Przejdź do treści

Szkolenia

Szkolenie RODO: 2-dniowe warsztaty Analizy Ryzyka i stosowania zabezpieczeń zgodnie z RODO

Szczegółowy zakres szkolenia

>>>>>> Ochrona Danych Osobowych Szkolenie <<<<<<

Certyfikowany Kurs Analizy Ryzyka, Oceny Skutków i stosowania zabezpieczeń zgodnie z przepisami RODO

 
Jest to kompleksowy kurs pozwalający na samodzielne przeprowadzenie analizy ryzyka (oceny skutków) we własnej firmie/organizacji zgodnie z przepisami RODO

 

  • Kurs zapoznaje z typowymi zagrożeniami, aktywami oraz zabezpieczeniami, które wykorzystuje się do przeprowadzenia oceny skutków / analizy ryzka
  • Analiza ryzyka przeprowadzona w formie warsztatowej
  • Każdy uczestnik otrzyma w wersji elektronicznej specjalne narzędzie do analizy ryzyka oraz procedurę oceny skutków w 100% zgodną z RODO
  • Każdy uczestnik otrzyma w wersji elektronicznej opisowe listy: 55 typowych aktywów, 50 potencjalnych zagrożeń i 45 zabezpieczeń. Aktywa, zagrożenia i zabezpieczenia przedstawione są w sposób opisowy w formie zrozumiałej nawet dla laików informatycznych
  • CERTYFIKAT kompetencyjny Inspektora Ochrony Danych


Organizator szkolenia jest wpisany do Rejestru Instytucji Szkoleniowych
Szkolenie i dokumentacja są w 100% dostosowane do wymagań unijnego Rozporządzenia o Ochronie Danych z dnia 24.05.2016
 

CELE KURSU KAŻDY UCZESTNIK BĘDZIE MÓGŁ SIĘ WYKAZAĆ:
  • Niezbędną wiedzą dotyczącą zmian w ochronie danych w związku z wejściem w życie RODO
  • Znajomością procedury analizy ryzyka i oceny skutków zgodnie z RODO
  • Umiejętnością przeprowadzenia samodzielnej analizy ryzyka w swojej firmie/organizacji
  • Podniesioną ogólną wiedzą z zakresu informatyki i zabezpieczeń informatycznych
  • Znajomością typowych  AKTYWÓW związanych z przetwarzaniem danych osobowych
  • Znajomością typowych  zagrożeń informatycznych w firmach, urzędach i organizacjach
  • Znajomością typowych zabezpieczeń i umiejętnością ich stosowania we własnej organizacji
ADRESACI
KURSU
  • ABI / Inspektorzy Ochrony Danych (laicy informatyczni), chcący zapoznać się z zabezpieczeniami informatycznymi w przystępny sposób
  • Osoby odpowiedzialne za przeprowadzenie analizy ryzyka lub oceny skutków (RODO)
  • Oficerowie bezpieczeństwa odpowiedzialni za wdrażanie PBI
  • Pełnomocnicy ds. SZBI / ISO 27001 / KRI
KAŻDY UCZESTNIK
OTRZYMA PO SZKOLENIU
  • CERTYFIKAT KOMPETENCYJNY Inspektora Ochrony Danych
  • Hit! 3 opisowe listy: 55 typowych aktywów, 50 potencjalnych zagrożeń i 45 zabezpieczeń. Aktywa, zagrożenia i zabezpieczenia przedstawione są w sposób opisowy w formie zrozumiałej nawet dla laików informatycznych!
  • Hit! procedurę oceny skutków + excelowy program do analizy ryzyka
  • Hit! - excelowy program do analizy ryzyka – NIEZBĘDNY w RODO !!!!!!!
  • Hit! 3 opisowe listy: 55 typowych aktywów, 50 potencjalnych zagrożeń, 45 potencjalnych zabezpieczeń – niezbędne "ściągi" do wykorzystania w analizie ryzyka
HOTLINE
& OPIEKA PO SZKOLENIU
  • Zapewniamy byłym uczestnikom nieodpłatne, cykliczne aktualizacje dokumentacji
  • Zachęcamy do nieograniczonego kontaktu telefonicznego i mailowego w celach konsultacji merytorycznych i prawnych dot. danych osobowych

 

HARMONOGRAM DZIEŃ 1

DZIEŃ 1 – ZARZĄDZANIE RYZYKIEM, AKTYWA I ZAGROŻENIA

ANALIZA RYZYKA W TEORII
 

  • Ocena skutków przetwarzania danych osobowych wg. RODO
    [omówienie przepisu RODO, metody określenia podmiotów i procesów podlegające ocenie]
  • Inne powody wykonywania analizy ryzyka
    [tworzenie listy zabezpieczeń w rejestrze czynności przetwarzania, własne cele organizacji]
  • Definicje pojęć wykorzystywanych w analizie ryzyka
    [aktywa, zagrożenia, podatności, ryzyko, konteksty ryzyka: dostępność, poufność i integralność]
  • Analiza ryzyka - model zarządzania
    [omówienie procedury analizy ryzyka: identyfikacja zagrożeń, wyznaczenie aktywów, oszacowanie prawdopodobieństwa i skutków ryzyka, wybór wariantu postępowania z ryzykiem i środki planowane w celu zaradzenia ryzyku]
  • Plan postępowania z ryzykiem
    [powód i cel tworzenia planu, dane wejściowe, przypisanie odpowiedzialności, właściciel planu, kryteria realizacji, daty wykonania, dane wyjściowe, sposób określenia efektów, dalsze działania]

PROCES ZARZĄDZANIA RYZYKIEM W PRAKTYCE
 
  • Inwentaryzacja aktywów
    [grupowanie aktywów, omówienie realizacji przykładowej procedury inwentaryzacji aktywów w organizacji (studium przypadku)]
  • Klasyfikacja informacji
    [wybór optymalnego modelu klasyfikacji; przykłady praktyczne z różnych organizacji, przeprowadzenie klasyfikacji dla przykładowej organizacji (studium przypadku)]
  • Wyznaczenie zagrożeń i podatności
    [załącznik normatywny A do normy ISO 27001 jako wskazówka w określaniu zabezpieczeń, przeprowadzenie specyfikacji zagrożeń i podatności dla organizacji (studium przypadku)]
  • Analiza i szacowanie ryzyka, podjęcie decyzji w sprawie sposobu jego ograniczenia
    [dokonanie analizy ryzyka i oszacowanie jego wartości dla poszczególnych aktywów, zagrożeń i podatności w oparciu o wcześniej opracowane dane; wybór wariantów postępowania z wyliczonym ryzykiem (studium przypadku)]
  • Plany postępowania z ryzykiem
    [kolejne kroki w zakresie sporządzenia planu postępowania z ryzykiem dla ryzyka wybranego spośród wcześniej wyliczonych, symulacja realizacji planu i jego oceny]

10.00-12:00

PRZEGLĄD TYPOWYCH AKTYWÓW W ORGANIZACJI / FIRMIE, PODDAWANYCH ANALIZIE RYZYKA

  • Informacje
    [zapoznanie uczestników z typowymi aktywami informacyjnymi, jak: dane osobowe, dostępowe, dot. zabezpieczeń, logi systemowe, dokumentacja techniczna, polityki, procedury odtworzeniowe, umowy]
  • Programy i systemy operacyjne
    [inwentaryzacja systemów/programów przetwarzających dane osobowe, jak: oprogramowanie użytkowe/administracyjne/webowe/rozwijane, serwery usługowe, sterowniki, firmware]
  • Sprzęt komputerowy
    [inwentaryzacja sprzętu na którym przetwarzane są dane osobowe, jak: serwery, storage, stacje robocze, urządzenia mobilne, urządzenia peryferyjne]
  • Telekomunikacja
    [centrale telefoniczne/voip, VPN, łącza dzierżawione, internet]
  • Nośniki danych
    [przegląd rodzajów nośników: nośniki z danymi/instalacyjne/licencji]
  • Sieć
    [przegląd elem. sieci: usługi sieciowe, okablowanie, urządzenia aktywne, pasywne, systemy]
  • Obszary chronione
    [serwerownie, punkty dystrybucyjne sieci i przetwarzania, studzienki, kanały, rozdzielnie elektryczne]
  • Sprzęt wspomagający
    [klimatyzatory, zasilacze awaryjne i agregaty, monitoring środowiskowy, systemy automatycznego gaszenia, monitoring wizyjny, systemy alarmowe, systemy kontroli dostępu, rejestratory czasu pracy]
  • Pracownicy/personel
    [kompetencje, doświadczenie, know-how]
  • Outsourcing
    [oprogramowania, usług internetowych/serwisowych/gwarancyjnych, wsparcia technicznego, personelu]
12:00-13:30

LUNCH

13:30-14:00
KOMPLEKSPOWY PRZEGLĄD ZAGROŻEŃ MOŻLIWYCH DO WYSTĄPIENIA W FIRMIE LUB ORGANIZACJI

  • Hit! Ataki socjotechniczne
    [przykłady ataków: phishing, cybersquatting, wyłudzanie informacji, nakłanianie do wykonania czynności, podrzucone nośniki danych, ataki telefoniczne]
  • Ataki na infrastrukturę
    [przykłady ataków: łamanie i pozyskiwanie haseł, ataki na sprzęt/oprogramowanie, skanowanie sieci i usług, podsłuchanie transmisji, ataki man-in-the-middle, eskalacja uprawnień, DOS, DDOS]
  • Złośliwe oprogramowanie
    [wirusy/trojany/backdoory, keyloggery, ransomeware, exploit(y/paki)]
  • Zagrożenia dla sprzętu
    [przegląd zagrożeń: włamanie do obiektów, kradzież / zniszczenie sprzętu, pożar / eksplozja, zalanie, przegrzanie, awaria zasilania, awaria sprzętu]
  • Zagrożenia dla danych
    [przykłady zagrożeń: kradzież tożsamości, utrata-kradzież danych nośników lub danych dostępowych, nieuprawniony dostęp/modyfikacja/usunięcie/kopiowanie/ujawnianie danych, błędy/awarie oprogramowania lub wykonywania kopii bezpieczeństwa, zły serwis zewn.]
  • Błędy ludzkie
    [przegląd błędów: nieprzestrzeganie procedur, pomyłki, brak świadomości/wiedzy, błędy projektowe/konfiguracyjne]
  • Zagrożenia ciągłości działania
    [brak aktualnej dokumentacji, umów o współpracy, nieprawidłowe / brak umowy gwarancyjnej lub wsparcia serwisowego, Upadek firmy outsourcingowej lub dostawczej, awaria łączy telekom.]
14:00-16:00

 

 

DZIEŃ 2 – ZABEZPIECZENIE INFRASTRUKTURY IT ZGODNIE Z RODO
ORAZ WARSZTATY ANALIZY RYZYKA

PRZEGLĄD ZABEZPIECZEŃ MOŻLIWYCH DO ZASTOSOWANIA W RAMACH RODO

  • Zabezpieczenia organizacyjne
    [zapoznanie z procedurami, jak: Regulamin ODO, Szkolenia personelu, Audyty, Testy penetracyjne, Procedury przywracania w razie incydentu]
  • Zabezpieczenia fizyczne
    [przegląd zabezpieczeń: polityka kontroli dostępu, zabezpieczenia pomieszczeń, systemy alarmowe / zabezpieczenia antywłamaniowe, ochrona fizyczna obiektu]
  • Zabezpieczenia techniczne
    [przegląd zabezpieczeń: Strefy dostępu, System kontroli dostępu, System ppoż, monitoring środowiskowy, Klimatyzacja, Monitoring wizyjny, Systemy UPS / agregaty prądotwórcze]
  • Hit! Zabezpieczenia informatyczne
    [systemy antywirusowy i antyspamowy, sewery proxy i bramki filtrujące, systemy firewall, sondy IDS/IPS, monitorowanie zużycia, SIEM, skanery podatności, systemy do inwentaryzacji, szyfrowanie, hardening, redundancja, aktualizacje systemu, backupy i archiwizacja, rozliczalność operacji, postępowanie z nośnikami, zabezpieczenie pracy użytkowników, wirtualizacja, niszczenie nośników, zarządzanie uprawnieniami, uwierzytelnianie]
  • Zabezpieczenia zewnętrzne
    [umowy serwisowe i procedury napraw, outsourcing]


GRA STRATEGICZNA - ZARZĄDZANIE RYZYKIEM) (*)

  • Podział na grupy, komunikacja reguł, przekazanie i omówienie scenariuszy
    [każdy scenariusz określa profil organizacji, tj. rodzaj działalności, lokalizacje, strukturę organizacyjną, procesy, zasoby i inne parametry mające znaczenie dla analizy ryzyka]
  • Przeprowadzenie w grupach analizy ryzyka na podstawie scenariusza
    [każda grupa przeprowadza cząstkową analizę ryzyka w oparciu o zadany scenariusz i profil organizacji, od inwentaryzacji aktywów po wyznaczenie zabezpieczeń]

10.00-13:30

LUNCH 13:30-14:00
  • Rozgrywka
    [każda z grup odpowiada wyznaczonymi zabezpieczeniami na losowane, zgodnie ze z góry zdefiniowanym typowym prawdopodobieństwem, zagrożenia atakujące określone podatności] 
  • Wynik gry i wnioski
    [podsumowanie punktacji, określenie zwycięskiej grupy, omówienie popełnionych błędów, dyskusja, wyciągnięcie wniosków z przebiegu gry]


WDROŻENIE PROCESU ZARZĄDZANIA RYZYKIEM

  • Odpowiedzialność i dokumentacja
    [kto odpowiada za co w procesie, kto i jak koordynuje proces, dokumentowanie inwentaryzacji, wyników analizy, decyzji, planów, zarządzanie ryzykiem jako proces cykliczny]
  • Podsumowanie – kto, po co, kiedy i jak powinien używać analizy ryzyka, w kontekście RODO


(*) - Założenia i wyniki analizy ryzyka w grze będą prezentowane na ekranie przy pomocy dedykowanego oprogramowania.

14:00-16:00

 

Terminarz

 Zontek i Wspólnicy

Spółka komandytowa

 

 ul. F. Płaskowickiej 46/129

02-778 Warszawa

 

tel. 22 406 82 91

tel. 22 406 82 92

fax: 22 37 82 970

biuro@zontekiwspolnicy.pl

 

Copyrights © 2017 Zontek i Wspólnicy Sp.k.