Zarządzanie ryzykiem cybernetycznym w administracji samorządowej
Termin: 29.05.2019 r. / Miejsce: Warszawa
CEL SZKOLENIA
Celem szkolenia jest zapoznanie uczestników z zasadami zarządzania ryzykiem cybernetycznym w jednostce samorządowej oraz jednostkach podległych w aspekcie nowej cyberustawy. Szczególny nacisk zostanie położony na identyfikację ryzyk o obszarze cyberbezpieczeństwa, szacowanie ryzyka naruszenia bezpieczeństwa informacji w samorządzie, ryzyka przerwania dostępności usługi świadczonej przez samorząd jako kluczowego dostawcę, omówienie reakcji na ryzyko i według jakich kryteriów podejmować decyzję wyboru, mechanizmy kontrolne w procesie oceny ryzyka i co one oznaczają. Zostaną również przedstawione wymagania wynikające z przepisów prawa dotyczących infrastruktury krytycznej i ustawy o cyberbezpieczeństwie Dzięki przeprowadzonym ćwiczeniom, uczestnicy warsztatów nabędą wiedzę jak skutecznie zarządzać ryzykiem cyberbezpieczeństwa w oparciu o nowe przepisy.
GRUPA DOCELOWA
Szkolenie adresowane jest do wszystkich kierowników jednostek sektora finansów publicznych, przedstawicieli komórek organizacyjno - prawnych, audytorów wewnętrznych, audytorów systemów jakości, bezpieczeństwa informacji, kontrolerów finansowych, koordynatorów do spraw zarządzania ryzkiem oraz innych osób odpowiedzialnych w jednostce za zarządzanie ryzykiem, w tym szczególnie ryzykiem bezpieczeństwa informacji, IT i cyberbezpieczeństwa.
PROGRAM SZKOLENIA
1. Czym jest „zarządzanie ryzykiem, analiza ryzyka, ocena ryzyka” w ochronie informacji?
a) dlaczego wykonywanie analizy ryzyka jest kluczowym procesem wynikającym z wymagań Dyrektywy NIS, KSC (cyberustawa) i RODO?
b) jakie są cele i zasady zarządzania ryzykiem administracji samorządowej według nowej ustawy o KSC:
·czy ryzyko przerwania ciągłości działania świadczonych usług przez dostawców usług kluczowych dotyczy samorządów?
·kto odpowiada za ryzyka naruszenia bezpieczeństwa informacji w zadaniach wykonywanych przez dostawców usług kluczowych?
·czy potrzeba zabezpieczania danych przetwarzanych przez samorządy to spełnianie wymagań ustawy o cyberbezpieczeństwie czy może coś więcej?
2. Co to jest metodyka zarządzania ryzykiem i kogo dotyczy?
a) kim jest Właściciel ryzyka w samorządzie i czy tylko On odpowiada za wykonanie oceny ryzyka?
b) dlaczego w procesie oceny ryzyka w samorządzie wybieramy krytyczne aktywa i jakie ryzyka są z nimi związane?
c) na czym polega ocena ryzyka naruszenia bezpieczeństwa informacji w samorządzie?
d) po co wykonuje się ocenę ryzyka przerwania świadczenia usług kluczowych?
3. WARSZTAT I. Jak identyfikować i klasyfikować scenariusze ryzyka z adresowaniem Właścicieli?
a) wymagania formalne wynikające z przepisów samorządowych.
b) burza mózgów jako najskuteczniejszy sposób wyboru scenariuszy ryzyka i ich oceniania – warsztaty.
c) scenariusze zagrożeń, wybór i klasyfikacja – warsztaty.
4. WARSZTAT II. Jak szacować ryzyka naruszenia bezpieczeństwa informacji w samorządzie?
a) dobre praktyki szacowania z przepisów, norm i doświadczeń tych co to robili.
b) szacowanie prawdopodobieństwa – warsztaty.
c) szacowanie skutków – warsztaty.
d) mapowanie ryzyk i ich hierarchizacja – warsztaty.
e) obowiązki raportowania, kiedy i kogo należy poinformować o wysokim ryzyku.
5. WARSZTAT III. Jak szacować ryzyka przerwania dostępności usługi świadczonej przez samorząd jako kluczowego dostawcę?
a) wymagania wynikające z przepisów prawa dotyczących infrastruktury krytycznej i ustawy o cyberbezpieczeństwie.
b) szacowanie prawdopodobieństwa – warsztaty.
c) szacowanie skutków – warsztaty.
d) mapowanie ryzyk i ich hierarchizacja – warsztaty.
e) obowiązki raportowania, kiedy i kogo należy poinformować w systemie CSIRT.
6. Jak określać reakcję na ryzyko i według jakich kryteriów podejmować decyzję wyboru?
a) kiedy tolerować ryzyko i kto ma prawo o tym zadecydować?
b) kiedy przenieść ryzyko i kto jest do tego potrzebny?
c) kiedy się wycofać, czyli czy chcemy zrezygnować z działania?
d) kiedy ograniczać ryzyko i co będzie do tego potrzebne?
e) jak udokumentować analizę ryzyka w samorządzie, a kiedy jest ona obowiązkowa?
7. Jak stosować w samorządzie mechanizmy kontrolne w procesie oceny ryzyka i co to oznacza?
a) Mechanizmy kontrolne i skutki ich wyboru jako kluczowa faza procesu analizy ryzyka, czyli „postępowanie z ryzykiem”.
b) Mechanizmy kontrolne:
·Prewencyjne - uzasadnienie wyboru.
·Detekcyjne - w jakich sytuacjach?
·Korygujące - uzasadnienie i zwymiarowanie kosztów.
c) Określanie mechanizmów kontrolnych – warsztaty.
WARUNKI UCZESTNICTWA
Koszt uczestnictwa:
- jednej osoby 590zł netto +23% VAT
- dwóch lub więcej osób z jednej firmy 550 zł/os netto +23% VAT
Do podanych wyżej cen nie doliczamy podatku VAT w przypadku, kiedy uczestnictwo w szkoleniu jest finansowane w co najmniej 70% ze środków publicznych.
Cena obejmuje: koszt uczestnictwa, materiałów szkoleniowych, przerw kawowych oraz obiadu. Noclegi rezerwują i opłacają Państwo indywidualnie.
Termin
Zajęcia odbywać się będą w centrum miasta w godzinach: 10:30 – 16:00.
O dokładnym miejscu szkolenia poinformujemy Państwa najpóźniej na 5 dni przed szkoleniem.
Organizator zastrzega sobie prawo zmiany terminu szkolenia w przypadku, gdy wykładowca z przyczyn losowych nie będzie go mógł przeprowadzić.
Kontakt
Zgłoszenia przyjmuje:
Katarzyna Jurek
tel. (22) 46-49-718;
fax (22) 46-49-752
e-mail: katarzyna.jurek@irip.pl
Zgłoszenie powinno zawierać: temat i datę szkolenia, nazwiska uczestników oraz dane do wystawienia faktury. Rezygnacje przyjmujemy pisemnie najpóźniej na 5 dni roboczych przed terminem spotkania. Po tym terminie obciążamy Państwa kosztami uczestnictwa w wysokości 100 % opłaty
Dane do przelewu
Płatności należy dokonać po otrzymaniu potwierdzenia najpóźniej na 5 dni przed terminem szkolenia na wskazane konto. Na przelewie prosimy umieścić: temat i datę szkolenia oraz nazwiska uczestników.
Zgłoszenie uczestnictwa na szkolenie (do pobrania)
Oświadczenie VAT (do pobrania)