Post on 29-Jul-2022
3. IT-GrundschutztagKöln, 30.08.2018 / Robert Krelle
DS-GVO und IT-GrundschutzTraumhochzeit oder Rosenkrieg?
3. IT-GrundschutztagKöln, 30.08.2018 / Robert Krelle
Robert Krelle
IT-Sicherheitsbeauftragter
Ministerium für Landwirtschaft und Umwelt
Mecklenburg-Vorpommern
3. IT-GrundschutztagKöln, 30.08.2018 / Robert Krelle
3. IT-GrundschutztagKöln, 30.08.2018 / Robert Krelle
DS-GVO IT-GS
3. IT-GrundschutztagKöln, 30.08.2018 / Robert Krelle
DS-GVO
IT-GS
Datenschutz
Informationssicherheit
3. IT-GrundschutztagKöln, 30.08.2018 / Robert Krelle
DS-GVO und IT-GrundschutzTraumhochzeit oder Rosenkrieg?
3. IT-GrundschutztagKöln, 30.08.2018 / Robert Krelle
DS-GVOVerordnung (EU) 2016/679
IT-Grundschutz
Das erste Treffen
Ziele und Rechtsnatur
Passen wir zusammen?
Prozesse, Aufgaben, Verantwortung
Der gemeinsame Alltag
Aus Zwei mach Eins?
Beziehungs-Check-Up
3. IT-GrundschutztagKöln, 30.08.2018 / Robert Krelle
Das erste Treffen
Ziele und Rechtsnatur
3. IT-GrundschutztagKöln, 30.08.2018 / Robert Krelle
Das erste TreffenDie Ziele von DS-GVO und IT-GS
DS-GVO IT-GS
DatenschutzSchutz personenbezogener Daten
natürlicher Personen
InformationssicherheitSchutz sensibler und vorteilhafter Informationen und Daten
TOMTechnisch-organisatorische
Manßnahmen
Ziel:Gewährleistung der
Persönlichkeitsrechte der Betroffenen
Ziel:Schutz der anwendenden Organisation (Unternehmen, Behörde etc.)
3. IT-GrundschutztagKöln, 30.08.2018 / Robert Krelle
Das erste TreffenDie Rechtsnatur von DS-GVO und IT-GS
DS-GVO IT-GS
EU-Verordnungunmittelbar und in allen
Mitgliedstaaten anzuwenden(Art. 288 Abs. 2 AEUV)
Technisches RegelwerkBest Practices zur Konkretisierung rechtlicher Sorgfaltspflichten
3. IT-GrundschutztagKöln, 30.08.2018 / Robert Krelle
DS-GVOVerordnung (EU) 2016/679
IT-Grundschutz
Das erste Treffen
Ziele und Rechtsnatur
Passen wir zusammen?
Prozesse, Aufgaben, Verantwortung
Der gemeinsame Alltag
Aus Zwei mach Eins?
Beziehungs-Check-Up
3. IT-GrundschutztagKöln, 30.08.2018 / Robert Krelle
Passen wir zusammen?
Prozesse, Aufgaben, Verantwortung
3. IT-GrundschutztagKöln, 30.08.2018 / Robert Krelle
Übersicht über den Informationssicherheitsprozess
Schritt 1
Schritt 3
Schritt 4Initiierung des
Sicherheitsprozesses
Leitlinie zurInformationssicherheit
erstellen
Organisationdes Sicherheitsprozesses
Erstellung einerSicherheitskonzeption
Umsetzung der Sicherheitskonzeption
Schritt 2
Schritt 5
Aufrechterhaltung &VerbesserungSchritt 6
3. IT-GrundschutztagKöln, 30.08.2018 / Robert Krelle
IT-GS IT-GS
DS-GVO DS-GVO
Initiierung des Sicherheitsprozesses
➢ Übernahme der Verantwortungdurch die Leitungsebene
Leitlinie zurInformationssicherheit
➢ Grundlage für die Ausgestaltung des Sicherheitsprozesses
➢ Natürliche Personen, Wirtschaft und Staat sollten in rechtlicher und praktischer Hinsicht über mehr Sicherheit verfügen (ErwGr 7)
➢ Verantwortlicher (Art. 4 Nr. 7)
➢ Leitlinie zum Datenschutz nichtausdrücklich vorgesehen
➢ kann aber der Erfüllung der Rechenschaftspflicht (Art. 5 Abs. 2) dienen
3. IT-GrundschutztagKöln, 30.08.2018 / Robert Krelle
IT-GS IT-GS
DS-GVO DS-GVO
Organisation des Sicherheitsprozesses➢ Aufbau einer geeigneten
Organisationsstruktur➢ i.d.R. IT-Sicherheits/Informations-
sicherheitsbeauftragter
Sicherheitskonzept
➢ IT-Grundschutz-Vorgehensweise (BSI-Standard 200-2)
➢ Umsetzung „geeigneter […] organisatorischer Maßnahmen“(Art. 24 Abs. 1)
➢ ggf. Datenschutzbeauftragter (Art. 37)
➢ Rechenschaftspflicht (Art. 5)➢ Security (Art. 32)
− Vertraulichkeit, Integrität, Verfügbarkeit
− Risikobewertung➢ Regelm. Evaluierung (Art. 24)
3. IT-GrundschutztagKöln, 30.08.2018 / Robert Krelle
Funktionsbeauftragte
DatenschutzbeauftragterInformationssicherheits-
beauftragter
Regelmäßiges ReportingArt. 39 Abs. 1 lit. a DS-GVOArt. 5 Abs. 2 DS-GVO
ISMS.1.A12 Management-Berichte zur Informationssicherheit
UnabhängigeAufgabenausübung
Art. 38 Abs. 3 DS-GVOISMS.1.A4 Benennung eines Informationssicherheits-beauftragten
Kontrollkompetenz Art. 38 Abs. 2 und 3 DS-GVOISMS.1.A11 Aufrechterhaltung der Informationssicherheit
Schulung/Sensibilisierungvon Mitarbeitern
Art. 39 Abs. 1 lit. b DS-GVOISMS.1.A14 Sensibilisierung zur Informationssicherheit
in DS-GVO und IT-GS
3. IT-GrundschutztagKöln, 30.08.2018 / Robert Krelle
Konzeption
• Sicherheitskonzept• Rechenschaftspflicht• Sicherheit der Verarbeitung
Umsetzung
• Sicherheitsmaßnahmen• Technische und organisatorische
Maßnahmen
Überprüfung
• Regelmäßige Audits• Überprüfung und Aktualisierung
der Maßnahmen
Management-system
IT-GS
Ein angemessenes Sicherheitsniveau für alle Geschäftsprozesse, Informationen und IT-Systeme erfordert ein funktionierendes und in die Institution integriertes Sicherheitsmanagement.
