Kurs

(cyber)bezpieczny samorząd

(

W 2021 roku hakerzy udowodnili, że wiedza na temat cyberbezpieczeństwa i odpowiednie zabezpieczenie urzędu pod tym względem to nie tylko hasła marketingowe, ale realny problem i zagrożenie, które dotknęło nie tylko rząd, ale też urzędy samorządowe, wstrzymując pracę na wiele godzin i powodując poważne problemy w funkcjonowaniu administracji. Nasze szkolenia skierowane są nie tyko do informatyków odpowiedzialnych za zabezpieczenie urzędu przez cyberatakami, ale też do kadry zarządzającej oraz wszystkich pracowników urzędów, by mieli świadomość, w jaki sposób pracować bezpiecznie. Przedstawimy aspekt prawny bezpieczeństwa danych, praktyczne porady, jak pracować by dane chronić oraz obowiązki związane z naruszeniem tych danych.

1

Szkolenie

Bezpieczeństwo danych w urzędzie – aspekt prawny

Wykładowca: Bartosz Mendyk

Urząd organizując system bezpieczeństwa danych powinien zwrócić uwagę na obowiązki wynikające z przepisów RODO a więc związane z przetwarzaniem danych osobowych.

Prawidłowa organizacja systemu ochrony danych osobowych nakłada na administratora szereg obowiązków, o których mowa zwłaszcza w art. 24 oraz 32 RODO. W sytuacji, gdyby okazało się, że przetwarzanie danych osobowych odbywa się w nowatorski sposób administrator powinien także przeprowadzić ocenę skutków dla ochrony danych osobowych.

Szkolenie koncentruje się na opisie wskazanych przepisów oraz omawia zalecenie organu nadzorczego – Prezesa UODO, aby odpowiednio realizować zasadę rozliczalności.

W szczególności szkolenie omawia najbardziej problematyczne aspekty pracy samorządowej, gdzie bezpieczeństwo danych jest narażone: są to sesja rady, publikacja dokumentów (uchwał, zarządzeń) w BIPie, czy tezy jakie postawił organ nadzorczy i WSA w sprawie kary nałożonej na Aleksandrów Kujawski. Ponadto na szkoleniu zwrócono również uwagę na inne orzeczenia i kary, bardziej uniwersalne, które co prawda nie zdarzyły się w samorządzie, ale były na tyle uniwersalne, że wnioski te jak najbardziej mają znaczenie w samorządzie.

2

Szkolenie

Jak bronić urząd przed cyberatakami

Wykładowca: Paweł Henig

Celem szkolenia jest przybliżenie systemu zarządzania bezpieczeństwem informacji (cyberbezpieczeństwem), którego podstawą jest podejście oparte na ryzyku.

Zakres szkolenia:

Wprowadzenie do podejścia opartego na ryzyku. Wyjaśnienie pojęcia ryzyka, jego roli i znaczenia w systemie zarządzania bezpieczeństwem informacji.

Wprowadzenie do ładu IT jako elementu łączącego najlepsze praktyki i standardy zarządzania poszczególnymi obszarami IT, takimi jak: zarządzanie usługami IT, zarządzanie projektami, zarządzanie bezpieczeństwem informacji. Zrozumienie wzajemnej kompatybilności i uzupełniania się poszczególnych standardów oraz znaczenia poszczególnych czynników umożliwiających.

Wprowadzenie do organizacji bezpieczeństwa, zakresu uprawnień i odpowiedzialności. Wyjaśnienie takich pojęć jak: SOC, CSIRT, CERT. Omówienie procesu reagowania na incydent oraz wskazanie i omówienie źródeł informacji na temat mechanizmów ataku i obrony.

3

Szkolenie

Obowiązki związane z naruszeniem danych w wyniku ataku hakerskiego

Wykładowca: Bartosz Mendyk

Ataki hakerskie na urzędy w Polsce stały się faktem – wydaje się, że może to mieć związek z sytuacją polityczną Polski. Niezależnie od przyczyny przepisy wskazują kilka podstawowych obowiązków. Jednym z nim jest notyfikacja naruszeń w zakresie ochrony danych organowi nadzorczemu, drugim jest informowanie o zagrożeniu osób fizycznych, których dane dotyczą. Są to zresztą przepisy, za które szczególnie często nakłada kary organ nadzorczy. Nierespektowanie tych przepisów, nierealizowanie nałożonych obowiązków- prowadzi na nakładania kar. Szkolenie omawia najpopularniejsze błędy jakie temu mogą towarzyszyć. Szczególny nacisk został położony na identyfikację naruszeń praw i wolności osób fizycznych – bowiem określenie na ile były one istotne powoduje, że materializuje się odpowiednio obowiązek wskazany w art. 33 RODO oraz gdy okaże się, że ryzyko naruszenia praw i wolności osób fizycznych jest spore- również art. 34 RODO. Zwrócono uwagę na metodologię ENISA – która jest również zalecenia przez organ nadzorczy – przy okazji liczenia skali powagi naruszenia (w kontekście naruszenia praw i wolności osób fizycznych).