Aspekty cyberbezpieczeństwa w jednostkach samorządu terytorialnego

Podobne dokumenty
Realizacja wymagań, które stawia przed JST rozporządzenie w sprawie Krajowych Ram Interoperacyjności

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI

PRELEGENT Przemek Frańczak Członek SIODO

Realizacja rozporządzenia w sprawie Krajowych Ram Interoperacyjności wnioski i dobre praktyki na podstawie przeprowadzonych kontroli w JST

Krzysztof Świtała WPiA UKSW

Rola audytu w zapewnieniu bezpieczeństwa informacji w jednostce. Marcin Dublaszewski

Audyt procesu zarządzania bezpieczeństwem informacji. Prowadzący: Anna Słowińska audytor wewnętrzny

Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( )

Systemy informatyczne w samorządzie. Łódź, czerwca 2016

Szkolenie otwarte 2016 r.

Promotor: dr inż. Krzysztof Różanowski

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

Safe24biz Sp z o.o., ul. Człuchowska 2c/13, Warszawa tel: (62) ,

dr hab. prof. UO DARIUSZ SZOSTEK Kancelaria Szostek-Bar i Partnerzy RODO a cyberbezpieczeństwo

Zarządzanie bezpieczeństwem informacji przepisy prawa a normy

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

WYMAGANIA I STANDARDY ZWIĄZANE Z PRZETWARZANIEM DANYCH MEDYCZNYCH

Zdrowe podejście do informacji

Wdrożenie wymagań RODO w organizacji niezbędne czynności i harmonogram ich realizacji

ZARZĄDZENIE NR 473/2015 PREZYDENTA MIASTA KIELCE. z dnia 29 grudnia 2015 r.

SZCZEGÓŁOWY HARMONOGRAM KURSU

mgr inż. Joanna Karczewska CISA, ISACA Warsaw Chapter Konsekwencje wyroku Trybunału Konstytucyjnego dla bezpieczeństwa informacji

AGENDA DZIEŃ I 9: PANEL I WPROWADZENIE DO ZMIAN W OCHRONIE DANYCH OSOBOWYCH 1. ŚRODOWISKO BEZPIECZEŃSTWA DANYCH OSOBOWYCH.

Marcin Soczko. Agenda

Reforma ochrony danych osobowych RODO/GDPR

Zadania Administratora Systemów Informatycznych wynikające z przepisów ochrony danych osobowych. Co ASI widzieć powinien..

Opracowanie: Elżbieta Paliga Kierownik Biura Audytu Wewnętrznego Urząd Miejski w Dąbrowie Górniczej

ZARZĄDZENIE Nr 12/2019 WÓJTA GMINY STANISŁAWÓW z dnia 15 lutego 2019 r. w sprawie zmiany Regulaminu Organizacyjnego Urzędu Gminy Stanislawów

Społeczeństwo informacyjne Rola normalizacji. Jerzy Krawiec Warszawa,

PARTNER.

Szczegółowe informacje o kursach

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

Dominika Lisiak-Felicka. Cyberbezpieczeństwo urzędów administracji samorządowej - wyniki badań

SPRAWOZDANIE Z KONTROLI

AUDYT BEZPIECZEŃSTWA INFORMACJI. Piotr Wojczys CICA Urząd Miejski w Gdańsku - Zespół Audytorów Wewnętrznych

Zarządzanie bezpieczeństwem informacji w urzędach pracy

Inspektor Ochrony Danych w podmiotach publicznych

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Instrukcja zarządzania RODO. w Liceum Ogólnokształcącym im. Komisji Edukacji Narodowej w Gogolinie

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Miejsce NASK w systemie cyberbezpieczeństwa państwa. Juliusz Brzostek Dyrektor NC Cyber NASK Państwowy Instytut Badawczy

AUDYT BEZPIECZEŃSTWA INFORMACJI Podstawy

1. Czym jest RODO? 2. Kluczowe zmiany wynikające z RODO. 3. Kogo dotyczy RODO?

Załącznik nr 2 Opis wdrożonych środków organizacyjnych i technicznych służących ochronie danych osobowych

ZESPÓŁ SZKÓŁ TECHNICZNYCH we Włocławku, ul. Ogniowa 2 PROCEDURA ALARMOWA PROCEDURA POSTĘPOWANIA W PRZYPADKU NARUSZENIA DANYCH OSOBOWYCH

WYSTĄPIENIE POKONTROLNE

Funkcjonowanie KSC oraz plany jego rozwoju. Tomasz Wlaź

Zastosowanie norm w ochronie danych osobowych. Biuro Generalnego Inspektora. Ochrony Danych Osobowych

Wprowadzenie. Alternatywne podejścia do realizacji Audytu Bezpieczeństwa Informacji w JST m.st. Warszawy. Akty prawne dot.