DS-GVO
Die Einhaltung der Vorgaben der Rechenschaftspflicht nachArt. 5, 24 DS-GVO kannpraktisch nur dannerfolgen, wenn das Managementsystem des Verantwortlichen auchhierauf ausgerichtet wird.
3. IT-GrundschutztagKöln, 30.08.2018 / Robert Krelle
DS-GVOVerordnung (EU) 2016/679
IT-Grundschutz
Das erste Treffen
Ziele und Rechtsnatur
Passen wir zusammen?
Prozesse, Aufgaben, Verantwortung
Der gemeinsame Alltag
Aus Zwei mach Eins?
Beziehungs-Check-Up
3. IT-GrundschutztagKöln, 30.08.2018 / Robert Krelle
Der gemeinsame Alltag
Aus Zwei mach Eins?
3. IT-GrundschutztagKöln, 30.08.2018 / Robert Krelle
DS-GVO + IT-GS = IMS
Risikoanalyse des IT-GS um DatenschutzaspekteerweiternManagementprozesse
um Datenschutzaspekteergänzen
Sicherheitskonzeptzur Erfüllung der Rechenschaftspflichtnutzen
Eingerichtetes ISMS(BSI-Standards 200-1 bis 3)
3. IT-GrundschutztagKöln, 30.08.2018 / Robert Krelle
• ISMS.1.A4:Benennung eines ISB/IT-SiBe
• Art. 37 DS-GVO:Benennung DSB
• arbeitsteiliges Vorgehen
• Höhepunkt der Synergie: Personalunion
• “Statusbericht zurInformations-sicherheit und zumDatenschutz”
• GemeinsameVorfallbehandlung -ggf. meldepflichtig(z.B. Art. 33, 34 DS-GVO, ggf. § 8b BSIG)
• GemeinsameSchulungs- und Sensibilisierungs-maßnahmen
• Belehrungen, ggf. Verpflichtung zurGeheimhaltung/Verschwiegenheit
• GemeinsamesMeldewesen
• Audits von Dienstleistern(Outsourcing + Auftragsverarbeitung)
• Wirksamkeits-kontrollen
• Lenkung von Korrektur-maßnahmen
Rationalisierung der Managementprozesse
Organisation Berichtswesen Einbindung der Mitarbeiter
Überwachung und Verbesserung
01 02 03 04
3. IT-GrundschutztagKöln, 30.08.2018 / Robert Krelle
3. ModellierungDS-Management, Nichtverkettbarkeit,
Transparenz, Intervenierbarkeit, Datensparsamkeit
6. Umsetzung= Umsetzung von Datenschutz
1. StrukturanalyseIdentifikation der
Verarbeitungstätigkeiten
4. IT-Grundschutz-CheckDatenschutz-Check
5. RisikoanalyseRisiken für die Betroffenen
2. Schutzbedarfs-feststellungVorprüfung DSFA(Art. 35 DS-GVO)
Sicherheitskonzept und Datenschutz
3. IT-GrundschutztagKöln, 30.08.2018 / Robert Krelle
DS-GVOVerordnung (EU) 2016/679
IT-Grundschutz
Das erste Treffen
Ziele und Rechtsnatur
Passen wir zusammen?
Prozesse, Aufgaben, Verantwortung
Der gemeinsame Alltag
Aus Zwei mach Eins?
Beziehungs-Check-Up
3. IT-GrundschutztagKöln, 30.08.2018 / Robert Krelle
DS-GVO IT-GS
3. IT-GrundschutztagKöln, 30.08.2018 / Robert Krelle
DS-GVO und IT-GrundschutzTraumhochzeit oder Rosenkrieg?
Robert Krelle
Ministerium für Landwirtschaft und Umwelt
Mecklenburg-Vorpommern
Bildnachweis:
flowers-260894_1920.jpgheartbreak-1209211_1920.jpg
Lizenz: CC0 Creative Commonswww.pixabay.com