Opis szkolenia: Szkolenie dostarcza wiedzy technologicznej oraz systemowej do oceny zgodności bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia Usługi Kluczowej z wymaganiami ustawy o Krajowym Systemie Cyberbezpieczeństwa z wykorzystaniem Szablonu sprawozdania z Audytu zgodnego z ustawą o Krajowym Systemie Cyberbezpieczeństwa.
Celem szkolenia jest zbudowanie wiedzy i praktycznych umiejętności dokonania oceny zgodności bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia Usługi Kluczowej z wymaganiami ustawy o Krajowym Systemie Cyberbezpieczeństwa.
Dla kogo: Szkolenie przeznaczone jest dla audytorów zewnętrznych i wewnętrznych, administratorów i oficerów bezpieczeństwa informacji, Inspektorów Ochrony Danych, managerów i specjalistów ds. ryzyka, oficerów compliance, osób chcących podnieść swoje kompetencje z obszaru audytu cyberbezpieczeństwa i technologii IT oraz wszystkich innych, którzy są zainteresowani tematyką cyberbezpieczeństwa i chcą podnieść swoje kwalifikacje.
Program szkolenia:
1. Kontekst prawny ustawy o KSC
a. wymagania Dyrektywy NIS
b. Ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz. U. 2018 poz. 1560), nazywana ustawą KSC (dalej UKSC).
c. Akty wykonawcze
d. zakres Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej;
e. przewidywane zmiany do ustawy
2. Koncepcje bezpieczeństwa i zarządzania – zrozumienie kontekstu przez audytora:
a. obrona w głąb;
b. cyberodporność wg NIST;
c. model sera szwajcarskiego prof. Jamesa Reasona;
d. antykruchość Nassima Thaleba;
e. model SHELL z lotnictwa cywilnego;
f. merytokrację Raya Dalio.
3. Dopasowanie do kontekstu zewnętrznego i wewnętrznego organizacji;
4. Zarządzanie ryzykiem, w ramach przyjętego apetytu na ryzyko – sposób oceny audytorskiej;
5. Spełnienie wymogów prawnych, regulacyjnych oraz wymagań klientów – ocena przez audytora;
a. CSIRTy
b. Koordynacja wojewódzka
c. Produkty, procesy i usługi ICT
d. ISAC - centrum wymiany i analizy informacji na temat podatności, zagrożeń i incydentów
e. sposób sprawowania nadzoru i kontroli w zakresie stosowania przepisów ustawy KSC;
6. Audytowanie wymagań, jakie mają zostać spełnione w ramach budowania systemów cyberbezpieczeństwa;
7. Kary w UKSC
8. Audyt cyberbezpieczeństwa: zakres audytu i główne cele kontrolne dla obszarów
a. Obszar 1: Organizacja zarządzania bezpieczeństwem informacji;
b. Obszar 2: Procesy zarządzania bezpieczeństwem informacji ;
c. Obszar 3: Zarządzanie ryzykiem;
d. Obszar 4: Monitorowanie i reagowanie na incydenty bezpieczeństwa;
e. Obszar 5: Zarządzanie zmianą ;
f. Obszar 6: Zarządzanie ciągłością działania;
g. Obszar 7: Utrzymanie systemów informacyjnych;
h. Obszar 8: Utrzymanie i rozwój systemów informacyjnych;
i. Obszar 9: Bezpieczeństwo fizyczne;
j. Obszar 10: Zarządzanie bezpieczeństwem i ciągłością działania łańcucha usług;
9. Obowiązki i wymagania w zakresie prowadzenia audytu bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej (dalej audyt cyberbezpieczeństwa).
10. Budowa programu audytu
a. budowanie kultury, świadomości i kompetencji bezpieczeństwa – sposób audytowania;
b. wbudowanie mechanizmów kontrolnych (zabezpieczeń) w istniejące procesy organizacji – ocena skuteczności;
c. realizacja bezpieczeństwa zgodnie z podejściem security „by design” i „by default” – wymagania prawne;
11. Ocena szczegółowych aspektów UKSC
a. realizacja bezpieczeństwa w sposób zwinny oraz minimalizujący uciążliwość dla użytkownika końcowego;
b. dopasowanie rozwiązań technologicznych do potrzeb i możliwości organizacji;
c. budowanie i realizacja podejścia systemowego i holistycznego zgodnie z modelem zintegrowanego GRC (governance – risk – compliance), który buduje siatki połączeń i rozbija silosy organizacyjne;
d. skuteczne mechanizmy komunikacyjne i dostarczenie poprawnej informacji na czas;
e. identyfikację i reagowanie na zmieniający się krajobraz zagrożeń;
f. stałą identyfikację podatności technicznych.
12. Analiza ryzyka w świetle kontekstu UKSC
13. Zastosowanie szablonu audytu cyberbezpieczeństwa – omówienie, case study, praca pod kierunkiem instruktorów
Forma szkolenia: Szkolenie prowadzone w formie wykładu uzupełnionego o liczne, praktyczne przykłady oraz panel dyskusyjny dot. zagadnień szczególnie interesujących użytkowników.
1 dzień – 8h (teoria + wstęp do warsztatu), praca nad case’m w domu, 2 dzień – 3h uzupełnienie kluczowych elementów z dnia pierwszego oraz 5h omawianie case’ów i warsztaty.
Termin szkolenia: 17.09.2021 r. i 29.09.2021 r.
1 dzień – 9.00 - 16.00 (teoria + wstęp do warsztatu), praca nad case’m w domu
2 dzień – 9.00 - 16.00 uzupełnienie kluczowych elementów z dnia pierwszego;
omawianie case’ów i warsztaty
Godzina rozpoczęcia szkolenia: 09.00
Cena szkolenia:
dla członków IIA Polska - 1200 zł + VAT (23%)
dla pozostałych osób - 1500 zł + VAT (23%)
Oświadczenie dotyczące zwolnienia z VAT.
Cena szkolenia obejmuje:
Przygotowanie i przeprowadzenie szkolenia, materiały szkoleniowe oraz certyfikat ukończenia szkolenia, czyli certyfikaty CPE (Continuing Professional Education) uznawanych na całym świecie w zakresie raportowania wyników doskonalenia zawodowego dla posiadaczy certyfikatów CIA, CGAP, CCSA, CRMA oraz CFSA.
Uczestnik szkolenia otrzyma 16 godzin CPE (14 godzin za szkolenie + 2 godziny za przygotowanie Casu).
IIA Polska zastrzega sobie prawo do odwołania szkolenia, jeżeli nie zbierze się minimalna grupa uczestników.