Które i jakie organizacje będą zobowiązane do wyznaczenia inspektora ochrony danych (IOD/DPO)

POLITYKA BEZPIECZEŃSTWA. Wykaz zbiorów danych oraz programów zastosowanych do przetwarzania danych osobowych.

Polityka ochrony danych osobowych. Rozdział I Postanowienia ogólne

System Zarządzania Bezpieczeństwem Informacji - czy stać nas na to ryzyko?

Analiza ryzyka w obszarze bezpieczeństwa informacji 1

POLITYKA BEZPIECZEŃSTWA INFORMACJI W BANKU SPÓŁDZIELCZYM W KSIĘŻPOLU. (Zawarta w planie ekonomiczno-finansowym

Jak zorganizować szkolną infrastrukturę informatyczną (sieć informatyczną) Tadeusz Nowik

1. WYMAGANIA TECHNICZNE

Załącznik 1 - Deklaracja stosowania w Urzędzie Gminy i Miasta w Dobczycach

administratora systemów informatycznych w Urzędzie Gminy i Miasta Proszowice NIE

OBOWIĄZKI I ODPOWIEDZIALNOŚĆ ZA ZADANIA ZWIĄZANE Z OCHRONĄ DANYCH OSOBOWYCH W SZKOLE GŁÓWNEJ HANDLOWEJ W WARSZAWIE

ZARZĄDZENIE NR 100/2015 WÓJTA GMINY STEGNA. z dnia 16 czerwca 2015 r.

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH w przedsiębiorstwie QBL Wojciech Śliwka Daszyńskiego 70c, Ustroń

PROGRAM TRZYDNIOWEGO KURSU DLA IOD - JAK DOSTOSOWAĆ ORGANIZACJĘ DO WYMOGÓW OGÓLNEGO ROZPORZĄDZENIA O OCHRONIE DANYCH (RODO/GDPR)

Nowa Strategia Cyberbezpieczeństwa RP na lata główne założenia i cele

Zabezpieczenia zgodnie z Załącznikiem A normy ISO/IEC 27001

WYSTĄPIENIE POKONTROLNE. Ustawa z dnia 15 lipca 2011 r. o kontroli w administracji rządowej (Dz. U. Nr 185, poz. 1092). 2

BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

INTERNATIONAL POLICE CORPORATION

Cyberbezpieczeństwo w Obiektach Przemysłowych na Przykładzie Instalacji Nuklearnych. Monika Adamczyk III FBST

ŚRODOWISKO KOMPUTEROWYCH SYSTEMÓW INFORMATYCZNYCH TEST PEŁNY Status obszaru: Jeszcze nie edytowany (otwarty) Opracowano 0 z 55

JST uczestniczących w projekcie Lubuski e-urząd. Piotr Gawara GaMP Sp. z o.o. Zielona Góra, dnia 17 grudnia 2010r.

POLITYKA BEZPIECZEŃSTWA INFORMACJI W KANCELARII ADWOKACKIEJ DR MONIKA HACZKOWSKA

Bezpieczeństwo informacji. jak i co chronimy

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM W ADCONNECT SP. Z O.O. SP. K.

Pełnomocnik Rektora PŁ ds. Bezpieczeństwa Systemów Teleinformatycznych. Szkolenie redaktorów i administratorów serwisów WWW Politechniki Łódzkiej

CYBER-BEZPIECZEŃSTWO ZAGROŻENIA - DETEKCJA - PROFILATKTYKA - ZABEZPIECZENIA - PREWENCJA

Opis Systemu Kontroli Wewnętrznej funkcjonującego w Santander Consumer Bank S.A.

Budowanie kompetencji cyberbezpieczeństwa w administracji

Czy zarządzać bezpieczeństwem IT w urzędzie?

POLITYKA BEZPIECZEŃSTWA INFORMACJI w MYFUTURE HOUSE SP. Z O.O.

Polityka Bezpieczeństwa Informacji. Tomasz Frąckiewicz T-Matic Grupa Computer Plus Sp. z o.o.

Zakres aktualizacji PBI w świetle nowelizacji przepisów UODO obowiązujących w organizacji

ZAŁĄCZNIK NR 2. Polityka Ochrony Danych Osobowych w Przedsiębiorstwie Wodociągów i Kanalizacji Spółka z ograniczoną odpowiedzialnością w Ełku.

REALIZACJA PRZEZ PODMIOTY PAŃSTWOWE ZADAŃ W ZAKRESIE OCHRONY CYBERPRZESTRZENI RP. Wstępne wyniki kontroli przeprowadzonej w 2014 r.

Pierwsze doświadczenia w wykonywaniu funkcji IODy

Polityka bezpieczeństwa informacji

Samodzielny audit z zakresu ochrony danych osobowych oraz przygotowanie do kontroli z Biura Generalnego Inspektora Ochrony Danych Osobowych

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH W FUNDACJI CENTRUM IMIENIA PROF. BRONISŁAWA GEREMKA

Wdrożenie Rozporządzenia UE 2016/679 z dnia 27 kwietnia 2016 w ZGiUK Sp. z o.o. w Lubaniu

Bezpieczeństwo danych i systemów informatycznych. Wykład 1

Jak skutecznie wdrożyć System Zarządzania Bezpieczeństwem Informacji. Katowice 25 czerwiec 2013

Budowanie polityki bezpieczeństwa zgodnie z wymogami PN ISO/IEC przy wykorzystaniu metodologii OCTAVE

POLITYKA BEZPIECZEŃSTWA INFORMACJI w KANCELARII ADWOKACKIEJ AGNIESZKA PODGÓRSKA-ZAETS. Ul. Sienna 57A lok Warszawa

Polityka Ochrony Danych Osobowych w Szkole Podstawowej nr 1 w Siemiatyczach

2. Dane osobowe - wszelkie informacje, w tym o stanie zdrowia, dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej

BIURO OCHRONY DANYCH OSOBOWYCH BODO24 KURS RODO

Transkrypt:

Tomasz Salachna Centrum Usług Publicznych Sieć Badawcza ŁUKASIEWICZ Instytut Technik Innowacyjnych EMAG Aspekty cyberbezpieczeństwa w jednostkach samorządu terytorialnego

Sieć Badawcza ŁUKASIEWICZ Instytut Technik Innowacyjnych EMAG Podstawową misją Instytutu Technik Innowacyjnych EMAG jest: prowadzenie badań i prac rozwojowych w obszarach szeroko rozumianej informatyki, przystosowywanie ich wyników do nowych zastosowań, inicjowanie problemów badawczych w środowiskach spoza sfery nauki, o aplikacyjnym charakterze, opracowywanie innowacyjnych rozwiązań, doskonalenie istniejących urządzeń, technologii i systemów przyczyniających się do poprawy efektywności procesów produkcyjnych, wzrostu bezpieczeństwa pracy, jakości życia, utrzymanie i doskonalenie infrastruktury badawczej i laboratoryjnej służących rozwojowi nauki w obszarach: gospodarka kierunek Przemysł 4.0, administracja publiczna, bezpieczeństwo państwa, Internet rzeczy, prospołecznych przeciw wykluczeniu społecznemu.

Sieć Badawcza ŁUKASIEWICZ Instytut Technik Innowacyjnych EMAG Krajowy schemat oceny i certyfikacji bezpieczeństwa oraz prywatności produktów i systemów IT zgodny z Common Criteria (KSO3C) Uczestnikami projektu są jednostki naukowo badawcze funkcjonujące pod nadzorem Ministra Cyfryzacji a mianowicie: Instytut Łączności Państwowy Instytut Badawczy (IŁ PIB) Naukowa i Akademicka Sieć Komputerowa Państwowy Instytut Badawczy (NASK-PIB) Instytut Technik Innowacyjnych EMAG (ITI EMAG). Jednostki te stworzą system oceny i certyfikacji bezpieczeństwa i prywatności produktów i usług teleinformatycznych, w odpowiedzi m.in. na inicjatywę Komisji Europejskiej mającą na celu utworzenie Europejskich Ram Certyfikacji Bezpieczeństwa i Prywatności dla produktów i usług (zaproponowany w projekcie rozporządzenia Cybersecurity Act).

Samorząd terytorialny sytuacja krytyczna Obecnie (stan na 01.01.2019) Polska dzieli się na: 16 województw 314 powiatów 66 miast na prawach powiatu 2 477 gmin 302 miejskich w tym: 638 miejsko-wiejskich 1 537 wiejskich

Regulacje prawne dotyczące ochrony danych osobowych w jednostkach samorządu terytorialnego Wymóg prawny: Krajowe Ramy Interoperacyjności Art.20 Podmiot realizujący zadania publiczne opracowuje i ustanawia, wdraża i eksploatuje, monitoruje i przegląda oraz utrzymuje i doskonali system zarządzania bezpieczeństwem informacji zapewniający poufność, dostępność i integralność informacji z uwzględnieniem takich atrybutów, jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność. RODO UODO w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych. IOD Art. 37 Krajowy System Cyberbezpieczeństwa Obowiązki podmiotów publicznych Art. 21-25, Art. 21, pkt 3. możliwość powołania osoby do kontaktu z CSIRT NASK

Rzeczywisty obraz stanu cyberbezpieczeństwa w samorządach Zarządzanie bezpieczeństwem informacji w jednostkach samorządu terytorialnego KAP.430.020.2018 Nr ewidencyjny: P/18/006 Data publikacji: 2019-05-10 Dział tematyczny: administracja publiczna

Rzeczywisty obraz stanu cyberbezpieczeństwa w samorządach Brak systemowego podejścia do zapewnienia bezpieczeństwa informacji Brak analiz ryzyka i nieprowadzenie audytów bezpieczeństwa informacji Nieprzestrzeganie ustanowionych wymogów w zakresie bezpieczeństwa informacji Brak poprawy w zapewnieniu bezpieczeństwa informacji w urzędach j.s.t kontrole NIK w latach 2014-2016 ujawniły nieprawidłowości w zapewnieniu bezpieczeństwa systemów informatycznych Wdrażanie RODO a zapewnienie bezpieczeństwa informacji Nieprzestrzeganie wymogów dotyczących bezpieczeństwa informacji wynikające z obowiązującego od 2012 r. KRI. Niekompletne procedury ochrony danych w 61% urzędach NIK stwierdził brak systemowego podejścia dla zapewnienia bezpieczeństwa informacji, o którym mowa w 20 ust. 1 KRI nie ustanowiono polityk bezpieczeństwa informacji.

Rzeczywisty obraz stanu cyberbezpieczeństwa w samorządach Niedostosowanie wewnętrznych regulacji do przepisów RODO. Realizacja przez IODO innych zadań, mogących wywoływać konflikt interesów Art.38 ust.6 RODO Brak informacji lub niepełna informacja o posiadanych zasobach informatycznych w 74% skontrolowanych urzędach nie utrzymywano aktualności inwentaryzacji sprzętu i oprogramowania służącego do przetwarzania niezgodne z 20 ust.2 pkt. 2 KRI Niewłaściwe zarządzanie uprawnieniami użytkowników systemów informatycznych. Stosowanie niewłaściwych haseł do systemów. Nieustanowienie zasad pracy mobilnej. Niewłaściwie zabezpieczenie danych zgromadzonych na urządzeniach mobilnych w 70% skontrolowanych urzędach nie stosowano szyfrowania dysków twardych komputerów przenośnych.

Rzeczywisty obraz stanu cyberbezpieczeństwa w samorządach Niewłaściwe zabezpieczenie serwerowni niezgodne z 20 ust. 2, pkt 9 KRI Brak zapisów w zakresie zachowania poufności informacji w umowach serwisowych w 52% skontrolowanych urzędach stwierdzono niezgodność z 20 ust.2, pkt 10 KRI Wykorzystywanie oprogramowania nieposiadającego wsparcia producenta w 56% urzędach stwierdzono niezgodność 20, ust. 2, pkt 2, lit. a i f KRI Niewłaściwe tworzenie kopii zapasowych. Brak okresowych analiz ryzyka. Nieprzeprowadzanie audytów bezpieczeństwa informacji w 70% skontrolowanych urzędach stwierdzono niezgodność z 20, ust. 2, pkt 14 KRI

Rzeczywisty obraz stanu cyberbezpieczeństwa w samorządach

Rzeczywisty obraz stanu cyberbezpieczeństwa w samorządach Cyberbezpieczeństwo nie jest priorytetem w prognozach finansowych. Brak pozycji w budżetach, a nawet klasyfikacji budżetowej. Zagadnienia bezpieczeństwa powierzone są wyłącznie komórkom IT. Brak regulacji i standardów co do minimalnego wymaganego poziomu cyberbezpieczeństwa certyfikacja. Brak szacowania ryzyka związanego z posiadaniem danych o istotnym znaczeniu dla funkcjonowania j.s.t. Brak możliwości oceny poziomu zabezpieczeń przez decydentów, brak audytów. Trudne pozyskanie i utrzymanie specjalistów cyberbezpieczeństwa. Brak planów szkoleniowych. Minimalne zabezpieczenie (Firewall i Antywirus), które nie pozwalają na neutralizację zaawansowanych cyberataków.

Rzeczywisty obraz stanu cyberbezpieczeństwa w samorządach O tym jak ważne jest właściwe zabezpieczenie informacji gromadzonych w jednostkach samorządu terytorialnego świadczą przypadki ich utraty nagłośnione przez media w ostatnich latach: w ciągu dwóch lat (2013-2014) hakerzy okradli pięć polskich gmin, w tym gminę Jaworzno na prawie milion złotych; w 2014 r. wyciekły dane dzieci z przemyskiego Urzędu Miejskiego; w 2017 r. z Urzędu Miasta Łodzi wyciekły dane z tzw. deklaracji śmieciowych, przez co bez problemu można było poznać dane właścicieli łódzkich nieruchomości; w 2018 r. wyciekły dane części posiadaczy Karty Krakowskiej. Źródło: http://samorzad.pap.pl 2019-05-10

1 Czy Polska jest przygotowana na cyberatak? Wyniki ankiety http://securak.pl luty 2019 Facebook (głosowało około 3000 osób!) Twitter (głosowało 308 osób):

Zapomniana strefa w procedurach ochronnych Serwis sprzątający - to też pracownicy Mało tego - to pracownicy, którzy mają często tak samo łatwy dostęp do firmowej dokumentacji, co biurowi. Drukarki sieciowe to w większości organizacji najsłabszy punkt w systemie bezpieczeństwa informatycznego. Dzieje się tak po części z winy producentów oraz po części w wyniku zaniedbań administratorów.

Najsłabsze ogniwo w łańcuchu cyberbezpieczeństwa człowiek Informatyk w urzędzie

Najsłabsze ogniwo w łańcuchu cyberbezpieczeństwa Przyczyny: Niewiedza. Obawy związane z ośmieszeniem się przed personelem. Rutyna. Brak wdrożonych procedur i ich kontroli. Brak uwarunkowań finansowych. Brak związania się z jednostką.

Najsłabsze ogniwo w łańcuchu cyberbezpieczeństwa panaceum Wdrożenie metodyki - HUMAN FIREWALL Stałe podnoszenie kwalifikacji oraz świadomości w dziedzinie cyberbezpieczeństwa wśród wszystkich pracowników urzędów poprzez uruchomienie ogólnopolskiego programu edukacyjnego dla samorządów. Przeprowadzanie okresowych ćwiczeń dla całego personelu (nie tylko IT, ale osób decyzyjnych, sekretarek, kierowców). Przeprowadzania kontrolowanych cyberataków, których celem jest opracowanie procedur pozwalających na utrzymanie ciągłości działania systemów informatycznych.

Najsłabsze ogniwo w łańcuchu cyberbezpieczeństwa panaceum Ogólnopolski Program Edukacyjny dla Samorządów Stowarzyszenie "Miasta w Internecie" Instytut Technik Innowacyjnych EMAG Naukowa i Akademicka Sieć Komputerowa NASK

Tomasz Salachna Centrum Usług Publicznych Sieć Badawcza ŁUKASIEWICZ Instytut Technik Innowacyjnych EMAG

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres