пропозиції роботи
Wypowiedzi
-
Aby mieć możliwość przeczytania tego posta musisz być członkiem grupy Teoria Bezpieczeństwa
-
Aby mieć możliwość przeczytania tego posta musisz być członkiem grupy Skorpiony (zodiak)
-
Paweł Kurpiewski:
Witam wszystkich!
Od pewnego czasu męczy mnie kwestia rejestracji bazy danych w GIODO. W obecnej chwili zajmuje się tworzeniem dedykowanej aplikacji (serwis webowy), która ze względu na swój charakter będzie wymagać takowej rejestracji. Dane jakie będą przetwarzane to przede wszystkim adres e-mail, adres IP oraz dane takie jak telefon, opcjonalnie imię oraz nazwisko. Od razu chciałbym zaznaczyć, że mam zerowe doświadczenie w temacie bezpieczeństwa informacji. Dlatego mam kilka pytań.
No to gratuluję aplikacji i życzę dużo sukcesów w dalszych zmaganiach w prawem :))
1. Na jakiej podstawie można stwierdzić, że stworzona aplikacja jest bezpieczna ?
Na podstawie testów penetracyjnych i auduty. Sam możesz napisać, że jest bezpieczna, ale zawsze dziura lub dziurka się znajdzie :>
2. Jak mniej więcej wygląda polityka bezpieczeństwa dla serwisu webowego ?
Nie ma wzoru. Każdy opracowuje swoją własną na potrzeby firmy.
3. Jak mniej więcej wygląda i czy jest wymagana instrukcja zarządzania systemem informacyjnym gdy Administratorem Danych Osobowych jest jedna osoba ?
Jeśli jesteś firmą to powinieneś mieć PB, załączniki do niej, SZBI i inne dokumenty - nawet jeśli jesteś jedną osobą ;)
To tylko garstka podstawowych pytań, liczę na dłuższą dyskusję :)
U nas? To murowane :)) -
Ewa daj znak kogo wybrałaś
-
Może i ja się wypowiem ;)
W swoim czasie (jakieś pół roku temu) wrzuciłem w google hasło PB i znalazłem kilkanaście PB, ale tutaj UWAGA właśnie z urzędów miast i gmin. Nie znam uregulowań - być może muszą zamieszczać na swoich "tajnych" stronach takie dokumenty ("tajnych" bo chociaż na stronie www nie ma bezpośredniego linku do PB to google i tak b.dobrze wykona cache na tej stronie :>). Czytałem tam m.in. info, że w takim to a takim pokoju są przetwarzane dane w systemie komputerowym o takiej to a takiej bazie danych (i tutaj budowa samej bazy). Czy też w takim to a takim pokoju jest szafa z aktami osobowymi :>
Druga sprawa: PB się udostępnia osobom przetwarzających dane osobowe w naszej firmie. Tak więc te osoby i tak muszą przeczytać wiele stron PB więc zabezpieczenia nie powinny być w samej PB tylko w ZAŁĄCZNIKU z opisem, że załącznik jest tajny.
Trzecia sprawa: do PB też ma wgląd osoba, której dane są przetwarzane.
Więc ze względu na 2 i 3 pkt danych ważnych (tajnych, zabezpieczeń) NIE POWINNO BYĆ W PB tylko w ZAŁĄCZNIKACH, które są określone mianem "tajne" czy jak tam to nazwiecie :) -
Adam Patkowski:
Radek Rzążewski:
Sławku,
z drugiej strony jest coś takiego jak kodeks człowieka (nie wspominając, że jesteśmy ABI). Więc nie baw się w jakieś zadośćuczynienia bo może to się obrócić przeciwko Tobie. Przeproś ich i powiedz, że składasz skargę ponieważ tego wymaga prawo i jako ABI jesteś zobowiązany tak postąpić.
Wszelkie odzyskiwanie kasy raczej nie powinno wchodzić w grę w takiej sytuacji.
Jak zacząłeś pisać o tym kodeksie człowieka to myślałem, że będziesz za tym żeby im odpuścić :)
Oj tam - ale chociaż myślałeś pozytywnie ;-)
Teraz do Sławka. Z tego co widzę przekazali dane nie zdając sobie sprawy, że łamią prawo (oczywiście to tylko założenie bo nie wiemy jakie jest dokładnie ich stanowisko) po twojej interwencji wyrazili skruchę i przeprosili, a z treści wynika że zrobili to nawet kilka razy. Więc zastanawiam się nad tym jaki efekt chcesz osiągnąć. Dać im "nauczkę"? Dostać odszkodowanie?
Ja bym się na twoim miejscu zastanowił z kim masz do czynienia. Bo wydaje mi się, że to mała firma, która nie za bardzo orientuje się jak i co ale jednak wydaje się, ma dobre intencje, a to już coś. Oblewanie się w tej sytuacji patosem, że jesteś uczciwym człowiekiem, że mamy demokratyczne państwo prawne, że nie chcesz ale musisz, że sumienie każe ci tak postąpić itp. to chyba trochę przegięcie :) Moim zdaniem jeśli chciałeś ich nauczyć jak się nie robi to udało ci się to osiągnąć, natomiast jeśli chcesz dostać odszkodowanie to weź prawnika na procent, który profesjonalnie obedrze ich ze skór bez zabawy w mailowe dochodzenie co się stało, czemu łamią prawo itp. po prostu wyegzekwuje pieniądze.
Tutaj jest ciężka oraz nie do sprawdzenia sprawa. Ponieważ nie wiemy ile osób będzie interweniowało tak jak Sławek (ile osób dopatrzy się,że to oni przekazali dane firmie innej). Po drugie nigdy nie dowiemy się ile jest osób tj Sławek piszących do tejże firmy.
Jeśli widzisz "przestępstwo" jesteś bierny czy dzwonisz do odpowiednich władz? Jeśli Ty odpuścisz i ktoś inny i jeszcze inny, to ile będzie osób, które zgłoszą te "przestępstwo"? Może nikt ;)
Osobiście podszedłbym tak: jeśli firma wie, że popełniła błąd to niech wyjaśni jaki (ona sama, a nie ja jej) i niech powie jak chce go poprawić i KIEDY. Czas ma tutaj szczególne znaczenie.
Po takim liście będzie widać czy firma faktycznie popełniła błąd nie wiedząc za bardzo o tym czy jest to duża firma, która wie co robi i przeprasza "bo się wydało - użytkownik był mądrzejszy i sprytniejszy". -
Sprawa z książką tel. jest taka jak z Internetem. Można poodwiedzać strony www firm i pospisywać adresy i zacząć wysyłać e-maile o treści handlowej. Jest to tak samo zakazane jak z sytuacją książki tel. Firma zamieszczająca mail przeważnie przekazuje go celom nawiązania kontaktu z firmą, a nie od razu wysyłania do tejże treści handlowych (których w ogóle nie zamawiała).
Co do przypadku Anny warto zwrócić uwagę na fakt, że firmy często wysyłają zapytanie i skrzętnie opisują dany towar handlowy (usługę bądź towar) co też jest nie zgodne z prawe.
Można się zapytać czy wyraża się zgodę na otrzymywanie treści handlowych o szkoleniach, ale nie można pisać, że szkolenie jest tu i tu, za tyle i tyle, agendę szkolenia oraz referencje i życiorys prowadzącego. -
Sławku,
z drugiej strony jest coś takiego jak kodeks człowieka (nie wspominając, że jesteśmy ABI). Więc nie baw się w jakieś zadośćuczynienia bo może to się obrócić przeciwko Tobie. Przeproś ich i powiedz, że składasz skargę ponieważ tego wymaga prawo i jako ABI jesteś zobowiązany tak postąpić.
Wszelkie odzyskiwanie kasy raczej nie powinno wchodzić w grę w takiej sytuacji.
Napisz im, że to nie jest robienie im na złość, że w sumie już Ci przeszedł gniew ;) ale takie jest prawo i musisz złożyć skargę.
Bo jak weźmiesz jakieś pieniądze to kto wie czy oni nie będą Ciebie mieli w szachu? :)
PozdrawiamRadek Rzążewski edytował(a) ten post dnia 19.02.10 o godzinie 08:15 -
Jeśli powiesz, że np chcesz 5000zł to firma może być nie wypłacalna. A jeśli 500zł i będzie to za mało to będziesz sobie w brodę pluł :)
Daj większą kwotę i się zorientujesz czy są w stanie Ci tyle zapłacić. -
Od 1 listopada 2009 r. Regionalna Izba Gospodarcza w Katowicach rozpoczęła realizację projektu „Bezpieczeństwo informacji i systemów informatycznych” współfinansowanego przez Unię Europejską z Europejskiego Funduszu Społecznego w ramach Programu Operacyjnego Kapitał Ludzki, Działanie 8.1 - Rozwój pracowników i przedsiębiorstw w regionie (Poddziałanie 8.1.1-Wspieranie rozwoju kwalifikacji zawodowych i doradztwo dla przedsiębiorstw).
Celem głównym projektu jest rozwój i doskonalenie kadry pracowniczej przedsiębiorstw i jednostek administracji w woj. śląskim w zakresie: profesjonalnej ochrony informacji i wdrażania Systemów Bezpieczeństwa Informacji zgodnie z normą ISO 27001,bezpiecznego zarządzania systemami informatycznymi w aspekcie ochrony informacji i poprawnego stosowania e-podpisu.
http://www.bisi.katowice.pl/O-projekcie.php -
Arkadiusz Reiter:
Zawartość przykładowego raportu:
-jakie udało się wdrożyć zabezpieczenia,
-jakie zostały przeprowadzone szkolenia i w jakim zakresie,
-jaki jest stan obecny zabezpieczeń,
-zdiagnozowane "dziury" w PB
-koncepcje rozwiązań korygujących,
-koncepcje szkoleń, kursów dla pracowników,
-koncepcje innowacji zapewniających poprawę bezpieczeństwa przetwarzania informacji.
PB jest kompleksowa więc raport powinien dotyczyć wszystkich zagadnień z PB. Techniczne zabezpieczenia (może coś nowego na rynku się pojawiło w zabezpieczeniach np. certyfikowane zamki, szafy? - strzelam ;)), systemy przetwarzania informacji (nowinki z dziedziny komputerów) itd.
W raporcie należy także zwracać uwagę, że wszelkie upgrejdy systemów wspomogą obecną politykę bezpieczeństwa. Dodatkowe szkolenia dla Ciebie mogą przełożyć się na pracowników.
Jeśli Ci się uda to możesz też zauważyć, że np firewalla zabezpieczy firmę (oczywiście ostre przegięcie bo sam firewall nie zabezpieczy, ale wskazywać można). Przez to dasz do myślenia Prezesowii, że należy upgrejdować sprzęt, wymieniać, dodawać.
Należy także zastanowić się nad koncepcją biznesową firmy na dłużej niż najbliższy rok. Takie cele pokażą co jest dla firmy najważniejsze i będzie można się przygotować do zapobiegania problemów.Radek Rzążewski edytował(a) ten post dnia 18.02.10 o godzinie 12:28 -
Czy ktoś korzystał ze szkoleń organizowanych przez InformacjaPubliczna.PL ?
Jakieś oceny, opinie?
http://warsztaty.informacjapubliczna.pl/ -
Warsztaty Bezpieczeństwa Informacji, których zimowa edycja odbędzie się w dniach 1-4 marca 2010 r. w Zakopanem, to autorskie szkolenie p. Jarosława Felińskiego.
Tematem warsztatów będzie:
"Przygotowanie Polityki Bezpieczeństwa Informacji (PBI) - warsztaty praktyczne"
Nowelizacja ustawy o ochronie danych osobowych miała miejsce 5 lat temu. Tymczasem stosowanie w praktyce zapisów ustawy wciąż nastręcza wiele kłopotów - związanych np. ze znacznym poszerzeniem obowiązków podmiotów przetwarzających dane osobowe oraz zwiększeniem uprawnień osób fizycznych, których dane są przetwarzane. Problemy sprawia również określenie realnego, odpowiedniego poziomu elementarnej wiedzy i merytorycznego przygotowania osób funkcyjnych wyznaczonych do sprawowania nadzoru nad realizacją zadań w zgodzie z przepisami ustawy o ochronie danych osobowych.
Najważniejszym punktem szkolenia będzie kwestia przygotowania Polityki Bezpieczeństwa Informacji - praktyczne aspekty tego zadania, najczęstsze błędy i uchybienia oraz sama procedura przygotowania dokumentu.
http://warsztaty.informacjapubliczna.pl/Radek Rzążewski edytował(a) ten post dnia 18.02.10 o godzinie 08:20 -
Marcin czy to jest Kerio? Możesz coś więcej opowiedzieć?
-
Aby mieć możliwość przeczytania tego posta musisz być członkiem grupy ABY POMÓC W 48 GODZIN
-
Osobiście wiem, że pracownicy np agencji ochrony też musieli mieć zaświadczenie o niekaralności o którą występował pracodawca. Pracownika jedynie informowano, że o takie zaświadczenie będzie ubiegał się pracodawca.
-
Proponuję przyczepić na górze wątek o dobrych wydaniach papierowych czyli czemu warto przyjrzeć się z bliska (zakupić i poczytać).
Można by także poruszać dyskusje czy ktoś może zaopiniować daną pozycję.
To ja zacznę ;)
Czy ktoś miał w rękach tę oto książkę: http://www.itwadministracji.pl/ksiazki/kontrola-i-audy... ? -
Podsumowując - raczej pełna dokumentacja (dla swojego i GIODO spokoju ;))
-
28 stycznia obchodzimy Europejski Dzień Ochrony Danych Osobowych w Akademii Kompetencji - KSK Bezpieczeństwo
28 stycznia obchodzimy Europejski Dzień Ochrony Danych Osobowych, ustanowiony przez Komitet Ministrów Rady Europu, dzień ten ma zwrócić uwagę na kwestie związane z ochroną danych oraz przyczynić się do podniesienia poziomu wiedzy w tym zakresie.
8.30-9.00 Rejestracja uczestników
9.00-16.00 Szkolenie
12.00-12.30 Lunch
Udział w szkoleniu podlega opłacie - 200 zł.
W ramach tej kwoty zapewniamy udział w szkoleniu, certyfikat uczestnictwa, lunch.
Wszystkich zainteresowanych prosimy o przesłanie formularza zgłoszeniowego faxem bądź mailem.
Liczba miejsc ograniczona. Decyduje kolejność zgłoszeń.
Więcej informacji:
Marceli Mila
Specjalista ds. sprzedaży szkoleń
Tel. 697 095 251
e-mail: mmila@kskb.pl
tel.: 32/ 726 63 49
fax.: 32/ 789 16 15
Szkolenie odbędzie się w Akademii Kompetencji - KSK Bezpieczeństwo, 40-387 Katowice, ul. 11 Listopada 13
http://www.akademiakompetencji.pl/aktualnosci.html#30 -
Cześć Sławku,
niestety doświadczenie pokazuje, że nawet mały portal może dostać zgłoszenie w GIODO i te ostatnie będzie go sprawdzać (czytaj: nie tylko Nasza-Klasa.pl). Chodzi o to, że PB powinien mieć każdy portal (mały czy duży). Sprawą dodatkową jest to czy są to dane umieszczone na zewnętrznym serwerze (np nazwa.pl, home.pl). Wtedy potrzeba jest ich (część) PB aby zawrzeć w swoim PB.
Dołącz do GoldenLine
Oferty pracy
Sprawdź aktualne oferty pracy
Aplikuj w łatwy sposób
Aplikuj jednym kliknięciem
