Ustawy nakładają obowiązek przeprowadzenia audytu przez osoby posiadające wymagane uprawnienia. Nasz zespół je posiada. Posiadamy też audytorów wiodących w zakresie bezpieczeństwa informacji wg ISO/IEC 27001. Najważniejsze jest jednak doświadczenie. Jest w tym zakresie ponad 10 letnie.

Jaki audyt bezpieczeństwa w ramach projektu Cyfrowa Gmina?

Jeśli gmina planuje pozyskać dofinansowanie w ramach projektu grantowego “Cyfrowa Gmina” na zakup m.in. sprzętu IT, ustawa nakłada obowiązek przeprowadzenia audytu przez osoby posiadające wymagane uprawnienia. Nasz zespół je posiada. Posiadamy też audytorów wiodących w zakresie bezpieczeństwa informacji wg ISO/IEC 27001. Najważniejsze jest doświadczenie. Jest ponad 10 letnie w tym zakresie.

Od wielu miesięcy nasze zespoły działają w zakresie Program “Cyfrowa Gmina”, ogłoszony przez Centrum Projektów Polska Cyfrowa finansowany ze środków w ramach Programu Operacyjnego Polska Cyfrowa na lata 2014-2020 Osi Priorytetowej V Rozwój cyfrowy JST oraz wzmocnienie cyfrowej odporności na zagrożenia REACT-EU działania 5.1 Rozwój cyfrowy JST oraz wzmocnienie cyfrowej odporności na zagrożenia, jest wyjściem naprzeciw potrzebom JST.

Kiedy audyt bezpieczeństwa w ramach projektu Cyfrowy Powiat?

Audyt w starostwie jest obowiązkowy i związany z wsparciem rozwoju cyfrowego instytucji samorządowych oraz zwiększenie cyberbezpieczeństwa.

Dzięki temu można otrzymać dofinansowanie na zadania związane z:

• Cyfryzacją urzędów JST i jednostek im podległych oraz nadzorowanych poprzez nabycie sprzętu IT i oprogramowania, licencji niezbędnych do realizacji e-usług, pracy i edukacji zdalnej.
• Edukację cyfrową dla JST w zakresie obsługi nabytego sprzętu oraz oprogramowania i licencji.
• Analizą stanu cyberbezpieczeństwa JST, a także zapewnieniem cyberbezpieczeństwa samorządowych systemów informatycznych.

Diagnoza w zakresie bezpieczeństwa informacji

Odbywa się na podstawie ustawy KRI (Krajowe Ramy Interoperacyjności). Zawiera m.in. zestaw wymagań organizacyjnych oraz technologicznych dotyczących interoperacyjności systemów teleinformatycznych i rejestrów publicznych.

Przykład: zalacznik-nr-8-formularz-informacji-zwiazanych-z-przeprowadzeniem-diagnozy-cyberbezpieczenstwa do wypełnienia przez audytorów i odesłanie do CSIRT NASK.

Szkolenie pracowników w zakresie cyberbezpieczeństwa

Przykładowy program szkolenia zawiera m.in.

1. Główne założenia i wymagania prawne cyberbezpieczeństwa w pracy urzędnika
2. Polityka bezpieczeństwa w organizacji. Definicja
3. Definicja incydentu bezpieczeństwa i zasady postępowania z incydentem w urzędzie
4. Integralność, poufność, dostępność. Definicje
5. Istotne obszary bezpieczeństwa z punktu widzenia pracowników urzędu z uwzględnieniem bezpieczeństwa:
   • fizycznego (miejsca pracy)

• • • dokumenty
    • urządzenia
    • czyste biurko
    • czysty ekran

1. • organizacyjnego (personalnego), w tym:

• • • postępowanie w celu zapewnienia bezpieczeństwa informacji, w szczególności w ramach telepracy i pracy zdalnej, omówienie zasad bezpieczeństwa informacji oraz najlepszych praktyk zabezpieczających
    • zasady bezpieczeństwa podczas wideokonferencji
    • bezpieczne korzystanie z Internetu, ze szczególnym uwzględnieniem serwisów społecznościowych
    • prywatność w sieci czyli: trackery, ciastka (cookies), tryb incognito
    • rozpoznawania fałszywych informacji
    • fake news – identyfikacja i walka z fałszywymi wiadomościami

1. • informacyjnego (informacje, dane, zasoby)

• • • bezpieczne korzystanie z sieci Wi-Fi
    • zdalny dostęp do firmowych zasobów
    • bezpieczeństwo danych w chmurze

6. Prawidłowe korzystanie z komputera

• • Zasady aktualizacji programów, aplikacji, oprogramowania antywirusowego
  • W jaki sposób zabezpieczyć własne dane?

• • • szyfrowanie dokumentów i poczty elektronicznej.
    • archiwizacja

1. • Polityka haseł, zarządzanie dostępem i tożsamością.

• • • jak tworzyć silne hasło (propozycje)?
    • przechowywania hasła,
    • odzyskiwanie hasła i dostępu do systemu operacyjnego
  • Bezpieczeństwo zakupów oraz płatności w Internecie

Rodzaje ataków:

• • • socjotechniczne,
    • komputerowe,
    • bezprzewodowe,
    • przez pocztę e-mail (fałszywe e-maile),
    • przez strony WWW,
    • przez telefon.

Przyczyny, źródła, cel i mechanizmy ataków

• Czym są, definicje: phishing, spoofing, phishing, pharming, sniffing, ransomeware, malware, spam
• Socjotechnika i jak się przed nią bronić?
  • • metody ochrony przed atakami komputerowymi i socjotechnicznymi,
    • stosowanie technik socjotechnicznych w informatyce
    • zdefiniowanie pojęcia przy użyciu przykładów, z którymi pracownicy mogą spotkać się w codziennej pracy,
    • przedstawienie sposobów manipulacji mających na celu uzyskanie określonych korzyści, zwrócenie uwagi, że nawet najmniejsza ilość informacji może przyczynić się do penetracji organizacji,
    • przeciwdziałanie atakom socjotechnicznym (np. podszywanie się pod służby ochrony, współpracownika lub firmę współpracującą, interesanta, pracownika biurowego na urlopie itp.;
    • profilowanie, zbieranie informacji o podmiocie ataku i wybieranie najlepszego czasu na atak),
    • pakiet biurowy i niebezpieczne dokumenty (m.in. bezpieczna konfiguracja pakietu, złośliwe makra, kradzież danych logowania i inne potencjalne ataki).

Przykłady incydentów bezpieczeństwa informacji. Największe wycieki danych z ostatnich lat . Omówienie przykładów.

Ramowy zakres szkolenia urzędników: Program Szkolenie z zagrożeń. Cyfrowa Gmina. Janowiec Wlkp.

Kogo audytowaliśmy i szkoliliśmy? Spójrz w referencjach

Każda gmina, powiat czy szpital powinien posiadać plan audytów i regularnie je przeprowadzać. Raz w roku, zgodnie z KRI, powinien przeprowadzić w zakresie bezpieczeństwa informacji.

Kompleksowe wsparcie w ochronie informacji (RODO, polityka bezpieczeństwa informacji, sygnalista)

Każda gmina, powiat czy szpital powinien posiadać plan audytów i regularnie je przeprowadzać. Raz w roku, zgodnie z KRI, powinien przeprowadzić w zakresie bezpieczeństwa informacji. Szpitale, zwłaszcza operatorzy kluczowi, są zobowiązane również przeprowadzić audyt w zakresie KSC.

Pomagamy w tym zakresie również spełnić wymagania: dokumentację SZBI, politykę, załączniki czy też wymagania związane z RODO.

Udostępniamy kanał zgłoszeniowy (zobacz jak działa platforma SYGNALISTA24.info ) i pomagamy zabezpieczyć dane sygnalisty przed ujawnieniem. Wdrażamy dokumnetację i szkolimy w tym zakresie. Więcej na stronie poświęconej wyłącznie sygnalistom www.sygnalista24.info

Zapraszamy do kontaktu