Schulung: Umsetzung Datensicherheitsverordnung 06. März 2008 [Stand 25. März 2008] Dr. iur. René...
-
Upload
berend-westenhaver -
Category
Documents
-
view
106 -
download
0
Transcript of Schulung: Umsetzung Datensicherheitsverordnung 06. März 2008 [Stand 25. März 2008] Dr. iur. René...
Schulung:
Umsetzung
Datensicherheitsverordnung
06. März 2008 [Stand 25. März 2008]
Dr. iur. René Huber, Datenschutzbeauftragter des Kantons Zug
Reto Zbinden, Swiss Infosec AG
In Zusammenarbeit mit René Loepfe, Leiter AIO, Kanton Zug
2Schulung: Umsetzung der Datensicherheitsverordnung 2
Agenda
08.30 Begrüssung / Vorstellung / Zielsetzung 08.35 Datensicherheit – Berichterstattung in den Medien 08.45 Datensicherheit – aus der Praxis des AIO 08.55 Rechtliche Grundlagen: Bund und Kanton Zug 09.00 So erstellen Sie den Massnahmenkatalog (Teil I)
09.30 PAUSE (15')
09.45 So erstellen Sie den Massnahmenkatalog (Teil II) 10.30 So schulen Sie Ihre Mitarbeitenden Teil I
10.45 PAUSE (15')
11.00 So schulen Sie Ihre Mitarbeitenden Teil II 11.40 Hier erhalten Sie zusätzliche Hilfe 11.45 Fragen und Antworten
3Schulung: Umsetzung der Datensicherheitsverordnung 3
1. Begrüssung / Vorstellung
4Schulung: Umsetzung der Datensicherheitsverordnung 4
2. Zielsetzung
Gemäss Datensicherheitsverordnung (DSV) müssen datenbearbeitenden Organe in der Lage sein, die Vorgaben der DSV rechtskonform und grundsätzlich selbstständig umzusetzen.
Heute erfahren Sie, was Sie wie tun müssen.
5Schulung: Umsetzung der Datensicherheitsverordnung 5
2. Zielsetzung
Was wir nicht wollen:
6Schulung: Umsetzung der Datensicherheitsverordnung 6
3. DatensicherheitBerichterstattung in den Medien (1)
Patientendaten im Müll: 12 kg Unterlagen der CSS auf der Strasse gefundenEin Anwohner will einen fremden Kehrichtsack ordnungsgemäss in den Container werfen. Als der Sack dabei reisst, fallen gut 12 kg Krankenunterlagen der Krankenkasse CSS auf die Strasse, darunter Krankengeschichten, Versicherungsabschlüsse, Mandatserteilungen, usw.
Einsatzprotokoll im InternetDie Hessische Polizei stellt versehentlich ein 13 Seiten langes Einsatzprotokoll von Verkehrskontrollen ins Netz. Darin finden sich Namen, Geburtsdaten, aktuelle Adressen der Kontrollierten, „eventuelle Vorstrafen“, Automarke, Kennzeichen sowie Gesetzesverstösse. Die Daten standen ab Februar 2006 fast ein Jahr im Netz.
Amerikanische Zuständeprivacyrights.org schätzt, dass in den USA insgesamt 217,551,182 Personen vom Diebstahl oder Verlust ihrer besonders schützenswerten Personendaten betroffen sind.
7Schulung: Umsetzung der Datensicherheitsverordnung 7
3. Datensicherheit Berichterstattung in den Medien (2)
Pannenland Grossbritannien Januar 2008
Dem britischen Verteidigungsministerium werden auf einem Notebook Informationen über rund 600.000 potenzielle Rekruten gestohlen.
Dezember 2007Daten von drei Millionen Führerscheinkandidaten und 7.500 Fahrzeugen werden versehentlich gelöscht.
November 2007Das Nationalen Gesundheitssystems (NHS) verliert vertraulichen Informationen von 160.000 kranken Kindern.
November 2007Die Steuerbehörden verlieren zwei CDs mit den persönlichen Daten von 25 Millionen Personen, bzw. 7,25 Millionen Familien, die Kindergeld beziehen.
8Schulung: Umsetzung der Datensicherheitsverordnung 8
3. DatensicherheitBerichterstattung in den Medien (3)
TelefonauskunftDie Auskunft der Telekom schlampte 2002 und gab die Adresse des Frauenhauses Tübingen heraus. Daraufhin musste die ganze Einrichtung schliessen, weil die Sicherheit der Frauen nicht mehr gewährleistet war.
Brief von der BankEine englische Kundin der britischen Grossbank HBOS bekam 2007 nicht nur ihren eigenen Kontoauszug zugeschickt, sondern gleich fünf Briefe mit insgesamt rund 2.500 Seiten, die Angaben zu den Finanzverhältnissen von 75.000 Kunden enthielten.
Grösster FallDie Kaufhauskette TJX Companies Inc. gibt 2007 öffentlich bekannt, dass sein Datenverarbeitungssystem für Kreditkartendaten gehackt wurde. Es wurden 45,7 Millionen Kreditkarten-Datensätze und über 455.000 Kundenunterlagen zur Warenrückgabe (samt Kundenname und Führer-scheindaten) gestohlen.
