XXIII Międzynarodowy Kongres Otwartego Systemu Ochrony Zdrowia

Podobne dokumenty
CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

Zabezpieczenia zgodnie z Załącznikiem A normy ISO/IEC 27001

Radca Prawny Anna Matusiak-Wekiera. Kancelaria Radcy Prawnego Anna Matusiak-Wekiera

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Agenda. Ogólne rozporządzenie o ochronie danych -RODO. Jakie działania należy podjąć, aby dostosować firmę do wymagań rozporządzenia GDPR/RODO?

Ochrona danych osobowych w biurach rachunkowych

ZAŁĄCZNIK NR 2. Polityka Ochrony Danych Osobowych w Przedsiębiorstwie Wodociągów i Kanalizacji Spółka z ograniczoną odpowiedzialnością w Ełku.

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

PRELEGENT Przemek Frańczak Członek SIODO

Ochrona danych osobowych w biurach rachunkowych

2.11. Monitorowanie i przegląd ryzyka Kluczowe role w procesie zarządzania ryzykiem

Unijne rozporządzenie o ochronie danych osobowych (RODO) konsekwencje dla centrów danych. Kraków, dnia 22 lutego 2017 r.

RODO W ORGANIZACJI- JAK PRAWIDŁOWO PRZYGOTOWAĆ SIĘ ORAZ UNIKNĄĆ KAR PIENIĘŻNYCH

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych

Nowe przepisy i zasady ochrony danych osobowych

Maciej Byczkowski ENSI 2017 ENSI 2017

SZCZEGÓŁOWY HARMONOGRAM KURSU

1. Czym jest RODO? 2. Kluczowe zmiany wynikające z RODO. 3. Kogo dotyczy RODO?

Polityka Bezpieczeństwa Danych Osobowych. w sklepie internetowym kozakominek.pl prowadzonym przez firmę Worldflame Sp. z o. o.

I. Postanowienia ogólne

Jakie są podstawowe obowiązki wynikające z ustawy o ochronie danych osobowych?

Ochrona danych osobowych w organizacjach pozarządowych (od 25 maja 2018)

Umowa wzajemnego powierzenia przetwarzania danych przy realizacji zlecenia transportowego

PARTNER.

RODO. Nowe prawo w zakresie ochrony danych osobowych. Radosław Wiktorski

Data Protection Impact Assessment (DPIA) Metodyka zarządzania ryzykiem w ochronie danych osobowych. Warszawa 2017

1) przetwarzanie danych osobowych zgodnie z podstawowymi zasadami określonymi w

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora

Monitorowanie systemów IT

Nadzór nad przetwarzaniem danych osobowych zgodnie z RODO

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ ODJ KRAKÓW

Marcin Soczko. Agenda

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r.

Samodzielnym Publicznym Szpitalu Klinicznym Nr 1 im. Prof. Stanisława Szyszko w Zabrzu Śląskiego Uniwersytetu Medycznego w Katowicach

Polityka Ochrony Danych Osobowych w Szkole Podstawowej nr 1 w Siemiatyczach

Prelegent : Krzysztof Struk Stanowisko: Analityk

RODO w praktyce psychologicznej. adw. dr Maciej Bocheński Uniwersytet Jagielloński Krakowska Izba Adwokacka

Przemysław Bańko Dyrektor ds. Bezpieczeństwa Smart In

Polityka Bezpieczeństwa Informacji. Tomasz Frąckiewicz T-Matic Grupa Computer Plus Sp. z o.o.

ZARZĄDZENIE NR 03/2017 DYREKTORA SZKOŁY PODSTAWOWEJ Z ODDZIAŁAMI INTEGRACYJNYMI NR 20 im. HARCERZY BUCHALIKÓW w RYBNIKU z dnia r.

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI (1) z dnia 29 kwietnia 2004 r.

Obowiązki lekarza, lekarza dentysty wykonującego działalność leczniczą w ramach praktyki zawodowej związane z ochroną danych osobowych

Program. Polexpert - informacje o szkoleniu. Kod szkolenia: Miejsce: Kraków, Centrum miasta. Koszt szkolenia: zł

Bezpieczeństwo danych przechowywanych przez 16E sp. z o.o. nazywanej dalej Archivodata.

Wydanie 1.0. Metodyka zarządzania ryzykiem w ochronie danych osobowych

PORADNIK PRAWNY DOTYCZĄCY STOSOWANIA W APTECE PRZEPISÓW RODO

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

Wdrożenie wymagań RODO w organizacji niezbędne czynności i harmonogram ich realizacji

UMOWA powierzenia przetwarzania danych osobowych, zwana dalej Umową

UMOWA O POWIERZENIU PRZETWARZANIA DANYCH OSOBOWYCH

w Grupie 3S REGULAMIN PRZETWARZANIA DANYCH OSOBOWYCH

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

ZESPÓŁ SZKÓŁ TECHNICZNYCH we Włocławku, ul. Ogniowa 2 PROCEDURA ALARMOWA PROCEDURA POSTĘPOWANIA W PRZYPADKU NARUSZENIA DANYCH OSOBOWYCH

ISO/IEC 27001:2014 w Urzędzie Miasta Płocka Kategoria informacji: informacja jawna. Bezpieczeństwo informacji w Urzędzie Miasta Płocka

Realizacja zasady integralności danych w zatrudnieniu zgodnie z podejściem PbD

RODO w spółkach jak przygotować się do nowych unijnych przepisów o ochronie danych

Przykład klauzul umownych dotyczących powierzenia przetwarzania

Dane osobowe w stacji demontażu. Marcin Witaszek Polski Związek Przemysłu Motoryzacyjnego

rodo. naruszenia bezpieczeństwa danych

ADMINISTRACJI z dnia 1 września 2017 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych

POLITYKA OCHRONY DANYCH OSOBOWYCH W MIEJSKO-GMINNYM OŚRODKU POMOCY SPOŁECZNEJ W WIERUSZOWIE

RODO w praktyce JST czas: 353 dni. Michał Jaworski Członek Zarządu Microsoft sp. z o.o.

Polityka Bezpieczeństwa w zakresie przetwarzania danych osobowych

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI

POLITYKA BEZPIECZEŃSTWA INFORMACJI. Heksagon sp. z o.o. z siedzibą w Katowicach. (nazwa Administratora Danych)

Polityka Ochrony Danych Osobowych w Szkole Podstawowej im. Księdza Jana Siuzdaka w Wołkowyi

Ochrona danych osobowych, co zmienia RODO?

ZAŁĄCZNIK SPROSTOWANIE

XVI Forum Szpitali Ochrona danych osobowych w kontekście wejścia w życie unijnych regulacji

Audyt procesu zarządzania bezpieczeństwem informacji. Prowadzący: Anna Słowińska audytor wewnętrzny

Deklaracja stosowania

Umowa nr... powierzenia przetwarzania danych osobowych.... zwanym dalej Administratorem danych,... zwanym dalej Przetwarzającym,

Umowa powierzenia przetwarzania danych osobowych

! POLITYKA OCHRONY DANYCH OSOBOWYCH W KANCELARII KANCELARIA ADWOKATA ŁUKASZA DOLIŃSKIEGO

WZÓR UMOWA O POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH

Polityka Ochrony Danych Osobowych

POLITYKA BEZPIECZEŃSTWA

Załącznik nr 5 do Polityki bezpieczeństwa

Ograniczenia w wykorzystywaniu baz danych związane ze zautomatyzowanym przetwarzaniem danych oraz wykorzystaniem chmury obliczeniowej w świetle RODO

POLITYKA BEZPIECZEŃSTWA. Wykaz zbiorów danych oraz programów zastosowanych do przetwarzania danych osobowych.

Załącznik nr 1 do zarządzenia nr 30/2016/2017 Procedura zarządzania ryzykiem w bezpieczeństwie informacji

Umowa nr TXU/TXXI/INNE/ /2018 powierzenia przetwarzania danych osobowych

Dane osobowe w data center

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji

POLITYKA BEZPIECZEŃSTWA

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SZKOLE PODSTAWOWEJ W CHRUŚLINIE

Rola inspektora ochrony danych w zabezpieczeniu systemu informatycznego. Podejście oparte na ryzyku

UMOWA O POWIERZENIE PRZETWARZANIA DANYCH

Dane osobowe w hotelarstwie Czy RODO to rewolucja? Gdańsk 21 listopada

DEKLARACJA STOSOWANIA

2. Proces tworzenie wewnętrznego systemu ochrony danych osobowych przedsiębiorcy. 3. Postanowienia dyrektywy 95/46/WE, które pozostaną aktualne

Instrukcja zarządzania RODO. w Liceum Ogólnokształcącym im. Komisji Edukacji Narodowej w Gogolinie

Umowa powierzenia danych

Polityka Ochrony Danych Osobowych w Akademii Wychowania Fizycznego im. Eugeniusza Piaseckiego w Poznaniu

POLITYKA BEZPIECZEŃSTWA SYSTEMÓW INFORMATYCZNYCH SŁUŻĄCYCH DO PRZETWARZNIA DANYCH OSOBOWYCH W URZĘDZIE GMINY DĄBRÓWKA

Polityka bezpieczeństwa i instrukcja zarządzania czy trzeba je prowadzić zgodnie z RODO

Deklaracja stosowania

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH. nr./2018

Transkrypt:

XXIII Międzynarodowy Kongres Otwartego Systemu Ochrony Zdrowia Jak opracować skuteczną strategię ochrony danych osobowych w podmiotach leczniczych analiza ryzyka i praktyczne wskazówki w zakresie doboru zabezpieczeń. Katowice 2018/04/24

RODO - ewolucja czy rewolucja? UODO Art. 7. Ilekroć w ustawie jest mowa o: zabezpieczeniu danych w systemie informatycznym - rozumie się przez to wdrożenie i eksploatację stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem; Art. 36. 1. Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. 2. Administrator danych prowadzi dokumentację opisującą sposób przetwarzania danych oraz środki, o których mowa w ust. 1.

RODO Artykuł 24 Obowiązki administratora 1.Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane. 2.Jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania, środki, o których mowa w ust. 1, obejmują wdrożenie przez administratora odpowiednich polityk ochrony danych.

Ochrona praw i wolności osób fizycznych w związku z przetwarzaniem danych osobowych wymaga wdrożenia odpowiednich środków technicznych i organizacyjnych, by zapewnić spełnienie wymogów rozporządzenia. Aby móc wykazać przestrzeganie rozporządzenia, administrator powinien przeprowadzić ocenę skutków dla ochrony danych - analizę ryzyka przetwarzania danych pod kątem zidentyfikowanych podatności i przyczyn związanych z powstawaniem incydentów bezpieczeństwa w zakresie przetwarzania danych osobowych szczególnej kategorii.

Zarządzanie ochroną danych osobowych oparte na ryzyku ma na celu: a) zapewnienie zdolności do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania; b) definiowanie i wdrażanie odpowiednich środków technicznych i organizacyjnych, zapewniający adekwatny stopień bezpieczeństwa odpowiadający ryzyku; c) ocenę czy stopień bezpieczeństwa jest odpowiedni, uwzględniając ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Zgodnie z dobrymi praktykami oraz opinią Grupy Roboczej ds. Ochrony danych 29 14/EN WP 218, zaleca się by zarządzanie ryzykiem w ochronie danych osobowych zapewniało: a) zidentyfikowanie operacji przetwarzania danych osobowych o wysokim ryzyku naruszenia praw lub wolności osób fizycznych; b) oszacowanie ryzyka z punktu widzenia operacji przetwarzania tzn. czy są niezbędne oraz proporcjonalne w stosunku do celów przetwarzania; c) oszacowanie ryzyka z punktu widzenia ich skutków urzeczywistnienia ryzyka naruszenia praw lub wolności osób fizycznych oraz prawdopodobieństwa ich wystąpienia; d) postępowanie z ryzykiem w celu zredukowania ryzyka; e) informowanie o ryzyku interesariuszy i konsultacje eksperckie; monitorowanie i przegląd ryzyka oraz procesu zarządzania ryzykiem.

Aby poprawić przestrzeganie RODO, gdy operacje przetwarzania mogą wiązać się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych, należy zobowiązać administratora do dokonania oceny skutków dla ochrony danych w celu oszacowania w szczególności źródła, charakteru, specyfiki i powagi tego ryzyka. Wyniki oceny należy uwzględnić przy określaniu odpowiednich środków, które należy zastosować, by wykazać, że przetwarzanie danych osobowych odbywa się zgodnie z niniejszym rozporządzeniem. Jeżeli ocena skutków dla ochrony danych wykaże, że operacje przetwarzania powodują wysokie ryzyko, którego administrator nie może zminimalizować odpowiednimi środkami z punktu widzenia dostępnej technologii i kosztów wdrożenia, przed przetwarzaniem należy skonsultować się z organem nadzorczym.

W przypadkach, w których nie jest jasne, czy wymagane jest przeprowadzenie oceny skutków dla ochrony danych, zaleca się jednak przeprowadzenie tej oceny, ponieważ stanowi ona narzędzie ułatwiające administratorowi przestrzeganie przepisów o ochronie danych. Niespełnienia warunków nakładających obowiązek przeprowadzenia oceny skutków dla ochrony danych nie zmniejsza jednak ogólnego obowiązku wdrożenia przez administratorów środków umożliwiających odpowiednie zarządzanie ryzykiem naruszenia prawa i wolności osób, których dane dotyczą Oceny skutków dla ochrony danych może być przeprowadzona przez inny podmiot wybrany przez Administratora danych, jednak ostateczną odpowiedzialność za wykonanie tego zadania odpowiada Administrator danych. Jeżeli proces przetwarzania jest całkowicie lub częściowo realizowany przez podmiot przetwarzający dane, podmiot przetwarzający na mocy umowy powierzenia pomaga administratorowi danych w przeprowadzeniu oceny skutków dla ochrony danych i dostarcza wszelkich niezbędnych informacji.

Grupy danych chronionych: Dane osobowe pracowników medycznych Dane osobowe usługodawców Dane osobowe usługobiorców (bez danych medycznych) Jednostkowe dane medyczne Dane uwierzytelniające użytkowników Dane uwierzytelniające administratorów biznesowych Dane uwierzytelniające administratorów technicznych Materiał kryptograficzny Dane uwierzytelniające i autoryzacyjne: silniki bazodanowe, systemy operacyjne (maszyn fizycznych i wirtualnych), serwery aplikacji

Procesy operacyjne - obsługa pacjentów profilaktyki zdrowotnej medycyny pracy, w tym oceny zdolności pracownika do pracy diagnozy medycznej i leczenia zapewnienia opieki zdrowotnej oraz zarządzania systemami i usługami opieki zdrowotnej opieka szpitalna zapewnienia opieki zdrowotnej oraz zarządzania systemami i usługami opieki zdrowotnej opieka ambulatoryjna zapewnienia zabezpieczenia społecznego oraz zarządzania systemami i usługami zabezpieczenia społecznego Przetwarzanie danych w celach marketingowych Przetwarzanie danych w celach prowadzenia badań klinicznych Przetwarzanie w celach profilowania i automatycznego podejmowania decyzji

Procesy wspomagające kadry przetwarzanie w celach rekrutacyjnych, zatrudnienia pracownika księgowość przetwarzanie w celach zarządzania finansowego jednostką ochrona fizyczna - Przetwarzanie w celach zapewnienie bezpieczeństwa osób, danych i mienia w obszarze objętym ochroną fizyczną IT - Przetwarzanie w celach zapewnienie ciągłości działania oraz bezpieczeństwa danych Monitoring wizyjny - Przetwarzanie w celach zapewnienie bezpieczeństwa osób, danych i mienia w obszarze objętym monitoringiem

Zagrożenia i podatności Zagrożenia i podatności uzależnione są kontekstu organizacyjnego podmiotu i między innymi mogą dotyczyć: Organizacja Personel Lokalizacja Sprzęt i nośniki Oprogramowanie i sieć

Zagrożenia i podatności Uwierzytelnienie użytkowników w systemach teleinformatycznych Nieuprawniony dostęp przez użytkowników Nieuprawniony dostęp przez osoby z zewnątrz organizacji Nieuprawnione wykorzystanie aplikacji przetwarzającej dane osobowe Możliwość uszkodzenia lub wprowadzenia do systemu destrukcyjnego oprogramowania obejmującego np. wirusy, lub inne "złośliwe oprogramowanie Nadużywanie zasobów Infiltracja komunikacji elektronicznej Przechwycenie komunikacji Brak niezaprzeczalności Błąd połączenia Osadzanie kodu złośliwego Przekierowanie połączenia Awaria techniczna systemu lub infrastruktury sieciowej Awaria środowiska wsparcia Awaria systemu lub oprogramowania sieciowego Awaria oprogramowania aplikacji Błędne operacje Odzyskiwanie po awarii (w tym tworzenia kopii zapasowych i przywracania systemów) Błąd konserwacji Błąd użytkownika Kradzież przez użytkowników w tym kradzież sprzętu lub danych Samowolne uszkodzenia przez użytkowników Terroryzm.

Katalog skutków Lp. Katalog skutków naruszenia praw i wolności osób fizycznych 1 Dyskryminacja 2 Kradzież tożsamości lub oszustwo dotyczące tożsamości 3 Strata finansowa 4 Naruszenie dobrego imienia 5 Naruszenie poufności danych osobowych chronionych tajemnicą zawodową 6 Nieuprawnione odwrócenie pseudonimizacji 7 Wszelka inna znacząca szkoda gospodarcza lub społeczna

Skutki Kategoria skutków Skala poziomu skutków 1 - pomijalne 2 niskie 3 średnie 4 wysokie Ocena skutków naruszenia praw i wolności osób fizycznych Szum medialny, np. z powodu ujawnienia danych niepodlegających ochronie prawnej. Nałożenie kar ustawowych w dolnej granicy kary. Koszty nielicznych procesów sądowych (obsługa prawna, informacyjna, odszkodowania). Skutki mogą prowadzić do uszczerbku fizycznego, szkód majątkowych lub niemajątkowych dla osób fizycznych, jednakże nie są one wysokie. Wysokie ustawowe kary pieniężne. Koszty kilkudziesięciu procesów sądowych (obsługa prawna, informacyjna, odszkodowania). Kontrole i kary UODO. Skutki mogą prowadzić do wysokiego uszczerbku fizycznego, szkód majątkowych lub niemajątkowych dla osób fizycznych Zagrożenie ustawową karą pozbawienia wolności. Koszty kilkuset procesów sądowych (obsługa prawna, informacyjna, odszkodowania). Kontrole organów ścigania.

Prawdopodobieństwo materializacji zagrożenia Wartość (P) Nazwa Opis Ocena prawdopodobieństwa wystąpienia zagrożenia 5 Niemal pewne Istnieją racjonalne przesłanki by ocenić, że zagrożenie zmaterializuje się w najbliższym czasie (prawie na 90%). 4 Wysoce prawdopodobne Istnieją racjonalne przesłanki by ocenić, że zagrożenie raczej się zmaterializuje, istnieje więcej niż połowa szans na wystąpienie. Materializowało się w przeciągu ostatniego roku. 3 Bardzo prawdopodobne Wystąpienie zagrożenia jest realne, lecz nie przekracza 50% prawdopodobieństwa. Materializowało się sporadycznie w przeszłości (w ciągu ostatnich 2 lat) 2 Średnio prawdopodobne Zagrożenie może wystąpić sporadycznie. Materializowało się sporadycznie w przeszłości (w ciągu ostatnich 3 lat). 1 Mało prawdopodobne Zagrożenie raczej nie wystąpi lub możliwość jego wystąpienia jest znikoma (bliska zeru). Zagrożenie nie materializowało się w przeszłości.

RYZYKO R = S P gdzie: R - Ocena powagi ryzyka naruszenia praw i wolności osób fizycznych S- Ocena skutków naruszenia praw i wolności osób fizycznych P- Ocena prawdopodobieństwa urzeczywistnienia się zagrożenia

Ocena skutków RYZYKO i WAGA Ocena prawdopodobieństwa 1 2 3 4 5 1 1 2 3 4 5 2 2 4 6 8 10 3 3 6 9 12 15 4 4 8 12 16 20 Wielkość ryzyka 1-6 8-20 Sposób postępowania Wskazane skutki w kontekście urzeczywistnienia się analizowanego zagrożenia nie występują. Ryzyka akceptowane, niewymagające dalszego postępowania. Ryzyka nieakceptowane, wymagające zastosowania postępowania z ryzykiem. Ryzyka, które powinny być kompensowane wszystkimi możliwymi zabezpieczeniami, adekwatnie do potencjalnych kosztów rekompensaty. Powinny być możliwie stale monitorowane w całym okresie przetwarzania danych.

ZAGROŻENIA I PODATNOŚCI/ Działanie minimalizujące Polityka bezpieczeństwa Role i odpowiedzialności Procedury nadawania i odbierania uprawnień do systemów Polityki i procedury przekazywania informacji Polityka czystego biurka i czystego ekranu Polityka kontroli dostępu Procedury logowania Zabezpieczanie aplikacji usługowych w sieciach publicznych Ochrona informacji zawartych w dziennikach Odebranie lub dostosowanie praw dostępu Zarządzanie uprzywilejowanymi prawami dostępu Bezpieczeństwo w umowach z dostawcami Polityka bezpieczeństwa informacji w relacjach z dostawcami Polityka korzystania z zabezpieczeń kryptograficznych Rejestrowanie zdarzeń Zabezpieczenia przed oprogramowaniem malware Rozdzielanie środowisk rozwojowych, testowych i eksploatacyjnych Ochrona transakcji usług aplikacyjnych i Zarządzanie podatnościami technicznymi Zarządzanie kluczami kryptograficznymi Zabezpieczenia sieci Bezpieczeństwo usług sieciowych Rozdzielanie sieci Kopie zapasowe informacji Wdrażanie ciągłości bezpieczeństwa informacji Zasady budowy bezpiecznego systemu Lokalizacja i ochrona sprzętu Fizyczna granica obszaru bezpiecznego Instalacja oprogramowania w systemach operacyjnych Bezpieczeństwo sprzętu i aktywów poza siedzibą Pozostawienie sprzętu użytkownika bez opieki Zabezpieczanie biur, pomieszczeń i urządzeń Zabezpieczenia wejścia fizycznego Dostęp do sieci i usług sieciowych Procedury zarządzania zmianą w systemie Polityka bezpieczeństwa prac rozwojowych Polityka dla urządzeń mobilnych Prace rozwojowe powierzone firmie zewnętrznej Bezpieczne środowisko rozwojowe Testowanie bezpieczeństwa systemu Systemy wspomagające Konserwacja sprzętu Inwentaryzacja i własność aktywów Wiadomości elektroniczne Telepraca Szkolenia Audyt Uwierzytelnienie użytkowników w systemach teleinformatycznych x x x x x x x x Nieuprawniony dostęp przez użytkowników x x x x x x x x x x Nieuprawniony dostęp przez osoby z zewnątrz organizacji x x x x x x x x x x x x x x x x Nieuprawnione wykorzystanie aplikacji przetwarzającej informacje na temat zdrowia pacjentów x x x x x x x x x x x x Możliwość uszkodzenia lub wprowadzenia do systemu destrukcyjnego oprogramowania [ ] x x x x x x x x x x x x x x x x Nadużywanie zasobów x x x x x x x x Infiltracja komunikacji elektronicznej x x x x x x x x x x x x x x x x Przechwycenie komunikacji x x x x x x x x x x x x x x x x Brak niezaprzeczalności x x x x x x x x x x Błąd połączenia x x x x x x x x x x x x x Osadzanie kodu złośliwego x x x x x x x x x x x x x x x x x Przekierowanie połączenia x x x x x x x x x x x x Awaria techniczna systemu lub infrastruktury sieciowej x x x x x x x x x x Awaria środowiska wsparcia x x x x x x x x x x Awaria systemu lub oprogramowania sieciowego x x x x x x x x x x x Awaria oprogramowania aplikacji x x x x x x x x x x x x Błędne operacje x x x x x Odzyskiwanie po awarii [ ] x x x x x x x Błąd konserwacji x x x x x x x x x x Błąd użytkownika x x x x x x x x x x Kradzież przez użytkowników w tym kradzież sprzętu lub danych x x x x x x x x x x x x x Samowolne uszkodzenia przez użytkowników x x x x x x x x x x x Terroryzm x x x x x x x x x x x x x x x

Dziękuję za uwagę Jarosław Pudzianowski Pełnomocnik ds. Zarządzania Bezpieczeństwem Informacji e-mail: j.pudzianowski@csioz.gov.pl

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres