WAŻNE INFORMACJE O SZKOLENIU:

W 2023 r. weszła w życie nowa dyrektywa NIS2 dotycząca zapewnienia odpowiedniego poziomu cyberbezpieczeństwa w krajach Unii Europejskiej, a w najbliższym czasie wejdzie w życie nowa ustawa o Krajowym Systemie Cyberbezpieczeństwa (KSC).

Wprowadzane zmiany mają istotny wpływ na dotychczasowo stosowaną praktykę w jednostkach, wobec czego aktualizacja wiedzy kierowników i dyrektorów w tym obszarze ma kluczowe znaczenia dla zapewnienia skutecznej ochrony informacji w urzędzie oraz zgodności z aktualnymi wymaganiami w tym także RODO i KRI. 

Dodatkowo, Najwyższa Izba Kontroli prowadzi kontrole w jst w całym kraju, które przynoszą bardzo zaskakujące wyniki np. dużego braku świadomości cyberzagrożeń wśród pracowników jst i to niezależnie od wielkości jednostki.

W związku z powyższym niezmiennie są aktualne pytania:

• Czy wdrażane przez JST zabezpieczenia faktycznie działają? 

• Czy kadra zarządzająca zdaje sobie sprawę ze swojej roli w procesie ochrony informacji? 

• Czy pracownicy wiedzą, jak zgłaszać incydenty i dlaczego to jest tak ważne? 

Podczas proponowanego szkolenia:

• Krok po kroku, omówimy zagadnienia związane z cyberbezpieczeństwem w jst oraz jednostkach podległych i roli kadry zarządzającej w zakresie rekomendowanym w powyższym projekcie oraz dyrektywie NIS2 i planowanej ustawie o KSC. 

• Przeanalizujemy występujące cyberzagrożenia i ich konsekwencje.

• Przypominamy procedury jakie w zakresie cyberbezpieczeńtwa powinny być wdrożone w jednostce oraz wskażemy na co w ich zapisach szczególnie zwracać uwagę. 

• Zaprezentujemy zadania i obowiązki jednostek ze szczególnym uwzględnieniem zgłaszania incydentów. 

Prezentowane zagadnienia prawne będziemy popierać licznymi przykładami z praktyki dla lepszego zobrazowania omawianych regulacji i zasad postępowania.

 

CELE I KORZYŚCI:

• Zapoznanie z głównymi wymaganiami formalno-prawnymi, jakie dotyczą cyberbezpieczeństwa w JST i jednostkach podległych wynikające z dyrektywy NIS2 i nowelizacji KSC oraz RODO i KRI.

• Zdobycie wiedzy z zakresu najnowszych zmian prawnych, w tym dyrektywą NIS2 i planowaną, nową KSC.

• Poznanie przykładowych cyberataków na JST oraz ich konsekwencji, a także dobrych praktyk minimalizowania tych konsekwencji.

• Poznanie roli kadry zarządzającej w zapewnieniu skutecznej ochrony informacji.

• Zdobycie informacji na temat wewnętrznych procedur dotyczących cyberbezpieczeństwa procedur i ich aktualizacji. 

• Poznanie zasad nadzorowania procesów związanych z bezpieczeństwem informacji oraz zasad budowania „kultury” bezpieczeństwa w urzędzie.

• Zapoznanie z zasadami nadzorowania i zatwierdzania polityk bezpieczeństwa oraz skutecznego zarządzania ryzykiem i incydentami bezpieczeństwa w JST.

• Zapoznanie z najczęściej popełnianymi błędami w zakresie cyberbezpieczeństwa, które wskazywane są podczas kontroli np. NIK oraz testów i audytów bezpieczeństwa.

 

PROGRAM:

1. Wymagania dla JST i jednostek podległych wynikające z przepisów prawa: 

• Ogólne Rozporządzenie o ochronie danych (RODO).

• Rozporządzenie Krajowe Ramy Interoperacyjności (KRI).

• Ustawa Krajowy System Cyberbezpieczeństwa (KSC).

2. Wymagania nowej dyrektywy NIS2 dla jednostek administracji publicznej.

• Co i w jakim stopniu dotyczy JST?

• JST jako podmiot kluczowy – obowiązki.

3. Wymagania nowelizacji Ustawy o Krajowym Systemie Cyberbezpieczeństwa:

• JST jako podmiot kluczowy?

• Które obowiązki mogą być najtrudniejsze do zrealizowania?

• Jak bezkosztowo wzmocnić cyberbezpieczeństwo w JST „od ręki”?

4. Kontrole Najwyższej Izby Kontroli w JST:

• Omówienie głównych wniosków pokontrolnych.

• Uczmy się na błędach innych.

5. Zarządzanie zdarzeniami i incydentami bezpieczeństwa:

• Podstawowe zasady i oczekiwania.

• Rejestr incydentów jako praktyczne narzędzie ochrony informacji.

6. Zarządzanie ryzykiem bezpieczeństwa informacji w JST:

• Inwentaryzacja zasobów informacyjnych: Co? Kto? Jak? Gdzie?

• Przykładowe metodyki zarządzania ryzykiem.

7. Planowanie ciągłości działania:

• Rola kadry zarządzającej w zapewnieniu ciągłości operacyjnej w organizacji.

• Przygotowanie, zatwierdzanie i testowanie planów awaryjnych.

8. Wewnętrzne polityki bezpieczeństwa, procedury i instrukcje:

• Jak tworzyć dokumentację, aby była zrozumiała?

• Dlaczego użytkownicy nie przestrzegają wewnętrznego prawa?

9. Podstawy cyberhigieny dla każdego kierownika i pracownika, czyli o czym zawsze warto przypominać:

• Kopia bezpieczeństwa wg zasady „3-2-1”.

• Szyfrowanie danych w laptopie oraz pendrive’ów i dysków zewnętrznych.

• Blokowanie komputera.

• Fizyczna ochrona urządzeń mobilnych.

• Aktualizacja oprogramowania.

• Ochrona antywirusowa.

10. Przygotowanie urzędu do testów bezpieczeństwa:

• Nie ma lepszej metody sprawdzenia czy nasze zabezpieczenia działają, jak ich weryfikacja poprzez testy i audyty.

• Testy socjotechniczne jako wyzwanie „organizacyjne”.

11. Phishing – codzienne oszustwa i wyłudzenia informacji:

• Smishing /vishing.

• Ataki typu BEC (Business E-mail Compromise).

• A co zrobić, gdy już „coś się jednak kliknęło”? Czy to już „koniec świata”?

12. Ransomware jako wyjątkowo poważne zagrożenie dla każdego JST:

• Jak uchronić urząd przed atakiem?

• Czy można zapłacić okup cyberprzestępcom?

• Co robić po ataku?

13. Pytania i odpowiedzi. Dyskusja. Podsumowanie.