Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Schulung: Umsetzung Datensicherheitsverordnung 06. März 2008 [Stand 25. März 2008] Dr. iur. René Huber, Datenschutzbeauftragter des Kantons Zug Reto Zbinden,

Ähnliche Präsentationen


Präsentation zum Thema: "Schulung: Umsetzung Datensicherheitsverordnung 06. März 2008 [Stand 25. März 2008] Dr. iur. René Huber, Datenschutzbeauftragter des Kantons Zug Reto Zbinden,"—  Präsentation transkript:

1 Schulung: Umsetzung Datensicherheitsverordnung 06. März 2008 [Stand 25. März 2008] Dr. iur. René Huber, Datenschutzbeauftragter des Kantons Zug Reto Zbinden, Swiss Infosec AG In Zusammenarbeit mit René Loepfe, Leiter AIO, Kanton Zug

2 2Schulung: Umsetzung der Datensicherheitsverordnung2 Agenda Begrüssung / Vorstellung / Zielsetzung Datensicherheit – Berichterstattung in den Medien Datensicherheit – aus der Praxis des AIO Rechtliche Grundlagen: Bund und Kanton Zug So erstellen Sie den Massnahmenkatalog (Teil I) PAUSE (15') So erstellen Sie den Massnahmenkatalog (Teil II) So schulen Sie Ihre Mitarbeitenden Teil I PAUSE (15') So schulen Sie Ihre Mitarbeitenden Teil II Hier erhalten Sie zusätzliche Hilfe Fragen und Antworten

3 3Schulung: Umsetzung der Datensicherheitsverordnung3 1. Begrüssung / Vorstellung

4 4Schulung: Umsetzung der Datensicherheitsverordnung4 2. Zielsetzung Gemäss Datensicherheitsverordnung (DSV) müssen datenbearbeitenden Organe in der Lage sein, die Vorgaben der DSV rechtskonform und grundsätzlich selbstständig umzusetzen. Heute erfahren Sie, was Sie wie tun müssen.

5 5Schulung: Umsetzung der Datensicherheitsverordnung5 2. Zielsetzung Was wir nicht wollen:

6 6Schulung: Umsetzung der Datensicherheitsverordnung6 3. Datensicherheit Berichterstattung in den Medien (1) Patientendaten im Müll: 12 kg Unterlagen der CSS auf der Strasse gefunden Ein Anwohner will einen fremden Kehrichtsack ordnungsgemäss in den Container werfen. Als der Sack dabei reisst, fallen gut 12 kg Krankenunterlagen der Krankenkasse CSS auf die Strasse, darunter Krankengeschichten, Versicherungsabschlüsse, Mandatserteilungen, usw. Einsatzprotokoll im Internet Die Hessische Polizei stellt versehentlich ein 13 Seiten langes Einsatzprotokoll von Verkehrskontrollen ins Netz. Darin finden sich Namen, Geburtsdaten, aktuelle Adressen der Kontrollierten, eventuelle Vorstrafen, Automarke, Kennzeichen sowie Gesetzesverstösse. Die Daten standen ab Februar 2006 fast ein Jahr im Netz. Amerikanische Zustände privacyrights.org schätzt, dass in den USA insgesamt 217,551,182 Personen vom Diebstahl oder Verlust ihrer besonders schützenswerten Personendaten betroffen sind.

7 7Schulung: Umsetzung der Datensicherheitsverordnung7 3. Datensicherheit Berichterstattung in den Medien (2) Pannenland Grossbritannien Januar 2008 Dem britischen Verteidigungsministerium werden auf einem Notebook Informationen über rund potenzielle Rekruten gestohlen. Dezember 2007 Daten von drei Millionen Führerscheinkandidaten und Fahrzeugen werden versehentlich gelöscht. November 2007 Das Nationalen Gesundheitssystems (NHS) verliert vertraulichen Informationen von kranken Kindern. November 2007 Die Steuerbehörden verlieren zwei CDs mit den persönlichen Daten von 25 Millionen Personen, bzw. 7,25 Millionen Familien, die Kindergeld beziehen.

8 8Schulung: Umsetzung der Datensicherheitsverordnung8 3. Datensicherheit Berichterstattung in den Medien (3) Telefonauskunft Die Auskunft der Telekom schlampte 2002 und gab die Adresse des Frauenhauses Tübingen heraus. Daraufhin musste die ganze Einrichtung schliessen, weil die Sicherheit der Frauen nicht mehr gewährleistet war. Brief von der Bank Eine englische Kundin der britischen Grossbank HBOS bekam 2007 nicht nur ihren eigenen Kontoauszug zugeschickt, sondern gleich fünf Briefe mit insgesamt rund Seiten, die Angaben zu den Finanzverhältnissen von Kunden enthielten. Grösster Fall Die Kaufhauskette TJX Companies Inc. gibt 2007 öffentlich bekannt, dass sein Datenverarbeitungssystem für Kreditkartendaten gehackt wurde. Es wurden 45,7 Millionen Kreditkarten-Datensätze und über Kundenunterlagen zur Warenrückgabe (samt Kundenname und Führer- scheindaten) gestohlen.

9 9Schulung: Umsetzung der Datensicherheitsverordnung9 4. Rechtliche Grundlagen: Überblick

10 4.1 Datenschutzprinzipien Offenheitsprinzip Prinzip individuellen Zugangs Prinzip individueller Teilhaberschaft Prinzip der Adäquanz Prinzip der Verwendungsbeschränkung Prinzip der Weitergabebeschränkung Prinzip des Datenverantwortlichen 10Schulung: Umsetzung der Datensicherheitsverordnung

11 11 5. DSV Datensicherheitsverordnung Kanton Zug Bezweckt den Schutz von Daten Gilt für alle dem DSG unterstellten Organe Regelt das Verfahren und die Zuständigkeiten zur Gewährleistung der Sicherheit von Daten Schulung: Umsetzung der Datensicherheitsverordnung11

12 12 5. Datensicherheitsverordnung (1) § 1 Gegenstand und Geltungsbereich 1 Diese Verordnung regelt das Verfahren und die Zuständigkeiten zur Gewährleistung der Sicherheit von Daten, die mit elektronischen Hilfsmitteln oder auf andere Weise bearbeitet werden. 2 Sie gilt für die dem Datenschutzgesetz unterstellten Organe. Für Organe, die für den Kanton oder die Gemeinden öffentliche Aufgaben erfüllen, ist sie nur im Rahmen der übertragenen Aufgaben anwendbar. § 2 Zweck der Datensicherheit Die Datensicherheit bezweckt den Schutz von Daten insbesondere gegen: a) zufällige Bekanntgabe, Vernichtung oder Verlust; b) technische Fehler; c) unbefugte Kenntnisnahme; d) unbefugte Bearbeitung; e) Fälschung, Entwendung oder widerrechtliche Verwendung. 12Schulung: Umsetzung der Datensicherheitsverordnung

13 13 5. Datensicherheitsverordnung (2) § 3 Überprüfung der Datensicherheit Die Organe sind verantwortlich für die Überprüfung der Sicherheit der Daten in den Phasen ihrer Erhebung, Bearbeitung, Aufbewahrung und Löschung. Für die Überprüfung der Sicherheit der Daten in der Phase der Archivierung ist das Archiv zuständig. § 4 Sicherheitsmassnahmen 1 Die Organe bestimmen die zum Schutz der Daten erforderlichen Sicherheitsmassnahmen, wie Zugangs-, Benutzer-, Zugriffs- oder Bearbeitungskontrollen. 2 Sie berücksichtigen dabei den gegenwärtigen Stand der Technik sowie die Grundsätze der Verhältnismässigkeit und Wirtschaftlichkeit. 3 Sie erstellen einen Massnahmenkatalog, der Auskunft gibt über den Zweck und die Kosten der vorgeschlagenen Massnahmen sowie den Zeitbedarf für deren Umsetzung. 13Schulung: Umsetzung der Datensicherheitsverordnung

14 14 5. Datensicherheitsverordnung (3) § 5 Umsetzung 1 Die Organe beantragen die Umsetzung des Massnahmenkatalogs – je nach Zuständigkeit – bei den Direktionen, dem Obergericht, dem Verwaltungsgericht, der Staatskanzlei sowie den vorgesetzten gemeindlichen Stellen. Bei ausgelagerter Datenbearbeitung gehen die betreffenden Organe sinngemäss vor. 2 Die Organe sorgen für die Instruktion der Mitarbeitenden und überprüfen alle vier Jahre die Wirksamkeit der bisherigen Massnahmen. § 6 Regierungsrat Der Regierungsrat erlässt eine Weisung zur Überprüfung der Datensicherheit. 14Schulung: Umsetzung der Datensicherheitsverordnung

15 Überprüfung Datensicherheit Organe bestimmen zuständige Personen Durchführung der Prüfung / Vorgehensmethodik Folgende Aufgaben werden von den zuständigen Personen der Organe wahrgenommen: Überprüfung der Datensicherheit Erstellung des Massnahmenkatalogs Beantragen die Bewilligung der vorgesehenen Massnahmen Instruktion der Mitarbeitenden Schulung: Umsetzung der Datensicherheitsverordnung15

16 Überprüfung der Datensicherheit: Weisung Die Organe überprüfen die Datensicherheit in denjenigen Bereichen, die sie selber beeinflussen können: Zutrittschutz zu Büros, Zugriffschutz von Fachanwendungen, Aufbewahrung und Entsorgung von Datenträgern etc. Die Sicherstellung eines angemessenen Sicherheitsniveaus im Bereich Netzwerke, Server, Arbeitsplatzeinrichtungen sowie organübergreifender Fachanwendungen erfolgt durch die jeweiligen Informatikleistungs- erbringer. Sofern es sich bei den Informatikleistungserbringern um externe Dritte handelt, sind diese entsprechend vertraglich zu verpflichten. Die Datenschutzstelle berät die Organe in grundsätzlichen Fragen der Datensicherheit. Für spezifische informatiktechnische Fragen können sich kantonale Organe an das AIO bzw. gemeindliche Organe an ihren jeweiligen Informatikleistungserbringer wenden. Schulung: Umsetzung der Datensicherheitsverordnung16

17 17 5.3a Vorgehen: Ermitteln der Schutzobjekte Zu beurteilende Schutzobjekte werden ermittelt und auf einer Liste erfasst: o Personendaten, die mit elektronischen Mitteln und/oder manuell bearbeitet werden Wie und in welchen Systemen werden Personendaten bearbeitet, gespeichert, gelagert? In welchen Räumen werden Personendaten bearbeitet ? Verantwortungsbereich der Datensammlungen innerhalb der jeweiligen Amtstelle? Wer? siehe Register! Verantwortungsbereich der Applikation innerhalb der jeweiligen Amtsstelle? Wer? Schulung: Umsetzung der Datensicherheitsverordnung17

18 18 5.3a Vorgehen: Schutzobjekte Schulung: Umsetzung der Datensicherheitsverordnung Liste der Datensammlungen aktuell? Register der Datensammlungen, Volltextsuche

19 Bsp. (1) 19Schulung: Umsetzung der Datensicherheitsverordnung

20 Bsp. (2): 20Schulung: Umsetzung der Datensicherheitsverordnung

21 21 5.3b Vorgehen: Überprüfung (§ 3 DSV) Bezüglich aller Schutzobjekte (Einträge auf Liste aus erstem Schritt) sind die Sicherheitsanforderungen auf ihre Einhaltung hin zu überprüfen (siehe hinten), sofern diese nicht im jeweiligen Verantwortungsbereich eines Informatikleistungserbringers liegen. Bsp.: Sind Zutrittsorte gesichert und Systeme mit sicheren Passwörtern geschützt und werden diese periodisch geändert? Pro Memoria MA erhalten ein Set einfach umzusetzender Merkblätter, die auf der Homepage der Datenschutzstelle zur Verfügung steht Schulung: Umsetzung der Datensicherheitsverordnung21

22 22 5.3c Vorgehen: Massnahmenkatalog (§ 4 DSV) Zu ergreifende Sicherheitsmassnahmen sind in einem Massnahmenkatalog aufzulisten (siehe Muster im Anhang). Für Auswahl konkreter Massnahmen kann auf Arbeitsunterlagen und Massnahmenvorschläge des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) sowie des Informatikstrategieorgans Bund zurückgegriffen werden. Vollständiger Massnahmenkatalog gibt Auskunft über Zweck, Kosten sowie Zeitbedarf für Umsetzung der Massnahmen. Schulung: Umsetzung der Datensicherheitsverordnung22

23 23 5.3c Vorgehen: Muster Massnahmenplan Schulung: Umsetzung der Datensicherheitsverordnung

24 24 5.3d Vorgehen: Umsetzung Zuständige Organe entscheiden, welche Massnahmen bis wann umgesetzt werden. Kostenwirksame Massnahmen werden im Rahmen des Budgets umgesetzt, einfache Massnahmen ohne Kostenfolgen umgehend. Verantwortliche Person für Instruktion der Mitarbeitenden stellt sicher, dass Mitarbeitende informiert und ausgebildet werden. Organe überprüfen Wirksamkeit der Massnahmen alle vier Jahre. Schulung: Umsetzung der Datensicherheitsverordnung24

25 Zusammenfassung Zusammenfassung des Vorgehens Zuständige Personen für Datensicherheitsüberprüfung, Erstellung Massnahmenkatalog, Bewilligung der beantragten Massnahmen sowie Instruktion der Mitarbeitenden sind bestimmt. Erstellen Schutzobjektliste. Überprüfung der Datensicherheit, wo nötig mit entsprechenden Stellen koordiniert. Massnahmenkatalog wurde erarbeitet und der Bewilligungsinstanz zum Entscheid vorgelegt. Umzusetzende Massnahmen wurden von Bewilligungsinstanz beschlossen. Nicht kostenwirksame Massnahmen wurden umgehend in Angriff genommen. Kostenwirksame Massnahmen sind budgetiert, Mittel bewilligt, Arbeiten personell zugewiesen und zur Umsetzung freigegeben. Massnahmen sind umgesetzt. Schulung: Umsetzung der Datensicherheitsverordnung25

26 Sicherheitsanforderungen Die Sicherheitsanforderungen für Organe richten sich an die für die Überprüfung der Datensicherheit zuständigen Personen und nicht an die Benutzerinnen und Benutzer von Geräten an Informatikarbeitsplätzen. Für Letztere stehen auf der Homepage der kantonalen Datenschutzstelle diverse Merkblätter zur Verfügung. Die Organe überprüfen die Sicherheit ihrer Personendaten anhand der nachstehenden Sicherheitsanforderungen. 26Schulung: Umsetzung der Datensicherheitsverordnung

27 Sicherheitsanforderungen A1 (1) Papierdokumente werden mittels Aktenvernichter geshreddert (Maximalgrösse 4 x 80mm) und mit geeigneten Mitteln entsorgt. Elektronische Daten/Datenträger werden vernichtet: o Formatierung der Datenträger UND mindestens 2malige Überschreibung (Software) mit komplexen Zeichenketten (=nicht nur 0) oder o Entmagnetisierung (für magnetische Datenträger) oder o physische/mechanische Zerstörung der Disketten, CD/DVD, USB-Sticks, Streamertapes etc. Schulung: Umsetzung der Datensicherheitsverordnung27 Die Entsorgung von Datenträgern ist so geregelt, dass keine Rückschlüsse auf den Inhalt oder die gespeicherten Daten möglich sind. Reparaturen von Geräten sind von Fall zu Fall zu regeln (vertrauliche Daten sind vorher zu löschen).

28 Sicherheitsanforderungen A1 (2) Wo Material vor der Entsorgung gesammelt wird, ist die Sammlung unter Verschluss zu halten. Achtung: o Gilt auch für Datenträger in Multifunktionsgeräten (Scanner, Drucker, PDA, Foto-Geräte etc.) o Die Vorgaben bezüglich Archivierung sind einzuhalten Schulung: Umsetzung der Datensicherheitsverordnung28

29 Sicherheitsanforderungen A2 Schulung: Umsetzung der Datensicherheitsverordnung29 Sämtliche Zugriffe auf Fachanwendungen sind mit einem Authentifikationsprozess bzw. sicheren Passwörtern geschützt. Die Passwörter erzwingen einen automatischen, periodischen Passwortwechsel Alle Anwendungen sind durch eine Autorisierung bzw. ein sicheres Passwort geschützt. Der Zugang ist, sofern technisch möglich, erst nach einer individuellen Identifikation (z.B. Namen oder User-ID) und Authentisierung (z.B. durch Passwort) des Nutzungsberechtigten möglich. Der Zugang wird protokolliert. Die Fachanwendungen erzwingen einen automatischen, periodischen Passwortwechsel mindestens alle 90 Tage und ein sicheres Passwort. Siehe Verordnung über die Benutzung von elektronischen Kommunikationsmitteln im Arbeitsverhältnis vom und Merkblatt Passwortschutz.

30 Sicherheitsanforderungen A3 (1) Identität der Berechtigten wird formell geprüft. Papierablagen und Datenträger sind durch Dritte nicht zugänglich, weil unter Verschluss oder in Räumen mit Zutrittsbeschränkung. Es existiert ein Zutritts- bzw. ein Schlüsselmanagement (inkl. Reserve-Schlüssel) und Weisungen wie vertrauliche Dokumenten abzulegen sind. Versendung von Dokumente erfolgt durch persönliche Adressierung. Schulung: Umsetzung der Datensicherheitsverordnung30 Es dürfen keine Information an Unberechtigte weitergegeben werden. Vertrauliche Dokumente in gedruckter Form sowie elektronische Datenträger werden in den dafür vorgesehenen Schränken oder im Pult eingeschlossen. Nicht mehr benötigte vertrauliche Dokumententwürfe werden vernichtet.

31 Sicherheitsanforderungen A3 (2) Prinzipiell werden keine Dokumente/Datenträger an öffentlich zugängliche Orte versendet (z.B. gemeinsam genutzte Fax- Geräte). Papierablagen und Datenträger sind durch Dritte nicht zugänglich, sondern unter Verschluss oder in Räumen mit Zutrittsbeschränkung aufzubewahren. Bei Anwesenheit von Service-Personal (inkl. Reinigungspersonal) in zutrittsberechtigten Räumen sind Dokumente/Datenträger nicht zugänglich aufzubewahren. Für Entsorgung siehe auch Sicherheitsanforderung A1 Achtung: Vorsicht beim Drucken an Netzwerkdruckern (ev. Passwortschutz aktivieren). 31Schulung: Umsetzung der Datensicherheitsverordnung

32 Sicherheitsanforderungen A4 (1) Für jede Applikation sind die geschäftskritischen Funktionen bekannt. Für jede Applikation und Hardware sind die sicherheitstechnischen Funktionen bekannt und es ist dokumentiert wie diesbezüglich die Applikation und Hardware einzurichten (Parameter usw.) sind. Es existieren Checklisten wie die Applikation und Hardware auf ihre Funktionsfähigkeit überprüft werden muss. Es existieren Checklisten wie die Vollständigkeit der Daten überprüft werden kann. Schulung: Umsetzung der Datensicherheitsverordnung32 Bei Neuinstallationen und Releasewechseln von Hardware und Software werden mindestens alle geschäftskritischen und sicherheitstechnisch wichtigen Funktionen auf ihre Funktionstüchtigkeit überprüft.

33 Sicherheitsanforderungen A4 (2) Diese Checklisten werden bei Neuinstallationen, Updates und Releasewechseln eingesetzt und dienen der Abnahme der Installation. Vor einer Neu-Installation bzw. Release-Wechsel werden die Daten gesichert. 33Schulung: Umsetzung der Datensicherheitsverordnung

34 Sicherheitsanforderungen A5 Pro Anwendung ist eine Liste von Mitarbeitern (oder mindestens Funktionen) vorhanden, die auf die Applikation und Daten zugreifen müssen. Es ist sichergestellt, dass Zugriffe auf ein System oder auf Fachanwendungen und deren Daten auf Mitarbeiter beschränkt wird, die diese Daten zur Arbeitserledigung auch benötigen (Need to know -Prinzip). Sämtliche Zugriffe auf sensitive Daten sind nur von autorisierten Personen möglich. Die Zugriffsliste wird jährlich überprüft und bei personellen Veränderungen sofort angepasst. Schulung: Umsetzung der Datensicherheitsverordnung34 Es ist sichergestellt, dass nur Berechtigte Zugriff auf ein System oder bestimmte Fachanwendungen und deren Daten haben.

35 Sicherheitsanforderungen A6 Die sicherheitsrelevanten Prozesse sind bekannt, und die entsprechenden Dokumentation und Weisungen sind aktuell: o Erfassen, Mutieren und Löschen von Daten o Erfassen, Mutieren und Löschen von Zugriffsberechtigungen o Schlüssel- und Zutrittsmanagement o Anträge für Änderungen der Applikationen/Hardware (siehe auch Sicherheitsanforderung A7) Schulung: Umsetzung der Datensicherheitsverordnung35 Sicherheitsrelevante Prozesse (Onlinezugriffe, Mutationsprozesse jeglicher Art) werden von der für die jeweilige Datensammlung zuständigen Stellen organisiert, umgesetzt und dokumentiert.

36 Sicherheitsanforderungen A7 (1) Es ist bekannt, wer einen Änderungsauftrag an die Betriebsorganisation stellen darf und wer den Auftrag genehmigen muss. Aufträge an den Informatikbetreiber werden schriftlich formuliert und beinhalten im Minimum: - Antragsteller - Kontaktperson für Abstimmungen - Antrag (möglichst detailliert, mit Inhalt/Termine) - Genehmigung (4-AugenPrinzip) Der Informatikbetreiber dokumentiert / quittiert schriftlich die durchgeführten Änderungen. Schulung: Umsetzung der Datensicherheitsverordnung36 Änderungsaufträge an die Betriebsorganisation des Informatikbetreibers erfolgen schriftlich.

37 Sicherheitsanforderungen A7 (2) Anträge und Korrespondenz werden für 5 Jahre abgelegt. Bevor Änderungen genehmigt und durchgeführt werden, muss durch Prüfung und Tests sichergestellt werden, dass das Sicherheitsniveau während und nach der Änderung erhalten bleibt. 37Schulung: Umsetzung der Datensicherheitsverordnung

38 Sicherheitsanforderungen A8 (1) Die Fachanwendungen protokollieren im Detail: o User-ID, Arbeitsstation, Zeitpunkt, Applikation (/Aktivität) o gescheiterte Zugriffsversuche durch Eingabe von User-ID (inkl. User-ID, Arbeitsstation, Zeitpunkt) o gescheiterte Objektzugriffe (inkl. User-Id, Arbeitsstation, Zeitpunkt) o Änderungen der Zugriffsberechtigung (welche Rechte sind durch welche User-Id und Zeitpunkt verändert worden) 38 Folgende Aktivitäten in den Fachanwendungen werden aufgezeichnet: - gescheiterte Authentifikationsversuche - gescheiterte Objektzugriffe - Vergabe und Änderungen von Privilegien und - alle Aktionen, die erhöhte Privilegien erfordern. Schulung: Umsetzung der Datensicherheitsverordnung

39 Sicherheitsanforderungen A8 (2) Die Protokolle werden mindestens monatlich überprüft (speziell fehlgeschlagene Authentifizierungen). Die Protokolle gescheiterter Zugriffe werden mindestens 6 Monate aufbewahrt. 39Schulung: Umsetzung der Datensicherheitsverordnung

40 Sicherheitsanforderungen A9 ALLE vordefinierte Accounts, Initialpasswörter, Privilegien oder Zugriffsrechte werden sofort geprüft und nötigenfalls angepasst oder gelöscht. Reset-Prozeduren (mit Neu-Generierung von Standardpasswörtern) werden überprüft/angepasst. Die Sicherheitseinrichtungen werden aktiviert (Verschlüsselung, Anmeldeprozeduren, Anti-Viren-Programme,…). Notwendige System-Passwörter sind unter Verschluss zu halten (Passwort-Management). Schulung: Umsetzung der Datensicherheitsverordnung40 Bei der Installation von Fachanwendungen werden vordefinierte Accounts, Initialpasswörter, Privilegien oder Zugriffsrechte sofort kontrolliert und nötigenfalls angepasst oder gelöscht.

41 Sicherheitsanforderungen A10 Es existiert eine Liste der zu benutzenden Datenübertragungsein- richtungen und die einzuhaltenden Prozeduren, die Vertraulichkeit und Integrität garantieren. Die Verteilung von Daten, Benutzernamen, kritischen Systemdaten und Passwörtern wird dokumentiert und gegebenenfalls quittiert. Es werden nur Daten übermittelt, die auch benötigt werden (Need- to-Know). Passwörter werden verschlüsselt oder persönlich übergeben. Datenübertragungen werden durch Hashwerte oder mindestens durch Zählung der übertragenen Datensätze sichergestellt. 41 Die Vertraulichkeit und Integrität der Datenübertragung von Benutzernamen, Passwörtern, Schlüsseln oder andere kritische Systemdaten aus Fachanwendungen ist bei der Übertragung über Netze sichergestellt. Schulung: Umsetzung der Datensicherheitsverordnung

42 Sicherheitsanforderungen A11 Siehe Text oben Systemzugriffsperren dürfen nicht de-aktiviert werden Schulung: Umsetzung der Datensicherheitsverordnung42 Systemzugriffsperren werden nach einer definierten Zeit (in der Regel 10 Minuten) automatisch aktiviert. Eine manuelle Aktivierung ist ebenfalls möglich. Falls eine entsprechende Sperrung aus technischen Gründen nicht möglich ist, ist der Zugang zu unbeaufsichtigten Arbeitsplätze geschützt (z.B. Abschliessen des Raumes).

43 Sicherheitsanforderungen A12 (1) Mobile Informatikmittel die ausserhalb des eigenen Büro verwendet werden sind speziell zu schützen (siehe auch oben). Schulung: Umsetzung der Datensicherheitsverordnung43 Da mobile Informatikmittel (Notebooks, elektronische Agenden, Mobiltelefone etc.) nicht nur im eigenen Büro verwendet werden, sondern auch ausserhalb des Arbeitsplatzes, sind sie mit geeigneten technischen Massnahmen zu schützen (z.B. Pre-Boot-Authentifikation, sichere Volumelabels, Diskverschlüsselung etc.). Die Schutzvorrichtungen (Antivirus, Firewall) sind regelmässig (mindestens wöchentlich) zu aktualisieren. Die Benutzer sind in Fragen des Umgangs mit vertraulichen Daten in der Öffentlichkeit geschult. Für die Fernwartung sind speziell überwachte Accounts eingerichtet. Da mobile Informatikmittel (Notebooks, elektronische Agenden, Mobiltelefone etc.) nicht nur im eigenen Büro verwendet werden, sondern auch ausserhalb des Arbeitsplatzes, sind sie mit geeigneten technischen Massnahmen zu schützen (z.B. Pre-Boot-Authentifikation, sichere Volumelabels, Diskverschlüsselung etc.). Die Schutzvorrichtungen (Antivirus, Firewall) sind regelmässig (mindestens wöchentlich) zu aktualisieren. Die Benutzer sind in Fragen des Umgangs mit vertraulichen Daten in der Öffentlichkeit geschult. Für die Fernwartung sind speziell überwachte Accounts eingerichtet.

44 Sicherheitsanforderungen A12 (2) Neue Mitarbeiter müssen interne Regelungen, Gepflogenheiten und Verfahrenweisen im IT-Einsatz (inkl. Sicherheitsmassnahmen) und Datenschutz kennen und sind zeitnahe geschult worden. Die Schwachstellen der Office-Programme sind bei den Mitarbeitern bekannt: - Schwache Passwörter - OLE-Funktion (Dokumente enthalten versteckte Informationen über die Bearbeitung) - Autofill-Funktion …. Spezielle Accounts für die Fernwartung werden besonders überprüft und nach Möglichkeit nach dem Eingriff wieder blockiert bzw. mit einem neuen Passwort versehen. 44Schulung: Umsetzung der Datensicherheitsverordnung

45 Sicherheitsanforderungen A13 Internet / Personendaten werden nur verschlüsselt übermittelt. Der Informatikbetreiber oder das AIO gibt Auskunft über Verschlüsselungsoftware. Laptops, PDA und Speichermedien: ausserhalb von geschützten Räumen sind persönliche Daten auf Speichermedien zu verschlüsseln. Die Zugangspasswörter sind sorgfältig und getrennt von den Speichermedien aufzubewahren/zu übermitteln. Schulung: Umsetzung der Datensicherheitsverordnung45 Internet/ Personendaten werden nur verschlüsselt übermittelt

46 Sicherheitsanforderungen A14 (1) Pro Fachanwendung ist dokumentiert, welche Ausweichlösungen für kurz- und langfristige Ausfälle zur Verfügung stehen. Die Behandlung von Ausfällen und das konkrete Vorgehen sind vom Betreiber in Zusammenarbeit mit dem zuständigen Organ definiert und vereinbart worden. Speziell ist die Reaktionszeit und die Verantwortlichkeiten zu klären. Schulung: Umsetzung der Datensicherheitsverordnung46 Pro Fachanwendung ist festgelegt, welche Ausweichlösung zur Verfügung steht. Die Behandlung von Stör-, Not- und Katastrophenfällen und das konkrete Vorgehen sind vom Betreiber in Zusammenarbeit mit dem zuständigen Organ definiert und vereinbart worden.

47 47 Es existieren Datensicherungspläne, die Auskunft geben über Speicherort der Daten im Normalbetrieb, Bestand der gesicherten Daten, Zeitpunkt der Datensicherung, Art und Umfang, Verfahren für die Rekonstruktion der Daten. Sicherungskopien sind in zutrittsgeschützten Räumen, ausserhalb des Arbeitsplatzes und Computerraum aufbewahrt. Backup-Prozeduren werden jährlich geprüft. 5.5 Sicherheitsanforderungen A14 (2) 47Schulung: Umsetzung der Datensicherheitsverordnung

48 Ist der Mensch das Risiko? Schulung: Umsetzung der Datensicherheitsverordnung48

49 Hier entstehen Gefahren… MENSCH GEBÄUDE SERVER ZENTRALE DATEN ÜBERMITTLUNG PC/DRUCKER LOKALE DATEN 49Schulung: Umsetzung der Datensicherheitsverordnung

50 50 6. Detailbesprechung: Benutzerinstruktion (1) Der Mensch bildet das Hauptrisiko. Der Mensch ist es aber auch, der durch gezielte Tätigkeiten die Risiken entschärfen bzw. die Risiken wahrnehmen kann. Erkennen dieser zentralen Rolle des Menschen. Hauptbeeinflussungsfaktoren: o Sensibilisierung o Mobilisierung o Motivierung o Ausbildung o Information Schulung: Umsetzung der Datensicherheitsverordnung50

51 51 6. Detailbesprechung: Benutzerinstruktion (2) Ziele o Sicherheitsziele und Regeln müssen klar und eindeutig formuliert sein. o Alle Mitarbeitenden müssen in der Lage sein, die gestellten Anforderungen zu erfüllen, nämlich das Sicherheitsziel zu erreichen. o Alle Mitarbeitenden müssen in der Lage sein, sichere Arbeitshandlungen von unsicheren Arbeitshandlungen unterscheiden zu können. o Alle Mitarbeitenden müssen wissen, was sie zu tun haben, um unsichere Arbeit zu verhindern. o Alle Mitarbeitenden müssen wissen, was sie zu tun haben, wenn sie unsichere Arbeit nicht verhindern konnten. o Alle Mitarbeitenden müssen die Konsequenzen unsicherer Arbeitshandlungen für den Betrieb genau kennen. Schulung: Umsetzung der Datensicherheitsverordnung51

52 52Schulung: Umsetzung der Datensicherheitsverordnung52 6. Detailbesprechung: Benutzerinstruktion (5) Die Ausbildung der Mitarbeitenden soll bis Ende September 2008 erfolgen. Der Nachweis soll bei Bedarf durch die Organe erbracht werden können, wer, wann ausgebildet wurde. Durchsicht Merkblätter Durchsicht unterstützende Folien Welche weiteren Hilfsmittel gibt es? Wie werden Hilfsmittel eingesetzt?

53 53Schulung: Umsetzung der Datensicherheitsverordnung53 Merkblatt «Der sichere Umgang mit Daten» Bei der Bearbeitung von Personendaten bestehen gewisse Risiken und Gefahren: Schutz gegen Zugriff Unberechtigter Bei Abwesenheit Bei Arbeitsschluss Weitergabe, Speichern und Löschen von Daten Weitergabe von Daten Speichern von Daten Löschen von Daten Schutz vor Verlust Mobile Datenträger Viren: Schutz vor Viren und Vorgehen bei Auftreten von Viren

54 54Schulung: Umsetzung der Datensicherheitsverordnung54 Merkblatt «Der sichere Umgang mit Daten» Kommunikation über Netze Internet Intranet und internes Netz Datenspuren In Dateien Beim Surfen Rechtsgrundlagen Datenschutzgesetz des Kantons Zug Datensicherheitsverordnung Verordnung über die Benutzung von elektronischen Kommunikationsmitteln im Arbeitsverhältnis Personalgesetz und Personalverordnung Strafgesetzbuch

55 55Schulung: Umsetzung der Datensicherheitsverordnung55 Merkblatt «Der sichere Umgang mit Daten» Weitere zusätzliche Hinweise DSB Kanton Zug: DSB Kanton Zürich: Lernprogramm zu Datensicherheit Grobanalyse getroffener Massnahmen für Datenschutz und Informatiksicherheit https://review.datenschutz.ch/review/index.php https://review.datenschutz.ch/review/index.php Eidg. Datenschutz- und Öffentlichkeitsbeauftragter:

56 56Schulung: Umsetzung der Datensicherheitsverordnung56 Merkblatt «Passwort» Passwort: Schutz vor dem Zugriff Unberechtigter Ein gutes – oder «starkes» Passwort mind. 8 oder besser aus 10 Zeichen enthält Zahlen, Buchstaben und Sonderzeichen kombiniert hat Gross- und Kleinbuchstaben können Sie sich gut merken, andere aber nicht erraten, zum Beispiel Sonn**EN00schein, fRan?ziska57 besteht nicht nur aus Wörtern – auch nicht in einer Fremdsprache – oder Namen Anleitung für sichere Passwörter Bilden Sie einen Satz: «Im August schien die Sonne nur 1x!» ergibt das starke Passwort:

57 57Schulung: Umsetzung der Datensicherheitsverordnung57 Merkblatt «Passwort» Handhabung des Passwortes Halten Sie das Passwort geheim Ändern Sie das Passwort spätestens nach vier Monaten Verwenden Sie für verschiedene Anwendungen verschiedene Passwörter Keine Weitergabe an Mitarbeiter oder Dritte Verwenden Sie privat und geschäftlich andere Passwörter Wichtige zusätzliche Informationen zum Passwort Hier können Sie überprüfen, wie gut Ihr Passwort ist: https://review.datenschutz.ch/passwortcheck/check.php https://review.datenschutz.ch/passwortcheck/check.php

58 58Schulung: Umsetzung der Datensicherheitsverordnung58 Merkblatt «Der sichere Umgang mit » Eile mit Weile! Ein Klick und Ihr Mail ist unwiderruflich weg Wissen Sie wirklich, wer der Adressat ist? Versand innerhalb des verwaltungseigenen Netzes Endet die Adresse auf «.zg.ch», erfolgt die Zustellung über das eigene Netz Versand via Internet Erhalt von s Mails von zweifelhafter Herkunft sind ungeöffnet zu löschen Ebenso ungeöffnet zu löschen sind Dateien mit der Endung «.scr», ausführbare Dateien («.exe», «.bat», «.vbs» etc.) und Bilder von zweifelhafter Herkunft Fehlende Gewissheit über Identität des Absenders erfordert telefonisches Nachfragen beim Absender

59 59Schulung: Umsetzung der Datensicherheitsverordnung59 Merkblatt «Der sichere Umgang mit » Vorgehen bei Ferienabwesenheit Eingehende s nicht automatisch an eine -Adresse ausserhalb des eigenen Netzes weiterleiten Absenderinnen und Absender von s mit einer automatischen Antwort über Ihre Ferienabwesenheit und Ihre Stellvertretung informieren Wichtige zusätzliche Informationen im Umgang mit Private Nutzung von s? Zur Verschlüsselung von [Office-] Dokumenten

60 60Schulung: Umsetzung der Datensicherheitsverordnung60 «Kundenkontakt» Identität von Anfragenden Datenbekanntgaben per Telefon Anfragen per Datenbekanntgabe per Fax oder SMS Voraussetzungen von Datenbekanntgaben Amtsgeheimnis gilt grundsätzlich auch zwischen den verschiedenen Stellen innerhalb der Verwaltung Personendaten dürfen anderen Stellen grundsätzlich nur dann bekanntgegeben werden, wenn eine entsprechende ausdrückliche gesetzliche Grundlage dies zulässt oder die betroffene Person der Datenbekanntgabe zugestimmt hat An Privatpersonen darf ausschliesslich Auskunft über ihre eigenen Daten gegeben werden

61 61Schulung: Umsetzung der Datensicherheitsverordnung61 «Kundenkontakt» Einsichtsrecht der Betroffenen Jede betroffene Person hat das Recht, ihre eigenen Daten einzusehen und grundsätzlich kostenlose Kopien ihrer Daten zu verlangen Jede betroffene Person hat das Recht, falsche Daten berichtigen zu lassen Die Betroffenen haben das Recht zu wissen, zu welchem Zweck und auf welcher Rechtsgrundlage Daten über sie bearbeitet und an wen sie weitergegeben werden Auskünfte an Betroffene über ihre eigenen Daten müssen speditiv erfolgen und vollständig und richtig sein. Der anfragenden Person entstehen grundsätzlich keinerlei Kosten. Die Beantwortung der Anfrage erfolgt in der Regel schriftlich.

62 62Schulung: Umsetzung der Datensicherheitsverordnung62 Merkblatt «Mobile Geräte» Mobile Geräte (Laptops/Notebooks, PDA, Mobiltelefone/Smartphones, USB-Sticks etc.) Grundsätzlich dieselben Sicherheitsbestimmungen wie für feste Arbeitsstationen Schutz des Gerätes durch ein starkes Passwort Diverse Möglichkeiten zur drahtlosen Kommunikation (WLAN, Bluetooth, Infrarot, GSM etc.) Nutzung von öffentlichen «Hotspots» ist zu vermeiden Aktualisierung des Virenschutzes Umgehende Information an IT-Verantwortlichen bei Verlust oder Diebstahl Verschlüsselung SMS, MMS und Vertrauliches gehört nicht an die Öffentlichkeit

63 63Schulung: Umsetzung der Datensicherheitsverordnung63 8. Wichtige Links DSB Kanton Zug DSB Kanton Zürich Kantonale DSB Eidg. Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) Deutsches Grundschutzhandbuch

64 64Schulung: Umsetzung der Datensicherheitsverordnung64 9. Fragen und Antworten


Herunterladen ppt "Schulung: Umsetzung Datensicherheitsverordnung 06. März 2008 [Stand 25. März 2008] Dr. iur. René Huber, Datenschutzbeauftragter des Kantons Zug Reto Zbinden,"

Ähnliche Präsentationen


Google-Anzeigen