Logo

Szkolenie: Warsztaty bezpieczeństwa informacji w zgodności z Krajowymi Ramami Interoperacyjności (SZBI wg KRI). Implementacja aktualnych PBI, IZSI do porządku prawnego KRI

Dostępne terminy i lokalizacje

W celu ustalenia wybranego terminu lub lokalizacji szkolenia prosimy o kontakt telefoniczny.

Cena: 525,00zł(645,75zł z VAT)

Czas trwania: 16h

Kategoria: Inne

"Warsztaty bezpieczeństwa informacji w zgodności z Krajowymi Ramami Interoperacyjności (SZBI wg KRI). Implementacja aktualnych PBI, IZSI do porządku prawnego KRI.

W ramach szkolenia zapewniamy:

- udział w 2-dniowych autorskich warsztatach

- lunch

- serwis kawowy

- zaświadczenia ukończenia szkolenia

- pakiet materiałów szkoleniowych

Szkolenie poprowadzi:

Sebastian Szczerba radca prawny (PZ-KN-2700/09), audytor wiodący (Lead Auditor) SZBI wg normy PN-ISO/IEC 27001:2007, Certyfikat IRCA No.: A17242/2011/194, od 2004 r. pełni funkcję Administratora Bezpieczeństwa Informacji (ABI) w spółce komunalnej branży wodociągowo kanalizacyjnej, wykładowca Akademii Górniczo Hutniczej w Krakowie, Wyższej Szkoły Informatyki Stosowanej i Zarządzania WIT w Warszawie, Wyższej Szkoły Administracji Publicznej w Szczecinie. W ramach swojej kancelarii przeprowadził liczne szkolenia dla pracowników spółek komunalnych z zakresu bezpiecznego przetwarzania danych osobowych oraz bezpieczeństwa informacji, świadczy również usługi szkoleniowo doradcze oraz audytingowe z zakresu bezpieczeństwa informacji oraz ochrony danych osobowych w szeroko pojętym biznesie. Ostatnie swoje szkolenia przeprowadził m.in. dla Dyrektorów Wojewódzkich Urzędów Pracy oraz dla pracowników przedsiębiorstw wodociągowo kanalizacyjnych, przedsiębiorstw gospodarki komunalnej i mieszkaniowej województwa wielkopolskiego, pracowników oświatowych województwa pomorskiego oraz pracowników pomocy społecznej województwa lubelskiego.

Program merytoryczny szkolenia:

Dzień I

1. Podstawy prawne dotyczące ochrony danych osobowych i bezpieczeństwa informacji:

a) Konstytucja Rzeczypospolitej Polskiej z dnia 02.04.1997 r. (Dz. U. z 1997 r. Nr 78 poz. 483 ze zm.),

b) ustawa z dnia 26.06.1974 r. Kodeks pracy (Dz. U. z 1998 r. Nr 21 poz. 94 ze zm.), dalej jako kp,

c) ustawa z dnia 29.08.1997 r. o ochronie danych osobowych (Dz. U. z 2014 r., poz. 1182 ze zm.), dalej

jako uodo,

d) ustawa z dnia 17.02.2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (Dz. U.

z 2013 r. poz. 235 ze zm.), dalej jako uidprzp,

e) rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29.04.2004 r. w sprawie dokumentacji

przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny

odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004

r. Nr 100 poz. 1024), dalej jako rozporządzenie techniczne,

f) rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 11.12.2008 r. w sprawie wzoru

zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (Dz. U.

z 2008 r. Nr 229 poz. 1536), dalej jako rozporządzenie rejestracyjne,

g) rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 22.04.2004 r. w sprawie wzorów

imiennego upoważnienia i legitymacji służbowej inspektora Biura Generalnego Inspektora Ochrony Danych

Osobowych (Dz. U. z 2004 r. Nr 94 poz. 923 ze zm.), dalej jako rozporządzenie kontrolne,

h) rozporządzenie Rady Ministrów z dnia 12.04.2012 r. w sprawie Krajowych Ram Interoperacyjności,

minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz

minimalnych wymagań dla systemów teleinformatycznych (Dz. U. z 2012 r. poz. 526), dalej jako

rozporządzenie KRI.

2. Rodzina norm serii 2700 zapewniających w jednostce organizacyjnej bezpieczeństwo przetwarzania

informacji:

a) norma PN-ISO/IEC 27000 Technika informatyczna. Techniki bezpieczeństwa. Systemy zarządzania

bezpieczeństwem informacji. Przegląd i terminologia. - dalej jako norma 27000,

b) norma PN-ISO/IEC 27001 Technika informatyczna. Techniki bezpieczeństwa. Systemy zarządzania

bezpieczeństwem informacji. Wymagania - dalej jako norma 27001,

c) norma PN-ISO/IEC 17799 Technika informatyczna. Techniki bezpieczeństwa. Praktyczne zasady

zarządzania bezpieczeństwem informacji - dalej jako norma 17799,

d) norma PN-ISO/IEC 27005 Technika informatyczna. Techniki bezpieczeństwa. Zarządzanie ryzykiem

w bezpieczeństwie informacji - dalej jako norma 27005,

e) norma PN-ISO/IEC 24762 Technika informatyczna. Techniki bezpieczeństwa. Wytyczne dla usług

odtwarzania techniki teleinformatycznej po katastrofie, dalej jako norma 24762,

3. Podstawowe pojęcia, ważne z punktu widzenia bezpieczeństwa informacji w jednostce organizacyjnej:

a) uodo - dane osobowe, rodzaje, w tym dane zwykłe i dane wrażliwe (szczególnie chronione), zbiór danych,

przetwarzanie danych, system informatyczny, odbiorca, zgoda na przetwarzanie danych osobowych, ADO,

ABI, ASI, użytkownik praktyczne znaczenie pojęć,

b) kp pracodawca - ADO, pracownik, zakres danych udostępnianych w trybie art. 221 kp,

c) rozporządzenie techniczne identyfikator użytkownika, hasło, rozliczalność, integralność danych, poufność

danych, uwierzytelnianie,

d) rozporządzenie KRI definicja Krajowych Ram Interoperacyjności, architektura systemu

teleinformatycznego, autentyczność, dostępność, integralność, rozliczalność, niezaprzeczalność, polityka

bezpieczeństwa informacji, interesariusz, rekomendacja interoperacyjności, repozytorium interoperacyjności,

podatność systemu teleinformatycznego, zagrożenie systemu teleinformatycznego,

e) norma 27000 czym jest SZBI, podejście procesowe, bezpieczeństwo informacji, ustanowienie,

monitorowanie, utrzymanie i doskonalenie SZBI, krytyczne czynniki sukcesu SZBI, korzyści ze stosowania

rodziny norm SZBI,

f) norma 27001 cykl PDCA, aktywa, dostępność, poufność, zdarzenie/incydent związany z bezpieczeństwem

informacji, integralność, szacowanie ryzyka (analiza i ocena ryzyka), ryzyko szczątkowe, akceptowanie

ryzyka, zarządzenie ryzykiem, postępowanie z ryzykiem, deklaracja stosowania, załącznik A

normatywny,

g) norma 17799 praktyczne zasady zarządzenia bezpieczeństwem informacji, zabezpieczenie, zalecenie,

środki przetwarzania informacji, polityka, ryzyko, zagrożenie, podatność,

h) norma 27005 - ryzyko związane z bezpieczeństwem informacji, unikanie ryzyka, informowanie o ryzyku,

estymacja ryzyka, identyfikowanie ryzyka, redukowanie ryzyka, zachowanie ryzyka, transfer ryzyka,

i) norma 24762 urządzenia komputerowe i pokrewne, systemy teleinformatyczne, systemy ICT, infrastruktura,

dostawcy usług, umowa (zobowiązanie) dotyczące poziomu usług, odtwarzanie techniki teleinformatycznej po

katastrofie.

4.Przetwarzania danych osobowych/informacji w jednostce organizacyjnej:

a) przesłanki legalności przetwarzanie danych osobowych/informacji (DANE OSOBOWE, DANE KADROWE,

INFORMACJE NIEJAWNE, INFORMACJE SKARBOWE, DANE FINANSOWO-KSIĘGOWE,

POLITYKA IT, TAJEMNICA PRZEDSIĘBIORSTWA/JEDNOSTKI ORGANIZACYJNEJ, UMOWY)

b) klauzula zgody na przetwarzania danych osobowych (art. 23 ust. 1 pkt. 1 uodo), klauzule informacyjne

z art. 24 25 uodo,

d) dopuszczalność przetwarzania danych osobowych zwykłych i wrażliwych (sensytywnych),

e) stosowanie środków technicznych, fizycznych i organizacyjnych zapewniających bezpieczeństwo

przetwarzanych danych osobowych/informacji (ochrona danych osobowych przetwarzanych w formie

tradycyjnej - papierowej a ochrona danych przetwarzanych w wersji elektronicznej informatycznych),

f) cykl życia danej osobowej/informacji - zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie,

udostępnianie i usuwanie/archiwizowanie,

g) prawa osób, których dane dotyczą (art. 32 35 uodo).

