Zentraler Kreditausschuss. ZKA-Datensicherheitsstandard
|
|
- Oswalda Bader
- vor 2 Jahren
- Abrufe
Transkript
1 Zentraler Kreditausschuss ZKA-Datensicherheitsstandard Version: 1.0 Stand:
2 Dokumentenhistorie Referenzierung Die Referenzierung in weiteren Dokumenten des Zentralen Kreditausschusses erfolgt unter: [ZKA DSS] Zentraler Kreditausschuss: ZKA-Datensicherheitsstandard Version 1.0, Dokumentenhistorie Version Stand Abschnitt/ Seite Grund der Änderung, besondere Hinweise alle Erstellung SRC alle Überarbeitung aufgrund der Ergebnisse der Arbeitsgruppensitzung vom alle Überarbeitung aufgrund der Ergebnisse der Arbeitsgruppensitzung vom ,8,18 u.a. Neue Schutzbedarfsklasse "I für Integritätsschutz eingefügt , 2, 3.1, , Überarbeitung Überarbeitung Umformulierung Sicherheitsboxen -> Hardware-Sicherheitsmodule Überarbeitung zur Vorbereitung des Workshops am Überarbeitung. Überarbeitung Bearbeitung SRC SRC SRC Überarbeitung SRC ZKA- Arbeitsgruppe ZKA- Arbeitsgruppe, SRC SRC ZKA- Arbeitsgruppe ZKA- Arbeitsgruppe , 1.1, , , 1.1, 2.1, 2.2, , 3.1, 3.2, 3.3, 3.4, , 3.1, 3.2, 3.3, 3.4,. 3.8 Überarbeitung Editorielle Überarbeitung Überarbeitung nach Kommentierungsphase ZKA- Arbeitsgruppe SRC Überarbeitung nach Kommentierungsphase ZKA-Arbeitsstab "Sicherheitsfragen und -strategien", BdB, Postbank ZKA- Arbeitsgruppe Version 1.0 Seite 2/29
3 Einleitung und Zielsetzung Version Stand Abschnitt/ Seite , , 3.3.4, , Grund der Änderung, besondere Hinweise Überarbeitung nach Kommentierungsphase Bearbeitung BdB, SRC Version 1.0 Seite 3/29
4 Inhalt Inhalt 1 Einleitung und Zielsetzung Geltungsbereich Begriffsbestimmungen Schutzbedarfsklassen und zu schützende Datenelemente Schutzbedarfsklassen Zu schützende Datenelemente Sicherheitsgrundsätze Sicherheitsorganisation Interne Organisation Externe Parteien Umgang mit zu schützenden Datenelementen Personelle Sicherheit Sichere Umgebungen Zutrittskontrolle Kryptographische Funktionen und Komponenten Schlüsselverwaltung Der Betrieb von Hardware-Sicherheitsmodulen Kommunikations- und Betriebsverwaltung Systemplanung und -abnahme Schutz gegen Schadsoftware Sicherheitsmanagement für Netzwerke Datenträgerverwaltung Betriebsüberwachung Zugriffskontrolle Zugriffskontrolle für Netzwerke Zugriffskontrolle für Betriebssysteme und Anwendungen Mobile Endgeräte und Fernzugriffe Beschaffung, Entwicklung und Wartung von IT-Systemen Sicherheit in Entwicklungs- und Unterstützungsprozessen Umgang mit technischen Schwachstellen Referenzen...28 Version 1.0 Seite 4/29
5 Einleitung und Zielsetzung 1 Einleitung und Zielsetzung Der ZKA Datensicherheitsstandard formuliert die Sicherheitsziele der deutschen Kreditwirtschaft für die für den kartengestützten Zahlungsverkehr relevanten Hintergrundsysteme. Der ZKA Datensicherheitsstandard nimmt Bezug auf die internationalen Ansätze zur Erhöhung der Sicherheit von Transaktionsdaten. Er abstrahiert dabei von bereits in anderen Kriterienwerken vielfältig vorhandenen konkreten Vorgaben und Einzelmaßnahmen und erhält dadurch eine größere Beständigkeit gegenüber kurzfristigen technischen Veränderungen. Indem die Angemessenheit von Maßnahmen zur Umsetzung des Standards in den Vordergrund gestellt wird, wird ein risikobezogener Ansatz betont, der eine Harmonisierung des Vorgehens zur Erhöhung der IT-Sicherheit und zugleich die angesichts der Vielfalt an technischen Systemen und Prozessen erforderliche Gestaltungsfreiheit in der Umsetzung ermöglicht. Ein weiterer Beitrag zur Beständigkeit und Praktikabilität des ZKA Datensicherheitsstandards ist die Entkoppelung von Anforderungen und Daten, auf die sich die Anforderungen beziehen. Durch die Festlegung, welche Datenelemente als schützenswert gelten, kann der Standard ausgerichtet werden, ohne dass die Sicherheitsanforderungen selbst angepasst werden müssen. Die Anforderungen werden dabei nicht unmittelbar auf einzelne Datenelemente, sondern auf Schutzbedarfsklassen bezogen. Durch die Möglichkeit der Zuordnung einzelner Datenelemente zu den Schutzbedarfsklassen wird die Anpassung des Standards an die jeweiligen Erfordernisse erleichtert, wenn sich diese im Rahmen der zukünftigen Weiterentwicklung des Standards ändern sollten. 1.1 Geltungsbereich Die Anforderungen des ZKA-Datensicherheitsstandards beziehen sich auf die Prozesse und IT-Systeme der kreditwirtschaftlichen Hintergrundsysteme, die zur Verarbeitung von kartenbasierenden Transaktionen schützenswerte Datenobjekte übertragen, verarbeiten oder speichern. Für Endgeräte wie POS-Terminals, Geldautomaten und Online-Terminals, den electronic cash Netzbetrieb sowie für den Interbanken-Zahlungsverkehr gelten eigene Anforderungen. Diese sind u. a. in den folgenden Dokumenten enthalten: "Regelwerk für das Deutsche Geldautomaten-System - Vereinbarungen, Richtlinien und Anlagen zu den Verträgen über das Deutsche Geldautomaten-System [GA 2007_REV], "Technischer Anhang zum Vertrag über die Zulassung als Netzbetreiber im electronic cash-system der deutschen Kreditwirtschaft [EC_TA7] sowie "Vereinbarung über die Absicherung der PIN für von Instituten der deutschen Kreditwirtschaft herausgegebene Bankkarten und Sparkassenkarten [ZKA_PIN] enthaltenen Sicherheitsanforderungen. Version 1.0 Seite 5/29
6 Einleitung und Zielsetzung 1.2 Begriffsbestimmungen Der Begriff des "IT-Systems" in der Definition des Geltungsbereichs (Abschnitt 1.1) bezieht sich auf alle Komponenten und Netzwerkstränge, die zur Verarbeitung von zu schützenden Datenelementen (vgl. Abschnitt 2.2) verwendet werden, sowie auf solche, die nicht durch verlässliche Maßnahmen der Netzwerksegmentierung von diesen Komponenten getrennt sind. MUSS bedeutet, dass es sich um eine verpflichtende Festlegung bzw. Anforderung handelt. DARF NICHT bezeichnet den strikten Ausschluss einer Eigenschaft. SOLL beschreibt eine dringende Empfehlung. Abweichungen zu diesen Festlegungen sind in begründeten Fällen möglich. Wird die Anforderung nicht umgesetzt, müssen die Folgen analysiert und abgewogen SOLL NICHT kennzeichnet die dringende Empfehlung, eine Eigenschaft auszuschließen. Abweichungen sind in begründeten Fällen möglich. Wird die Anforderung nicht umgesetzt, müssen die Folgen analysiert und abgewogen KANN bedeutet, dass die Eigenschaften fakultativ oder optional sind. Diese Festlegungen haben keinen Normierungs- und keinen allgemeingültigen Empfehlungscharakter. Der Begriff "Mitarbeiter bezieht sich auf Vollzeit-, Teilzeit- und befristet beschäftigte Personen sowie auf externe Mitarbeiter eines Unternehmens. Der Begriff "zu begleitende Personen bezieht sich auf betriebsfremde Personen (z. B. Lieferanten, Gäste von Mitarbeitern, Service-Personal), die aufgrund von bestehenden Regelungen zu begleiten sind. Version 1.0 Seite 6/29
7 Schutzbedarfsklassen und zu schützende Datenelemente 2 Schutzbedarfsklassen und zu schützende Datenelemente 2.1 Schutzbedarfsklassen Als Voraussetzung für den effizienten Einsatz von Sicherheitsmaßnahmen zum Schutz der Vertraulichkeit von Datenelementen ist deren Differenzierung hinsichtlich des Schutzbedarfs unverzichtbar. Diese Differenzierung erfolgt auf der Basis von Schutzbedarfsklassen, denen die zu schützenden Datenelemente zugeordnet Im Kontext dieses Dokuments werden die Schutzbedarfsklassen "V-Hoch" und "V-Mittel" hinsichtlich der Vertraulichkeit und "I-Mittel hinsichtlich der Integrität von Datenobjekten unterschieden. Datenobjekte, die keiner Schutzbedarfsklasse zugeordnet sind, werden im Kontext dieses Dokuments als nicht schutzwürdig betrachtet. Schutzbedarfsklasse "V-Hoch : Datenelemente, für die der Schutz der Vertraulichkeit von besonders hoher Bedeutung ist. Schutzbedarfsklasse "V-Mittel : Datenelemente, für die der Schutz der Vertraulichkeit von mittlerer Bedeutung ist. Schutzbedarfsklasse "I-Mittel : Datenelemente, für die der Schutz der Integrität von Bedeutung ist. 2.2 Zu schützende Datenelemente Die folgende Tabelle listet die zu schützenden Datenelemente Transaktionsdaten auf. Die Tabelle ist folgendermaßen aufgebaut: - In der ersten Spalte ist der Name der Transaktionsdaten angegeben. - In der zweiten Spalte ist die Feldnummer der ISO-8583-Autorisierungsnachricht angegeben, sofern die Daten in der Autorisierung übertragen - Die dritte Spalte gibt an, ob die Transaktionsdaten in der Autorisierung übertragen - Die vierte Spalte gibt an, ob die Transaktionsdaten im Clearing übertragen - Die fünfte Spalte gibt an, ob es Vorgaben zur Protokollierung der Daten gibt. - Die sechste Spalte enthält Bemerkungen zu diesen Daten. - Die siebte Spalte enthält die Einordnung der Datenelemente in die Schutzbedarfsklassen "V-Mittel, "V-Hoch oder "I-Mittel. Version 1.0 Seite 7/29
8 Schutzbedarfsklassen und zu schützende Datenelemente Datenelement einer Transaktion Kundenkontoverbindung (Kombination aus Kundenkontonummer und BLZ/Kurz-BLZ) Übertragung bei der Autorisierung Übertragung beim Clearing Speicherung zur Protokollierung Bemerkung Bei einer Kombination aus 1. Kundenkontonummer und 2. BLZ oder Kurz-BLZ unterliegen diese beiden Datenelemente in ihrer Gesamtheit der Einstufung in die Schutzbedarfsklasse V-Mittel. Feldnummer Schutzbedarfsklasse V-Mittel Kundenkontonummer V-Mittel PAN BMP 2 electronic cash, GA-Aktiv, Passiv, GK electronic cash, GA-Aktiv, Passiv electronic cash, GA-Aktiv Primary Account Number (Spur 2- PAN) V-Mittel PVV BMP 35 electronic cash, GA-Aktiv, Passiv CVC bzw. CVV BMP 35 electronic cash, GA-Aktiv Spur 2-Daten BMP 35 electronic cash, GA-Aktiv, Passiv Ein PIN Verification Value (PVV) kann in den Spur 2-Daten enthalten sein. Ein CVC bzw. CVV kann in den Spur 2-Daten enthalten sein. V-Mittel V-Mittel V-Mittel PIN V-Hoch Verschlüsselter PIN- BMP 52 electronic cash, Der verschlüsselte PIN-Block ist V-Mittel Version 1.0 Seite 8/29
9 Schutzbedarfsklassen und zu schützende Datenelemente Datenelement einer Transaktion Übertragung bei der Autorisierung Übertragung beim Clearing Speicherung zur Protokollierung Bemerkung Block (PAC) GA-Aktiv, Passiv vorhanden bei Online-PIN-Prüfung. Schlüssel zur MAC- Berechnung Der PAC ist die Triple-DES- Verschlüsselung der im 8 Byte langen ISO 1 PIN-Block Format dargestellten PIN. Feldnummer Schutzbedarfsklasse PAC-Schlüssel Der Schutzbedarf gilt sowohl für einen V-Hoch Schlüssel zur Absicherung Masterkey als auch für davon V-Hoch von OPT abgeleitete Sessionkeys. V-Hoch Version 1.0 Seite 9/29
10 3 Alle nachfolgenden Sicherheitsanforderungen stehen unter dem Vorbehalt eventueller rechtlicher Rahmenbedingungen. Einzelne Anforderungen, die bestimmte Formen der Umsetzung beinhalten, können auch durch alternative Implementierungen erfüllt werden, wenn hierdurch die intendierten Schutzziele ohne Abstriche erreicht Sollten einzelne Sicherheitsanforderungen im Widerspruch zu rechtlichen oder behördlichen Bestimmungen stehen, so sind diese Anforderungen auf eine Weise umzusetzen, dass ihre Umsetzung der ursprünglichen Intention so gut wie im rechtlichen Rahmen möglich entspricht. Falls eine Anforderung nicht erfüllt werden kann, besteht generell die Möglichkeit, diese durch eine sogenannte kompensierende Maßnahme zu ersetzen. Dafür sind die folgenden Voraussetzungen zu berücksichtigen: 1. Es MUSS ein nachvollziehbarer Grund vorliegen, der die Umsetzung einer Sicherheitsanforderung maßgeblich beeinträchtigt. 2. Die kompensierende Maßnahme MUSS dem Ziel der ursprünglichen Anforderung entsprechen. 3. Es MUSS eine Risikoanalyse für das betreffende Risiko erstellt Eine kompensierende Maßnahme MUSS geeignet sein, das zugrundeliegende Risiko angemessen zu mindern. 4. Die kompensierende Maßnahme MUSS erneut überprüft werden, wenn sich der ZKA-Datensicherheitsstandard ändert. 3.1 Sicherheitsgrundsätze Es MUSS ein Dokument mit Sicherheitsgrundsätzen erstellt, veröffentlicht und gepflegt werden, mit folgendem Inhalt: Abdeckung aller in diesem Dokument enthaltenen Anforderungen, Festlegung der Verantwortlichkeiten von Mitarbeitern und Verpflichtungen von Vertragspartnern für die in den Sicherheitsgrundsätzen genannten Sicherheitsaspekte, Beschreibung eines Prozesses zur Identifizierung von Bedrohungen und Schwachstellen sowie zur Durchführung formaler Risikoanalysen auf periodischer Basis, Eine Regelung zur periodischen Überprüfung der Sicherheitsgrundsätze, der hieraus abgeleiteten Dokumente sowie deren Anpassungen an geänderte Rahmenbedingungen. Eine Regelung zur Kommunizierung aller Anforderungen an die beteiligten Personen Im Falle einer vorliegenden ISO Zertifizierung gelten die Anforderungen aus als erfüllt. Version 1.0 Seite 10/29
11 3.2 Sicherheitsorganisation Interne Organisation Es MÜSSEN Verfahren zur Umsetzung aller in diesem Dokument enthaltenen Sicherheitsanforderungen im täglichen Betrieb entwickelt und dokumentiert Für alle Mitarbeiter sind Vorgaben für die korrekte Nutzung der zur Verfügung gestellten Technik zu definieren. Es MUSS sichergestellt werden, dass Vorgaben zu folgenden Themen enthalten sind: 1. Es MUSS dokumentiert werden, welche wesentlichen Komponenten zur Verarbeitung schutzwürdiger Daten eingesetzt. (Beispiele: Kryptohardware, Autorisierungssysteme, Kartenmanagementsysteme etc.. Nicht gemeint sind Netzwerkkomponenten zur Übertragung verschlüsselter Daten.) 2. Die Nutzung solcher Komponenten DARF NICHT ohne Genehmigung erfolgen. 3. Es MUSS dokumentiert werden, wer auf die unter 1. genannten Komponenten Zugriff hat. 4. Eine Liste der für den Betrieb der wesentlichen Komponenten verantwortlichen Personen MUSS gepflegt 5. Erlaubte Nutzungsarten der wesentlichen Komponenten MÜSSEN dokumentiert 6. Remote-Zugriffe auf wesentliche Komponenten (z. B. im Rahmen der Fernwartung) müssen entsprechend dem Stand der Technik abgesichert sein. 7. Wenn über Remote Access-Verbindungen auf zu schützende Datenelemente zugegriffen werden kann, MUSS das Kopieren oder Verschieben der Daten auf lokale oder mobile Datenträger verboten (Beispiel: Maßnahmen zu Data Leakage Protection) 8. Für alle Festlegungen und Genehmigungen MUSS die Zustimmung des Informationseigentümers vorliegen Für alle Mitarbeiter und Vertragspartner mit Zugriff auf wesentliche Komponenten MÜSSEN verbindliche Regelungen für die korrekte Nutzung zur Verfügung gestellter Dienste, z. B. Internet und , formuliert Es MUSS sichergestellt werden, dass Vorgaben zu folgenden Themen enthalten sind: 1. Die erlaubten Nutzungsarten der Dienste sowie die Rechte und Pflichten im Umgang mit den Diensten. Version 1.0 Seite 11/29
