Ustawa o krajowym systemie cyberbezpieczeństwa - ciągłość świadczenia usług kluczowych.

Podobne dokumenty
Nowe obowiązki przedsiębiorców w zakresie cyberbezpieczeństwa.

Nowe obowiązki przedsiębiorców w zakresie cyberbezpieczeństwa.

RODO i CYBERBEZPIECZEŃSTWO W ADMINISTRACJI

Rozporządzenie Wykonawcze Komisji (UE) 2018/151

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

ROZPORZĄDZENIE WYKONAWCZE KOMISJI (UE) / z dnia r.

Warszawa, dnia 13 sierpnia 2018 r. Poz. 1560

Miejsce NC Cyber w systemie bezpieczeństwa teleinformatycznego państwa

dr hab. prof. UO DARIUSZ SZOSTEK Kancelaria Szostek-Bar i Partnerzy RODO a cyberbezpieczeństwo

Wpływ nowych regulacji prawnych na dopuszczalność outsourcingu procesów biznesowych.

Poradnik dla samorządów - ustawa o krajowym systemie cyberbezpieczeństwa

DZIENNIK URZĘDOWY. Warszawa, 17 kwietnia 2019 r. Poz. 20. ZARZĄDZENIE Nr 20 MINISTRA GOSPODARKI MORSKIEJ I ŻEGLUGI ŚRÓDLĄDOWEJ 1)

Krajowy System Cyberbezpieczeństwa. Krzysztof Silicki p.o. Dyrektora NASK PIB, Wiceprzewodniczący Rady Zarządzającej ENISA

USTAWA. z dnia. o krajowym systemie cyberbezpieczeństwa. Rozdział 1. Przepisy ogólne

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI

Ustawa o Krajowym Systemie Cyberbezbieczeństwa

Maciej Byczkowski ENSI 2017 ENSI 2017

Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( )

z dnia. o krajowym systemie cyberbezpieczeństwa

Audyt procesu zarządzania bezpieczeństwem informacji. Prowadzący: Anna Słowińska audytor wewnętrzny

Wpływ ogólnego rozporządzenia o ochronie danych osobowych (RODO) na działalność sektora ubezpieczeń przegląd zagadnienia

Promotor: dr inż. Krzysztof Różanowski

OFERTA Audyt i usługi doradcze związane z wdrożeniem systemu zarządzania bezpieczeństwem informacji dla jednostek administracji publicznej

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

z dnia. o krajowym systemie cyberbezpieczeństwa 1) Rozdział 1 Przepisy ogólne

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

Polityka bezpieczeństwa i instrukcja zarządzania czy trzeba je prowadzić zgodnie z RODO

Dyrektywa NIS i jej znaczenie dla cyberbezpieczeństwa

PRELEGENT Przemek Frańczak Członek SIODO

Realizacja rozporządzenia w sprawie Krajowych Ram Interoperacyjności wnioski i dobre praktyki na podstawie przeprowadzonych kontroli w JST

Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej

Warunki organizacyjne Zarówno podmiot, który świadczy usługi z zakresu cyberbezpieczeństwa, jak i wewnętrzna struktura operatora

Kto zapłaci za cyberbezpieczeństwo przedsiębiorstwa?

ISO bezpieczeństwo informacji w organizacji

Miejsce NASK w systemie cyberbezpieczeństwa państwa. Juliusz Brzostek Dyrektor NC Cyber NASK Państwowy Instytut Badawczy

Grupa DEKRA w Polsce Cyberbezpieczeństwo. GLOBALNY PARTNER na rzecz BEZPIECZNEGO ŚWIATA 2019 DEKRA

Czas na implementację Dyrektywy do porządków prawnych państw członkowskich upływa 9 maja 2018 roku.

Nowa Strategia Cyberbezpieczeństwa RP na lata główne założenia i cele

NARODOWA PLATFORMA CYBERBEZPIECZEŃ STWA

Zarządzanie Ryzykiem i Utrzymanie Ciągłości Działania w Kontekście Bezpieczeństwa Informacji

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

SZCZEGÓŁOWY HARMONOGRAM KURSU

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora

Krzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014

Krajowe Ramy Polityki Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata znaczenie i najbliższe działania

2.11. Monitorowanie i przegląd ryzyka Kluczowe role w procesie zarządzania ryzykiem

Dziennik Urzędowy Unii Europejskiej. (Akty o charakterze nieustawodawczym) ROZPORZĄDZENIA

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych

Krzysztof Świtała WPiA UKSW

Warszawa, dnia 16 kwietnia 2013 r. Poz. 463 ROZPORZĄDZENIE MINISTRA ZDROWIA 1) z dnia 28 marca 2013 r.

Został on sporządzony przez Wojskowe Centrum Normalizacji, Jakości i Kodyfikacji. Dyrektor WCNJiK (-) p. o. płk Paweł KRASOWSKI 3 kwietnia 2018 roku

Certified IT Manager Training (CITM ) Dni: 3. Opis:

Analiza Ustawa o krajowym systemie cyberbezpieczeństwa 27 sierpnia 2018

1) przetwarzanie danych osobowych zgodnie z podstawowymi zasadami określonymi w

Zarządzanie relacjami z dostawcami

Wybawi się od niebezpieczeństwa jedynie ten, kto czuwa także gdy czuje się bezpieczny Publiusz Siro. Audyt bezpieczeństwa

BEZPIECZEŃSTWO W DOBIE RODO Czy zarządzanie oprogramowaniem uchroni nas przed wyciekiem danych?

Zarządzanie bezpieczeństwem informacji w urzędach pracy

Ochrona biznesu w cyfrowej transformacji

Program. Polexpert - informacje o szkoleniu. Kod szkolenia: Miejsce: Kraków, Centrum miasta. Koszt szkolenia: zł

Ustawa o krajowym systemie cyberbezpieczeństwa

Zarządzanie bezpieczeństwem informacji przepisy prawa a normy

Zintegrowany System Zarządzania w Śląskim Centrum Społeczeństwa Informacyjnego

Dziennik Urzędowy Unii Europejskiej. (Akty o charakterze nieustawodawczym) ROZPORZĄDZENIA

Plan działań w zakresie zapewnienia bezpieczeństwa cyberprzestrzeni RP

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

Nadzór nad przetwarzaniem danych osobowych kadrowych zgodnie z RODO

Wdrożenie wymagań RODO w organizacji niezbędne czynności i harmonogram ich realizacji

Realizacja zasady integralności danych w zatrudnieniu zgodnie z podejściem PbD

Realizacja wymagań, które stawia przed JST rozporządzenie w sprawie Krajowych Ram Interoperacyjności

Bezpieczeństwo informacji. jak i co chronimy

Opracowanie: Elżbieta Paliga Kierownik Biura Audytu Wewnętrznego Urząd Miejski w Dąbrowie Górniczej

Szacowanie ryzyka dla operacji przetwarzania danych. Praktyki dla zarządzających bezpieczeństwem i inspektorów

AGENDA DZIEŃ I 9: PANEL I WPROWADZENIE DO ZMIAN W OCHRONIE DANYCH OSOBOWYCH 1. ŚRODOWISKO BEZPIECZEŃSTWA DANYCH OSOBOWYCH.

Rozporządzenie Ogólne o Ochronie Danych Osobowych - General Data Protection Regulation

Podstawowe pytania o bezpieczeństwo informacji i cyberbezpieczeństwo w jednostkach sektora finansów publicznych

Zabezpieczenia zgodnie z Załącznikiem A normy ISO/IEC 27001

ZARZĄDZENIE NR 03/2017 DYREKTORA SZKOŁY PODSTAWOWEJ Z ODDZIAŁAMI INTEGRACYJNYMI NR 20 im. HARCERZY BUCHALIKÓW w RYBNIKU z dnia r.

Ochrona danych osobowych w biurach rachunkowych

Imed El Fray Włodzimierz Chocianowicz

Kompleksowe Przygotowanie do Egzaminu CISMP

mgr inż. Joanna Karczewska CISA, ISACA Warsaw Chapter Konsekwencje wyroku Trybunału Konstytucyjnego dla bezpieczeństwa informacji

1. Czym jest RODO? 2. Kluczowe zmiany wynikające z RODO. 3. Kogo dotyczy RODO?

REGULAMIN REGULUJĄCY SPOSÓB ZARZĄDZANIA RYZYKIEM

WYMAGANIA I STANDARDY ZWIĄZANE Z PRZETWARZANIEM DANYCH MEDYCZNYCH

RODO w spółkach jak przygotować się do nowych unijnych przepisów o ochronie danych

Zastosowanie norm w ochronie danych osobowych. Biuro Generalnego Inspektora. Ochrony Danych Osobowych

Rola audytu w zapewnieniu bezpieczeństwa informacji w jednostce. Marcin Dublaszewski

ZARZĄDZENIE NR 44/2013 BURMISTRZA MIASTA-GMINY STRYKÓW. z dnia 7 czerwca 2013 r. w sprawie zarządzanie ryzykiem

Maciej Gawroński Maruta Wachta Sp.j. Odpowiedzialność za cyberbezpieczeństwo

AUDYT BEZPIECZEŃSTWA INFORMACJI. Piotr Wojczys CICA Urząd Miejski w Gdańsku - Zespół Audytorów Wewnętrznych

Semestr II Lp. Nazwa przedmiotu ECTS F. zaj. F. zal. Godz. 1. Standardy bezpieczeństwa informacji:

Audyt w zakresie bezpieczeństwa informacji w Wojewódzkim Urzędzie Pracy w Lublinie

Opis systemu kontroli wewnętrznej (SKW) funkcjonującego w ING Banku Hipotecznym S.A.

POLITYKA BEZPIECZEŃSTWA INFORMACJI. Heksagon sp. z o.o. z siedzibą w Katowicach. (nazwa Administratora Danych)

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji

ZALECENIA. ZALECENIE KOMISJI (UE) 2019/534 z dnia 26 marca 2019 r. Cyberbezpieczeństwo sieci 5G

Transkrypt:

Ustawa o krajowym systemie cyberbezpieczeństwa - ciągłość świadczenia usług kluczowych. r.pr. Paweł Gruszecki, Partner, Szef Praktyki Nowych Technologii i Telekomunikacji, Kochański Zięba & Partners Sp. k. Warszawa, 26.09.2018r.

Standaryzacja zasad ochrony danych oraz cyberbezpieczeństwa. DYREKTYWA NIS Data opublikowania w Dzienniku Urzędowym Unii Europejskiej 19 lipiec 2016 r. Przyjęcie i publikacja przepisów w państwach członkowskich UE do 9 maja 2018 r. Stosowanie przepisów od 10 maja 2018 r. W dniu 28 sierpnia 2018r. weszła w życie Ustawa o krajowym systemie cyberbezpieczeństwa. W dniu 21 września 2018r. zostało opublikowane tzw. Rozporządzenie identyfikacyjne. 9 maja 2017 r. została podpisana uchwała nr 52/2017 Rady Ministrów z dnia 27 kwietnia 2017 r. w sprawie Krajowych Ram Polityki Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2017 2022. KALENDARIUM RODO Data opublikowania w Dzienniku Urzędowym Unii Europejskiej 4 maj 2016 r. Stosowanie rozporządzenia - od 25 maja 2018 r. Uchylenie Dyrektywy 95/46/WE ze skutkiem od dnia 25 maja 2018 r. W dniu 25 maja 2018r. weszła w życie Ustawa o ochronie danych osobowych. W dniu 18.09.2018r. opublikowano projekt Ustawy o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679.

Przedmiot regulacji minimalny standard w zakresie bezpieczeństwa sieci i systemów Poprawa współpracy na poziomie UE. odporność sieci i systemów informatycznych na wszelkie działania naruszające dostępność, autentyczność, integralność lub poufność przechowywanych lub przekazywanych, lub przetwarzanych danych lub związanych z nimi usług oferowanych lub dostępnych poprzez te sieci i systemy informatyczne.

UKSC RODO Bezpieczeństwo systemów informacyjnych Ochrona danych osobowych W zakresie, w jakim sieci i systemy będące przedmiotem regulacji UKSC służą do przetwarzania danych osobowych, zakres UKSC pokrywa się z zakresem RODO

l.p. Rozporządzenia wykonawcze do UKSC 1. Rozporządzenie dot. wykazu usług kluczowych oraz progów istotności skutku zakłócającego incydentu dla świadczenia usług kluczowych; 2. Rozporządzenie dotyczące progów uznania incydentu za poważny według rodzaju zdarzenia w poszczególnych sektorach i podsektorach; 3. Rozporządzenie dot. warunków organizacyjnych i technicznych dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur odpowiedzialnych za cyberbezpieczeństwo; 4. Rozporządzenie dot. wykazu certyfikatów uprawniających do przeprowadzenia audytu bezpieczeństwa; 5. Rozporządzenie dot. rodzajów dokumentacji dotyczącej cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej.

l.p. IDENTYFIKACJA OUK - TRZY (3) PRZESŁANKI 1. Podmiot świadczy usługę usługą kluczową wymienioną w wykazie usług kluczowych 2. Świadczenie tej usługi kluczowej zależy od systemów informacyjnych 3. Incydent miałby istotny skutek zakłócający dla świadczenia usługi kluczowej przez tego operatora. SKUTEK: Wydanie decyzji identyfikacyjnej przez organ właściwy ds. cyberbezpieczeństwa.

l.p. KATEGORIE OUK 531 podmiotów 1. Energia 98 podmiotów; 2. Transport 83 podmioty; 3. Bankowość i Infrastruktura rynków finansowych 67 podmiotów; 4. Ochrona Zdrowia 244 podmioty; 5. Zaopatrzenie w wodę pitną i jej dystrybucja 31 podmiotów; 6. Usługi DNS/Punkty wymiany ruchu internetowego (IXP)/prowadzenie rejestru domeny najwyższego poziomu TLD

TRZY KOSZYKI OBOWIĄZKÓW OUK SoA Propor. 1 Osoba do kontaktu Struktura cyberbezpieczeństwa / umowa z podmiotem Zarządzanie incydentami / ryzykiem 2 Dokumentacja / Nadzór nad dokumentacją Środki techniczne i organizacyjne 3 Audyt bezpieczeństwa [raz na dwa (2) lata] www.kochanski.pl

l.p. 1. 2. Środki techniczne i organizacyjne utrzymanie i bezpieczną eksploatację systemu informacyjnego, bezpieczeństwo fizyczne i środowiskowe, uwzględniające kontrolę dostępu, bezpieczeństwo i ciągłość dostaw usług, od których zależy świadczenie usługi kluczowej, wdrażanie, dokumentowanie i utrzymywanie planów działania umożliwiających ciągłe i niezakłócone świadczenie usługi kluczowej oraz zapewniających poufność, integralność, dostępność i autentyczność informacji, objęcie systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej systemem monitorowania w trybie ciągłym. zbieranie informacji o zagrożeniach cyberbezpieczeństwa i podatnościach na incydenty systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej; 3. stosowanie środków zapobiegających i ograniczających wpływ incydentów na bezpieczeństwo systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej, w tym: stosowanie mechanizmów zapewniających poufność, integralność, dostępność i autentyczność danych przetwarzanych w systemie informacyjnym, dbałość o aktualizację oprogramowania, ochronę przed nieuprawnioną modyfikacją w systemie informacyjnym, niezwłoczne podejmowanie działań po dostrzeżeniu podatności lub zagrożeń cyberbezpieczeństwa; 4. stosowanie środków łączności umożliwiających prawidłową i bezpieczną komunikację w ramach krajowego systemu cyberbezpieczeństwa.

KSC ma na celu zapewnienie niezakłóconego świadczenia usług kluczowych l.p. CIĄGŁOŚĆ USŁUGI KLUCZOWEJ 1. usługa kluczowa - usługa, która ma kluczowe znaczenie dla utrzymania krytycznej działalności społecznej lub gospodarczej, wymieniona w wykazie usług kluczowych; 2. incydent poważny incydent, który powoduje lub może spowodować poważne obniżenie jakości lub przerwanie ciągłości świadczenia usługi kluczowej [liczba / czas / zasięg geograficzny / inne czynniki ] [należy odróżnić od incydentu istotnego oraz incydentu w podmiocie publicznym jak również incydentu krytycznego]

KSC ma na celu zapewnienie niezakłóconego świadczenia usług cyfrowych l.p. 1. 2. CIĄGŁOŚĆ USŁUGI CYFROWEJ INCYDENT ISTOTNY POWINIEN SPEŁNIAĆ CO NAJMNIEJ JEDNĄ PRZESŁANKĘ: usługa świadczona przez dostawcę usług cyfrowych była niedostępna przez ponad 5 000 000 użytkownikogodzin, przy czym pojęcie użytkownikogodziny odnosi się do liczby dotkniętych incydentem użytkowników w Unii przez okres sześćdziesięciu minut incydent doprowadził do utraty integralności, autentyczności lub poufności przechowywanych lub przekazywanych bądź przetwarzanych danych lub powiązanych usług, oferowanych bądź dostępnych poprzez sieci i systemy informatyczne dostawcy usług cyfrowych, która dotknęła ponad 100 000 użytkowników w Unii; 3. incydent spowodował ryzyko dla bezpieczeństwa publicznego lub ryzyko wystąpienia ofiar śmiertelnych; 4. incydent wyrządził co najmniej jednemu użytkownikowi w Unii stratę materialną, której wysokość przekracza 1 000 000 EUR.

Jak zrealizować to w praktyce (I)? ENISA, we współpracy z państwami członkowskimi, opracowuje porady i wytyczne dotyczące kwestii technicznych, które powinny zostać wzięte pod uwagę a także dotyczące już istniejących norm, w tym krajowych norm państw członkowskich. Technical Guidelines for the implementation of minimum security measures for Digital Service Providers 17.02.2017r. przyjęcie jednego z 3 standardów bezpieczeństwa (podstawowy, sektorowy oraz najwyższy). 27 celów bezpieczeństwa do spełnienia. każdemu celowi służą poszczególne środki bezpieczeństwa Najczęściej przywoływane normy: ISO 27001 / CCS / OCF / BSI C5 www.kochanski.pl

Przyjęcie polityki bezpieczeństwa Monitorowanie usług Zarządzanie ryzykiem (lista ryzyk, uświadomienie ryzyk, metodologia, podział ról i obowiązków, procedury, przewodnik dla pracowników, przegląd metodologii). Ustanowienie konkretnych stanowisk Raportowanie o incydentach Jak to wygląda w praktyce? Ciągłość działania (business continuity). Standardy bezpieczeństwa w zakresie umów z dostawcami i klientami. Sprawdzanie zatrudnianych pracowników (screening) Zapewnienie wiedzy o bezpieczeństwie Bezpieczeństwo w trakcie zmiany/opuszczania stanowisk pracy. Bezpieczeństwo fizyczne Bezpieczeństwo infrastruktury towarzyszącej Kontrola dostępu do sieci oraz systemów Integralność elementów sieci oraz systemów Procedury operacyjne Zarządzanie zmianą Przywrócenie usługi w razie katastrofy (disaster recovery). Testowanie systemów Procedury oceny bezpieczeństwa Polityka sprawdzania i wprowadzania zgodności z przepisami obowiązującymi na terytorium UE, danego kraju, a także najlepszymi praktykami i standardami. Bezpieczeństwo przechowywanych danych. Bezpieczeństwo interfejsów. Bezpieczeństwo oprogramowania. Interoperacyjność i przenośność (np. procedura fall back). Zapewnienie klientowi prawa do monitorowania usługi Zarządzanie assetami. Wykrywanie incydentów i zarządzanie nimi www.kochanski.pl

Jak zrealizować to w praktyce (II)? państwa członkowskie, nie narzucając ani nie faworyzując wykorzystywania określonego rodzaju technologii, powinny zachęcać do stosowania europejskich lub uznanych międzynarodowo norm i specyfikacji mających znaczenie dla bezpieczeństwa sieci i systemów informatycznych (opis: Normy jako podstawa do opracowywania i wdrażania standardów bezpieczeństwa teleinformatycznego w projektach realizowanych przez MCw ramach POPC. z dnia 30.03.2017r.). zagadnieniami normalizacji w obszarze cyberbezpieczeństwa zajmuje się specjalnie powołana połączona grupa koordynacyjna CEN-CENELEC Focus Group on Cybersecurity. Efektem jej działań w 2016 roku było uznanie 8 norm międzynarodowych ISO/IEC z obszaru informatyki śledczej jako norm europejskich (EN). Ponadto, w planie normalizacji na 2017 rok znajdowało się przyjęcie kolejnych 3 norm międzynarodowych jako norm europejskich

Jak zrealizować to w praktyce (III)? PN-EN ISO/IEC 27037:2016-12 - Wytyczne do identyfikacji, gromadzenia, pozyskiwania i zachowania cyfrowych śladów dowodowych. PN-EN ISO/IEC 27038:2016-12 - Specyfikacja metod cyfrowych trwałego usuwania. PN-EN ISO/IEC 27040: 2016-12 - Bezpieczeństwo pamięci masowych. PN-EN ISO/IEC 27041:2016-12 - Wytyczne do zapewnienia stosowności i adekwatności metody dochodzeniowej w związku z incydentem PN-EN ISO/IEC 27042:2016-12 - Wytyczne do analizy i interpretacji cyfrowego śladu dowodowego PN-EN ISO/IEC 27043:2016-12 - Pryncypia i procesy w dochodzeniach związanych z incydentami PN-EN ISO/IEC 30121:2016-12 - Nadzór nad strukturą ryzyka związanego z informatyką śledczą.

Jak zrealizować to w praktyce (IV)? Energy Expert Cyber Security Platform (EECSP), grupa ekspercka Komisji Europejskiej, opracowała obszerny raport dotyczący cyberbezpieczeństwa w sektorze energetycznym. Celem raportu jest ocena regulacji w kontekście usług energetycznych oraz wskazanie działań, jakie powinny zostać podjęte dla podniesienia poziomu bezpieczeństwa. EECSP zidentyfikowała 10 kluczowych obszarów z zakresu cyberbezpieczeństwa w energetyce, w ramach których wskazała na istnienie 39 luk prawnych, które powinny zostać uzupełnione w celu zapewnienia odpowiedniego poziomu bezpieczeństwa. Luki dotyczą m.in. zagadnień zarządzania ryzykiem, metod reagowania na zagrożenia i naruszenia bezpieczeństwa oraz współpracy międzynarodowej (zob. Str. 59-63 raportu). Raport EECSP zawiera rekomendacje działań, których podjęcie doprowadzi do zniwelowania wskazanych luk (zob. Str. 64-69 raportu).

Cele bezpieczeństwa, a normy.

Przykład wytycznych ENISA: Technical Guidelines for the implementation of minimum security measures for Digital Service Providers 17.02.2017r. Przyjęcie jednego z 3 standardów bezpieczeństwa (podstawowy, sektorowy oraz najwyższy). 27 celów bezpieczeństwa do spełnienia. Każdemu celowi służą poszczególne środki bezpieczeństwa. Wytyczne wyjaśniają, w jaki sposób poszczególne kluczowe obszary bezpieczeństwa mogą być realizowane w oparciu o uznane, międzynarodowe normy OBSZAR BEZPIECZEŃSTWA NORMA REGULUJĄCA DANE ZAGADNIENIE

Jak zrealizować to w praktyce? W ramach samodzielnej oceny: Pomocnicze stosowanie np. Normy PN-ISO 27001 (podczas wdrażania analiza ryzyka opisana w Normie ISO 27005). Zamiast rozporządzenia technicznego Raport ENISA: Prywatność i ochrona danych w fazie projektowania od polityki do inżynierii. Zatwierdzone kodeksy postępowania. Zatwierdzone mechanizmy certyfikowania. Wytyczne i zalecenia Europejskiej Rady Ochrony Danych Osobowych www.kochanski.pl

www.kochanski.pl

Dziękuję za uwagę

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres