Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

1 Sicherheitssitzung 2. Halbjahr 2013 Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung,

Ähnliche Präsentationen


Präsentation zum Thema: "1 Sicherheitssitzung 2. Halbjahr 2013 Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung,"—  Präsentation transkript:

1 1 Sicherheitssitzung 2. Halbjahr 2013 Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung,

2 2 PROGRAMM 1) Präsentation des Beraters 2) Summarischer Überblick der Standesregeln der Mitglieder des Sozialhilferats 3) Richtlinien der ZDSS für die Clouds (noch nicht offiziell zugelassen von der dafür eingerichteten Sicherheitsgruppe). 4) Windows 365: kurzer Überblick. 5) Neue Methode zur Ernennung des Sicherheitsberaters Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung,

3 Zu erörternde Fragen oder Themen Sie sind gefragt!

4 4 PRÄSENTATION DES SICHERHEITSBERATERS 1 Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, DIE MITGLIEDER DES SOZIALHILFERATS WISSEN NICHT was Informationssicherheit ist; was ein Sicherheitsberater ist; was sie beachten müssen, um die Mindestnormen einzuhalten.

5 5 PRÄSENTATION DES SICHERHEITSBERATERS 2 Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, Informationssicherheit bedeutet: - die Vorbeugung und die schnelle und effiziente Wiederherstellung der Beschädigungen von sozialen Daten - und der ungerechtfertigten Verletzung der Privatsphäre der Betroffenen.

6 6 PRÄSENTATION DES SICHERHEITSBERATERS 3 Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, Der Informationssicherheitsdienst überwacht im öffentlichen Sozialhilfezentrum ( ÖSHZ ) die Beachtung der Sicherheitsvorschriften, die durch gesetzliche Anordnung auferlegt wurden. Königlicher Beschluss vom

7 7 PRÄSENTATION DES SICHERHEITSBERATERS 4 Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, Der Informationssicherheitsdienst hat eine Begutachtungs-, Förderungs-, Dokumentations-, und Kontrollaufgabe.

8 8 PRÄSENTATION DES SICHERHEITSBERATERS 5 Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, Der mit der Informationssicherheit beauftragte Dienst berät den für die tägliche Geschäftsführung Verantwortlichen (Generaldirektor – Sekretär) seines ÖSHZ auf dessen Anfrage hin oder auf eigene Initiative, bei allen Aspekten zum Thema Informationssicherheit.

9 9 PRÄSENTATION DES SICHERHEITSBERATERS 6 Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, Außer wenn die Risiken nicht groß genug sind, werden die Begutachtungen schriftlich und begründet abgegeben.

10 10 PRÄSENTATION DES SICHERHEITSBERATERS 7 Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, In der Frist... von höchstens drei Monaten, entscheidet sich der Beauftragte für die tägliche Geschäftsführung: die Begutachtungen zu befolgen oder nicht und er unterrichtet den Informationssicherheitsdienst über seine Entscheidung. Wenn die Entscheidung von einer schriftlichen Begutachtung abweicht, muss sie schriftlich und mit Begründung abgegeben werden.

11 11 PRÄSENTATION DES SICHERHEITSBERATERS 8 Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, Der Informationssicherheitsdienst fördert die Beachtung der … vorschriftsmäßigen Sicherheitsregeln und die Annahme eines sicherheitsfördernden Verhaltens durch die in der Einrichtung angestellten Personen.

12 12 PRÄSENTATION DES SICHERHEITSBERATERS 9 Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, Der Informationssicherheitsdienst sammelt die nützliche Dokumentation diesbezüglich.

13 13 PRÄSENTATION DES SICHERHEITSBERATERS 10 Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, Der Sicherheitsberater überwacht innerhalb der ÖSHZ die Beachtung der gesetzlichen oder vorschriftsmäßigen Sicherheitsregeln... Alle festgestellten Verletzungen werden schriftlich und ausschließlich dem Beauftragten der täglichen Geschäftsführung der Einrichtung, mit den notwendigen Begutachtungen zur Vorbeugung von zukünftigen Verletzungen, mitgeteilt.

14 14 PRÄSENTATION DES SICHERHEITSBERATERS 11 Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, Die Sicherheitsberater und ihre eventuellen Stellvertreter können aufgrund der geäußerten Meinungen oder der im Rahmen der korrekten Ausführung ihrer Funktion vorgenommenen Handlungen nicht ihrer Funktion enthoben werden.

15 15 PRÄSENTATION DES SICHERHEITSBERATERS 12 Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, Der Informationssicherheitsdienst untersteht den direkten Weisungen der für die tägliche Geschäftsführung des ÖSHZ verantwortlichen Person.

16 16 PRÄSENTATION DES SICHERHEITSBERATERS 13 Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, Er arbeitet eng mit den Diensten zusammen, bei denen seine Mitwirkung erforderlich ist oder erforderlich sein kann, insbesondere: mit dem Informatikdienst; mit dem IDGS.

17 17 PRÄSENTATION DES SICHERHEITSBERATERS 14 Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, Der Sicherheitsberater erstellt einen Entwurf eines Sicherheitsplanes für einen Zeitraum von 3 Jahren, zu Händen des Beauftragten für die tägliche Geschäftsführung, in dem er auf Jahresbasis die erforderlichen Mittel zur Realisierung des Plans aufstellt. Dieser Plan wird mindestens ein Mal pro Jahr überprüft und ggf. angepasst. Der Entwurf des Sicherheitsplans gilt als Begutachtung

18 18 PRÄSENTATION DES SICHERHEITSBERATERS 15 Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, Der Informationssicherheitsdienst erstellt einen Jahresbericht zu Händen des Beauftragten für die tägliche Geschäftsführung der Einrichtung.

19 19 PRÄSENTATION DES SICHERHEITSBERATERS 16 Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, Die Aufgaben des Informationssicherheitsdienstes, wie definiert, beziehen sich auch auf die durch Vermittlung Dritter (Softwarehäuser, Gemeindeverwaltung, usw.) im Auftrag von des ÖSHZ gespeicherten, bearbeiteten oder ausgetauschten personenbezogenen Sozialdaten.

20 20 PRÄSENTATION DES SICHERHEITSBERATERS 17 Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung,

21 21 Summarischer Überblick der Standesregeln der Mitglieder des Sozialhilferats Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, Quelle: Die Achtung der Privatsphäre A. Das Geheimnis Innerhalb des ÖSHZ ist die Einhaltung des Berufsgeheimnisses eine zwingende soziale Notwendigkeit. Die Verpflichtung zum Berufsgeheimnis ist zunächst festgelegt durch den Artikel 458 des Strafgesetzbuchs, Alle während der Ausübung des Berufs oder des Mandats erhaltenen oder festgestellten Informationen fallen unter das Berufsgeheimnis.

22 22 Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, Das Grundlagengesetz vom zu den ÖSHZ legt außerdem fest, dass: die Mitglieder des Sozialhilferats sowie jede andere Person, die aufgrund des Gesetzes an Versammlungen des Rats, des Ständigen Büros und der Sonderausschüsse teilnimmt, sind an das Berufsgeheimnis gebunden (Art. 36, Abs. 2); diese Anordnungen gelten auch für die das Personal des ÖSHZ (Art. 50). Summarischer Überblick der Standesregeln der Mitglieder des Sozialhilferats

23 23 Summarischer Überblick der Standesregeln der Mitglieder des Sozialhilferats Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, Daher sind innerhalb des ÖSHZ nicht nur die Sozialarbeiter, sondern das gesamte Personal (darunter auch Hilfspersonal) und die Bevollmächtigten, an das Berufsgeheimnis gebunden.

24 24 Summarischer Überblick der Standesregeln der Mitglieder des Sozialhilferats Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, Die Ratsmitglieder und Personen, die an der Versammlung teilnehmen können, dürfen daher weder den Inhalt der Diskussionen, der Beratungen und Beschlüsse, die Statements, Meinungen und Haltungen, noch die Art weitergeben, auf welche die Abstimmung durchgeführt wurde, da dies für Antragsteller erfolgte.

25 RAT Zunächst einmal mit Ihrem Sekretär und Ihrem Präsidenten prüfen: das Interesse, auf die Regeln und Vorschriften hinzuweisen, den Inhalt, die Art und Weise (sehr didaktisch wenn möglich und sehr einfach).

26 26 Sicherheitsrichtlinien, die die Clouds betreffen: Risiken 1 Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, Der Verlust des Steuerungssystems der Behandlung. Der Verlust der Überprüfbarkeit des Dienstanbieters aufgrund von Fehlern bei der Verwaltung der Subunternehmer bzw. der Auftragsverarbeiter. Die technologische Abhängigkeit des ÖSHZ gegenüber dem Lieferanten des Cloud Computing = Unmöglichkeit oder Schwierigkeit bei der Lösungsänderung (für einen anderen Lieferanten oder eine interne Lösung) ohne Datenverlust.

27 27 Sicherheitsrichtlinien, die die Clouds betreffen: Risiken 2 Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, Eine Lücke bei der Datenisolierung = d. h. das Risiko, dass die auf einem (virtualisierten) System vorhandenen Daten nicht mehr isoliert sind und verändert oder für unbefugte Dritte zugänglich gemacht werden könnten, infolge eines Fehlers des Dienstanbieters oder infolge einer schlechten Funktion des Hypervisors;

28 28 Sicherheitsrichtlinien, die die Clouds betreffen: Risiken 3 Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, Die Befolgung gesetzlicher Anforderungen auf der Basis von ausländischem Recht ohne Absprache mit den nationalen Behörden (Beispiel: USA). e-veut-pouvoir-publier-le-nombre-de-requetes-de-la- nsa/article htm

29 29 Sicherheitsrichtlinien, die die Clouds betreffen: Risiken 4 Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, Google möchte die Anzahl der Abfragen der NSA veröffentlichen dürfen Der Kern der Sache Mittwoch, 19. Juni 2013 um 06h36 Google hat am Dienstag auf dem Sondergerichtshof für Untersuchungen in Verbindung mit der nationalen Sicherheit einen Antrag auf Genehmigung zur Veröffentlichung der Zahl der Suchanfragen der Nachrichtendienste gestellt, die von ihm Daten anforderten.

30 30 Sicherheitsrichtlinien, die die Clouds betreffen: Risiken 5 Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, Eine Lücke in der Zulieferkette, u. a. in dem Fall, wo der Dienstanbieter selbst bei Dritten die Erbringung der Dienstleistung oder Bereitstellung des Dienstes anforderte. Die Nichteinhaltung von Vorschriften zur Aufbewahrung und Vernichtung seitens der Einrichtung, u. a. durch eine ineffektive oder nicht gesicherte Datenvernichtung oder einer zu langen Aufbewahrungsdauer.

31 31 Sicherheitsrichtlinien, die die Clouds betreffen: Risiken 6 Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, Probleme der Verwaltung der Zugriffs- oder Zugangsrechte. Nichtverfügbarkeit des Dienstanbieters = Nichtverfügbarkeit des Dienstes an sich, aber auch Nichtverfügbarkeit der Zugangsmittel oder -medien zum Dienst (insbesondere Netzwerkprobleme). Die Schließung des Dienstes des Dienstanbieters oder das nicht freiwillige Ändern des Dienstanbieters durch einen Dritten. Die Nichteinhaltung oder Nichtübereinstimmung von bzw. mit Vorschriften, besonders bei internationalen Übertragungen.

32 32 Sicherheitsrichtlinien, die die Clouds betreffen: Risiken 7 Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, Beobachtungen (1) Vor dem Inbetrachtziehen der Verwendung eines Cloud Computing muss das ÖSHZ die Daten, Behandlungen oder Dienstleistungen, die in der Cloud abgelegt oder dort hineingestellt werden, klar und eindeutig identifizieren und die Investitionsrendite bestimmen unter Berücksichtigung vor allem der Anwendung der Sicherheitszwänge und -beschränkungen. Falls für einen Datentyp eine besondere Vorschrift gilt, muss das ÖSHZ die Mindestbedingungen oder die Beschränkungen für dessen Übertragung feststellen. Die Mehrkosten für das Anwenden der vermutlichen und wahrscheinlichen Entwicklungen, vor allem für Sicherheitszwängen müssen ausgewertet und beziffert werden.

33 33 Sicherheitsrichtlinien, die die Clouds betreffen: Risiken 8 Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, Beobachtungen (2) Die Dienstleistungsmodelle sind die folgenden: SaaS : "Software as a Service", d. h. die Online- Lieferung von Software; PaaS : "Platform as a Service", d. h. die Online- Lieferung einer Plattform für Anwendungsentwicklung; IaaS : "Infrastructure as a Service", d. h. die Online- Lieferung von Rechen- und Speicherinfrastrukturen.

34 34 Sicherheitsrichtlinien, die die Clouds betreffen: Risiken 9 Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, Beobachtungen (3) Die Bereitstellungsmodelle sind die folgenden: "Öffentlich", wenn ein Dienst zwischen zahlreichen Kunden geteilt und gemeinsam genutzt wird; "Privat", wenn die Cloud einem Kunden gewidmet ist; "Gemeinschaftlich", wenn die Cloud von Kunden geteilt wird, die dieselben Verpflichtungen haben (gesetzliche, …); "Hybrid", wenn ein Dienst teilweise in einer öffentlichen Cloud und teilweise in einer privaten Cloud ist.

35 35 Sicherheitsrichtlinien, die die Clouds betreffen: Risiken 10 Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, Beobachtungen (4) Weder die öffentliche Cloud, noch die Hybrid-Cloud erfüllen derzeit die geforderten Sicherheitsauflagen. Man muss seine eigenen technischen und rechtlichen Sicherheitsanforderungen festlegen. Wenn es das Ziel der Cloud ist, das ÖSHZ von bestimmten betrieblichen oder arbeitstechnischen Aufgaben zu entlasten, muss sie zunächst überprüfen, ob der Dienstanbieter ein wenigstens genauso hohes Anforderungsniveau verfolgt, wie das vom ÖSHZ geforderte (Beispiel: cloud Adehis).

36 36 Sicherheitsrichtlinien, die die Clouds betreffen: Risiken 9 Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, Je weiter entfernt die Cloud ist, umso höher ist das Risiko. Das ÖSHZ muss sich vergewissern, dass die Daten tatsächlich in einer Cloud aufbewahrt werden und nicht woanders (es gibt Tools, die die Überprüfung des Speicherorts ermöglichen). Eine angemessene Risikoanalyse durchzuführen ist wesentlich dazu, um die geeigneten Sicherheitsmaßnahmen festlegen zu können und vor allem muss dies vom Dienstanbieter gefordert werden.

37 37 Sicherheitsrichtlinien, die die Clouds betreffen: Risiken 10 Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung,

38 38 Sicherheitsrichtlinien, die die Clouds betreffen: Risiken 11 Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, Garantien Vertragsklausel bezüglich der Möglichkeit für einen Dienstanbieter des "Cloud"-Services, einen Teil seiner Aktivitäten an Subunternehmer zu vergeben. Der Dienstanbieter bleibt gegenüber ÖSHZ der alleinige Verantwortliche für die Ausführung seiner Verpflichtungen, also auch in dem Fall, wenn er einige seiner Aktivitäten an Subunternehmer weitergibt. Mit Hinblick darauf, dass bestimmte besondere Aufgaben an Subunternehmer vergeben werden könnten, muss der Vertrag vorsehen, dass der "Cloud"-Dienstanbieter das ÖSHZ diesbezüglich informiert und sich dazu verpflichtet, formell alle ihm obliegenden Verpflichtungen gegenüber seinen Sublieferanten zu berichten. Der Dienstanbieter muss sich auch vergewissern, dass diese Verpflichtungen von seinen Sublieferanten durch Ausführen der nötigen Kontrollen eingehalten werden.

39 39 Sicherheitsrichtlinien, die die Clouds betreffen: Risiken 12 Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, Garantien Integritätsklausel, Klausel zur Kontinuität und zur Dienstleistungsqualität Der Dienstanbieter muss alle Maßnahmen anordnen und umsetzen, welche die Bewahrung und die Integrität der behandelten und verarbeiteten Informationen während der Vertragsdauer sicherstellen, wie z. B. Notstromsysteme.

40 40 Sicherheitsrichtlinien, die die Clouds betreffen: Risiken 13 Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, Garantien Es muss eine Dienstleistungsvereinbarung (SLA) formalisiert werden in einem Abkommen im Anhang zum Vertrag zwischen dem ÖSHZ und dem "Cloud"-Dienstanbieter; darin müssen insbesondere während und nach jedem Garantiezeitraum, die Verfügbarkeit des Dienstes, die maximale Bootzeit im Falle einer Unterbrechung nach einem Vorfall und alle anderen Kriterien in Bezug auf die Wiederaufnahme der Aktivitäten angegeben werden (Zeitdauer der Wiederaufnahme und maximal tolerierbarer Datenverlust). Außerdem müssen die Einzelheiten der Maßnahmen, die die Kontinuität des Dienstes ermöglichen, in der Dienstleistungsvereinbarung (SLA) im Anhang des Vertrages stehen.

41 41 Sicherheitsrichtlinien, die die Clouds betreffen: Risiken 14 Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, Garantien Klausel zur Sicherstellung der Datenwiederherstellung. Der Dienstanbieter verpflichtet sich dazu, keine Daten des ÖSHZ aufzubewahren über den Zeitraum hinaus, welcher in Absprache mit der Einrichtung festgelegt wurde hinsichtlich der Zwecke, für welche die Daten erhoben wurden. Im Falle eines vorzeitigen Abbruchs oder Ende der Dienstleistung ist der Dienstanbieter dazu verpflichtet, alle Daten des ÖSHZ wiederherzustellen und zurückzugeben in der vereinbarten Art im vereinbarten Zeitraum und in einem herkömmlichen Format, strukturiert und wie dies für die herkömmliche Verwendung üblich ist, damit das ÖSHZ die Kontinuität seines Dienstes sicherstellen kann. Sobald die Wiederherstellung durchgeführt wurde, verpflichtet sich der Dienstanbieter unter Absprache mit dem ÖSHZ, alle Kopien der Daten in seinem Besitz zu vernichten, darunter auch die Backups und Archive, und dies in einem angemessenen Zeitraum unter Erbringung des Nachweises der Datenvernichtung.

42 42 Sicherheitsrichtlinien, die die Clouds betreffen: Risiken 15 Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, Garantien Klausel über die Garantie der Datenübertragbarkeit und die Kompatibilität der Systeme. Am Ende der Dienstleistung muss der Dienstanbieter unter den im Vertrag vereinbarten Bedingungen die nötige Hilfe leisten zum Übertragen (Migration) der Bearbeitungen, die von seiner "Cloud" durchgeführt wurden, auf eine andere Lösung.

43 43 Sicherheitsrichtlinien, die die Clouds betreffen: Risiken 16 Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, Garantien Klausel über die Prüfungsvorschriften Der Dienstanbieter verpflichtet sich dazu, die durch das ÖSHZ finanzierten Prüfungen zu autorisieren, eng mitzuarbeiten und die festgestellten Mängel möglichst schnell zu beheben. Diese Prüfungen können vom ÖSHZ selbst durchgeführt werden oder durch einen Dritten seines Vertrauens, den das ÖSHZ auswählt. Die Prüfungen müssen die Analyse des Einhaltens des Vertrages und der bei dieser Politik anzuwendenden Sicherheitsvorschriften ermöglichen und auch die Analyse der Konformität insbesondere hinsichtlich der von internationalen Stellen (z. B. ISO) empfohlenen bewährten Verfahrensweisen. Die Prüfung muss es auch ermöglichen, sicherzustellen, dass die eingesetzten Sicherheitsmaßnahmen bezüglich der Vertraulichkeit, der Verfügbarkeit, der Nachverfolgbarkeit und der Integrität der Daten nicht umgangen werden können, ohne dass dies festgestellt und mitgeteilt wird. Im Falle eines vollständigen oder teilweisen Outsourcings müssen die Prüfungsvorschriften auch bei allen Subunternehmern angewendet werden.

44 44 Sicherheitsrichtlinien, die die Clouds betreffen: Risiken 17 Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, Microsoft genehmigt keine Prüfungen in seinen Clouds.

45 45 Sicherheitsrichtlinien, die die Clouds betreffen: Risiken 18 Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, Garantien Klausel über die Verpflichtung des Dienstanbieters hinsichtlich der Vertraulichkeit der Daten: der Dienstanbieter muss sich, seine Subunternehmer und eventuelle Ankäufer dazu verpflichten, weder für seinen Bedarf oder in seinem Namen, noch dem, bzw. den eines Dritten, die Daten zu verwenden oder weiter zu geben. er muss sich dazu verpflichten, alle Zugangsspuren, -pfade oder -logs zu den Daten (nötig, um festzustellen, wer was und wann getätigt hat), Verwaltungs-Tools und Anwendungen zu schützen und für den Kunden zur Verfügung zu halten, und dies über den vertraglich festgelegten Zeitraum hinweg. er muss das ÖSHZ über jede festgestellte Anomalie bei den Anschluss- oder Verbindungs-Spuren, -pfaden oder -logs informieren, wie z. B.: Zugangsversuche von nicht-autorisierten Personen. der Dienstanbieter muss das ÖSHZ unverzüglich über jede Anfrage oder Suchanfrage informieren, die von einer belgischen oder ausländischen Verwaltungs- oder Justizbehörde stammt.

46 46 Sicherheitsrichtlinien, die die Clouds betreffen: Risiken 19 Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, Garantien Souveränitätsklausel Dem ÖSHZ versichern, dass der Dienstanbieter und seine eventuellen Subunternehmer keinen Forderungen oder Anfragen von ausländischen Behörden an Belgien oder anderen Mitgliedsstaaten der Europäischen Union unterliegen oder verpflichtet sind.

47 47 Sicherheitsrichtlinien, die die Clouds betreffen: Risiken 20 Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, Garantien Klausel über die Verpflichtungen des Dienstanbieters hinsichtlich der Datensicherheit. Dem Kunden die Sicherheitspolitik der Informationssysteme liefern, die er eingesetzt hat und ihn über die Entwicklungen dieser Politik informieren. Der Lieferant des "Cloud Computing"-Dienstes ist verpflichtet zur Einhaltung der geltenden und einschlägigen guten Praktiken, die von und für die Einrichtung gefordert werden, besonders solche, die in der ISO angegeben sind oder solche, die in den Mindestnormen für die soziale Sicherheit angegeben sind.

48 48 Sicherheitsrichtlinien, die die Clouds betreffen: Risiken 21 Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, Einhaltung der guten Praktiken vom Dienstanbieter Die hier erwähnten guten Praktiken sind eine minimale und unvollständige Liste mit Sicherheitsmaßnahmen, die der Anbieter des "Cloud Computing"-Dienstes einhalten und anwenden muss unter Berücksichtigung der Tatsache, dass die durch das ÖSHZ durchgeführte Risikoanalyse der Anlass zu zusätzlichen Sicherheitsmaßnahmen sein kann.

49 49 Sicherheitsrichtlinien, die die Clouds betreffen: Risiken 22 Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, Einhaltung der guten Praktiken durch den Dienstanbieter 5 Bereiche sind zu beachten. Die empfindlichen Daten: der Dienstanbieter muss in kohärenter Weise die Prozesse in Sachen Sicherheit, Personalverwaltung, Inventar, Qualifikation und Rückverfolgbarkeit der Daten umsetzen, die Rechenzentren: der Dienstanbieter muss über ein Sicherheitsmanagement des physikalischen Zugangs zu den Rechenzentren verfügen sowie über technische Einrichtungen, welche den Schutz gegen Bedrohungen von außen und durch die Umwelt gewährleisten (Brand, Überschwemmung, Stromausfall, usw.).

50 50 Sicherheitsrichtlinien, die die Clouds betreffen: Risiken 23 Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, Einhaltung der guten Praktiken durch den Dienstanbieter 5 Bereiche sind zu beachten. die Sicherheit der logischen Zugriffe: der Dienstanbieter muss über Kontrollen des logischen Zugriffs verfügen, welche einen angemessenen Schutz der empfindlichen und nicht-empfindlichen Daten gewährleisten, die Sicherheit der Systeme: der Dienstanbieter muss über konfigurierte Systeme verfügen, die geschützt sind gegen Sicherheitslücken, insbesondere für die gespeicherten Daten, Netzwerksicherheit: der Dienstanbieter muss über ein gesichertes und geschütztes Netzwerk verfügen mit einer geeigneten Abschirmung bzw. Isolierung gegen Dritte.

51 51 Sicherheitsrichtlinien, die die Clouds betreffen: Risiken 23 Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, Einhaltung der guten Praktiken durch den Dienstanbieter Daten Der Dienstanbieter versichert: dass die Lokalisierung der empfindlichen und nicht-empfindlichen Daten, die Eigentum der Einrichtung sind, bekannt ist und den Anforderungen des ÖSHZ entspricht (Rechenzentrum, Speicherung und Server) dass die zugehörigen Informatik-Notstromsysteme und Informatik- Notfallpläne in die Tat umgesetzt und regelmäßig getestet werden, dass er über einen Ethikkodex verfügt, der von und für sein Personal und seine eventuellen Subunternehmer angewendet wird. Er darf keine Aktivitäten ausführen, die einen Interessenkonflikt auslösen können,

52 52 Sicherheitsrichtlinien, die die Clouds betreffen: Risiken 24 Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, Einhaltung der guten Praktiken durch den Dienstanbieter Daten Der Dienstanbieter versichert: dass sein Personal regelmäßig an Schulungen zur Vermittlung von Sicherheitsbewusstsein teilnimmt, dass er über zentralisierte Mittel zur Rückverfolgbarkeit verfügt, die es ermöglichen, Verletzungen von Rechten oder böswilliges Verhalten festzustellen, dass er über ein Management der Sicherheitszwischenfälle oder - verletzungen verfügt, einschließlich der Feststellung, des Alarmierens, der Behandlung bis hin zur Lösung, der Identifizierung der Ursachen und der Mitteilung an die Einrichtung.

53 53 Sicherheitsrichtlinien, die die Clouds betreffen: Risiken 25 Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, Einhaltung der guten Praktiken durch den Dienstanbieter Sicherheit der Rechenzentren Der Dienstanbieter versichert: dass er über gesicherte Systeme verfügt der Kontrolle des physikalischen Zugangs oder Zugriffs, der Feststellung von Eindringen/Einbrüchen, Überschwemmungen und zur Videoüberwachung; dass die Zugänge zu den Rechenzentren nur autorisiert sind für einzelne Personen, die dadurch ermächtigt sind, dass sie einen geeigneten Zyklus zur Genehmigung durchlaufen haben; sie werden regelmäßig weiterverfolgt und überprüft; dass jeder Wartungs-Subunternehmer, der dazu veranlasst wurde, Ausrüstungen zu verwenden oder zu reparieren, die empfindliche Daten enthalten, an die vertraglichen Vertraulichkeits-Klauseln gebunden ist; dass jedes Speichermedium, das empfindliche Daten enthält und dazu bestimmt ist, wieder benutzt, entsorgt oder recycelt zu werden, zuvor in geeigneter Weise einer Datenlöschung unterzogen wird.

54 54 Sicherheitsrichtlinien, die die Clouds betreffen: Risiken 26 Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, Einhaltung der guten Praktiken durch den Dienstanbieter Sicherheit der logischen Zugriffe Der Dienstanbieter versichert: dass er die Vorschriften zur Autorisierung des Zugriffs auf Daten anwendet in Abhängigkeit der von dem ÖSHZ mitgeteilten Punkte (Abfrage, Anlegen, Ändern und Löschen); dass sich die Zugriffe durch Anwender und Administratoren auf Systeme, die empfindliche Daten enthalten, auf Mechanismen stützen, welche die Vertraulichkeit und die Rückverfolgbarkeit gewährleisten (Prüfpfade der Zugriffe auf die Daten und Behandlung der Problematik der generischen Accounts (Konten); dass er eine Authentifizierungspolitik anwendet, die derjenigen des ÖSHZ entspricht.

