Ustawy nakładają obowiązek przeprowadzenia audytu przez osoby posiadające wymagane uprawnienia. Nasz zespół je posiada. Posiadamy też audytorów wiodących w zakresie bezpieczeństwa informacji wg ISO/IEC 27001. Najważniejsze jest jednak doświadczenie. Jest w tym zakresie ponad 10 letnie.
Jaki audyt bezpieczeństwa w ramach projektu Cyfrowa Gmina?
Jeśli gmina planuje pozyskać dofinansowanie w ramach projektu grantowego “Cyfrowa Gmina” na zakup m.in. sprzętu IT, ustawa nakłada obowiązek przeprowadzenia audytu przez osoby posiadające wymagane uprawnienia. Nasz zespół je posiada. Posiadamy też audytorów wiodących w zakresie bezpieczeństwa informacji wg ISO/IEC 27001. Najważniejsze jest doświadczenie. Jest ponad 10 letnie w tym zakresie.
Od wielu miesięcy nasze zespoły działają w zakresie Program “Cyfrowa Gmina”, ogłoszony przez Centrum Projektów Polska Cyfrowa finansowany ze środków w ramach Programu Operacyjnego Polska Cyfrowa na lata 2014-2020 Osi Priorytetowej V Rozwój cyfrowy JST oraz wzmocnienie cyfrowej odporności na zagrożenia REACT-EU działania 5.1 Rozwój cyfrowy JST oraz wzmocnienie cyfrowej odporności na zagrożenia, jest wyjściem naprzeciw potrzebom JST.
Kiedy audyt bezpieczeństwa w ramach projektu Cyfrowy Powiat?
Audyt w starostwie jest obowiązkowy i związany z wsparciem rozwoju cyfrowego instytucji samorządowych oraz zwiększenie cyberbezpieczeństwa.
Dzięki temu można otrzymać dofinansowanie na zadania związane z:
- Cyfryzacją urzędów JST i jednostek im podległych oraz nadzorowanych poprzez nabycie sprzętu IT i oprogramowania, licencji niezbędnych do realizacji e-usług, pracy i edukacji zdalnej.
- Edukację cyfrową dla JST w zakresie obsługi nabytego sprzętu oraz oprogramowania i licencji.
- Analizą stanu cyberbezpieczeństwa JST, a także zapewnieniem cyberbezpieczeństwa samorządowych systemów informatycznych.
Diagnoza w zakresie bezpieczeństwa informacji
Odbywa się na podstawie ustawy KRI (Krajowe Ramy Interoperacyjności). Zawiera m.in. zestaw wymagań organizacyjnych oraz technologicznych dotyczących interoperacyjności systemów teleinformatycznych i rejestrów publicznych.
Przykład: zalacznik-nr-8-formularz-informacji-zwiazanych-z-przeprowadzeniem-diagnozy-cyberbezpieczenstwa do wypełnienia przez audytorów i odesłanie do CSIRT NASK.
Szkolenie pracowników w zakresie cyberbezpieczeństwa
Przykładowy program szkolenia zawiera m.in.
- Główne założenia i wymagania prawne cyberbezpieczeństwa w pracy urzędnika
- Polityka bezpieczeństwa w organizacji. Definicja
- Definicja incydentu bezpieczeństwa i zasady postępowania z incydentem w urzędzie
- Integralność, poufność, dostępność. Definicje
- Istotne obszary bezpieczeństwa z punktu widzenia pracowników urzędu z uwzględnieniem bezpieczeństwa:
- fizycznego (miejsca pracy)
-
-
- dokumenty
- urządzenia
- czyste biurko
- czysty ekran
-
-
- organizacyjnego (personalnego), w tym:
-
-
- postępowanie w celu zapewnienia bezpieczeństwa informacji, w szczególności w ramach telepracy i pracy zdalnej, omówienie zasad bezpieczeństwa informacji oraz najlepszych praktyk zabezpieczających
- zasady bezpieczeństwa podczas wideokonferencji
- bezpieczne korzystanie z Internetu, ze szczególnym uwzględnieniem serwisów społecznościowych
- prywatność w sieci czyli: trackery, ciastka (cookies), tryb incognito
- rozpoznawania fałszywych informacji
- fake news – identyfikacja i walka z fałszywymi wiadomościami
-
-
- informacyjnego (informacje, dane, zasoby)
-
-
- bezpieczne korzystanie z sieci Wi-Fi
- zdalny dostęp do firmowych zasobów
- bezpieczeństwo danych w chmurze
-
- Prawidłowe korzystanie z komputera
-
- Zasady aktualizacji programów, aplikacji, oprogramowania antywirusowego
- W jaki sposób zabezpieczyć własne dane?
