In Sammlung (en) In der gespeicherten
  1. Keine Kategorie

ppt-Dokument - Datenschutzbeauftragter des Kantons Zug

Werbung 
Schulung:
Umsetzung
Datensicherheitsverordnung
06. März 2008 [Stand 25. März 2008]
Dr. iur. René Huber, Datenschutzbeauftragter des Kantons Zug
Reto Zbinden, Swiss Infosec AG
In Zusammenarbeit mit René Loepfe, Leiter AIO, Kanton Zug
Agenda

08.30
Begrüssung / Vorstellung / Zielsetzung

08.35
Datensicherheit – Berichterstattung in den Medien

08.45
Datensicherheit – aus der Praxis des AIO

08.55
Rechtliche Grundlagen: Bund und Kanton Zug

09.00
So erstellen Sie den Massnahmenkatalog (Teil I)
09.30 PAUSE
(15')

09.45
So erstellen Sie den Massnahmenkatalog (Teil II)

10.30
So schulen Sie Ihre Mitarbeitenden Teil I
10.45 PAUSE
(15')

11.00
So schulen Sie Ihre Mitarbeitenden Teil II

11.40
Hier erhalten Sie zusätzliche Hilfe

11.45
Fragen und Antworten
Schulung: Umsetzung der Datensicherheitsverordnung
2
1. Begrüssung / Vorstellung
Schulung: Umsetzung der Datensicherheitsverordnung
3
2. Zielsetzung
Gemäss Datensicherheitsverordnung (DSV) müssen
datenbearbeitenden Organe in der Lage sein, die
Vorgaben der DSV rechtskonform und grundsätzlich
selbstständig umzusetzen.
Heute erfahren Sie, was Sie wie tun müssen.
Schulung: Umsetzung der Datensicherheitsverordnung
4
2. Zielsetzung
Was wir nicht wollen:
Schulung: Umsetzung der Datensicherheitsverordnung
5
3. Datensicherheit
Berichterstattung in den Medien (1)
 Patientendaten im Müll: 12 kg Unterlagen der CSS auf
der Strasse gefunden
Ein Anwohner will einen fremden Kehrichtsack ordnungsgemäss in den
Container werfen. Als der Sack dabei reisst, fallen gut 12 kg
Krankenunterlagen der Krankenkasse CSS auf die Strasse, darunter
Krankengeschichten, Versicherungsabschlüsse, Mandatserteilungen, usw.
 Einsatzprotokoll im Internet
Die Hessische Polizei stellt versehentlich ein 13 Seiten langes
Einsatzprotokoll von Verkehrskontrollen ins Netz. Darin finden sich Namen,
Geburtsdaten, aktuelle Adressen der Kontrollierten, „eventuelle
Vorstrafen“, Automarke, Kennzeichen sowie Gesetzesverstösse. Die Daten
standen ab Februar 2006 fast ein Jahr im Netz.
 Amerikanische Zustände
privacyrights.org schätzt, dass in den USA insgesamt 217,551,182
Personen vom Diebstahl oder Verlust ihrer besonders schützenswerten
Personendaten betroffen sind.
Schulung: Umsetzung der Datensicherheitsverordnung
6
3. Datensicherheit
Berichterstattung in den Medien (2)
 Pannenland Grossbritannien
 Januar 2008
Dem britischen Verteidigungsministerium werden auf einem
Notebook Informationen über rund 600.000 potenzielle Rekruten
gestohlen.
 Dezember 2007
Daten von drei Millionen Führerscheinkandidaten und 7.500
Fahrzeugen werden versehentlich gelöscht.
 November 2007
Das Nationalen Gesundheitssystems (NHS) verliert vertraulichen
Informationen von 160.000 kranken Kindern.
 November 2007
Die Steuerbehörden verlieren zwei CDs mit den persönlichen
Daten von 25 Millionen Personen, bzw. 7,25 Millionen Familien, die
Kindergeld beziehen.
Schulung: Umsetzung der Datensicherheitsverordnung
7
3. Datensicherheit
Berichterstattung in den Medien (3)
 Telefonauskunft
Die Auskunft der Telekom schlampte 2002 und gab die Adresse des
Frauenhauses Tübingen heraus. Daraufhin musste die ganze Einrichtung
schliessen, weil die Sicherheit der Frauen nicht mehr gewährleistet war.
 Brief von der Bank
Eine englische Kundin der britischen Grossbank HBOS bekam 2007 nicht
nur ihren eigenen Kontoauszug zugeschickt, sondern gleich fünf Briefe mit
insgesamt rund 2.500 Seiten, die Angaben zu den Finanzverhältnissen von
75.000 Kunden enthielten.
 Grösster Fall
Die Kaufhauskette TJX Companies Inc. gibt 2007 öffentlich bekannt, dass
sein Datenverarbeitungssystem für Kreditkartendaten gehackt wurde. Es
wurden 45,7 Millionen Kreditkarten-Datensätze und über 455.000
Kundenunterlagen zur Warenrückgabe (samt Kundenname und Führerscheindaten) gestohlen.
Schulung: Umsetzung der Datensicherheitsverordnung
8
4. Rechtliche Grundlagen: Überblick
Schulung: Umsetzung der Datensicherheitsverordnung
9
4.1 Datenschutzprinzipien







Offenheitsprinzip
Prinzip individuellen Zugangs
Prinzip individueller Teilhaberschaft
Prinzip der Adäquanz
Prinzip der Verwendungsbeschränkung
Prinzip der Weitergabebeschränkung
Prinzip des Datenverantwortlichen
Schulung: Umsetzung der Datensicherheitsverordnung
10
5. DSV Datensicherheitsverordnung Kanton Zug
 Bezweckt den Schutz von Daten
 Gilt für alle dem DSG unterstellten Organe
 Regelt das Verfahren und die Zuständigkeiten zur
Gewährleistung der Sicherheit von Daten
Schulung: Umsetzung der Datensicherheitsverordnung
11
5. Datensicherheitsverordnung (1)
§ 1 Gegenstand und Geltungsbereich
1 Diese Verordnung regelt das Verfahren und die Zuständigkeiten zur
Gewährleistung der Sicherheit von Daten, die mit elektronischen Hilfsmitteln
oder auf andere Weise bearbeitet werden.
2 Sie gilt für die dem Datenschutzgesetz unterstellten Organe. Für Organe,
die für den Kanton oder die Gemeinden öffentliche Aufgaben erfüllen, ist
sie nur im Rahmen der übertragenen Aufgaben anwendbar.
§ 2 Zweck der Datensicherheit
Die Datensicherheit bezweckt den Schutz von Daten insbesondere gegen:
a) zufällige Bekanntgabe, Vernichtung oder Verlust;
b) technische Fehler;
c) unbefugte Kenntnisnahme;
d) unbefugte Bearbeitung;
e) Fälschung, Entwendung oder widerrechtliche Verwendung.
Schulung: Umsetzung der Datensicherheitsverordnung
12
5. Datensicherheitsverordnung (2)
§ 3 Überprüfung der Datensicherheit
Die Organe sind verantwortlich für die Überprüfung der Sicherheit der
Daten in den Phasen ihrer Erhebung, Bearbeitung, Aufbewahrung und
Löschung. Für die Überprüfung der Sicherheit der Daten in der Phase der
Archivierung ist das Archiv zuständig.
§ 4 Sicherheitsmassnahmen
1 Die Organe bestimmen die zum Schutz der Daten erforderlichen
Sicherheitsmassnahmen, wie Zugangs-, Benutzer-, Zugriffs- oder Bearbeitungskontrollen.
2 Sie berücksichtigen dabei den gegenwärtigen Stand der Technik sowie
die Grundsätze der Verhältnismässigkeit und Wirtschaftlichkeit.
3 Sie erstellen einen Massnahmenkatalog, der Auskunft gibt über den
Zweck und die Kosten der vorgeschlagenen Massnahmen sowie den Zeitbedarf
für deren Umsetzung.
Schulung: Umsetzung der Datensicherheitsverordnung
13
5. Datensicherheitsverordnung (3)
§ 5 Umsetzung
1 Die Organe beantragen die Umsetzung des Massnahmenkatalogs – je
nach Zuständigkeit – bei den Direktionen, dem Obergericht, dem Verwaltungsgericht,
der Staatskanzlei sowie den vorgesetzten gemeindlichen Stellen.
Bei ausgelagerter Datenbearbeitung gehen die betreffenden Organe
sinngemäss vor.
2 Die Organe sorgen für die Instruktion der Mitarbeitenden und überprüfen
alle vier Jahre die Wirksamkeit der bisherigen Massnahmen.
§ 6 Regierungsrat
Der Regierungsrat erlässt eine Weisung zur Überprüfung der Datensicherheit.
Schulung: Umsetzung der Datensicherheitsverordnung
14
5.1 Überprüfung Datensicherheit
1.Organe bestimmen zuständige Personen
2.Durchführung der Prüfung / Vorgehensmethodik
Folgende Aufgaben werden von den zuständigen Personen der
Organe wahrgenommen:
a)
Überprüfung der Datensicherheit
b)
Erstellung des Massnahmenkatalogs
c)
Beantragen die Bewilligung der
vorgesehenen Massnahmen
d)
Instruktion der Mitarbeitenden
Schulung: Umsetzung der Datensicherheitsverordnung
15
5.2 Überprüfung der Datensicherheit: Weisung
 Die Organe überprüfen die Datensicherheit in denjenigen
Bereichen, die sie selber beeinflussen können: Zutrittschutz zu
Büros, Zugriffschutz von Fachanwendungen, Aufbewahrung
und Entsorgung von Datenträgern etc.
 Die Sicherstellung eines angemessenen Sicherheitsniveaus im Bereich
Netzwerke, Server, Arbeitsplatzeinrichtungen sowie organübergreifender
Fachanwendungen erfolgt durch die jeweiligen Informatikleistungserbringer. Sofern es sich bei den Informatikleistungserbringern um externe
Dritte handelt, sind diese entsprechend vertraglich zu verpflichten.
 Die Datenschutzstelle berät die Organe in grundsätzlichen Fragen der
Datensicherheit.
 Für spezifische informatiktechnische Fragen können sich kantonale
Organe an das AIO bzw. gemeindliche Organe an ihren jeweiligen
Informatikleistungserbringer wenden.
Schulung: Umsetzung der Datensicherheitsverordnung
16
5.3a Vorgehen: Ermitteln der Schutzobjekte
 Zu beurteilende Schutzobjekte werden ermittelt und auf einer Liste
erfasst:
o Personendaten, die mit elektronischen Mitteln und/oder manuell
bearbeitet werden
 Wie und in welchen Systemen werden Personendaten bearbeitet,
gespeichert, gelagert?
 In welchen Räumen werden Personendaten bearbeitet ?
 Verantwortungsbereich der Datensammlungen innerhalb der
jeweiligen Amtstelle? Wer?  siehe Register!
 Verantwortungsbereich der Applikation innerhalb der jeweiligen
Amtsstelle? Wer?
Schulung: Umsetzung der Datensicherheitsverordnung
17
5.3a Vorgehen: Schutzobjekte
 Liste der Datensammlungen aktuell?
 Register der Datensammlungen, Volltextsuche
 www.datenschutz-zug.ch
Schulung: Umsetzung der Datensicherheitsverordnung
18
Bsp. (1)
Schulung: Umsetzung der Datensicherheitsverordnung
19
Bsp. (2):
Schulung: Umsetzung der Datensicherheitsverordnung
20
5.3b Vorgehen: Überprüfung (§ 3 DSV)
 Bezüglich aller Schutzobjekte (Einträge auf Liste aus erstem
Schritt) sind die Sicherheitsanforderungen auf ihre Einhaltung
hin zu überprüfen (siehe hinten), sofern diese nicht im
jeweiligen Verantwortungsbereich eines
Informatikleistungserbringers liegen.
 Bsp.: Sind Zutrittsorte gesichert und Systeme mit sicheren
Passwörtern geschützt und werden diese periodisch geändert?
 Pro Memoria
MA erhalten ein Set einfach umzusetzender Merkblätter, die auf der
Homepage der Datenschutzstelle zur Verfügung steht
 http://www.datenschutz-zug.ch
Schulung: Umsetzung der Datensicherheitsverordnung
21
5.3c Vorgehen: Massnahmenkatalog
(§ 4 DSV)
 Zu ergreifende Sicherheitsmassnahmen sind in einem
Massnahmenkatalog aufzulisten (siehe Muster im Anhang).
 Für Auswahl konkreter Massnahmen kann auf Arbeitsunterlagen
und Massnahmenvorschläge des Eidgenössischen Datenschutzund Öffentlichkeitsbeauftragten (EDÖB) sowie des
Informatikstrategieorgans Bund zurückgegriffen werden.
 Vollständiger Massnahmenkatalog gibt Auskunft über Zweck,
Kosten sowie Zeitbedarf für Umsetzung der Massnahmen.
Schulung: Umsetzung der Datensicherheitsverordnung
22
5.3c Vorgehen: Muster Massnahmenplan
Schulung: Umsetzung der Datensicherheitsverordnung
23
5.3d Vorgehen: Umsetzung
 Zuständige Organe entscheiden, welche Massnahmen bis wann
umgesetzt werden.
 Kostenwirksame Massnahmen werden im Rahmen des Budgets
umgesetzt, einfache Massnahmen ohne Kostenfolgen umgehend.
 Verantwortliche Person für Instruktion der Mitarbeitenden stellt
sicher, dass Mitarbeitende informiert und ausgebildet werden.
 Organe überprüfen Wirksamkeit der Massnahmen alle vier Jahre.
Schulung: Umsetzung der Datensicherheitsverordnung
24
5.4 Zusammenfassung
Zusammenfassung des Vorgehens







Zuständige Personen für Datensicherheitsüberprüfung, Erstellung
Massnahmenkatalog, Bewilligung der beantragten Massnahmen sowie
Instruktion der Mitarbeitenden sind bestimmt.
Erstellen Schutzobjektliste.
Überprüfung der Datensicherheit, wo nötig mit entsprechenden Stellen
koordiniert.
Massnahmenkatalog wurde erarbeitet und der Bewilligungsinstanz zum
Entscheid vorgelegt.
Umzusetzende Massnahmen wurden von Bewilligungsinstanz beschlossen.
Nicht kostenwirksame Massnahmen wurden umgehend in Angriff genommen.
Kostenwirksame Massnahmen sind budgetiert, Mittel bewilligt, Arbeiten
personell zugewiesen und zur Umsetzung freigegeben.
Massnahmen sind umgesetzt.
Schulung: Umsetzung der Datensicherheitsverordnung
25
5.5 Sicherheitsanforderungen
 Die Sicherheitsanforderungen für Organe richten sich an die für die
Überprüfung der Datensicherheit zuständigen Personen und nicht
an die Benutzerinnen und Benutzer von Geräten an
Informatikarbeitsplätzen.
Für Letztere stehen auf der Homepage der kantonalen Datenschutzstelle
diverse Merkblätter zur Verfügung.
 Die Organe überprüfen die Sicherheit ihrer Personendaten anhand
der nachstehenden Sicherheitsanforderungen.
Schulung: Umsetzung der Datensicherheitsverordnung
26
5.5 Sicherheitsanforderungen A1 (1)
Die Entsorgung von Datenträgern ist so geregelt, dass keine
Rückschlüsse auf den Inhalt oder die gespeicherten Daten
möglich sind. Reparaturen von Geräten sind von Fall zu Fall zu
regeln (vertrauliche Daten sind vorher zu löschen).
 Papierdokumente werden mittels Aktenvernichter geshreddert
(Maximalgrösse 4 x 80mm) und mit geeigneten Mitteln entsorgt.
 Elektronische Daten/Datenträger werden vernichtet:
o Formatierung der Datenträger UND mindestens 2malige Überschreibung
(Software) mit komplexen Zeichenketten (=nicht nur „0“) oder
o Entmagnetisierung (für magnetische Datenträger) oder
o physische/mechanische Zerstörung der Disketten, CD/DVD,
USB-Sticks, Streamertapes etc.
Schulung: Umsetzung der Datensicherheitsverordnung
27
5.5 Sicherheitsanforderungen A1 (2)
 Wo Material vor der Entsorgung gesammelt wird, ist die Sammlung
unter Verschluss zu halten.
 Achtung:
o Gilt auch für Datenträger in Multifunktionsgeräten (Scanner,
Drucker, PDA, Foto-Geräte etc.)
o Die Vorgaben bezüglich Archivierung sind einzuhalten
Schulung: Umsetzung der Datensicherheitsverordnung
28
5.5 Sicherheitsanforderungen A2
Sämtliche Zugriffe auf Fachanwendungen sind mit einem
Authentifikationsprozess bzw. sicheren Passwörtern geschützt.
Die Passwörter erzwingen einen automatischen, periodischen
Passwortwechsel




Alle Anwendungen sind durch eine Autorisierung bzw. ein sicheres
Passwort geschützt.
Der Zugang ist, sofern technisch möglich, erst nach einer individuellen
Identifikation (z.B. Namen oder User-ID) und Authentisierung (z.B. durch
Passwort) des Nutzungsberechtigten möglich. Der Zugang wird
protokolliert.
Die Fachanwendungen erzwingen einen automatischen, periodischen
Passwortwechsel mindestens alle 90 Tage und ein sicheres Passwort.
Siehe Verordnung über die Benutzung von elektronischen
Kommunikationsmitteln im Arbeitsverhältnis vom 17.12.2002 und Merkblatt
Passwortschutz.
Schulung: Umsetzung der Datensicherheitsverordnung
29
5.5 Sicherheitsanforderungen A3 (1)
Es dürfen keine Information an Unberechtigte weitergegeben
werden. Vertrauliche Dokumente in gedruckter Form sowie
elektronische Datenträger werden in den dafür vorgesehenen
Schränken oder im Pult eingeschlossen.
Nicht mehr benötigte vertrauliche Dokumententwürfe werden
vernichtet.
 Identität der Berechtigten wird formell geprüft.
 Papierablagen und Datenträger sind durch Dritte nicht zugänglich,
weil unter Verschluss oder in Räumen mit Zutrittsbeschränkung.
 Es existiert ein Zutritts- bzw. ein Schlüsselmanagement (inkl.
Reserve-Schlüssel) und Weisungen wie vertrauliche Dokumenten
abzulegen sind.
 Versendung von Dokumente erfolgt durch persönliche
Adressierung.
Schulung: Umsetzung der Datensicherheitsverordnung
30
5.5 Sicherheitsanforderungen A3 (2)
 Prinzipiell werden keine Dokumente/Datenträger an öffentlich
zugängliche Orte versendet (z.B. gemeinsam genutzte FaxGeräte).
 Papierablagen und Datenträger sind durch Dritte nicht zugänglich,
sondern unter Verschluss oder in Räumen mit
Zutrittsbeschränkung aufzubewahren.
 Bei Anwesenheit von Service-Personal (inkl. Reinigungspersonal)
in zutrittsberechtigten Räumen sind Dokumente/Datenträger nicht
zugänglich aufzubewahren.
 Für Entsorgung siehe auch Sicherheitsanforderung A1
Achtung:
 Vorsicht beim Drucken an Netzwerkdruckern (ev. Passwortschutz
aktivieren).
Schulung: Umsetzung der Datensicherheitsverordnung
31
5.5 Sicherheitsanforderungen A4 (1)
Bei Neuinstallationen und Releasewechseln von Hardware und
Software werden mindestens alle geschäftskritischen und
sicherheitstechnisch wichtigen Funktionen auf ihre
Funktionstüchtigkeit überprüft.
 Für jede Applikation sind die geschäftskritischen Funktionen
bekannt.
 Für jede Applikation und Hardware sind die sicherheitstechnischen
Funktionen bekannt und es ist dokumentiert wie diesbezüglich die
Applikation und Hardware einzurichten (Parameter usw.) sind.
 Es existieren Checklisten wie die Applikation und Hardware auf ihre
Funktionsfähigkeit überprüft werden muss.
 Es existieren Checklisten wie die Vollständigkeit der Daten überprüft
werden kann.
Schulung: Umsetzung der Datensicherheitsverordnung
32
5.5 Sicherheitsanforderungen A4 (2)


Diese Checklisten werden bei Neuinstallationen, Updates und
Releasewechseln eingesetzt und dienen der Abnahme der
Installation.
Vor einer Neu-Installation bzw. Release-Wechsel werden die
Daten gesichert.
Schulung: Umsetzung der Datensicherheitsverordnung
33
5.5 Sicherheitsanforderungen A5
Es ist sichergestellt, dass nur Berechtigte Zugriff auf ein
System oder bestimmte Fachanwendungen und deren Daten
haben.
 Pro Anwendung ist eine Liste von Mitarbeitern (oder mindestens
Funktionen) vorhanden, die auf die Applikation und Daten
zugreifen müssen.
 Es ist sichergestellt, dass Zugriffe auf ein System oder auf
Fachanwendungen und deren Daten auf Mitarbeiter beschränkt
wird, die diese Daten zur Arbeitserledigung auch benötigen (Need
to know -Prinzip).
 Sämtliche Zugriffe auf sensitive Daten sind nur von autorisierten
Personen möglich.
 Die Zugriffsliste wird jährlich überprüft und bei personellen
Veränderungen sofort angepasst.
Schulung: Umsetzung der Datensicherheitsverordnung
34
5.5 Sicherheitsanforderungen A6
Sicherheitsrelevante Prozesse (Onlinezugriffe,
Mutationsprozesse jeglicher Art) werden von der für die
jeweilige Datensammlung zuständigen Stellen organisiert,
umgesetzt und dokumentiert.
 Die sicherheitsrelevanten Prozesse sind bekannt, und die
entsprechenden Dokumentation und Weisungen sind aktuell:
o Erfassen, Mutieren und Löschen von Daten
o Erfassen, Mutieren und Löschen von Zugriffsberechtigungen
o Schlüssel- und Zutrittsmanagement
o Anträge für Änderungen der Applikationen/Hardware
(siehe auch Sicherheitsanforderung A7)
Schulung: Umsetzung der Datensicherheitsverordnung
35
5.5 Sicherheitsanforderungen A7 (1)
Änderungsaufträge an die Betriebsorganisation des
Informatikbetreibers erfolgen schriftlich.
 Es ist bekannt, wer einen Änderungsauftrag an die
Betriebsorganisation stellen darf und wer den Auftrag genehmigen
muss.
 Aufträge an den Informatikbetreiber werden schriftlich formuliert
und beinhalten im Minimum:
- Antragsteller
- Kontaktperson für Abstimmungen
- Antrag (möglichst detailliert, mit Inhalt/Termine)
- Genehmigung (4-AugenPrinzip)
 Der Informatikbetreiber dokumentiert / quittiert schriftlich
die durchgeführten Änderungen.
Schulung: Umsetzung der Datensicherheitsverordnung
36
5.5 Sicherheitsanforderungen A7 (2)
 Anträge und Korrespondenz werden für 5 Jahre
abgelegt.
 Bevor Änderungen genehmigt und durchgeführt werden, muss
durch Prüfung und Tests sichergestellt werden, dass das
Sicherheitsniveau während und nach der Änderung erhalten bleibt.
Schulung: Umsetzung der Datensicherheitsverordnung
37
5.5 Sicherheitsanforderungen A8 (1)
Folgende Aktivitäten in den Fachanwendungen werden
aufgezeichnet:
- gescheiterte Authentifikationsversuche
- gescheiterte Objektzugriffe
- Vergabe und Änderungen von Privilegien und
- alle Aktionen, die erhöhte Privilegien erfordern.
 Die Fachanwendungen protokollieren im Detail:
o User-ID, Arbeitsstation, Zeitpunkt, Applikation (/Aktivität)
o gescheiterte Zugriffsversuche durch Eingabe von User-ID
(inkl. User-ID, Arbeitsstation, Zeitpunkt)
o gescheiterte Objektzugriffe (inkl. User-Id, Arbeitsstation, Zeitpunkt)
o Änderungen der Zugriffsberechtigung
(welche Rechte sind durch welche User-Id und Zeitpunkt verändert
worden)
Schulung: Umsetzung der Datensicherheitsverordnung
38
5.5 Sicherheitsanforderungen A8 (2)
 Die Protokolle werden mindestens monatlich überprüft
(speziell fehlgeschlagene Authentifizierungen).
 Die Protokolle gescheiterter Zugriffe werden
mindestens 6 Monate aufbewahrt.
Schulung: Umsetzung der Datensicherheitsverordnung
39
5.5 Sicherheitsanforderungen A9
Bei der Installation von Fachanwendungen werden
vordefinierte Accounts, Initialpasswörter, Privilegien oder
Zugriffsrechte sofort kontrolliert und nötigenfalls angepasst
oder gelöscht.
 ALLE vordefinierte Accounts, Initialpasswörter, Privilegien oder
Zugriffsrechte werden sofort geprüft und nötigenfalls angepasst
oder gelöscht.
 Reset-Prozeduren (mit Neu-Generierung von
Standardpasswörtern) werden überprüft/angepasst.
 Die Sicherheitseinrichtungen werden aktiviert (Verschlüsselung,
Anmeldeprozeduren, Anti-Viren-Programme,…).
 Notwendige System-Passwörter sind unter Verschluss zu halten
(Passwort-Management).
Schulung: Umsetzung der Datensicherheitsverordnung
40
5.5 Sicherheitsanforderungen A10
Die Vertraulichkeit und Integrität der Datenübertragung von
Benutzernamen, Passwörtern, Schlüsseln oder andere kritische
Systemdaten aus Fachanwendungen ist bei der Übertragung
über Netze sichergestellt.
 Es existiert eine Liste der zu benutzenden Datenübertragungseinrichtungen und die einzuhaltenden Prozeduren, die Vertraulichkeit
und Integrität garantieren.
 Die Verteilung von Daten, Benutzernamen, kritischen Systemdaten
und Passwörtern wird dokumentiert und gegebenenfalls quittiert.
 Es werden nur Daten übermittelt, die auch benötigt werden (Needto-Know).
 Passwörter werden verschlüsselt oder persönlich übergeben.
 Datenübertragungen werden durch Hashwerte oder mindestens
durch Zählung der übertragenen Datensätze sichergestellt.
Schulung: Umsetzung der Datensicherheitsverordnung
41
5.5 Sicherheitsanforderungen A11
Systemzugriffsperren werden nach einer definierten Zeit (in der
 Siehe Text oben
Regel 10 Minuten) automatisch aktiviert. Eine manuelle
 Aktivierung
Systemzugriffsperren
dürfen
nicht de-aktiviert
ist ebenfalls
möglich.
Falls einewerden
entsprechende
Sperrung aus technischen Gründen nicht möglich ist, ist der
Zugang zu unbeaufsichtigten Arbeitsplätze geschützt (z.B.
Abschliessen des Raumes).
Schulung: Umsetzung der Datensicherheitsverordnung
42
5.5 Sicherheitsanforderungen A12 (1)
• Da mobile Informatikmittel (Notebooks, elektronische
Agenden, Mobiltelefone etc.) nicht nur im eigenen Büro
verwendet werden, sondern auch ausserhalb des
Arbeitsplatzes, sind sie mit geeigneten technischen
Massnahmen zu schützen (z.B. Pre-Boot-Authentifikation,
sichere Volumelabels, Diskverschlüsselung etc.).
• Die Schutzvorrichtungen (Antivirus, Firewall) sind regelmässig
(mindestens wöchentlich) zu aktualisieren.
• Die Benutzer sind in Fragen des Umgangs mit vertraulichen
Daten in der Öffentlichkeit geschult.
• Für die Fernwartung sind speziell überwachte Accounts
eingerichtet.
 Mobile Informatikmittel die ausserhalb des eigenen Büro verwendet
werden sind speziell zu schützen (siehe auch oben).
Schulung: Umsetzung der Datensicherheitsverordnung
43
5.5 Sicherheitsanforderungen A12 (2)
 Neue Mitarbeiter müssen interne Regelungen, Gepflogenheiten
und Verfahrenweisen im IT-Einsatz (inkl. Sicherheitsmassnahmen)
und Datenschutz kennen und sind zeitnahe geschult worden.
 Die Schwachstellen der Office-Programme sind bei den
Mitarbeitern bekannt:
- Schwache Passwörter
- OLE-Funktion (Dokumente enthalten versteckte Informationen
über die Bearbeitung)
- Autofill-Funktion ….
 Spezielle Accounts für die Fernwartung werden besonders
überprüft und nach Möglichkeit nach dem Eingriff wieder blockiert
bzw. mit einem neuen Passwort versehen.
Schulung: Umsetzung der Datensicherheitsverordnung
44
5.5 Sicherheitsanforderungen A13
Internet/E-Mail: Personendaten werden nur verschlüsselt
übermittelt
 Internet / E-Mail: Personendaten werden nur verschlüsselt
übermittelt.
 Der Informatikbetreiber oder das AIO gibt Auskunft über
Verschlüsselungsoftware.
 Laptops, PDA und Speichermedien: ausserhalb von geschützten
Räumen sind persönliche Daten auf Speichermedien zu
verschlüsseln.
 Die Zugangspasswörter sind sorgfältig und getrennt von den
Speichermedien aufzubewahren/zu übermitteln.
Schulung: Umsetzung der Datensicherheitsverordnung
45
5.5 Sicherheitsanforderungen A14 (1)
Pro Fachanwendung ist festgelegt, welche Ausweichlösung zur
Verfügung steht. Die Behandlung von Stör-, Not- und
Katastrophenfällen und das konkrete Vorgehen sind vom
Betreiber in Zusammenarbeit mit dem zuständigen Organ
definiert und vereinbart worden.
 Pro Fachanwendung ist dokumentiert, welche Ausweichlösungen
für kurz- und langfristige Ausfälle zur Verfügung stehen.
 Die Behandlung von Ausfällen und das konkrete Vorgehen sind
vom Betreiber in Zusammenarbeit mit dem zuständigen Organ
definiert und vereinbart worden. Speziell ist die Reaktionszeit und
die Verantwortlichkeiten zu klären.
Schulung: Umsetzung der Datensicherheitsverordnung
46
5.5 Sicherheitsanforderungen A14 (2)
 Es existieren Datensicherungspläne, die Auskunft geben über
Speicherort der Daten im Normalbetrieb, Bestand der gesicherten
Daten, Zeitpunkt der Datensicherung, Art und Umfang, Verfahren
für die Rekonstruktion der Daten.
 Sicherungskopien sind in zutrittsgeschützten Räumen, ausserhalb
des Arbeitsplatzes und Computerraum aufbewahrt.
 Backup-Prozeduren werden jährlich geprüft.
Schulung: Umsetzung der Datensicherheitsverordnung
47
Ist der Mensch das Risiko?
Schulung: Umsetzung der Datensicherheitsverordnung
48
Hier entstehen Gefahren…
GEBÄUDE
ZENTRALE
DATEN
SERVER
MENSCH
PC/DRUCKER
ÜBERMITTLUNG
LOKALE DATEN
Schulung: Umsetzung der Datensicherheitsverordnung
49
6. Detailbesprechung: Benutzerinstruktion (1)
 Der Mensch bildet das Hauptrisiko.
 Der Mensch ist es aber auch, der durch gezielte Tätigkeiten die
Risiken entschärfen bzw. die Risiken wahrnehmen kann.
 Erkennen dieser zentralen Rolle des Menschen.
 Hauptbeeinflussungsfaktoren:
o
o
o
o
o
Sensibilisierung
Mobilisierung
Motivierung
Ausbildung
Information
Schulung: Umsetzung der Datensicherheitsverordnung
50
6. Detailbesprechung: Benutzerinstruktion (2)
 Ziele
o Sicherheitsziele und Regeln müssen klar und eindeutig formuliert
sein.
o Alle Mitarbeitenden müssen in der Lage sein, die gestellten
Anforderungen zu erfüllen, nämlich das Sicherheitsziel zu erreichen.
o Alle Mitarbeitenden müssen in der Lage sein, sichere
Arbeitshandlungen von unsicheren Arbeitshandlungen
unterscheiden zu können.
o Alle Mitarbeitenden müssen wissen, was sie zu tun haben, um
unsichere Arbeit zu verhindern.
o Alle Mitarbeitenden müssen wissen, was sie zu tun haben, wenn sie
unsichere Arbeit nicht verhindern konnten.
o Alle Mitarbeitenden müssen die Konsequenzen unsicherer
Arbeitshandlungen für den Betrieb genau kennen.
Schulung: Umsetzung der Datensicherheitsverordnung
51
6. Detailbesprechung: Benutzerinstruktion (5)
 Die Ausbildung der Mitarbeitenden soll bis Ende
September 2008 erfolgen.
 Der Nachweis soll bei Bedarf durch die Organe erbracht
werden können, wer, wann ausgebildet wurde.




Durchsicht Merkblätter
Durchsicht unterstützende Folien
Welche weiteren Hilfsmittel gibt es?
Wie werden Hilfsmittel eingesetzt?
Schulung: Umsetzung der Datensicherheitsverordnung
52
Merkblatt «Der sichere Umgang mit Daten»
Bei der Bearbeitung von Personendaten bestehen
gewisse Risiken und Gefahren:
 Schutz gegen Zugriff Unberechtigter
 Bei Abwesenheit
 Bei Arbeitsschluss
 Weitergabe, Speichern und Löschen von Daten
 Weitergabe von Daten
 Speichern von Daten
 Löschen von Daten
 Schutz vor Verlust
 Mobile Datenträger
 Viren: Schutz vor Viren und Vorgehen bei Auftreten von Viren
Schulung: Umsetzung der Datensicherheitsverordnung
53
Merkblatt «Der sichere Umgang mit Daten»
 Kommunikation über Netze


Internet
Intranet und internes Netz
 Datenspuren


In Dateien
Beim Surfen
 Rechtsgrundlagen





Datenschutzgesetz des Kantons Zug
Datensicherheitsverordnung
Verordnung über die Benutzung von elektronischen Kommunikationsmitteln im
Arbeitsverhältnis
Personalgesetz und Personalverordnung
Strafgesetzbuch
Schulung: Umsetzung der Datensicherheitsverordnung
54
Merkblatt «Der sichere Umgang mit Daten»
 Weitere zusätzliche Hinweise



DSB Kanton Zug:
http://www.datenschutz-zug.ch/
DSB Kanton Zürich:
Lernprogramm zu Datensicherheit
http://www.datenschutz.ch/wbt/sicherheit/index1.htm
Grobanalyse getroffener Massnahmen für Datenschutz und
Informatiksicherheit
https://review.datenschutz.ch/review/index.php
Eidg. Datenschutz- und Öffentlichkeitsbeauftragter:
http://www.edoeb.admin.ch
Schulung: Umsetzung der Datensicherheitsverordnung
55
Merkblatt «Passwort»
 Passwort: Schutz vor dem Zugriff Unberechtigter
 Ein gutes – oder «starkes» Passwort





mind. 8 oder besser aus 10 Zeichen
enthält Zahlen, Buchstaben und Sonderzeichen kombiniert
hat Gross- und Kleinbuchstaben
können Sie sich gut merken, andere aber nicht erraten, zum Beispiel
Sonn**EN00schein, fRan?ziska57
besteht nicht nur aus Wörtern – auch nicht in einer Fremdsprache – oder
Namen
 Anleitung für sichere Passwörter

Bilden Sie einen Satz: «Im August schien die Sonne nur 1x!» ergibt das starke
Passwort: <IAsdSn1x!>
Schulung: Umsetzung der Datensicherheitsverordnung
56
Merkblatt «Passwort»
 Handhabung des Passwortes





Halten Sie das Passwort geheim
Ändern Sie das Passwort spätestens nach vier Monaten
Verwenden Sie für verschiedene Anwendungen verschiedene Passwörter
Keine Weitergabe an Mitarbeiter oder Dritte
Verwenden Sie privat und geschäftlich andere Passwörter
 Wichtige zusätzliche Informationen zum Passwort

Hier können Sie überprüfen, wie gut Ihr Passwort ist:
https://review.datenschutz.ch/passwortcheck/check.php
Schulung: Umsetzung der Datensicherheitsverordnung
57
Merkblatt «Der sichere Umgang mit E-Mail»
 Eile mit Weile!

Ein Klick und Ihr Mail ist unwiderruflich weg
 Wissen Sie wirklich, wer der Adressat ist?
 Versand innerhalb des verwaltungseigenen Netzes

Endet die Adresse auf «.zg.ch», erfolgt die Zustellung über das eigene Netz
 Versand via Internet
 Erhalt von E-Mails



Mails von zweifelhafter Herkunft sind ungeöffnet zu löschen
Ebenso ungeöffnet zu löschen sind Dateien mit der Endung «.scr»,
ausführbare Dateien («.exe», «.bat», «.vbs» etc.) und Bilder von zweifelhafter
Herkunft
Fehlende Gewissheit über Identität des Absenders erfordert telefonisches
Nachfragen beim Absender
Schulung: Umsetzung der Datensicherheitsverordnung
58
Merkblatt «Der sichere Umgang mit E-Mail»
 Vorgehen bei Ferienabwesenheit


Eingehende E-Mails nicht automatisch an eine E-Mail-Adresse ausserhalb des
eigenen Netzes weiterleiten
Absenderinnen und Absender von E-Mails mit einer automatischen Antwort
über Ihre Ferienabwesenheit und Ihre Stellvertretung informieren
 Wichtige zusätzliche Informationen im Umgang mit E-Mail


Private Nutzung von E-Mails?
Zur Verschlüsselung von [Office-] Dokumenten
Schulung: Umsetzung der Datensicherheitsverordnung
59
«Kundenkontakt»
 Identität von Anfragenden



Datenbekanntgaben per Telefon
Anfragen per E-Mail
Datenbekanntgabe per Fax oder SMS
 Voraussetzungen von Datenbekanntgaben



Amtsgeheimnis gilt grundsätzlich auch zwischen den verschiedenen Stellen
innerhalb der Verwaltung
Personendaten dürfen anderen Stellen grundsätzlich nur dann
bekanntgegeben werden, wenn eine entsprechende ausdrückliche gesetzliche
Grundlage dies zulässt oder die betroffene Person der Datenbekanntgabe
zugestimmt hat
An Privatpersonen darf ausschliesslich Auskunft über ihre eigenen Daten
gegeben werden
Schulung: Umsetzung der Datensicherheitsverordnung
60
«Kundenkontakt»
 Einsichtsrecht der Betroffenen




Jede betroffene Person hat das Recht, ihre eigenen Daten einzusehen und
grundsätzlich kostenlose Kopien ihrer Daten zu verlangen
Jede betroffene Person hat das Recht, falsche Daten berichtigen zu lassen
Die Betroffenen haben das Recht zu wissen, zu welchem Zweck und auf
welcher Rechtsgrundlage Daten über sie bearbeitet und an wen sie
weitergegeben werden
Auskünfte an Betroffene über ihre eigenen Daten müssen speditiv erfolgen und
vollständig und richtig sein. Der anfragenden Person entstehen grundsätzlich
keinerlei Kosten. Die Beantwortung der Anfrage erfolgt in der Regel schriftlich.
Schulung: Umsetzung der Datensicherheitsverordnung
61
Merkblatt «Mobile Geräte»
 Mobile Geräte (Laptops/Notebooks, PDA,
Mobiltelefone/Smartphones, USB-Sticks etc.)






Grundsätzlich dieselben Sicherheitsbestimmungen wie für feste
Arbeitsstationen
Schutz des Gerätes durch ein starkes Passwort
Diverse Möglichkeiten zur drahtlosen Kommunikation (WLAN, Bluetooth,
Infrarot, GSM etc.)
Nutzung von öffentlichen «Hotspots» ist zu vermeiden
Aktualisierung des Virenschutzes
Umgehende Information an IT-Verantwortlichen bei Verlust oder Diebstahl
 Verschlüsselung
 SMS, MMS und E-Mail
 Vertrauliches gehört nicht an die Öffentlichkeit
Schulung: Umsetzung der Datensicherheitsverordnung
62
8. Wichtige Links
 DSB Kanton Zug
 www.datenschutz-zug.ch
 DSB Kanton Zürich
 www.datenschutz.ch
 Kantonale DSB
 www.privatim.ch
 Eidg. Datenschutz- und
Öffentlichkeitsbeauftragter (EDÖB)  www.edoeb.admin.ch
 Deutsches Grundschutzhandbuch  www.bsi.de
Schulung: Umsetzung der Datensicherheitsverordnung
63
9. Fragen und Antworten
Schulung: Umsetzung der Datensicherheitsverordnung
64
Zugehörige Unterlagen
Druckweiterverarbeitung: Fehler vermeiden – Kosten senken
Druckweiterverarbeitung: Fehler vermeiden – Kosten senken
Einladung und Anmeldung zur HUBARBEITSBÜHNEN
Einladung und Anmeldung zur HUBARBEITSBÜHNEN
Beschreibung
Beschreibung
umfasst unser Kursangebot verschiedene Arten: von offenen
umfasst unser Kursangebot verschiedene Arten: von offenen
Besuch eines chinesischen Teams bei Famous
Besuch eines chinesischen Teams bei Famous
Handball / Positionsspezifische Schulung des
Handball / Positionsspezifische Schulung des
Bessere Schulung für sicherere Lebensmittel: Die
Bessere Schulung für sicherere Lebensmittel: Die
Ich möchte gerne eine Patenschaft übernehmen
Ich möchte gerne eine Patenschaft übernehmen
Grundlagen der Kommunikation
Grundlagen der Kommunikation
Projekt *Umweltschule in Europa
Projekt *Umweltschule in Europa
Infobrief 13/2013 - Selbsthilfebüro Freiburg / Breisgau
Infobrief 13/2013 - Selbsthilfebüro Freiburg / Breisgau
Jahresplanung - Sport und Bewegung
Jahresplanung - Sport und Bewegung
medizinische berufskarriere
medizinische berufskarriere
PDF zum Herunterladen
PDF zum Herunterladen
Schulung Funktionale Programmierung
Schulung Funktionale Programmierung
1.3.3.01 Einfuehrung neuer Ma ins QMS
1.3.3.01 Einfuehrung neuer Ma ins QMS
Bewirb dich Hier
Bewirb dich Hier
ARBEITSAUFGABEN Harnleiter Harnblase
ARBEITSAUFGABEN Harnleiter Harnblase
OrganeDesMenschen
OrganeDesMenschen
Start_up_2014
Start_up_2014
Der Magen Der Zwölffingerdarm Der Dünndarm Die Leber Die Galle
Der Magen Der Zwölffingerdarm Der Dünndarm Die Leber Die Galle
Datensicherheit - Wolfgang Wiechmann
Datensicherheit - Wolfgang Wiechmann
Herunterladen
Werbung