N AJB ARDZIEJ DOŚWI ADC ZONY W POLSCE ZESPÓŁ EKSPERTÓW BEZPIECZEŃSTW A INFOR M ACJI I SYSTEMÓ W INFORM ATYCZNYCH Nadzór nad przetwarzaniem danych osobowych w systemach informatycznych Szanowni Państwo, Zapraszamy do udziału w naszym nowym szkoleniu „Nadzór nad przetwarzaniem danych osobowych w systemach informatycznych”, które jest skierowane do Administratorów bezpieczeństwa informacji (ABI) oraz innych osób odpowiedzialnych za nadzór nad zapewnieniem bezpieczeństwa przetwarzania danych osobowych, nie posiadających wiedzy i doświadczenia informatycznego. Celem szkolenia jest dostarczenie uczestnikom wiedzy i umiejętności pomocnych w: ocenie bezpieczeństwa przetwarzania danych osobowych w systemach informatycznych przeprowadzaniu analizy ryzyka i zagrożeń dla przetwarzania danych w systemach informatycznych w celu doboru odpowiednich zabezpieczeń ocenie spełnienia wymagań zabezpieczenia danych określonych w rozporządzeniu wykonawczym wydanym na podstawie art. 39a ustawy o ochronie danych osobowych prowadzeniu i dokumentowaniu sprawdzeń zgodności przetwarzania danych osobowych z przepisami, które są przetwarzane w systemach informatycznych Szkolenie jest prowadzone w formie wykładów i pokazów realizowanych z wykorzystaniem testowego systemu przetwarzającego dane osobowe. Podczas pierwszego dnia szkolenia prezentowane są wykłady podzielone na trzy bloki tematyczne: Blok I – ma na celu przybliżenie budowy i funkcjonowania systemów informatycznych przetwarzających dane osobowe. Podczas wykładów dowiedzą się Państwo: Z czego składa się system informatyczny przetwarzający dane? Jak są wprowadzane dane? W jaki sposób dane są przesyłane? Gdzie i w jaki sposób dane są zapisywane? Blok II – to wprowadzenie do analizy ryzyka dla systemów informatycznych. W tej części szkolenia będą Państwo mieli możliwość uzyskania wiedzy: Czym jest analiza ryzyka i jak można ją wykonać? Jak zidentyfikować zagrożenia dla systemu przetwarzającego dane osobowe? Jak zidentyfikować podatności w systemie informatycznym? Blok III – ma na celu przedstawienie technologii zabezpieczeń systemów informatycznych w kontekście wymagań określonych w rozporządzeniu wykonawczym wydanym na podstawie art. 39a ustawy o ochronie danych osobowych. European Network Security Institute Sp. z o.o. Al. Jana Pawła II 34, 00-141 Warszawa NIP: 951-18-25-278, REGON 012996183, Kapitał zakładowy spółki - 50 000 zł, KRS 0000054499, XII Wydział Gospodarczy Sądu Rejonowego dla m. st. Warszawy, tel.: (22) 620 12 00, fax.:(22) 620 12 53 , e-mail: [email protected], http://www.ensi.net Drugiego dnia szkolenia przeprowadzona zostanie symulacja sprawdzenia zgodności przetwarzania danych osobowych przetwarzanych w testowym systemie informatycznym, uwzględniająca uzyskanie następujących informacji: Z czego składa się system? Co należy sprawdzić i jak udokumentować? Jak sprawdzić mechanizmy uwierzytelniania użytkowników? Jak sprawdzić zabezpieczenia kryptograficzne? Jak sprawdzić aktualność oprogramowania? Jak sprawdzić odnotowania wymagane w § 7 rozporządzenia wykonawczego wydanego na podstawie art. 39a ustawy o ochronie danych osobowych? Serdecznie zapraszamy!!! Wszelkich informacji udziela Aleksandra Jarzębska tel. (22) 620 12 00 lub e-mail: [email protected] © 2017 ENSI AGENDA SZKOLENIA Dzień pierwszy: 10.00-13.30. 1. Systemy informatyczne służące do przetwarzania danych osobowych: a. Podstawowe komponenty systemu (infrastruktura sieciowa, stacje robocze, aplikacje biurowe, przeglądarki, serwery webowe, serwery pocztowe, serwery plików, serwery baz danych). b. Przepływy i agregacje danych (systemy centralne, kanały dostępowe, interfejsy użytkowników, importy i exporty danych, systemy raportujące, hurtownie danych). c. Definiowanie systemu jako przetwarzającego dane osobowe. 2. Analiza ryzyka i zagrożeń dla systemów informatycznych: a. Modelowanie zagrożeń dla systemów informatycznych (model STRIDE). b. Identyfikacja podatności systemów informatycznych. c. Ocena ryzyk dla systemów informatycznych (model DREAD). 13.30-14.30. 14.30-16.30. Obiad 3. Dobór zabezpieczeń dla systemu informatycznego z uwzględnieniem wyników analizy ryzyka i wymagań rozporządzenia wykonawczego wydanego na podstawie art. 39a ustawy o ochronie danych osobowych – przedstawienie technologii zabezpieczeń: a. Mechanizmy uwierzytelniania i autoryzacji działań użytkowników b. Zabezpieczenia kryptograficzne c. Kontrola ruchu sieciowego d. Systemy IPS/IDS, ochrona antyspamowa, antywirusowa e. Aktualizacje oprogramowania f. Kopie bezpieczeństwa g. Awaryjne źródła zasilania Dzień drugi: 1. Wykonywanie sprawdzeń zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych w zakresie zabezpieczeń systemów informatycznych: a. Przygotowanie planu sprawdzenia – określenie zakresu sprawdzenia systemu informatycznego służącego do przetwarzania danych 10.00-13.00 b. Weryfikacja zgodności przetwarzania danych osobowych z wymaganiami rozporządzenia wykonawczego wydanego na podstawie art. 39a ustawy o ochronie danych osobowych c. Weryfikacja konfiguracji i zabezpieczeń systemu (analiza na przykładzie testowego systemu) d. Dokumentowanie czynności w toku sprawdzenia oraz przygotowanie sprawozdania ze sprawdzenia. Zakończenie szkolenia Prowadzący warsztaty : p. Piotr Wojakowski (Dyrektor ds. bezpieczeństwa w ENSI) Piotr Wojakowski – Dyrektor ds. bezpieczeństwa w ENSI Sp. z o.o., Ekspert ENSI w dziedzinie zarządzania bezpieczeństwem systemów informatycznych. Związany z firmą od 1999r. (wcześniej na stanowiskach: audytor bezpieczeństwa systemów informatycznych, kierownik zespołu testów penetracyjnych). Absolwent Politechniki Warszawskiej Wydziału MEiL. Współtwórca: metodyki testów i audytów ENSI, metodyki TISM – zarządzania bezpieczeństwem informacji w organizacji, metodyki TSM - BCP – zarządzania ciągłością działania biznesowego. Wykładowca Politechniki Warszawskiej – Studium Podyplomowego „Zarządzanie Jakością i Bezpieczeństwem Informacji w środowisku IT”. Posiada wieloletnie doświadczenie we wdrażaniu i audytowaniu zabezpieczeń systemów informatycznych, testowaniu bezpieczeństwa aplikacji internetowych (w szczególności dla przedsiębiorstw z sektora finansowego i ubezpieczeniowego), kierowaniu projektami wdrożeń Polityki Bezpieczeństwa Informacji, opracowywaniu i wdrażaniu procedur bezpieczeństwa oraz planów © 2017 ENSI zachowania ciągłości działania w przedsiębiorstwach sektora bankowo-finansowego, przemysłowego oraz w przedsiębiorstwach o szczególnym znaczeniu gospodarczo-obronnym, szkoleniu kadry menedżerskiej z zasad ochrony informacji (ponad 700 osób przeszkolonych na otwartych i zamkniętych Warsztatach TISM). Posiada następujące certyfikaty: Certified Information Systems Security Professional (Certificate No: 62105), Certyfikowany audytor wewnętrzny Systemu Zarządzania Bezpieczeństwem Informacji wg BS 7799-2:2002, Certyfikowany audytor wiodący ISO 27001:2005 (Cert No: Ex 114: 06192), Certyfikowany inżynier systemu BorderWare Firewall Server, Certyfikowany administrator systemów Checkpoint FirewalI (Check Point Certified Professional ID: 445960310 CCSA 2000), Microsoft® Certified Technology Specialist. © 2017 ENSI