12 2. Alle Genehmigungen zur Nutzung von Diensten erfordern die Zustimmung einer fachlich verantwortlichen Person Folgende Verantwortlichkeiten MÜSSEN an einzelne Personen oder an Gruppen von Personen delegiert werden: 1. Erarbeitung, Dokumentation und Bekanntmachung von Sicherheitspolitik und Sicherheitsprozeduren. 2. Überwachung und Analyse von Sicherheitswarnungen und -informationen sowie deren Weiterleitung an die verantwortlichen Personen. 3. Erarbeitung, Dokumentation und Bekanntmachung von Prozeduren zur Reaktion auf Sicherheitsvorfälle und von Eskalationsprozessen zur Sicherstellung einer kurzfristigen und effektiven Handhabung von sicherheitskritischen Situationen. 4. Verwaltung von Benutzerkennungen und Berechtigungen, einschließlich Anlage, Änderung und Löschung. 5. Kontrolle der unter genannten Verantwortlichkeiten Auf Sicherheitsvorfälle MUSS unverzüglich in geeigneter Weise reagiert werden können. Mit dieser Zielsetzung MUSS ein Prozess zur Reaktion auf Sicherheitsvorfälle eingerichtet sein, der folgendes berücksichtigt: 1. Es MUSS sichergestellt werden, dass der Prozess spezifische Schritte für einzelne Vorfälle, für die Aufrechterhaltung und Wiederherstellung der Geschäftsfähigkeit, Backup-Regelungen für Daten, Aufgaben, Rollen und Verantwortlichkeiten sowie Regelungen zur Kommunikation und Eskalation beinhaltet. 2. Der Prozess zur Reaktion auf Sicherheitsvorfälle MUSS mindestens jährlich getestet 3. Es MÜSSEN Personen benannt werden, die täglich rund um die Uhr (24/7) für die Reaktion auf Sicherheitsvorfälle und alarme erreichbar sind. 4. Für die mit diesen Aufgaben betrauten Mitarbeiter MUSS eine geeignete Aus- und Weiterbildung sichergestellt sein. 5. Der Prozess zur Reaktion auf Sicherheitsvorfälle MUSS regelmäßig überprüft und aktualisiert Dabei MÜSSEN Erfahrungen aus der Vergangenheit ("Lessons Learned ) und neue Entwicklungen in der Industrie einbezogen Das Verfahren zur Aktualisierung des Prozesses MUSS dokumentiert Version 1.0 Seite 12/29
13 6. Ergebnisse der installierten Warnsysteme MÜSSEN in diese Betrachtung einbezogen Externe Parteien Es MUSS dokumentiert werden,- wer Zugang zu Bereichen hat, in denen wesentliche Komponenten betrieben werden, oder die mit der Verarbeitung schützenswerter Daten beauftragt sind, geführt und aktuell gehalten Der Umgang mit zu schützenden Datenelementen durch externe Dienstleister MUSS in folgenden Punkten bei Neuverträgen oder Vertragsanpassungen geregelt werden: 1. Die Erfüllung des ZKA Datensicherheitsstandards 2. Treuhänderische Wahrnehmung der Verantwortung für die Sicherheit der zu schützenden Datenelemente aller Mandanten, die durch den Dienstleister verarbeitet oder gespeichert Dies schließt angemessene Maßnahmen zur Mandantentrennung mit ein Für die Auswahl externer Dienstleister SOLL ein Prozess eingerichtet werden, der die Vertrauenswürdigkeit des Vertragspartners bewertet Die Verlässlichkeit externer Vertragspartner MUSS überprüft werden, beispielsweise anhand der Vorlage von Erklärungen zum Datenschutz und zur Einhaltung des Bankgeheimnisses sowie durch eine Prüfung des Dienstleistungs- oder Werkvertrages. 3.3 Umgang mit zu schützenden Datenelementen Für Datenelemente der Schutzbedarfskategorie "V-Hoch gelten, soweit anwendbar, die Sicherheitsanforderungen der Regelwerke [EC_TA7] und [GA 2007_REV] sowie der ZKA-PIN-Vereinbarung [ZKA_PIN] Die Berechtigungen für den Zugriff auf die wesentlichen Komponenten und die zu schützenden Datenelemente MÜSSEN auf die Personen beschränkt sein, welche diese zum Erledigen ihrer Arbeit benötigen. 1. Die Vergabe von Zugriffsrechten erfolgt auf Basis der jeweiligen Stellenbeschreibung und Funktion eines Mitarbeiters. 2. Für die Vergabe von Zugriffsrechten MUSS ein Prozess eingerichtet sein, der die Zustimmung des Informationseigentümers für die Vergabe beinhaltet. Version 1.0 Seite 13/29
14 3.3.3 Es MUSS ein Zugriffskontrollsystem eingerichtet werden, welches die Zugriffmöglichkeiten der Anwender auf die wesentlichen Komponenten reduziert, die zum Ausführen ihrer Aufgaben benötigt Für zu schützende Datenelemente gelten die folgenden Regeln: Schutzbedarfsklasse Autorisierung Clearing/ Settlement/ Reklamations verarbeitung Protokollierung V-Hoch Daten DÜR- FEN außerhalb von sicheren Umgebungen (vgl. 3.5) NICHT im Klartext gespeichert, verarbeitet oder übertragen Daten DÜRFEN NICHT im Klartext gespeichert, angezeigt oder übertragen Kryptographische Schlüssel DÜR- FEN NICHT im Klartext außerhalb von sicheren Umgebungen (vgl. 3.5) verarbeitet, gespeichert oder übertragen Es gelten die Anforderungen aus [ZKA_PIN], 2.3 V-Mittel Die Speicherung und Verarbeitung von Daten einschließlich ihrer Anzeige auf Bildschirmen und Hardcopies MUSS hinsichtlich ihrer Dauer, ihres Umfangs und der vergebenen Zugriffsrechte auf das für die geschäftlichen Abläufe und zur Erfüllung gesetzlicher oder regulatorischer Anforderungen erforderliche Maß beschränkt Dies MUSS in spezifischen Regelungen zur Datenhaltung und zu Aufbewahrungsfristen dokumentiert Daten DÜRFEN in offenen Netzen NICHT unverschlüsselt übertragen Version 1.0 Seite 14/29
15 Autorisierung Clearing/ Settlement/ Reklamations verarbeitung Schutzbedarfsklasse Protokollierung I-Mittel Daten aus Kartentransaktionen MÜSSEN bei Ihrer Übertragung zwischen Karte, Terminal oder Geldautomat und Autorisierungszentrale durch Mechanismen zur Erkennung von Integritätsverletzungen abgesichert werden, z. B. durch Berechnung und Prüfung eines Message Authentication Codes (MAC). Das Einbringen von Software bzw. Firmware in Geräte, die Datenelemente der Sicherheitsklasse "V- Hoch" verarbeiten und selbst nicht innerhalb einer gesicherten Umgebung betrieben werden, MUSS durch Mechanismen zur Erkennung von Integritätsverletzungen abgesichert 3.4 Personelle Sicherheit Mitarbeiter, die im Rahmen von Verarbeitungsprozessen in großem Umfang Zugriff auf zu schützende Datenelemente erhalten sollen, SOLLEN ein polizeiliches Führungszeugnis oder einen gleichwertigen Nachweis vorlegen Durch geeignete Maßnahmen MÜSSEN alle Mitarbeiter periodisch über die Bedeutung der Sicherheit im Allgemeinen und von zu schützenden Datenelementen unterrichtet Version 1.0 Seite 15/29
16 3.4.3 Mitarbeiter MÜSSEN schriftlich die Kenntnis und das Verständnis der Sicherheitspolitik und der Sicherheitsprozesse des Unternehmens bestätigen. 3.5 Sichere Umgebungen In einer sicheren Umgebung KÖNNEN zu schützende Datenelemente und kryptographische Schlüssel im Klartext bearbeitet Die wichtigste Eigenschaft einer sicheren Umgebung ist, dass geeignete Maßnahmen existieren, um den unbefugten Zugriff auf schützenswerte Daten zu verhindern Zutrittskontrolle Der Zutritt zu sicheren Umgebungen wie Rechenzentren, in denen zu schützende Datenelemente verarbeitet, gespeichert oder übertragen werden oder die den Zugriff auf zu schützende Datenelemente ermöglichen, MUSS kontrolliert werden: 1. Die Zutrittskontrolle MUSS mittels geeigneter technischer Einrichtungen erfolgen. 2. Der Zugang zu sicheren Umgebungen MUSS mit Kameras oder gleichwertigen Mechanismen überwacht Die Daten MÜS- SEN für einen Zeitraum von mindestens drei Monaten gespeichert 3. Der Zugang zu Netzwerkanschlüssen in sicheren Umgebungen MUSS kontrolliert Es SOLLEN Verfahrensweisen eingerichtet werden, die eine leichte Unterscheidbarkeit zwischen Mitarbeitern und zu begleitenden Personen ermöglichen Alle zu begleitenden Personen MÜSSEN wie folgt behandelt werden: 1. Sichere Umgebungen DÜRFEN ohne Genehmigung NICHT betreten 2. Zu begleitende Personen MÜSSEN ein sichtbares Merkmal (Anhänger mit Ausweis oder Zugangsgerät) mit zeitlich begrenzter Gültigkeit tragen. 3. Zu begleitende Personen MÜSSEN ihren Ausweis oder ihr Zugangsgerät mit Ablauf der Gültigkeit oder bei Verlassen des Geländes bzw. des Gebäudes abgeben. Version 1.0 Seite 16/29
17 Es MUSS ein Besuchertagebuch geführt werden, mit dem alle Besuche nachvollziehbar gemacht Die Aufzeichnungen MÜSSEN für einen Zeitraum von mindestens drei Monaten gespeichert Kryptographische Funktionen und Komponenten Die Daten aus jedem administrativen Zugriff, der nicht von einer Operating-Konsole aus erfolgt, MÜSSEN verschlüsselt übertragen werden, insbesondere wenn die Administration web-basiert durchgeführt wird Für die Verschlüsselung zu schützender Datenelemente bei der Übertragung über öffentliche Netze MÜSSEN angemessen starke Kryptoalgorithmen und Sicherheitsprotokolle verwendet Als öffentliche Netze in diesem Zusammenhang gelten z. B. das Internet, WiFi-Netze nach IEEE x sowie Mobilfunknetze (GSM und UMTS) In Funknetzen MÜSSEN zu schützende Datenelemente mittels starker Verschlüsselung gesichert Falls Mechanismen für die Verschlüsselung von zu schützenden Datenelementen der Schutzbedarfsklasse "V-Hoch" eingesetzt werden, MUSS die für den Zugriff auf die Daten erforderliche Entschlüsslung unabhängig von der Zugriffskontrolle auf Betriebsystemebene verwaltet Die Sicherheit und Verwendung kryptographischer Schlüssel DARF NICHT von der Sicherheit der Benutzerverwaltung auf Betriebssystemebene abhängen Zugriffe DÜRFEN NICHT alleine auf der Basis der Identifizierung von MAC-Adressen gewährt Als ergänzende Sicherheitsmaßnahme KANN dies jedoch in Betracht gezogen Passwörter für den Zugriff auf Systeme in der sicheren Umgebung MÜSSEN während ihrer Übertragung und während ihrer Speicherung in Systemkomponenten verschlüsselt Schlüsselverwaltung Kryptographische Schlüssel, die zur Verschlüsselung von zu schützenden Datenelementen verwendet werden, MÜSSEN gegen Offenlegung und jede missbräuchliche Nutzung geschützt werden: 1. Es SOLLEN nur so viele Schlüsseladministratoren Zugriff auf einzelne Schlüssel erhalten, wie unbedingt zu deren Verwaltung benötigt Version 1.0 Seite 17/29
18 2. Schlüssel MÜSSEN an so wenigen verschiedenen Stellen und in so wenigen unterschiedlichen Formaten wie möglich sicher hinterlegt Die Prozesse zur Schlüsselverwaltung und die Verfahren zur Verwendung von Schlüsseln für die Verschlüsselung von zu schützenden Datenelementen MÜSSEN vollständig und ausführlich dokumentiert Dies schließt folgende Aspekte ein: 1. Die Erzeugung kryptographisch starker Schlüssel, 2. Sichere Verteilung von Schlüsseln, 3. Sichere Speicherung von Schlüsseln, 4. Periodische Schlüsselwechsel, vorzugsweise automatisiert, in je nach Anwendung angemessenen zeitlichen Abständen,Löschung alter oder ungültiger Schlüssel, so dass diese nicht durch einen Angreifer rekonstruierbar sind, 5. Aufteilung der Kenntnis von Schlüsselteilen auf mindestens zwei Personen (Vier-Augen-Prinzip), die zur Bildung eines Schlüssels zusammenwirken müssen, 6. Verhinderung der unautorisierten Ersetzung von Schlüsseln, 7. Ersetzung von kompromittierten sowie als kompromittiert verdächtigten Schlüsseln, 8. Die Protokollierung der Vorgänge zur Schlüsselverwaltung Der Betrieb von Hardware-Sicherheitsmodulen Als Hardware-Sicherheitsmodul (HSM) wird ein internes oder externes Peripheriegerät für die sichere Ausführung kryptographischer Operationen bezeichnet. Ein HSM ist mit Sicherheitsmechanismen ausgestattet, die vor unberechtigtem Zugriff auf Daten und insbesondere auf kryptographische Schlüssel schützen, die in dem HSM verarbeitet oder gespeichert sind. Die nachfolgenden Anforderungen beziehen sich auf HSMs, die in Rechenzentralen betrieben PIN-Entry-Devices (PEDs) oder Encrypting PIN Pads (EPPs), die in POS- Terminals oder Geldautomaten betrieben werden, sind nicht Gegenstand der nachfolgenden Anforderungen. Sicherheitsanforderungen an solche Geräte sind in [EC_TA7], [GA 2007_REV] und [ZKA_PIN] festgelegt HSMs MÜSSEN in einer sicheren Umgebung betrieben HSMs SOLLEN am Aufstellungsort befestigt Alle Geräte zur Einbringung von Schlüsselkomponenten MÜSSEN sicher vor unberechtigter Nutzung aufbewahrt Version 1.0 Seite 18/29
19 Am initialen Einbringen von Schlüsseln MÜSSEN mindestens zwei Personen beteiligt sein. Ggf. vorhandene Transportschlüsselhälften MÜS- SEN in getrennten Tresoren gelagert Eine dedizierte über das Netzwerk angeschlossene angeschlossenes HSM MUSS in einem eigenen Netzsegment betrieben In einem HSM gespeicherte Schlüssel MÜSSEN gelöscht werden, wenn das HSM die sichere Umgebung verlässt (z. B. zur Wartung) Eventuell vorhandene Sensoren des HSM SOLLEN aktiviert sein Der Zugriff auf Keymanagement-Funktionen MUSS auf die Sicherheitsbeauftragten des HSM beschränkt sein Erlaubt das HSM eine Administration über externe Netze, dann DARF die Nutzung dieser Schnittstelle zur Administration NICHT möglich sein, wenn sie nicht von Sicherheitsexperten geprüft wurde Die Software eines HSM SOLL aktuell sein Das nicht autorisierte Einspielen von Software in ein HSM MUSS verhindert Alle im Handbuch eines HSMs aufgeführten Sicherheitsmaßnahmen SOLLEN beachtet Nicht benötigte deaktivierbare Funktionsvarianten eines HSM MÜSSEN deaktiviert sein. Dies MUSS dokumentiert sein Kryptographische Schlüssel SOLLEN NICHT für API-Aufrufe verwendet werden, die für diese kryptographischen Schlüssel nicht explizit erlaubt sind. Dies wird beispielsweise dadurch erreicht, dass die Schlüssel kryptographisch mit den erlaubten API-Aufrufen verbunden Wird die API zur Übertragung von einem PIN-Block-Format in ein anderes PIN-Block-Format verwendet, dann SOLLEN Sitzungsschlüssel für die Entschlüsselung des Eingang-PIN-Blocks und Sitzungsschlüssel zur Verschlüsselung des Ausgang-PIN-Blocks verwendet Falls für die Verschlüsselung bzw. Umschlüsselung von PIN-Blöcken die Verwendung von Sitzungsschlüsseln nicht mit systemtechnischen Mitteln erzwungen wird, gelten folgende Regeln: 1. Die Übertragung von standardisierten PIN-Block-Formaten in nicht standardisierte PIN-Block-Formate DARF NICHT möglich sein. 2. PIN-Block-Formate, die die PAN (Kontonummer) beinhalten, SOL- LEN NICHT in Formate übertragen werden, die die PAN nicht bein- Version 1.0 Seite 19/29
20 halten. Insbesondere SOLLEN ISO Format 0 und ISO Format 3 NICHT in ISO Format 1 übertragen 3. Wenn ein PIN-Block-Format mit PAN in ein anders PIN-Block-Format mit PAN übertragen werden soll, dann DARF es NICHT möglich sein, hierbei die PAN zu modifizieren. 4. Die vorherigen drei Spiegelpunkte werden durch die folgende Tabelle nach [ISO ] verdeutlicht: Umschlüsselung nach ISO Format 0 ISO Format 1 ISO Format 3 von ISO Format 0 Änderung der PAN nicht erlaubt Nicht erlaubt Änderung der PAN nicht erlaubt ISO Format 1 PAN Eingabe vorgesehen Erlaubt PAN Eingabe vorgesehen ISO Format 3 Änderung der PAN nicht erlaubt Nicht erlaubt Änderung der PAN nicht erlaubt 5. Andere Formate als ISO Format 0 und ISO Format 3 DÜRFEN NICHT für die Berechnung von Werten, die aus einer PIN und einer PAN abgeleitet werden, wie z. B. PIN Offsets und PIN Verifikationswerte (PVV), unterstützt 6. Werden Werte aus einer PIN und einer PAN abgeleitet, und der Teil der Kontonummer, der im verschlüsselten PIN-Block enthalten ist, stimmt nicht mit dem Teil der eingegeben PAN überein, so DARF der berechnete Werte NICHT zurückgegeben ISO Format 2 SOLL durch HSMs nicht unterstützt Wird die API zur Übertragung von einem PIN-Block-Format in ein anderes PIN-Block-Format verwendet und wird zur Ableitung von Sitzungsschlüsseln für die Verschlüsselung des Ausgang-PIN-Blocks eine Zufallszahl benötigt, dann DARF es NICHT möglich sein, diese Zufallszahl von außen vorzugeben. Die Zufallszahl MUSS von dem HSM intern erzeugt Version 1.0 Seite 20/29
Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3
Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Flamingoweg 1 44139 Dortmund für das IT-System RWE eoperate IT Services die Erfüllung aller
Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3
Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Agfa HealthCare GmbH Konrad-Zuse-Platz 1-3 53227 Bonn für das IT-System IMPAX/web.Access die Erfüllung aller
Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5
Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen SLA Software Logistik Artland GmbH Friedrichstraße 30 49610 Quakenbrück für das IT-System Meat Integrity Solution
Account Information Security Programme - Allgemeine Informationen -
Account Information Security Programme - Allgemeine Informationen - Neue Sicherheitsstandards für die Aufbewahrung und Weiterverarbeitung sensibler Karteninhaberdaten Kreditkartenzahlungen erfreuen sich
Datenschutz-Vereinbarung
Datenschutz-Vereinbarung zwischen intersales AG Internet Commerce Weinsbergstr. 190 50825 Köln, Deutschland im Folgenden intersales genannt und [ergänzen] im Folgenden Kunde genannt - 1 - 1. Präambel Die
Anforderungen an die technischen und organisatorischen Maßnahmen des Auftragnehmers
Anlage zum Vertrag zur Auftragsdatenverarbeitung Anforderungen an die technischen und organisatorischen Maßnahmen des Auftragnehmers im Rahmen der Auftragsdatenverarbeitung? Wir helfen: www.activemind.de
Sicherheitstechnische Qualifizierung (SQ), Version 9.0
Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Freistuhl 7 44137 Dortmund für den Webshop RWE SmartHome Shop die Erfüllung aller Anforderungen
Vorwort Organisationsrichtlinie IT-Sicherheit
Vorwort Organisationsrichtlinie IT-Sicherheit Diese Richtlinie regelt die besonderen Sicherheitsbedürfnisse und -anforderungen des Unternehmens sowie die Umsetzung beim Betrieb von IT-gestützten Verfahren
Payment Card Industry (PCI) Datensicherheitsstandard. Änderungsübersicht von PCI-DSS Version 3.0 auf 3.1
Payment Card Industry (PCI) Datensicherheitsstandard Änderungsübersicht von PCI-DSS Version 3.0 auf 3.1 April 2015 Einleitung Dieses Dokument enthält eine Übersicht über die Änderungen von PCI-DSS Version
Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5
Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen e-netz Südhessen GmbH & Co. KG Dornheimer Weg 24 64293 Darmstadt für das IT System Querverbundleitstelle Darmstadt
Amtliches Mitteilungsblatt
Nr. 13/12 Amtliches Mitteilungsblatt der HTW Berlin Seite 119 13/12 26. April 2012 Amtliches Mitteilungsblatt Seite Grundsätze der Informationssicherheit der HTW Berlin vom 18. April 2012.................
