Wprowadzenie do audytów bezpieczeństwa informacji i cyberbezpieczeństwa w JST

Cyberprzestępcy coraz częściej biorą na cel jednostki administracji publicznej a ewentualne kradzieże lub wycieki danych z jst mogą mieć duże konsekwencje dla samych jednostek (np. kary finansowe) oraz mieszkańców gminy lub powiatu. Pracownicy i kadra zarządzająca jst wykorzystują wdrożone polityki, procedury i instrukcje bezpieczeństwa, liczne zabezpieczenia fizyczne a działy IT wdrażają rozwiązania techniczne, aby chronić przetwarzane dane. Ale czy te zabezpieczenia faktycznie działają? Czy kadra zarządzająca zdaje sobie sprawę ze swojej roli w procesie ochrony informacji? Czy pracownicy wiedzą, jak zgłaszać incydenty i dlaczego to jest tak ważne? Czy znają procedury? Czy w ogóle takie procedury są wdrożone? Czy wewnętrzne polityki i procedury oraz same systemy IT są aktualizowane, aby odpowiadały bieżącym wymaganiom i przeciwstawiały się realnym zagrożeniom? Audyt odpowiada m.in. na te pytania i jest obiektywną formą weryfikacji, sprawdzenia na ile nasze zabezpieczenia działają. Konieczność audytowania jst w zakresie bezpieczeństwa informacji i cyberbezpieczeństwa wynika z przepisów (RODO, KRI, KSC) oraz dobrych praktyk, ponieważ nie ma lepszej drogi do sprawdzenia czy nasze zabezpieczenia i procedury działają jak ich weryfikacja.
Odpowiedzią na powyższe rozważania jest proponowane przez nas szkolenie, podczas którego krok po kroku:
• omówimy przydatne narzędzia w zapewnieniu skutecznego przeprowadzenia audytu bezpieczeństwa;
• przeanalizujemy praktyczne aspekty prowadzenia audytu oraz bycia audytowanym;
• wyjaśnimy na czym polegają najczęstsze błędy popełniane przez jst w zakresie cyberbezpieczeństwa, które „widać” i „słychać” podczas audytów;
• pokażemy na przykładach jak przeprowadzić audyt wewnętrzny.

• Zdobędziesz, uzupełnisz i uporządkujesz wiedzę związaną z ochroną informacji (w tym danych osobowych) oraz cyberbezpieczeństwem w jednostkach publicznych w kontekście prowadzenia audytów (wewnętrznych i zewnętrznych).
• Poznasz zasady przygotowania i wdrożenia Systemu Zarządzania Bezpieczeństwem Informacji (SZBI).
• Dowiesz się jakie są podstawowe zasady przygotowania i prowadzenia audytów bezpieczeństwa.
• Poznasz dobre praktyki dotyczących audytów KRI.
• Zapoznasz się z praktycznymi zasadami dotyczącymi analizy ryzyka w bezpieczeństwie informacji.
• Dowiesz się jakie są najczęściej popełniane błędy i nieprawidłowości w zakresie bezpieczeństwa przetwarzania informacji i cyberbezpieczeństwa w jednostkach oraz poznasz sposoby postępowania mające na celu ich eliminację.
• Uzyskasz odpowiedzi na pojawiające się pytania i wątpliwości związane z przedmiotem zajęć. 

1. Przegląd aktów prawnych dotyczących bezpieczeństwa informacji i cyberbezpieczeństwa: RODO, KRI, KSC.
2. Dyrektywa NIS2 – nowe obowiązki dla podmiotów publicznych.
3. Budowa kultury ochrony informacji jako wyzwanie dla każdej organizacji - szanse i zagrożenia.
4. System Zarządzania Bezpieczeństwem Informacji (SZBI) Jak zbudować? Od czego zacząć?
5. Przegląd norm serii ISO 27xxx.
6. Testy i audyty bezpieczeństwa – rodzaje i korzyści.
7. Przygotowanie audytora / Komunikacja podczas audytów / Predyspozycje audytora.
8. Audyty KRI – założenia, główne obszary, przebieg, dobre praktyki, wnioski.
9. Jak samodzielnie przeprowadzić audyt bezpieczeństwa?
10. Przegląd przykładowych działań korygujących i doskonalących po audytach KRI.
11. Analiza ryzyka w bezpieczeństwie informacji. Przykłady.
12. Zasoby, podatności i zagrożenia – sposoby identyfikacji na potrzeby szacowania ryzyka.
13. Podsumowanie. Dyskusja.

Osoby koordynujące i nadzorujące pracę audytorów wewnętrznych, osoby koordynujące i nadzorujące pracę zespołów IT, pracownicy komórek audytu i kontroli, zespoły IT, Inspektorzy Ochrony Danych.

Audytor, trener, doradca i kierownik projektów. Specjalista w dziedzinie bezpieczeństwa informacji. Audytor wiodący normy ISO/IEC 27001. Członek Polskiego Towarzystwa Informatycznego. Prowadzi audyty bezpieczeństwa oraz szkolenia i konsultacje m.in. z zakresu bezpieczeństwa informacji, cyberbezpieczeństwa i budowania kultury ochrony informacji w organizacji.