Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Datensicherheits- maßnahmen Mitarbeiterschulung © Deichmann+Fuchs Verlag GmbH & Co. KG | Datensicherheitsmaßnahmen.

Ähnliche Präsentationen


Präsentation zum Thema: "Datensicherheits- maßnahmen Mitarbeiterschulung © Deichmann+Fuchs Verlag GmbH & Co. KG | Datensicherheitsmaßnahmen."—  Präsentation transkript:

1 Datensicherheits- maßnahmen Mitarbeiterschulung © Deichmann+Fuchs Verlag GmbH & Co. KG | Datensicherheitsmaßnahmen

2 Agenda Gesetzliche Anforderungen 4 Schutzstufen Kontrollarten Hinweise zu speziellen Sicherheitsmaßnahmen 2

3 Technische und organisatorische Maßnahmen müssen nach § 9 BDSG erforderlich sein geeignet sein, die in der Anlage zu § 9 BDSG genannten Anforderungen zu gewährleisten angemessen sein im Verhältnis zwischen dem Aufwand den sie verursachen und dem Schutzzweck dem sie dienen 3

4 Schutzstufen 1niedriger Schutzbedarf 2mittlerer Schutzbedarf 3hoher Schutzbedarf 4sehr hoher Schutzbedarf 4 sehr hoch hoch mittel niedrig

5 Besondere Arten personenbez. Daten gemäß § 3 Abs. 9 BDSG rassische Herkunft ethnische Herkunft politische Meinungen Überzeugungen religiöse philosophische Gewerkschaftszugehörigkeit Gesundheit Sexualleben 5 SPEZIAL

6 Acht Kontrollarten gemäß der Anlage zu § 9 Satz 1 BDSG Zutrittskontrolle Zugangskontrolle Zugriffskontrolle Weitergabekontrolle Eingabekontrolle Auftragskontrolle Verfügbarkeitskontrolle Trennungsgebot oder Trennungskontrolle 6

7 Ziele Gewährleistung der Vertraulichkeit Integrität Verfügbarkeit Authentizität Revisionsfähigkeit 7

8 Zutrittskontrolle Definition Beispielsmaßnahmen Festlegung der Sicherheitszonen Bestimmung der zutrittsberechtigten Personen Einsatz von Zugangskontrollsystemen Verschluss der Arbeitsplätze Zutrittsregelungen für betriebsfremde Personen 8

9 Zugangskontrolle Definition Beispielsmaßnahmen Zugangsbeschränkung Netzwerkabschottung Bildschirmschoner Identifizierung/Authentisierung 9

10 Sicherheitsmaßnahmen innerhalb des lokalen Netzes Erstellung von Dienstanweisungen restriktive Vergabe von Zugangs- und Zugriffsberechtigungen Einsatz geeigneter Sicherheitsmechanismen zur Identifizierung und Authentisierung Überwachung der Datenzugriffe Dienstvereinbarung zur Protokollierung Abschottung der Teilnehmer untereinander 10

11 Abschottung des lokalen Netzes gegen externe Netze lokales Sicherheitskonzept Kommunikationsbedarfsfeststellung Absicherung der Übergänge Auswertung von Protokollen Einsatz von Firewalls/VPN Ausfiltern unerwünschter Seitenzugriffe Virenscanner auf allen Ebenen 11

12 Firewall Zwecke Abschottung des internen Netzes Abschottung der Netzteilnehmer Erkennung und Abwehr von Angriffen Verhinderung des unerlaubten Transportes interner Daten nach außen Absicherung der Firewall Intrusion Detection Intrusion Response Virenscanner 12

13 Virtuelle private Netze (VPN) Nutzung der öffentlichen Telekommunikationsstruktur Einsatz von sogenannten Tunneling- und Sicherheitsprotokollen Realisierung über das Internet Nutzung der VPN-Funktionen einer Firewall Datenverschlüsselung 13

14 Verbreitung von Schadenssoftware Internet und als Medien zur Verbreitung von Schadenssoftware (z. B. in Mails bzw. Anhängen) Viren Trojaner Würmer Spam etc.

15 Authentisierung Passwortaufbau Passwortvergabe Passwortverwaltung Sanktionen Sonstiges 15

16 Zugriffskontrolle Definition Beispielsmaßnahmen Benutzerprofile Zugriffsbeschränkungen Zugriffsprotokollierung Datenverschlüsselung Datenträgeraufbewahrung datenschutzgerechte Entsorgung 16

17 Protokollierung Begriff Rechtsgrundlage Anforderungen Aufzeichnungsumfang Aufbewahrung Auswertung Einbindung der Personalvertretung 17 Zugriffsschutzverletzungen

18 Verschlüsselungsarten Symmetrische Verfahren ein Schlüssel zum Ver- und Entschlüsseln schnelle Datenübertragung Gefahr der Weitergabe des Schlüssels Asymmetrische Verfahren Private- und Public Key Public Key wird öffentlich bekannt gegeben elektronische Signatur 18

19 Datenträgerentsorgung Datenträgerarten Sicherheitsnormen DIN DIN Entsorgungsmaßnahmen Entsorgung in Form der Auftragsdatenverarbeitung 19

20 Weitergabekontrolle Definition Beispielsmaßnahmen Festlegung der Berechtigten Protokollierung Festlegung der Versandarten Sicherer Datenträgertransport Virenschutz Verschlüsselung 20

21 Eingabekontrolle Definition Beispiele von Maßnahmen elektronische Signatur Plausibilitätskontrollen Aufbewahrungsfristen Protokollierung Protokollauswertung Eingabebelege 21

22 Elektronische Signatur Wahrung der Authentizität und Integrität rechtliche Voraussetzungen Zertifikate Trust Center PKI Chipkarte 22

23 Zertifikate … … binden die Identität an einem Public Key vergleichbar mit Personaldokumenten (Ausweis, Reisepass, Führerschein, …) Signiert von einer vertrauten Certificate Authority oder auch Trust Center Erlaubt die Überprüfung der wahren Identität Name wird gebunden an Public Key Authentizität des Zertifikats wird garantiert durch die Signatur (mit privaten Schlüssel) der CA o. Trust Centers Ablaufdatum Subject Name: Internet, Organization, Bob Expires: 12/18/2000 Signed: CAs signature Serial #: Public key: Other data: Spez. Attribute Private Public

24 Auftragskontrolle Definition Beispiele von Maßnahmen Auswahl des Auftragnehmers Vertragsgestaltung Rechte und Pflichten Sicherheitsmaßnahmen Kontrolle der Vertragsausführung 24

25 Verfügbarkeitskontrolle Definition Beispiele von Maßnahmen Risiko- und Schwachstellenanalyse Anwenderschulung Brandschutz Datensicherung Wartung und Fernwartung 25

26 Trennungskontrolle bzw. Trennungsgebot Definition Beispiele von Maßnahmen Dokumentation der Datenbank logische Datenbanken physikalische Trennung Trennung Produktion/Test Pseudonyme 26

27 Vielen Dank für Ihre Aufmerksamkeit! Haben Sie noch Fragen? 27


Herunterladen ppt "Datensicherheits- maßnahmen Mitarbeiterschulung © Deichmann+Fuchs Verlag GmbH & Co. KG | Datensicherheitsmaßnahmen."

Ähnliche Präsentationen


Google-Anzeigen