Warsztaty Eksperckie dla Administratorów Bezpieczeństwa Informacji (3 dni)

PLANOWANIE SPRAWDZEŃ ZGODNOŚCI PRZETWARZANIA DANYCH OSOBOWYCH

ĆWICZENIE Opracowanie rocznego planu sprawdzeń ABI przy wsparciu wykładowców:

• określenie przedmiotu poszczególnych sprawdzeń
• wyznaczenie zakresu sprawdzeń
• wskazanie terminów realizacji konkretnych sprawdzeń
• ustalenie sposobu i zakresu dokumentowania poszczególnych sprawdzeń

PRZEPROWADZANIE SPRAWDZEŃ ZGODNOŚCI PRZETWARZANIA DANYCH OSOBOWYCH

ĆWICZENIE Przeprowadzenie przykładowego sprawdzenia przy wsparciu wykładowców:

• sporządzanie notatek z przeprowadzonych czynności – ćwiczenie + wzór notatki
• protokoły odebrania ustnych wyjaśnień – ćwiczenie + wzór protokołu z wyjaśnień
• protokoły z przeprowadzonych oględzin – ćwiczenie + wzór protokołu z oględzin
• sporządzanie kopii otrzymanych do analizy dokumentów – zasady bezpiecznego kopiowania
• tworzenie kopii obrazów z monitora komputera – zasady postępowania
• sporządzanie kopii logów i rejestrów systemów informatycznych, w których są przetwarzane dane osobowe – zasady współpracy ze służbami informatycznymi

OPRACOWANIE SPRAWOZDANIA Z PRZEPROWADZONEGO SPRAWDZENIA

ĆWICZENIE Przygotowanie treści przykładowego Sprawozdania:

• sporządzanie wykazu czynności podjętych przez Administratora Bezpieczeństwa Informacji w toku sprawdzenia oraz imiona, nazwiska i stanowiska osób biorących udział w tych czynnościach
• opracowanie opisu stanu faktycznego stwierdzonego w toku sprawdzenia oraz innych informacji mających istotne znaczenie dla oceny zgodności przetwarzania danych z przepisami o ochronie danych osobowych
• wskazanie stwierdzonych przypadków naruszenia przepisów o ochronie danych osobowych
  w zakresie objętym sprawdzeniem wraz z planowanymi lub podjętymi działaniami przywracającymi stan zgodny z prawem
• przygotowanie pozostałych wymaganych prawnie informacji w Sprawozdaniu

OPRACOWANIE REJESTRU ZBIORÓW DANYCH OSOBOWYCH PROWADZONEGO PRZEZ ABI

ĆWICZENIE Opracowanie treści rejestru zbiorów danych osobowych jaki musi prowadzić ABI:

• ustalenie zakresu zbiorów danych osobowych jakie powinny znaleźć się w rejestrze
• przygotowanie opisu poszczególnych zbiorów
• ustalenie formy prowadzenia rejestru (papierowa / elektroniczna)
• ustalenie sposobu przekazywania do wiadomości publicznej informacji zawartych w rejestrze

REALIZACJA SZKOLEŃ Z ZAKRESU OCHRONY DANYCH OSOBOWYCH PRZEZ ABI

ĆWICZENIE Opracowanie przykładowej prezentacji szkoleniowej:

• informacje z zakresu ochrony danych osobowych jakie należy uwzględnić w szkoleniu
• forma i sposób przeprowadzenia szkolenia
• sposób prezentacji treści
• weryfikacja poziomu uzyskanej wiedzy przez uczestników szkolenia
• możliwe sposoby dokumentowania przez ABI procesu realizacji szkoleń

OPRACOWANIE PODSTAWOWYCH ELEMENTÓW DOKUMENTU

ĆWICZENIE Tworzenie elementów podstawowych Polityki bezpieczeństwa przy wsparciu wykładowców:

• wprowadzenie w dokumencie (cel stosowania dokumentu, podstawy prawne wdrożenia)
• słownik stosowanych definicji w dokumencie
• zakres obowiązywania dokumentu w konkretnym podmiocie

OPIS OBSZARU PRZETWARZANIA DANYCH OSOBOWYCH (§ 4 pkt 1 Rozporządzenia)

ĆWICZENIE Opracowanie opisu obszaru przetwarzania danych osobowych przy wsparciu wykładowców:

• opracowanie wykazu budynków, pomieszczeń i części pomieszczeń stanowiących obszar przetwarzania danych osobowych
• co powinien zawierać opis obszaru przetwarzania danych osobowych?
• przykłady miejsc stanowiących obszar przetwarzania danych osobowych
• indywidualne omówienie obszarów przetwarzania danych osobowych na podstawie informacji o swoich podmiotach, posiadanych przez uczestników warsztatów

WYKAZ ZBIORÓW DANYCH OSOBOWYCH I SYSTEMÓW INFORMATYCZNYCH ORAZ OPIS ICH STRUKTURY (§ 4 pkt 2 i 3 Rozporządzenia)

ĆWICZENIE Opracowanie wykazu zbiorów danych osobowych, programów służących do ich przetwarzania oraz opisu ich struktur przy wsparciu wykładowców:

• inwentaryzacja zbiorów danych osobowych
• opracowanie opisu struktur zbiorów danych
• systemy, aplikacje, programy służące do przetwarzania danych osobowych – klasyfikacja
  na potrzeby Polityki Bezpieczeństwa
• struktury baz danych systemów informatycznych służących do przetwarzania danych
• omówienie zbiorów danych osobowych na podstawie zapytań i informacji przekazanych przez uczestników warsztatów – konsultacje z wykładowcami

OPIS SPOSOBU PRZEPŁYWU DANYCH POMIĘDZY POSZCZEGÓLNYMI SYSTEMAMI (§ 4 pkt 4 Rozporządzenia)

ĆWICZENIE Opracowanie opisu przepływu danych osobowych pomiędzy poszczególnymi systemami informatycznymi:

• przepływy danych realizowane pomiędzy systemami za pomocą operacji wykonywanych przez  użytkownika
• przepływy danych realizowane pomiędzy systemami w sposób półautomatyczny
• przepływy danych realizowane pomiędzy systemami w sposób automatyczny

OPIS ŚRODKÓW TECHNICZNYCH I ORGANIZACYJNYCH NIEZBĘDNYCH DLA ZAPEWNIENIA POUFNOŚCI, INTEGRALNOŚCI i ROZLICZALNOŚCI  PRZETWARZANYCH DANYCH (§ 4 pkt 5 Rozporządzenia)

ĆWICZENIE Opracowanie wykazu technicznych i organizacyjnych środków bezpieczeństwa zastosowanych wobec danych osobowych:

• wymagane środki służące zapewnieniu poufności danych osobowych
• wymagane środki służące zapewnieniu integralności danych osobowych
• wymagane środki służące zapewnieniu rozliczalności danych osobowych

ELEMENTY PODSTAWOWE DOKUMENTU PRAZ PROCEDURA NADAWANIA UPRAWNIEŃ DO PRZETWARZANIA DANYCH ORAZ REJESTROWANIA TYCH UPRAWNIEŃ W SYSTEMACH INFORMATYCZNYCH (§ 5 pkt 1 Rozporządzenia)

ĆWICZENIE Opracowanie podstawowych elementów Instrukcji oraz procedury nadawania uprawnień przy wsparciu wykładowców:

• słownik stosowanych definicji oraz zakres obowiązywania dokumentu
• niezbędne elementy procedury nadawania uprawnień
• wskazanie osób odpowiedzialnych za realizację procedury nadawania uprawnień

OPIS STOSOWANYCH METOD I ŚRODKÓW UWIERZYTELNIENIA, PROCEDURY ZWIĄZANE Z ICH ZARZĄDZANIEM I UŻYTKOWANIEM ORAZ PROCEDURA ROZPOCZĘCIA, ZAWIESZENIA I ZAKOŃCZENIA PRACY W SYSTEMIE (§ 5 pkt 2 i 3 Rozporządzenia)

ĆWICZENIE Opracowanie opisu zastosowanych metod i środków uwierzytelnienia
w systemach informatycznych, procedur zarządzania tymi środkami oraz zarządzaniem pracą użytkownika w systemie informatycznym:

• opis zastosowanych metod i środków uwierzytelnienia
• zasady zarządzania metodami i środkami uwierzytelnienia
• opis wymaganego procesu rozpoczęcia, zawieszenia i zakończenia pracy przez użytkownika w systemie informatycznym

PROCEDURA TWORZENIA KOPII ZAPASOWYCH ZBIORÓW DANYCH ORAZ PROGRAMÓW SŁUŻĄCYCH DO ICH PRZETWARZANIA A TAKŻE OPIS SPOSOBU, MIEJSCA I OKRESU PRZECHOWYWANIA ELEKTRONICZNYCH NOŚNIKÓW INFORMACJI ZAWIERAJACYCH DANE OSOBOWE ORAZ KOPII ZAPASOWYCH (§ 5 pkt 4 i 5 Rozporządzenia)

ĆWICZENIE Opracowanie procedury tworzenia kopii zapasowych oraz opisu sposobu przechowywania elektronicznych nośników danych:

• procedura tworzenia kopii zapasowych baz danych i systemów informatycznych
• opis sposobu przechowywania elektronicznych nośników zawierających dane osobowe
• opis sposobu przechowywania nośników zawierających kopie zapasowe

OPIS SPOSOBU ZABEZPIECZENIA SYSTEMU INFORMATYCZNEGO PRZED DZIAŁALNOŚCIĄ OPROGRAMOWANIA, KTÓREGO CELEM JEST UZYSKANIE NIEUPRAWNIONEGO DOSTĘPU DO SYSTEMU (§ 5 pkt 6 Rozporządzenia)

ĆWICZENIE Opracowanie opisu stosowanych zabezpieczeń przed działaniem złośliwego oprogramowania:

• wymagane prawnie środki bezpieczeństwa przed działalnością złośliwego oprogramowania
• sposoby zabezpieczenia przed niebezpiecznym oprogramowaniem

OPIS SPOSOBU REALIZACJI WYMOGU ODNOTOWYWANIA W SYSTEMACH INFORMATYCZNYCH INFORMACJI O UDOSTĘPNIENIU DANYCH ORAZ PROCEDURA WYKONYWANIA PRZEGLĄDÓW I KONSERWACJI SYSTEMÓW ORAZ NOŚNIKÓW INFORMACJI SŁUŻĄCYCH DO PRZETWARZANIA DANYCH (§ 5 pkt 7 i 8 Rozporządzenia)

ĆWICZENIE Opracowanie zapisów przy wsparciu wykładowców:

• sposób realizacji wymogu odnotowywania w systemach informatycznych informacji
  o udostępnianiu danych (w sposób manualny oraz automatyczny)

• procedura przeglądu, naprawy i konserwacji systemów informatycznych oraz nośników danych
  w przypadku wykonywania prac przez służby wewnętrzne
• zasady przeglądu, naprawy i konserwacji systemów informatycznych oraz nośników danych
  w przypadku wykonywania prac przez podmiot zewnętrzny (zewnętrzne wsparcie IT)
• procedura postępowania wobec elektronicznych nośników danych przeznaczonych do likwidacji