Czy zarządzać bezpieczeństwem IT w urzędzie?

Podobne dokumenty
WARUNKI OPTYMALIZACJI TECHNOLOGII ROBÓT STRZAŁOWYCH W ODKRYWKOWYCH ZAKŁADACH GÓRNICZYCH

* tworzenie kryteriów oceny i nagradzania; * redukcję kosztów. Zasady kaizen Filozofia kaizen opiera się na dwóch zasadniczych

Reforma ochrony danych osobowych RODO/GDPR

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

Zarządzanie jakością w logistyce ćw. Artur Olejniczak

Normalizacja dla bezpieczeństwa informacyjnego

Jak zorganizować bezpieczeństwo informacji w praktyce. Miłosz Pacocha

Ochrona biznesu w cyfrowej transformacji

Miejsce NC Cyber w systemie bezpieczeństwa teleinformatycznego państwa

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

Zarządzanie bezpieczeństwem informacji w świetle zmian w prawie po 2014 roku

Promotor: dr inż. Krzysztof Różanowski

Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej

Nowa Strategia Cyberbezpieczeństwa RP na lata główne założenia i cele

I. O P I S S Z K O L E N I A

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji

Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( )

KOMPLEKSOWE ZARZĄDZANIE JAKOŚCIĄ MODELOWANIE PROCESÓW

USŁUGI AUDYTOWE I DORADCZE W ZAKRESIE OCHRONY DANYCH OSOBOWYCH. 17 września 2012

Zarządzanie bezpieczeństwem informacji w urzędach pracy

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

ZARZĄDZENIE Nr 132/12 BURMISTRZA PASŁĘKA z dnia 28 grudnia 2012 roku

Minimalne wymogi wdrożenia systemu kontroli zarządczej w jednostkach organizacyjnych miasta Lublin

Wyzwania i dobre praktyki zarządzania ryzykiem technologicznym dla obszaru cyberzagrożeń

SYSTEM WSPARCIA DLA PODMIOTÓW EKONOMII SPOŁECZNEJ DOŚWIADCZENIA Z BUDOWY KORPUSU DORADCÓW BIZNESOWYCH

Polityka bezpieczeństwa

Sekcja I: Instytucja zamawiająca/podmiot zamawiający

AGENDA DZIEŃ I 9: PANEL I WPROWADZENIE DO ZMIAN W OCHRONIE DANYCH OSOBOWYCH 1. ŚRODOWISKO BEZPIECZEŃSTWA DANYCH OSOBOWYCH.

Zarządzenie Nr 71/2010 Burmistrza Miasta Czeladź. z dnia 28 kwietnia 2010r.

System doskonalenia nauczycieli oparty na ogólnodostępnym kompleksowym wspomaganiu szkół

Szkolenie podstawowe z zakresu bezpieczeństwa informacji BI-01

SMART OFFICE - NOWOCZESNE PODEJŚCIE DO FUNKCJONOWANIA FIRMY

Przedstawienie działań IT MF

Zaplanować projekt fundraisingowy i przeprowadzić go przez wszystkie etapy realizacji nie tracąc z pola widzenia założonych efektów;

Zarządzenie Nr 90/2008 Burmistrza Miasta Czeladź. z dnia

System Zarządzania Bezpieczeństwem Informacji - czy stać nas na to ryzyko?

Narzędzie informatyczne do modelowania, zarządzania i dokumentowania procesów systemu zarządzania jakością

Deklaracja Zarządu o ustanowieniu Polityki Bezpieczeństwa PLT Sp. z o.o.

Zagrożenia bezpieczeństwa informacji. dr inż. Wojciech Winogrodzki T-Matic Grupa Computer Plus Sp. z o.o.

