Umsetzung von Sicherheitsstandards am Beispiel eines ...

Umsetzung von Sicherheitsstandards am Beispiel eines FinanzdienstleistersRA Dirk Refflinghaus, Datenschutzbeauftragter

RA Dirk Refflinghaus 6. Oldenburger Forum 2© FinanzIT

Kurze Darstellung des UnternehmensWas hat Datenschutz mit IT-Sicherheit zu tunDarstellung des ProzessesUmsetzung des Prozesses mit den Regelungen in der FinanzITBackup– Office21 Konzept

Agenda


Rund 180* Sparkassen, Banken und Bausparkassen haben sich bisher für die innovativen Softwarelösungen des Systemhauses entschieden. Zum Kerngeschäft der FinanzIT gehört:

Entwicklung und Integration von Anwendungs-softwaresystemen

Hard- und Software-Beratung und IT-Services

Betrieb von Netzwerken und einem der modernstenRechenzentren-Verbünde Europas

Weitere Aufgaben des Systemhauses:

Produktion des Kartenmanagementsystems für Pluscard

Integration und Betrieb von Saarshopping.de für SaarConnect

ASP-Lösung Personalwirtschaft (PAISY)

Betrieb eines Autorisierungssystems für Kreditkarten (eps)

Das Systemhaus der Sparkassen-Finanzgruppe

* 31.12.2003


Standorte der FinanzIT GmbH

HannoverBerlin

Leipzig

Saarbrücken


Wettbewerbsfähige Lösungen für Sparkassen, Landesbanken und Landesbausparkassen in elf Bundesländern

Kunden und Unternehmensdaten

Kunden 31.12.2003Sparkassen 168Landesbanken 5Landesbausparkassen 5Kundenkonten in Mio. (inkl. Zahlungsverkehr) 50Mitarbeiter (Institute) 99.908Endgeräte (Institute) 107.864

Unternehmensdaten 31.12.2003 FinanzITGesamterlöse* in Mio. EUR 715Mitarbeiter 2.606

* Umsatzerlöse und sonstige betriebliche Erträge


Rechenzentren und Server-Standorte Hannover, Berlin, Leipzig und Saarbrücken

Mit mehreren räumlich getrennten Netzwerkmodulen und Rechenzentren gewährleistet die FinanzIT GmbH eine größtmögliche Sicherheit bei optimaler Geschwindigkeit in der Datenverarbeitung.

Ausstattung und Kapazitäten:

2 Rechenzentren mit je 2 getrennten Modulen in Hannover und Leipzig, zusätzlich 2 Server-Standorte in Berlin und Saarbrücken mit je 2 getrennten Modulen

12 Großrechner (z/OS), 14 Unix-Großrechner und ca. 2.045 Server

Magnetplatten mit 198 Terabyte Speicher-kapazität (davon 68 Terabyte gespiegelt)

31 Kassettensilos mit 70.000 Kassetten* 1 Terabyte sind ca. 1000 Milliarden Byte, bzw. 1000 Gigabyte


Druckzentren Hannover, Berlin, Leipzig und Saarbrücken

Ausstattung:

31 Laserdrucksysteme (ca. 6.100 Seiten/Minute)15 Mikroficheanlagen (ca. 1700 Originale/Stunde)

5 Verpackungssysteme5 Verteilroboter8 Kuvertiersysteme

(ca. 100.000 Kuvertierungen/Stunde) 4 CD-Produktionssysteme

Verarbeitungsvolumen (2003):

Zentraler Druck (Mio. Seiten): 682*Zentrale Mikroverfilmung (Mio. Fiches): 9,3Kuvertierungen (Mio. Sendungen): 40,6

* Das entspricht ca. 211.000 km Papier = 5 fache des Erdumfanges


Netzdienstleistungen

Netzmanagement

Management- und technologieorientierte Beratung

Komplettlösungen für Institutsnetze

SKO-individuelle Netzdienste

Infrastruktur für Internet und E-Commerce

Leitungen und Netzknoten

Backbone-Vernetzung der FinanzIT

Integration sämtlicher Informations- und Kommunikationstechnologie-Dienstleistungen


Deutschlands zentraler Verbindungsknoten der Sparkassen-Finanzgruppe ist die FinanzIT

Im Rahmen des europäischen Geldauto-matenverbundes EUFISERV (63.000 Sparkassen-Geldautomaten in 12 Län-dern) werden alle Karten-Autorisierungs-anfragen der Institute der Sparkassen-Finanzgruppe (SFG) an ausländischen Geldautomaten und alle Geldautomaten-transaktionen mit Karten aus den Part-nerländern an SFG-Geldautomaten über den zentralen Verbindungsknoten des FinanzIT-Rechenzentrums in Hannover an die jeweils kontoführende Institution weitergeleitet. Ergänzt wird diese Aufgabe seit 2003 durch die Funktion als Kopfstelle für Prepaid-Online-Aufladungin der Sparkassen-Finanzgruppe.

Hannover

Prag

WienBern

Paris

MadridRom

Lissabon

Dublin

Brüssel

StockholmOslo

Amsterdam


Kurze Darstellung des UnternehmensSymbiose zwischen Datenschutz und IT-SicherheitDarstellung des ProzessesUmsetzung des Prozesses mit den Regelungen in der FinanzITBackup– Office21 Konzept

Agenda


Zusammenspiel

Datenschutz IT-SicherheitAnhang zu

§ 9 BDSG

8 Gebote

oder TOMs

(technische und organisatorische Maßnahmen)


Werden personenbezogene Daten automatisiert verarbeitet oder genutzt, ist die innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird.

Dabei sind insbesondere Maßnahmen zu treffen, die je nach Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind.

1. Zutrittskontrolle2. Zugangskontrolle3. Zugriffskontrolle4. Weitergabekontrolle5. Eingabekontrolle6. Auftragskontrolle7. Verfügbarkeitskontrolle8. Zu unterschiedlichen Zwecken

erhobene Daten müssen getrennt verarbeitet werden können.

Anforderungen an die Datensicherheit gemäß § 9 BDSG


Die Sicherheitsarchitektur der FinanzIT

Grundsätze, Sicherheitsziele

Konzepte,Regeln,Best Practices

Maßnahmen Verfahrens-/Arbeitsanweisungen

Internat.StandardBS7799/ISO17799


Policies der FinanzIT

Abgeleitete Policies zur Durchsetzung konkreter Maßnahmen

Sicherheit als integraler Bestandteil der UnternehmensstrategieEinhaltung der gesetzlichen AnforderungenSchutz der Daten und RessourcenSchutz der Mitarbeiter, Mitentwickler, Kooperationspartner und KundenGewährleistung der NachvollziehbarkeitEinhalten eines definierten, fortgeschriebenen Sicherheitsstandards


Kurze Darstellung des UnternehmensWas hat Datenschutz mit IT-Sicherheit zu tunDarstellung des Prozesses „IT-Sicherheit managen“Umsetzung des Prozesses mit den Regelungen in der FinanzITBackup– Office21 Konzept

Agenda


Projekt xyz

Organisation der Sicherheit

Datenschutz

Unternehmens-steuerung

Anwendungs-bereitstellung

IT-Sicherheit

Interne Revision

Produktion ...

...

...

Systemsteuerung

...

SicherheitsmanagementIT-RisikomanagementStrategie/SicherheitspolitikSicherheitsbewusstseinAuditStandards/Entwicklung

...

...

SicherheitsadministrationBenutzermanagementAdministrationBetriebÜberwachung

SicherheitstechnologeSicherheitskonzepte und -implementierung in Anwendungen


Kurze Darstellung des UnternehmensWas hat Datenschutz mit IT-Sicherheit zu tunDarstellung des Prozesses „IT-Sicherheit managen“Umsetzung des Prozesses mit den Regelungen in der FinanzITBackup– Office21 Konzept

Agenda


Regelungen

Welche Regelungen gibt es?

General IT-Security Policy

Sicherheitspolicies der FinanzIT

Geschäftsanweisung/GrundsatzrichlinieInformationssicherheit

VA Allgemeine Informationssicherheit

IT-Security Regelungen

...


Erwartungen an die Mitarbeiter

Mitarbeiter

kennen die für sie zutreffenden Regeln zur Informationssicherheit und halten sie ein und

verwenden Einrichtungen der Informationsverarbeitung nur für genehmigte Zwecke.

