This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Rechtliche Vorgaben und Standards zur IT-Sicherheit
4
Generalverwaltung, Der Datenschutzbeauftragte Rechtliche Vorgaben 7
• Evaluated Software Components The evaluated software product is the Microsoft Windows NT Workstation
and Server Version 3.5. To meet the C2 requirements, the administratorshall follow the TFM guidance to disable the OS/2 and POSIX subsystems. Also, the evaluated configuration excludes Windows NT's networkingcapabilities. Service Pack 3, which addresses bug fixes to Version 3.5, mustalso be installed.
Evaluated Hardware Components Compaq Proliant 2000 and 4000 The Compaq models are the Proliant 2000 and the Proliant
4000 5/90-1 and 5/100-1, all of which are designated as fileservers, but are evaluated for use as stand-aloneworkstations only, with no networking capability (regardlessof whether the Windows NT Workstation or Server system isinstalled).
DECpc AXP/150
Final Evaluation Report Microsoft Windows NT
(Report No. CSC-FER-95/003 vom 29. April 1996)
Generalverwaltung, Der Datenschutzbeauftragte Rechtliche Vorgaben 8
Rechtliche Vorgaben und Standards zur IT-Sicherheit
5
Generalverwaltung, Der Datenschutzbeauftragte Rechtliche Vorgaben 9
Controlled Access Protection Profile(NSA, Vers. 1.d, 8. Oktober 1999)
• The system administrative personnel are not careless, willfully negligent, or hostile, and will follow and abide by the instructions provided by the administrator documentation.
• Authorized users possess the necessary authorization ... and are expected to act in a cooperating manner in a benign environment.
• The profile is not intended to be applicable to circumstances in which protection is required against determined attempts by hostile and well funded attackers to breach system security. The CAPP does not fully address the threats posed by malicious system development or administrative personnel.
Generalverwaltung, Der Datenschutzbeauftragte Rechtliche Vorgaben 10
Protokollierung im BDSG
§ 9 Technische und organisatorische MaßnahmenÖffentliche und nicht-öffentliche Stellen, die ... personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.
Generalverwaltung, Der Datenschutzbeauftragte Rechtliche Vorgaben 12
§ 87 TKG
Wer Telekommunikationsanlagen betreibt, die dem geschäftsmäßigen Erbringen von Telekommunikationsdienstendienen, hat bei den zu diesem Zwecke betriebenen Telekommunikations- und Datenverarbeitungssystemen angemessene technische Vorkehrungen oder sonstige Maßnahmen zum Schutze
1. des Fernmeldegeheimnisses und personenbezogener Daten, 2. der programmgesteuerten Telekommunikations- und
Datenverarbeitungssysteme gegen unerlaubte Zugriffe, 3. gegen Störungen, die zu erheblichen Beeinträchtigungen von
Telekommunikationsnetzen führen, und 4. von Telekommunikations- und Datenverarbeitungssystemen
gegen äußere Angriffe und Einwirkungen von Katastrophen zu treffen. Dabei ist der Stand der technischen Entwicklung zu
Rechtliche Vorgaben und Standards zur IT-Sicherheit
7
Generalverwaltung, Der Datenschutzbeauftragte Rechtliche Vorgaben 13
§ 4 TDDSG/§ 18 MedStV
Der Diensteanbieter hat durch technische und organisatorische Vorkehrungen sicherzustellen, dass
2. die anfallenden personenbezogenen Daten über denAblauf des Zugriffs oder der sonstigen Nutzungunmittelbar nach deren Beendigung gelöscht odergesperrt werden können,
3. der Nutzer Tele(Medien)dienste gegen KenntnisnahmeDritter geschützt in Anspruch nehmen kann,
4. die personenbezogenen Daten über die Inanspruch-nahme verschiedener Tele(Medien)dienste durcheinen Nutzer getrennt verarbeitet werden können,
6. Nutzerprofile nach § 6 Abs. 3 (§ 19 Abs. 4) nicht mitDaten über den Träger des Pseudonyms zusammen-geführt werden können.
Generalverwaltung, Der Datenschutzbeauftragte Rechtliche Vorgaben 14
Grundsatz
• Es gibt (noch) keine gesetzlichen Vorschriften, die eine proaktiveProtokollierung verlangen!
• In einigen Bereichen gibt es aber Dokumentationspflichten.– Medizin– Steuerrecht– ...
Rechtliche Vorgaben und Standards zur IT-Sicherheit
10
Generalverwaltung, Der Datenschutzbeauftragte Rechtliche Vorgaben 19
Zweckbindung im BDSG
§ 31 BDSG Besondere Zweckbindung Personenbezogene Daten, die ausschließlich zu
Zwecken der Datenschutzkontrolle, der Datensicherung oder zur Sicherstellung eines ordnungsgemäßen Betriebes einer Datenverarbeitungsanlage gespeichert werden, dürfen nur für diese Zwecke verwendet werden.
Generalverwaltung, Der Datenschutzbeauftragte Rechtliche Vorgaben 20
Datensparsamkeit
• Gestaltung und Auswahl von Datenverarbeitungssystemen haben sich an dem Ziel auszurichten, keine oder so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen.
• Muss man wirklich alles speichern?• Was nicht gespeichert wird, muss auch nicht
Rechtliche Vorgaben und Standards zur IT-Sicherheit
11
Generalverwaltung, Der Datenschutzbeauftragte Rechtliche Vorgaben 21
Mitbestimmung
• Protokollierung und Auswertung von Beschäftigtendaten ist mitbestimmt!– § 87 Abs. 1 Nr. 6 BetrVG– Betriebsvereinbarung ist notwendig– Besonders kritisch:
• Firewall
• E-Mail Server
• http-Proxy-Server
• WWW-Server
• Einwahlserver
Generalverwaltung, Der Datenschutzbeauftragte Rechtliche Vorgaben 22
Probleme
• Regeln zur Missbrauchsbekämpfung sind bei Telekommunikation und TeleMediendiensten unterschiedlich!
• Wann verlieren Daten den Schutz des TDDSG bzw. des Fernmeldegeheimnisses?
• Wann wird die Trennung von Medien- und Telediensten aufgehoben?
Rechtliche Vorgaben und Standards zur IT-Sicherheit
12
Generalverwaltung, Der Datenschutzbeauftragte Rechtliche Vorgaben 23
Planung der Policy
• Welche Daten will ich wozu verarbeiten?• Wie sind die Rechtsgrundlagen?• Formulierung der Policy• „Testlauf“ mit ausgewählten Betroffenen• Policy wird freigegeben• Regelmäßige Anpassung auf Grund der
Rückkoppelungen
Generalverwaltung, Der Datenschutzbeauftragte Rechtliche Vorgaben 24
Strategie für Policy
• Erlauben die Gesetze meine Datenerhebung/-verarbeitung?
• Ist die Verarbeitung anonym möglich?• Ist die Verarbeitung pseudonym möglich?• Wie hole ich mir eine Einwilligung, wenn die
gesetzliche Erlaubnis fehlt?– Ziel der Verarbeitung erläutern– Ansprechpartner nennen– Speicherfristen benennen
Rechtliche Vorgaben und Standards zur IT-Sicherheit
13
Generalverwaltung, Der Datenschutzbeauftragte Rechtliche Vorgaben 25
Zusammenfassung
• Beachten Sie alle Gesetze!• Informieren Sie die Betroffenen ehrlich und
offen!• Alle Informationen sollten gut lesbar und
verständlich sein.• Keine juristischen Spitzfindigkeiten!• Definieren Sie nicht nur Pflichten sondern
auch Rechte!
Generalverwaltung, Der Datenschutzbeauftragte Rechtliche Vorgaben 26
Die 10 Grundfragen(nach D. Fox)
• Kennen Sie alle kritischen IT-Geschäftsprozesse?• Gibt es für diese eine realistische Risikobewertung?• Welche Ausfallzeiten können Sie maximal tolerieren?• Existiert ein lückenloses IT-Sicherheitskonzept?• Gibt es für alle kritischen Systeme einen Notfallplan?• Wird der Notfallplan regelmäßig geprüft und trainiert?• Genügen die Maßnahmen den gesetzlichen
Anforderungen?• Wird das IT-Sicherheitskonzept regelmäßig auditiert?• Wird die Umsetzung der Maßnahmen kontrolliert?• Kennen die Mitarbeiter die Security Policy und wird ihre