Schulung: Umsetzung Datensicherheitsverordnung 06. März 2008 [Stand 25. März 2008] Dr. iur. René...

Schulung:

Umsetzung

Datensicherheitsverordnung

06. März 2008 [Stand 25. März 2008]

Dr. iur. René Huber, Datenschutzbeauftragter des Kantons Zug

Reto Zbinden, Swiss Infosec AG

In Zusammenarbeit mit René Loepfe, Leiter AIO, Kanton Zug

2Schulung: Umsetzung der Datensicherheitsverordnung 2

Agenda

08.30 Begrüssung / Vorstellung / Zielsetzung 08.35 Datensicherheit – Berichterstattung in den Medien 08.45 Datensicherheit – aus der Praxis des AIO 08.55 Rechtliche Grundlagen: Bund und Kanton Zug 09.00 So erstellen Sie den Massnahmenkatalog (Teil I)

09.30 PAUSE (15')

09.45 So erstellen Sie den Massnahmenkatalog (Teil II) 10.30 So schulen Sie Ihre Mitarbeitenden Teil I

10.45 PAUSE (15')

11.00 So schulen Sie Ihre Mitarbeitenden Teil II 11.40 Hier erhalten Sie zusätzliche Hilfe 11.45 Fragen und Antworten


1. Begrüssung / Vorstellung


2. Zielsetzung

Gemäss Datensicherheitsverordnung (DSV) müssen datenbearbeitenden Organe in der Lage sein, die Vorgaben der DSV rechtskonform und grundsätzlich selbstständig umzusetzen.

Heute erfahren Sie, was Sie wie tun müssen.


2. Zielsetzung

Was wir nicht wollen:


3. DatensicherheitBerichterstattung in den Medien (1)

Patientendaten im Müll: 12 kg Unterlagen der CSS auf der Strasse gefundenEin Anwohner will einen fremden Kehrichtsack ordnungsgemäss in den Container werfen. Als der Sack dabei reisst, fallen gut 12 kg Krankenunterlagen der Krankenkasse CSS auf die Strasse, darunter Krankengeschichten, Versicherungsabschlüsse, Mandatserteilungen, usw.

Einsatzprotokoll im InternetDie Hessische Polizei stellt versehentlich ein 13 Seiten langes Einsatzprotokoll von Verkehrskontrollen ins Netz. Darin finden sich Namen, Geburtsdaten, aktuelle Adressen der Kontrollierten, „eventuelle Vorstrafen“, Automarke, Kennzeichen sowie Gesetzesverstösse. Die Daten standen ab Februar 2006 fast ein Jahr im Netz.

Amerikanische Zuständeprivacyrights.org schätzt, dass in den USA insgesamt 217,551,182 Personen vom Diebstahl oder Verlust ihrer besonders schützenswerten Personendaten betroffen sind.


3. Datensicherheit Berichterstattung in den Medien (2)

Pannenland Grossbritannien Januar 2008

Dem britischen Verteidigungsministerium werden auf einem Notebook Informationen über rund 600.000 potenzielle Rekruten gestohlen.

Dezember 2007Daten von drei Millionen Führerscheinkandidaten und 7.500 Fahrzeugen werden versehentlich gelöscht.

November 2007Das Nationalen Gesundheitssystems (NHS) verliert vertraulichen Informationen von 160.000 kranken Kindern.

November 2007Die Steuerbehörden verlieren zwei CDs mit den persönlichen Daten von 25 Millionen Personen, bzw. 7,25 Millionen Familien, die Kindergeld beziehen.


3. DatensicherheitBerichterstattung in den Medien (3)

TelefonauskunftDie Auskunft der Telekom schlampte 2002 und gab die Adresse des Frauenhauses Tübingen heraus. Daraufhin musste die ganze Einrichtung schliessen, weil die Sicherheit der Frauen nicht mehr gewährleistet war.

Brief von der BankEine englische Kundin der britischen Grossbank HBOS bekam 2007 nicht nur ihren eigenen Kontoauszug zugeschickt, sondern gleich fünf Briefe mit insgesamt rund 2.500 Seiten, die Angaben zu den Finanzverhältnissen von 75.000 Kunden enthielten.

Grösster FallDie Kaufhauskette TJX Companies Inc. gibt 2007 öffentlich bekannt, dass sein Datenverarbeitungssystem für Kreditkartendaten gehackt wurde. Es wurden 45,7 Millionen Kreditkarten-Datensätze und über 455.000 Kundenunterlagen zur Warenrückgabe (samt Kundenname und Führer-scheindaten) gestohlen.


4. Rechtliche Grundlagen: Überblick

4.1 Datenschutzprinzipien

Offenheitsprinzip Prinzip individuellen Zugangs Prinzip individueller Teilhaberschaft Prinzip der Adäquanz Prinzip der Verwendungsbeschränkung Prinzip der Weitergabebeschränkung Prinzip des Datenverantwortlichen

10Schulung: Umsetzung der Datensicherheitsverordnung

11

5. DSV Datensicherheitsverordnung Kanton Zug

Bezweckt den Schutz von Daten Gilt für alle dem DSG unterstellten Organe Regelt das Verfahren und die Zuständigkeiten zur

Gewährleistung der Sicherheit von Daten

Schulung: Umsetzung der Datensicherheitsverordnung 11

12

5. Datensicherheitsverordnung (1)

§ 1 Gegenstand und Geltungsbereich1 Diese Verordnung regelt das Verfahren und die Zuständigkeiten zur

Gewährleistung der Sicherheit von Daten, die mit elektronischen Hilfsmitteln

oder auf andere Weise bearbeitet werden.

2 Sie gilt für die dem Datenschutzgesetz unterstellten Organe. Für Organe,

die für den Kanton oder die Gemeinden öffentliche Aufgaben erfüllen, ist

sie nur im Rahmen der übertragenen Aufgaben anwendbar.

§ 2 Zweck der DatensicherheitDie Datensicherheit bezweckt den Schutz von Daten insbesondere gegen:

a) zufällige Bekanntgabe, Vernichtung oder Verlust;

b) technische Fehler;

c) unbefugte Kenntnisnahme;

d) unbefugte Bearbeitung;

e) Fälschung, Entwendung oder widerrechtliche Verwendung.


13


§ 3 Überprüfung der DatensicherheitDie Organe sind verantwortlich für die Überprüfung der Sicherheit der

Daten in den Phasen ihrer Erhebung, Bearbeitung, Aufbewahrung und

Löschung. Für die Überprüfung der Sicherheit der Daten in der Phase der

Archivierung ist das Archiv zuständig.

§ 4 Sicherheitsmassnahmen1 Die Organe bestimmen die zum Schutz der Daten erforderlichen

Sicherheitsmassnahmen, wie Zugangs-, Benutzer-, Zugriffs- oder Bearbeitungskontrollen.

2 Sie berücksichtigen dabei den gegenwärtigen Stand der Technik sowie

die Grundsätze der Verhältnismässigkeit und Wirtschaftlichkeit.

3 Sie erstellen einen Massnahmenkatalog, der Auskunft gibt über den

Zweck und die Kosten der vorgeschlagenen Massnahmen sowie den Zeitbedarf

für deren Umsetzung.


14


§ 5 Umsetzung1 Die Organe beantragen die Umsetzung des Massnahmenkatalogs – je

nach Zuständigkeit – bei den Direktionen, dem Obergericht, dem Verwaltungsgericht,

der Staatskanzlei sowie den vorgesetzten gemeindlichen Stellen.

Bei ausgelagerter Datenbearbeitung gehen die betreffenden Organe

sinngemäss vor.

2 Die Organe sorgen für die Instruktion der Mitarbeitenden und überprüfen

alle vier Jahre die Wirksamkeit der bisherigen Massnahmen.

§ 6 RegierungsratDer Regierungsrat erlässt eine Weisung zur Überprüfung der Datensicherheit.


15

5.1 Überprüfung Datensicherheit

1.Organe bestimmen zuständige Personen

2.Durchführung der Prüfung / Vorgehensmethodik

Folgende Aufgaben werden von den zuständigen Personen der Organe wahrgenommen:

a) Überprüfung der Datensicherheit

b) Erstellung des Massnahmenkatalogs

c) Beantragen die Bewilligung der vorgesehenen Massnahmen

d) Instruktion der Mitarbeitenden


16

5.2 Überprüfung der Datensicherheit: Weisung

Die Organe überprüfen die Datensicherheit in denjenigen Bereichen, die sie selber beeinflussen können: Zutrittschutz zu Büros, Zugriffschutz von Fachanwendungen, Aufbewahrung und Entsorgung von Datenträgern etc.

Die Sicherstellung eines angemessenen Sicherheitsniveaus im Bereich Netzwerke, Server, Arbeitsplatzeinrichtungen sowie organübergreifender Fachanwendungen erfolgt durch die jeweiligen Informatikleistungs-erbringer. Sofern es sich bei den Informatikleistungserbringern um externe Dritte handelt, sind diese entsprechend vertraglich zu verpflichten.

Die Datenschutzstelle berät die Organe in grundsätzlichen Fragen der Datensicherheit.

Für spezifische informatiktechnische Fragen können sich kantonale Organe an das AIO bzw. gemeindliche Organe an ihren jeweiligen Informatikleistungserbringer wenden.


17

5.3a Vorgehen: Ermitteln der Schutzobjekte

Zu beurteilende Schutzobjekte werden ermittelt und auf einer Liste erfasst:

o Personendaten, die mit elektronischen Mitteln und/oder manuell bearbeitet werden

Wie und in welchen Systemen werden Personendaten bearbeitet, gespeichert, gelagert?

In welchen Räumen werden Personendaten bearbeitet ?

Verantwortungsbereich der Datensammlungen innerhalb der jeweiligen Amtstelle? Wer? siehe Register!

Verantwortungsbereich der Applikation innerhalb der jeweiligen Amtsstelle? Wer?


1818

5.3a Vorgehen: Schutzobjekte

Schulung: Umsetzung der Datensicherheitsverordnung

Liste der Datensammlungen aktuell?

Register der Datensammlungen, Volltextsuche

www.datenschutz-zug.ch

Bsp. (1)


Bsp. (2):


21

5.3b Vorgehen: Überprüfung (§ 3 DSV)

Bezüglich aller Schutzobjekte (Einträge auf Liste aus erstem Schritt) sind die Sicherheitsanforderungen auf ihre Einhaltung hin zu überprüfen (siehe hinten), sofern diese nicht im jeweiligen Verantwortungsbereich eines Informatikleistungserbringers liegen.

Bsp.: Sind Zutrittsorte gesichert und Systeme mit sicheren Passwörtern geschützt und werden diese periodisch geändert?

Pro MemoriaMA erhalten ein Set einfach umzusetzender Merkblätter, die auf der Homepage der Datenschutzstelle zur Verfügung steht http://www.datenschutz-zug.ch


22

5.3c Vorgehen: Massnahmenkatalog (§ 4 DSV)

Zu ergreifende Sicherheitsmassnahmen sind in einem Massnahmenkatalog aufzulisten (siehe Muster im Anhang).

Für Auswahl konkreter Massnahmen kann auf Arbeitsunterlagen und Massnahmenvorschläge des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) sowie des Informatikstrategieorgans Bund zurückgegriffen werden.

Vollständiger Massnahmenkatalog gibt Auskunft über Zweck, Kosten sowie Zeitbedarf für Umsetzung der Massnahmen.


2323

5.3c Vorgehen: Muster Massnahmenplan


24

5.3d Vorgehen: Umsetzung

Zuständige Organe entscheiden, welche Massnahmen bis wann umgesetzt werden.

Kostenwirksame Massnahmen werden im Rahmen des Budgets umgesetzt, einfache Massnahmen ohne Kostenfolgen umgehend.

Verantwortliche Person für Instruktion der Mitarbeitenden stellt sicher, dass Mitarbeitende informiert und ausgebildet werden.

Organe überprüfen Wirksamkeit der Massnahmen alle vier Jahre.


25

5.4 Zusammenfassung

Zusammenfassung des Vorgehens Zuständige Personen für Datensicherheitsüberprüfung, Erstellung

Massnahmenkatalog, Bewilligung der beantragten Massnahmen sowie Instruktion der Mitarbeitenden sind bestimmt.

Erstellen Schutzobjektliste. Überprüfung der Datensicherheit, wo nötig mit entsprechenden Stellen

koordiniert. Massnahmenkatalog wurde erarbeitet und der Bewilligungsinstanz zum

Entscheid vorgelegt. Umzusetzende Massnahmen wurden von Bewilligungsinstanz beschlossen.

Nicht kostenwirksame Massnahmen wurden umgehend in Angriff genommen. Kostenwirksame Massnahmen sind budgetiert, Mittel bewilligt, Arbeiten

personell zugewiesen und zur Umsetzung freigegeben. Massnahmen sind umgesetzt.


26

5.5 Sicherheitsanforderungen

Die Sicherheitsanforderungen für Organe richten sich an die für die Überprüfung der Datensicherheit zuständigen Personen und nicht an die Benutzerinnen und Benutzer von Geräten an Informatikarbeitsplätzen.

Für Letztere stehen auf der Homepage der kantonalen Datenschutzstelle diverse Merkblätter zur Verfügung.

Die Organe überprüfen die Sicherheit ihrer Personendaten anhand der nachstehenden Sicherheitsanforderungen.


27

5.5 Sicherheitsanforderungen A1 (1)

Papierdokumente werden mittels Aktenvernichter geshreddert (Maximalgrösse 4 x 80mm) und mit geeigneten Mitteln entsorgt.

Elektronische Daten/Datenträger werden vernichtet:o Formatierung der Datenträger UND mindestens 2malige Überschreibung

(Software) mit komplexen Zeichenketten (=nicht nur „0“) odero Entmagnetisierung (für magnetische Datenträger) odero physische/mechanische Zerstörung der Disketten, CD/DVD,

USB-Sticks, Streamertapes etc.


Die Entsorgung von Datenträgern ist so geregelt, dass keine Rückschlüsse auf den Inhalt oder die gespeicherten Daten möglich sind. Reparaturen von Geräten sind von Fall zu Fall zu regeln (vertrauliche Daten sind vorher zu löschen).

28


Wo Material vor der Entsorgung gesammelt wird, ist die Sammlung unter Verschluss zu halten.

Achtung:

o Gilt auch für Datenträger in Multifunktionsgeräten (Scanner, Drucker, PDA, Foto-Geräte etc.)

o Die Vorgaben bezüglich Archivierung sind einzuhalten


29

5.5 Sicherheitsanforderungen A2


Sämtliche Zugriffe auf Fachanwendungen sind mit einem Authentifikationsprozess bzw. sicheren Passwörtern geschützt. Die Passwörter erzwingen einen automatischen, periodischen Passwortwechsel

Alle Anwendungen sind durch eine Autorisierung bzw. ein sicheres Passwort geschützt.

Der Zugang ist, sofern technisch möglich, erst nach einer individuellen Identifikation (z.B. Namen oder User-ID) und Authentisierung (z.B. durch Passwort) des Nutzungsberechtigten möglich. Der Zugang wird protokolliert.

Die Fachanwendungen erzwingen einen automatischen, periodischen Passwortwechsel mindestens alle 90 Tage und ein sicheres Passwort.

Siehe Verordnung über die Benutzung von elektronischen Kommunikationsmitteln im Arbeitsverhältnis vom 17.12.2002 und Merkblatt Passwortschutz.

30


Identität der Berechtigten wird formell geprüft. Papierablagen und Datenträger sind durch Dritte nicht zugänglich, weil

unter Verschluss oder in Räumen mit Zutrittsbeschränkung. Es existiert ein Zutritts- bzw. ein Schlüsselmanagement (inkl. Reserve-

Schlüssel) und Weisungen wie vertrauliche Dokumenten abzulegen sind.

Versendung von Dokumente erfolgt durch persönliche Adressierung.


Es dürfen keine Information an Unberechtigte weitergegeben werden. Vertrauliche Dokumente in gedruckter Form sowie elektronische Datenträger werden in den dafür vorgesehenen Schränken oder im Pult eingeschlossen.Nicht mehr benötigte vertrauliche Dokumententwürfe werden vernichtet.

31


Prinzipiell werden keine Dokumente/Datenträger an öffentlich zugängliche Orte versendet (z.B. gemeinsam genutzte Fax-Geräte).

Papierablagen und Datenträger sind durch Dritte nicht zugänglich, sondern unter Verschluss oder in Räumen mit Zutrittsbeschränkung aufzubewahren.

Bei Anwesenheit von Service-Personal (inkl. Reinigungspersonal) in zutrittsberechtigten Räumen sind Dokumente/Datenträger nicht zugänglich aufzubewahren.

Für Entsorgung siehe auch Sicherheitsanforderung A1

Achtung: Vorsicht beim Drucken an Netzwerkdruckern (ev. Passwortschutz

aktivieren).


32


Für jede Applikation sind die geschäftskritischen Funktionen bekannt.

Für jede Applikation und Hardware sind die sicherheitstechnischen Funktionen bekannt und es ist dokumentiert wie diesbezüglich die Applikation und Hardware einzurichten (Parameter usw.) sind.

Es existieren Checklisten wie die Applikation und Hardware auf ihre Funktionsfähigkeit überprüft werden muss.

Es existieren Checklisten wie die Vollständigkeit der Daten überprüft werden kann.


Bei Neuinstallationen und Releasewechseln von Hardware und Software werden mindestens alle geschäftskritischen und sicherheitstechnisch wichtigen Funktionen auf ihre Funktionstüchtigkeit überprüft.

33


Diese Checklisten werden bei Neuinstallationen, Updates und Releasewechseln eingesetzt und dienen der Abnahme der Installation.

Vor einer Neu-Installation bzw. Release-Wechsel werden die Daten gesichert.


34


Pro Anwendung ist eine Liste von Mitarbeitern (oder mindestens Funktionen) vorhanden, die auf die Applikation und Daten zugreifen müssen.

Es ist sichergestellt, dass Zugriffe auf ein System oder auf Fachanwendungen und deren Daten auf Mitarbeiter beschränkt wird, die diese Daten zur Arbeitserledigung auch benötigen (Need to know -Prinzip).

Sämtliche Zugriffe auf sensitive Daten sind nur von autorisierten Personen möglich.

Die Zugriffsliste wird jährlich überprüft und bei personellen Veränderungen sofort angepasst.


Es ist sichergestellt, dass nur Berechtigte Zugriff auf ein System oder bestimmte Fachanwendungen und deren Daten haben.

35


Die sicherheitsrelevanten Prozesse sind bekannt, und die entsprechenden Dokumentation und Weisungen sind aktuell:

o Erfassen, Mutieren und Löschen von Daten

o Erfassen, Mutieren und Löschen von Zugriffsberechtigungen

o Schlüssel- und Zutrittsmanagement

o Anträge für Änderungen der Applikationen/Hardware(siehe auch Sicherheitsanforderung A7)


Sicherheitsrelevante Prozesse (Onlinezugriffe, Mutationsprozesse jeglicher Art) werden von der für die jeweilige Datensammlung zuständigen Stellen organisiert, umgesetzt und dokumentiert.

36


Es ist bekannt, wer einen Änderungsauftrag an die Betriebsorganisation stellen darf und wer den Auftrag genehmigen muss.

Aufträge an den Informatikbetreiber werden schriftlich formuliertund beinhalten im Minimum:- Antragsteller- Kontaktperson für Abstimmungen- Antrag (möglichst detailliert, mit Inhalt/Termine)- Genehmigung (4-AugenPrinzip)

Der Informatikbetreiber dokumentiert / quittiert schriftlichdie durchgeführten Änderungen.


Änderungsaufträge an die Betriebsorganisation des Informatikbetreibers erfolgen schriftlich.

37


Anträge und Korrespondenz werden für 5 Jahre abgelegt.

Bevor Änderungen genehmigt und durchgeführt werden, muss durch Prüfung und Tests sichergestellt werden, dass das Sicherheitsniveau während und nach der Änderung erhalten bleibt.


38


Die Fachanwendungen protokollieren im Detail:o User-ID, Arbeitsstation, Zeitpunkt, Applikation (/Aktivität)o gescheiterte Zugriffsversuche durch Eingabe von User-ID

(inkl. User-ID, Arbeitsstation, Zeitpunkt)o gescheiterte Objektzugriffe (inkl. User-Id, Arbeitsstation, Zeitpunkt)o Änderungen der Zugriffsberechtigung

(welche Rechte sind durch welche User-Id und Zeitpunkt verändert worden)

38

Folgende Aktivitäten in den Fachanwendungen werden aufgezeichnet:- gescheiterte Authentifikationsversuche- gescheiterte Objektzugriffe- Vergabe und Änderungen von Privilegien und- alle Aktionen, die erhöhte Privilegien erfordern.


39


Die Protokolle werden mindestens monatlich überprüft (speziell fehlgeschlagene Authentifizierungen).

Die Protokolle gescheiterter Zugriffe werdenmindestens 6 Monate aufbewahrt.


40


ALLE vordefinierte Accounts, Initialpasswörter, Privilegien oder Zugriffsrechte werden sofort geprüft und nötigenfalls angepasst oder gelöscht.

Reset-Prozeduren (mit Neu-Generierung von Standardpasswörtern) werden überprüft/angepasst.

Die Sicherheitseinrichtungen werden aktiviert (Verschlüsselung, Anmeldeprozeduren, Anti-Viren-Programme,…).

Notwendige System-Passwörter sind unter Verschluss zu halten (Passwort-Management).


Bei der Installation von Fachanwendungen werden vordefinierte Accounts, Initialpasswörter, Privilegien oder Zugriffsrechte sofort kontrolliert und nötigenfalls angepasst oder gelöscht.

41


Es existiert eine Liste der zu benutzenden Datenübertragungsein-richtungen und die einzuhaltenden Prozeduren, die Vertraulichkeit und Integrität garantieren.

Die Verteilung von Daten, Benutzernamen, kritischen Systemdaten und Passwörtern wird dokumentiert und gegebenenfalls quittiert.

Es werden nur Daten übermittelt, die auch benötigt werden (Need-to-Know).

Passwörter werden verschlüsselt oder persönlich übergeben. Datenübertragungen werden durch Hashwerte oder mindestens

durch Zählung der übertragenen Datensätze sichergestellt.41

Die Vertraulichkeit und Integrität der Datenübertragung von Benutzernamen, Passwörtern, Schlüsseln oder andere kritische Systemdaten aus Fachanwendungen ist bei der Übertragung über Netze sichergestellt.


42


Siehe Text oben Systemzugriffsperren dürfen nicht de-aktiviert werden


Systemzugriffsperren werden nach einer definierten Zeit (in der Regel 10 Minuten) automatisch aktiviert. Eine manuelle Aktivierung ist ebenfalls möglich. Falls eine entsprechende Sperrung aus technischen Gründen nicht möglich ist, ist der Zugang zu unbeaufsichtigten Arbeitsplätze geschützt (z.B. Abschliessen des Raumes).

43


Mobile Informatikmittel die ausserhalb des eigenen Büro verwendet werden sind speziell zu schützen (siehe auch oben).


• Da mobile Informatikmittel (Notebooks, elektronische Agenden, Mobiltelefone etc.) nicht nur im eigenen Büro verwendet werden, sondern auch ausserhalb des Arbeitsplatzes, sind sie mit geeigneten technischen Massnahmen zu schützen (z.B. Pre-Boot-Authentifikation, sichere Volumelabels, Diskverschlüsselung etc.).

• Die Schutzvorrichtungen (Antivirus, Firewall) sind regelmässig (mindestens wöchentlich) zu aktualisieren.

• Die Benutzer sind in Fragen des Umgangs mit vertraulichen Daten in der Öffentlichkeit geschult.

• Für die Fernwartung sind speziell überwachte Accounts eingerichtet.

44


Neue Mitarbeiter müssen interne Regelungen, Gepflogenheiten und Verfahrenweisen im IT-Einsatz (inkl. Sicherheitsmassnahmen) und Datenschutz kennen und sind zeitnahe geschult worden. Die Schwachstellen der Office-Programme sind bei den Mitarbeitern bekannt:

- Schwache Passwörter- OLE-Funktion (Dokumente enthalten versteckte Informationen über die Bearbeitung)- Autofill-Funktion ….

Spezielle Accounts für die Fernwartung werden besonders überprüft und nach Möglichkeit nach dem Eingriff wieder blockiert bzw. mit einem neuen Passwort versehen.


45


Internet / E-Mail: Personendaten werden nur verschlüsselt übermittelt.

Der Informatikbetreiber oder das AIO gibt Auskunft über Verschlüsselungsoftware.

Laptops, PDA und Speichermedien: ausserhalb von geschützten Räumen sind persönliche Daten auf Speichermedien zu verschlüsseln.

Die Zugangspasswörter sind sorgfältig und getrennt von den Speichermedien aufzubewahren/zu übermitteln.


Internet/E-Mail: Personendaten werden nur verschlüsselt übermittelt

46


Pro Fachanwendung ist dokumentiert, welche Ausweichlösungen für kurz- und langfristige Ausfälle zur Verfügung stehen.

Die Behandlung von Ausfällen und das konkrete Vorgehen sind vom Betreiber in Zusammenarbeit mit dem zuständigen Organ definiert und vereinbart worden. Speziell ist die Reaktionszeit und die Verantwortlichkeiten zu klären.


Pro Fachanwendung ist festgelegt, welche Ausweichlösung zur Verfügung steht. Die Behandlung von Stör-, Not- und Katastrophenfällen und das konkrete Vorgehen sind vom Betreiber in Zusammenarbeit mit dem zuständigen Organ definiert und vereinbart worden.

47

Es existieren Datensicherungspläne, die Auskunft geben über Speicherort der Daten im Normalbetrieb, Bestand der gesicherten Daten, Zeitpunkt der Datensicherung, Art und Umfang, Verfahren für die Rekonstruktion der Daten.

Sicherungskopien sind in zutrittsgeschützten Räumen, ausserhalb des Arbeitsplatzes und Computerraum aufbewahrt.

Backup-Prozeduren werden jährlich geprüft.



Ist der Mensch das Risiko?


Hier entstehen Gefahren…

MENSCH

GEBÄUDE

SERVER

ZENTRALEDATEN

ÜBERMITTLUNG

PC/DRUCKER

LOKALE DATEN


50

6. Detailbesprechung: Benutzerinstruktion (1)

Der Mensch bildet das Hauptrisiko. Der Mensch ist es aber auch, der durch gezielte Tätigkeiten die

Risiken entschärfen bzw. die Risiken wahrnehmen kann. Erkennen dieser zentralen Rolle des Menschen. Hauptbeeinflussungsfaktoren:

o Sensibilisierungo Mobilisierungo Motivierungo Ausbildungo Information


51


Zieleo Sicherheitsziele und Regeln müssen klar und eindeutig formuliert sein.o Alle Mitarbeitenden müssen in der Lage sein, die gestellten

Anforderungen zu erfüllen, nämlich das Sicherheitsziel zu erreichen.o Alle Mitarbeitenden müssen in der Lage sein, sichere

Arbeitshandlungen von unsicheren Arbeitshandlungen unterscheiden zu können.

o Alle Mitarbeitenden müssen wissen, was sie zu tun haben, um unsichere Arbeit zu verhindern.

o Alle Mitarbeitenden müssen wissen, was sie zu tun haben, wenn sie unsichere Arbeit nicht verhindern konnten.

o Alle Mitarbeitenden müssen die Konsequenzen unsicherer Arbeitshandlungen für den Betrieb genau kennen.




Die Ausbildung der Mitarbeitenden soll bis Ende September 2008 erfolgen. Der Nachweis soll bei Bedarf durch die Organe erbracht werden können, wer, wann ausgebildet wurde.

Durchsicht Merkblätter Durchsicht unterstützende Folien Welche weiteren Hilfsmittel gibt es? Wie werden Hilfsmittel eingesetzt?


Merkblatt «Der sichere Umgang mit Daten»

Bei der Bearbeitung von Personendaten bestehen gewisse Risiken und Gefahren: Schutz gegen Zugriff Unberechtigter

Bei Abwesenheit Bei Arbeitsschluss

Weitergabe, Speichern und Löschen von Daten Weitergabe von Daten Speichern von Daten Löschen von Daten

Schutz vor Verlust Mobile Datenträger Viren: Schutz vor Viren und Vorgehen bei Auftreten von Viren



Kommunikation über Netze Internet Intranet und internes Netz

Datenspuren In Dateien Beim Surfen

Rechtsgrundlagen Datenschutzgesetz des Kantons Zug Datensicherheitsverordnung Verordnung über die Benutzung von elektronischen Kommunikationsmitteln im

Arbeitsverhältnis Personalgesetz und Personalverordnung Strafgesetzbuch



Weitere zusätzliche Hinweise DSB Kanton Zug:

http://www.datenschutz-zug.ch/ DSB Kanton Zürich:

Lernprogramm zu Datensicherheit http://www.datenschutz.ch/wbt/sicherheit/index1.htm

Grobanalyse getroffener Massnahmen für Datenschutz und Informatiksicherheithttps://review.datenschutz.ch/review/index.php

Eidg. Datenschutz- und Öffentlichkeitsbeauftragter:http://www.edoeb.admin.ch


Merkblatt «Passwort»

Passwort: Schutz vor dem Zugriff Unberechtigter Ein gutes – oder «starkes» Passwort

mind. 8 oder besser aus 10 Zeichen enthält Zahlen, Buchstaben und Sonderzeichen kombiniert hat Gross- und Kleinbuchstaben können Sie sich gut merken, andere aber nicht erraten, zum Beispiel

Sonn**EN00schein, fRan?ziska57 besteht nicht nur aus Wörtern – auch nicht in einer Fremdsprache – oder

Namen

Anleitung für sichere Passwörter Bilden Sie einen Satz: «Im August schien die Sonne nur 1x!» ergibt das starke

Passwort: <IAsdSn1x!>


Merkblatt «Passwort»

Handhabung des Passwortes Halten Sie das Passwort geheim Ändern Sie das Passwort spätestens nach vier Monaten Verwenden Sie für verschiedene Anwendungen verschiedene Passwörter Keine Weitergabe an Mitarbeiter oder Dritte Verwenden Sie privat und geschäftlich andere Passwörter

Wichtige zusätzliche Informationen zum Passwort Hier können Sie überprüfen, wie gut Ihr Passwort ist:

https://review.datenschutz.ch/passwortcheck/check.php


Merkblatt «Der sichere Umgang mit E-Mail»

Eile mit Weile! Ein Klick und Ihr Mail ist unwiderruflich weg

Wissen Sie wirklich, wer der Adressat ist? Versand innerhalb des verwaltungseigenen Netzes

Endet die Adresse auf «.zg.ch», erfolgt die Zustellung über das eigene Netz

Versand via Internet Erhalt von E-Mails

Mails von zweifelhafter Herkunft sind ungeöffnet zu löschen Ebenso ungeöffnet zu löschen sind Dateien mit der Endung «.scr»,

ausführbare Dateien («.exe», «.bat», «.vbs» etc.) und Bilder von zweifelhafter Herkunft

Fehlende Gewissheit über Identität des Absenders erfordert telefonisches Nachfragen beim Absender


Merkblatt «Der sichere Umgang mit E-Mail»

Vorgehen bei Ferienabwesenheit Eingehende E-Mails nicht automatisch an eine E-Mail-Adresse ausserhalb des

eigenen Netzes weiterleiten Absenderinnen und Absender von E-Mails mit einer automatischen Antwort

über Ihre Ferienabwesenheit und Ihre Stellvertretung informieren

Wichtige zusätzliche Informationen im Umgang mit E-Mail Private Nutzung von E-Mails? Zur Verschlüsselung von [Office-] Dokumenten


«Kundenkontakt»

Identität von Anfragenden Datenbekanntgaben per Telefon Anfragen per E-Mail Datenbekanntgabe per Fax oder SMS

Voraussetzungen von Datenbekanntgaben Amtsgeheimnis gilt grundsätzlich auch zwischen den verschiedenen Stellen

innerhalb der Verwaltung Personendaten dürfen anderen Stellen grundsätzlich nur dann

bekanntgegeben werden, wenn eine entsprechende ausdrückliche gesetzliche Grundlage dies zulässt oder die betroffene Person der Datenbekanntgabe zugestimmt hat

An Privatpersonen darf ausschliesslich Auskunft über ihre eigenen Daten gegeben werden


«Kundenkontakt»

Einsichtsrecht der Betroffenen Jede betroffene Person hat das Recht, ihre eigenen Daten einzusehen und

grundsätzlich kostenlose Kopien ihrer Daten zu verlangen Jede betroffene Person hat das Recht, falsche Daten berichtigen zu lassen Die Betroffenen haben das Recht zu wissen, zu welchem Zweck und auf

welcher Rechtsgrundlage Daten über sie bearbeitet und an wen sie weitergegeben werden

Auskünfte an Betroffene über ihre eigenen Daten müssen speditiv erfolgen und vollständig und richtig sein. Der anfragenden Person entstehen grundsätzlich keinerlei Kosten. Die Beantwortung der Anfrage erfolgt in der Regel schriftlich.


Merkblatt «Mobile Geräte»

Mobile Geräte (Laptops/Notebooks, PDA, Mobiltelefone/Smartphones, USB-Sticks etc.) Grundsätzlich dieselben Sicherheitsbestimmungen wie für feste

Arbeitsstationen Schutz des Gerätes durch ein starkes Passwort Diverse Möglichkeiten zur drahtlosen Kommunikation (WLAN, Bluetooth,

Infrarot, GSM etc.) Nutzung von öffentlichen «Hotspots» ist zu vermeiden Aktualisierung des Virenschutzes Umgehende Information an IT-Verantwortlichen bei Verlust oder Diebstahl

Verschlüsselung SMS, MMS und E-Mail Vertrauliches gehört nicht an die Öffentlichkeit


8. Wichtige Links

DSB Kanton Zug

DSB Kanton Zürich

Kantonale DSB

Eidg. Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB)

Deutsches Grundschutzhandbuch

www.datenschutz-zug.ch

www.datenschutz.ch

www.privatim.ch

www.edoeb.admin.ch

www.bsi.de


9. Fragen und Antworten

Schulung: Umsetzung Datensicherheitsverordnung 06. März 2008 [Stand 25. März 2008] Dr. iur. René...

Documents

Transcript of Schulung: Umsetzung Datensicherheitsverordnung 06. März 2008 [Stand 25. März 2008] Dr. iur. René...