Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Schulung: Umsetzung Datensicherheitsverordnung 06. März 2008 [Stand 25

Veröffentlicht von:Berend Westenhaver Geändert vor über 10 Jahren

Ähnliche Präsentationen

Präsentation zum Thema: "Schulung: Umsetzung Datensicherheitsverordnung 06. März 2008 [Stand 25"—  Präsentation transkript:

1 Schulung: Umsetzung Datensicherheitsverordnung 06. März 2008 [Stand 25
Schulung: Umsetzung Datensicherheitsverordnung 06. März 2008 [Stand 25. März 2008] Dr. iur. René Huber, Datenschutzbeauftragter des Kantons Zug Reto Zbinden, Swiss Infosec AG In Zusammenarbeit mit René Loepfe, Leiter AIO, Kanton Zug

2 Agenda Schulung: Umsetzung der Datensicherheitsverordnung 2
08.30 Begrüssung / Vorstellung / Zielsetzung 08.35 Datensicherheit – Berichterstattung in den Medien 08.45 Datensicherheit – aus der Praxis des AIO 08.55 Rechtliche Grundlagen: Bund und Kanton Zug 09.00 So erstellen Sie den Massnahmenkatalog (Teil I) 09.30 PAUSE (15') 09.45 So erstellen Sie den Massnahmenkatalog (Teil II) 10.30 So schulen Sie Ihre Mitarbeitenden Teil I 10.45 PAUSE (15') 11.00 So schulen Sie Ihre Mitarbeitenden Teil II 11.40 Hier erhalten Sie zusätzliche Hilfe 11.45 Fragen und Antworten Schulung: Umsetzung der Datensicherheitsverordnung 2

3 1. Begrüssung / Vorstellung
Schulung: Umsetzung der Datensicherheitsverordnung 3

4 2. Zielsetzung Gemäss Datensicherheitsverordnung (DSV) müssen datenbearbeitenden Organe in der Lage sein, die Vorgaben der DSV rechtskonform und grundsätzlich selbstständig umzusetzen. Heute erfahren Sie, was Sie wie tun müssen. Schulung: Umsetzung der Datensicherheitsverordnung 4

5 2. Zielsetzung Was wir nicht wollen:
Schulung: Umsetzung der Datensicherheitsverordnung 5

6 3. Datensicherheit Berichterstattung in den Medien (1)
Patientendaten im Müll: 12 kg Unterlagen der CSS auf der Strasse gefunden Ein Anwohner will einen fremden Kehrichtsack ordnungsgemäss in den Container werfen. Als der Sack dabei reisst, fallen gut 12 kg Krankenunterlagen der Krankenkasse CSS auf die Strasse, darunter Krankengeschichten, Versicherungsabschlüsse, Mandatserteilungen, usw. Einsatzprotokoll im Internet Die Hessische Polizei stellt versehentlich ein 13 Seiten langes Einsatzprotokoll von Verkehrskontrollen ins Netz. Darin finden sich Namen, Geburtsdaten, aktuelle Adressen der Kontrollierten, „eventuelle Vorstrafen“, Automarke, Kennzeichen sowie Gesetzesverstösse. Die Daten standen ab Februar 2006 fast ein Jahr im Netz. Amerikanische Zustände privacyrights.org schätzt, dass in den USA insgesamt 217,551,182 Personen vom Diebstahl oder Verlust ihrer besonders schützenswerten Personendaten betroffen sind. Schulung: Umsetzung der Datensicherheitsverordnung 6

7 3. Datensicherheit Berichterstattung in den Medien (2)
Pannenland Grossbritannien Januar 2008 Dem britischen Verteidigungsministerium werden auf einem Notebook Informationen über rund potenzielle Rekruten gestohlen. Dezember 2007 Daten von drei Millionen Führerscheinkandidaten und Fahrzeugen werden versehentlich gelöscht. November 2007 Das Nationalen Gesundheitssystems (NHS) verliert vertraulichen Informationen von kranken Kindern. November 2007 Die Steuerbehörden verlieren zwei CDs mit den persönlichen Daten von 25 Millionen Personen, bzw. 7,25 Millionen Familien, die Kindergeld beziehen. Schulung: Umsetzung der Datensicherheitsverordnung 7 7

8 3. Datensicherheit Berichterstattung in den Medien (3)
Telefonauskunft Die Auskunft der Telekom schlampte 2002 und gab die Adresse des Frauenhauses Tübingen heraus. Daraufhin musste die ganze Einrichtung schliessen, weil die Sicherheit der Frauen nicht mehr gewährleistet war. Brief von der Bank Eine englische Kundin der britischen Grossbank HBOS bekam 2007 nicht nur ihren eigenen Kontoauszug zugeschickt, sondern gleich fünf Briefe mit insgesamt rund Seiten, die Angaben zu den Finanzverhältnissen von Kunden enthielten. Grösster Fall Die Kaufhauskette TJX Companies Inc. gibt 2007 öffentlich bekannt, dass sein Datenverarbeitungssystem für Kreditkartendaten gehackt wurde. Es wurden 45,7 Millionen Kreditkarten-Datensätze und über Kundenunterlagen zur Warenrückgabe (samt Kundenname und Führer-scheindaten) gestohlen. Schulung: Umsetzung der Datensicherheitsverordnung 8 8

9 4. Rechtliche Grundlagen: Überblick
Schulung: Umsetzung der Datensicherheitsverordnung 9

10 4.1 Datenschutzprinzipien
Offenheitsprinzip Prinzip individuellen Zugangs Prinzip individueller Teilhaberschaft Prinzip der Adäquanz Prinzip der Verwendungsbeschränkung Prinzip der Weitergabebeschränkung Prinzip des Datenverantwortlichen Schulung: Umsetzung der Datensicherheitsverordnung

11 5. DSV Datensicherheitsverordnung Kanton Zug
Bezweckt den Schutz von Daten Gilt für alle dem DSG unterstellten Organe Regelt das Verfahren und die Zuständigkeiten zur Gewährleistung der Sicherheit von Daten Schulung: Umsetzung der Datensicherheitsverordnung 11

12 5. Datensicherheitsverordnung (1)
§ 1 Gegenstand und Geltungsbereich 1 Diese Verordnung regelt das Verfahren und die Zuständigkeiten zur Gewährleistung der Sicherheit von Daten, die mit elektronischen Hilfsmitteln oder auf andere Weise bearbeitet werden. 2 Sie gilt für die dem Datenschutzgesetz unterstellten Organe. Für Organe, die für den Kanton oder die Gemeinden öffentliche Aufgaben erfüllen, ist sie nur im Rahmen der übertragenen Aufgaben anwendbar. § 2 Zweck der Datensicherheit Die Datensicherheit bezweckt den Schutz von Daten insbesondere gegen: a) zufällige Bekanntgabe, Vernichtung oder Verlust; b) technische Fehler; c) unbefugte Kenntnisnahme; d) unbefugte Bearbeitung; e) Fälschung, Entwendung oder widerrechtliche Verwendung. Schulung: Umsetzung der Datensicherheitsverordnung 12

13 5. Datensicherheitsverordnung (2)
§ 3 Überprüfung der Datensicherheit Die Organe sind verantwortlich für die Überprüfung der Sicherheit der Daten in den Phasen ihrer Erhebung, Bearbeitung, Aufbewahrung und Löschung. Für die Überprüfung der Sicherheit der Daten in der Phase der Archivierung ist das Archiv zuständig. § 4 Sicherheitsmassnahmen 1 Die Organe bestimmen die zum Schutz der Daten erforderlichen Sicherheitsmassnahmen, wie Zugangs-, Benutzer-, Zugriffs- oder Bearbeitungskontrollen. 2 Sie berücksichtigen dabei den gegenwärtigen Stand der Technik sowie die Grundsätze der Verhältnismässigkeit und Wirtschaftlichkeit. 3 Sie erstellen einen Massnahmenkatalog, der Auskunft gibt über den Zweck und die Kosten der vorgeschlagenen Massnahmen sowie den Zeitbedarf für deren Umsetzung. Schulung: Umsetzung der Datensicherheitsverordnung 13

14 5. Datensicherheitsverordnung (3)
§ 5 Umsetzung 1 Die Organe beantragen die Umsetzung des Massnahmenkatalogs – je nach Zuständigkeit – bei den Direktionen, dem Obergericht, dem Verwaltungsgericht, der Staatskanzlei sowie den vorgesetzten gemeindlichen Stellen. Bei ausgelagerter Datenbearbeitung gehen die betreffenden Organe sinngemäss vor. 2 Die Organe sorgen für die Instruktion der Mitarbeitenden und überprüfen alle vier Jahre die Wirksamkeit der bisherigen Massnahmen. § 6 Regierungsrat Der Regierungsrat erlässt eine Weisung zur Überprüfung der Datensicherheit. Schulung: Umsetzung der Datensicherheitsverordnung 14

15 5.1 Überprüfung Datensicherheit
Organe bestimmen zuständige Personen Durchführung der Prüfung / Vorgehensmethodik Folgende Aufgaben werden von den zuständigen Personen der Organe wahrgenommen: Überprüfung der Datensicherheit Erstellung des Massnahmenkatalogs Beantragen die Bewilligung der vorgesehenen Massnahmen Instruktion der Mitarbeitenden Schulung: Umsetzung der Datensicherheitsverordnung 15

16 5.2 Überprüfung der Datensicherheit: Weisung
Die Organe überprüfen die Datensicherheit in denjenigen Bereichen, die sie selber beeinflussen können: Zutrittschutz zu Büros, Zugriffschutz von Fachanwendungen, Aufbewahrung und Entsorgung von Datenträgern etc. Die Sicherstellung eines angemessenen Sicherheitsniveaus im Bereich Netzwerke, Server, Arbeitsplatzeinrichtungen sowie organübergreifender Fachanwendungen erfolgt durch die jeweiligen Informatikleistungs-erbringer. Sofern es sich bei den Informatikleistungserbringern um externe Dritte handelt, sind diese entsprechend vertraglich zu verpflichten. Die Datenschutzstelle berät die Organe in grundsätzlichen Fragen der Datensicherheit. Für spezifische informatiktechnische Fragen können sich kantonale Organe an das AIO bzw. gemeindliche Organe an ihren jeweiligen Informatikleistungserbringer wenden. Schulung: Umsetzung der Datensicherheitsverordnung 16

17 5.3a Vorgehen: Ermitteln der Schutzobjekte
Zu beurteilende Schutzobjekte werden ermittelt und auf einer Liste erfasst: Personendaten, die mit elektronischen Mitteln und/oder manuell bearbeitet werden Wie und in welchen Systemen werden Personendaten bearbeitet, gespeichert, gelagert? In welchen Räumen werden Personendaten bearbeitet ? Verantwortungsbereich der Datensammlungen innerhalb der jeweiligen Amtstelle? Wer?  siehe Register! Verantwortungsbereich der Applikation innerhalb der jeweiligen Amtsstelle? Wer? Schulung: Umsetzung der Datensicherheitsverordnung 17

18 5.3a Vorgehen: Schutzobjekte
Liste der Datensammlungen aktuell? Register der Datensammlungen, Volltextsuche Schulung: Umsetzung der Datensicherheitsverordnung 18

19 Bsp. (1) Schulung: Umsetzung der Datensicherheitsverordnung

20 Bsp. (2): Schulung: Umsetzung der Datensicherheitsverordnung

21 5.3b Vorgehen: Überprüfung (§ 3 DSV)
Bezüglich aller Schutzobjekte (Einträge auf Liste aus erstem Schritt) sind die Sicherheitsanforderungen auf ihre Einhaltung hin zu überprüfen (siehe hinten), sofern diese nicht im jeweiligen Verantwortungsbereich eines Informatikleistungserbringers liegen. Bsp.: Sind Zutrittsorte gesichert und Systeme mit sicheren Passwörtern geschützt und werden diese periodisch geändert? Pro Memoria MA erhalten ein Set einfach umzusetzender Merkblätter, die auf der Homepage der Datenschutzstelle zur Verfügung steht  Schulung: Umsetzung der Datensicherheitsverordnung 21

22 5.3c Vorgehen: Massnahmenkatalog (§ 4 DSV)
Zu ergreifende Sicherheitsmassnahmen sind in einem Massnahmenkatalog aufzulisten (siehe Muster im Anhang). Für Auswahl konkreter Massnahmen kann auf Arbeitsunterlagen und Massnahmenvorschläge des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) sowie des Informatikstrategieorgans Bund zurückgegriffen werden. Vollständiger Massnahmenkatalog gibt Auskunft über Zweck, Kosten sowie Zeitbedarf für Umsetzung der Massnahmen. c) Erstellen Massnahmenkatalog (§ 4 DSV) Aufgrund des festgestellten Handlungsbedarfs sind die zu ergreifenden Massnahmen bereits vorgezeichnet, einzelne lassen sich direkt ableiten, wie beispielsweise Prozessverbesserungen, Kontrollen, Auswertungen und Schulungen. Die zu ergreifenden Sicherheitsmassnahmen sind in einem Massnahmenkatalog aufzulisten. Dabei ist dem gegenwärtigen Stand der Technik und den Grundsätzen der Verhältnismässigkeit und Wirtschaftlichkeit Rechnung zu tragen. Für die Auswahl konkreter Massnahmen kann auf Arbeitsunterlagen und Massnahmenvorschläge des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB)4 sowie des Informatikstrategieorgans Bund5 zurückgegriffen werden. Für ausgesprochen anspruchsvolle informatiktechnische Fragestellungen liefert das deutsche Bundesamt für Sicherheit in der Informationstechnik6 Massnahmenvorschläge. Der vollständige Massnahmenkatalog gibt Auskunft über den Zweck, die Kosten sowie den Zeitbedarf für die Umsetzung der Massnahmen. Aus der Zweckumschreibung wird er-sichtlich, welche Risiken die Bewilligungsinstanz bei einer Nichtrealisierung der entsprechenden Massnahme zu verantworten hätte. Im Anhang C steht eine Vorlage für die Erarbeitung eines Massnahmenkatalogs zur Verfügung. Schulung: Umsetzung der Datensicherheitsverordnung 22

23 5.3c Vorgehen: Muster Massnahmenplan
Schulung: Umsetzung der Datensicherheitsverordnung 23

24 5.3d Vorgehen: Umsetzung Zuständige Organe entscheiden, welche Massnahmen bis wann umgesetzt werden. Kostenwirksame Massnahmen werden im Rahmen des Budgets umgesetzt, einfache Massnahmen ohne Kostenfolgen umgehend. Verantwortliche Person für Instruktion der Mitarbeitenden stellt sicher, dass Mitarbeitende informiert und ausgebildet werden. Organe überprüfen Wirksamkeit der Massnahmen alle vier Jahre. Schulung: Umsetzung der Datensicherheitsverordnung 24

25 5.4 Zusammenfassung Zusammenfassung des Vorgehens
Zuständige Personen für Datensicherheitsüberprüfung, Erstellung Massnahmenkatalog, Bewilligung der beantragten Massnahmen sowie Instruktion der Mitarbeitenden sind bestimmt. Erstellen Schutzobjektliste. Überprüfung der Datensicherheit, wo nötig mit entsprechenden Stellen koordiniert. Massnahmenkatalog wurde erarbeitet und der Bewilligungsinstanz zum Entscheid vorgelegt. Umzusetzende Massnahmen wurden von Bewilligungsinstanz beschlossen. Nicht kostenwirksame Massnahmen wurden umgehend in Angriff genommen. Kostenwirksame Massnahmen sind budgetiert, Mittel bewilligt, Arbeiten personell zugewiesen und zur Umsetzung freigegeben. Massnahmen sind umgesetzt. 4. Zusammenfassung Das Vorgehen zur Überprüfung der Datensicherheit lässt sich wie folgt zusammenfassen: Arbpaket 1. Erledigt, wenn folgende Voraussetzungen erfüllt sind: stellung des Massnahmenkatalogs, die Bewilligung der beantragten Massnahmen sowie die Instruktion der Mitarbeitenden wurden bestimmt. fung der Datensicherheit von der kantonalen Datenschutzstelle und demAIO zentral geschult. Sie verfügen über das notwendige Wissen und die Arbeitsunterlagen, um die weiteren Arbeiten in Angriff zu nehmen. dem Informatikleistungserbringer oder den für die Sicherheit oder für die Bauten zuständigen Stellen koordiniert. zum Entscheid vorgelegt. schlossen. Nicht kostenwirksame Massnahmen wurden umgehend in An-griff genommen. Arbeiten personell zugewiesen und zur Umsetzung freigegeben Schulung: Umsetzung der Datensicherheitsverordnung 25

26 5.5 Sicherheitsanforderungen
Die Sicherheitsanforderungen für Organe richten sich an die für die Überprüfung der Datensicherheit zuständigen Personen und nicht an die Benutzerinnen und Benutzer von Geräten an Informatikarbeitsplätzen. Für Letztere stehen auf der Homepage der kantonalen Datenschutzstelle diverse Merkblätter zur Verfügung. Die Organe überprüfen die Sicherheit ihrer Personendaten anhand der nachstehenden Sicherheitsanforderungen. Schulung: Umsetzung der Datensicherheitsverordnung 26 26

27 5.5 Sicherheitsanforderungen A1 (1)
Die Entsorgung von Datenträgern ist so geregelt, dass keine Rückschlüsse auf den Inhalt oder die gespeicherten Daten möglich sind. Reparaturen von Geräten sind von Fall zu Fall zu regeln (vertrauliche Daten sind vorher zu löschen). Papierdokumente werden mittels Aktenvernichter geshreddert (Maximalgrösse 4 x 80mm) und mit geeigneten Mitteln entsorgt. Elektronische Daten/Datenträger werden vernichtet: Formatierung der Datenträger UND mindestens 2malige Überschreibung (Software) mit komplexen Zeichenketten (=nicht nur „0“) oder Entmagnetisierung (für magnetische Datenträger) oder physische/mechanische Zerstörung der Disketten, CD/DVD, USB-Sticks, Streamertapes etc. Schulung: Umsetzung der Datensicherheitsverordnung 27

28 5.5 Sicherheitsanforderungen A1 (2)
Wo Material vor der Entsorgung gesammelt wird, ist die Sammlung unter Verschluss zu halten. Achtung: Gilt auch für Datenträger in Multifunktionsgeräten (Scanner, Drucker, PDA, Foto-Geräte etc.) Die Vorgaben bezüglich Archivierung sind einzuhalten Schulung: Umsetzung der Datensicherheitsverordnung 28

29 5.5 Sicherheitsanforderungen A2
Sämtliche Zugriffe auf Fachanwendungen sind mit einem Authentifikationsprozess bzw. sicheren Passwörtern geschützt. Die Passwörter erzwingen einen automatischen, periodischen Passwortwechsel Alle Anwendungen sind durch eine Autorisierung bzw. ein sicheres Passwort geschützt. Der Zugang ist, sofern technisch möglich, erst nach einer individuellen Identifikation (z.B. Namen oder User-ID) und Authentisierung (z.B. durch Passwort) des Nutzungsberechtigten möglich. Der Zugang wird protokolliert. Die Fachanwendungen erzwingen einen automatischen, periodischen Passwortwechsel mindestens alle 90 Tage und ein sicheres Passwort. Siehe Verordnung über die Benutzung von elektronischen Kommunikationsmitteln im Arbeitsverhältnis vom und Merkblatt Passwortschutz. Schulung: Umsetzung der Datensicherheitsverordnung 29

30 5.5 Sicherheitsanforderungen A3 (1)
Es dürfen keine Information an Unberechtigte weitergegeben werden. Vertrauliche Dokumente in gedruckter Form sowie elektronische Datenträger werden in den dafür vorgesehenen Schränken oder im Pult eingeschlossen. Nicht mehr benötigte vertrauliche Dokumententwürfe werden vernichtet. Identität der Berechtigten wird formell geprüft. Papierablagen und Datenträger sind durch Dritte nicht zugänglich, weil unter Verschluss oder in Räumen mit Zutrittsbeschränkung. Es existiert ein Zutritts- bzw. ein Schlüsselmanagement (inkl. Reserve-Schlüssel) und Weisungen wie vertrauliche Dokumenten abzulegen sind. Versendung von Dokumente erfolgt durch persönliche Adressierung. Schulung: Umsetzung der Datensicherheitsverordnung 30

31 5.5 Sicherheitsanforderungen A3 (2)
Prinzipiell werden keine Dokumente/Datenträger an öffentlich zugängliche Orte versendet (z.B. gemeinsam genutzte Fax-Geräte). Papierablagen und Datenträger sind durch Dritte nicht zugänglich, sondern unter Verschluss oder in Räumen mit Zutrittsbeschränkung aufzubewahren. Bei Anwesenheit von Service-Personal (inkl. Reinigungspersonal) in zutrittsberechtigten Räumen sind Dokumente/Datenträger nicht zugänglich aufzubewahren. Für Entsorgung siehe auch Sicherheitsanforderung A1 Achtung: Vorsicht beim Drucken an Netzwerkdruckern (ev. Passwortschutz aktivieren). Schulung: Umsetzung der Datensicherheitsverordnung 31 31

32 5.5 Sicherheitsanforderungen A4 (1)
Bei Neuinstallationen und Releasewechseln von Hardware und Software werden mindestens alle geschäftskritischen und sicherheitstechnisch wichtigen Funktionen auf ihre Funktionstüchtigkeit überprüft. Für jede Applikation sind die geschäftskritischen Funktionen bekannt. Für jede Applikation und Hardware sind die sicherheitstechnischen Funktionen bekannt und es ist dokumentiert wie diesbezüglich die Applikation und Hardware einzurichten (Parameter usw.) sind. Es existieren Checklisten wie die Applikation und Hardware auf ihre Funktionsfähigkeit überprüft werden muss. Es existieren Checklisten wie die Vollständigkeit der Daten überprüft werden kann. Schulung: Umsetzung der Datensicherheitsverordnung 32

33 5.5 Sicherheitsanforderungen A4 (2)
Diese Checklisten werden bei Neuinstallationen, Updates und Releasewechseln eingesetzt und dienen der Abnahme der Installation. Vor einer Neu-Installation bzw. Release-Wechsel werden die Daten gesichert. Schulung: Umsetzung der Datensicherheitsverordnung 33 33

34 5.5 Sicherheitsanforderungen A5
Es ist sichergestellt, dass nur Berechtigte Zugriff auf ein System oder bestimmte Fachanwendungen und deren Daten haben. Pro Anwendung ist eine Liste von Mitarbeitern (oder mindestens Funktionen) vorhanden, die auf die Applikation und Daten zugreifen müssen. Es ist sichergestellt, dass Zugriffe auf ein System oder auf Fachanwendungen und deren Daten auf Mitarbeiter beschränkt wird, die diese Daten zur Arbeitserledigung auch benötigen (Need to know -Prinzip). Sämtliche Zugriffe auf sensitive Daten sind nur von autorisierten Personen möglich. Die Zugriffsliste wird jährlich überprüft und bei personellen Veränderungen sofort angepasst. Schulung: Umsetzung der Datensicherheitsverordnung 34

35 5.5 Sicherheitsanforderungen A6
Sicherheitsrelevante Prozesse (Onlinezugriffe, Mutationsprozesse jeglicher Art) werden von der für die jeweilige Datensammlung zuständigen Stellen organisiert, umgesetzt und dokumentiert. Die sicherheitsrelevanten Prozesse sind bekannt, und die entsprechenden Dokumentation und Weisungen sind aktuell: Erfassen, Mutieren und Löschen von Daten Erfassen, Mutieren und Löschen von Zugriffsberechtigungen Schlüssel- und Zutrittsmanagement Anträge für Änderungen der Applikationen/Hardware (siehe auch Sicherheitsanforderung A7) Schulung: Umsetzung der Datensicherheitsverordnung 35

36 5.5 Sicherheitsanforderungen A7 (1)
Änderungsaufträge an die Betriebsorganisation des Informatikbetreibers erfolgen schriftlich. Es ist bekannt, wer einen Änderungsauftrag an die Betriebsorganisation stellen darf und wer den Auftrag genehmigen muss. Aufträge an den Informatikbetreiber werden schriftlich formuliert und beinhalten im Minimum: - Antragsteller - Kontaktperson für Abstimmungen - Antrag (möglichst detailliert, mit Inhalt/Termine) - Genehmigung (4-AugenPrinzip) Der Informatikbetreiber dokumentiert / quittiert schriftlich die durchgeführten Änderungen. Schulung: Umsetzung der Datensicherheitsverordnung 36

37 5.5 Sicherheitsanforderungen A7 (2)
Anträge und Korrespondenz werden für 5 Jahre abgelegt. Bevor Änderungen genehmigt und durchgeführt werden, muss durch Prüfung und Tests sichergestellt werden, dass das Sicherheitsniveau während und nach der Änderung erhalten bleibt. Schulung: Umsetzung der Datensicherheitsverordnung 37 37

38 5.5 Sicherheitsanforderungen A8 (1)
Folgende Aktivitäten in den Fachanwendungen werden aufgezeichnet: - gescheiterte Authentifikationsversuche - gescheiterte Objektzugriffe - Vergabe und Änderungen von Privilegien und - alle Aktionen, die erhöhte Privilegien erfordern. Die Fachanwendungen protokollieren im Detail: User-ID, Arbeitsstation, Zeitpunkt, Applikation (/Aktivität) gescheiterte Zugriffsversuche durch Eingabe von User-ID (inkl. User-ID, Arbeitsstation, Zeitpunkt) gescheiterte Objektzugriffe (inkl. User-Id, Arbeitsstation, Zeitpunkt) Änderungen der Zugriffsberechtigung (welche Rechte sind durch welche User-Id und Zeitpunkt verändert worden) Schulung: Umsetzung der Datensicherheitsverordnung 38 38

39 5.5 Sicherheitsanforderungen A8 (2)
Die Protokolle werden mindestens monatlich überprüft (speziell fehlgeschlagene Authentifizierungen). Die Protokolle gescheiterter Zugriffe werden mindestens 6 Monate aufbewahrt. Schulung: Umsetzung der Datensicherheitsverordnung 39 39

40 5.5 Sicherheitsanforderungen A9
Bei der Installation von Fachanwendungen werden vordefinierte Accounts, Initialpasswörter, Privilegien oder Zugriffsrechte sofort kontrolliert und nötigenfalls angepasst oder gelöscht. ALLE vordefinierte Accounts, Initialpasswörter, Privilegien oder Zugriffsrechte werden sofort geprüft und nötigenfalls angepasst oder gelöscht. Reset-Prozeduren (mit Neu-Generierung von Standardpasswörtern) werden überprüft/angepasst. Die Sicherheitseinrichtungen werden aktiviert (Verschlüsselung, Anmeldeprozeduren, Anti-Viren-Programme,…). Notwendige System-Passwörter sind unter Verschluss zu halten (Passwort-Management). Schulung: Umsetzung der Datensicherheitsverordnung 40

41 5.5 Sicherheitsanforderungen A10
Die Vertraulichkeit und Integrität der Datenübertragung von Benutzernamen, Passwörtern, Schlüsseln oder andere kritische Systemdaten aus Fachanwendungen ist bei der Übertragung über Netze sichergestellt. Es existiert eine Liste der zu benutzenden Datenübertragungsein-richtungen und die einzuhaltenden Prozeduren, die Vertraulichkeit und Integrität garantieren. Die Verteilung von Daten, Benutzernamen, kritischen Systemdaten und Passwörtern wird dokumentiert und gegebenenfalls quittiert. Es werden nur Daten übermittelt, die auch benötigt werden (Need-to-Know). Passwörter werden verschlüsselt oder persönlich übergeben. Datenübertragungen werden durch Hashwerte oder mindestens durch Zählung der übertragenen Datensätze sichergestellt. Schulung: Umsetzung der Datensicherheitsverordnung 41 41

42 5.5 Sicherheitsanforderungen A11
Systemzugriffsperren werden nach einer definierten Zeit (in der Regel 10 Minuten) automatisch aktiviert. Eine manuelle Aktivierung ist ebenfalls möglich. Falls eine entsprechende Sperrung aus technischen Gründen nicht möglich ist, ist der Zugang zu unbeaufsichtigten Arbeitsplätze geschützt (z.B. Abschliessen des Raumes). Siehe Text oben Systemzugriffsperren dürfen nicht de-aktiviert werden Schulung: Umsetzung der Datensicherheitsverordnung 42

43 5.5 Sicherheitsanforderungen A12 (1)
Da mobile Informatikmittel (Notebooks, elektronische Agenden, Mobiltelefone etc.) nicht nur im eigenen Büro verwendet werden, sondern auch ausserhalb des Arbeitsplatzes, sind sie mit geeigneten technischen Massnahmen zu schützen (z.B. Pre-Boot-Authentifikation, sichere Volumelabels, Diskverschlüsselung etc.). Die Schutzvorrichtungen (Antivirus, Firewall) sind regelmässig (mindestens wöchentlich) zu aktualisieren. Die Benutzer sind in Fragen des Umgangs mit vertraulichen Daten in der Öffentlichkeit geschult. Für die Fernwartung sind speziell überwachte Accounts eingerichtet. Mobile Informatikmittel die ausserhalb des eigenen Büro verwendet werden sind speziell zu schützen (siehe auch oben). Schulung: Umsetzung der Datensicherheitsverordnung 43

44 5.5 Sicherheitsanforderungen A12 (2)
Neue Mitarbeiter müssen interne Regelungen, Gepflogenheiten und Verfahrenweisen im IT-Einsatz (inkl. Sicherheitsmassnahmen) und Datenschutz kennen und sind zeitnahe geschult worden. Die Schwachstellen der Office-Programme sind bei den Mitarbeitern bekannt: - Schwache Passwörter - OLE-Funktion (Dokumente enthalten versteckte Informationen über die Bearbeitung) - Autofill-Funktion …. Spezielle Accounts für die Fernwartung werden besonders überprüft und nach Möglichkeit nach dem Eingriff wieder blockiert bzw. mit einem neuen Passwort versehen. Schulung: Umsetzung der Datensicherheitsverordnung 44 44

45 5.5 Sicherheitsanforderungen A13
Internet/ Personendaten werden nur verschlüsselt übermittelt Internet / Personendaten werden nur verschlüsselt übermittelt. Der Informatikbetreiber oder das AIO gibt Auskunft über Verschlüsselungsoftware. Laptops, PDA und Speichermedien: ausserhalb von geschützten Räumen sind persönliche Daten auf Speichermedien zu verschlüsseln. Die Zugangspasswörter sind sorgfältig und getrennt von den Speichermedien aufzubewahren/zu übermitteln. Schulung: Umsetzung der Datensicherheitsverordnung 45

46 5.5 Sicherheitsanforderungen A14 (1)
Pro Fachanwendung ist festgelegt, welche Ausweichlösung zur Verfügung steht. Die Behandlung von Stör-, Not- und Katastrophenfällen und das konkrete Vorgehen sind vom Betreiber in Zusammenarbeit mit dem zuständigen Organ definiert und vereinbart worden. Pro Fachanwendung ist dokumentiert, welche Ausweichlösungen für kurz- und langfristige Ausfälle zur Verfügung stehen. Die Behandlung von Ausfällen und das konkrete Vorgehen sind vom Betreiber in Zusammenarbeit mit dem zuständigen Organ definiert und vereinbart worden. Speziell ist die Reaktionszeit und die Verantwortlichkeiten zu klären. Schulung: Umsetzung der Datensicherheitsverordnung 46

47 5.5 Sicherheitsanforderungen A14 (2)
Es existieren Datensicherungspläne, die Auskunft geben über Speicherort der Daten im Normalbetrieb, Bestand der gesicherten Daten, Zeitpunkt der Datensicherung, Art und Umfang, Verfahren für die Rekonstruktion der Daten. Sicherungskopien sind in zutrittsgeschützten Räumen, ausserhalb des Arbeitsplatzes und Computerraum aufbewahrt. Backup-Prozeduren werden jährlich geprüft. Schulung: Umsetzung der Datensicherheitsverordnung 47 47

48 Ist der Mensch das Risiko?
Schulung: Umsetzung der Datensicherheitsverordnung

49 Hier entstehen Gefahren…
GEBÄUDE ZENTRALE DATEN SERVER MENSCH PC/DRUCKER ÜBERMITTLUNG LOKALE DATEN Schulung: Umsetzung der Datensicherheitsverordnung

50 6. Detailbesprechung: Benutzerinstruktion (1)
Der Mensch bildet das Hauptrisiko. Der Mensch ist es aber auch, der durch gezielte Tätigkeiten die Risiken entschärfen bzw. die Risiken wahrnehmen kann. Erkennen dieser zentralen Rolle des Menschen. Hauptbeeinflussungsfaktoren: Sensibilisierung Mobilisierung Motivierung Ausbildung Information Schulung: Umsetzung der Datensicherheitsverordnung 50

51 6. Detailbesprechung: Benutzerinstruktion (2)
Ziele Sicherheitsziele und Regeln müssen klar und eindeutig formuliert sein. Alle Mitarbeitenden müssen in der Lage sein, die gestellten Anforderungen zu erfüllen, nämlich das Sicherheitsziel zu erreichen. Alle Mitarbeitenden müssen in der Lage sein, sichere Arbeitshandlungen von unsicheren Arbeitshandlungen unterscheiden zu können. Alle Mitarbeitenden müssen wissen, was sie zu tun haben, um unsichere Arbeit zu verhindern. Alle Mitarbeitenden müssen wissen, was sie zu tun haben, wenn sie unsichere Arbeit nicht verhindern konnten. Alle Mitarbeitenden müssen die Konsequenzen unsicherer Arbeitshandlungen für den Betrieb genau kennen. Schulung: Umsetzung der Datensicherheitsverordnung 51

52 6. Detailbesprechung: Benutzerinstruktion (5)
Die Ausbildung der Mitarbeitenden soll bis Ende September 2008 erfolgen. Der Nachweis soll bei Bedarf durch die Organe erbracht werden können, wer, wann ausgebildet wurde. Durchsicht Merkblätter Durchsicht unterstützende Folien Welche weiteren Hilfsmittel gibt es? Wie werden Hilfsmittel eingesetzt? Schulung: Umsetzung der Datensicherheitsverordnung 52

53 Merkblatt «Der sichere Umgang mit Daten»
Bei der Bearbeitung von Personendaten bestehen gewisse Risiken und Gefahren: Schutz gegen Zugriff Unberechtigter Bei Abwesenheit Bei Arbeitsschluss Weitergabe, Speichern und Löschen von Daten Weitergabe von Daten Speichern von Daten Löschen von Daten Schutz vor Verlust Mobile Datenträger Viren: Schutz vor Viren und Vorgehen bei Auftreten von Viren Schulung: Umsetzung der Datensicherheitsverordnung 53

54 Merkblatt «Der sichere Umgang mit Daten»
Kommunikation über Netze Internet Intranet und internes Netz Datenspuren In Dateien Beim Surfen Rechtsgrundlagen Datenschutzgesetz des Kantons Zug Datensicherheitsverordnung Verordnung über die Benutzung von elektronischen Kommunikationsmitteln im Arbeitsverhältnis Personalgesetz und Personalverordnung Strafgesetzbuch Schulung: Umsetzung der Datensicherheitsverordnung 54

55 Merkblatt «Der sichere Umgang mit Daten»
Weitere zusätzliche Hinweise DSB Kanton Zug: DSB Kanton Zürich: Lernprogramm zu Datensicherheit Grobanalyse getroffener Massnahmen für Datenschutz und Informatiksicherheit Eidg. Datenschutz- und Öffentlichkeitsbeauftragter: Schulung: Umsetzung der Datensicherheitsverordnung 55

56 Merkblatt «Passwort» Passwort: Schutz vor dem Zugriff Unberechtigter
Ein gutes – oder «starkes» Passwort mind. 8 oder besser aus 10 Zeichen enthält Zahlen, Buchstaben und Sonderzeichen kombiniert hat Gross- und Kleinbuchstaben können Sie sich gut merken, andere aber nicht erraten, zum Beispiel Sonn**EN00schein, fRan?ziska57 besteht nicht nur aus Wörtern – auch nicht in einer Fremdsprache – oder Namen Anleitung für sichere Passwörter Bilden Sie einen Satz: «Im August schien die Sonne nur 1x!» ergibt das starke Passwort: <IAsdSn1x!> Schulung: Umsetzung der Datensicherheitsverordnung 56

57 Merkblatt «Passwort» Handhabung des Passwortes
Halten Sie das Passwort geheim Ändern Sie das Passwort spätestens nach vier Monaten Verwenden Sie für verschiedene Anwendungen verschiedene Passwörter Keine Weitergabe an Mitarbeiter oder Dritte Verwenden Sie privat und geschäftlich andere Passwörter Wichtige zusätzliche Informationen zum Passwort Hier können Sie überprüfen, wie gut Ihr Passwort ist: Schulung: Umsetzung der Datensicherheitsverordnung 57

58 Merkblatt «Der sichere Umgang mit E-Mail»
Eile mit Weile! Ein Klick und Ihr Mail ist unwiderruflich weg Wissen Sie wirklich, wer der Adressat ist? Versand innerhalb des verwaltungseigenen Netzes Endet die Adresse auf «.zg.ch», erfolgt die Zustellung über das eigene Netz Versand via Internet Erhalt von s Mails von zweifelhafter Herkunft sind ungeöffnet zu löschen Ebenso ungeöffnet zu löschen sind Dateien mit der Endung «.scr», ausführbare Dateien («.exe», «.bat», «.vbs» etc.) und Bilder von zweifelhafter Herkunft Fehlende Gewissheit über Identität des Absenders erfordert telefonisches Nachfragen beim Absender Schulung: Umsetzung der Datensicherheitsverordnung 58

59 Merkblatt «Der sichere Umgang mit E-Mail»
Vorgehen bei Ferienabwesenheit Eingehende s nicht automatisch an eine -Adresse ausserhalb des eigenen Netzes weiterleiten Absenderinnen und Absender von s mit einer automatischen Antwort über Ihre Ferienabwesenheit und Ihre Stellvertretung informieren Wichtige zusätzliche Informationen im Umgang mit Private Nutzung von s? Zur Verschlüsselung von [Office-] Dokumenten Schulung: Umsetzung der Datensicherheitsverordnung 59

60 «Kundenkontakt» Identität von Anfragenden
Datenbekanntgaben per Telefon Anfragen per Datenbekanntgabe per Fax oder SMS Voraussetzungen von Datenbekanntgaben Amtsgeheimnis gilt grundsätzlich auch zwischen den verschiedenen Stellen innerhalb der Verwaltung Personendaten dürfen anderen Stellen grundsätzlich nur dann bekanntgegeben werden, wenn eine entsprechende ausdrückliche gesetzliche Grundlage dies zulässt oder die betroffene Person der Datenbekanntgabe zugestimmt hat An Privatpersonen darf ausschliesslich Auskunft über ihre eigenen Daten gegeben werden Schulung: Umsetzung der Datensicherheitsverordnung 60

61 «Kundenkontakt» Einsichtsrecht der Betroffenen
Jede betroffene Person hat das Recht, ihre eigenen Daten einzusehen und grundsätzlich kostenlose Kopien ihrer Daten zu verlangen Jede betroffene Person hat das Recht, falsche Daten berichtigen zu lassen Die Betroffenen haben das Recht zu wissen, zu welchem Zweck und auf welcher Rechtsgrundlage Daten über sie bearbeitet und an wen sie weitergegeben werden Auskünfte an Betroffene über ihre eigenen Daten müssen speditiv erfolgen und vollständig und richtig sein. Der anfragenden Person entstehen grundsätzlich keinerlei Kosten. Die Beantwortung der Anfrage erfolgt in der Regel schriftlich. Schulung: Umsetzung der Datensicherheitsverordnung 61

62 Merkblatt «Mobile Geräte»
Mobile Geräte (Laptops/Notebooks, PDA, Mobiltelefone/Smartphones, USB-Sticks etc.) Grundsätzlich dieselben Sicherheitsbestimmungen wie für feste Arbeitsstationen Schutz des Gerätes durch ein starkes Passwort Diverse Möglichkeiten zur drahtlosen Kommunikation (WLAN, Bluetooth, Infrarot, GSM etc.) Nutzung von öffentlichen «Hotspots» ist zu vermeiden Aktualisierung des Virenschutzes Umgehende Information an IT-Verantwortlichen bei Verlust oder Diebstahl Verschlüsselung SMS, MMS und Vertrauliches gehört nicht an die Öffentlichkeit Schulung: Umsetzung der Datensicherheitsverordnung 62

63 8. Wichtige Links www.datenschutz-zug.ch www.datenschutz.ch
DSB Kanton Zug DSB Kanton Zürich Kantonale DSB Eidg. Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) Deutsches Grundschutzhandbuch Schulung: Umsetzung der Datensicherheitsverordnung 63

64 9. Fragen und Antworten Schulung: Umsetzung der Datensicherheitsverordnung 64

Herunterladen ppt "Schulung: Umsetzung Datensicherheitsverordnung 06. März 2008 [Stand 25"

Ähnliche Präsentationen

Software Assurance Erweiterte Software Assurance Services

Software Assurance Erweiterte Software Assurance Services
E-Mail.

.
IT-Sicherheit Mobile Geräte.

IT-Sicherheit Mobile Geräte.
Surfen im Internet.

Surfen im Internet.
Die Schulkonsole für Lehrerinnen und Lehrer

Die Schulkonsole für Lehrerinnen und Lehrer
Vorlesung: 1 Betriebliche Informationssysteme 2003 Prof. Dr. G. Hellberg Studiengang Informatik FHDW Vorlesung: Betriebliche Informationssysteme Teil3.

Vorlesung: 1 Betriebliche Informationssysteme 2003 Prof. Dr. G. Hellberg Studiengang Informatik FHDW Vorlesung: Betriebliche Informationssysteme Teil3.
Pflege der Internetdienste

Pflege der Internetdienste
Ulrich Kähler, DFN-Verein

Ulrich Kähler, DFN-Verein
1 JIM-Studie 2010 Jugend, Information, (Multi-)Media Landesanstalt für Kommunikation Baden-Württemberg (LFK) Landeszentrale für Medien und Kommunikation.

1 JIM-Studie 2010 Jugend, Information, (Multi-)Media Landesanstalt für Kommunikation Baden-Württemberg (LFK) Landeszentrale für Medien und Kommunikation.
Organisation Auftrag Übermittlung Eingabe Transport Speicher Speicher

Organisation Auftrag Übermittlung Eingabe Transport Speicher Speicher
Passwörter.

Passwörter.
Umgang mit mobilen Geräten, WLAN und Wechseldatenträgern

Umgang mit mobilen Geräten, WLAN und Wechseldatenträgern
Gefährdung durch Viren

Gefährdung durch Viren
EGo-AKTUELL Zweckverband Elektronische Verwaltung für Saarländische Kommunen SAAR Dienstag, 27. Mai 2008 big Eppel – Kultur und Kongress, Eppelborn Handhabung.

EGo-AKTUELL Zweckverband Elektronische Verwaltung für Saarländische Kommunen SAAR Dienstag, 27. Mai 2008 big Eppel – Kultur und Kongress, Eppelborn Handhabung.
Feuerwehrverband Ostfriesland e.V.

Feuerwehrverband Ostfriesland e.V.
Internet facts 2008-II Graphiken zu dem Berichtsband AGOF e.V. September 2008.

Internet facts 2008-II Graphiken zu dem Berichtsband AGOF e.V. September 2008.
Vorlesung: 1 Betriebliche Informationssysteme 2003 Prof. Dr. G. Hellberg Studiengang Informatik FHDW Vorlesung: Betriebliche Informationssysteme Teil2.

Vorlesung: 1 Betriebliche Informationssysteme 2003 Prof. Dr. G. Hellberg Studiengang Informatik FHDW Vorlesung: Betriebliche Informationssysteme Teil2.
HessGiss Warum wir uns mit HessGiss beschäftigen sollten!

HessGiss Warum wir uns mit HessGiss beschäftigen sollten!
Hessisches Ministerium für Umwelt, ländlichen Raum und Verbraucherschutz 14. November 2006 Ulrich Kaiser: Vorstellung des Entwurfs Zeitplanung und Arbeitsprogramm.

Hessisches Ministerium für Umwelt, ländlichen Raum und Verbraucherschutz 14. November 2006 Ulrich Kaiser: Vorstellung des Entwurfs Zeitplanung und Arbeitsprogramm.
Universität Heidelberg Rechenzentrum Hartmuth Heldt Sicherheitskonzept - Netzwerk 1.

Universität Heidelberg Rechenzentrum Hartmuth Heldt Sicherheitskonzept - Netzwerk 1.

Ähnliche Präsentationen

Google-Anzeigen