Audyty zgodności z Rekomendacją D w Bankach Spółdzielczych

Szczegółowe informacje o kursach

Zarządzanie zmianą - rozwój zarządzania procesowego wg ISO 9001:2015

ISO bezpieczeństwo informacji w organizacji

Poradnik dla samorządów - ustawa o krajowym systemie cyberbezpieczeństwa

OD JAKOŚCI DO TRWAŁOŚCI REZULTATÓW W PROJEKTACH ERASMUS+

ISO w Banku Spółdzielczym - od decyzji do realizacji

WEBMETRO, tel: , mail:

Szkolenie Ochrona Danych Osobowych ODO-01

Leszek Sikorski Warszawa

Kluczowe działania w obszarze ochrony zdrowia podejmowane przez CSIOZ

POLITYKA PRYWATNOŚCI Polityka prywatności abcedukacja.pl I. Kto jest administratorem danych osobowych abcedukacja pl?

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI

Narzędzia Informatyki w biznesie

Zasady funkcjonowania systemu kontroli zarządczej w Urzędzie Miasta Lublin i jednostkach organizacyjnych miasta Lublin akceptowalny poziom ryzyka

OPIS SYSTEMU KONTROLI WEWNĘTRZNEJ W BANKU SPÓŁDZIELCZYM W ŁOSICACH

Polityka Ochrony Cyberprzestrzeni RP

Cel i hipoteza pracy

Spis treści. Wstęp... 9

Mateusz Kurleto NEOTERIC. Analiza projektu B2B Kielce, 18 października 2012

Aspekty cyberbezpieczeństwa w jednostkach samorządu terytorialnego

Zarządzanie projektami a zarządzanie ryzykiem

Zastosowania informatyki w gospodarce Projekt

AUDYT MARKETINGOWY JEDNOSTKI SAMORZĄDU TERYTORIALNEGO

BANK SPÓŁDZIELCZY W WOLBROMIU

Szkolenie otwarte 2016 r.

REALIZACJA PRZEZ PODMIOTY PAŃSTWOWE ZADAŃ W ZAKRESIE OCHRONY CYBERPRZESTRZENI RP. Wstępne wyniki kontroli przeprowadzonej w 2014 r.

Szkolenie Ochrona Danych Osobowych ODO-01

Krzysztof Świtała WPiA UKSW

ZARZĄDZENIE Nr 90/09 WÓJTA GMINY MROZY z dnia 16 grudnia 2009 roku

PROJEKT PREDEFINIOWANY Budowanie kompetencji do współpracy między-samorządowej i międzysektorowej jako narzędzi rozwoju lokalnego i regionalnego

Inspektor ochrony danych

Workplace by Facebook. Twoja bezpieczna, firmowa sieć społecznościowa

Jak budować markę? Zestaw praktycznych porad

Cyberbezpieczeństwo w Obiektach Przemysłowych na Przykładzie Instalacji Nuklearnych. Monika Adamczyk III FBST

BAKER TILLY POLAND CONSULTING

Ryzyko w świetle nowych norm ISO 9001:2015 i 14001:2015

biznes zmienia się z Orange

Bezpieczeństwo i koszty wdrażania Informatycznych Systemów Zarządzania Hubert Szczepaniuk Wojskowa Akademia Techniczna im. Jarosława Dąbrowskiego

OGRANICZENIE RYZYKA POPRAWA BEZPIECZEŃSTWA ODPORNOŚĆ NA ZAGROŻENIA SEKA S.A. ZARZĄDZANIE BEZPIECZEŃSTWEM. seka.pl

System kontroli wewnętrznej w Banku Spółdzielczym w Narolu

Historia naszego klienta. Rozwiązanie FAMOC MDM zwiększa bezpieczeństwo mobilne w Credit Agricole Bank Polska

System kontroli wewnętrznej w Banku Spółdzielczym Ziemi Kraśnickiej w Kraśniku

8 Przygotowanie wdrożenia

Opis Przedmiotu Zamówienia

Koszty związane z tworzeniem aplikacji on demand versus zakup gotowych rozwiązań

Numer ogłoszenia: ISZ 2/2014 Data ukazania się ogłoszenia: 16 stycznia 2014 r.

SIŁA PROSTOTY. Business Suite

Narzędzia doskonalenia produkcji - LEAN, KAIZEN, TOC, GEMBA

z wyszczególnieniem usług automatyzacji procesów mgr inż. Adam Smółkowski mgr inż. Marcin Wójciuk Aspartus (Grupa ProService FINTECO)

Już dziś masz szansę stać się uczestnikiem projektu "Fabryka Innowacji!"

Metryka dokumentu: RFC-2350 CERT Alior Data wydania pierwszej wersji: wydania kolejnej jego wersji.

Dlaczego outsourcing informatyczny? Jakie korzyści zapewnia outsourcing informatyczny? Pełny czy częściowy?

Oferta szkolenia z zakresu tajemnicy przedsiębiorstwa

PO PROSTU JAKOŚĆ. PODRĘCZNIK ZARZĄDZANIA JAKOŚCIĄ. Autor: JAN M. MYSZEWSKI

Na czym polega planowanie ochrony informacji niejawnych w jednostce organizacyjnej?

NOWOCZESNE ZARZĄDZANIE W INSTYTUCJACH RYNKU PRACY Z WYKORZYSTANIEM ZARZĄDZANIA PROCESOWEGO

Zarządzanie ryzykiem w projektach informatycznych. Marcin Krysiński marcin@krysinski.eu

Transkrypt:

Czy zarządzać bezpieczeństwem IT w urzędzie? Główne ryzyka w zarządzaniu bezpieczeństwem IT Damian Hoffman Ekspert ds. bezpieczeństwa, Instytut Prawa Nowych Technologii email: damian@ipnt.pl

BEZPIECZEŃSTWO IT Bezpieczeństwo IT - zbiór zagadnień z dziedziny telekomunikacji i informatyki związany z szacowaniem i kontrolą ryzyka wynikającego z korzystania z komputerów, sieci komputerowych i przesyłania danych do zdalnych lokalizacji. Ryzyko - najogólniej, ryzyko jest wskaźnikiem stanu lub zdarzenia, które może prowadzić do strat. Jest ono proporcjonalne do prawdopodobieństwa wystąpienia tego zdarzenia i do wielkości strat, które może spowodować. Ryzyka nie da się wyeliminować i sprowadzić do ZERA. Jakie są główne ryzyka związane z bezpieczeństwem IT?

MOŻLIWE WEKTORY ATAKÓW 1. Poczta elektroniczna (poczta służbowa, poczta prywatna) 2. Strony internetowe (spreparowane strony www, strony ze złośliwym kodem) 3. Infrastruktura teleinformatyczna (serwery, sieć LAN/WAN) 4. Fizyczne (podsłuchy, monitoring, dokumenty) Ryzyko ataków na organizację? Mitygacja ryzyka powinna obejmować wszystkie wyżej wymienone obszary!

PRZYKŁAD ATAKÓW POCZTA ELEKTRONICZNA Przejęcie kontroli nad komputerem fałszywy email

PRZYKŁAD ATAKÓW SOCJOTECHNIKA 3.7 MLN straty - Podlaski Zarząd Dróg Wojewódzkich

PRZYKŁAD ATAKÓW PENDRIVE? Pendrive reklamowy pozostawiony w biurze

PRZYKŁAD ATAKÓW DOKUMENTY? Akta Prokuratury Rejonowej znalezione w sortowni odpadów

PRZYKŁAD ATAKÓW SPREPAROWANA STRONA WWW Zaszyfrowanie dysków w urzędzie

PRZYKŁAD BŁĘDU WYSYŁKA EMAILA Jedna z pracownic pewnego warszawskiego urzędu przesłała wiadomość do grupy obywateli, ale zamiast w BCC, ich adresy wrzuciła w CC

SKUTKI ATAKÓW 1. Wyłudzenie danych osobowych 2. Kradzież danych (informacje przetargowe, dokumenty tajne) 3. Utrata wizerunku (urzędu, instytucji państwowych) 4. Utrata dostępu do e-usług 5. Straty finansowe

JAK MITYGOWAĆ RYZYKO ATAKU? 1. Plan zapewnienia bezpieczeństwa 2. Audyty bezpieczeństwa 3. Edukacja pracowników 4. Inwestycje w infrastrukturę IT

JAK MĄDRZE MITYGOWAĆ RYZYKO ATAKU? 1. Kompleksowy plan zapewnienia bezpieczeństwa w różnych obszarach 2. Audyty bezpieczeństwa, certyfikowane, przekrojowe, realizowane przez jednostki zewnętrzne 3. Edukacja, szkolenia, budowanie świadomości bezpieczeństwa jako proces 4. Efektywne inwestycje w infrastrukturę IT, dywersyfikacja technologii

PRZYKŁAD - SIEM, CZYLI JAK WYBIERAĆ ROZWIĄZANIE INFORMATYCZNE Co chronimy?; Jaki jest cel? (jakie są wymagania biznesowe i formalno-prawne) Wymagania funkcjonalne, jakie stawiamy przed rozwiązaniem? = Zapisy w SIWZ Jak wybrać rozwiązanie lub zawęzić poszukiwania?

CYKL PDCA I PO CO MI TO? (DOBRA PRAKTYKA W BEZPIECZEŃSTWIE) PDCA (cykl Deminga) to schemat ilustrujący podstawową zasadę ciągłego ulepszania (ciągłego doskonalenia, Kaizen), stworzoną przez Williama Edwardsa Deminga, amerykańskiego specjalistę statystyka pracującego w Japonii. ZAPLANUJ (ang. Plan): Planuj każdą zmianę z wyprzedzeniem. Przeanalizuj obecną sytuację oraz potencjalne skutki zmian zanim jakiekolwiek podejmiesz. Z góry przemyśl, co powinieneś zmierzyć, aby przekonać się, czy zrealizowałeś swój zamiar. Zaplanuj pomiar, jako jeden z elementów realizacji zmiany. Myśl o pomiarze aż do następnego kroku (przez cały okres planowania). Opracuj plan wdrożenia zmiany, zadbaj przy tym o pełną obsadę tego przedsięwzięcia właściwym personelem oraz zaangażuj właścicieli procesów. WYKONAJ, ZRÓB (ang. Do): Przeprowadź pilotażowe wdrożenie zmiany w małej skali, w kontrolowanych warunkach (tzn. najpierw przeprowadź eksperyment, bądź zbuduj prototyp). ZBADAJ (ang. Study): Gruntownie przeanalizuj rezultaty eksperymentu. Wyprowadź wnioski - co zebrane dane mówią na temat skuteczności próbnego wdrożenia? ZASTOSUJ, DZIAŁAJ (ang. Act): Podejmij właściwe działania, aby wdrożyć standard takiego procesu, który wytworzył rezultaty najbardziej pożądane.

CO WARTO PRZECZYTAĆ? Założenia Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej, Ministerstwo Cyfryzacji ABC zagrożeń bezpieczeństwa danych osobowych w systemach teleinformatycznych (GIODO) Raporty NASK, CERT, ORANGE LABS Raport Zapewnienie bezpieczeństwa działania systemów informatycznych wykorzystywanych do realizacji zadań publicznych, NIK Stan cyberbezpieczeństwa polskich urzędów, D. Lisiak, M. Szmit Standardy i dobre praktyki producentów rozwiązań

PODSUMOWANIE Bezpieczeństwo to proces który zmienia się w raz z organizacją i jej potrzebami. Nie wolno spocząć na laurach. Monitorowanie i samodoskonalenie jest priorytetem.

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres