołanego dostępu do danych niejawnych. Organem zatwierdzającym SWB są służby ochrony państwa, czyli Agencja Bezpieczeństwa Wewnętrznego i Służba Kontrwywiadu Wojskowego. Szczególne Wymagania Bezpieczeństwa (SWB), Podmioty w których konieczne jest opracowanie SWB Sejm Rzeczypospolitej Polskiej; Senat Rzeczypospolitej Polskiej; prezydent Rzeczypospolitej Polskiej; organy administracji rządowej; organy jednostek samorządu terytorialnego; sądy i trybunały; organy kontroli państwowej; organy ochrony prawa; Siły Zbrojne Rzeczypospolitej Polskiej; Narodowy Bank Polski; banki państwowe; państwowe osoby prawne; państwowe jednostki organizacyjne; przedsiębiorcy; jednostki naukowe lub badawczo-rozwojowe ubiegające się o zawarcie lub wykonujące umowy związane z dostępem do informacji niejawnych, dotyczące realizacji zadań opłacanych w całości lub w części ze środków publicznych, w rozumieniu przepisów ustawy z dnia 10 czerwca 1994 r. o zamówieniach publicznych (Dz. U. z 1998 r. Nr 119, poz. 773). ODBI 2 12

13 Kodeks Pracy Art Pracownik jest obowiązany w szczególności: 1) przestrzegać czasu pracy ustalonego w zakładzie pracy, 2) przestrzegać regulaminu pracy i ustalonego w zakładzie pracy porządku, 3) przestrzegać przepisów oraz zasad bezpieczeństwa i higieny pracy, a także przepisów przeciwpożarowych, 4) dbać o dobro zakładu pracy, chronić jego mienie oraz zachować w tajemnicy informacje, których ujawnienie mogłoby narazić pracodawcę na szkodę, 5) przestrzegać tajemnicy określonej w odrębnych przepisach, 6) przestrzegać w zakładzie pracy zasad współżycia społecznego Ustawa o zwalczaniu nieuczciwej konkurencji: Art.11 ust.4: Przez tajemnicę przedsiębiorstwa rozumie się nieujawnione do wiadomości publicznej informacje techniczne, technologiczne, organizacyjne przedsiębiorstwa lub inne informacje posiadające wartość gospodarczą, co do których przedsiębiorca podjął niezbędne działania w celu zachowania ich poufności. ODBI 2 13

14 Źródła dobrych praktyk normy polskie i międzynarodowe metody projektowania rozwiązań rekomendacje branżowe Źródła dobrych praktyk ODBI 2 14

15 Źródła dobrych praktyk PN-I Technika informatyczna.-wytyczne do zarządzania bezpieczeństwem systemów informatycznych. PN-I : 1999 Pojęcia i modele bezpieczeństwa systemów informatycznych ISO/IEC TR :1997 Zarządzanie i planowanie bezpieczeństwa systemów informatycznych ISO/IEC TR :1998 Techniki zarządzania bezpieczeństwem systemów informatycznych ISO/IEC TR :2000 Dobór zabezpieczeń ISO/IEC TR :2001 Zabezpieczenia połączeń zewnętrznych PN ISO/IEC Technika informatyczna - Techniki zabezpieczeń - Kryteria oceny zabezpieczeń informatycznych PNISO/IEC : 2002 Kryteria oceny zabezpieczeń. Model ogólny PNISO/IEC : 2005 Wymagania bezpieczeństwa funkcjonalnego PNISO/IEC : 2005 Wymagania uzasadnienia zaufania do zabezpieczeń PN ISO/IEC 17799: 2003 Praktyczne zasady zarządzania bezpieczeństwem informacji PN ISO27001: 2006 Wytyczne do stosowania Źródła dobrych praktyk metoda COBIT ( (Control Objectives for Information and related Technology) - standard opracowany przez ISACA oraz IT Governance Institute, zbiór dobrych praktyk z zakresu IT Governance, które mogą być wykorzystywane w szczególności przez audytorów systemów informatycznych. COBIT 4.1 opisuje 34 wysokopoziomowe procesy, które obejmują 210 celów kontrolnych pogrupowanych w czterech domenach: planowanie i organizacja nabywanie i wdrażanie, dostarczanie i wsparcie, monitorowanie i ocena COBIT został wskazany w Rekomendacji D, dotyczącej zarządzania ryzykami towarzyszącymi systemom informatycznym i telekomunikacyjnym używanym przez banki, wydanej przez Generalny Inspektorat Nadzoru Bankowego, jako jeden z uznanych standardów międzynarodowych, dotyczących badania i oceny bezpieczeństwa informacji w systemach informatycznych. ODBI 2 15

16 Źródła dobrych praktyk metodyka TISM ( (Total Information Security Management) metodyka opracowana przez European Network Security Institute wspierająca określenie wymagań bezpieczeństwa; uszczegółowienie wymagań dla grup informacji; spełnienie wymagań bezpieczeństwa przez systemy Krajowy odpowiednik normy ISO/IEC 17799, która jest odpowiednikiem brytyjskiego standardu BS Zalecenia pozwalające określić wymagania przedsiębiorstwa co do bezpieczeństwa informacji oraz wybrać konieczne środki standardowy kodeks praktyki, katalog zagadnień, jakie należy realizować dla potrzeb bezpieczeństwa informacji ODBI 2 16

17 PN-ISO/IEC 27001:2007 Krajowy odpowiednik normy ISO/IEC 27001, która z kolei jest kontynentalnym odpowiednikiem brytyjskiego standardu BS Zalecenia związane z ustanowieniem, wdrożeniem, eksploatacją, monitorowaniem, przeglądem, utrzymaniem i doskonaleniem systemu zarządzania bezpieczeństwem informacji Podstawa dla rozwijania wewnętrznych standardów bezpieczeństwa Uzupełnienie odpowiednich regulacji i przepisów prawnych dotyczących ochrony informacji PN-ISO/IEC 27001:2007 Bezpieczeństwo informacji oznacza jej ochronę przed szerokim spektrum zagrożeń w celu zapewnienia Ciągłości działania Minimalizacji ryzyka Maksymalizacji zwrotu z inwestycji Maksymalizacji możliwości biznesowych ODBI 2 17

18 PN-ISO/IEC 27001:2007 jedenaście obszarów, mających wpływ na bezpieczeństwo informacji w organizacji: Polityka bezpieczeństwa; Organizacja bezpieczeństwa informacji; Zarządzanie aktywami; Bezpieczeństwo zasobów ludzkich; Bezpieczeństwo fizyczne i środowiskowe; Zarządzanie systemami i sieciami; Kontrola dostępu; Zarządzanie ciągłością działania; Pozyskiwanie, rozwój i utrzymanie systemów informatycznych; Zarządzanie incydentami związanymi z bezpieczeństwem informacji; Zgodność z wymaganiami prawnymi i własnymi standardami. PN-ISO/IEC 27001:2007 Zabezpieczenia uznawane za powszechną praktykę obejmują Dokument polityki bezpieczeństwa informacji Przypisanie odpowiedzialności w zakresie bezpieczeństwa informacji Uświadamianie, kształcenie i szkolenie w zakresie bezpieczeństwa informacji Zarządzanie podatnościami technicznymi Zarządzanie ciągłością działania Zarządzanie incydentami związanymi z bezpieczeństwem informacji ODBI 2 18

19 PN-ISO/IEC 27001:2007 Krytyczne czynniki sukcesu (Plan-Do-Check-Act) Planuj Ustanowienie polityki bezpieczeństwa, cele, zakres stosowania, procesy i procedury odpowiadające zarządzaniu ryzykiem oraz zwiększające bezpieczeństwo informacji tak, aby uzyskać wyniki zgodne z ogólnymi zasadami i celami instytucji. Wykonuj Wdrożenie i eksploatacja polityki bezpieczeństwa, zabezpieczeń, procesów i procedur. Sprawdź Szacowanie oraz tam, gdzie ma to zastosowanie, pomiar wykonania procesów w odniesieniu do polityki bezpieczeństwa, cele i praktyczne doświadczenia oraz przekazywanie kierownictwu wyników przeglądu. Działaj Podejmowanie działań korygujących i prewencyjnych w oparciu o wyniki przeglądu realizowanego przez kierownictwo, tak aby osiągnąć stałe doskonalenie ISMS PN-ISO/IEC 27001:2007 Poszczególne etapy modelu Planuj-Wykonuj-Sprawdź-Działaj są opisane w drugiej części normy (PN-I ) w rozdziale 4.2 (Ustanawianie i zarządzanie ISMS). Opisane są działania jakie instytucja musi podjąć na każdym z tych etapów. Każde z tych działań jest bezwzględnie wymagane przez normę. Norma zawiera opis zabezpieczeń, jakie należy stosować w celu minimalizacji ryzyka (Załącznik A). Stosowanie jest obligatoryjne. ODBI 2 19

20 Związki w zarządzaniu ryzykiem WYKORZYSTUJĄ ZAGROŻENIA VULNERABILITIES PODATNOŚCI CHRONIĄ ZWIĘKSZAJĄ ZWIĘKSZAJĄ PRZED ZABEZPIECZENIA ZMNIEJSZAJĄ RYZYKO RYZYKA NARAŻAJĄ ZASOBY REALIZOWANE PRZEZ ANALIZA WSKAZUJE ZWIĘKSZAJĄ WAGĘ POSIADAJĄ WYMAGANIA bezpieczeństwa WARTOŚCI STĄD Potencjalne NASTĘPSTWA skutki DLA TP Zarządzanie ryzykiem Accept Acknowledge that the risk exists, but apply no safeguard Transfer Shift responsibility for the risk to a third party (ISP, Insurance, etc.) Risk Mitigate Change the asset s risk exposure (apply safeguard) Avoid Eliminate the asset s exposure to risk, or eliminate the asset altogether ODBI 2 20

21 Zarządzanie ryzykiem Zarządzanie ryzykiem Identyfikacja ryzyka Jakościowa analiza ryzyka Ilościowa analiza ryzyka Planowanie reakcji na ryzyko Monitorowanie i kontrolowanie ryzyka Polityka bezpieczeństwa Polityka bezpieczeństwa stanowi element polityki biznesowej firmy. Jest to formalny dokument opisujący strategię bezpieczeństwa. Realizacja polityki bezpieczeństwa podlega oczywistym etapom: zaprojektowanie, zaimplementowanie, zarządzanie (w tym monitorowanie i okresowe audyty bezpieczeństwa). ODBI 2 21

22 Polityka bezpieczeństwa Zakres tematyczny polityki bezpieczeństwa: definicja celu i misji polityki bezpieczeństwa, standardy i wytyczne, których przestrzegania wymagamy, kluczowe zadania do wykonania, zakresy odpowiedzialności. Polityka bezpieczeństwa Polityka bezpieczeństwa powinna określać środki jej realizacji takie jak: ochrona fizyczna, polityka proceduralno-kadrowa (odpowiedzialność personalna), Środki techniczne. ODBI 2 22

23 Polityka bezpieczeństwa Podstawowe zasady opracowywania polityki bezpieczeństwa: inicjatywa w zakresie bezpieczeństwa informacji musi wyjść ze strony kierownictwa, ostateczną odpowiedzialność za bezpieczeństwo informacji ponosi kierownictwo, tylko, gdy kierownictwo jest zainteresowane bezpieczeństwem, zadania w tym zakresie są traktowane poważnie, wszystkie strategie i procedury powinny odzwierciedlać potrzeby ochrony dane powinny być chronione niezależnie od nośnika, na którym występują, w skład zespołu d/s zarządzania bezpieczeństwem muszą wejść przedstawiciele praktycznie wszystkich komórek organizacyjnych, każdy powinien sobie uświadomić sobie własną odpowiedzialność za utrzymywanie bezpieczeństwa. (konieczność szkoleń i motywacji) Polityka bezpieczeństwa Schemat postępowania przy opracowywaniu polityki bezpieczeństwa Planowanie zaprojektowanie polityki bezpieczeństwa, określenie pożądanego poziomu bezpieczeństwa, powołanie zespołu d/s zarządzania bezpieczeństwem, opracowanie polityki bezpieczeństwa; opracowanie koncepcji bezpieczeństwa. Realizacja wdrożenie zaplanowanych przedsięwzięć bezpieczeństwa, szkolenie personelu w zakresie bezpieczeństwa. Eksploatacja -utrzymywanie bezpieczeństwa (proces ciągły) Okresowe audyty Wprowadzanie zmian ODBI 2 23

24 Strategia bezpieczeństwa Polityka bezpieczeństwa Dokumenty tworzone w trakcie budowy polityki bezpieczeństwa informacji zgodnie z metodologią TISM 1. Polityka Bezpieczeństwa Informacji, 2. Zasady Zarządzania Bezpieczeństwem Informacji, Polityki bezpieczeństwa dla poszczególnych grup informacji, 3. Polityki bezpieczeństwa dla wszystkich systemów przetwarzania informacji chronionych 4. szczegółowe procedury i instrukcje, regulaminy dla wszystkich użytkowników i administratorów oraz 5. standardy bezpieczeństwa dla systemów przetwarzania. ODBI 2 24

25 Polityka bezpieczeństwa Zawartość dokumentu (grupa 2) wg metodologii TISM Polityka Bezpieczeństwa Grupy Informacji chronionych. 1. Cel Należy podać, że dokument jest wypełnieniem założeń Polityki Bezpieczeństwa Informacji w stosunku do danej grupy informacji chronionych 2. Zakres Definicja zakresu informacji należących do danej grupy. 3. Dostęp do informacji kryteria uzyskania dostępu (role) do informacji, wymogi prawne, co do osób 4. Zarządzanie informacją lista: Administratora Informacji oraz Administratora Bezpieczeństwa Informacji. 5. Przetwarzanie informacji wymogi bezpieczeństwa dla systemów przetwarzania informacji danej grupy 6. Archiwizowanie informacji zasady archiwizacji informacji z grupy, system, procedura 7. Postępowanie w sytuacjach kryzysowych zasady postępowania, priorytety w sytuacji kryzysowej Polityka bezpieczeństwa Przykład dokumentu (grupa 4) wg metodologii TISM procedura zakładania/modyfikacji/usuwania konta dostępu w systemie przetwarzania informacji chronionych. 1. CEL PROCEDURY warunki i sposób zakładania/ modyfikacji/usuwania konta w systemie. 2. WYMAGANIA Istnienie ról Główny Administrator Bezpieczeństwa Informacji (GABI), Administratorzy Informacji (AI) dla wszystkich grup informacji Administratorzy Bezpieczeństwa Informacji (ABI) Administrator Bezpieczeństwa Systemu (ABS) Administratorzy Systemu danego systemu przetwarzania. 3. ZAKRES STOSOWANIA kogo obowiązuje procedura: stanowiska i nazwa jednostki organizacyjnej. 4. OPIS Procedura ma zapewnić, że zakładanie/modyfikacja/usuwanie konta w systemie przetwarzania (nazwa) odbywać się będzie w sposób zgodny z Polityką Bezpieczeństwa Informacji. ODBI 2 25

26 Polityka bezpieczeństwa Przykład dokumentu (grupa 4) wg metodologii TISM procedura zakładania/modyfikacji/usuwania konta dostępu w systemie przetwarzania informacji chronionych. cd. 5. WEJŚCIE co stanowi początek (wniosek) 6. WYJŚCIE co stanowi zakończenie procesu.: Założone/zmodyfikowane/usunięte konto w systemie przetwarzania (nazwa). 7. STANDARD standardy postępowania oraz dokumenty Formularz wniosku o założenie/modyfikację/usuniecie Wykaz praw dostępu do informacji danego użytkownika rola dostępu Standard Przesyłania Haseł do użytkownika Rejestr Użytkowników Grupy Informacji Rejestr Użytkowników Systemu Przetwarzania Księga podpisów i pieczęci osób wnioskujących i zatwierdzających Standard Komunikacji miedzy rolami AI, ABI, ABS, AS, GABI 8. PROCES szczegółowy opis procesu zakładania/modyfikacji/usunięcia konta 9. Lista kontaktów kontakty do osób odpowiedzialnych za procedurę 10. KONIEC PROCEDURY Stopnie dojrzałości zarządzania bezpieczeństwem informacji Stopień 0 - Brak świadomości Brak zdefiniowania wymagań bezpieczeństwa bezpieczeństwo traktowane jako problem poszczególnych użytkowników ODBI 2 26

27 Stopnie dojrzałości zarządzania bezpieczeństwem informacji Stopień 1 - Początkowy świadomość potrzeby Kierownictwo uważa to za problem IT (typu: prawa dostępu, ochrona antywirusowa) Stopnie dojrzałości zarządzania bezpieczeństwem informacji Stopień 2 - Intuicyjny Próby tworzenia zabezpieczeń Brak jednolitego podejścia Efekty zależne od zaangażowania osób zainteresowanych ODBI 2 27

28 Stopnie dojrzałości zarządzania bezpieczeństwem informacji Stopień 3 - Zdefiniowany Zdefiniowane zasady (w tym Polityka bezpieczeństwa) w całej organizacji Procedury bezpieczeństwa są utrzymywane i komunikowane Brak kontroli stosowania Stopnie dojrzałości zarządzania bezpieczeństwem informacji Stopień 4 - Zarządzany Jednolite podejście dla wszystkich komórek i wszystkich rozwiązań obowiązuje perspektywa biznesu Funkcjonuje mechanizm kontroli stosowania ODBI 2 28

29 Stopnie dojrzałości zarządzania bezpieczeństwem informacji Stopień 5 - Optymalizowany świadome zarządzanie ryzykiem zgodność strategii bezpieczeństwa ze strategią biznesową Zapewnianie bezpieczeństwa jako proces (wiedza, doskonalenie) ODBI 2 29

Szkolenie. z zakresu ochrony. informacji niejawnych

Szkolenie. z zakresu ochrony. informacji niejawnych Szkolenie z zakresu ochrony informacji niejawnych Warszawa 2015 r. PODSTAWY PRAWNE, INFORMACJE OGÓLNE Ustawa z dnia 5 sierpnia 2010r. o ochronie informacji niejawnych Rozporządzenie Rady Ministrów z dnia

Bardziej szczegółowo

Promotor: dr inż. Krzysztof Różanowski

Promotor: dr inż. Krzysztof Różanowski Warszawska Wyższa Szkoła Informatyki Prezentacja do obrony pracy dyplomowej: Wzorcowa polityka bezpieczeństwa informacji dla organizacji zajmującej się testowaniem oprogramowania. Promotor: dr inż. Krzysztof

Bardziej szczegółowo

Wybrane przestępstwa komputerowe w kodeksie karnym z dnia 2 sierpnia 1997r. (na podstawie komentarza dr Andrzeja Adamskiego)

Wybrane przestępstwa komputerowe w kodeksie karnym z dnia 2 sierpnia 1997r. (na podstawie komentarza dr Andrzeja Adamskiego) Wybrane przestępstwa komputerowe w kodeksie karnym z dnia 2 sierpnia 1997r. (na podstawie komentarza dr Andrzeja Adamskiego) Informacja: - środek do służący do gromadzenia dóbr materialnych i zarządzania

Bardziej szczegółowo

Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej

Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej Wiesław Paluszyński Prezes zarządu TI Consulting Plan prezentacji Zdefiniujmy

Bardziej szczegółowo

Rodzaje danych (informacji) m.in.: Podmioty przetwarzające dane: podmioty publiczne, podmioty prywatne.

Rodzaje danych (informacji) m.in.: Podmioty przetwarzające dane: podmioty publiczne, podmioty prywatne. Rodzaje danych (informacji) m.in.: Dane finansowe Dane handlowe Dane osobowe Dane technologiczne Podmioty przetwarzające dane: podmioty publiczne, podmioty prywatne. Przetwarzane dane mogą być zebrane

Bardziej szczegółowo

Odpowiedzialność karna i służbowa za naruszenie przepisów o ochronie informacji niejawnych.

Odpowiedzialność karna i służbowa za naruszenie przepisów o ochronie informacji niejawnych. Wyciąg z Kodeksu karnego dot. przestępstw przeciwko ochronie informacji Odpowiedzialność karna i służbowa za naruszenie przepisów o ochronie informacji niejawnych. Ustawa o ochronie informacji niejawnych

Bardziej szczegółowo

Polityka bezpieczeństwa informacji Główne zagadnienia wykładu

Polityka bezpieczeństwa informacji Główne zagadnienia wykładu Polityka bezpieczeństwa informacji Główne zagadnienia wykładu Bezpieczeństwo systemów informatycznych Polityka bezpieczeństwa Zbigniew Suski 1 Polityka Bezpieczeństwa Jest zbiorem zasad i procedur obowiązujących

Bardziej szczegółowo

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski Autor: Artur Lewandowski Promotor: dr inż. Krzysztof Różanowski Przegląd oraz porównanie standardów bezpieczeństwa ISO 27001, COSO, COBIT, ITIL, ISO 20000 Przegląd normy ISO 27001 szczegółowy opis wraz

Bardziej szczegółowo

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001 Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001 na przykładzie Urzędu Miejskiego w Bielsku-Białej Gliwice, dn. 13.03.2014r. System Zarządzania Bezpieczeństwem

Bardziej szczegółowo

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO) Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO) Normy ISO 31000, ISO 27001, ISO 27018 i inne Waldemar Gełzakowski Copyright 2016 BSI. All rights reserved. Tak było Na dokumentację,

Bardziej szczegółowo

OCHRONA INFORMACJI NIEJAWNYCH

OCHRONA INFORMACJI NIEJAWNYCH Dowództwo Wojsk Obrony Terytorialnej Oddział Ochrony Informacji Niejawnych OCHRONA INFORMACJI NIEJAWNYCH TEMAT 1: Ogólne zasady ochrony informacji niejawnych. Odpowiedzialność karna, dyscyplinarna i służbowa

Bardziej szczegółowo

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO) Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO) Normy ISO 31000, ISO 27001, ISO 27018 i inne Waldemar Gełzakowski Witold Kowal Copyright 2016 BSI. All rights reserved. Tak

Bardziej szczegółowo

Krzysztof Świtała WPiA UKSW

Krzysztof Świtała WPiA UKSW Krzysztof Świtała WPiA UKSW Podstawa prawna 20 ROZPORZĄDZENIA RADY MINISTRÓW z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany

Bardziej szczegółowo

Polityka bezpieczeństwa

Polityka bezpieczeństwa Polityka bezpieczeństwa Formalny dokument opisujący strategię bezpieczeństwa. Oczekiwana zawartość: cele, standardy i wytyczne, zadania do wykonania, specyfikacja środków, zakresy odpowiedzialności. Tomasz

Bardziej szczegółowo

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI MINISTERSTWO ADMINISTRACJI I CYFRYZACJI S y s t e m Z a r z ą d z a n i a B e z p i e c z e ń s t w e m I n f o r m a c j i w u r z ę d z i e D e f i n i c j e Bezpieczeństwo informacji i systemów teleinformatycznych

Bardziej szczegółowo

Podstawy organizacji systemów zarządzania bezpieczeństwem informacji dokumenty podstawowe

Podstawy organizacji systemów zarządzania bezpieczeństwem informacji dokumenty podstawowe Podstawy organizacji systemów zarządzania bezpieczeństwem informacji dokumenty podstawowe Autor Anna Papierowska Praca magisterska wykonana pod opieką dr inż. Dariusza Chaładyniaka mgr inż. Michała Wieteski

Bardziej szczegółowo

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk dr T Bartosz Kalinowski 17 19 września 2008, Wisła IV Sympozjum Klubu Paragraf 34 1 Informacja a system zarządzania Informacja

Bardziej szczegółowo

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji dr inż. Bolesław Szomański Wydział Zarządzania Politechnika Warszawska b.szomański@wz.pw.edu.pl Plan Prezentacji

Bardziej szczegółowo

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ ODJ KRAKÓW

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ ODJ KRAKÓW POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ ODJ KRAKÓW I. Podstawa prawna Polityka Bezpieczeństwa została utworzona zgodnie z wymogami zawartymi w ustawie z dnia 29 sierpnia 1997r.

Bardziej szczegółowo

Warszawa, dnia 28 czerwca 2012 r. Poz. 93

Warszawa, dnia 28 czerwca 2012 r. Poz. 93 Warszawa, dnia 28 czerwca 2012 r. ZARZĄDZENIE MINISTRA SPRAWIEDLIWOŚCI z dnia 27 czerwca 2012 r. w sprawie wprowadzenia Polityki Bezpieczeństwa Informacji Ministerstwa Sprawiedliwości i sądów powszechnych

Bardziej szczegółowo

Regulacje prawne. Artur Sierszeń

Regulacje prawne. Artur Sierszeń Regulacje prawne Artur Sierszeń asiersz@kis.p.lodz.pl http://bzyczek.kis.p.lodz.pl Regulacje prawne Wymienione zastaną regulacje prawne związane z bezpieczeństwem systemów teleinformatycznych Poza wymienionymi

Bardziej szczegółowo

KOMENDA WOJEWÓDZKA POLICJI W POZNANIU PCZOŚĆ KOMPUTEROWA

KOMENDA WOJEWÓDZKA POLICJI W POZNANIU PCZOŚĆ KOMPUTEROWA KOMENDA WOJEWÓDZKA POLICJI W POZNANIU PRZESTĘPCZO PCZOŚĆ KOMPUTEROWA POZNAŃ, LISTOPAD 2007 AGENDA CO TO JEST PRZESTĘPSTWO RODZAJE PRZESTĘPSTW KOMPUTEROWYCH PRZESTĘPSTWA POPEŁNIANE PRZY UśYCIU KOMPUTERA

Bardziej szczegółowo

Zarządzanie bezpieczeństwem informacji w świetle zmian w prawie po 2014 roku

Zarządzanie bezpieczeństwem informacji w świetle zmian w prawie po 2014 roku Zarządzanie bezpieczeństwem informacji w świetle zmian w prawie po 2014 roku Cele szkolenia - wykazanie roli MBI w organizacji, - określenie i prezentacja zróżnicowanych struktur ochrony informacji w jednostkach

Bardziej szczegółowo

Normalizacja dla bezpieczeństwa informacyjnego

Normalizacja dla bezpieczeństwa informacyjnego Normalizacja dla bezpieczeństwa informacyjnego J. Krawiec, G. Ożarek Kwiecień, 2010 Plan wystąpienia Ogólny model bezpieczeństwa Jak należy przygotować organizację do wdrożenia systemu zarządzania bezpieczeństwem

Bardziej szczegółowo

Na czym polega planowanie ochrony informacji niejawnych w jednostce organizacyjnej?

Na czym polega planowanie ochrony informacji niejawnych w jednostce organizacyjnej? dr Agata Lasota - Jądrzak ekspert ds. bezpieczeństwa informacji ZPP Wielkopolska Na czym polega planowanie ochrony informacji niejawnych w jednostce organizacyjnej? Planowanie ochrony informacji niejawnych

Bardziej szczegółowo

Prawne instrumenty zapobiegania cyberatakom i wyciekom informacji

Prawne instrumenty zapobiegania cyberatakom i wyciekom informacji Prawne instrumenty zapobiegania cyberatakom i wyciekom informacji r.pr. Agnieszka Wachowska apl. radc. Joanna Jastrząb Warszawa, dnia 6 kwietnia 2017r. Plan wystąpienia 1. Podstawowe zagadnienia dot. cyberbezpieczeństwa

Bardziej szczegółowo

OCHRONA INFORMACJI NIEJAWNYCH

OCHRONA INFORMACJI NIEJAWNYCH OCHRONA INFORMACJI NIEJAWNYCH Zasady ochrony informacji niejawnych w Polsce określa ustawa z dnia 5 sierpnia 2010r o ochronie informacji niejawnych, która weszła w życie 2 stycznia 2011r. (t.j. Dz. U.

Bardziej szczegółowo

Rektora-Komendanta Szkoły Głównej Służby Pożarniczej. z dnia 9 lipca 2008 r. w sprawie ustalenia Polityki Bezpieczeństwa Informacji w SGSP

Rektora-Komendanta Szkoły Głównej Służby Pożarniczej. z dnia 9 lipca 2008 r. w sprawie ustalenia Polityki Bezpieczeństwa Informacji w SGSP ZARZĄDZENIE NR 33/08 Rektora-Komendanta Szkoły Głównej Służby Pożarniczej z dnia 9 lipca 2008 r. w sprawie ustalenia Polityki Bezpieczeństwa Informacji w SGSP Na podstawie 16 Regulaminu organizacyjnego

Bardziej szczegółowo

Uchwała wchodzi w życie z dniem uchwalenia.

Uchwała wchodzi w życie z dniem uchwalenia. Uchwała nr 1412/19 Zarządu Głównego Społecznego Towarzystwa Oświatowego z dnia 16 marca 2019 r. w sprawie przyjęcia Polityki bezpieczeństwa danych osobowych Społecznego Towarzystwa Oświatowego. Zarząd

Bardziej szczegółowo

Zarządzanie bezpieczeństwem informacji przepisy prawa a normy

Zarządzanie bezpieczeństwem informacji przepisy prawa a normy Zarządzanie bezpieczeństwem informacji przepisy prawa a normy Dr inż. Grażyna Ożarek UKSW, Warszawa, Listopad 2015 Dr inż. Grażyna Ożarek Projekt Badawczo- Rozwojowy realizowany na rzecz bezpieczeństwa

Bardziej szczegółowo

Audyt procesu zarządzania bezpieczeństwem informacji. Prowadzący: Anna Słowińska audytor wewnętrzny

Audyt procesu zarządzania bezpieczeństwem informacji. Prowadzący: Anna Słowińska audytor wewnętrzny Audyt procesu zarządzania bezpieczeństwem informacji Prowadzący: Anna Słowińska audytor wewnętrzny Audyt wewnętrzny Definicja audytu wewnętrznego o o Art. 272.1. Audyt wewnętrzny jest działalnością niezależną

Bardziej szczegółowo

Zagrożenia w Internecie z akcentem na ochronę i dochodzenie praw. Diagnoserw Dawid Stramowski, Chrząstowo 4, 89-100 Nakło Nad Notecią

Zagrożenia w Internecie z akcentem na ochronę i dochodzenie praw. Diagnoserw Dawid Stramowski, Chrząstowo 4, 89-100 Nakło Nad Notecią Zagrożenia w Internecie z akcentem na ochronę i dochodzenie praw W przypadku cyberprzemocydostępne są dwie drogi ochrony prawnej: karna i cywilna. Należy pamiętać, że: w przypadku cyberprzemocy w stosunku

Bardziej szczegółowo

Szkolenie otwarte 2016 r.

Szkolenie otwarte 2016 r. Warsztaty Administratorów Bezpieczeństwa Informacji Szkolenie otwarte 2016 r. PROGRAM SZKOLENIA: I DZIEŃ 9:00-9:15 Powitanie uczestników, ustalenie szczególnie istotnych elementów warsztatów, omówienie

Bardziej szczegółowo

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC 27001 oraz BS 25999 doświadczenia audytora

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC 27001 oraz BS 25999 doświadczenia audytora Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC 27001 oraz BS 25999 doświadczenia audytora Krzysztof Wertejuk audytor wiodący ISOQAR CEE Sp. z o.o. Dlaczego rozwiązania

Bardziej szczegółowo

Przegląd rodzajów ataków hackerskich

Przegląd rodzajów ataków hackerskich Warszawa dn. 19.10.2016 Przegląd rodzajów ataków hackerskich Opracował: mgr inż. Ryszard Piotrowski Wstęp Pociąg ludzi do zła ujawnia się zwłaszcza tam, gdzie pojawia się nowa technologia Stanisław LEM

Bardziej szczegółowo

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek CO ZROBIĆ ŻEBY NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek ŹRÓDŁA PRAWA REGULUJĄCEGO ZASADY PRZETWARZANIA DANYCH OSOBOWYCH ŹRÓDŁA PRAWA REGULUJĄCEGO ZASADY PRZETWARZANIA DANYCH

Bardziej szczegółowo

Bezpieczeństwo informacji i usług w nowoczesnej instytucji i firmie / Andrzej Białas. Wyd. 2, 1 dodr. Warszawa, Spis treści

Bezpieczeństwo informacji i usług w nowoczesnej instytucji i firmie / Andrzej Białas. Wyd. 2, 1 dodr. Warszawa, Spis treści Bezpieczeństwo informacji i usług w nowoczesnej instytucji i firmie / Andrzej Białas. Wyd. 2, 1 dodr. Warszawa, 2017 Spis treści Od Autora 15 1. Wstęp 27 1.1. Bezpieczeństwo informacji i usług a bezpieczeństwo

Bardziej szczegółowo

Dz.U Nr 18 poz. 162 ROZPORZĄDZENIE PREZESA RADY MINISTRÓW

Dz.U Nr 18 poz. 162 ROZPORZĄDZENIE PREZESA RADY MINISTRÓW Kancelaria Sejmu s. 1/5 Dz.U. 1999 Nr 18 poz. 162 ROZPORZĄDZENIE PREZESA RADY MINISTRÓW z dnia 25 lutego 1999 r. w sprawie podstawowych wymagań bezpieczeństwa systemów i sieci teleinformatycznych. Na podstawie

Bardziej szczegółowo

Bezpieczeństwo danych i systemów informatycznych. Wykład 1

Bezpieczeństwo danych i systemów informatycznych. Wykład 1 Bezpieczeństwo danych i systemów informatycznych Wykład 1 1. WPROWADZENIE 2 Bezpieczeństwo systemu komputerowego System komputerowy jest bezpieczny, jeśli jego użytkownik może na nim polegać, a zainstalowane

Bardziej szczegółowo

Maciej Byczkowski ENSI 2017 ENSI 2017

Maciej Byczkowski ENSI 2017 ENSI 2017 Znaczenie norm ISO we wdrażaniu bezpieczeństwa technicznego i organizacyjnego wymaganego w RODO Maciej Byczkowski Nowe podejście do ochrony danych osobowych w RODO Risk based approach podejście oparte

Bardziej szczegółowo

ZARZĄDZENIE NR 473/2015 PREZYDENTA MIASTA KIELCE. z dnia 29 grudnia 2015 r.

ZARZĄDZENIE NR 473/2015 PREZYDENTA MIASTA KIELCE. z dnia 29 grudnia 2015 r. ZARZĄDZENIE NR 473/2015 PREZYDENTA MIASTA KIELCE w sprawie powołania i określenia zadań Administratora Bezpieczeństwa Informacji, Administratora Systemów Informatycznych oraz Lokalnych Administratorów

Bardziej szczegółowo

Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( )

Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( ) Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( ) Dr inż. Elżbieta Andrukiewicz Przewodnicząca KT nr 182 Ochrona informacji w systemach teleinformatycznych

Bardziej szczegółowo

Prz r e z st t pczo kompu kom pu e t row ow i n i t n e t rn r e n tow i i n i t n e t le l ktu kt al u n al a

Prz r e z st t pczo kompu kom pu e t row ow i n i t n e t rn r e n tow i i n i t n e t le l ktu kt al u n al a Przestępczość komputerowa, internetowa i intelektualna Pojęcie przestępczości internetowej i charakterystyka obszarów zagroŝeń. W polskim prawie karnym brak jest definicji przestępstwa internetowego. Potocznie

Bardziej szczegółowo

1. Czym jest RODO? 2. Kluczowe zmiany wynikające z RODO. 3. Kogo dotyczy RODO?

1. Czym jest RODO? 2. Kluczowe zmiany wynikające z RODO. 3. Kogo dotyczy RODO? PROGRAM SZKOLENIA: I DZIEŃ SZKOLENIA 9:00-9:15 POWITANIE UCZESTNIKÓW SZKOLENIA. 9:15-10:30 BLOK I WSTĘPNE ZAGADNIENIA DOTYCZĄCE RODO 1. Czym jest RODO? 2. Kluczowe zmiany wynikające z RODO. 3. Kogo dotyczy

Bardziej szczegółowo

ZARZĄDZENIE Nr 20/2011

ZARZĄDZENIE Nr 20/2011 ZARZĄDZENIE Nr 20/2011 Rektora Akademii Wychowania Fizycznego im. Bronisława Czecha w Krakowie z dnia 29 sierpnia 2011 roku w sprawie organizacji i funkcjonowania ochrony informacji niejawnych oraz postępowania

Bardziej szczegółowo

Opis systemu kontroli wewnętrznej (SKW) funkcjonującego w ING Banku Hipotecznym S.A.

Opis systemu kontroli wewnętrznej (SKW) funkcjonującego w ING Banku Hipotecznym S.A. Opis systemu kontroli wewnętrznej (SKW) funkcjonującego w ING Banku Hipotecznym S.A. Jednym z elementów zarządzania Bankiem jest system kontroli wewnętrznej (SKW), którego podstawy, zasady i cele wynikają

Bardziej szczegółowo

Polityka Bezpieczeństwa jako kluczowy element systemu informatycznego. Krzysztof Młynarski Teleinformatica Krzysztof.Mlynarski@security.

Polityka Bezpieczeństwa jako kluczowy element systemu informatycznego. Krzysztof Młynarski Teleinformatica Krzysztof.Mlynarski@security. Polityka Bezpieczeństwa jako kluczowy element systemu informatycznego Krzysztof Młynarski Teleinformatica Krzysztof.Mlynarski@security.pl Główne zagadnienia referatu Pojęcie Polityki Bezpieczeństwa Ocena

Bardziej szczegółowo

MONITORING POCZTY ELEKTRONICZNEJ I INNE FORMY MONITORINGU

MONITORING POCZTY ELEKTRONICZNEJ I INNE FORMY MONITORINGU MONITORING POCZTY ELEKTRONICZNEJ I INNE FORMY MONITORINGU r.pr. Grzegorz Gołębiewski 16 kwietnia 2019 SPOSOBY MONITOROWANIA monitoring wizyjny kamery przemysłowe dostęp do pomieszczeń / przemieszczanie

Bardziej szczegółowo

Raport o usługach cloud computing w działalności ubezpieczeniowej Regulacje prawne dotyczące ubezpieczeo związane z outsourcingiem usług IT

Raport o usługach cloud computing w działalności ubezpieczeniowej Regulacje prawne dotyczące ubezpieczeo związane z outsourcingiem usług IT Raport o usługach cloud computing w działalności ubezpieczeniowej Regulacje prawne dotyczące ubezpieczeo związane z outsourcingiem usług IT Julita Zimoch-Tuchołka, radca prawny, Partner Monika Malinowska-Hyla,

Bardziej szczegółowo

Zarządzenie nr. xx / 2013 DYREKTORA Zespołu Szkół Publicznych w Kazuniu Polskim z dnia dnia miesiąca roku

Zarządzenie nr. xx / 2013 DYREKTORA Zespołu Szkół Publicznych w Kazuniu Polskim z dnia dnia miesiąca roku Zarządzenie nr. xx / 2013 DYREKTORA Zespołu Szkół Publicznych w Kazuniu Polskim z dnia dnia miesiąca roku w sprawie: wprowadzenia w życie Polityki Bezpieczeństwa oraz Instrukcji Zarządzania Systemem Informatycznym,

Bardziej szczegółowo

Plan prezentacji. Projektowanie i wdrażanie systemów zarządzania bezpieczeństwem informacji zgodnie z ISO/IEC 27003 dokumentacja ISO/IEC 27003:2010

Plan prezentacji. Projektowanie i wdrażanie systemów zarządzania bezpieczeństwem informacji zgodnie z ISO/IEC 27003 dokumentacja ISO/IEC 27003:2010 Projektowanie i wdrażanie systemów zarządzania bezpieczeństwem informacji zgodnie z ISO/IEC 27003 dokumentacja Plan prezentacji Norma ISO/IEC 27003:2010 Dokumenty wymagane przez ISO/IEC 27001 Przykładowe

Bardziej szczegółowo

Cyberprzestępczość zagrożenie dla infrastruktury krytycznej. Wybrane aspekty prawne

Cyberprzestępczość zagrożenie dla infrastruktury krytycznej. Wybrane aspekty prawne Cyberprzestępczość zagrożenie dla infrastruktury krytycznej. Wybrane aspekty prawne kom. Grzegorz Matyniak Sanok, 24 października 2013 Agenda 1.Infrastruktura krytyczna definicja, podstawowe pojęcia 2.

Bardziej szczegółowo

C Y B E R P R Z E M O C. Rodzaje zagrożeń, sposoby

C Y B E R P R Z E M O C. Rodzaje zagrożeń, sposoby C Y B E R P R Z E M O C Rodzaje zagrożeń, sposoby reagowania. D E F I N I CJA CYBERPRZEMOCY Wirtualne tyranizowanie, nękanie jest wykorzystywaniem technik informacyjnych i komunikacyjnych, np. e-mail,

Bardziej szczegółowo

Bezpieczeństwo informacji. Opracował: Mariusz Hoffman

Bezpieczeństwo informacji. Opracował: Mariusz Hoffman Bezpieczeństwo informacji Opracował: Mariusz Hoffman Akty prawne dotyczące przetwarzania i ochrony danych osobowych: Konstytucja Rzeczpospolitej Polskiej z dnia 2 kwietnia 1997 r. (Dz. U. z 1997 r. Nr

Bardziej szczegółowo

PROCEDURY BEZPIECZNEJ EKSPLOATACJI NAZWA SYSTEMU WERSJA.(NUMER WERSJI DOKUMENTU, NP. 1.0)

PROCEDURY BEZPIECZNEJ EKSPLOATACJI NAZWA SYSTEMU WERSJA.(NUMER WERSJI DOKUMENTU, NP. 1.0) pełna nazwa jednostki organizacyjnej ZATWIERDZAM... PROCEDURY BEZPIECZNEJ EKSPLOATACJI DLA SYSTEMU TELEINFORMATYCZNEGO NAZWA SYSTEMU WERSJA.(NUMER WERSJI DOKUMENTU, NP. 1.0) Pełnomocnik Ochrony Kierownik

Bardziej szczegółowo

Deklaracja Zarządu o ustanowieniu Polityki Bezpieczeństwa PLT Sp. z o.o.

Deklaracja Zarządu o ustanowieniu Polityki Bezpieczeństwa PLT Sp. z o.o. Deklaracja Zarządu o ustanowieniu Polityki Bezpieczeństwa PLT Sp. z o.o. Dokument przygotowany w oparciu o obowiązujące przepisy prawa, dot. ochrony zasobów ludzkich, materialnych i niematerialnych. Przygotował

Bardziej szczegółowo

ISO 27001. bezpieczeństwo informacji w organizacji

ISO 27001. bezpieczeństwo informacji w organizacji ISO 27001 bezpieczeństwo informacji w organizacji Czym jest INFORMACJA dla organizacji? DANE (uporządkowane, przefiltrowane, oznaczone, pogrupowane ) Składnik aktywów, które stanowią wartość i znaczenie

Bardziej szczegółowo

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH w przedsiębiorstwie QBL Wojciech Śliwka Daszyńskiego 70c, Ustroń

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH w przedsiębiorstwie QBL Wojciech Śliwka Daszyńskiego 70c, Ustroń POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH w przedsiębiorstwie QBL Wojciech Śliwka Daszyńskiego 70c, 43-450 Ustroń Administrator Danych Osobowych: Wojciech Śliwka 1. PODSTAWA PRAWNA Niniejsza Polityka

Bardziej szczegółowo

Damian Klimas Szostek Bar i Partnerzy Kancelaria Prawna

Damian Klimas Szostek Bar i Partnerzy Kancelaria Prawna Damian Klimas Szostek Bar i Partnerzy Kancelaria Prawna Społeczeństwo informacyjne Ujawnienie informacji Art. 266 1 KK Każdy kto, wbrew przepisom ustawy lub przyjętemu na siebie zobowiązaniu, ujawnia

Bardziej szczegółowo

Szkolenie. Ochrona danych osobowych

Szkolenie. Ochrona danych osobowych Szkolenie Ochrona danych osobowych Ustawa o Ochronie Danych Osobowych Art. 1. 1. Każdy ma prawo do ochrony dotyczących go danych osobowych. Art. 36a 2. Do zadań administratora ( ) należy: c) zapewnianie

Bardziej szczegółowo

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH REJESTRACJA UCZESTNIKÓW 09.00 09.05 Zapytamy o Państwa oczekiwania wobec szkolenia oraz o zagadnienia, na Wyjaśnieniu których

Bardziej szczegółowo

AGENDA. Prawne aspekty systemów pułapek. Obrona przez atak

AGENDA. Prawne aspekty systemów pułapek. Obrona przez atak AGENDA Prawne aspekty systemów pułapek Obrona przez atak TYTUŁEM WSTĘPU gospodarka oparta na wiedzy prawo nie nadąża za rozwojem techniki HONEYPOT TO Prawidłowo przygotowany honeypot jest odpowiednio skonfigurowanym

Bardziej szczegółowo

Polityka bezpieczeństwa przeznaczona dla administratora danych, który nie powołał administratora bezpieczeństwa informacji

Polityka bezpieczeństwa przeznaczona dla administratora danych, który nie powołał administratora bezpieczeństwa informacji Polityka bezpieczeństwa przeznaczona dla administratora danych, który nie powołał administratora bezpieczeństwa informacji POLITYKA BEZPIECZEŃSTWA. 1 1. PODSTAWA PRAWNA Niniejsza Polityka bezpieczeństwa

Bardziej szczegółowo

Zarządzenie nr 25 Burmistrza Kolonowskiego Z roku

Zarządzenie nr 25 Burmistrza Kolonowskiego Z roku Zarządzenie nr 25 Z 15.04.2011 roku w sprawie: ochrony danych osobowych przetwarzanych w Urzędzie Miasta i Gminy Kolonowskie Na podstawie art. 3 ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych

Bardziej szczegółowo

Polityka Bezpieczeństwa Danych Osobowych. w sklepie internetowym kozakominek.pl prowadzonym przez firmę Worldflame Sp. z o. o.

Polityka Bezpieczeństwa Danych Osobowych. w sklepie internetowym kozakominek.pl prowadzonym przez firmę Worldflame Sp. z o. o. Polityka Bezpieczeństwa Danych Osobowych w sklepie internetowym kozakominek.pl prowadzonym przez firmę Worldflame Sp. z o. o. Spis treści 1. Ogólne zasady przetwarzania danych osobowych... 3 2. Analiza

Bardziej szczegółowo

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r.

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r. Dz.U.2004.100.1024 ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych,

Bardziej szczegółowo

Reforma ochrony danych osobowych RODO/GDPR

Reforma ochrony danych osobowych RODO/GDPR Reforma ochrony danych osobowych RODO/GDPR Reforma ochrony danych osobowych (RODO/GDPR) wyzwania dla organów państwa, sektora publicznego i przedsiębiorców. Marek Abramczyk CISA, CRISC, CISSP, LA 27001,

Bardziej szczegółowo

DECYZJA RAMOWA RADY 2005/222/WSiSW z dnia 24 lutego 2005 r. w sprawie ataków na systemy informatyczne

DECYZJA RAMOWA RADY 2005/222/WSiSW z dnia 24 lutego 2005 r. w sprawie ataków na systemy informatyczne 16.3.2005 Dziennik Urzędowy Unii Europejskiej L 69/67 (Akty przyjęte na mocy Tytułu VI Traktatu o Unii Europejskiej) DECYZJA RAMOWA RADY 2005/222/WSiSW z dnia 24 lutego 2005 r. w sprawie ataków na systemy

Bardziej szczegółowo

Marcin Soczko. Agenda

Marcin Soczko. Agenda System ochrony danych osobowych a System Zarządzania Bezpieczeństwem Informacji - w kontekście normy PN-ISO 27001:2014 oraz Rozporządzenia o Krajowych Ramach Interoperacyjności Marcin Soczko Stowarzyszenie

Bardziej szczegółowo

Opis Systemu Kontroli Wewnętrznej funkcjonującego w Santander Consumer Bank S.A.

Opis Systemu Kontroli Wewnętrznej funkcjonującego w Santander Consumer Bank S.A. Opis Systemu Kontroli Wewnętrznej funkcjonującego w Santander Consumer Bank S.A. I. Cele Systemu Kontroli Wewnętrznej 1. System Kontroli Wewnętrznej stanowi część systemu zarządzania funkcjonującego w

Bardziej szczegółowo

Ochrona informacji niejawnych.

Ochrona informacji niejawnych. FRDL Centrum Szkoleniowe w Łodzi zaprasza w dniu 29 września 2017 roku na szkolenie na temat: Ochrona informacji niejawnych. Cele i korzyści ze szkolenia: Szkolenie jest spełnieniem obowiązku wynikającego

Bardziej szczegółowo

Ryzyka prawne związane z elektronicznym obiegiem informacji w firmie.

Ryzyka prawne związane z elektronicznym obiegiem informacji w firmie. Ryzyka prawne związane z elektronicznym obiegiem informacji w firmie www.kancelariajakubowski.pl Elektroniczny obieg informacji w ujęciu prawnym Obieg informacji a obieg dokumentów Obowiązek zachowania

Bardziej szczegółowo

Polityka Zarządzania Ryzykiem

Polityka Zarządzania Ryzykiem Polityka Zarządzania Ryzykiem Spis treści 1. Wprowadzenie 3 2. Cel 3 3. Zakres wewnętrzny 3 4. Identyfikacja Ryzyka 4 5. Analiza ryzyka 4 6. Reakcja na ryzyko 4 7. Mechanizmy kontroli 4 8. Nadzór 5 9.

Bardziej szczegółowo

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych Wstęp... 13 1. Wprowadzenie... 15 1.1. Co to jest bezpieczeństwo informacji?... 17 1.2. Dlaczego zapewnianie bezpieczeństwa informacji jest potrzebne?... 18 1.3. Cele, strategie i polityki w zakresie bezpieczeństwa

Bardziej szczegółowo

Polityka Bezpieczeństwa Informacji w PKP Polskie Linie Kolejowe S.A. dla Partnerów Biznesowych Spółki. SZBI-Ibi-1a

Polityka Bezpieczeństwa Informacji w PKP Polskie Linie Kolejowe S.A. dla Partnerów Biznesowych Spółki. SZBI-Ibi-1a System Zarządzania Bezpieczeństwem Informacji w PKP Polskie Linie Kolejowe S.A. Data wdrożenia SZBI: 2013-01-02 Polityka Bezpieczeństwa Informacji w PKP Polskie Linie Kolejowe S.A. dla Partnerów Biznesowych

Bardziej szczegółowo

Imed El Fray Włodzimierz Chocianowicz

Imed El Fray Włodzimierz Chocianowicz Imed El Fray Włodzimierz Chocianowicz Laboratorium Certyfikacji Produktów i Systemów Informatycznych Wydział Informatyki Katedra Inżynierii Oprogramowania Zachodniopomorski Uniwersytet Technologiczny w

Bardziej szczegółowo

Budowanie polityki bezpieczeństwa zgodnie z wymogami PN ISO/IEC 17799 przy wykorzystaniu metodologii OCTAVE

Budowanie polityki bezpieczeństwa zgodnie z wymogami PN ISO/IEC 17799 przy wykorzystaniu metodologii OCTAVE Budowanie polityki bezpieczeństwa zgodnie z wymogami PN ISO/IEC 17799 przy wykorzystaniu metodologii OCTAVE AGENDA: Plan prezentacji Wstęp Charakterystyka zagrożeń, zasobów i zabezpieczeń Założenia bezpieczeństwa

Bardziej szczegółowo

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia... r.

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia... r. projekt ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia... r. w sprawie szczegółowych warunków organizacyjnych i technicznych dla systemu teleinformatycznego służącego identyfikacji

Bardziej szczegółowo

ISO 27001 w Banku Spółdzielczym - od decyzji do realizacji

ISO 27001 w Banku Spółdzielczym - od decyzji do realizacji ISO 27001 w Banku Spółdzielczym - od decyzji do realizacji Aleksander Czarnowski AVET Information and Network Security Sp. z o.o. Agenda ISO 27001 zalety i wady Miejsce systemów bezpieczeństwa w Bankowości

Bardziej szczegółowo

CZĘŚĆ PIERWSZA WSTĘP. B. Ochrona na płaszczyźnie międzynarodowej str. 34

CZĘŚĆ PIERWSZA WSTĘP. B. Ochrona na płaszczyźnie międzynarodowej str. 34 Spis treści Wykaz skrótów str. 11 Od autorów str. 19 CZĘŚĆ PIERWSZA WSTĘP A. Wprowadzenie str. 23 B. Ochrona na płaszczyźnie międzynarodowej str. 34 I. Konwencja o ochronie praw człowieka i podstawowych

Bardziej szczegółowo

PRZEMIANY W POLSKIM SEKTORZE POCZTOWYM Łódź, 09 grudnia 2015 r.

PRZEMIANY W POLSKIM SEKTORZE POCZTOWYM Łódź, 09 grudnia 2015 r. PRZEMIANY W POLSKIM SEKTORZE POCZTOWYM Łódź, 09 grudnia 2015 r. Penalizacja naruszenia tajemnicy korespondencji jednego z podstawowych warunków usług pocztowych. Stan prawny w Polsce. Eksplikacja czynu

Bardziej szczegółowo

Szkolenie : Administrator Bezpieczeństwa Informacji (2 dni)

Szkolenie : Administrator Bezpieczeństwa Informacji (2 dni) ZRBS/45/2015 Warszawa, dnia 05.06. Szanowni Państwo, Zarząd Banku Spółdzielczego Związek Rewizyjny Banków Spółdzielczych im. F. Stefczyka realizując swoją statutową działalność przesyła ofertę na szkolenie

Bardziej szczegółowo

Ochrona informacji niejawnych w Zachodniopomorskim Uniwersytecie Technologicznym.

Ochrona informacji niejawnych w Zachodniopomorskim Uniwersytecie Technologicznym. Ochrona informacji niejawnych w Zachodniopomorskim Uniwersytecie Technologicznym. I. Informacje ogólne W rozumieniu ustawy o ochronie informacji niejawnych (Dziennik Ustaw z 2016 r. poz. 1167.) tajemnicą

Bardziej szczegółowo

SZCZEGÓŁOWY HARMONOGRAM KURSU

SZCZEGÓŁOWY HARMONOGRAM KURSU SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I - WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH REJESTRACJA UCZESTNIKÓW Zapytamy o Państwa oczekiwania wobec szkolenia oraz o zagadnienia, na wyjaśnieniu których szczególnie

Bardziej szczegółowo

2.11. Monitorowanie i przegląd ryzyka 2.12. Kluczowe role w procesie zarządzania ryzykiem

2.11. Monitorowanie i przegląd ryzyka 2.12. Kluczowe role w procesie zarządzania ryzykiem Spis treści Wstęp 1. Wprowadzenie 1.1. Co to jest bezpieczeństwo informacji? 1.2. Dlaczego zapewnianie bezpieczeństwa informacji jest potrzebne? 1.3. Cele, strategie i polityki w zakresie bezpieczeństwa

Bardziej szczegółowo

Opis systemu kontroli wewnętrznej w Polskim Banku Apeksowym S.A.

Opis systemu kontroli wewnętrznej w Polskim Banku Apeksowym S.A. Opis systemu kontroli wewnętrznej w Polskim Banku Apeksowym S.A. I. Informacje ogólne 1. Zgodnie z postanowieniami Ustawy Prawo bankowe z dnia 29 sierpnia 1997 r. (Dz.U. 1997 Nr 140 poz. 939), w ramach

Bardziej szczegółowo

Ochrona danych osobowych i informacji prawnie chronionych. OCHRONA INFORMACJI PRAWNIE CHRONIONYCH. Korzyści i obowiązki

Ochrona danych osobowych i informacji prawnie chronionych. OCHRONA INFORMACJI PRAWNIE CHRONIONYCH. Korzyści i obowiązki OCHRONA INFORMACJI PRAWNIE CHRONIONYCH. Korzyści i obowiązki Artur Górecki Prezes Zarządu STANDARDER Sp. z o.o. wdrażanie procedur ochrony danych osobowych wdrażanie Tajemnicy Przedsiębiorstwa i ochrony

Bardziej szczegółowo

AUDYT BEZPIECZEŃSTWA INFORMACJI Podstawy

AUDYT BEZPIECZEŃSTWA INFORMACJI Podstawy AUDYT BEZPIECZEŃSTWA INFORMACJI Podstawy ROZPORZĄDZENIE RADY MINISTRÓW z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji

Bardziej szczegółowo

Ochrona danych osobowych w biurach rachunkowych

Ochrona danych osobowych w biurach rachunkowych Ochrona danych osobowych w biurach rachunkowych w kontekście zmienianych przepisów prawa, w szczególności w zgodzie z RODO Prowadzi: Piotr Glen Ekspert ds. ochrony danych osobowych Administrator bezpieczeństwa

Bardziej szczegółowo

Polskie Normy w zarządzaniu bezpieczeństwem informacji

Polskie Normy w zarządzaniu bezpieczeństwem informacji Polskie Normy w zarządzaniu bezpieczeństwem informacji Normy dotyczące systemów zarządzania: Typ A - Normy zawierające wymagania dotyczące systemu zarządzania, Typ B - Normy zawierające wytyczne dotyczące

Bardziej szczegółowo

Pismo okólne Nr 31/2012/2013 Rektora Uniwersytetu Kazimierza Wielkiego z dnia 12 marca 2013 r.

Pismo okólne Nr 31/2012/2013 Rektora Uniwersytetu Kazimierza Wielkiego z dnia 12 marca 2013 r. Pismo okólne Nr 31/2012/2013 Rektora Uniwersytetu Kazimierza Wielkiego z dnia 12 marca 2013 r. w sprawie zatwierdzenia instrukcji dotyczącej sposobu i trybu przetwarzania informacji niejawnych o klauzuli

Bardziej szczegółowo

I. O P I S S Z K O L E N I A

I. O P I S S Z K O L E N I A Sektorowy Program Operacyjny Rozwój Zasobów Ludzkich Priorytet 2 Rozwój społeczeństwa opartego na wiedzy Działanie 2.3 Rozwój kadr nowoczesnej gospodarki I. O P I S S Z K O L E N I A Tytuł szkolenia Metodyka

Bardziej szczegółowo

Zasady systemu kontroli wewnętrznej w Banku Spółdzielczym. w Łubnianach

Zasady systemu kontroli wewnętrznej w Banku Spółdzielczym. w Łubnianach Załącznik nr 3 do Regulaminu systemu kontroli wewnętrznej B S w Łubnianach Zasady systemu kontroli wewnętrznej w Banku Spółdzielczym w Łubnianach Rozdział 1. Postanowienia ogólne 1 Zasady systemu kontroli

Bardziej szczegółowo

Zarządzenie Nr 38/2015 Wójta Gminy Michałowice z dnia 24 lutego 2015 roku w sprawie ustalenia wytycznych kontroli zarządczej.

Zarządzenie Nr 38/2015 Wójta Gminy Michałowice z dnia 24 lutego 2015 roku w sprawie ustalenia wytycznych kontroli zarządczej. Zarządzenie Nr 38/2015 Wójta Gminy Michałowice z dnia 24 lutego 2015 roku w sprawie ustalenia wytycznych kontroli zarządczej. Na podstawie ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych (Dz.

Bardziej szczegółowo

Agenda. Ogólne rozporządzenie o ochronie danych -RODO. Jakie działania należy podjąć, aby dostosować firmę do wymagań rozporządzenia GDPR/RODO?

Agenda. Ogólne rozporządzenie o ochronie danych -RODO. Jakie działania należy podjąć, aby dostosować firmę do wymagań rozporządzenia GDPR/RODO? Jakie działania należy podjąć, aby dostosować firmę do wymagań rozporządzenia GDPR/RODO? Maciej Byczkowski European Network Security Institute Agenda Nowy system przepisów dotyczących ochrony danych osobowych

Bardziej szczegółowo

Maciej Gawroński Maruta Wachta Sp.j. Odpowiedzialność za cyberbezpieczeństwo

Maciej Gawroński Maruta Wachta Sp.j. Odpowiedzialność za cyberbezpieczeństwo Maciej Gawroński Maruta Wachta Sp.j. Odpowiedzialność za cyberbezpieczeństwo CYBERBEZPIECZEŃSTWO to zapewnienie ciągłości działania systemów teleinformatycznych oraz bezpieczeństwa ich funkcji i informacji

Bardziej szczegółowo

ABI potrzebny i przydatny Zakres i sposób wykonywania zadań ABI w praktyce. Andrzej Rutkowski

ABI potrzebny i przydatny Zakres i sposób wykonywania zadań ABI w praktyce. Andrzej Rutkowski ABI potrzebny i przydatny Zakres i sposób wykonywania zadań ABI w praktyce Andrzej Rutkowski Stowarzyszenie Administratorów Bezpieczeństwa Informacji Agenda 1. Pozytywy nowelizacji u.o.d.o. z 7 listopada

Bardziej szczegółowo

Powiązania norm ISO z Krajowymi Ramami Interoperacyjności i kontrolą zarządczą

Powiązania norm ISO z Krajowymi Ramami Interoperacyjności i kontrolą zarządczą Powiązania norm ISO z Krajowymi Ramami Interoperacyjności i kontrolą zarządczą Punkt widzenia audytora i kierownika jednostki Agnieszka Boboli Ministerstwo Finansów w 22.05.2013 r. 1 Agenda Rola kierownika

Bardziej szczegółowo

dr hab. prof. UO DARIUSZ SZOSTEK Kancelaria Szostek-Bar i Partnerzy RODO a cyberbezpieczeństwo

dr hab. prof. UO DARIUSZ SZOSTEK Kancelaria Szostek-Bar i Partnerzy RODO a cyberbezpieczeństwo dr hab. prof. UO DARIUSZ SZOSTEK Kancelaria Szostek-Bar i Partnerzy RODO a cyberbezpieczeństwo RODO a cyberbezpieczeństo ROZPORZĄDZENIE RODO Projekt ustawy o krajowym systemie cyberbezpieczeństwa 25 maja

Bardziej szczegółowo

Polityka Bezpieczeństwa Informacji w PKP Polskie Linie Kolejowe S.A. dla Partnerów Biznesowych Spółki. SZBI-Ibi-1a

Polityka Bezpieczeństwa Informacji w PKP Polskie Linie Kolejowe S.A. dla Partnerów Biznesowych Spółki. SZBI-Ibi-1a System Zarządzania Bezpieczeństwem Informacji w PKP Polskie Linie Kolejowe S.A. Data wdrożenia SZBI: 2013-01-02 Polityka Bezpieczeństwa Informacji w PKP Polskie Linie Kolejowe S.A. dla Partnerów Biznesowych

Bardziej szczegółowo