Audyt bezpieczeństwa informacji

.

Ustawy nakładają obowiązek przeprowadzenia audytu przez osoby posiadające wymagane uprawnienia. Nasz zespół je posiada. Posiadamy też audytorów wiodących w zakresie bezpieczeństwa informacji wg ISO/IEC 27001. Najważniejsze jest jednak doświadczenie. Jest w tym zakresie ponad 10 letnie.

Jaki audyt bezpieczeństwa w ramach projektu Cyfrowa Gmina?

Jeśli gmina planuje pozyskać dofinansowanie w ramach projektu grantowego “Cyfrowa Gmina” na zakup m.in. sprzętu IT, ustawa nakłada obowiązek przeprowadzenia audytu przez osoby posiadające wymagane uprawnienia. Nasz zespół je posiada. Posiadamy też audytorów wiodących w zakresie bezpieczeństwa informacji wg ISO/IEC 27001. Najważniejsze jest doświadczenie. Jest ponad 10 letnie w tym zakresie.

Od wielu miesięcy nasze zespoły działają w zakresie Program “Cyfrowa Gmina”, ogłoszony przez Centrum Projektów Polska Cyfrowa finansowany ze środków w ramach Programu Operacyjnego Polska Cyfrowa na lata 2014-2020 Osi Priorytetowej V Rozwój cyfrowy JST oraz wzmocnienie cyfrowej odporności na zagrożenia REACT-EU działania 5.1 Rozwój cyfrowy JST oraz wzmocnienie cyfrowej odporności na zagrożenia, jest wyjściem naprzeciw potrzebom JST.

Kiedy audyt bezpieczeństwa w ramach projektu Cyfrowy Powiat?

Audyt w starostwie jest obowiązkowy i związany z wsparciem rozwoju cyfrowego instytucji samorządowych oraz zwiększenie cyberbezpieczeństwa.

Dzięki temu można otrzymać dofinansowanie na zadania związane z:

  • Cyfryzacją urzędów JST i jednostek im podległych oraz nadzorowanych poprzez nabycie sprzętu IT i oprogramowania, licencji niezbędnych do realizacji e-usług, pracy i edukacji zdalnej.
  • Edukację cyfrową dla JST w zakresie obsługi nabytego sprzętu oraz oprogramowania i licencji.
  • Analizą stanu cyberbezpieczeństwa JST, a także zapewnieniem cyberbezpieczeństwa samorządowych systemów informatycznych.

Diagnoza w zakresie bezpieczeństwa informacji

Odbywa się na podstawie ustawy KRI (Krajowe Ramy Interoperacyjności). Zawiera m.in. zestaw wymagań organizacyjnych oraz technologicznych dotyczących interoperacyjności systemów teleinformatycznych i rejestrów publicznych.

Przykład: zalacznik-nr-8-formularz-informacji-zwiazanych-z-przeprowadzeniem-diagnozy-cyberbezpieczenstwa do wypełnienia przez audytorów i odesłanie do CSIRT NASK.

Szkolenie pracowników w zakresie cyberbezpieczeństwa

Przykładowy program szkolenia zawiera m.in.

  1. Główne założenia i wymagania prawne cyberbezpieczeństwa w pracy urzędnika
  2. Polityka bezpieczeństwa w organizacji. Definicja
  3. Definicja incydentu bezpieczeństwa i zasady postępowania z incydentem w urzędzie
  4. Integralność, poufność, dostępność. Definicje
  5. Istotne obszary bezpieczeństwa z punktu widzenia pracowników urzędu z uwzględnieniem bezpieczeństwa:
    • fizycznego (miejsca pracy)
      • dokumenty
      • urządzenia
      • czyste biurko
      • czysty ekran
    • organizacyjnego (personalnego), w tym:
      • postępowanie w celu zapewnienia bezpieczeństwa informacji, w szczególności w ramach telepracy i pracy zdalnej, omówienie zasad bezpieczeństwa informacji oraz najlepszych praktyk zabezpieczających
      • zasady bezpieczeństwa podczas wideokonferencji
      • bezpieczne korzystanie z Internetu, ze szczególnym uwzględnieniem serwisów społecznościowych
      • prywatność w sieci czyli: trackery, ciastka (cookies), tryb incognito
      • rozpoznawania fałszywych informacji
      • fake news – identyfikacja i walka z fałszywymi wiadomościami
    • informacyjnego (informacje, dane, zasoby)
      • bezpieczne korzystanie z sieci Wi-Fi
      • zdalny dostęp do firmowych zasobów
      • bezpieczeństwo danych w chmurze
  1. Prawidłowe korzystanie z komputera
    • Zasady aktualizacji programów, aplikacji, oprogramowania antywirusowego
    • W jaki sposób zabezpieczyć własne dane?
      • szyfrowanie dokumentów i poczty elektronicznej.
      • archiwizacja
    • Polityka haseł, zarządzanie dostępem i tożsamością.
      • jak tworzyć silne hasło (propozycje)?
      • przechowywania hasła,
      • odzyskiwanie hasła i dostępu do systemu operacyjnego
    • Bezpieczeństwo zakupów oraz płatności w Internecie

Rodzaje ataków:

      • socjotechniczne,
      • komputerowe,
      • bezprzewodowe,
      • przez pocztę e-mail (fałszywe e-maile),
      • przez strony WWW,
      • przez telefon.

Przyczyny, źródła, cel i mechanizmy ataków

  • Czym są, definicje: phishing, spoofing, phishing, pharming, sniffing, ransomeware, malware, spam
  • Socjotechnika i jak się przed nią bronić?
      • metody ochrony przed atakami komputerowymi i socjotechnicznymi,
      • stosowanie technik socjotechnicznych w informatyce
      • zdefiniowanie pojęcia przy użyciu przykładów, z którymi pracownicy mogą spotkać się w codziennej pracy,
      • przedstawienie sposobów manipulacji mających na celu uzyskanie określonych korzyści, zwrócenie uwagi, że nawet najmniejsza ilość informacji może przyczynić się do penetracji organizacji,
      • przeciwdziałanie atakom socjotechnicznym (np. podszywanie się pod służby ochrony, współpracownika lub firmę współpracującą, interesanta, pracownika biurowego na urlopie itp.;
      • profilowanie, zbieranie informacji o podmiocie ataku i wybieranie najlepszego czasu na atak),
      • pakiet biurowy i niebezpieczne dokumenty (m.in. bezpieczna konfiguracja pakietu, złośliwe makra, kradzież danych logowania i inne potencjalne ataki).

Przykłady incydentów bezpieczeństwa informacji. Największe wycieki danych z ostatnich lat . Omówienie przykładów.

Ramowy zakres szkolenia urzędników: Program Szkolenie z zagrożeń. Cyfrowa Gmina. Janowiec Wlkp.

Kogo audytowaliśmy i szkoliliśmy? Spójrz w referencjach

Każda gmina, powiat czy szpital powinien posiadać plan audytów i regularnie je przeprowadzać. Raz w roku, zgodnie z KRI, powinien przeprowadzić w zakresie bezpieczeństwa informacji.

Kompleksowe wsparcie w ochronie informacji (RODO, polityka bezpieczeństwa informacji, sygnalista)

Każda gmina, powiat czy szpital powinien posiadać plan audytów i regularnie je przeprowadzać. Raz w roku, zgodnie z KRI, powinien przeprowadzić w zakresie bezpieczeństwa informacji. Szpitale, zwłaszcza operatorzy kluczowi, są zobowiązane również przeprowadzić audyt w zakresie KSC.

Pomagamy w tym zakresie również spełnić wymagania: dokumentację SZBI, politykę, załączniki czy też wymagania związane z RODO.

Udostępniamy kanał zgłoszeniowy (zobacz jak działa platforma SYGNALISTA24.info ) i pomagamy zabezpieczyć dane sygnalisty przed ujawnieniem. Wdrażamy dokumnetację i szkolimy w tym zakresie. Więcej na stronie poświęconej wyłącznie sygnalistom www.sygnalista24.info

Zapraszamy do kontaktu

Jedna odpowiedź

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Kategorie

Popularne wpisy

Ciekawe publikacje

Zaufali nam między innymi:

Skontaktuj się z nami

kontakt@doering-partnerzy.pl​
rodo, sygnalista: +48 600 210 513
prace b+r: +48 690 495 513​

Zobacz nasze referencje