Podaj swój adres e-mail, jeżeli chcesz otrzymywać informacje o nowościach i promocjach.
Bezpieczeństwo danych osobowych. Praktyczny przewodnik
Opis
Bezpieczeństwo danych osobowych. Praktyczny przewodnik
Autor: Michał Sztąberek, Katarzyna Ułasiuk
Wydawnictwo: PRESSCOM
Liczba stron: 312
Okładka: twarda
Wydanie: pierwsze
OPIS:
Jakie są najczęstsze zagrożenia dla bezpieczeństwa danych? Kto powinien być zaangażowany w ochronę danych osobowych? Jak zagwarantować zabezpieczenia fizyczne, organizacyjne i techniczne? Jak wypełnić obowiązki dokumentacyjne w zakresie ochrony danych?
Wraz z wejściem w życie rozporządzenia ogólnego obowiązkiem wszystkich organizacji będzie dostosowanie systemów bezpieczeństwa danych osobowych do nowych przepisów. W publikacji w praktyczny sposób omówiono obowiązki ADO, ABI i innych podmiotów zaangażowanych w przetwarzanie danych osobowych oraz wytłumaczono najważniejsze pojęcia z zakresu ochrony danych.Przedstawione zostały zasady formułowania polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. Przewodnik zawiera także cenne wskazówki dotyczące sposobów ochrony danych przed pozyskiwaniem ich przez osoby nieupoważnione.
Autorzy poruszyli również tematykę audytów wewnętrznych, sprawdzających wdrożone sposoby zabezpieczeń danych osobowych, oraz zakres odpowiedzialności uczestników procesów przetwarzania danych. Całość została uzupełniona o wzory przydatnych dokumentów, m.in.: oświadczenia o zachowaniu tajemnicy, upoważnienia do przetwarzania danych, ewidencji, wykazów środków zabezpieczeń czy planu audytu. Są one dostępne również w wersji edytowalnej na dołączonej do przewodnika płycie CD.
Autorzy:
Katarzyna Ułasiuk – prawnik specjalizujący się w zakresie ochrony danych osobowych, pełniący funkcję ABI na co dzień. Praktykę zdobywała współpracując z podmiotami z sektora MŚP, organami administracji publicznej oraz międzynarodowymi korporacjami. Doświadczony trener i prelegent.
Michał Sztąberek – prawnik, ABI i audytor wiodący wg normy ISO 27001. Tematyką bezpieczeństwa informacji, w szczególności ochroną danych osobowych, zawodowo zajmuje się od 2006 r. Publikował m.in. w „Rzeczpospolitej”, „Marketerze+”, „Personelu i Zarządzaniu”, „PC World”. Od 2010 r. jest współwłaścicielem firmy doradczej.
Spis treści :
Wykaz skrótów
Rozdział 1. Wprowadzenie
1.1. Źródła prawa
1.2. Podstawowe pojęcia z zakresu ochrony danych osobowych
1.2.1. Dane osobowe
1.2.2. Dane wrażliwe
1.2.3. Dane jawne
1.2.4. Administrator danych
1.2.5. Procesor (podmiot przetwarzający)
1.2.6. Administrator bezpieczeństwa informacji
1.2.7. Przetwarzanie danych
1.2.8. Zbiór danych
1.2.9. System informatyczny
1.3. Dobre praktyki w zakresie bezpieczeństwa danych
Rozdział 2. Osoby zaangażowane w zabezpieczanie danych osobowych
i ich obowiązki
2.1. Administrator danych
2.1.1. Zapewnienie środków technicznych i organizacyjnych służących do ochrony przetwarzanych danych osobowych
2.1.2. Upoważnianie osób dopuszczonych do przetwarzania danych
2.1.3. Powoływanie i odwoływanie osób funkcyjnych
2.1.4. Wdrożenie dokumentacji opisującej sposób przetwarzania danych osobowych
2.1.5. Zapewnianie przestrzegania przepisów o ochronie danych osobowych
2.1.6. Przydzielenie obowiązków ADO innym osobom
2.2. Administrator bezpieczeństwa informacji i jego zastępcy
2.2.1. Niezbędne kompetencje i odrębność organizacyjna
2.2.2. Zgłoszenie do rejestru GIODO
2.2.3. Zakres zadań
2.2.4. Powołanie zastępcy lub zastępców ABI
2.2.5. Korzyści z powołania ABI
2.2.6. Odwołanie ABI
2.3. Administratorzy systemu informatycznego
2.4. Użytkownicy
2.5. Inne osoby
2.5.1. Bez powołania ABI
2.5.2. Wsparcie dla ABI
2.5.3. Wsparcie dla ASI
Rozdział 3. Zabezpieczenia organizacyjne
3.1. Polityka bezpieczeństwa (danych osobowych)
3.1.1. Obszar przetwarzania danych osobowych
3.1.2. Wykaz zbiorów danych osobowych i programów stosowanych do ich przetwarzania
3.1.3. Opis struktury zbiorów danych
3.1.4. Sposób przepływu danych pomiędzy poszczególnymi systemami
3.1.5. Określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych
3.2. Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych
3.2.1. Procedury nadawania uprawnień
3.2.2. Metody i środki uwierzytelnienia
3.2.3. Procedury rozpoczęcia, zawieszenia i zakończenia pracy
3.2.4. Procedury tworzenia kopii zapasowych
3.2.5. Sposób, miejsce i okres przechowywania elektronicznych nośników informacji i kopii zapasowych
3.2.6. Sposób zabezpieczenia systemu informatycznego przed złośliwym oprogramowaniem
3.2.7. Sposób odnotowania w systemie informacji o udostępnieniu danych osobowych odbiorcom
3.2.8. Procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji
3.3. Upoważnienia do przetwarzania danych i ewidencja osób upoważnionych
3.3.1. Upoważnienia do przetwarzania danych
3.3.2. Ewidencja osób upoważnionych
3.4. Zgoda na przebywanie w miejscu przetwarzania danych
3.5. Zapisy dotyczące poufności danych osobowych
3.6. Organizacyjne zasady pracy (dobre praktyki)
3.7. Inne procedury wpływające na bezpieczeństwo danych osobowych
3.7.1. Zasady udostępniania danych osobowych
3.7.2. Zasady powierzania przetwarzania danych osobowych
3.7.3. Procedury reagowania na incydenty
3.7.4. Procedura używania komputerów przenośnych
Rozdział 4. Zabezpieczenia fizyczne
4.1. Zasady ogólne
4.2. Przykłady adekwatnych zabezpieczeń fizycznych
4.2.1. Szacowanie ryzyka
4.2.2. Katalog zabezpieczeń fizycznych
4.2.3. Polityka czystego biurka i czystego ekranu
4.2.4. Przykłady stosowania adekwatnych zabezpieczeń
4.2.5. Przetwarzanie danych poza obszarem ich przetwarzania
4.3. Zabezpieczenia fizyczne przewidziane w normie ISO 27001 jako przykład dobrych praktyk
Rozdział 5. Zabezpieczenia techniczne (informatyczne)
5.1. Minimalne wymogi wskazane w przepisach wykonawczych do ustawy o ochronie danych osobowych
5.1.1. Zasady ogólne
5.1.2. Środki techniczne przewidziane przez przepisy prawa
5.1.3. Uwierzytelnienie
5.1.4. Oprogramowanie antywirusowe
5.1.5. Szyfrowanie danych
5.1.6. Komunikacja i udostępnianie danych w chmurze obliczeniowej
5.1.7. Przydzielanie zróżnicowanych uprawnień
5.1.8. Kopie zapasowe
5.1.9. Monitorowanie zabezpieczeń
5.1.10. Obligatoryjne funkcjonalności systemu informatycznego
5.2. Zabezpieczenia techniczne (informatyczne) przewidziane w normie ISO 27001 jako przykład dobrych praktyk
5.3. Inne przepisy prawne odnoszące się do bezpieczeństwa infrastruktury IT
Rozdział 6. Zagrożenia dla bezpieczeństwa danych i najczęściej popełniane błędy
6.1. Typowe błędy użytkowników
6.1.1. Hasła
6.1.2. Nośniki
6.1.3. Praca na koncie z pełnymi uprawnieniami
6.1.4. Niebezpieczne strony WWW
6.2. Narzędzia programowe wykorzystywane do ataków na bezpieczeństwo informacji
6.2.1. Wirusy
6.2.2. Robaki
6.2.3. Trojany (konie trojańskie)
6.2.4. Backdoor
6.2.5. Rootkity
6.2.6. Keyloggery
6.2.7. Spyware
6.2.8. Exploity
6.2.9. Dialery
6.3. Socjotechnika
6.3.1. Socjotechnika werbalna
6.3.2. Phishing
6.3.3. Smishing
6.3.4. Pharming
Rozdział 7. Audyt bezpieczeństwa danych osobowych
7.1. Wymogi prawne
7.1.1. Pojęcie audytu
7.1.2. Sprawdzenia przeprowadzane przez ABI
7.1.3. Sposób prowadzenia sprawdzeń
7.1.4. Sprawozdanie ze sprawdzenia
7.1.5. Nadzór nad dokumentacją ochrony danych osobowych
7.2. Przygotowanie audytu bezpieczeństwa danych osobowych
7.2.1. Cel audytu
7.2.2. Planowanie audytu
7.2.3. Opisywanie niezgodności w raporcie z audytu
7.2.4. Listy kontrolne
7.3. Zakres podmiotowy i przedmiotowy audytu bezpieczeństwa danych osobowych
7.3.1. Zakres podmiotowy
7.3.2. Zakres przedmiotowy
7.4. Dobre praktyki audytowe przewidziane w normie ISO 19011
Rozdział 8.Odpowiedzialność z tytułu naruszenia obowiązków
dotyczących zabezpieczenia danych osobowych
8.1. Odpowiedzialność administracyjna
8.2. Odpowiedzialność karna
8.3. Odpowiedzialność cywilnoprawna
8.4. Odpowiedzialność wynikająca z prawa pracy
Wzory dokumentów
Wybrane akty prawne
Bibliografia
Indeks