NOWOŚĆ! Opracowanie i wdrażanie procedur Krajowego Systemu Cyberbezpieczeństwa dla operatorów usług kluczowych i dostawców usług cyfrowych.

 

Ustawa  o Krajowym Systemie Cyberbezpieczeństwa (KSC) nakłada obowiązki na operatorów usług, które mają kluczowe znaczenie dla utrzymania krytycznej działalności społecznej lub gospodarczej (usługi kluczowe). Wśród operatorów znajdą się największe banki, firmy z sektora energetycznego, przewoźnicy lotniczy i kolejowi, armatorzy, szpitale i podmioty tworzące w Polsce infrastrukturę cyfrową. W skład KSC wchodzą m.in. instytucje administracji rządowej i samorządowej oraz najwięksi przedsiębiorcy z kluczowych sektorów gospodarki.

W ustawie mowa jest o:

- Operatorach Usług Kluczowych (OUK), czyli m.in. największe banki, firmy z sektora energetycznego, przewoźnicy lotniczy i kolejowi, armatorzy, szpitale;

- Dostawcach Usług Kluczowych (DUC), czyli m.in. internetowych platformach handlowych;

- Organach Właściwych (OW), czyli instytucjach publicznych, w których kompetencjach znajdzie się nadzór nad danym istotnym sektorem dla naszej gospodarki np. dla firm zajmujących się transportem lotniczym organem właściwym jest Minister Infrastruktury;

- Zespołach Reagowania na Incydenty Bezpieczeństwa Komputerowego utworzone w trzech instytucjach: Agencji Bezpieczeństwa Wewnętrznego (CSIRT GOV), Naukowej i Akademickiej Sieci Komputerowej – Państwowym Instytucie Badawczym (CSIRT NASK) oraz Ministerstwie Obrony Narodowej (CSIRT MON), które będą współpracować ze sobą, z organami właściwymi do spraw cyberbezpieczeństwa, ministrem właściwym do spraw informatyzacji oraz Pełnomocnikiem Rządu ds. Cyberbezpieczeństwa;

- sektorowych zespołach cyberbezpieczeństwa, np. taki utworzony przez największe banki w Polsce.

Podmioty wchodzące w skład krajowego systemu cyberbezpieczeństwa utworzą spójny system pozwalający na podejmowanie różnorodnych i skutecznych działań zarówno przeciwdziałających zagrożeniom, jak i zapewniających skuteczne reagowanie w przypadku wystąpienia incydentów.

Operatorzy usług kluczowych są zobowiązani do wdrożenia skutecznych zabezpieczeń, szacowania ryzyka związanego z cyberbezpieczeństwem oraz przekazywania informacji o poważnych incydentach i ich obsługi we współpracy z jednym z trzech CSIRT (Zespołów Reagowania na Incydenty Bezpieczeństwa Komputerowego). Wymienione podmioty są również zobowiązane do wyznaczenia osoby odpowiedzialnej za cyberbezpieczeństwo świadczonych usług, obsługi i zgłaszania incydentów oraz udostępniania wiedzy na temat cyberbezpieczeństwa. 

Wymaganiami z zakresu cyberbezpieczeństwa zostaną także objęci dostawcy usług cyfrowych, czyli internetowe platformy handlowe, usługi przetwarzania w chmurze i wyszukiwarki internetowe. Z racji międzynarodowej specyfiki tych podmiotów, obowiązki dla dostawców usług cyfrowych będą objęte zharmonizowanym na poziomie UE reżimem regulacyjnym.

Obowiązki operatorów usług kluczowych

Od momentu otrzymania od organu właściwego decyzji administracyjnej, dany podmiot uznany za operatora usługi kluczowej jest zobowiązany do:

- Po 3 miesiącach od otrzymania decyzji od organu właściwego operator: dokonuje szacowania ryzyka dla swoich usług kluczowych, zarządza incydentami, wyznacza osobę kontaktową z właściwym CSIRT i PPK przy MC, prowadzi działania edukacyjne wobec użytkowników, obsługuje incydenty we własnych systemach, zgłasza incydenty poważne, usuwa wskazywane podatności;

- Po 6 miesiącach od otrzymania decyzji: wdraża odpowiednie i adekwatne do oszacowanego ryzyka środki techniczne i organizacyjne, zbiera informacje o zagrożeniach i podatnościach, stosuje środki zapobiegające i ograniczające wpływ incydentów na bezpieczeństwo systemu informacyjnego, stosuje wymaganą dokumentację;

- Po 12 miesiącach od otrzymania decyzji: przygotowuje pierwszy audyt w rozumieniu ustawy, przekazuje sprawozdanie z audytu, wskazanym w ustawie podmiotom.

Za niewykonanie przez OUK obowiązków wynikających z ustawy, przewidziano zastosowanie kar finansowych (patrz rozdział 14 ustawy).

