Inhaltsverzeichnis. Inhaltsverzeichnis. Vorwort... 11

Transkript

1 Inhaltsverzeichnis Vorwort Ziele des technisch-organisatorischen Datenschutzes Einführung Der wachsende Stellenwert der Datensicherheit in der Informationsgesellschaft Störungen im Datenverarbeitungsprozess Begriffliche Einordnung Fahrlässig herbeigeführte Störungen Vorsätzliche Störungen (Computerkriminalität) Technische Störungen und Störungen durch höhere Gewalt Zusammenfassende Aussagen Datensicherheit im Spiegel der Gesetzgebung Grundanforderungen an vertrauenswürdige IT-Systeme Bewertung und Zertifizierung vertrauenswürdiger IT- Systeme Datensicherheitsmanagement im Kontext mit datenschutzrechtlichen Anforderungen Risikomanagement Gesetzlicher Hintergrund und Eigeninteresse Angemessenheitsprinzip Datensicherheitsstrategie Risikoanalyse Datensicherheitskonzeption und richtlinien Dokumentationssicherheit Maßnahmen zur Erhaltung und Verbesserung des Datensicherheitsniveaus Revision der Datensicherheit Restrisikoabdeckung durch Versicherung Kosten und Nutzen der Datensicherheit Organisatorische Regelungen Personelle Aspekte Aufbauorganisation Ablauforganisation Organisatorische Aspekte beim Einsatz neuer Software.. Das Problem der Auswahl geeigneter und angemessener Sicherheitsmechanismen

2 3. Schlüsseltechnologien in der Informationsverarbeitung mit Datensicherheitsbezug Internet/Intranet/Extranet Cloud Computing Internet-Telefonie: Voice over IP (VoIP) Verschlüsselungstechniken Elektronische Signatur Mobile Funknetze Chipkartentechnologie Radio Frequenz Identifikation (RFID) Biometrische Verfahren Videotechnik Verfahren zum technisch-organisatorischen Datenschutz Technische und organisatorische Maßnahmen zur Zutrittskontrolle Technische und organisatorische Maßnahmen zur Zugangskontrolle Technische und organisatorische Maßnahmen zur Zugriffskontrolle Zugriffskontrolle im standardisierten Sinne Zugriffskontrolle bei und nach der Speicherung Technische und organisatorische Maßnahmen zur Weitergabekontrolle Weitergabekontrolle bei elektronischer Übertragung Weitergabekontrolle beim Datenträgertransport Weitergabekontrolle bei der Übermittlung personenbezogener Daten Technische und organisatorische Maßnahmen zur Eingabekontrolle Technische und organisatorische Maßnahmen zur Auftragskontrolle Technische und organisatorische Maßnahmen zur Verfügbarkeitskontrolle Objektsicherungsmaßnahmen Sichere Versorgung Datenbestandssicherung Hardware- und Softwaresicherung Technische und organisatorische Maßnahmen zur Durchsetzung des Trennungsgebotes Schutz gegen Schaden stiftende Software

3 Glossar Literaturverzeichnis... Namens- und Stichwortverzeichnis Verzeichnis von ergänzenden Checklisten, Mustern, Hinweisen und Gesetzen Dateiname Inhalt 1. Checklisten CHE01.doc Checkliste zur Prüfung der technischen und organisatorischen Maßnahmen gemäß Anlage zu 9 Satz 1 BDSG (Beispiel: AB Mittelfranken/Bayern/Hamburg) CHE02.doc Checkliste zur Gewährleistung der Verfügbarkeit CHE03.doc Checkliste zur Gewährleistung der Vertraulichkeit CHE04.doc Checkliste zur Gewährleistung der Ordnungsmäßigkeit CHE05.doc Checkliste Zugangskontrolle CHE06.doc Checkliste: Zugriffskontrolle bei SAP R/3 CHE07.doc Checkliste: Auswahl von Zutrittskontrolleinrichtungen CHE08.doc Checkliste zur Auswahl einer Firewall CHE09.doc Orientierungshilfe und Checkliste zur Protokollierung CHE10.doc Checkliste zur Vorabkontrolle gemäß 4d (5, 6) BDSG CHE11.doc Orientierungshilfe und Checkliste Outsourcing CHE12.doc Checkliste Auftragsdatenverarbeitung CHE13.doc Checkliste zur Einrichtung von rechnergestützten Heimarbeitsplätzen CHE14.doc Checkliste zur Beurteilung von Bildschirmarbeitsplätzen CHE15.doc Checkliste: Telemediendienste CHE16.doc Checkliste: Datensicherheit für Entscheider CHE17.doc Checkliste für IT-Sicherheitsüberprüfungen durch externe Berater CHE18.doc Checkliste: Sicherheitsbewusstsein CHE19.doc Checkliste: Ausscheiden von Mitarbeitern CHE20.doc Checkliste: Schutz gegen Innentäter CHE21.doc Checkliste: Computer forensische Untersuchung 7

4 MUS01.doc MUS02.doc MUS03.doc MUS04.doc MUS05.doc MUS06.doc MUS07.doc MUS08.doc MUS09.doc MUS10.doc MUS11.doc MUS12.doc MUS13.doc MUS14.doc MUS15.doc MUS16.doc MUS17.doc MUS18.doc MUS19.doc MUS20.doc MUS21.doc MUS22.doc MUS23.doc MUS24.doc MUS25.doc MUS26.doc MUS27.doc MUS28.doc MUS29.doc MUS30.doc 2. Muster Muster: Sicherheitskonzeption eines Unternehmens Muster: Datensicherheitsordnung eines Unternehmens Muster: Richtlinie für den ordnungsgemäßen Einsatz aller Betriebsarten von APC Muster: Richtlinien für die Arbeit an PC-Arbeitsplätzen Muster: Katastrophen- und Wiederanlaufplan Muster: Richtlinie zur Nutzung mobiler Datenträger Muster: Sicherheitsrichtlinie zur Smartcard-Anwendung Muster: Nutzung privilegierter netzgebundener APC Mustermerkblatt: Sicherer Umgang mit APC Muster: Merkblatt zur Verwendung von Benutzerkennung und Passwort Muster: Richtlinie zur Zugriffskontrolle (Berechtigungen) Muster: Richtlinie für Telearbeiter/innen Muster: Merkblatt Datenschutz und Datensicherheit bei tragbaren PCs Muster: Merkblatt Datenschutz und Datensicherheit bei Telefax Muster: Merkblatt für eine sichere -Nutzung Muster: Ordnung zur Vernichtung von Datenträgern Muster: Benutzerordnung Internet Muster: Postordnung eines Unternehmens Muster: Verpflichtung auf das Fernmeldegeheimnis Muster einer betrieblichen Datenschutzordnung Muster: Verfahrensübersicht nach 4e, 4g (2) BDSG Musterdienstvereinbarung: Internet am Arbeitsplatz Muster: Betriebsvereinbarung und Internet (unter Verbot privater Nutzung) Muster einer Betriebsvereinbarung Videokameraeinsatz Muster: Betriebsvereinbarung zum Einsatz von Videotechnik am Arbeitsplatz Muster: Betriebsvereinbarung ISDN-TK-Anlage Muster: Verfahrensanweisung ISDN-TK-Anlage Muster: Aufgabenbeschreibung eines IT- Sicherheitsbeauftragten Muster: Allumfassende Verpflichtungserklärung Muster: Vereinbarung zur Überlassung Transportabler 8

5 MUS31.doc MUS32.doc Muster (Fortsetzung) Muster: Freigabeprotokoll Muster: Vertragsinhalt Auftragsdatenverarbeitung (ADV) 1. Version (GDD) MUS33.doc Mustervertrag Auftragsdatenverarbeitung (ADV) 2 Version (RP Darmstadt) MUS34.doc Mustervertrag Auftragsdatenverarbeitung (ADV) 3. Version (BITKOM) MUS35.doc Mustervertrag zur Übernahme und Vernichtung von Datenträgern MUS36.doc Mustervertrag Fernwartung MUS37.doc Muster: Hinweis für Vertrag abschließende Fachabteilungen zur ADV MUS38.doc Muster: Vorgabe von IT-Sicherheitsanforderungen bei Auftragsdatenverarbeitung MUS39.doc Muster: Prüfformular für Auftragnehmer gem. 11 MUS40.doc BDSG Muster: Vertrag über automatisierte Abrufverfahren gemäß 10 BDSG 3. Hinweise HIN01.pdf Inhaltliche Anforderungen an eine Verfahrensübersicht nach den Vorstellungen einer Aufsichtsbehörde HIN02.pdf Empfehlungen zur Verwendung privater Heim-PC für dienstliche Zwecke HIN03.pdf Empfehlungen für den Betrieb einer Firewall HIN04.doc Hinweise zur Gestaltung einer Richtlinie Zutrittskontrolle HIN05.pdf Hinweise zur Vorbereitung und Durchführung von Mitarbeiterschulungen HIN06.pdf Tools für Datenschutzbeauftragte HIN07.pdf Hinweise zum sicheren Umgang mit öffentlichen Schlüsseln HIN08.pdf Datenschutzgerechte Behandlung von defekten Festplatten HIN09.pdf BW: Hinweise zum Datenschutz Nr. 31 HIN10.pdf HIN11.pdf (Datenschutzbeauftragte) BW: Hinweise zum Datenschutz Nr. 33 (Wartung; Betriebsrat; 5) BW: Hinweise zum Datenschutz Nr. 40 (Video; internationaler Datenverkehr) 9

6 HIN12.pdf HIN13.pdf HIN14.pdf HIN15.pdf HIN16.pdf HIN17.pdf HIN18.pdf HIN19.pdf VER01.doc VER02.doc VER03.pdf VER04.pdf VER05.pdf VER06.pdf VER07.pdf VER08.pdf VER09.pdf GES01.pdf GES02.pdf GES03.pdf GES04.pdf GES05.pdf GES06.pdf GES07.pdf GES08.pdf GES09.pdf GES10.pdf GES11.pdf Hinweise (Fortsetzung) Hinweise zur datenschutzgerechten Datenträgervernichtung nach DIN Orientierungshilfe Datensicherheit bei USB-Geräten Wie wird Interoperabilität von PKI gewährleistet? Hinweise zur Auswahl einer USV-Anlage Hinweise zur sicheren Nutzung von VoIP Hinweis: Sicherheitsstandard für Kreditkartendaten Orientierungshilfe zur datenschutzgerechten Nutzung von und anderen Internetdiensten am Arbeitsplatz Arbeitspapier zu Datenschutzaspekten digitaler Zertifikate und PKI 4. Verschiedenes Der DES-Algorithmus: Ein Übungsbeispiel Selbsttest: Kryptoanalyse eines Buchstabencodes Sammlung relevanter Gerichtsentscheide Arbeitshilfe: IT-Sicherheitkriterien im Vergleich IT-Sicherheitsprodukte (Produkt/Hersteller) Störungen und daraus resultierende Schäden (Kosten) Datenschutzgerechte Datenträgerentsorgung Multiple-Choice-Fragen zur Selbstkontrolle Lösungen zu VER08.pdf 5. Gesetze Bundesdatenschutzgesetz (BDSG) - nichtamtliche Volltextversion Telekommunikationsgesetz (TKG), Auszug Signaturgesetz (SigG) Telemediengesetz (TMG) 9. Staatsvertrag für Rundfunk und Telemedien (Ausz.) Zugangskontrolldiensteschutzgesetz (ZKDSG) Telekommunikationsüberwachungsverordnung (TKÜV) Kommentar zum 7 des neuen Gesetzes gegen den unlauteren Wettbewerb (UWG) Änderung des 203 Strafgesetzbuch Änderung Strafgesetzbuch (Computerkriminalität) mit Kommentar und Hinweisen Auszug aus dem Urheberrechtsgesetz 10