9Schulung: Umsetzung der Datensicherheitsverordnung 9
4. Rechtliche Grundlagen: Überblick
4.1 Datenschutzprinzipien
Offenheitsprinzip Prinzip individuellen Zugangs Prinzip individueller Teilhaberschaft Prinzip der Adäquanz Prinzip der Verwendungsbeschränkung Prinzip der Weitergabebeschränkung Prinzip des Datenverantwortlichen
10Schulung: Umsetzung der Datensicherheitsverordnung
11
5. DSV Datensicherheitsverordnung Kanton Zug
Bezweckt den Schutz von Daten Gilt für alle dem DSG unterstellten Organe Regelt das Verfahren und die Zuständigkeiten zur
Gewährleistung der Sicherheit von Daten
Schulung: Umsetzung der Datensicherheitsverordnung 11
12
5. Datensicherheitsverordnung (1)
§ 1 Gegenstand und Geltungsbereich1 Diese Verordnung regelt das Verfahren und die Zuständigkeiten zur
Gewährleistung der Sicherheit von Daten, die mit elektronischen Hilfsmitteln
oder auf andere Weise bearbeitet werden.
2 Sie gilt für die dem Datenschutzgesetz unterstellten Organe. Für Organe,
die für den Kanton oder die Gemeinden öffentliche Aufgaben erfüllen, ist
sie nur im Rahmen der übertragenen Aufgaben anwendbar.
§ 2 Zweck der DatensicherheitDie Datensicherheit bezweckt den Schutz von Daten insbesondere gegen:
a) zufällige Bekanntgabe, Vernichtung oder Verlust;
b) technische Fehler;
c) unbefugte Kenntnisnahme;
d) unbefugte Bearbeitung;
e) Fälschung, Entwendung oder widerrechtliche Verwendung.
12Schulung: Umsetzung der Datensicherheitsverordnung
13
5. Datensicherheitsverordnung (2)
§ 3 Überprüfung der DatensicherheitDie Organe sind verantwortlich für die Überprüfung der Sicherheit der
Daten in den Phasen ihrer Erhebung, Bearbeitung, Aufbewahrung und
Löschung. Für die Überprüfung der Sicherheit der Daten in der Phase der
Archivierung ist das Archiv zuständig.
§ 4 Sicherheitsmassnahmen1 Die Organe bestimmen die zum Schutz der Daten erforderlichen
Sicherheitsmassnahmen, wie Zugangs-, Benutzer-, Zugriffs- oder Bearbeitungskontrollen.
2 Sie berücksichtigen dabei den gegenwärtigen Stand der Technik sowie
die Grundsätze der Verhältnismässigkeit und Wirtschaftlichkeit.
3 Sie erstellen einen Massnahmenkatalog, der Auskunft gibt über den
Zweck und die Kosten der vorgeschlagenen Massnahmen sowie den Zeitbedarf
für deren Umsetzung.
13Schulung: Umsetzung der Datensicherheitsverordnung
14
5. Datensicherheitsverordnung (3)
§ 5 Umsetzung1 Die Organe beantragen die Umsetzung des Massnahmenkatalogs – je
nach Zuständigkeit – bei den Direktionen, dem Obergericht, dem Verwaltungsgericht,
der Staatskanzlei sowie den vorgesetzten gemeindlichen Stellen.
Bei ausgelagerter Datenbearbeitung gehen die betreffenden Organe
sinngemäss vor.
2 Die Organe sorgen für die Instruktion der Mitarbeitenden und überprüfen
alle vier Jahre die Wirksamkeit der bisherigen Massnahmen.
§ 6 RegierungsratDer Regierungsrat erlässt eine Weisung zur Überprüfung der Datensicherheit.
14Schulung: Umsetzung der Datensicherheitsverordnung
15
5.1 Überprüfung Datensicherheit
1.Organe bestimmen zuständige Personen
2.Durchführung der Prüfung / Vorgehensmethodik
Folgende Aufgaben werden von den zuständigen Personen der Organe wahrgenommen:
a) Überprüfung der Datensicherheit
b) Erstellung des Massnahmenkatalogs
c) Beantragen die Bewilligung der vorgesehenen Massnahmen
d) Instruktion der Mitarbeitenden
Schulung: Umsetzung der Datensicherheitsverordnung 15
16
5.2 Überprüfung der Datensicherheit: Weisung
Die Organe überprüfen die Datensicherheit in denjenigen Bereichen, die sie selber beeinflussen können: Zutrittschutz zu Büros, Zugriffschutz von Fachanwendungen, Aufbewahrung und Entsorgung von Datenträgern etc.
Die Sicherstellung eines angemessenen Sicherheitsniveaus im Bereich Netzwerke, Server, Arbeitsplatzeinrichtungen sowie organübergreifender Fachanwendungen erfolgt durch die jeweiligen Informatikleistungs-erbringer. Sofern es sich bei den Informatikleistungserbringern um externe Dritte handelt, sind diese entsprechend vertraglich zu verpflichten.
Die Datenschutzstelle berät die Organe in grundsätzlichen Fragen der Datensicherheit.
Für spezifische informatiktechnische Fragen können sich kantonale Organe an das AIO bzw. gemeindliche Organe an ihren jeweiligen Informatikleistungserbringer wenden.
Schulung: Umsetzung der Datensicherheitsverordnung 16
17
5.3a Vorgehen: Ermitteln der Schutzobjekte
Zu beurteilende Schutzobjekte werden ermittelt und auf einer Liste erfasst:
o Personendaten, die mit elektronischen Mitteln und/oder manuell bearbeitet werden
Wie und in welchen Systemen werden Personendaten bearbeitet, gespeichert, gelagert?
In welchen Räumen werden Personendaten bearbeitet ?
Verantwortungsbereich der Datensammlungen innerhalb der jeweiligen Amtstelle? Wer? siehe Register!
Verantwortungsbereich der Applikation innerhalb der jeweiligen Amtsstelle? Wer?
Schulung: Umsetzung der Datensicherheitsverordnung 17
1818
5.3a Vorgehen: Schutzobjekte
Schulung: Umsetzung der Datensicherheitsverordnung
Liste der Datensammlungen aktuell?
Register der Datensammlungen, Volltextsuche
www.datenschutz-zug.ch
Bsp. (1)
19Schulung: Umsetzung der Datensicherheitsverordnung
Bsp. (2):
20Schulung: Umsetzung der Datensicherheitsverordnung
21
5.3b Vorgehen: Überprüfung (§ 3 DSV)
Bezüglich aller Schutzobjekte (Einträge auf Liste aus erstem Schritt) sind die Sicherheitsanforderungen auf ihre Einhaltung hin zu überprüfen (siehe hinten), sofern diese nicht im jeweiligen Verantwortungsbereich eines Informatikleistungserbringers liegen.
Bsp.: Sind Zutrittsorte gesichert und Systeme mit sicheren Passwörtern geschützt und werden diese periodisch geändert?
Pro MemoriaMA erhalten ein Set einfach umzusetzender Merkblätter, die auf der Homepage der Datenschutzstelle zur Verfügung steht http://www.datenschutz-zug.ch
Schulung: Umsetzung der Datensicherheitsverordnung 21
22
5.3c Vorgehen: Massnahmenkatalog (§ 4 DSV)
Zu ergreifende Sicherheitsmassnahmen sind in einem Massnahmenkatalog aufzulisten (siehe Muster im Anhang).
Für Auswahl konkreter Massnahmen kann auf Arbeitsunterlagen und Massnahmenvorschläge des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) sowie des Informatikstrategieorgans Bund zurückgegriffen werden.
Vollständiger Massnahmenkatalog gibt Auskunft über Zweck, Kosten sowie Zeitbedarf für Umsetzung der Massnahmen.
Schulung: Umsetzung der Datensicherheitsverordnung 22
2323
5.3c Vorgehen: Muster Massnahmenplan
Schulung: Umsetzung der Datensicherheitsverordnung
24
5.3d Vorgehen: Umsetzung
Zuständige Organe entscheiden, welche Massnahmen bis wann umgesetzt werden.
Kostenwirksame Massnahmen werden im Rahmen des Budgets umgesetzt, einfache Massnahmen ohne Kostenfolgen umgehend.
Verantwortliche Person für Instruktion der Mitarbeitenden stellt sicher, dass Mitarbeitende informiert und ausgebildet werden.
Organe überprüfen Wirksamkeit der Massnahmen alle vier Jahre.
Schulung: Umsetzung der Datensicherheitsverordnung 24
25
5.4 Zusammenfassung
Zusammenfassung des Vorgehens Zuständige Personen für Datensicherheitsüberprüfung, Erstellung
Massnahmenkatalog, Bewilligung der beantragten Massnahmen sowie Instruktion der Mitarbeitenden sind bestimmt.
Erstellen Schutzobjektliste. Überprüfung der Datensicherheit, wo nötig mit entsprechenden Stellen
koordiniert. Massnahmenkatalog wurde erarbeitet und der Bewilligungsinstanz zum
Entscheid vorgelegt. Umzusetzende Massnahmen wurden von Bewilligungsinstanz beschlossen.
Nicht kostenwirksame Massnahmen wurden umgehend in Angriff genommen. Kostenwirksame Massnahmen sind budgetiert, Mittel bewilligt, Arbeiten
personell zugewiesen und zur Umsetzung freigegeben. Massnahmen sind umgesetzt.
Schulung: Umsetzung der Datensicherheitsverordnung 25
26
5.5 Sicherheitsanforderungen
Die Sicherheitsanforderungen für Organe richten sich an die für die Überprüfung der Datensicherheit zuständigen Personen und nicht an die Benutzerinnen und Benutzer von Geräten an Informatikarbeitsplätzen.
Für Letztere stehen auf der Homepage der kantonalen Datenschutzstelle diverse Merkblätter zur Verfügung.
Die Organe überprüfen die Sicherheit ihrer Personendaten anhand der nachstehenden Sicherheitsanforderungen.
26Schulung: Umsetzung der Datensicherheitsverordnung
27
5.5 Sicherheitsanforderungen A1 (1)
Papierdokumente werden mittels Aktenvernichter geshreddert (Maximalgrösse 4 x 80mm) und mit geeigneten Mitteln entsorgt.
Elektronische Daten/Datenträger werden vernichtet:o Formatierung der Datenträger UND mindestens 2malige Überschreibung
(Software) mit komplexen Zeichenketten (=nicht nur „0“) odero Entmagnetisierung (für magnetische Datenträger) odero physische/mechanische Zerstörung der Disketten, CD/DVD,
USB-Sticks, Streamertapes etc.
Schulung: Umsetzung der Datensicherheitsverordnung 27
Die Entsorgung von Datenträgern ist so geregelt, dass keine Rückschlüsse auf den Inhalt oder die gespeicherten Daten möglich sind. Reparaturen von Geräten sind von Fall zu Fall zu regeln (vertrauliche Daten sind vorher zu löschen).
28
5.5 Sicherheitsanforderungen A1 (2)
Wo Material vor der Entsorgung gesammelt wird, ist die Sammlung unter Verschluss zu halten.
Achtung:
o Gilt auch für Datenträger in Multifunktionsgeräten (Scanner, Drucker, PDA, Foto-Geräte etc.)
o Die Vorgaben bezüglich Archivierung sind einzuhalten
Schulung: Umsetzung der Datensicherheitsverordnung 28
29
5.5 Sicherheitsanforderungen A2
Schulung: Umsetzung der Datensicherheitsverordnung 29
Sämtliche Zugriffe auf Fachanwendungen sind mit einem Authentifikationsprozess bzw. sicheren Passwörtern geschützt. Die Passwörter erzwingen einen automatischen, periodischen Passwortwechsel
Alle Anwendungen sind durch eine Autorisierung bzw. ein sicheres Passwort geschützt.
Der Zugang ist, sofern technisch möglich, erst nach einer individuellen Identifikation (z.B. Namen oder User-ID) und Authentisierung (z.B. durch Passwort) des Nutzungsberechtigten möglich. Der Zugang wird protokolliert.
Die Fachanwendungen erzwingen einen automatischen, periodischen Passwortwechsel mindestens alle 90 Tage und ein sicheres Passwort.
Siehe Verordnung über die Benutzung von elektronischen Kommunikationsmitteln im Arbeitsverhältnis vom 17.12.2002 und Merkblatt Passwortschutz.
30
5.5 Sicherheitsanforderungen A3 (1)
Identität der Berechtigten wird formell geprüft. Papierablagen und Datenträger sind durch Dritte nicht zugänglich, weil
unter Verschluss oder in Räumen mit Zutrittsbeschränkung. Es existiert ein Zutritts- bzw. ein Schlüsselmanagement (inkl. Reserve-
Schlüssel) und Weisungen wie vertrauliche Dokumenten abzulegen sind.
Versendung von Dokumente erfolgt durch persönliche Adressierung.
Schulung: Umsetzung der Datensicherheitsverordnung 30
Es dürfen keine Information an Unberechtigte weitergegeben werden. Vertrauliche Dokumente in gedruckter Form sowie elektronische Datenträger werden in den dafür vorgesehenen Schränken oder im Pult eingeschlossen.Nicht mehr benötigte vertrauliche Dokumententwürfe werden vernichtet.
31
5.5 Sicherheitsanforderungen A3 (2)
Prinzipiell werden keine Dokumente/Datenträger an öffentlich zugängliche Orte versendet (z.B. gemeinsam genutzte Fax-Geräte).
Papierablagen und Datenträger sind durch Dritte nicht zugänglich, sondern unter Verschluss oder in Räumen mit Zutrittsbeschränkung aufzubewahren.
Bei Anwesenheit von Service-Personal (inkl. Reinigungspersonal) in zutrittsberechtigten Räumen sind Dokumente/Datenträger nicht zugänglich aufzubewahren.
Für Entsorgung siehe auch Sicherheitsanforderung A1
Achtung: Vorsicht beim Drucken an Netzwerkdruckern (ev. Passwortschutz
aktivieren).
31Schulung: Umsetzung der Datensicherheitsverordnung
32
5.5 Sicherheitsanforderungen A4 (1)
Für jede Applikation sind die geschäftskritischen Funktionen bekannt.
Für jede Applikation und Hardware sind die sicherheitstechnischen Funktionen bekannt und es ist dokumentiert wie diesbezüglich die Applikation und Hardware einzurichten (Parameter usw.) sind.
Es existieren Checklisten wie die Applikation und Hardware auf ihre Funktionsfähigkeit überprüft werden muss.
Es existieren Checklisten wie die Vollständigkeit der Daten überprüft werden kann.
Schulung: Umsetzung der Datensicherheitsverordnung 32
Bei Neuinstallationen und Releasewechseln von Hardware und Software werden mindestens alle geschäftskritischen und sicherheitstechnisch wichtigen Funktionen auf ihre Funktionstüchtigkeit überprüft.
33
5.5 Sicherheitsanforderungen A4 (2)
Diese Checklisten werden bei Neuinstallationen, Updates und Releasewechseln eingesetzt und dienen der Abnahme der Installation.
Vor einer Neu-Installation bzw. Release-Wechsel werden die Daten gesichert.
33Schulung: Umsetzung der Datensicherheitsverordnung
34
5.5 Sicherheitsanforderungen A5
Pro Anwendung ist eine Liste von Mitarbeitern (oder mindestens Funktionen) vorhanden, die auf die Applikation und Daten zugreifen müssen.
Es ist sichergestellt, dass Zugriffe auf ein System oder auf Fachanwendungen und deren Daten auf Mitarbeiter beschränkt wird, die diese Daten zur Arbeitserledigung auch benötigen (Need to know -Prinzip).
Sämtliche Zugriffe auf sensitive Daten sind nur von autorisierten Personen möglich.
Die Zugriffsliste wird jährlich überprüft und bei personellen Veränderungen sofort angepasst.
Schulung: Umsetzung der Datensicherheitsverordnung 34
Es ist sichergestellt, dass nur Berechtigte Zugriff auf ein System oder bestimmte Fachanwendungen und deren Daten haben.
35
5.5 Sicherheitsanforderungen A6
Die sicherheitsrelevanten Prozesse sind bekannt, und die entsprechenden Dokumentation und Weisungen sind aktuell:
o Erfassen, Mutieren und Löschen von Daten
o Erfassen, Mutieren und Löschen von Zugriffsberechtigungen
o Schlüssel- und Zutrittsmanagement
o Anträge für Änderungen der Applikationen/Hardware(siehe auch Sicherheitsanforderung A7)
Schulung: Umsetzung der Datensicherheitsverordnung 35
Sicherheitsrelevante Prozesse (Onlinezugriffe, Mutationsprozesse jeglicher Art) werden von der für die jeweilige Datensammlung zuständigen Stellen organisiert, umgesetzt und dokumentiert.
36
5.5 Sicherheitsanforderungen A7 (1)
Es ist bekannt, wer einen Änderungsauftrag an die Betriebsorganisation stellen darf und wer den Auftrag genehmigen muss.
Aufträge an den Informatikbetreiber werden schriftlich formuliertund beinhalten im Minimum:- Antragsteller- Kontaktperson für Abstimmungen- Antrag (möglichst detailliert, mit Inhalt/Termine)- Genehmigung (4-AugenPrinzip)
Der Informatikbetreiber dokumentiert / quittiert schriftlichdie durchgeführten Änderungen.
Schulung: Umsetzung der Datensicherheitsverordnung 36
Änderungsaufträge an die Betriebsorganisation des Informatikbetreibers erfolgen schriftlich.
37
5.5 Sicherheitsanforderungen A7 (2)
Anträge und Korrespondenz werden für 5 Jahre abgelegt.
Bevor Änderungen genehmigt und durchgeführt werden, muss durch Prüfung und Tests sichergestellt werden, dass das Sicherheitsniveau während und nach der Änderung erhalten bleibt.
37Schulung: Umsetzung der Datensicherheitsverordnung
38
5.5 Sicherheitsanforderungen A8 (1)
Die Fachanwendungen protokollieren im Detail:o User-ID, Arbeitsstation, Zeitpunkt, Applikation (/Aktivität)o gescheiterte Zugriffsversuche durch Eingabe von User-ID
(inkl. User-ID, Arbeitsstation, Zeitpunkt)o gescheiterte Objektzugriffe (inkl. User-Id, Arbeitsstation, Zeitpunkt)o Änderungen der Zugriffsberechtigung
(welche Rechte sind durch welche User-Id und Zeitpunkt verändert worden)
38
Folgende Aktivitäten in den Fachanwendungen werden aufgezeichnet:- gescheiterte Authentifikationsversuche- gescheiterte Objektzugriffe- Vergabe und Änderungen von Privilegien und- alle Aktionen, die erhöhte Privilegien erfordern.
Schulung: Umsetzung der Datensicherheitsverordnung
39
5.5 Sicherheitsanforderungen A8 (2)
Die Protokolle werden mindestens monatlich überprüft (speziell fehlgeschlagene Authentifizierungen).
Die Protokolle gescheiterter Zugriffe werdenmindestens 6 Monate aufbewahrt.
39Schulung: Umsetzung der Datensicherheitsverordnung
40
5.5 Sicherheitsanforderungen A9
ALLE vordefinierte Accounts, Initialpasswörter, Privilegien oder Zugriffsrechte werden sofort geprüft und nötigenfalls angepasst oder gelöscht.
Reset-Prozeduren (mit Neu-Generierung von Standardpasswörtern) werden überprüft/angepasst.
Die Sicherheitseinrichtungen werden aktiviert (Verschlüsselung, Anmeldeprozeduren, Anti-Viren-Programme,…).
Notwendige System-Passwörter sind unter Verschluss zu halten (Passwort-Management).
Schulung: Umsetzung der Datensicherheitsverordnung 40
Bei der Installation von Fachanwendungen werden vordefinierte Accounts, Initialpasswörter, Privilegien oder Zugriffsrechte sofort kontrolliert und nötigenfalls angepasst oder gelöscht.
41
5.5 Sicherheitsanforderungen A10
Es existiert eine Liste der zu benutzenden Datenübertragungsein-richtungen und die einzuhaltenden Prozeduren, die Vertraulichkeit und Integrität garantieren.
Die Verteilung von Daten, Benutzernamen, kritischen Systemdaten und Passwörtern wird dokumentiert und gegebenenfalls quittiert.
Es werden nur Daten übermittelt, die auch benötigt werden (Need-to-Know).
Passwörter werden verschlüsselt oder persönlich übergeben. Datenübertragungen werden durch Hashwerte oder mindestens
durch Zählung der übertragenen Datensätze sichergestellt.41
Die Vertraulichkeit und Integrität der Datenübertragung von Benutzernamen, Passwörtern, Schlüsseln oder andere kritische Systemdaten aus Fachanwendungen ist bei der Übertragung über Netze sichergestellt.
Schulung: Umsetzung der Datensicherheitsverordnung
42
5.5 Sicherheitsanforderungen A11
Siehe Text oben Systemzugriffsperren dürfen nicht de-aktiviert werden
Schulung: Umsetzung der Datensicherheitsverordnung 42
Systemzugriffsperren werden nach einer definierten Zeit (in der Regel 10 Minuten) automatisch aktiviert. Eine manuelle Aktivierung ist ebenfalls möglich. Falls eine entsprechende Sperrung aus technischen Gründen nicht möglich ist, ist der Zugang zu unbeaufsichtigten Arbeitsplätze geschützt (z.B. Abschliessen des Raumes).
43
5.5 Sicherheitsanforderungen A12 (1)
Mobile Informatikmittel die ausserhalb des eigenen Büro verwendet werden sind speziell zu schützen (siehe auch oben).
Schulung: Umsetzung der Datensicherheitsverordnung 43
• Da mobile Informatikmittel (Notebooks, elektronische Agenden, Mobiltelefone etc.) nicht nur im eigenen Büro verwendet werden, sondern auch ausserhalb des Arbeitsplatzes, sind sie mit geeigneten technischen Massnahmen zu schützen (z.B. Pre-Boot-Authentifikation, sichere Volumelabels, Diskverschlüsselung etc.).
• Die Schutzvorrichtungen (Antivirus, Firewall) sind regelmässig (mindestens wöchentlich) zu aktualisieren.
• Die Benutzer sind in Fragen des Umgangs mit vertraulichen Daten in der Öffentlichkeit geschult.
• Für die Fernwartung sind speziell überwachte Accounts eingerichtet.
44
5.5 Sicherheitsanforderungen A12 (2)
Neue Mitarbeiter müssen interne Regelungen, Gepflogenheiten und Verfahrenweisen im IT-Einsatz (inkl. Sicherheitsmassnahmen) und Datenschutz kennen und sind zeitnahe geschult worden. Die Schwachstellen der Office-Programme sind bei den Mitarbeitern bekannt:
- Schwache Passwörter- OLE-Funktion (Dokumente enthalten versteckte Informationen über die Bearbeitung)- Autofill-Funktion ….
Spezielle Accounts für die Fernwartung werden besonders überprüft und nach Möglichkeit nach dem Eingriff wieder blockiert bzw. mit einem neuen Passwort versehen.
44Schulung: Umsetzung der Datensicherheitsverordnung
45
5.5 Sicherheitsanforderungen A13
Internet / E-Mail: Personendaten werden nur verschlüsselt übermittelt.
Der Informatikbetreiber oder das AIO gibt Auskunft über Verschlüsselungsoftware.
Laptops, PDA und Speichermedien: ausserhalb von geschützten Räumen sind persönliche Daten auf Speichermedien zu verschlüsseln.
Die Zugangspasswörter sind sorgfältig und getrennt von den Speichermedien aufzubewahren/zu übermitteln.
Schulung: Umsetzung der Datensicherheitsverordnung 45
Internet/E-Mail: Personendaten werden nur verschlüsselt übermittelt
46
5.5 Sicherheitsanforderungen A14 (1)
Pro Fachanwendung ist dokumentiert, welche Ausweichlösungen für kurz- und langfristige Ausfälle zur Verfügung stehen.
Die Behandlung von Ausfällen und das konkrete Vorgehen sind vom Betreiber in Zusammenarbeit mit dem zuständigen Organ definiert und vereinbart worden. Speziell ist die Reaktionszeit und die Verantwortlichkeiten zu klären.
Schulung: Umsetzung der Datensicherheitsverordnung 46
Pro Fachanwendung ist festgelegt, welche Ausweichlösung zur Verfügung steht. Die Behandlung von Stör-, Not- und Katastrophenfällen und das konkrete Vorgehen sind vom Betreiber in Zusammenarbeit mit dem zuständigen Organ definiert und vereinbart worden.
47
Es existieren Datensicherungspläne, die Auskunft geben über Speicherort der Daten im Normalbetrieb, Bestand der gesicherten Daten, Zeitpunkt der Datensicherung, Art und Umfang, Verfahren für die Rekonstruktion der Daten.
Sicherungskopien sind in zutrittsgeschützten Räumen, ausserhalb des Arbeitsplatzes und Computerraum aufbewahrt.
Backup-Prozeduren werden jährlich geprüft.
5.5 Sicherheitsanforderungen A14 (2)
47Schulung: Umsetzung der Datensicherheitsverordnung
Ist der Mensch das Risiko?
Schulung: Umsetzung der Datensicherheitsverordnung 48
Hier entstehen Gefahren…
MENSCH
GEBÄUDE
SERVER
ZENTRALEDATEN
ÜBERMITTLUNG
PC/DRUCKER
LOKALE DATEN
49Schulung: Umsetzung der Datensicherheitsverordnung
50
6. Detailbesprechung: Benutzerinstruktion (1)
Der Mensch bildet das Hauptrisiko. Der Mensch ist es aber auch, der durch gezielte Tätigkeiten die
Risiken entschärfen bzw. die Risiken wahrnehmen kann. Erkennen dieser zentralen Rolle des Menschen. Hauptbeeinflussungsfaktoren:
o Sensibilisierungo Mobilisierungo Motivierungo Ausbildungo Information
Schulung: Umsetzung der Datensicherheitsverordnung 50
51
6. Detailbesprechung: Benutzerinstruktion (2)
Zieleo Sicherheitsziele und Regeln müssen klar und eindeutig formuliert sein.o Alle Mitarbeitenden müssen in der Lage sein, die gestellten
Anforderungen zu erfüllen, nämlich das Sicherheitsziel zu erreichen.o Alle Mitarbeitenden müssen in der Lage sein, sichere
Arbeitshandlungen von unsicheren Arbeitshandlungen unterscheiden zu können.
o Alle Mitarbeitenden müssen wissen, was sie zu tun haben, um unsichere Arbeit zu verhindern.
o Alle Mitarbeitenden müssen wissen, was sie zu tun haben, wenn sie unsichere Arbeit nicht verhindern konnten.
o Alle Mitarbeitenden müssen die Konsequenzen unsicherer Arbeitshandlungen für den Betrieb genau kennen.
Schulung: Umsetzung der Datensicherheitsverordnung 51
52Schulung: Umsetzung der Datensicherheitsverordnung 52
6. Detailbesprechung: Benutzerinstruktion (5)
Die Ausbildung der Mitarbeitenden soll bis Ende September 2008 erfolgen. Der Nachweis soll bei Bedarf durch die Organe erbracht werden können, wer, wann ausgebildet wurde.
Durchsicht Merkblätter Durchsicht unterstützende Folien Welche weiteren Hilfsmittel gibt es? Wie werden Hilfsmittel eingesetzt?
53Schulung: Umsetzung der Datensicherheitsverordnung 53
Merkblatt «Der sichere Umgang mit Daten»
Bei der Bearbeitung von Personendaten bestehen gewisse Risiken und Gefahren: Schutz gegen Zugriff Unberechtigter
Bei Abwesenheit Bei Arbeitsschluss
Weitergabe, Speichern und Löschen von Daten Weitergabe von Daten Speichern von Daten Löschen von Daten
Schutz vor Verlust Mobile Datenträger Viren: Schutz vor Viren und Vorgehen bei Auftreten von Viren
54Schulung: Umsetzung der Datensicherheitsverordnung 54
Merkblatt «Der sichere Umgang mit Daten»
Kommunikation über Netze Internet Intranet und internes Netz
Datenspuren In Dateien Beim Surfen
Rechtsgrundlagen Datenschutzgesetz des Kantons Zug Datensicherheitsverordnung Verordnung über die Benutzung von elektronischen Kommunikationsmitteln im
Arbeitsverhältnis Personalgesetz und Personalverordnung Strafgesetzbuch
55Schulung: Umsetzung der Datensicherheitsverordnung 55
Merkblatt «Der sichere Umgang mit Daten»
Weitere zusätzliche Hinweise DSB Kanton Zug:
http://www.datenschutz-zug.ch/ DSB Kanton Zürich:
Lernprogramm zu Datensicherheit http://www.datenschutz.ch/wbt/sicherheit/index1.htm
Grobanalyse getroffener Massnahmen für Datenschutz und Informatiksicherheithttps://review.datenschutz.ch/review/index.php
Eidg. Datenschutz- und Öffentlichkeitsbeauftragter:http://www.edoeb.admin.ch
56Schulung: Umsetzung der Datensicherheitsverordnung 56
Merkblatt «Passwort»
Passwort: Schutz vor dem Zugriff Unberechtigter Ein gutes – oder «starkes» Passwort
mind. 8 oder besser aus 10 Zeichen enthält Zahlen, Buchstaben und Sonderzeichen kombiniert hat Gross- und Kleinbuchstaben können Sie sich gut merken, andere aber nicht erraten, zum Beispiel
Sonn**EN00schein, fRan?ziska57 besteht nicht nur aus Wörtern – auch nicht in einer Fremdsprache – oder
Namen
Anleitung für sichere Passwörter Bilden Sie einen Satz: «Im August schien die Sonne nur 1x!» ergibt das starke
Passwort: <IAsdSn1x!>
57Schulung: Umsetzung der Datensicherheitsverordnung 57
Merkblatt «Passwort»
Handhabung des Passwortes Halten Sie das Passwort geheim Ändern Sie das Passwort spätestens nach vier Monaten Verwenden Sie für verschiedene Anwendungen verschiedene Passwörter Keine Weitergabe an Mitarbeiter oder Dritte Verwenden Sie privat und geschäftlich andere Passwörter
Wichtige zusätzliche Informationen zum Passwort Hier können Sie überprüfen, wie gut Ihr Passwort ist:
https://review.datenschutz.ch/passwortcheck/check.php
58Schulung: Umsetzung der Datensicherheitsverordnung 58
Merkblatt «Der sichere Umgang mit E-Mail»
Eile mit Weile! Ein Klick und Ihr Mail ist unwiderruflich weg
Wissen Sie wirklich, wer der Adressat ist? Versand innerhalb des verwaltungseigenen Netzes
Endet die Adresse auf «.zg.ch», erfolgt die Zustellung über das eigene Netz
Versand via Internet Erhalt von E-Mails
Mails von zweifelhafter Herkunft sind ungeöffnet zu löschen Ebenso ungeöffnet zu löschen sind Dateien mit der Endung «.scr»,
ausführbare Dateien («.exe», «.bat», «.vbs» etc.) und Bilder von zweifelhafter Herkunft
Fehlende Gewissheit über Identität des Absenders erfordert telefonisches Nachfragen beim Absender
59Schulung: Umsetzung der Datensicherheitsverordnung 59
Merkblatt «Der sichere Umgang mit E-Mail»
Vorgehen bei Ferienabwesenheit Eingehende E-Mails nicht automatisch an eine E-Mail-Adresse ausserhalb des
eigenen Netzes weiterleiten Absenderinnen und Absender von E-Mails mit einer automatischen Antwort
über Ihre Ferienabwesenheit und Ihre Stellvertretung informieren
Wichtige zusätzliche Informationen im Umgang mit E-Mail Private Nutzung von E-Mails? Zur Verschlüsselung von [Office-] Dokumenten
60Schulung: Umsetzung der Datensicherheitsverordnung 60
«Kundenkontakt»
Identität von Anfragenden Datenbekanntgaben per Telefon Anfragen per E-Mail Datenbekanntgabe per Fax oder SMS
Voraussetzungen von Datenbekanntgaben Amtsgeheimnis gilt grundsätzlich auch zwischen den verschiedenen Stellen
innerhalb der Verwaltung Personendaten dürfen anderen Stellen grundsätzlich nur dann
bekanntgegeben werden, wenn eine entsprechende ausdrückliche gesetzliche Grundlage dies zulässt oder die betroffene Person der Datenbekanntgabe zugestimmt hat
An Privatpersonen darf ausschliesslich Auskunft über ihre eigenen Daten gegeben werden
61Schulung: Umsetzung der Datensicherheitsverordnung 61
«Kundenkontakt»
Einsichtsrecht der Betroffenen Jede betroffene Person hat das Recht, ihre eigenen Daten einzusehen und
grundsätzlich kostenlose Kopien ihrer Daten zu verlangen Jede betroffene Person hat das Recht, falsche Daten berichtigen zu lassen Die Betroffenen haben das Recht zu wissen, zu welchem Zweck und auf
welcher Rechtsgrundlage Daten über sie bearbeitet und an wen sie weitergegeben werden
Auskünfte an Betroffene über ihre eigenen Daten müssen speditiv erfolgen und vollständig und richtig sein. Der anfragenden Person entstehen grundsätzlich keinerlei Kosten. Die Beantwortung der Anfrage erfolgt in der Regel schriftlich.
62Schulung: Umsetzung der Datensicherheitsverordnung 62
Merkblatt «Mobile Geräte»
Mobile Geräte (Laptops/Notebooks, PDA, Mobiltelefone/Smartphones, USB-Sticks etc.) Grundsätzlich dieselben Sicherheitsbestimmungen wie für feste
Arbeitsstationen Schutz des Gerätes durch ein starkes Passwort Diverse Möglichkeiten zur drahtlosen Kommunikation (WLAN, Bluetooth,
Infrarot, GSM etc.) Nutzung von öffentlichen «Hotspots» ist zu vermeiden Aktualisierung des Virenschutzes Umgehende Information an IT-Verantwortlichen bei Verlust oder Diebstahl
Verschlüsselung SMS, MMS und E-Mail Vertrauliches gehört nicht an die Öffentlichkeit
63Schulung: Umsetzung der Datensicherheitsverordnung 63
8. Wichtige Links
DSB Kanton Zug
DSB Kanton Zürich
Kantonale DSB
Eidg. Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB)
Deutsches Grundschutzhandbuch
www.datenschutz-zug.ch
www.datenschutz.ch
www.privatim.ch
www.edoeb.admin.ch
www.bsi.de
64Schulung: Umsetzung der Datensicherheitsverordnung 64
9. Fragen und Antworten