-
-
- szyfrowanie dokumentów i poczty elektronicznej.
- archiwizacja
-
-
- Polityka haseł, zarządzanie dostępem i tożsamością.
-
-
- jak tworzyć silne hasło (propozycje)?
- przechowywania hasła,
- odzyskiwanie hasła i dostępu do systemu operacyjnego
- Bezpieczeństwo zakupów oraz płatności w Internecie
-
Rodzaje ataków:
-
-
- socjotechniczne,
- komputerowe,
- bezprzewodowe,
- przez pocztę e-mail (fałszywe e-maile),
- przez strony WWW,
- przez telefon.
-
Przyczyny, źródła, cel i mechanizmy ataków
- Czym są, definicje: phishing, spoofing, phishing, pharming, sniffing, ransomeware, malware, spam
- Socjotechnika i jak się przed nią bronić?
-
- metody ochrony przed atakami komputerowymi i socjotechnicznymi,
- stosowanie technik socjotechnicznych w informatyce
- zdefiniowanie pojęcia przy użyciu przykładów, z którymi pracownicy mogą spotkać się w codziennej pracy,
- przedstawienie sposobów manipulacji mających na celu uzyskanie określonych korzyści, zwrócenie uwagi, że nawet najmniejsza ilość informacji może przyczynić się do penetracji organizacji,
- przeciwdziałanie atakom socjotechnicznym (np. podszywanie się pod służby ochrony, współpracownika lub firmę współpracującą, interesanta, pracownika biurowego na urlopie itp.;
- profilowanie, zbieranie informacji o podmiocie ataku i wybieranie najlepszego czasu na atak),
- pakiet biurowy i niebezpieczne dokumenty (m.in. bezpieczna konfiguracja pakietu, złośliwe makra, kradzież danych logowania i inne potencjalne ataki).
-
Przykłady incydentów bezpieczeństwa informacji. Największe wycieki danych z ostatnich lat . Omówienie przykładów.
Ramowy zakres szkolenia urzędników: Program Szkolenie z zagrożeń. Cyfrowa Gmina. Janowiec Wlkp.
Kogo audytowaliśmy i szkoliliśmy? Spójrz w referencjach
Każda gmina, powiat czy szpital powinien posiadać plan audytów i regularnie je przeprowadzać. Raz w roku, zgodnie z KRI, powinien przeprowadzić w zakresie bezpieczeństwa informacji.
Kompleksowe wsparcie w ochronie informacji (RODO, polityka bezpieczeństwa informacji, sygnalista)
Każda gmina, powiat czy szpital powinien posiadać plan audytów i regularnie je przeprowadzać. Raz w roku, zgodnie z KRI, powinien przeprowadzić w zakresie bezpieczeństwa informacji. Szpitale, zwłaszcza operatorzy kluczowi, są zobowiązane również przeprowadzić audyt w zakresie KSC.
Pomagamy w tym zakresie również spełnić wymagania: dokumentację SZBI, politykę, załączniki czy też wymagania związane z RODO.
Udostępniamy kanał zgłoszeniowy (zobacz jak działa platforma SYGNALISTA24.info ) i pomagamy zabezpieczyć dane sygnalisty przed ujawnieniem. Wdrażamy dokumnetację i szkolimy w tym zakresie. Więcej na stronie poświęconej wyłącznie sygnalistom www.sygnalista24.info
Jedna odpowiedź