Projekt Cyberbezpieczny Samorząd

Projekt Cyberbezpieczny Samorząd

Projekt Cyberbezpieczny Samorząd

Projekt Cyberbezpieczny Samorząd to zwiększanie odporności na ataki cybernetyczne. A to są kluczowe strategie dla samorządów.

 

W ostatnich latach, świadkami jesteśmy dynamicznego wzrostu liczby ataków i incydentów w obszarze cyberbezpieczeństwa. Badanie bezpieczeństwa stron internetowych samorządów przeprowadzone przez zespół CSIRT NASK w 2020 r. ujawniło podatności na ataki w ponad połowie zbadanych witryn, w tym poważne błędy. Te podatności są coraz częściej wykorzystywane przez cyberprzestępców..

W drugiej połowie 2022 r. zarysował się wyraźny trend wzrostowy w liczbie zgłoszeń zarejestrowanych przez CSIRT NASK. W grudniu 2022 r. odnotowano niemal 85,2 tys. zgłoszeń, co w porównaniu z analogicznym miesiącem 2021 r. oznacza ponad czterokrotny wzrost. Te statystyki podkreślają pilną potrzebę wzmocnienia odporności systemów IT i OT wykorzystywanych w JST, a także stworzenia systemowego wsparcia w reagowaniu na incydenty.

 

Głównym celem tego projektu jest podniesienie poziomu bezpieczeństwa informacji w jednostkach samorządu terytorialnego (JST). Osiągniemy to poprzez wzmacnianie odporności oraz zdolności do skutecznego zapobiegania i reagowania na incydenty w systemach informacyjnych.

 

Realizacja projektu poprzez wsparcie grantowe dla jednostek samorządowych przyczyni się do:

  • Wdrożenia lub aktualizacji polityk bezpieczeństwa informacji (SZBI) w JST.
  • Wdrożenia środków zarządzania ryzykiem w cyberbezpieczeństwie w JST.
  • Wdrożenia mechanizmów i środków zwiększających odporność JST na ataki z cyberprzestrzeni.
  • Podniesienia poziomu wiedzy i kompetencji personelu JST kluczowego z punktu widzenia SZBI.
  • Przeprowadzenia audytów SZBI w JST, potwierdzających uzyskanie wyższego poziomu odporności na cyberzagrożenia.

Dla kogo jest ten projekt?

Projekt będzie realizowany na terenie całego kraju, obejmując wszystkie jednostki samorządowe, tj. 2 477 gmin, 314 powiatów, 16 województw (łącznie 2 807 JST).

Grupą docelową projektu jest administracja publiczna: jednostki samorządu terytorialnego (JST) wraz z jednostkami podległymi (z ograniczeniem do jednostek sektora publicznego, z wyłączeniem placówek ochrony zdrowia).

 

 

Projekt Cyberbezpieczny Samorząd jest realizowany przez Centrum Projektów Polska Cyfrowa (Beneficjent Projektu) w partnerstwie z NASK Państwowym Instytutem Badawczym.

**Źródło:** (https://www.gov.pl/web/cppc/cyberbezpieczny-samorzad)

Firma - dane rejestrowe


Inspektorzyrodo.pl Sp. z o.o.
Siedziba: 00-682 Warszawa ul. Hoża 86/410
KRS 0000739784 REGON 380718355 NIP 7010831232

Ochrona Danych Osobowych: Klucz do Bezpieczeństwa i Zgodności z RODO

Ochrona Danych Osobowych: Klucz do Bezpieczeństwa i Zgodności z RODO

Ochrona Danych Osobowych: Klucz do Bezpieczeństwa i Zgodności z RODO

W erze cyfrowej, gdzie dane stały się nowym złotem, ich ochrona jest nie tylko koniecznością, ale również obowiązkiem. Niedawno Urząd Ochrony Danych Osobowych (UODO) nałożył karę administracyjną w wysokości ponad 47 tys. zł za niewdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzania danych osobowych.

 

Niewdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzania danych osobowych oraz brak regularnego testowania, mierzenia i oceniania skuteczności zastosowanych środków jednym z powodów nałożenia przez UODO administracyjnej kary pieniężnej w wysokości ponad 47 tys. zł. – UODO

 

Zgłoszenie do UODO wpłynęło od podmiotu trzeciego, wskazującego na utratę dokumentacji prowadzonej w formie elektronicznej przez administratora. Dokumentacja ta zawierała m.in. dane osobowe pracowników administratora oraz osób będących stronami umów cywilnoprawnych.

Analiza ryzyka i zabezpieczenia

RODO daje dużą elastyczność administratorowi, nie narzucając konkretnych wymagań w zakresie doboru zabezpieczeń. To administrator ma samodzielnie dokonać analizy procesów przetwarzania danych, ocenić ryzyka, a następnie zastosować odpowiednie środki i procedury. Niestety, w omawianym postępowaniu nic nie wskazywało na to, że administrator przeprowadził ją prawidłowo dla przetwarzanych w formie elektronicznej danych.

 

UODO konsekwentnie przypomina, że wdrażając środki bezpieczeństwa, administrator nie może ograniczać się do jednorazowego ich opracowania. Konieczne jest także ich testowanie i weryfikowanie, czy są one adekwatne do istniejących ryzyk. – UODO

 

Podsumowanie

W przypadku ochrony danych osobowych, kluczowe jest wdrożenie odpowiednich środków technicznych i organizacyjnych. Administratorzy danych powinni regularnie testować, mierzyć i oceniać skuteczność zastosowanych środków. W przypadku naruszenia ochrony danych, konieczne jest szybkie i skuteczne działanie, aby przywrócić dostęp do danych. Współpraca z organami nadzorczymi, takimi jak UODO, jest również niezbędna do zapewnienia zgodności z przepisami RODO.

Firma - dane rejestrowe


Inspektorzyrodo.pl Sp. z o.o.
Siedziba: 00-682 Warszawa ul. Hoża 86/410
KRS 0000739784 REGON 380718355 NIP 7010831232

Administrator Systemów Informatycznych jako IOD – możliwość czy konflikt interesów?

Administrator Systemów Informatycznych jako IOD – możliwość czy konflikt interesów?

Administrator Systemów Informatycznych jako IOD – możliwość czy konflikt interesów?

Zazwyczaj, zadania ASI określone są wewnętrznie, a często powierzane są ekspertom IT. Do głównych obowiązków ASI należą m.in. administrowanie serwerami i zapewnianie bezpieczeństwa systemów informatycznych.

 

 

Łączenie funkcji IOD i ASI może jednak być niezgodne z RODO, ze względu na wymogi dotyczące niezależności IOD, jego pozycji w strukturze organizacyjnej oraz możliwości prawidłowego wykonania zadań. Często osoba pełniąca rolę IOD i ASI sprawuje nadzór nad zgodnością swoich działań z prawem, co może prowadzić do braku rzeczywistego nadzoru nad przetwarzaniem danych.

IOD musi podlegać najwyższemu kierownictwu, co ma zapewnić niezależność i skuteczność wykonywania funkcji. Jednoczesne pełnienie funkcji IOD i ASI wyklucza sytuacje, w których osoba ta podlegała by innym osobom, które nie są najwyższym kierownictwem.

Zgodnie z art. 38 ust. 6 RODO, IOD może pełnić inne zadania, o ile nie prowadzi to do konfliktu interesów. Konflikty interesów mogą pojawiać się, gdy IOD zajmuje stanowiska, które określają cele i metody przetwarzania danych.

Stanowiska, takie jak dyrektor generalny, dyrektor IT, kierownik działu marketingu czy HR, są uznawane za prowadzące do konfliktu interesów, jeśli osoby na tych stanowiskach biorą udział w określaniu celów i sposobów przetwarzania danych.

 

Podsumowując, możliwość konfliktu interesów między funkcjami „”ASI”” i „”IOD”” powinna być monitorowana na bieżąco.

Decyzja, czy konflikt interesów występuje, powinna być podejmowana indywidualnie, biorąc pod uwagę konkretne okoliczności.


 

Dziękuję Ci za poświęcony czas na przeczytanie tego artykułu. Twoje zrozumienie kwestii związanych z RODO i rolą Inspektora Ochrony Danych jest dla nas priorytetem.

Zachęcamy do podzielenia się refleksjami i pytaniami. Twoje doświadczenia mogą być cennym wkładem do tej rosnącej dyskusji. Jesteśmy tutaj, aby pomóc, rozwiać wątpliwości i odpowiadać na pytania.

Dziękujemy za bycie z nami i czekamy na Twoje cenne uwagi. Razem, możemy zrozumieć i zastosować RODO lepiej.

Firma - dane rejestrowe


Inspektorzyrodo.pl Sp. z o.o.
Siedziba: 00-682 Warszawa ul. Hoża 86/410
KRS 0000739784 REGON 380718355 NIP 7010831232

Balansowanie ról: Czy możliwe jest łączenie funkcji IOD i kierownika komórki w organizacji?

Balansowanie ról: Czy możliwe jest łączenie funkcji IOD i kierownika komórki w organizacji?

Balansowanie ról: Czy możliwe jest łączenie funkcji IOD i kierownika komórki w organizacji?

Czy Inspektor Ochrony Danych (IOD) może być jednocześnie kierownikiem komórki w organizacji? To pytanie, które często zadają sobie administratorzy danych i liderzy organizacji. Odpowiedź, jak zwykle, nie jest czarno-biała.

 

 

Wg art. 38 ust. 6 RODO, Inspektor Ochrony Danych może wykonywać inne zadania i obowiązki. Istotne jest jednak, aby takie dodatkowe obowiązki nie powodowały konfliktu interesów. Tutaj kryje się sedno problemu. To wymaganie wynika bezpośrednio z konieczności zapewnienia niezależności Inspektora Ochrony Danych.

Możemy by to wyjaśnić na prostym przykładzie. Gdyby IOD był jednocześnie dyrektorem departamentu IT, mógłby decydować o zabezpieczeniach systemów informatycznych lub projektować systemy przetwarzające dane osobowe. Czy w takim przypadku mógłby jednocześnie, jako IOD, prowadzić badania zgodności tych procesów z przepisami o ochronie danych osobowych? W końcu byłby to człowiek, który decyduje o procesach, które ma jednocześnie kontrolować.

 

 

Przy wyznaczaniu „IOD” warto zwrócić uwagę na trzy kluczowe kryteria:


 

  1. Organizacyjne: IOD powinien bezpośrednio podlegać najwyższemu kierownictwu jednostki organizacyjnej.
  2. Merytoryczne: inne obowiązki nie powinny negatywnie wpływać na niezależne wykonywanie zadań IOD.
  3. Czasowe: IOD powinien dysponować czasem wystarczającym do wykonywania swoich zadań.

 

Jest to szczególnie istotne, gdy weźmiemy pod uwagę złożoność i ilość zadań, jakie mogą paść na IOD. Czy IOD będący jednocześnie innym kierownikiem, będzie w stanie odpowiednio wykonywać swoje obowiązki?

Podsumowując, choć RODO nie wyklucza jednoczesnego pełnienia funkcji IOD i funkcji kierownika komórki w organizacji, nieprzeprowadzenie dokładnej analizy przez administratora danych i nieuwzględnienie powyższych kryteriów może prowadzić do naruszenia przepisów o ochronie danych osobowych.

Z tego powodu, zawsze warto poświęcić trochę więcej czasu na analizę i rozmowy z zespołem, zanim podejmiemy decyzję o wyznaczeniu IOD. Dbając o zgodność z RODO, dbamy o reputację naszej organizacji i bezpieczeństwo danych naszych klientów.

 


 

Dziękuję Ci za poświęcony czas na przeczytanie tego artykułu. Twoje zrozumienie kwestii związanych z RODO i rolą Inspektora Ochrony Danych jest dla nas priorytetem.

Zachęcamy do podzielenia się refleksjami i pytaniami. Twoje doświadczenia mogą być cennym wkładem do tej rosnącej dyskusji. Jesteśmy tutaj, aby pomóc, rozwiać wątpliwości i odpowiadać na pytania.

Dziękujemy za bycie z nami i czekamy na Twoje cenne uwagi. Razem, możemy zrozumieć i zastosować RODO lepiej.

Firma - dane rejestrowe


Inspektorzyrodo.pl Sp. z o.o.
Siedziba: 00-682 Warszawa ul. Hoża 86/410
KRS 0000739784 REGON 380718355 NIP 7010831232