5.Wewnętrzna dokumentacja bezpieczeństwa przetwarzania danych osobowych (TECZKA ABI

AKTUALIZACJA/IMPLEMENTACJA DO WYMAGAŃ KRI):

a) Polityka Bezpieczeństwa Danych Osobowych (PBDO WG KRI.),

b) Instrukcja Zarządzania Systemem Informatycznym/Teleinformatycznym (IZSI WG KRI),

c) Instrukcja Postępowania w Sytuacji Naruszenia Ochrony Danych osobowych (IPNODO WG. KRI)

d) umowa/klauzula powierzenia przetwarzania danych osobowych, w tym obowiązki podmiotu

przetwarzającego dane osobowe (UMOWA/KLAUZULA POWIERZENIA ADO PROCESSOR WG.

KRI),

e) upoważnienie do przetwarzania danych osobowych (UPOWAŻNIENIE/UPRAWNIENIE WG KRI),

f) oświadczenie o zachowaniu danych osobowych/informacji w poufności (OŚWIADCZENIE WG KRI),

g) ewidencja osób upoważnionych do przetwarzania danych osobowych/informacji (EWIDENCJA WG. KRI).

h) zakres zadań, odpowiedzialności i uprawnień osób funkcyjnych, związanych z bezpieczeństwem informacji

(ZAKRES ZADAŃ ADO, ABI, ASI, UŻYTKOWNIKA WG. KRI).

6.Rejestracja/aktualizacja zbiorów w GIODO. Kontrola GIODO w jednostce organizacyjnej

wskazówki praktyczne.

a) omówienie zbiorów podlegających lub nie podlegających rejestracji w GIODO,

b) terminy rejestracji zbiorów zwykłych i wrażliwych (od jakiego momentu istnieje obowiązek ich rejestracji),

c) okresowa ocena zawartości zbioru danych czyli czyszczenie zbioru uaktualnianie zbioru w rejestrze GIODO, rozpoznawanie nowych zbiorów i ich rejestracja zgodnie z wymogami GIODO (wzory wniosków rozporządzenie rejestracyjne),

d) zasady przeprowadzania kontroli przez GIODO - praktyczne wskazówki dotyczące przebiegu procesu kontroli (rozporządzenie kontrolne).

7. Odpowiedzialność osób upoważnionych do przetwarzania danych osobowych/informacji:

a) administracyjna,

b) cywilnoprawna,

c) dyscyplinarna,

d) karna.


Dzień II

1. System Zarządzania Bezpieczeństwem Informacji (SZBI WG. KRI) minimalne wymagania, które musi spełniać podmiot realizujący zadania publiczne, aby SZBI został opracowany na podstawie PN-ISO/IEC 27001 oraz norm związanych:PN-ISO/IEC 17799, PN-ISO/IEC 27005, PN-ISO/IEC 24762,

a) wymagania ogólne,

b) ustanowienie, wdrożenie, eksploatacja, monitorowanie, przegląd, utrzymanie i doskonalenie SZBI (PDCA)

c) wymagania dotyczące dokumentacji nadzór nad dokumentami i zapisami,

d) odpowiedzialność kierownictwa zaangażowanie kierownictwa, zarządzanie zasobami, zapewnienie zasobów, szkolenie, uświadamianie i kompetencje,

e) wewnętrzne audytu SZBI,

f) przeglądy SZBI realizowane przez kierownictwo dane wejściowe do przeglądu oraz wyniki przeglądu,

g) doskonalenie SZBI ciągłe doskonalenie, działania korygujące oraz działania zapobiegawcze.

2. Załącznik A (normatywny) cele stosowania zabezpieczeń i zabezpieczenia wg. PN-ISO/IEC 27001:

a) polityka bezpieczeństwa informacji,

b) organizacja bezpieczeństwa informacji,

c) zarządzanie aktywami,

d) bezpieczeństwo zasobów ludzkich,

e) bezpieczeństwo fizyczne i środowiskowe,

f) zarządzanie systemami i sieciami,

g) kontrola dostępu,

h) pozyskiwanie, rozwój i utrzymanie systemów informacyjnych,

i) zarządzanie incydentami związanymi z bezpieczeństwem informacji,

j) zarządzania ciągłością działania,

k) zgodność z przepisami prawnymi.

3. Wewnętrzna dokumentacja bezpieczeństwa informacji w zgodności z 20 rozporządzenia KRI obowiązująca w jednostce organizacyjnej (DBI WG. KRI):

a) Polityka Bezpieczeństwa Informacji (PBI) opracowana w zgodności z wymaganiami PN-ISO/IEC 27001, PN-ISO/IEC 17799, PN-ISO/IEC 27005, PN-ISO/IEC 24762,

b) Metodyka szacowania ryzyka (MSR) opracowana w zgodności z wymaganiami PN-ISO/IEC 27005,

c) Plan Postępowania z Ryzykiem (PPZR) opracowany w zgodności z wymaganiami PN-ISO/IEC 27005,

d) Polityka Bezpieczeństwa Danych Osobowych (PBDO) opracowana w zgodności z wymaganiami PN-ISO/IEC 27001 oraz rozporządzenia technicznego,

e) Instrukcja Zarządzania Systemem Informatycznym/Teleinformatycznym (IZSI) opracowana w zgodności z wymaganiami PN-ISO/IEC 17799 oraz rozporządzenia technicznego,

f) Instrukcja Postępowania w Sytuacji Naruszenia Bezpieczeństwa Informacji (IPNBI),

g) Plan Ciągłości Działania (PCD) opracowany w zgodności z wymaganiami PN-ISO/IEC 24762.

4. Wewnętrzny audyt bezpieczeństwa informacji (WABI WG. KRI) według 20 rozporządzenia KRI:

a) zapewniania aktualizacji regulacji wewnętrznych w jednostce organizacyjnej (STATUT, REG.ORG., REG. PRACY, PROC. NABORU, ZAKRESY ZADAŃ, FORMULARZE, WNIOSKI, STARE PBI ORAZ IZSI ZAPISY BI),

b) inwentaryzacja aktywów w jednostce organizacyjnej - sprzętu i oprogramowania służącego do przetwarzania informacji obejmującego ich rodzaj i konfigurację (INWENTARYZACJA AKTYWÓW PBI),

c) przeprowadzania okresowych analiz ryzyka utraty integralności, dostępności lub poufności informacji oraz podejmowania działań minimalizujących to ryzyko (OKRESOWA ANALIZA RYZYKA MSR, PPZR),

d) opracowywanie/aktualizacja upoważnień (uprawnień) do przetwarzania informacji ważnych z punktu widzenia BI (UPRAWNIENIA DO PRZETWARZANIA INFORMACJI PBI, PBDO),

e) zapewniania szkoleń osób zaangażowanych w proces przetwarzania informacji ze szczególnym uwzględnieniem zagadnień dotyczących bezpieczeństwa informacji (SZKOLENIA BI),

f) zapewniania ochrony przetwarzanych informacji przed ich kradzieżą, nieuprawnionym dostępem, uszkodzeniami lub zakłóceniami (opracowanie podstawowych zasad stosowanie środków technicznych, organizacyjnych i fizycznych zapewniających bezpieczeństwo przetwarzanych informacji - PBI, PBDO, IZSI),

g) ustanawianie podstawowych zasad gwarantujących bezpieczną pracę przy przetwarzaniu mobilnym i pracy na odległość (PRZETWARZANIE MOBILNE KRYPTOGRAFIA PBI, IZSI),

h) zawierania w umowach serwisowych podpisanych ze stronami trzecimi zapisów gwarantujących odpowiedni poziom bezpieczeństwa informacji (UMOWY/KLAUZULE BEZPIECZEŃSTWA INFORMACJI/DANYCH OSOBOWYCH PBI, PBDO),

i) zapewniania odpowiedniego poziomu bezpieczeństwa w systemach teleinformatycznych (IZSI, MSR, PPZR, IPNBI, PCD),

j) zgłaszanie incydentów naruszenia bezpieczeństwa informacji (IPNBI),

k) praktyczne wzory raportów z audytów dotyczących bezpieczeństwa informacji (RAPORTY WABI),

5. Dobre praktyki w zakresie ochrony danych osobowych/bezpieczeństwa informacji.

6. Dyskusja.


UWAGA! Każdy uczestnik może zgłosić pytanie dotyczące problematyki kursu na 9 dni przed kursem - odpowiedź uzyska podczas kursu.

Nr fax: +48 81 532-84-14, +48 81 534-35-50 lub info@epe.edu.pl

ORGANIZACJA: Wypełnione zgłoszenie prosimy nadsyłać faksem, pocztą lub poprzez stronę internetową www.epe.edu.pl

Rezygnację przyjmujemy najpóźniej na 5 dni przed data rozpoczęcia szkolenia.

Kalendarz szkoleń