Zarządzanie bezpieczeństwem informacji w urzędach pracy



Podobne dokumenty
Bezpieczeństwo systemów informatycznych Radek Kaczorek, CISA, CIA, CISSP, CRISC

Promotor: dr inż. Krzysztof Różanowski

Podstawowe pytania o bezpieczeństwo informacji i cyberbezpieczeństwo w jednostkach sektora finansów publicznych

Zintegrowany System Zarządzania w Śląskim Centrum Społeczeństwa Informacyjnego

Miejsce NASK w systemie cyberbezpieczeństwa państwa. Juliusz Brzostek Dyrektor NC Cyber NASK Państwowy Instytut Badawczy

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

AUDYT BEZPIECZEŃSTWA INFORMACJI Podstawy

Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Szkolenie otwarte 2016 r.

Kompleksowe Przygotowanie do Egzaminu CISMP

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Bezpieczeństwo dziś i jutro Security InsideOut

Plan działań w zakresie zapewnienia bezpieczeństwa cyberprzestrzeni RP

Zarządzanie relacjami z dostawcami

AUDYT BEZPIECZEŃSTWA INFORMACJI. Piotr Wojczys CICA Urząd Miejski w Gdańsku - Zespół Audytorów Wewnętrznych

Powstanie i działalność Rządowego Zespołu Reagowania na Incydenty Komputerowe CERT.GOV.PL

Nowe zagrożenia skuteczna odpowiedź (HP ArcSight)

PLATFORMA COMARCH SECURITY. Rozwiązania Comarch dla bezpiecznego urzędu

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

Ustawa o Krajowym Systemie Cyberbezbieczeństwa

Szczegółowe informacje o kursach

epolska XX lat później Daniel Grabski Paweł Walczak

Ochrona biznesu w cyfrowej transformacji

Największe zagrożenia dla biznesu w roku 2015

Nowa Strategia Cyberbezpieczeństwa RP na lata główne założenia i cele

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

Kradzież danych przez pracowników czy można się przed tym ustrzec? Damian Kowalczyk

Funkcjonowanie KSC oraz plany jego rozwoju. Tomasz Wlaź

Scenariusz na czarną godzinę. Czy sektor bankowy jest przygotowany do walki z cyberprzestępcami?

Dominika Lisiak-Felicka. Cyberbezpieczeństwo urzędów administracji samorządowej - wyniki badań

Zarządzanie ryzykiem Klasyfikacja Edukacja. Maciej Iwanicki, Symantec Łukasz Zieliński, CompFort Meridian

Krzysztof Świtała WPiA UKSW

Bezpieczeństwo systemów SCADA oraz AMI

"Rozporządzenie GDPR w praktyce e-administracji oraz biznesu w Polsce i UE" dr Magdalena Marucha-Jaworska Expert of Innovations and New Technology

Zarządzanie bezpieczeństwem informacji przepisy prawa a normy

Miejsce NC Cyber w systemie bezpieczeństwa teleinformatycznego państwa

DOKUMENTY I PROGRAMY SKŁADAJĄCE SIĘ NA SYSTEM KONTROLI ZARZADCZEJ W

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych

dr hab. prof. UO DARIUSZ SZOSTEK Kancelaria Szostek-Bar i Partnerzy RODO a cyberbezpieczeństwo

Luki w bezpieczeństwie aplikacji istotnym zagrożeniem dla infrastruktury krytycznej

Jak skutecznie wdrożyć System Zarządzania Bezpieczeństwem Informacji. Katowice 25 czerwiec 2013

Poradnik dla samorządów - ustawa o krajowym systemie cyberbezpieczeństwa

Ustawa o krajowym systemie cyberbezpieczeństwa - ciągłość świadczenia usług kluczowych.

I. O P I S S Z K O L E N I A

Kryteria oceny Systemu Kontroli Zarządczej

2.11. Monitorowanie i przegląd ryzyka Kluczowe role w procesie zarządzania ryzykiem

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

Maciej Gawroński Maruta Wachta Sp.j. Odpowiedzialność za cyberbezpieczeństwo

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI

Bezpieczeństwo danych w sieciach elektroenergetycznych

Rozganianie czarnych chmur bezpieczeństwo cloud computing z perspektywy audytora. Jakub Syta, CISA, CISSP IMMUSEC Sp. z o.o.

ANALITYK BEZPIECZEŃSTWA IT

Przegląd certyfikatów branŝowych

Krzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014

Szkolenie : Administrator Bezpieczeństwa Informacji (2 dni)

Szanowni Państwo w imieniu Safecome S.A. mam przyjemność zaprosić Państwa na trójmodułowe szkolenie pod wspólnym tytułem:

Zarządzanie ryzykiem w bezpieczeostwie IT

Reforma ochrony danych osobowych RODO/GDPR

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

Wyzwania i dobre praktyki zarządzania ryzykiem technologicznym dla obszaru cyberzagrożeń

Nowa Rekomendacja D (i M)

Jakość. danych w systemach informatycznych adów w ubezpieczeń 25.III Aspekty normalizacyjne zarządzania incydentami bezpieczeństwa w.

Monitoring stanu zagrożeń dla bezpieczeństwa teleinformatycznego Polski

Ocena dojrzałości jednostki. Kryteria oceny Systemu Kontroli Zarządczej.

Architektura bezpieczeństwa informacji w ochronie zdrowia. Warszawa, 29 listopada 2011

Wymiana doświadczeń Jarosław Pudzianowski - Pełnomocnik do Spraw Zarządzania Bezpieczeństwem

Zdrowe podejście do informacji

Zarządzanie bezpieczeństwem w Banku Spółdzielczym. Aleksander P. Czarnowski AVET Information and Network Security Sp. z o.o.

Ataki socjotechniczne prawda czy fikcja? Jak się przed nimi bronić?

Monitorowanie systemów IT

Program ochrony cyberprzestrzeni RP założenia

Nowoczesny Bank Spółdzielczy to bezpieczny bank. Aleksander Czarnowski AVET Information and Network Security Sp. z o.o.

Wybawi się od niebezpieczeństwa jedynie ten, kto czuwa także gdy czuje się bezpieczny Publiusz Siro. Audyt bezpieczeństwa

Raport CERT NASK za rok 1999

2Business Consulting Group. Bezpieczeństwo informacji. Systemy/Procedury

Technologia Informacyjna i Prawo w służbie ochrony danych - #RODO2018

ISO w Banku Spółdzielczym - od decyzji do realizacji

Marcin Fronczak Prowadzi szkolenia z zakresu bezpieczeństwa chmur m.in. przygotowujące do egzaminu Certified Cloud Security Knowledge (CCSK).

Usługa skanowania podatności infrastruktury IT Banków oraz aplikacji internetowych

Jak uzyskać zgodność z RODO. Kodeks dobrych praktyk

Budowanie kompetencji cyberbezpieczeństwa w administracji

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

Aspekty cyberbezpieczeństwa w jednostkach samorządu terytorialnego

Marcin Soczko. Agenda

ISO bezpieczeństwo informacji w organizacji

Maciej Byczkowski ENSI 2017 ENSI 2017

Adonis w Banku Spółdzielczym w Trzebnicy

SOC/NOC Efektywne zarządzanie organizacją

Warszawa, 2 września 2013 r.

Przygotowanie do egzaminu na certyfikat CISA (Certified Information Systems Auditor) KONSPEKT SZKOLENIA część 1.

Załącznik 1 - Deklaracja stosowania w Urzędzie Gminy i Miasta w Dobczycach

Realizacja rozporządzenia w sprawie Krajowych Ram Interoperacyjności wnioski i dobre praktyki na podstawie przeprowadzonych kontroli w JST

Zabezpieczenia zgodnie z Załącznikiem A normy ISO/IEC 27001

dr Beata Zbarachewicz

Polityka Ochrony Cyberprzestrzeni RP

Opis systemu kontroli wewnętrznej w Polskim Banku Apeksowym S.A.

Szkolenie Ochrona Danych Osobowych ODO-01

CYBERBEZPIECZEŃSTWO 5 KWIETNIA 2018 W SEKTORZE BANKOWYM HOTEL MERCURY GRAND BANKÓW. Artur Piechocki radca prawny, założyciel kancelarii APLaw

Czy wszystko jest jasne??? Janusz Czauderna Tel

Transkrypt:

Materiał informacyjny współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego Zarządzanie bezpieczeństwem informacji w urzędach pracy Radek Kaczorek, CISA, CIA, CISSP, CRISC Projekt Implementacja i rozwój systemu informacyjnego publicznych służb zatrudnienia

O bezpieczeństwie w mediach Źródło: zaufanatrzeciastrona.pl 2

Badania i statystyki Polska znajduje się obecnie w czołówce najbardziej zagrożonych krajów w regionie Europy, Bliskiego Wschodu i Afryki. Blisko 60% polskich firm ma do czynienia z atakami w cyberprzestrzeni 78% firm dostrzega zagrożenia związane z przekazywaniem danych stronom trzecim 74% firm obawia się wykorzystania urządzeń mobilnych 70% firm dostrzega problem braku świadomości zagrożeń wśród swoich pracowników Ponad 80% zagrożeń w Internecie nosi znamiona działań o charakterze zorganizowanym Źródło: Raporty na temat stanu bezpieczeństwa publikowane przez Symantec, Deloitte 3

Incydenty i zagrożenia 6 kwietnia 2014 roku ujawniona została bardzo poważna luka bezpieczeństwa (Heartbleed Bug) w bibliotece OpenSSL, wykorzystywanej przez większość szyfrowanych usług sieciowych np. www, poczta 18 marca 2014 roku przeprowadzono atak na pracowników gmin i powiatów dysponujące dostępem do rachunków bankowych urzędów. Celem ataku byli użytkownicy systemu BeSTi@ służącego do raportowania informacji dla Regionalnych Izb Obrachunkowych Na przełomie marca i kwietnia 2013 roku przeprowadzono ataki DDoS na witryny Allegro, BRE Bank, mbank, Multibank, ING Bank Śląski, Oktawave Na przełomie stycznia i lutego 2013 roku zaatakowany został polski rejestr domen prowadzony przez NASK, w którym nagle dokonano 2,3 mln rezerwacji (>100% dotychczasowej liczby zarejestrowanych domen) W styczniu 2012 roku celem ataków stały się witryny internetowe Sejmu, Ministerstwa Kultury i Dziedzictwa Narodowego, Kancelarii Premiera Rady Ministrów i Ministerstwa Obrony Narodowej 30 września 2011 r. 2 osoby dokonały podmiany treści około 300 witryn samorządowych 4

5 Czy nas to dotyczy?

Przegląd obserwacji audytowych w PUP i WUP Brak spójnej Polityki Bezpieczeństwa Informacji Brak regularnych testów podatności systemów informatycznych Brak sformalizowanego procesu zgłaszania incydentów Nie prowadzi się regularnych audytów bezpieczeństwa systemów informatycznych Informacje inne niż dane osobowe nie są klasyfikowane Zarządzanie zmianami nie obejmuje planowania i analizy wpływu zmiany Brak systemowego podejścia do zarządzania incydentami bezpieczeństwa Nie zdefiniowano procesu planowania ciągłości działania Brak analizy ryzyka przed rozpoczęciem współpracy ze stroną trzecią Niewłaściwe zarządzanie kopiami zapasowymi Niewystarczający nadzór nad użytkownikami Niewystarczające monitorowanie bezpieczeństwa systemów Niewystarczający nadzór nad aktywami Brak formalnych zasad bezpieczeństwa przy odbiorze systemów Niewystarczający nadzór nad usługami strony trzeciej Brak zasobów ludzkich dla zapewnienia właściwego poziomu bezpieczeństwa Brak procesu uświadamiania pracowników w zakresie bezpieczeństwa Niewłaściwe zabezpieczanie nośników w ruchu Brak monitorowanie wymagań dla bezpieczeństwa informacji Niewystarczający nadzór nad zasobami Utrata kontroli nad udostępnianiem informacji publicznych 6

Pierwsza linia obrony Skuteczny system zarządzania System zarządzania ryzykiem System zarządzania usługami IT System zarządzania bezpieczeństwem informacji System zarządzania ciągłością działania Podejście systemowe, oparte na obowiązujących powszechnie zasadach zarządzania i cyklu Deminga Podejście zgodne z cyklem kontroli zarządczej 7

Źródła wsparcia Raport o stanie bezpieczeństwa cyberprzestrzeni RP Rządowy Program Ochrony Cyberprzestrzeni RP na lata 2011-2016 Ćwiczenia Cyber Europe (500 specjalistów z 29 państw członkowskich UE) i Cyber-EXE Polska (banki w Polsce) Rozporządzenie o Krajowych Ramach Interoperacyjności Centra wsparcia - CERT (Computer Emergency Response Team) 8

Budowanie odporności na ryzyko Odporność procesów zarządzania Polityka bezpieczeństwa informacji Plany ciągłości działania Plany awaryjne Podniesienie poziomu dojrzałości procesów Standaryzacja i certyfikacja Ciągłe doskonalenie Monitorowanie i wykrywanie incydentów Korelacja i wnioskowanie Usprawnienie podejścia Odporność zasobów Infrastruktura Systemy informatyczne Personel Dostawcy usług 9

Od czego zacząć? Przepisy prawa Ustawa o finansach publicznych Ustawa o informatyzacji i rozporządzenie o KRI Ustawa i rozporządzenia o ODO Międzynarodowe normy ISO 20000 - IT Service Management System ISO 27001 - Information Security Management Systems ISO 22301 - Societal security Business continuity management systems ISO 31000 - Risk management Principles and guidelines Regulacje wewnętrzne: Polityki, standardy, procedury, instrukcje System zarządzania bezpieczeństwem informacji Analiza ryzyka Opracowanie odpowiedzi na ryzyko Monitorowanie i ocena Ciągłe doskonalenie 10

Pytania i odpowiedzi Radek Kaczorek, CISA, CIA, CISSP, CRISC rkaczorek@immusec.com www.immusec.com +48 501 433 303 +48 22 379 7470 11

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres