szkolenie

4
września
2018

SZACOWANIE RYZYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

koordynator: Iwona Brokowska Duda

Cel
Niniejsze szkolenie zostało przygotowane w celu przekazania wiedzy dotyczących spełniania wymaganiami RODO, w kontekście inicjowania działań, wdrażania, utrzymania i doskonalenia zarządzania ryzykiem bezpieczeństwa danych osobowych oraz zarządzania bezpieczeństwem informacji

Profil uczestnika szkolenia
Szkolenie dedykowane jest do osób nadzorujących proces ochrony danych osobowych w organizacjach takich jak m.in.: Administratorzy Bezpieczeństwa Informacji, jak również dla osób zarządzających systemami teleinformatycznymi i innymi zasobami (aktywami) przetwarzającymi dane osobowe w organizacji.

Forma prowadzenia zajęć
Szkolenie prowadzone jest formie warsztatów i wykładów. Zadaniem uczestnika będzie m.in.: zdefiniowanie kontekstu szacowania ryzyka, określenie kryteriów oceny ryzyka, zaprojektowanie oraz przeprowadzenie analizy i oceny ryzyka bezpieczeństwa danych osobowych. Uczestnicy otrzymają przykładowe ankiety, macierze, wykazy i formularze związane z audytem i rozpoznaniem zbiorów danych osobowych, analizą i szacowaniem ryzyka.

Korzyści z szkolenia:
Każdy uczestnik po zakończeniu szkolenia:
a) będzie w stanie przeprowadzić identyfikację zbiorów danych osobowych,
b) będzie potrafił określić i dobrać odpowiednie zabezpieczenia na podstawie szacowania ryzyka z wykorzystaniem standardu PN-ISO/IEC 27002:2014,
c) będzie w stanie przeprowadzić szacowanie ryzyka bezpieczeństwa danych osobowych dla:
a. zbiorów danych osobowych oraz systemów informatycznych, w których przetwarzane są dane osobowe,
b. aktywów przetwarzających dane osobowe.

4 września 2018 r.
10:00 – 12:00 BLOK I
1. Przeprowadzenie identyfikacji przetwarzanych zbiorów danych osobowych
  • przygotowanie list kontrolnych,
  • agregacja danych w zebranych wywiadów,
  • opracowanie zestawień oraz identyfikacja zbiorów wraz z określeniem zakresu przetwarzanych danych i podstawy prawnej,
  • identyfikacja aplikacji informatycznych służących do przetwarzania danych osobowych.
  • określenie zagrożeń, podatności i ryzyka w procesach przetwarzania danych
2. Opracowanie i wdrożenie dokumentacji opisującej system ochrony danych osobowych.
  • rejestrowanie czynności przetwarzania danych osobowych,
  • opisywanie środków technicznych i organizacyjnych.
Katarzyna Kaźmierczak - Kuśmierska
(Konsultant, Audytor wewnętrzny)
12:00 – 12:30 Przerwa na lunch
12:30 – 15:00 BLOK II
3. Wprowadzenie do tematyki zarządzania ryzykiem:
  • Terminologia i definicje,
  • Wymagania RODO dot. szacowania ryzykiem,
  • Szacowanie ryzyka na podstawie wybranych standardów ISO (m.in.: 27005:2014, 31000:2012),
  • Ogólna analiza ryzyka oraz przesłanki do wykonania oceny skutków dla ochrony danych,
  • Przeprowadzenie oceny skutków dla ochrony danych (PIA) z wykorzystaniem normy ISO/IEC 29134:2017 oraz narzędzia PIA Tool.
4. Szacowanie ryzyka bezpieczeństwa danych osobowych:
  • a. Inwentaryzacja i ocena aktywów (zasobów),
  • b. Identyfikacja i ocena zagrożeń oraz podatności,
  • c. Identyfikacja i ocena skutków (następstw),
  • d. Ocena prawdopodobieństwa urzeczywistnienia zagrożeń
  • e. Ocena i kryteria akceptacji ryzyka.
5. Postępowanie z ryzykiem w bezpieczeństwie informacji.
6. Informowanie, monitorowanie, konsultowanie i przegląd ryzyka.
Piotr Kawczyński
(Audytor wiodący wg. ISO 27001, Inspektor Ochrony Danych)
15:00 – 15:15 Przerwa na kawę
15:15 – 16:30 BLOK III
7. Określenie i dobór adekwatnych środków technicznych i organizacyjnych zapewniający odpowiedni stopień bezpieczeństwa z uwzględnieniem polskich norm ISO m.in.: PN-ISO/IEC 27002:2017.
8. Testowanie, mierzenie i ocenianie skuteczności zastosowanych środków.
Piotr Kawczyński
(Audytor wiodący wg. ISO 27001, Inspektor Ochrony Danych)

Piotr Kawczyński

Zajmuję się szeroko pojętym bezpieczeństwem informacji od 2004 roku. Posiadam uprawnienia audytora wiodącego oraz audytora wewnętrznego w zakresie Systemów Zarządzania Bezpieczeństwem Informacji na zgodność z normą 27001. Posiadam upoważnienie dostępu do informacji niejawnych z klauzulą „poufne”. Ukończyłem studia podyplomowe z zakresu Ochrony Danych Osobowych (Wydział Prawa i Administracji Uniwersytetu Łódzkiego) oraz Cyberbezpieczeństwa (Akademia Marynarki Wojennej w Gdyni).
W FORSAFE jestem odpowiedzialny za nawiązywanie współpracy oraz obsługę klientów, zarządzanie działalnością Spółki, a także za nadzór nad wdrożeniami systemów ochrony danych osobowych, jak również proces przygotowania i certyfikacji systemów zarządzania bezpieczeństwem informacji.
Pełnię funkcję zewnętrznego Administratora Bezpieczeństwa Informacji. Biorę udział w licznych wydarzeniach branżowych związanych z tematyką bezpieczeństwa informacji jako prelegent.
W latach 2013 – 2016 byłem wykładowcą na Podyplomowym Studium Ochrony Danych Osobowych, organizowanym przez Wydział Prawa i Administracji Uniwersytetu Łódzkiego pod patronatem Generalnego Inspektora Ochrony Danych Osobowych oraz ABW.
Jestem pasjonatem rozwiązań informatycznych dostarczanych w modelu chmurowym oraz zagadnieniami związanymi z cyberbezpieczeństwem. Wolne chwile spędzam uprawiając jazdę na rowerze szosowym oraz podróżując i fotografując.

Katarzyna Kaźmierczak-Kuśmierska

Ukończyła studia licencjackie i magisterskie Politechniki Łódzkiej na Wydziale Organizacji i Zarządzania ze specjalnością Finanse i Rachunkowość. Posiada długoletnie doświadczenie w podmiotach gospodarczych na stanowisku Office Manager. Zdobyła nagrodę w kategorii Best Support. Ukończyła z wyróżnieniem certyfikowane szkolenie pt.: “Obowiązki i uprawnienia ABI wobec organizacji i podmiotów zewnętrznych”. Wypełnia obowiązki Zastępcy Administratora Bezpieczeństwa Informacji w kilku podmiotach na terenie województwa łódzkiego.
W FORSAFE jest odpowiedzialna za przeprowadzanie audytów formalno-prawnych, opracowywanie dokumentacji przetwarzania i ochrony danych osobowych, w tym polityk bezpieczeństwa danych osobowych oraz przygotowywanie upoważnień, oświadczeń, ewidencji, prowadzenie szkoleń z zakresu ochrony danych osobowych dostosowanych do specyfikacji sektora i potrzeb indywidualnego Klienta.