Ustawa o Krajowym Systemie Cyberbezpieczeństwa

 

SZKOLENIE Z WDRAŻANIA PROCEDUR

KRAJOWEGO SYSTEMU CYBERBEZPIECZEŃSTWA

 

  1. CZAS TRWANIA I SPOSÓB ORGANIZACJI SZKOLENIA

CZAS TRWANIA SZKOLENIA:  3 dni, 20 godzin

  1. WYMAGANIA WSTĘPNE WOBEC UCZESTNIKÓW SZKOLENIA
  • znajomość Ustawy z dnia 5 lipca 2018 r. o Krajowym Systemie Cyberbezpieczeństwa (Dz. U. poz. 1580);
  • wiedza nt. wykorzystywanych w jednostce organizacyjnej zasobów stanowiących podstawę uznania jednostki jako operatora usługi kluczowej lub dostawcy usługi cyfrowej oraz eksploatowanych w jednostce organizacyjnej systemów i sieci teleinformatycznych.
  1. CELE SZKOLENIA
  • wsparcie jednostki organizacyjnej w zakresie wdrożenia wymagań wynikających z Ustawy o Krajowym Systemie Cyberbezpieczeństwa;
  • weryfikacja podjętych przedsięwzięć zapewniających zgodność procedur z ustawą;
  • przygotowanie uczestników szkolenia do opracowania wymagań i procedur bezpieczeństwa oraz do audytu cyberbezpieczeństwa;
  • zapoznanie uczestników szkolenia z zasadami tworzenia architektury cyberbezpieczeństwa i prowadzenia właściwej polityki cyberbezpieczeństwa;
  • przedstawienie metod szacowania zagrożeń wobec cyberbezpieczeństwa, dokonywania analizy ryzyka i metod zarządzania ryzykiem naruszenia cyberbezpieczeństwa.
  1. OPIS TREŚCI SZKOLENIA
  • szkolenie obejmuje część teoretyczną – wykład i praktyczną w postaci wypełniania drzewa zdarzeń i drzewa wpływów i konwersatorium wypracowujące drzewo decyzji;
  • treści szkolenia wyczerpują zagadnienia związane z przygotowaniem uczestników do wdrożenia zasad cyberbezpieczeństwa w jednostce organizacyjnej.

5. PLAN SZKOLENIA

Lp. Tematyka zajęć Wymiar zajęć Opis treści szkolenia
teoret. prak.
1 Obowiązki operatorów usług kluczowych i dostawców usług cyfrowych 2 Wyszczególnienie i omówienie obowiązków wynikających z ustawy
2 Organizacja systemu zarządzania cyberbezpieczeństwem 2 Planowanie, organizacja struktur, powołanie osób funkcyjnych, zarządzanie jakością działania, monitorowanie systemu
3 Architektura cyberbezpieczeństwa – określenie i powołanie struktur wewnętrznych 3 1 Wdrożenie systemu zarządzania cyberbezpieczeństwem z zapewnieniem ciągłości działania
4 Szacowanie zagrożeń i zarządzanie ryzykiem naruszenia cyberbezpieczeństwa 3 Zapewnienie odpowiednich środków technicznych i organizacyjnych celem pozyskania informacji o podatnościach i zagrożeniach w funkcji oszacowanego ryzyka
5 Obsługa incydentów w obszarze cyberbezpieczeństwa 2 1 Zastosowanie środków zapobiegających lub ograniczających wpływ incydentów na bezpieczeństwo systemu informacyjnego
6 Audyt cyberbezpieczeństwa 3 1 Obowiązki przeprowadzania audytu – dokumentacja i kontrole
7 Współpraca z sektorowymi zespołami cyberbezpieczeństwa 2 Współpraca z sektorowymi zespołami cyberbezpieczeństwa w zakresie koordynowania obsługi incydentów i w zakresie wymiany informacji pozwalających przeciwdziałać zagrożeniom cyberbezpieczeństwa
Ogółem liczba godzin szkolenia 20

Szkolenie

Dane uczestnika

Zakwaterowanie / Zniżki
Pokój dwuosobowyPokój jednoosobowy

Cena: zł netto


Brak5 %10 %Indywidualna

5 % - członkowie KSOIN, uczestnicy szkoleń z 2017 i 2018 r., uczestnictwo 2 osób z jednej firmy w dowolnych szkoleniach organizowanych przez KSOIN.

10 % - uczestnictwo 3 i więcej osób z jednej firmy w dowolnych szkoleniach organizowanych przez KSOIN.

Oświadczam, że jestem zwolniony z podatku VAT, w związku z finansowaniem szkolenia w co najmniej 70% ze środków publicznych.

Dane do faktury
Firma / InstytucjaOsoba prywatna

Oświadczam, że zapoznałem/am się z

Wyrażam zgodę na otrzymywanie drogą elektroniczną na wskazany adres e-mail informacji handlowych, dotyczących organizowanych przez KSOIN szkoleń i innych wydarzeń w rozumieniu ustawy o świadczeniu usług drogą elektroniczną z dnia 18 lipca 2002 r. (Dz. U z 2017 r., poz. 1219 ze zm.).

Wyrażam zgodę na otrzymywanie drogą tradycyjną na wskazany adres pocztowy informacji handlowych, dotyczących organizowanych przez KSOIN szkoleń i innych wydarzeń.

Zapoznaj się z naszą Polityką Prywatności.

płk rez. dr inż. Dobrosław Mąka

Specjalista w zakresie analizy zagrożeń bezpieczeństwa teleinformatycznego i zarządzania ryzykiem, adiunkt w WSBiP w Ostrowcu Świętokrzyskim, w latach 2002 - 2012 wykładowca przedmiotów z dziedziny bezpieczeństwa narodowego w Akademii Obrony Narodowej w Warszawie, członek krajowych stowarzyszeń bezpieczeństwa teleinformatycznego i ochrony informacji niejawnych. W latach 2002-2004 - członek Rady Naukowej Kryptologii przy Instytucie Matematycznym PAN. Kierownik licznych prac dyplomowych studentów kierunku bezpieczeństwa narodowego. Autor wielu artykułów z dziedziny analizy ryzyka, bezpieczeństwa teleinformatycznego i cyberterroryzmu w czasopismach specjalistycznych i uczelnianych wydawnictwach naukowych. Uczestnik i współorganizator konferencji naukowych z dziedziny bezpieczeństwa narodowego i antyterroryzmu. Współautor książki „Jak chronić tajemnice", wyd. Bellona, Warszawa 2004.

Przyjazd uczestników, rejestracja i zakwaterowanie: przyjazd w pierwszym dniu od godz. 12.00, o godz. 13.00 obiad, rozpoczęcie zajęć programowych o godz. 14.00, a zakończenie zajęć w dniu ostatnim ok. godz. 14.00.

Koszt uczestnictwa w szkoleniach i warsztatach 3 dniowych wynosi od osoby:

  • 1900 zł netto – zakwaterowanie w pokoju jednoosobowym
  • 1800 zł netto – zakwaterowanie w pokoju dwuosobowym

Cena obejmuje: wykłady, materiały szkoleniowe, certyfikat/zaświadczenie, wyżywienie i zakwaterowanie. Do podanych cen należy doliczyć podatek VAT 23%. Szkolenia w zakresie kształcenia zawodowego lub przekwalifikowania zawodowego finansowane w co najmniej 70% ze środków publicznych są zwolnione z VAT. W przypadku korzystania ze zwolnienia prosimy o przesłanie stosownego oświadczenia wraz ze zgłoszeniem uczestnictwa.

Preferencyjne zniżki: członkowie KSOIN – 5%, uczestnicy szkoleń z 2018 i 2019 r. – 5%, uczestnictwo 2 osób z jednej firmy w dowolnych szkoleniach – 5%, uczestnictwo 3 i więcej osób z jednej firmy w dowolnych szkoleniach – 10%. Zniżki nie sumują się.

Zgłoszenia uczestnictwa prosimy przesyłać najpóźniej na 5 dni roboczych przed rozpoczęciem wybranych zajęć podając datę i miejsce szkolenia. Wypełnioną kartę zgłoszenia należy przesłać e-mailem na adres biuro@ksoin.pl, faksem na numer 32 206 46 01 lub pocztą na adres siedziby KSOIN. Istnieje możliwość zgłoszenia elektronicznego na stronie www.ksoin.pl. Ilość miejsc jest ograniczona, decyduje data zgłoszenia.

Należność za udział w szkoleniu prosimy wpłacać na konto KSOIN: PEKAO SA I Oddział w Katowicach, nr rachunku 55 1240 1330 1111 0010 2402 9927 na 5 dni przed rozpoczęciem zajęć (nie dotyczy sfery budżetowej).

Zgłoszenie udziału jest zobowiązaniem do zapłaty. Rezygnacja z uczestnictwa nie zgłoszona na 3 dni robocze przed rozpoczęciem zajęć nie zwalnia od zapłaty. Rezygnacje prosimy zgłaszać na adres biuro@ksoin.pl oraz telefonicznie pod nr 32 206 46 00.

Najbliższy termin

23-25 października 2019
Bielsko-Biała, Hotel Dębowiec

Kolejny termin

2-4 grudnia 2019
Bukowina Tatrzańska, Centrum Rekreacji i Biznesu GRAND Stasinda

Zobacz

Robert Kośla: Najważniejszym wyzwaniem jest obecnie budowa krajowego systemu cyberbezpieczeństwa

 

Jakie zmiany w wprowadza Ustawa o Krajowym Systemie Cyberbezpieczeństwa?

Cyber.mil.pl - bronimy Polską cyberprzestrzeń.

Udostępnij: