Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Sicherheitssitzung 2. Halbjahr 2013

Ähnliche Präsentationen


Präsentation zum Thema: "Sicherheitssitzung 2. Halbjahr 2013"—  Präsentation transkript:

1 Sicherheitssitzung 2. Halbjahr 2013
Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung,

2 PROGRAMM Präsentation des Beraters
Summarischer Überblick der Standesregeln der Mitglieder des Sozialhilferats Richtlinien der ZDSS für die Clouds (noch nicht offiziell zugelassen von der dafür eingerichteten Sicherheitsgruppe). Windows 365: kurzer Überblick. Neue Methode zur Ernennung des Sicherheitsberaters Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung,

3 Zu erörternde Fragen oder Themen
Sie sind gefragt!

4 PRÄSENTATION DES SICHERHEITSBERATERS 1
DIE MITGLIEDER DES SOZIALHILFERATS WISSEN NICHT was Informationssicherheit ist; was ein Sicherheitsberater ist; was sie beachten müssen, um die Mindestnormen einzuhalten. Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung,

5 PRÄSENTATION DES SICHERHEITSBERATERS 2
Informationssicherheit bedeutet: - die Vorbeugung und die schnelle und effiziente Wiederherstellung der Beschädigungen von sozialen Daten - und der ungerechtfertigten Verletzung der Privatsphäre der Betroffenen. Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung,

6 PRÄSENTATION DES SICHERHEITSBERATERS 3
Der Informationssicherheitsdienst überwacht im öffentlichen Sozialhilfezentrum (ÖSHZ) die Beachtung der Sicherheitsvorschriften, die durch gesetzliche Anordnung auferlegt wurden. Königlicher Beschluss vom Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung,

7 PRÄSENTATION DES SICHERHEITSBERATERS 4
Der Informationssicherheitsdienst hat eine Begutachtungs-, Förderungs-, Dokumentations-, und Kontrollaufgabe. Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung,

8 PRÄSENTATION DES SICHERHEITSBERATERS 5
Der mit der Informationssicherheit beauftragte Dienst berät den für die tägliche Geschäftsführung Verantwortlichen (Generaldirektor – Sekretär) seines ÖSHZ auf dessen Anfrage hin oder auf eigene Initiative, bei allen Aspekten zum Thema Informationssicherheit. Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung,

9 PRÄSENTATION DES SICHERHEITSBERATERS 6
Außer wenn die Risiken nicht groß genug sind, werden die Begutachtungen schriftlich und begründet abgegeben. Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung,

10 PRÄSENTATION DES SICHERHEITSBERATERS 7
In der Frist ... von höchstens drei Monaten, entscheidet sich der Beauftragte für die tägliche Geschäftsführung: die Begutachtungen zu befolgen oder nicht und er unterrichtet den Informationssicherheitsdienst über seine Entscheidung. Wenn die Entscheidung von einer schriftlichen Begutachtung abweicht, muss sie schriftlich und mit Begründung abgegeben werden. Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung,

11 PRÄSENTATION DES SICHERHEITSBERATERS 8
Der Informationssicherheitsdienst fördert die Beachtung der … vorschriftsmäßigen Sicherheitsregeln und die Annahme eines sicherheitsfördernden Verhaltens durch die in der Einrichtung angestellten Personen. Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung,

12 PRÄSENTATION DES SICHERHEITSBERATERS 9
Der Informationssicherheitsdienst sammelt die nützliche Dokumentation diesbezüglich. Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung,

13 PRÄSENTATION DES SICHERHEITSBERATERS 10
Der Sicherheitsberater überwacht innerhalb der ÖSHZ die Beachtung der gesetzlichen oder vorschriftsmäßigen Sicherheitsregeln ... Alle festgestellten Verletzungen werden schriftlich und ausschließlich dem Beauftragten der täglichen Geschäftsführung der Einrichtung, mit den notwendigen Begutachtungen zur Vorbeugung von zukünftigen Verletzungen, mitgeteilt. Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung,

14 PRÄSENTATION DES SICHERHEITSBERATERS 11
Die Sicherheitsberater und ihre eventuellen Stellvertreter können aufgrund der geäußerten Meinungen oder der im Rahmen der korrekten Ausführung ihrer Funktion vorgenommenen Handlungen nicht ihrer Funktion enthoben werden. Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung,

15 PRÄSENTATION DES SICHERHEITSBERATERS 12
Der Informationssicherheitsdienst untersteht den direkten Weisungen der für die tägliche Geschäftsführung des ÖSHZ verantwortlichen Person. Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung,

16 PRÄSENTATION DES SICHERHEITSBERATERS 13
Er arbeitet eng mit den Diensten zusammen, bei denen seine Mitwirkung erforderlich ist oder erforderlich sein kann, insbesondere: mit dem Informatikdienst; mit dem IDGS. Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung,

17 PRÄSENTATION DES SICHERHEITSBERATERS 14
Der Sicherheitsberater erstellt einen Entwurf eines Sicherheitsplanes für einen Zeitraum von 3 Jahren, zu Händen des Beauftragten für die tägliche Geschäftsführung, in dem er auf Jahresbasis die erforderlichen Mittel zur Realisierung des Plans aufstellt. Dieser Plan wird mindestens ein Mal pro Jahr überprüft und ggf. angepasst. Der Entwurf des Sicherheitsplans gilt als Begutachtung Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung,

18 PRÄSENTATION DES SICHERHEITSBERATERS 15
Der Informationssicherheitsdienst erstellt einen Jahresbericht zu Händen des Beauftragten für die tägliche Geschäftsführung der Einrichtung. Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung,

19 PRÄSENTATION DES SICHERHEITSBERATERS 16
Die Aufgaben des Informationssicherheitsdienstes, wie definiert, beziehen sich auch auf die durch Vermittlung Dritter (Softwarehäuser, Gemeindeverwaltung, usw.) im Auftrag von des ÖSHZ gespeicherten, bearbeiteten oder ausgetauschten personenbezogenen Sozialdaten. Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung,

20 PRÄSENTATION DES SICHERHEITSBERATERS 17
Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung,

21 Summarischer Überblick der Standesregeln der Mitglieder des Sozialhilferats
Quelle: Die Achtung der Privatsphäre A. Das Geheimnis Innerhalb des ÖSHZ ist die Einhaltung des Berufsgeheimnisses eine zwingende soziale Notwendigkeit. Die Verpflichtung zum Berufsgeheimnis ist zunächst festgelegt durch den Artikel 458 des Strafgesetzbuchs, Alle während der Ausübung des Berufs oder des Mandats erhaltenen oder festgestellten Informationen fallen unter das Berufsgeheimnis. Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung,

22 Summarischer Überblick der Standesregeln der Mitglieder des Sozialhilferats
Das Grundlagengesetz vom zu den ÖSHZ legt außerdem fest, dass: die Mitglieder des Sozialhilferats sowie jede andere Person, die aufgrund des Gesetzes an Versammlungen des Rats, des Ständigen Büros und der Sonderausschüsse teilnimmt, sind an das Berufsgeheimnis gebunden (Art. 36, Abs. 2); diese Anordnungen gelten auch für die das Personal des ÖSHZ (Art. 50). Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung,

23 Summarischer Überblick der Standesregeln der Mitglieder des Sozialhilferats
Daher sind innerhalb des ÖSHZ nicht nur die Sozialarbeiter, sondern das gesamte Personal (darunter auch Hilfspersonal) und die Bevollmächtigten, an das Berufsgeheimnis gebunden. Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung,

24 Summarischer Überblick der Standesregeln der Mitglieder des Sozialhilferats
Die Ratsmitglieder und Personen, die an der Versammlung teilnehmen können, dürfen daher weder den Inhalt der Diskussionen, der Beratungen und Beschlüsse, die Statements, Meinungen und Haltungen, noch die Art weitergeben, auf welche die Abstimmung durchgeführt wurde, da dies für Antragsteller erfolgte. Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung,

25 RAT Zunächst einmal mit Ihrem Sekretär und Ihrem Präsidenten prüfen:
das Interesse, auf die Regeln und Vorschriften hinzuweisen, den Inhalt, die Art und Weise (sehr didaktisch wenn möglich und sehr einfach).

26 Sicherheitsrichtlinien, die die Clouds betreffen: Risiken 1
Der Verlust des Steuerungssystems der Behandlung. Der Verlust der Überprüfbarkeit des Dienstanbieters aufgrund von Fehlern bei der Verwaltung der Subunternehmer bzw. der Auftragsverarbeiter. Die technologische Abhängigkeit des ÖSHZ gegenüber dem Lieferanten des Cloud Computing = Unmöglichkeit oder Schwierigkeit bei der Lösungsänderung (für einen anderen Lieferanten oder eine interne Lösung) ohne Datenverlust. Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung,

27 Sicherheitsrichtlinien, die die Clouds betreffen: Risiken 2
Eine Lücke bei der Datenisolierung = d. h. das Risiko, dass die auf einem (virtualisierten) System vorhandenen Daten nicht mehr isoliert sind und verändert oder für unbefugte Dritte zugänglich gemacht werden könnten, infolge eines Fehlers des Dienstanbieters oder infolge einer schlechten Funktion des Hypervisors; Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, 27

28 Sicherheitsrichtlinien, die die Clouds betreffen: Risiken 3
Die Befolgung gesetzlicher Anforderungen auf der Basis von ausländischem Recht ohne Absprache mit den nationalen Behörden (Beispiel: USA). Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, 28

29 Sicherheitsrichtlinien, die die Clouds betreffen: Risiken 4
Google möchte die Anzahl der Abfragen der NSA veröffentlichen dürfen Der Kern der Sache Mittwoch, 19. Juni 2013 um 06h36 Google hat am Dienstag auf dem Sondergerichtshof für Untersuchungen in Verbindung mit der nationalen Sicherheit einen Antrag auf Genehmigung zur Veröffentlichung der Zahl der Suchanfragen der Nachrichtendienste gestellt, die von ihm Daten anforderten. Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, 29

30 Sicherheitsrichtlinien, die die Clouds betreffen: Risiken 5
Eine Lücke in der Zulieferkette, u. a. in dem Fall, wo der Dienstanbieter selbst bei Dritten die Erbringung der Dienstleistung oder Bereitstellung des Dienstes anforderte. Die Nichteinhaltung von Vorschriften zur Aufbewahrung und Vernichtung seitens der Einrichtung, u. a. durch eine ineffektive oder nicht gesicherte Datenvernichtung oder einer zu langen Aufbewahrungsdauer. Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, 30

31 Sicherheitsrichtlinien, die die Clouds betreffen: Risiken 6
Probleme der Verwaltung der Zugriffs- oder Zugangsrechte. Nichtverfügbarkeit des Dienstanbieters = Nichtverfügbarkeit des Dienstes an sich, aber auch Nichtverfügbarkeit der Zugangsmittel oder -medien zum Dienst (insbesondere Netzwerkprobleme). Die Schließung des Dienstes des Dienstanbieters oder das nicht freiwillige Ändern des Dienstanbieters durch einen Dritten. Die Nichteinhaltung oder Nichtübereinstimmung von bzw. mit Vorschriften, besonders bei internationalen Übertragungen. Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, 31

32 Sicherheitsrichtlinien, die die Clouds betreffen: Risiken 7
Beobachtungen (1) Vor dem Inbetrachtziehen der Verwendung eines Cloud Computing muss das ÖSHZ die Daten, Behandlungen oder Dienstleistungen, die in der Cloud abgelegt oder dort hineingestellt werden, klar und eindeutig identifizieren und die Investitionsrendite bestimmen unter Berücksichtigung vor allem der Anwendung der Sicherheitszwänge und -beschränkungen. Falls für einen Datentyp eine besondere Vorschrift gilt, muss das ÖSHZ die Mindestbedingungen oder die Beschränkungen für dessen Übertragung feststellen. Die Mehrkosten für das Anwenden der vermutlichen und wahrscheinlichen Entwicklungen, vor allem für Sicherheitszwängen müssen ausgewertet und beziffert werden. Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, 32

33 Sicherheitsrichtlinien, die die Clouds betreffen: Risiken 8
Beobachtungen (2) Die Dienstleistungsmodelle sind die folgenden: SaaS : "Software as a Service", d. h. die Online-Lieferung von Software; PaaS : "Platform as a Service", d. h. die Online-Lieferung einer Plattform für Anwendungsentwicklung; IaaS : "Infrastructure as a Service", d. h. die Online-Lieferung von Rechen- und Speicherinfrastrukturen. Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, 33

34 Sicherheitsrichtlinien, die die Clouds betreffen: Risiken 9
Beobachtungen (3) Die Bereitstellungsmodelle sind die folgenden: "Öffentlich", wenn ein Dienst zwischen zahlreichen Kunden geteilt und gemeinsam genutzt wird; "Privat", wenn die Cloud einem Kunden gewidmet ist; "Gemeinschaftlich", wenn die Cloud von Kunden geteilt wird, die dieselben Verpflichtungen haben (gesetzliche, …); "Hybrid", wenn ein Dienst teilweise in einer öffentlichen Cloud und teilweise in einer privaten Cloud ist. Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, 34

35 Sicherheitsrichtlinien, die die Clouds betreffen: Risiken 10
Beobachtungen (4) Weder die öffentliche Cloud, noch die Hybrid-Cloud erfüllen derzeit die geforderten Sicherheitsauflagen. Man muss seine eigenen technischen und rechtlichen Sicherheitsanforderungen festlegen. Wenn es das Ziel der Cloud ist, das ÖSHZ von bestimmten betrieblichen oder arbeitstechnischen Aufgaben zu entlasten, muss sie zunächst überprüfen, ob der Dienstanbieter ein wenigstens genauso hohes Anforderungsniveau verfolgt, wie das vom ÖSHZ geforderte (Beispiel: cloud Adehis). Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, 35

36 Sicherheitsrichtlinien, die die Clouds betreffen: Risiken 9
Je weiter entfernt die Cloud ist, umso höher ist das Risiko. Das ÖSHZ muss sich vergewissern, dass die Daten tatsächlich in einer Cloud aufbewahrt werden und nicht woanders (es gibt Tools, die die Überprüfung des Speicherorts ermöglichen). Eine angemessene Risikoanalyse durchzuführen ist wesentlich dazu, um die geeigneten Sicherheitsmaßnahmen festlegen zu können und vor allem muss dies vom Dienstanbieter gefordert werden. Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, 36

37 Sicherheitsrichtlinien, die die Clouds betreffen: Risiken 10
Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, 37

38 Sicherheitsrichtlinien, die die Clouds betreffen: Risiken 11
Garantien Vertragsklausel bezüglich der Möglichkeit für einen Dienstanbieter des "Cloud"-Services, einen Teil seiner Aktivitäten an Subunternehmer zu vergeben. Der Dienstanbieter bleibt gegenüber ÖSHZ der alleinige Verantwortliche für die Ausführung seiner Verpflichtungen, also auch in dem Fall, wenn er einige seiner Aktivitäten an Subunternehmer weitergibt. Mit Hinblick darauf, dass bestimmte besondere Aufgaben an Subunternehmer vergeben werden könnten, muss der Vertrag vorsehen, dass der "Cloud"-Dienstanbieter das ÖSHZ diesbezüglich informiert und sich dazu verpflichtet, formell alle ihm obliegenden Verpflichtungen gegenüber seinen Sublieferanten zu berichten. Der Dienstanbieter muss sich auch vergewissern, dass diese Verpflichtungen von seinen Sublieferanten durch Ausführen der nötigen Kontrollen eingehalten werden. Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, 38

39 Sicherheitsrichtlinien, die die Clouds betreffen: Risiken 12
Garantien Integritätsklausel, Klausel zur Kontinuität und zur Dienstleistungsqualität Der Dienstanbieter muss alle Maßnahmen anordnen und umsetzen, welche die Bewahrung und die Integrität der behandelten und verarbeiteten Informationen während der Vertragsdauer sicherstellen, wie z. B. Notstromsysteme. Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, 39

40 Sicherheitsrichtlinien, die die Clouds betreffen: Risiken 13
Garantien Es muss eine Dienstleistungsvereinbarung (SLA) formalisiert werden in einem Abkommen im Anhang zum Vertrag zwischen dem ÖSHZ und dem "Cloud"-Dienstanbieter; darin müssen insbesondere während und nach jedem Garantiezeitraum, die Verfügbarkeit des Dienstes, die maximale Bootzeit im Falle einer Unterbrechung nach einem Vorfall und alle anderen Kriterien in Bezug auf die Wiederaufnahme der Aktivitäten angegeben werden (Zeitdauer der Wiederaufnahme und maximal tolerierbarer Datenverlust). Außerdem müssen die Einzelheiten der Maßnahmen, die die Kontinuität des Dienstes ermöglichen, in der Dienstleistungsvereinbarung (SLA) im Anhang des Vertrages stehen. Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, 40

41 Sicherheitsrichtlinien, die die Clouds betreffen: Risiken 14
Garantien Klausel zur Sicherstellung der Datenwiederherstellung. Der Dienstanbieter verpflichtet sich dazu, keine Daten des ÖSHZ aufzubewahren über den Zeitraum hinaus, welcher in Absprache mit der Einrichtung festgelegt wurde hinsichtlich der Zwecke, für welche die Daten erhoben wurden. Im Falle eines vorzeitigen Abbruchs oder Ende der Dienstleistung ist der Dienstanbieter dazu verpflichtet, alle Daten des ÖSHZ wiederherzustellen und zurückzugeben in der vereinbarten Art im vereinbarten Zeitraum und in einem herkömmlichen Format, strukturiert und wie dies für die herkömmliche Verwendung üblich ist, damit das ÖSHZ die Kontinuität seines Dienstes sicherstellen kann. Sobald die Wiederherstellung durchgeführt wurde, verpflichtet sich der Dienstanbieter unter Absprache mit dem ÖSHZ, alle Kopien der Daten in seinem Besitz zu vernichten, darunter auch die Backups und Archive, und dies in einem angemessenen Zeitraum unter Erbringung des Nachweises der Datenvernichtung. Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, 41

42 Sicherheitsrichtlinien, die die Clouds betreffen: Risiken 15
Garantien Klausel über die Garantie der Datenübertragbarkeit und die Kompatibilität der Systeme. Am Ende der Dienstleistung muss der Dienstanbieter unter den im Vertrag vereinbarten Bedingungen die nötige Hilfe leisten zum Übertragen (Migration) der Bearbeitungen, die von seiner "Cloud" durchgeführt wurden, auf eine andere Lösung. Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, 42

43 Sicherheitsrichtlinien, die die Clouds betreffen: Risiken 16
Garantien Klausel über die Prüfungsvorschriften Der Dienstanbieter verpflichtet sich dazu, die durch das ÖSHZ finanzierten Prüfungen zu autorisieren, eng mitzuarbeiten und die festgestellten Mängel möglichst schnell zu beheben. Diese Prüfungen können vom ÖSHZ selbst durchgeführt werden oder durch einen Dritten seines Vertrauens, den das ÖSHZ auswählt. Die Prüfungen müssen die Analyse des Einhaltens des Vertrages und der bei dieser Politik anzuwendenden Sicherheitsvorschriften ermöglichen und auch die Analyse der Konformität insbesondere hinsichtlich der von internationalen Stellen (z. B. ISO) empfohlenen bewährten Verfahrensweisen. Die Prüfung muss es auch ermöglichen, sicherzustellen, dass die eingesetzten Sicherheitsmaßnahmen bezüglich der Vertraulichkeit, der Verfügbarkeit, der Nachverfolgbarkeit und der Integrität der Daten nicht umgangen werden können, ohne dass dies festgestellt und mitgeteilt wird. Im Falle eines vollständigen oder teilweisen Outsourcings müssen die Prüfungsvorschriften auch bei allen Subunternehmern angewendet werden. Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, 43

44 Sicherheitsrichtlinien, die die Clouds betreffen: Risiken 17
Microsoft genehmigt keine Prüfungen in seinen Clouds. ACHTUNG Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, 44

45 Sicherheitsrichtlinien, die die Clouds betreffen: Risiken 18
Garantien Klausel über die Verpflichtung des Dienstanbieters hinsichtlich der Vertraulichkeit der Daten: der Dienstanbieter muss sich, seine Subunternehmer und eventuelle Ankäufer dazu verpflichten, weder für seinen Bedarf oder in seinem Namen, noch dem, bzw. den eines Dritten, die Daten zu verwenden oder weiter zu geben. er muss sich dazu verpflichten, alle Zugangsspuren, -pfade oder -logs zu den Daten (nötig, um festzustellen, wer was und wann getätigt hat), Verwaltungs-Tools und Anwendungen zu schützen und für den Kunden zur Verfügung zu halten, und dies über den vertraglich festgelegten Zeitraum hinweg. er muss das ÖSHZ über jede festgestellte Anomalie bei den Anschluss- oder Verbindungs-Spuren, -pfaden oder -logs informieren, wie z. B.: Zugangsversuche von nicht-autorisierten Personen. der Dienstanbieter muss das ÖSHZ unverzüglich über jede Anfrage oder Suchanfrage informieren, die von einer belgischen oder ausländischen Verwaltungs- oder Justizbehörde stammt. Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, 45

46 Sicherheitsrichtlinien, die die Clouds betreffen: Risiken 19
Garantien Souveränitätsklausel Dem ÖSHZ versichern, dass der Dienstanbieter und seine eventuellen Subunternehmer keinen Forderungen oder Anfragen von ausländischen Behörden an Belgien oder anderen Mitgliedsstaaten der Europäischen Union unterliegen oder verpflichtet sind. Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, 46

47 Sicherheitsrichtlinien, die die Clouds betreffen: Risiken 20
Garantien Klausel über die Verpflichtungen des Dienstanbieters hinsichtlich der Datensicherheit. Dem Kunden die Sicherheitspolitik der Informationssysteme liefern, die er eingesetzt hat und ihn über die Entwicklungen dieser Politik informieren. Der Lieferant des "Cloud Computing"-Dienstes ist verpflichtet zur Einhaltung der geltenden und einschlägigen guten Praktiken, die von und für die Einrichtung gefordert werden, besonders solche, die in der ISO angegeben sind oder solche, die in den Mindestnormen für die soziale Sicherheit angegeben sind. Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, 47

48 Sicherheitsrichtlinien, die die Clouds betreffen: Risiken 21
Einhaltung der guten Praktiken vom Dienstanbieter Die hier erwähnten guten Praktiken sind eine minimale und unvollständige Liste mit Sicherheitsmaßnahmen, die der Anbieter des "Cloud Computing"-Dienstes einhalten und anwenden muss unter Berücksichtigung der Tatsache, dass die durch das ÖSHZ durchgeführte Risikoanalyse der Anlass zu zusätzlichen Sicherheitsmaßnahmen sein kann. Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, 48

49 Sicherheitsrichtlinien, die die Clouds betreffen: Risiken 22
Einhaltung der guten Praktiken durch den Dienstanbieter 5 Bereiche sind zu beachten. Die empfindlichen Daten: der Dienstanbieter muss in kohärenter Weise die Prozesse in Sachen Sicherheit, Personalverwaltung, Inventar, Qualifikation und Rückverfolgbarkeit der Daten umsetzen, die Rechenzentren: der Dienstanbieter muss über ein Sicherheitsmanagement des physikalischen Zugangs zu den Rechenzentren verfügen sowie über technische Einrichtungen, welche den Schutz gegen Bedrohungen von außen und durch die Umwelt gewährleisten (Brand, Überschwemmung, Stromausfall, usw.). Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, 49

50 Sicherheitsrichtlinien, die die Clouds betreffen: Risiken 23
Einhaltung der guten Praktiken durch den Dienstanbieter 5 Bereiche sind zu beachten. die Sicherheit der logischen Zugriffe: der Dienstanbieter muss über Kontrollen des logischen Zugriffs verfügen, welche einen angemessenen Schutz der empfindlichen und nicht-empfindlichen Daten gewährleisten, die Sicherheit der Systeme: der Dienstanbieter muss über konfigurierte Systeme verfügen, die geschützt sind gegen Sicherheitslücken, insbesondere für die gespeicherten Daten, Netzwerksicherheit: der Dienstanbieter muss über ein gesichertes und geschütztes Netzwerk verfügen mit einer geeigneten Abschirmung bzw. Isolierung gegen Dritte. Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, 50

51 Sicherheitsrichtlinien, die die Clouds betreffen: Risiken 23
Einhaltung der guten Praktiken durch den Dienstanbieter Daten Der Dienstanbieter versichert: dass die Lokalisierung der empfindlichen und nicht-empfindlichen Daten, die Eigentum der Einrichtung sind, bekannt ist und den Anforderungen des ÖSHZ entspricht (Rechenzentrum, Speicherung und Server) dass die zugehörigen Informatik-Notstromsysteme und Informatik-Notfallpläne in die Tat umgesetzt und regelmäßig getestet werden, dass er über einen Ethikkodex verfügt, der von und für sein Personal und seine eventuellen Subunternehmer angewendet wird. Er darf keine Aktivitäten ausführen, die einen Interessenkonflikt auslösen können, Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, 51

52 Sicherheitsrichtlinien, die die Clouds betreffen: Risiken 24
Einhaltung der guten Praktiken durch den Dienstanbieter Daten Der Dienstanbieter versichert: dass sein Personal regelmäßig an Schulungen zur Vermittlung von Sicherheitsbewusstsein teilnimmt, dass er über zentralisierte Mittel zur Rückverfolgbarkeit verfügt, die es ermöglichen, Verletzungen von Rechten oder böswilliges Verhalten festzustellen, dass er über ein Management der Sicherheitszwischenfälle oder -verletzungen verfügt, einschließlich der Feststellung, des Alarmierens, der Behandlung bis hin zur Lösung, der Identifizierung der Ursachen und der Mitteilung an die Einrichtung. Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, 52

53 Sicherheitsrichtlinien, die die Clouds betreffen: Risiken 25
Einhaltung der guten Praktiken durch den Dienstanbieter Sicherheit der Rechenzentren Der Dienstanbieter versichert: dass er über gesicherte Systeme verfügt der Kontrolle des physikalischen Zugangs oder Zugriffs, der Feststellung von Eindringen/Einbrüchen, Überschwemmungen und zur Videoüberwachung; dass die Zugänge zu den Rechenzentren nur autorisiert sind für einzelne Personen, die dadurch ermächtigt sind, dass sie einen geeigneten Zyklus zur Genehmigung durchlaufen haben; sie werden regelmäßig weiterverfolgt und überprüft; dass jeder Wartungs-Subunternehmer, der dazu veranlasst wurde, Ausrüstungen zu verwenden oder zu reparieren, die empfindliche Daten enthalten, an die vertraglichen Vertraulichkeits-Klauseln gebunden ist; dass jedes Speichermedium, das empfindliche Daten enthält und dazu bestimmt ist, wieder benutzt, entsorgt oder recycelt zu werden, zuvor in geeigneter Weise einer Datenlöschung unterzogen wird. Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, 53

54 Sicherheitsrichtlinien, die die Clouds betreffen: Risiken 26
Einhaltung der guten Praktiken durch den Dienstanbieter Sicherheit der logischen Zugriffe Der Dienstanbieter versichert: dass er die Vorschriften zur Autorisierung des Zugriffs auf Daten anwendet in Abhängigkeit der von dem ÖSHZ mitgeteilten Punkte (Abfrage, Anlegen, Ändern und Löschen); dass sich die Zugriffe durch Anwender und Administratoren auf Systeme, die empfindliche Daten enthalten, auf Mechanismen stützen, welche die Vertraulichkeit und die Rückverfolgbarkeit gewährleisten (Prüfpfade der Zugriffe auf die Daten und Behandlung der Problematik der generischen Accounts (Konten); dass er eine Authentifizierungspolitik anwendet, die derjenigen des ÖSHZ entspricht. Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, 54

55 Sicherheitsrichtlinien, die die Clouds betreffen: Risiken 27
Einhaltung der guten Praktiken durch den Dienstanbieter Sicherheit der Systeme Der Dienstanbieter versichert: dass die auf allen verwendeten Datenträgern gespeicherten Daten mit Hilfe eines geeigneten Systems verschlüsselt werden (Algorithmus, Schlüssellänge, ...); dass die Schwachstellen der Systeme verwaltet werden und mindestens alljährlich (Hacker-) Angriffstests organisiert werden und die kritischen Schwachstellen unverzüglich korrigiert werden; dass die Server, auf denen sich empfindliche Daten befinden, mit einem verstärkten Sicherheitsniveau eingerichtet bzw. konfiguriert werden; Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, 55

56 Sicherheitsrichtlinien, die die Clouds betreffen: Risiken 28
Einhaltung der guten Praktiken durch den Dienstanbieter Sicherheit der Systeme Der Dienstanbieter versichert: Die Sicherheits-Patches werden auf zentrale Art verwaltet, zuvor getestet und in Zeiträumen von weniger als einem Monat verwendet; die Anti-Virenprogramme auf den Servern und den Arbeitsplätzen werden installiert, aktualisiert und überwacht; die Verwendung der USB-Sticks und der anderen mobilen Speichermedien wird kontrolliert, verwaltet und natürlicherweise auf allen Systemen untersagt, auf denen empfindliche Daten vorhanden sind; darin mit einbezogen sind auch alle Arten von externen Speicherungen, die nicht explizit im Vertrag vorgesehen sind. Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, 56

57 Sicherheitsrichtlinien, die die Clouds betreffen: Risiken 29
Einhaltung der guten Praktiken durch den Dienstanbieter Sicherheit des Netzwerkzugangs Der Dienstanbieter versichert: die Zugangspunkte zum Netzwerk sind begrenzt, abgesichert und gefiltert; die Systemverwaltungsaufgaben werden von einem abgesicherten Netzwerk aus durchgeführt, das dafür vorgesehen ist und das isoliert (abgeschirmt) ist dadurch, dass es sich mit hohen Authentisierungsmechanismen verbindet; die Änderungen im Bereich der Netzwerkausrüstungen werden mitverfolgt, dokumentiert und zuvor genehmigt; im Falle eines geteilten "Cloud Computing"-Dienstes: der Netzwerkzugang wird nur zugelassen von vertrauenswürdigen Computerterminals; das Netzwerk, an das diejenigen Systeme angeschlossen sind, die empfindliche Daten enthalten, wird vom Netzwerk der anderen Kunden isoliert. Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, 57

58 Sicherheitsrichtlinien, die die Clouds betreffen: Risiken 30
Einhaltung bestimmter gesetzlicher Verpflichtungen im Falle der Verarbeitung von persönlichen Daten Das ÖSHZ muss immer auf die Einhaltung der Vorschriften zum Schutz von persönlichen Daten achten (Gesetz über den Schutz der Privatsphäre). wenn solche Daten in einem Dienst vom Typ "Cloud" ver- oder bearbeitet werden. In diesem Rahmen ist das ÖSHZ als Eigentümer der Daten immer verantwortlich für die korrekte Einhaltung der Vorschriften zum Schutz der persönlichen Daten. Die Wahl des Anbieters des "Cloud Computing"-Dienstes durch das ÖSHZ beschränkt sich auf Dienstanbieter, die ausschließlich nur "Privat-Cloud"-Dienste" anbieten im Falle einer Auslagerung von persönlichen Daten. Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, 58

59 Sicherheitsrichtlinien, die die Clouds betreffen: Risiken 31
Einhaltung bestimmter gesetzlicher Verpflichtungen im Falle der Verarbeitung von persönlichen Daten Die personenbezogenen Daten können von Belgien aus und innerhalb der Europäischen Union frei zirkulieren, solange die allgemeinen Prinzipien des belgischen Gesetzes über den "Schutz der Privatsphäre" eingehalten werden. In diesem Rahmen ist die Wahl einer Auslagerung von personenbezogenen Daten oder von Datenverarbeitungsdiensten persönlicher Daten in ein Land der Europäischen Union nur dann gestattet, wenn das belgische Gesetz über den "Schutz der Privatsphäre" bezogen auf das jeweilige Land der Union eingehalten wird (wie angegeben in der europäischen Richtlinie 95/46/CE). Außerdem erfordert jede Auslagerung von personenbezogenen Daten eine Datenverschlüsselung während der Übertragung und während des Zeitraums der Speicherung. Die Mittel zur Verschlüsselung müssen immer unter der Kontrolle der Einrichtung stehen in Bezug auf die Verwaltung und dürfen nicht an Subunternehmer vergeben werden. Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, 59

60 Sicherheitsrichtlinien, die die Clouds betreffen: Risiken 34
Eventuelle Fragen??? Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, 60

61 WINDOWS 365 Einige Prinzipien 61
Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, 61

62 Neues Verfahren zur Ernennung des Sicherheitsberaters* (1)
Das sind die verschiedenen Schritte. Den Sicherheitsberater oder den stellvertretenden Sicherheitsberater vom Sozialhilferat benennen lassen. Die unterschriebene Ernennung zum Sicherheitsberater vom FÖP Sozialeingliederung per Post oder eingescannt per schicken an: SPP Intégration sociale (FÖP Sozialeingliederung), Bd Roi Albert II, 30, 1000 Bruxelles (Brüssel). Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, *Dies gilt auch für den stellvertretenden Sicherheitsberater. 62

63 Neues Verfahren zur Ernennung des Sicherheitsberaters (2)
Dann auf die Internetseite der ZDSS gehen. Klicken auf Sicherheitsberater (direkt unter "Sicherheit und Schutz der Privatsphäre"). Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, 63

64 Neues Verfahren zur Ernennung des Sicherheitsberaters (3)
oder auf Klicken Sie auf "Bewertungs-Fragebogen für den Sicherheitsberater". Die URL des Links ist die folgende: Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, 64

65 Neues Verfahren zur Ernennung des Sicherheitsberaters (4)
Das Dokument "Bewertungs-Fragebogen für den Sicherheitsberater" öffnet sich. Lesen Sie sich das ganze Dokument VOR dem Ausfüllen aufmerksam durch. Klicken Sie anschließend auf "hier", um das auszufüllende Dokument zu öffnen. Wörterbuch: der für die tägliche Geschäftsführung Verantwortliche in Brüssel: der Sekretär in der Wallonie: der Generaldirektor. Die antragstellende Einrichtung ist das öffentliche Zentrum für Sozialhilfe (ÖSHZ). Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, 65

66 Neues Verfahren zur Ernennung des Sicherheitsberaters (5)
Füllen Sie das ganze Formular komplett aus. Nachdem Sie das Formular ausgefüllt haben, gehen Sie zu Seite 2 und unterzeichnen Sie es elektronisch. Wenn der Sekretär oder Generaldirektor der Sicherheitsberater ist, lassen Sie den Präsidenten anstelle des für die tägliche Geschäftsführung Verantwortlichen unterzeichnen. Durch das elektronische Signieren wird das Dokument automatisch zur Kommission zum Schutz der Privatsphäre geschickt. Drucken Sie das ausgefüllte Dokument aus, falls Sie es per Post senden möchten und bewahren Sie stets ein Exemplar für sich auf. Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, 66

67 Neues Verfahren zur Ernennung des Sicherheitsberaters (6)
Sobald der neue Sicherheitsberater diese Formalitäten erfüllt hat, muss er: zwei Wochen warten (Bearbeitungszeit der Kommission zum Schutz der Privatsphäre); Den Verantwortlichen Zugänge Einheit darum bitten, er möge auf die folgenden Internetseiten gehen: https://professional.socialsecurity.be, er soll auf Arbeitgeber klicken und anschließend klicken auf "Verbinden". Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, 67

68 Neues Verfahren zur Ernennung des Sicherheitsberaters (7)
wenn der Sicherheitsberater bereist existiert, soll er das löschen; wenn der Sicherheitsberater noch nicht existiert, dies nicht zu erstellen, zu klicken auf "Lokalen Fragebogen ersetzen" die Nationalregisternummer des neuen Sicherheitsberaters einzugeben, abzuspeichern und auf "Bestätigen" zu klicken. Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, 68

69 Neues Verfahren zur Ernennung des Sicherheitsberaters (8)
Hinweis: Der Sicherheitsberater darf in einem großen öffentlichen Sozialhilfezentrum nicht der Sekretär oder der Generaldirektor sein. Der Sicherheitsberater darf nicht der Verantwortliche oder der Leiter des EDV-Services sein. Die Kommission zum Schutz der Privatsphäre wird die Informationen speichern, darf aber kein Urteil oder Entscheidung abgeben über Ihre Kenntnisse und darf niemanden daran hindern, zum Informations-Sicherheitsberater ernannt zu werden. Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, 69

70 FRAGEN?

71 ENDE


Herunterladen ppt "Sicherheitssitzung 2. Halbjahr 2013"

Ähnliche Präsentationen


Google-Anzeigen