więcej informacji

advertisement
N AJB ARDZIEJ DOŚWI ADC ZONY W POLSCE ZESPÓŁ EKSPERTÓW
BEZPIECZEŃSTW A INFOR M ACJI I SYSTEMÓ W INFORM ATYCZNYCH
Nadzór nad przetwarzaniem danych osobowych
w systemach informatycznych
Szanowni Państwo,
Zapraszamy do udziału w naszym nowym szkoleniu „Nadzór nad przetwarzaniem danych
osobowych w systemach informatycznych”, które jest skierowane do Administratorów
bezpieczeństwa informacji (ABI) oraz innych osób odpowiedzialnych za nadzór
nad zapewnieniem bezpieczeństwa przetwarzania danych osobowych, nie posiadających wiedzy
i doświadczenia informatycznego.
Celem szkolenia jest dostarczenie uczestnikom wiedzy i umiejętności pomocnych w:
 ocenie bezpieczeństwa przetwarzania danych osobowych w systemach informatycznych
 przeprowadzaniu analizy ryzyka i zagrożeń dla przetwarzania danych w systemach
informatycznych w celu doboru odpowiednich zabezpieczeń
 ocenie spełnienia wymagań zabezpieczenia danych określonych w rozporządzeniu
wykonawczym wydanym na podstawie art. 39a ustawy o ochronie danych osobowych
 prowadzeniu i dokumentowaniu sprawdzeń zgodności przetwarzania danych osobowych
z przepisami, które są przetwarzane w systemach informatycznych
Szkolenie jest prowadzone w formie wykładów i pokazów realizowanych z wykorzystaniem
testowego systemu przetwarzającego dane osobowe.
Podczas pierwszego dnia szkolenia prezentowane są wykłady podzielone na trzy bloki tematyczne:
Blok I – ma na celu przybliżenie budowy i funkcjonowania systemów informatycznych
przetwarzających dane osobowe. Podczas wykładów dowiedzą się Państwo:
 Z czego składa się system informatyczny przetwarzający dane?
 Jak są wprowadzane dane?
 W jaki sposób dane są przesyłane?
 Gdzie i w jaki sposób dane są zapisywane?
Blok II – to wprowadzenie do analizy ryzyka dla systemów informatycznych. W tej części szkolenia
będą Państwo mieli możliwość uzyskania wiedzy:
 Czym jest analiza ryzyka i jak można ją wykonać?
 Jak zidentyfikować zagrożenia dla systemu przetwarzającego dane osobowe?
 Jak zidentyfikować podatności w systemie informatycznym?
Blok III – ma na celu przedstawienie technologii zabezpieczeń systemów informatycznych
w kontekście wymagań określonych w rozporządzeniu wykonawczym wydanym na podstawie art. 39a
ustawy o ochronie danych osobowych.
European Network Security Institute Sp. z o.o.
Al. Jana Pawła II 34, 00-141 Warszawa NIP: 951-18-25-278, REGON 012996183, Kapitał zakładowy spółki - 50 000 zł, KRS 0000054499, XII
Wydział Gospodarczy Sądu Rejonowego dla m. st. Warszawy, tel.: (22) 620 12 00, fax.:(22) 620 12 53 , e-mail: [email protected], http://www.ensi.net
Drugiego dnia szkolenia przeprowadzona zostanie symulacja sprawdzenia zgodności przetwarzania
danych osobowych przetwarzanych w testowym systemie informatycznym, uwzględniająca uzyskanie
następujących informacji:
 Z czego składa się system?
 Co należy sprawdzić i jak udokumentować?
 Jak sprawdzić mechanizmy uwierzytelniania użytkowników?
 Jak sprawdzić zabezpieczenia kryptograficzne?
 Jak sprawdzić aktualność oprogramowania?
 Jak sprawdzić odnotowania wymagane w § 7 rozporządzenia wykonawczego wydanego na
podstawie art. 39a ustawy o ochronie danych osobowych?
Serdecznie zapraszamy!!!
Wszelkich informacji udziela Aleksandra Jarzębska
tel. (22) 620 12 00 lub e-mail: [email protected]
© 2017 ENSI
AGENDA SZKOLENIA
Dzień pierwszy:
10.00-13.30.
1. Systemy informatyczne służące do przetwarzania danych osobowych:
a. Podstawowe komponenty systemu (infrastruktura sieciowa, stacje
robocze, aplikacje biurowe, przeglądarki, serwery webowe, serwery
pocztowe, serwery plików, serwery baz danych).
b. Przepływy i agregacje danych (systemy centralne, kanały dostępowe,
interfejsy użytkowników, importy i exporty danych, systemy
raportujące, hurtownie danych).
c. Definiowanie systemu jako przetwarzającego dane osobowe.
2. Analiza ryzyka i zagrożeń dla systemów informatycznych:
a. Modelowanie zagrożeń dla systemów informatycznych (model
STRIDE).
b. Identyfikacja podatności systemów informatycznych.
c. Ocena ryzyk dla systemów informatycznych (model DREAD).
13.30-14.30.
14.30-16.30.
Obiad
3. Dobór zabezpieczeń dla systemu informatycznego z uwzględnieniem
wyników analizy ryzyka i wymagań rozporządzenia wykonawczego wydanego
na podstawie art. 39a ustawy o ochronie danych osobowych –
przedstawienie technologii zabezpieczeń:
a. Mechanizmy uwierzytelniania i autoryzacji działań użytkowników
b. Zabezpieczenia kryptograficzne
c. Kontrola ruchu sieciowego
d. Systemy IPS/IDS, ochrona antyspamowa, antywirusowa
e. Aktualizacje oprogramowania
f. Kopie bezpieczeństwa
g. Awaryjne źródła zasilania
Dzień drugi:
1. Wykonywanie sprawdzeń zgodności przetwarzania danych osobowych z
przepisami o ochronie danych osobowych w zakresie zabezpieczeń
systemów informatycznych:
a. Przygotowanie planu sprawdzenia – określenie zakresu sprawdzenia
systemu informatycznego służącego do przetwarzania danych
10.00-13.00
b. Weryfikacja zgodności przetwarzania danych osobowych z
wymaganiami rozporządzenia wykonawczego wydanego na
podstawie art. 39a ustawy o ochronie danych osobowych
c. Weryfikacja konfiguracji i zabezpieczeń systemu (analiza na
przykładzie testowego systemu)
d. Dokumentowanie czynności w toku sprawdzenia oraz przygotowanie
sprawozdania ze sprawdzenia.
Zakończenie szkolenia
Prowadzący warsztaty : p. Piotr Wojakowski (Dyrektor ds. bezpieczeństwa w ENSI)
Piotr Wojakowski – Dyrektor ds. bezpieczeństwa w ENSI Sp. z o.o., Ekspert ENSI w dziedzinie
zarządzania bezpieczeństwem systemów informatycznych. Związany z firmą od 1999r. (wcześniej
na stanowiskach: audytor bezpieczeństwa systemów informatycznych, kierownik zespołu testów
penetracyjnych). Absolwent Politechniki Warszawskiej Wydziału MEiL. Współtwórca: metodyki testów
i audytów ENSI, metodyki TISM – zarządzania bezpieczeństwem informacji w organizacji, metodyki
TSM - BCP – zarządzania ciągłością działania biznesowego. Wykładowca Politechniki Warszawskiej
– Studium Podyplomowego „Zarządzanie Jakością i Bezpieczeństwem Informacji w środowisku IT”.
Posiada wieloletnie doświadczenie we wdrażaniu i audytowaniu zabezpieczeń systemów
informatycznych,
testowaniu bezpieczeństwa
aplikacji internetowych
(w szczególności
dla przedsiębiorstw z sektora finansowego i ubezpieczeniowego), kierowaniu projektami wdrożeń
Polityki Bezpieczeństwa Informacji, opracowywaniu i wdrażaniu procedur bezpieczeństwa oraz planów
© 2017 ENSI
zachowania ciągłości działania w przedsiębiorstwach sektora bankowo-finansowego, przemysłowego
oraz w przedsiębiorstwach o szczególnym znaczeniu gospodarczo-obronnym, szkoleniu kadry
menedżerskiej z zasad ochrony informacji (ponad 700 osób przeszkolonych na otwartych
i zamkniętych Warsztatach TISM). Posiada następujące certyfikaty: Certified Information Systems
Security Professional (Certificate No: 62105), Certyfikowany audytor wewnętrzny Systemu
Zarządzania Bezpieczeństwem Informacji wg BS 7799-2:2002, Certyfikowany audytor wiodący ISO
27001:2005 (Cert No: Ex 114: 06192), Certyfikowany inżynier systemu BorderWare Firewall Server,
Certyfikowany administrator systemów Checkpoint FirewalI (Check Point Certified Professional ID:
445960310 CCSA 2000), Microsoft® Certified Technology Specialist.
© 2017 ENSI
Download