55 55 Sicherheitsrichtlinien, die die Clouds betreffen: Risiken 27 Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, Einhaltung der guten Praktiken durch den Dienstanbieter Sicherheit der Systeme Der Dienstanbieter versichert: dass die auf allen verwendeten Datenträgern gespeicherten Daten mit Hilfe eines geeigneten Systems verschlüsselt werden (Algorithmus, Schlüssellänge,...); dass die Schwachstellen der Systeme verwaltet werden und mindestens alljährlich (Hacker-) Angriffstests organisiert werden und die kritischen Schwachstellen unverzüglich korrigiert werden; dass die Server, auf denen sich empfindliche Daten befinden, mit einem verstärkten Sicherheitsniveau eingerichtet bzw. konfiguriert werden;

56 56 Sicherheitsrichtlinien, die die Clouds betreffen: Risiken 28 Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, Einhaltung der guten Praktiken durch den Dienstanbieter Sicherheit der Systeme Der Dienstanbieter versichert: Die Sicherheits-Patches werden auf zentrale Art verwaltet, zuvor getestet und in Zeiträumen von weniger als einem Monat verwendet; die Anti-Virenprogramme auf den Servern und den Arbeitsplätzen werden installiert, aktualisiert und überwacht; die Verwendung der USB-Sticks und der anderen mobilen Speichermedien wird kontrolliert, verwaltet und natürlicherweise auf allen Systemen untersagt, auf denen empfindliche Daten vorhanden sind; darin mit einbezogen sind auch alle Arten von externen Speicherungen, die nicht explizit im Vertrag vorgesehen sind.

57 57 Sicherheitsrichtlinien, die die Clouds betreffen: Risiken 29 Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, Einhaltung der guten Praktiken durch den Dienstanbieter Sicherheit des Netzwerkzugangs Der Dienstanbieter versichert: die Zugangspunkte zum Netzwerk sind begrenzt, abgesichert und gefiltert; die Systemverwaltungsaufgaben werden von einem abgesicherten Netzwerk aus durchgeführt, das dafür vorgesehen ist und das isoliert (abgeschirmt) ist dadurch, dass es sich mit hohen Authentisierungsmechanismen verbindet; die Änderungen im Bereich der Netzwerkausrüstungen werden mitverfolgt, dokumentiert und zuvor genehmigt; im Falle eines geteilten "Cloud Computing"-Dienstes: der Netzwerkzugang wird nur zugelassen von vertrauenswürdigen Computerterminals; das Netzwerk, an das diejenigen Systeme angeschlossen sind, die empfindliche Daten enthalten, wird vom Netzwerk der anderen Kunden isoliert.

58 58 Sicherheitsrichtlinien, die die Clouds betreffen: Risiken 30 Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, Einhaltung bestimmter gesetzlicher Verpflichtungen im Falle der Verarbeitung von persönlichen Daten Das ÖSHZ muss immer auf die Einhaltung der Vorschriften zum Schutz von persönlichen Daten achten (Gesetz über den Schutz der Privatsphäre). wenn solche Daten in einem Dienst vom Typ "Cloud" ver- oder bearbeitet werden. In diesem Rahmen ist das ÖSHZ als Eigentümer der Daten immer verantwortlich für die korrekte Einhaltung der Vorschriften zum Schutz der persönlichen Daten. Die Wahl des Anbieters des "Cloud Computing"-Dienstes durch das ÖSHZ beschränkt sich auf Dienstanbieter, die ausschließlich nur "Privat-Cloud"-Dienste" anbieten im Falle einer Auslagerung von persönlichen Daten.

59 59 Sicherheitsrichtlinien, die die Clouds betreffen: Risiken 31 Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, Einhaltung bestimmter gesetzlicher Verpflichtungen im Falle der Verarbeitung von persönlichen Daten Die personenbezogenen Daten können von Belgien aus und innerhalb der Europäischen Union frei zirkulieren, solange die allgemeinen Prinzipien des belgischen Gesetzes über den "Schutz der Privatsphäre" eingehalten werden. In diesem Rahmen ist die Wahl einer Auslagerung von personenbezogenen Daten oder von Datenverarbeitungsdiensten persönlicher Daten in ein Land der Europäischen Union nur dann gestattet, wenn das belgische Gesetz über den "Schutz der Privatsphäre" bezogen auf das jeweilige Land der Union eingehalten wird (wie angegeben in der europäischen Richtlinie 95/46/CE). Außerdem erfordert jede Auslagerung von personenbezogenen Daten eine Datenverschlüsselung während der Übertragung und während des Zeitraums der Speicherung. Die Mittel zur Verschlüsselung müssen immer unter der Kontrolle der Einrichtung stehen in Bezug auf die Verwaltung und dürfen nicht an Subunternehmer vergeben werden.

60 60 Sicherheitsrichtlinien, die die Clouds betreffen: Risiken 34 Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, Eventuelle Fragen???

61 61 WINDOWS 365 Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, Einige Prinzipien

62 62 Neues Verfahren zur Ernennung des Sicherheitsberaters* (1) Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, Das sind die verschiedenen Schritte. Den Sicherheitsberater oder den stellvertretenden Sicherheitsberater vom Sozialhilferat benennen lassen. Die unterschriebene Ernennung zum Sicherheitsberater vom FÖP Sozialeingliederung per Post oder eingescannt per schicken an: SPP Intégration sociale (FÖP Sozialeingliederung), Bd Roi Albert II, 30, 1000 Bruxelles * Dies gilt auch für den stellvertretenden Sicherheitsberater.

63 63 Neues Verfahren zur Ernennung des Sicherheitsberaters (2) Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, 3. Dann auf die Internetseite der ZDSS gehen. 4. Klicken auf Sicherheitsberater (direkt unter "Sicherheit und Schutz der Privatsphäre").

64 64 Neues Verfahren zur Ernennung des Sicherheitsberaters (3) Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, oder auf ebsites/belgium/security/security_03.html ebsites/belgium/security/security_03.html Klicken Sie auf "Bewertungs-Fragebogen für den Sicherheitsberater". Die URL des Links ist die folgende: ite/explications_questionnaire_evaluation_conseiller_e.pdf ite/explications_questionnaire_evaluation_conseiller_e.pdf

65 65 Neues Verfahren zur Ernennung des Sicherheitsberaters (4) Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, 7. Das Dokument "Bewertungs-Fragebogen für den Sicherheitsberater" öffnet sich. 8. Lesen Sie sich das ganze Dokument VOR dem Ausfüllen aufmerksam durch. 9. Klicken Sie anschließend auf "hier", um das auszufüllende Dokument zu öffnen. 10. Wörterbuch: der für die tägliche Geschäftsführung Verantwortliche in Brüssel: der Sekretär in der Wallonie: der Generaldirektor. Die antragstellende Einrichtung ist das öffentliche Zentrum für Sozialhilfe (ÖSHZ).

66 66 Neues Verfahren zur Ernennung des Sicherheitsberaters (5) Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, 11. Füllen Sie das ganze Formular komplett aus. 12. Nachdem Sie das Formular ausgefüllt haben, gehen Sie zu Seite 2 und unterzeichnen Sie es elektronisch. 13. Wenn der Sekretär oder Generaldirektor der Sicherheitsberater ist, lassen Sie den Präsidenten anstelle des für die tägliche Geschäftsführung Verantwortlichen unterzeichnen. 14. Durch das elektronische Signieren wird das Dokument automatisch zur Kommission zum Schutz der Privatsphäre geschickt. 15. Drucken Sie das ausgefüllte Dokument aus, falls Sie es per Post senden möchten und bewahren Sie stets ein Exemplar für sich auf.

67 67 Neues Verfahren zur Ernennung des Sicherheitsberaters (6) Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, Sobald der neue Sicherheitsberater diese Formalitäten erfüllt hat, muss er: - zwei Wochen warten (Bearbeitungszeit der Kommission zum Schutz der Privatsphäre); - Den Verantwortlichen Zugänge Einheit darum bitten, er möge auf die folgenden Internetseiten gehen: https://professional.socialsecurity.be, er soll auf Arbeitgeber klicken und anschließend klicken auf "Verbinden".https://professional.socialsecurity.be

68 68 Neues Verfahren zur Ernennung des Sicherheitsberaters (7) Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, - wenn der Sicherheitsberater bereist existiert, soll er das löschen; - wenn der Sicherheitsberater noch nicht existiert, dies nicht zu erstellen, - zu klicken auf "Lokalen Fragebogen ersetzen" - die Nationalregisternummer des neuen Sicherheitsberaters einzugeben, abzuspeichern und auf "Bestätigen" zu klicken.

69 69 Neues Verfahren zur Ernennung des Sicherheitsberaters (8) Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, Hinweis: Der Sicherheitsberater darf in einem großen öffentlichen Sozialhilfezentrum nicht der Sekretär oder der Generaldirektor sein. Der Sicherheitsberater darf nicht der Verantwortliche oder der Leiter des EDV-Services sein. Die Kommission zum Schutz der Privatsphäre wird die Informationen speichern, darf aber kein Urteil oder Entscheidung abgeben über Ihre Kenntnisse und darf niemanden daran hindern, zum Informations-Sicherheitsberater ernannt zu werden.

70 FRAGEN?

71 ENDE


Herunterladen ppt "1 Sicherheitssitzung 2. Halbjahr 2013 Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung,"

Ähnliche Präsentationen


Google-Anzeigen