Bezpieczeństwo informacji i ochrona danych w świetle kontroli NIK i UODO. Typowe błędy popełniane przez Administratorów Danych

Przypomnienie uczestnikom podstawowych obowiązków nałożonych na podmioty publiczne w zakresie związanym z zapewnieniem bezpieczeństwa informacji, ochrony danych osobowych oraz elektronicznych zasobów informatycznych. Omówienie najczęściej występujących problemów z wdrożeniem w jednostkach przepisów RODO, Krajowych Ram Interoperacyjności oraz Krajowego Systemu Cyberbezpieczeństwa. Prezentacja wyników dotychczasowych kontroli zrealizowanych przez Najwyższą Izbę Kontroli, prezentacja typowych błędów i uchybień występujących w kontrolowanych jednostkach. Omówienie najnowszych interpretacji i zaleceń związanych z bezpieczeństwem informacji wydanych przez Prezesa Urzędu Ochrony Danych Osobowych. Wymiana doświadczeń pomiędzy uczestnikami szkolenia, możliwość konsultacji i uzyskania eksperckich porad w zakresie wątpliwości związanych z tematem szkolenia.

1. Definicja podmiotu publicznego – do jakich jednostek organizacyjnych i w jakim zakresie mają zastosowanie:
   • Krajowe Ramy Interoperacyjności,
   • Rozporządzenie Ogólne o Ochronie Danych Osobowych (RODO),
   • Krajowy System Cyberbezpieczeństwa.
2. Przypomnienie podstawowych obowiązków związanych z zapewnieniem bezpieczeństwa informacji i ochrony danych w podmiotach publicznych:
   • wymagana dokumentacja (polityki, instrukcje, rejestry i ewidencje),
   • osoby funkcyjne – personel bezpieczeństwa,
   • inwentaryzacja infrastruktury informatycznej i zasobów informacyjnych,
   • ocena ryzyka,
   • zabezpieczenia (poufność, integralność i dostępność),
   • użytkownicy (nadawanie uprawnień, szkolenia),
   • nadzór i kontrola oraz audyty wewnętrzne,
   • rejestrowanie i obsługa incydentów,
   • aktualizacja dokumentacji.
3. Razem czy osobno? System Zarządzania Bezpieczeństwem Informacji a ochrona danych osobowych.
   • wyznaczanie osób funkcyjnych odpowiedzialnych za bezpieczeństwo informacji i ochronę danych,
   • tworzenie wymaganej dokumentacji,
   • zabezpieczenie informacji i danych osobowych (techniczne i organizacyjne środki ochrony),
   • zarządzanie incydentami i ich zgłaszanie do właściwego organu,
   • zapewnienie ciągłości działania,
   • testowanie, mierzenie i ocena skuteczności ochrony danych,
   • obowiązki związane z udostępnieniem lub powierzeniem danych.
4. Kontrole NIK i UODO zrealizowane w latach 2014 – 2020 dotyczące wdrożenia Krajowych Ram Interoperacyjności oraz RODO. 
   • zakres podmiotów objętych kontrolami,
   • syntetyczne przedstawienie wyników kontroli,
   • typowe błędy występujące w kontrolowanych jednostkach,
   • analiza wybranych przypadków.
5. Praktyczne wskazówki dotyczące zapewnienia bezpieczeństwa elektronicznych zasobów informacyjnych:
   • sześć złotych zasad bezpieczeństwa informacji,
   • zagrożenia z Internetu: phishing, ransomware, poczta e-mail, strony www, serwisy społecznościowe,
   • hasła do systemów informatycznych,
   • bezpieczeństwo urządzeń mobilnych,
   • informatyczne nośniki danych – pendrivy i pamięci zewnętrzne,
   • zdalny dostęp do zasobów i korzystanie z urządzeń prywatnych pracowników,
   • przechowywanie danych w chmurze i korzystanie z zewnętrznych dostawców usług informatycznych,
   • oprogramowanie antywirusowe,
   • aktualizacja programów i aplikacji,
   • monitorowanie stanu bezpieczeństwa systemów informatycznych oraz działań użytkowników,
   • udostępnianie dokumentacji podmiotom zewnętrznym oraz w trybie dostępu do informacji publicznej.
6. Konsultacje i odpowiedzi na pytania.

Kierownicy jednostek samorządu terytorialnego i jednostek organizacyjnych pod nie podległych (m.in. placówki kulturalne i oświatowe, ośrodki pomocy społecznej), odpowiedzialni za bezpieczeństwo informacji lub danych osobowych, pełnomocnicy ds. bezpieczeństwa cyberprzestrzeni oraz osoby odpowiedzialne w podmiotach publicznych za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa, Inspektorzy Ochrony Danych i ich zastępcy, audytorzy wewnętrzni, Administratorzy Systemów Informatycznych oraz osoby odpowiedzialne za obsługę informatyczną jednostek administracji rządowej i samorządowej, wszystkie inne osoby zainteresowane problematyką bezpieczeństwa informacji i ochrony danych osobowych lub pragnące poszerzyć swoją wiedzę na ten temat.

Absolwent UMK w Toruniu oraz studiów podyplomowych WSAiB w Gdyni na kierunku zarządzanie bezpieczeństwem informacji, certyfikowany Inspektor Ochrony Danych, Menedżer Bezpieczeństwa Informacji oraz Auditor wewnętrzny systemu zarządzania bezpieczeństwem informacji. W latach 1992 - 2013 funkcjonariusz UOP/ABW, od 1999r. zajmuje się problematyką ochrony informacji niejawnych i  innych danych prawnie chronionych, od 2009r. ekspert ABW z  zakresu ochrony informacji niejawnych. Współorganizator szkoleń i konferencji poświęconych problematyce ochrony informacji oraz danych osobowych. W latach 2013 - 2017 Pełnomocnik ds. ochrony informacji niejawnych w Urzędzie Wojewódzkim oraz innych jednostkach.