Bezpieczeństwo danych osobowych : podejście oparte na ryzyku
Niniejsza książka skierowana jest do podmiotów, które przetwarzają dane osobowe zarówno jako administratorzy danych, jak i podmioty przetwarzające (tzw. procesorzy) i w związku z tym zobowiązane są zabezpieczać te dane. Swoim zakresem obejmuje stosowanie zabezpieczeń danych osobowych oraz innych przepisów mających związek z ochroną danych osobowych zgodnie z wymaganiami RODO, ustawy o ochronie danych osobowych oraz innych przepisów
mających związek z ochroną danych osobowych. Celem publikacji jest pokazanie najważniejszych rodzajów zabezpieczeń i tego, jak je dobierać w zależności od poziomu ryzyka występującego w organizacji.
Zobacz pełny opisOdpowiedzialność: | Leszek Kępa. |
Seria: | Prawo w Praktyce; Ochrona Danych Osobowych |
Hasła: | Dane osobowe - ochrona - prawo - Polska |
Adres wydawniczy: | Warszawa : C.H. Beck, 2019. |
Wydanie: | Stan prawny: listopad 2019. |
Opis fizyczny: | XXV, [1] strona, 229 stron ; 24 cm. |
Skocz do: | Inne pozycje tego autora w zbiorach biblioteki |
Dodaj recenzje, komentarz |
- Rozdział I. Przepisy i normy dotyczące ochrony danych osobowych
- 1. Wymagania nałożone przez RODO
- 1.1. Ochrona praw i wolności osób fizycznych
- 1.2. Zabezpieczenie danych
- 1.3. Monitorowanie i wykrywanie naruszeń
- 1.4. Stosowanie zabezpieczeń przez podmiot przetwarzający
- 1.4.1. Powierzenie przetwarzania danych
- 1.4.2. Zaufani dostawcy i zleceniobiorcy
- 1.4.3. Podpowierzenie przetwarzania danych
- 1.5. Środki minimalizujące ryzyko: szyfrowanie, pseudonimizacja
- i anonimizacja
- 1.6. Środki i polityki bezpieczeństwa
- 1.7. Rejestr czynności przetwarzania
- 1.8. Ocena skutków dla ochrony danych
- 1.9. Nadzór nad bezpieczeństwem danych
- 2. Wymagania wynikające z Kodeksu pracy
- 2.1. Monitoring w miejscu pracy
- 2.2. Upoważnienia do przetwarzania danych
- 3. Wymagania zawarte w przepisach branżowych
- 3.1. Przepisy dotyczące instytucji finansowych
- 3.2. Przepisy dotyczące operatorów usług kluczowych i dostawców usług cyfrowych
- 3.3. Przepisy dotyczące podmiotów stosujących ustawę o rachunkowości
- 3.4. Przepisy dotyczące organów unijnych
- 4. Odpowiedzialność za naruszenie przepisów o ochronie danych osobowych
- 4.1. Osoby odpowiedzialne za przetwarzanie danych osobowych
- 4.1.1. Administrator danych (przedsiębiorca, organizacja)
- 4.1.2. Podmiot przetwarzający (procesor)
- 4.1.3. Pracownicy
- 4.1.4. Osoby zatrudnione na podstawie umowy cywilnoprawnej
- 4.1.5. Osoby samozatrudnione
- 4.1.6. Inspektor ochrony danych
- 4.1.7. Administrator systemu informatycznego
- 4.2. Obowiązek zachowania informacji w poufności
- 4.3. Kary za naruszenie przepisów o ochronie danych osobowych
- 5. Uznane normy i standardy
- 5.1. Normy ISO
- 5.1.1. Standardy ISO jako narzędzia ułatwiające zarządzanie bezpieczeństwem danych osobowych zgodnie z RODO
- 5.1.2. ISO 29100 "Ramy prywatności"
- 5.1.3. ISO 29134 "Wytyczne dotyczące oceny skutków dla prywatności"
- 5.1.4. ISO 29151 "Praktyczne zasady ochrony danych osobowych"
- 5.1.5. ISO 27000 "System zarządzania bezpieczeństwem informacji - informacje ogólne i słownik pojęć"
- 5.1.6. ISO 27001 "System zarządzania bezpieczeństwem informacji - wymagania"
- 5.1.7. ISO 27002 "Praktyczne zasady zarządzania bezpieczeństwem informacji"
- 5.1.8. ISO 27005 "Zarządzanie ryzykiem w bezpieczeństwie informacji"
- 5.1.9. ISO 22301 "Zarządzanie ciągłością działania"
- 5.1.10. ISO 31000 "Zarządzanie ryzykiem - zasady i wytyczne"
- 5.2. Standardy NIST
- 5.2.1. SP 800-12 Rev. 1 "An Introduction to Information Security"
- 5.2.2. SP 800-53 Rev. 4 "Security and Privacy Controls for Federal
- Information Systems and Organizations"
- 5.2.3. SP 800-122 "Guide to Protecting the Confidentiality of Personally
- Identifiable Information (PII)"
- 5.2.4. SP 800-30 rev. 1 "Guide for Conducting Risk Assessments"
- 5.2.5. NISTIR 7621 Rev. 1 "Small Business Information Security: The
- Fundamentals"
- 5.3. Wytyczne NCSC
- 5.4. CIS Controls v7.1
- 5.5. CIS Benchmarks
- 5.6. Wytyczne i rekomendacje Komisji Nadzoru Finansowego
- Rozdział II. Ochrona informacji w społeczeństwie informacyjnym - rozważania teoretyczne
- 1. Społeczeństwo informacyjne i gospodarka oparta na wiedzy
- 2. Dane, informacje i wiedza
- 2.1. Informacje a dane - różnice definicyjne
- 2.2. Specyficzne cechy informacji
- 2.3. Wiedza i mądrość
- 3. Komunikacja
- 4. Tajemnica
- 4.1. Asymetria informacyjna
- 4.2. Cechy tajemnicy
- 4.3. Ochrona informacji
- 5. Bezpieczeństwo i cyberbezpieczeństwo
- 6. Zagrożenia
- 6.1. Złodzieje informacji
- 6.2. Źródła, przykłady i skutki zagrożeń
- 6.3. Użytkownik jako zagrożenie
- Rozdział III. Podstawowe zabezpieczenia
- 1. Minimalne wymagania dotyczące zabezpieczeń
- 2. Zabezpieczenia fizyczne
- 2.1. Środki ochrony fizycznej
- 2.2. Wstęp na obszar przetwarzania
- 2.3. Ochrona urządzeń przed uszkodzeniem
- 2.4. Zabezpieczenia stosowane w podróży
- 2.5. Fizyczne niszczenie dokumentów i innych nośników informacji
- 3. Zabezpieczenia techniczne
- 3.1. Zapora sieciowa i zapora ogniowa
- 3.2. Sieć komputerowa
- 3.3. Dostęp do danych w systemie informatycznym
- 3.3.1. Identyfikacja osoby w systemie informatycznym
- 3.3.2. Zabezpieczenie urządzeń i aplikacji hasłem
- 3.3.3. Tworzenie i zapisywanie haseł
- 3.3.4. Uwierzytelnianie wieloskładnikowe
- 3.3.5. Stosowanie wygaszacza ekranu
- 3.4. Zabezpieczenia komputerów
- 3.4.1. Instalowanie programów
- 3.4.2. Licencjonowane oprogramowanie
- 3.4.3. Uprzywilejowany dostęp
- 3.4.4. Zabezpieczanie danych na dysku
- 3.4.5. Aktualizacje
- 3.4.6. Pozbywanie się sprzętu
- 3.5. Przesyłanie plików
- 3.6. Przeglądanie zasobów Internetu
- 3.7. Bezpieczna poczta elektroniczna
- 3.8. Tworzenie kopii danych
- 3.9. Domeny internetowe
- 4. Zabezpieczenia aplikacji i stron internetowych
- 5. Zabezpieczenia organizacyjne
- Rozdział IV. Zarządzanie ryzykiem
- 1. Bezpieczeństwo a zarządzanie ryzykiem
- 2. Pojęcie ryzyka
- 3. Proces zarządzania ryzykiem
- 4. Etapy zarządzania ryzykiem
- 4.1. Identyfikacja ryzyka
- 4.2. Analiza ryzyka
- 4.3. Ocena ryzyka
- 4.3.1. Sterowanie ryzykiem
- 4.3.2. Monitorowanie ryzyka
- 5. Ryzyko z perspektywy ochrony danych osobowych
- 5.1. Zarządzanie ryzykiem zgodnie z RODO
- 5.2. Podejście do ochrony danych osobowych oparte na ryzyku
- 5.3. Ryzyko związane z podmiotami przetwarzającymi
- 5.3.1. Wybór wiarygodnego podmiotu przetwarzającego
- 5.3.2. Zabezpieczenie danych osobowych przez podmiot przetwarzający
- 5.4. Ryzyko związane z przetwarzaniem danych osobowych w państwach trzecich
- 5.5. Proces zarządzania ryzykiem a ocena skutków dla ochrony danych
- 6. Metody pomocne w zarządzaniu ryzykiem
- 6.1. Metoda SWIFT ("co, jeśli")
- 6.2. Analiza przyczynowo-skutkowa (CEA)
- 6.3. Matryca skutek/prawdopodobieństwo (macierz ryzyka)
- 6.4. Analizy: przyczyn i konsekwencji (CCA), drzewa błędów i drzewa zdarzeń
- 6.5. Macierz Haddona
- 6.6. Listy kontrolne
- Rozdział V. Poziomy ryzyka i zabezpieczeń w praktyce
- 1. Analiza ryzyka dla procesu wysyłki newslettera
- 2. Poziomy ryzyka
- 2.1. Poziomy graniczne ryzyka
- 2.2. Skala skutków naruszenia ochrony danych
- 3. Poziomy zabezpieczeń
- 3.1. Wybór poziomu zabezpieczeń
- 3.2. Ocena podstawowych zabezpieczeń dla przykładowego procesu
- Rozdział VI. Zarządzanie dostępami i polityki haseł
- 1. Posiadanie dostępu do danych osobowych a zezwolenie na ich przetwarzanie
- 2. Proces logowania do systemu informatycznego
- 3. Ogólne zasady zarządzania uprawnieniami dostępu
- 3.1. Identyfikatory użytkowników systemu
- 3.2. Minimalizacja dostępu
- 3.3. Dostęp bazujący na rolach
- 3.4. Przegląd kont
- 3.5. Wykaz systemów i przyznanych dostępów
- 3.6. Active Directory
- 4. Polityki haseł
- 4.1. Budowa hasła a czas jego łamania
- 4.2. Numer PIN
- 4.3. Hasła maskowane i hasła jednorazowe
- 4.4. Procedura resetowania haseł domyślnych
- 4.5. Hasła w aplikacjach szytych na miarę
- 4.6. Transmisja haseł
- 4.7. Alternatywy dla haseł
- 5. Pewność uwierzytelnienia
- Rozdział VII. Aktualizacje (poprawki) bezpieczeństwa
- 1. Cyfrowa higiena bezpieczeństwa
- 2. Wykaz zasobów wykorzystywanych do przetwarzania danych osobowych
- 3. Instalowanie aktualizacji
- Rozdział VIII. Dokumentacja i polityki bezpieczeństwa danych osobowych
- 1. Znaczenie terminu "polityka bezpieczeństwa" w kontekście ochrony danych osobowych
- 2. Dokumentacja na gruncie RODO
- 3. Kodeksy postępowania
- 4. Plan postępowania z naruszeniami
- 5. Rozwiązania techniczne wykrywające naruszenia
- 5.1. Security information and event management (SIEM)
- 5.2. Intrusion detection systems (IDS) oraz intrusion prevention system (IPS)
- 5.3. Network access control (NAC)
- 5.4. Oprogramowanie antywirusowe
- 5.5. Skanowanie podatności
- 6. Plany zachowania ciągłości działania
- Rozdział IX. Budowanie świadomości bezpieczeństwa
- 1. Świadomość zagrożeń a podatność użytkownika na ataki
- 2. Program budowania świadomości bezpieczeństwa
- 3. Socjotechnika
- Rozdział X. Zarządzanie bezpieczeństwem
- 1. Bezpieczeństwo jako stan i jako proces
- 2. Projektowanie systemu zabezpieczeń
- 2.1. Obrona wielowarstwowa
- 2.2. Bezpieczeństwo przez zaciemnianie
- 2.3. Klasyfikacja informacji
- 2.3.1. Poziomy klasyfikacji informacji
- 2.3.2. Praktyczna klasyfikacja informacji
- 3. Nadzór nad zabezpieczeniami
Zobacz spis treści
Sprawdź dostępność, zarezerwuj (zamów):
(kliknij w nazwę placówki - więcej informacji)