Auszug aus:FinanzIT-Arbeitsanweisung Verantwortlichkeiten


Erwartungen an die Führungskräfte

Führungskräfte

informieren ihre Mitarbeiter bei Übernahme einer neuen Aufgabe, mindestens jedoch jährlich, über die Regeln zur Informationssicherheit und überwachen, ob diese eingehalten werden.



Schutz von Datenstationen und Arbeitsplätzen

Jeder Mitarbeit ist verantwortlich

Diebstahl, Beschädigung, Missbrauch von Datenstationen und Arbeitsplatzcomputern und darin gespeicherten Informationen zu verhindern.



Clean Desk

Ordnung und Sauberkeit am Arbeitsplatz als Elemente der Sicherheit

Nur Informationen am Arbeitsplatz, die zur Erledigung der jeweiligen Aufgabe nötig sind.

Vertraulich und höher klassifizierte Informationen unter Verschluss halten, wenn sie nicht unter Aufsicht sind.

Bei Arbeitsende die für die Öffentlichkeit nicht bestimmten Informationen aufräumen (durch das Bürokonzept Office 21 gegeben).


Regelungen

Voraussetzungen zur Nutzung des Internet in der FinanzIT

Teilnahme an Sicherheitsschulung und Abgabe der Verpflichtungserklärung.

Wahrung der Interessen und des Ansehens der FinanzIT in der Öffentlichkeit

Keine Downloads unter Nutzung von privaten Webmail-Accounts (keine Virenprüfung!)

Die private Nutzung des von der FinanzIT bereitgestellten Internet-zugangs bzw. des Mail-Accounts ist nicht gestattet.


Regelungen

Wahrung der Interessen und des Ansehens der FinanzIT oder des Instituts in der Öffentlichkeit.

Meinungsäußerung in politischen oder anderen Foren,

Sittenwidrige und sexistische Angebote,

Menschenverachtende und rassistische Propagandadaten,

Religionspropaganda bzw. Mitgliederwerbung jeder Art,

Unbefugtes Software-Herunterladen für Privatzwecke und dadurch vorsätzliche Verletzung des Lizenzrechtes.


Backup


Bürokonzept Office 21



Flexible Arbeitsmöglichkeiten

Neue Arbeitsstile

Frei wählbare Büros bzw. Arbeits-plätze je nach Tätigkeit

Mehrfachnutzung eines Arbeitsplatzes (Desk Sharing)

Beschleunigte Informationswege

Papierarme Abläufe

Weitestgehend papierlose Arbeitsprozesse

Papierarme Archivierung

Verfügbarkeit elektronischer Daten und Informationen unabhängig von Raum und Zeit



Das Bürokonzept sorgt in Hannover für mehr Motivation und Produktivität. Durch DeskSharing teilen sich 1.500 Mitarbeiter 1.350 Arbeitsplätze.

Verschiedene Arbeitszonen:

Teamcenter – Individuelle Arbeitsplätze und eine Vielfalt an offenen und geschlossenen Raumsituationen für Teamarbeit in unterschiedlicher Größe.

Einzelbüros – Kleine Arbeitsräume, in denen sich 3 bis 4 Mitarbeiter zurückziehen können, um konzentriert zu arbeiten.

Lounge – Informelle, entspannte Atmosphäre mit Sitzgruppe, die zum Arbeiten einlädt.

Einrichtung und technische Ausstattung:

Schließfächer, Telefonladestationen, Besprechungsräume, Mediencenter, standardisierter Office 21 Arbeitsplatz-PC, Zugriff auf individuelle Daten von jedem Platz aus u.v.m. ermöglichen ein variables Arbeiten.


Arbeitsplatzbelegung und Wirtschaftlichkeit

Durchschnittliche Arbeitsplatzbelegung

61% (45-90%)

Maximale Arbeitsplatzbelegung

76% (58%-100%)

WirtschaftlichkeitGebäude und Arbeitsplätze auf 75%Bereitstellungsquote zugeschnitten,Investitionen und laufende Betriebs-kosten werden entsprechend reduziert

FinanzIT GmbH – ein starkes UnternehmenVielen Dank für Ihre Aufmerksamkeit.

Umsetzung von Sicherheitsstandards am Beispiel eines ...

Documents

Transcript of Umsetzung von Sicherheitsstandards am Beispiel eines ...