Post on 05-Apr-2015
transcript
Datensicherheits-maßnahmen
Mitarbeiterschulung
© Deichmann+Fuchs Verlag GmbH & Co. KG | Datensicherheitsmaßnahmen
Agenda
Gesetzliche Anforderungen
4 Schutzstufen
Kontrollarten
Hinweise zu speziellen Sicherheitsmaßnahmen
2
Technische und organisatorische Maßnahmen
müssen nach § 9 BDSG
erforderlich sein
geeignet sein, die in der Anlage zu § 9 BDSG genannten Anforderungen zu gewährleisten
angemessen sein im Verhältnis zwischen dem Aufwand den sie verursachen und dem Schutzzweck dem sie dienen
3
Schutzstufen
1 niedriger Schutzbedarf
2 mittlerer Schutzbedarf
3 hoher Schutzbedarf
4 sehr hoher Schutzbedarf
4
sehr hoch
hoch
mittel
niedrig
Besondere Arten personenbez. Daten gemäß § 3 Abs. 9 BDSG
rassische Herkunft
ethnische Herkunft
politische Meinungen
Überzeugungen religiöse
philosophische
Gewerkschaftszugehörigkeit
Gesundheit
Sexualleben
5
SPEZIAL
Acht Kontrollarten gemäß der Anlage zu § 9 Satz 1 BDSG
Zutrittskontrolle
Zugangskontrolle
Zugriffskontrolle
Weitergabekontrolle
Eingabekontrolle
Auftragskontrolle
Verfügbarkeitskontrolle
Trennungsgebot oder Trennungskontrolle
6
Ziele
Gewährleistung der
Vertraulichkeit
Integrität
Verfügbarkeit
Authentizität
Revisionsfähigkeit
7
Zutrittskontrolle
Definition
Beispielsmaßnahmen
Festlegung der Sicherheitszonen
Bestimmung der zutrittsberechtigten
Personen
Einsatz von Zugangskontrollsystemen
Verschluss der Arbeitsplätze
Zutrittsregelungen für betriebsfremde
Personen
8
Zugangskontrolle
Definition
Beispielsmaßnahmen
Zugangsbeschränkung
Netzwerkabschottung
Bildschirmschoner
Identifizierung/Authentisierung
9
Sicherheitsmaßnahmen innerhalb des lokalen Netzes Erstellung von Dienstanweisungen
restriktive Vergabe von Zugangs- und Zugriffsberechtigungen
Einsatz geeigneter Sicherheitsmechanismen zur Identifizierung und Authentisierung
Überwachung der Datenzugriffe Dienstvereinbarung zur Protokollierung Abschottung der Teilnehmer
untereinander
10
Abschottung des lokalen Netzes gegen externe Netze
lokales Sicherheitskonzept Kommunikationsbedarfsfeststellung Absicherung der Übergänge Auswertung von Protokollen Einsatz von Firewalls/VPN Ausfiltern unerwünschter
Seitenzugriffe Virenscanner auf allen Ebenen
11
Firewall
Zwecke Abschottung des internen Netzes Abschottung der Netzteilnehmer Erkennung und Abwehr von Angriffen Verhinderung des unerlaubten Transportes
interner Daten nach außen
Absicherung der Firewall Intrusion Detection Intrusion Response Virenscanner
12
Virtuelle private Netze (VPN) Nutzung der öffentlichen Telekommunikationsstruktur
Einsatz von sogenannten Tunneling- und Sicherheitsprotokollen
Realisierung über das Internet
Nutzung der VPN-Funktionen einer Firewall
Datenverschlüsselung
13
Verbreitung von Schadenssoftware
Internet und E-Mail als Medien zur Verbreitung von
Schadenssoftware (z. B. in Mails bzw. Anhängen)
Viren
Trojaner
Würmer
Spam etc.
Authentisierung
Passwortaufbau
Passwortvergabe
Passwortverwaltung
Sanktionen
Sonstiges
15
Zugriffskontrolle
Definition
Beispielsmaßnahmen Benutzerprofile Zugriffsbeschränkungen Zugriffsprotokollierung Datenverschlüsselung Datenträgeraufbewahrung datenschutzgerechte Entsorgung
16
Protokollierung
Begriff
Rechtsgrundlage
Anforderungen
Aufzeichnungsumfang
Aufbewahrung
Auswertung
Einbindung der Personalvertretung
17
Zugriffsschutzverletzungen
Verschlüsselungsarten
Symmetrische Verfahren ein Schlüssel zum Ver- und Entschlüsseln schnelle Datenübertragung Gefahr der Weitergabe des Schlüssels
Asymmetrische Verfahren Private- und Public Key Public Key wird öffentlich bekannt gegeben elektronische Signatur
18
Datenträgerentsorgung
Datenträgerarten
Sicherheitsnormen DIN 32757 DIN 33858
Entsorgungsmaßnahmen
Entsorgung in Form der Auftragsdatenverarbeitung
19
Weitergabekontrolle
Definition
BeispielsmaßnahmenFestlegung der BerechtigtenProtokollierungFestlegung der VersandartenSicherer DatenträgertransportVirenschutzVerschlüsselung
20
Eingabekontrolle
Definition
Beispiele von Maßnahmenelektronische SignaturPlausibilitätskontrollenAufbewahrungsfristenProtokollierungProtokollauswertungEingabebelege
21
Elektronische Signatur
Wahrung der Authentizität und Integrität
rechtliche Voraussetzungen
Zertifikate
Trust Center
PKI
Chipkarte
22
Zertifikate …… binden die Identität an einem Public Key
vergleichbar mit Personaldokumenten (Ausweis, Reisepass,Führerschein, …)Signiert von einer vertrauten Certificate Authority oder auch Trust CenterErlaubt die Überprüfung der wahren Identität
Name wird gebunden an Public Key
Authentizität des Zertifikats wird garantiert durch die Signatur (mit privaten Schlüssel) der CA o. Trust Centers
Ablaufdatum
Subject Name: “Internet, Organization, Bob”
Expires: 12/18/2000
Signed: CA’s signature
Serial #: 29483756
Public key:
Other data: 10236283025273
Spez. Attribute
Private
Public
Auftragskontrolle
Definition
Beispiele von Maßnahmen
Auswahl des Auftragnehmers
Vertragsgestaltung
Rechte und Pflichten
Sicherheitsmaßnahmen
Kontrolle der Vertragsausführung
24
Verfügbarkeitskontrolle
Definition
Beispiele von Maßnahmen
Risiko- und Schwachstellenanalyse
Anwenderschulung
Brandschutz
Datensicherung
Wartung und Fernwartung
25
Trennungskontrolle bzw. Trennungsgebot
Definition
Beispiele von Maßnahmen
Dokumentation der Datenbank
logische Datenbanken
physikalische Trennung
Trennung Produktion/Test
Pseudonyme
26
Vielen Dank für Ihre Aufmerksamkeit!
Haben Sie noch Fragen?
27