Übersicht Kompakt-Audits Vom 01.05.2005
Übersicht Kompakt-Audits Vom 01.05.2005 Bernhard Starke GmbH Kohlenstraße 49-51 34121 Kassel Tel: 0561/2007-452 Fax: 0561/2007-400 www.starke.de email: info@starke.de Kompakt-Audits 1/7 Inhaltsverzeichnis
Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3
Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Deutsche Telekom AG Products & Innovation T-Online-Allee 1 64295 Darmstadt für das IT-System Developer Garden
Projekt IT-Sicherheitskonzept.DVDV
Projekt IT-Sicherheitskonzept.DVDV Dokumentation.Sicherheitsrichtlinie.Server DVDV Dienstleister Bundesverwaltungsamt BIT 3 Barbarastr. 1 50735 Köln 10. Mai 2006 Dokumentinformationen Projekt IT-Sicherheitskonzept.DVDV
Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz
Tabelle: Maßn und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz (Verweis aus Maß M 7.5) Basierend auf den IT-Grundschutz-Katalogen Version 2006 Stand: November 2006, Stand der Tabelle: 22.08.07
Sicherheitstechnische Qualifizierung (SQ), Version 9.0
Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Freistuhl 7 44137 Dortmund für die Firewall- und Serverinstallation SmartHome Backend und
Checkliste: Technische und organisatorische Maßnahmen
Checkliste: Technische und organisatorische Maßnahmen Folgende technische und organisatorische Maßnahmen wurden nach 9 BDSG für folgende verantwortliche Stelle getroffen: Musterstein GmbH Musterweg 2 4
Sicherheitsrichtlinie für das Outsourcing von IT-Leistungen. - Beispiel -
Sicherheitsrichtlinie für das Outsourcing von IT-Leistungen - Beispiel - Stand: Juni 2004 INHALTSVERZEICHNIS 1 EINLEITUNG... 2 2 GELTUNGSBEREICH... 2 3 AUSWAHL EINES OUTSOURCING-DIENSTLEISTERS... 3 4 VERTRAGSSPEZIFISCHE
Technische und organisatorische Maßnahmen des Auftragnehmers gemäß 9 BDSG
Technische und organisatorische Maßnahmen des Auftragnehmers gemäß 9 BDSG Die Server von blau direkt werden in einem Nürnberger Rechenzentrum betrieben. Mit den beteiligten Dienstleistern wurden ordnungsgemäße
IT-Grundschutz-Zertifizierung von ausgelagerten Komponenten
Ergänzung zum Zertifizierungsschema Nr. 1 Titel ITGrundschutzZertifizierung von ausgelagerten Komponenten Status Version 1.0 Datum Diese Ergänzung zum Zertifizierungsschema gibt verbindliche Hinweise,
Händlerbedingungen Bedingungen für die Teilnahme am electronic cash-system der deutschen Kreditwirtschaft
Stand: 11.3.2008 Händlerbedingungen Bedingungen für die Teilnahme am electronic cash-system der deutschen Kreditwirtschaft 1. Teilnahme am electronic-cash-system der deutschen Kreditwirtschaft Das Unternehmen
IT-Handbuch. für die Verwaltung der Freien und Hansestadt Hamburg. Richtlinie zur Verwaltung von Passwörtern (Passwortrichtlinie - Passwort-RL)
für die Verwaltung der Freien und Hansestadt Hamburg Passwort-RL Richtlinie zur Verwaltung von Passwörtern (Passwortrichtlinie - Passwort-RL) vom 10.10.2007 (MittVw Seite 96) 1. Geltungsbereich (1) Diese
Einführung eines ISMS nach ISO 27001:2013
Einführung eines ISMS nach ISO 27001:2013 VKU-Infotag: Anforderungen an die IT-Sicherheit (c) 2013 SAMA PARTNERS Business Solutions Vorstellung Olaf Bormann Senior-Consultant Informationssicherheit Projekterfahrung:
BSI Technische Richtlinie
Seite 1 von 8 BSI Technische Richtlinie BSI Bezeichnung: Technische Richtlinie De-Mail Bezeichnung: Anwendungsbereich: Kürzel: De-Mail Dokumentenablage IT-Sicherheit BSI TR 01201 Anwendungsbereich: Version:
Payment Card Industry (PCI) Datensicherheitsstandard
Payment Card Industry (PCI) Datensicherheitsstandard Konformitätsbescheinigung für Selbstbeurteilungs-Fragebogen B Version 3.0 Februar 2014 1. Abschnitt: Informationen zur Beurteilung Anleitung zum Einreichen
IT-Grundschutzhandbuch: Stand Juli 1999 1
1. Information Security Policy 1.1. Einleitung Die Firma/Behörde ist von Informationen abhängig. Informationen entscheiden über unseren Erfolg und den unserer Kunden. Von größter Wichtigkeit ist neben
Mobilkommunikation. Basisschutz leicht gemacht. 10 Tipps zum Umgang mit den Endgeräten mobiler Kommunikationstechnik. www.bsi-fuer-buerger.
Mobilkommunikation Basisschutz leicht gemacht 10 Tipps zum Umgang mit den Endgeräten mobiler Kommunikationstechnik www.bsi-fuer-buerger.de MOBILKOMMUNIKATION VORWORT Mobilkommunikation Basisschutz leicht
Information Security Policy für Geschäftspartner
safe data, great business. Information Security Policy für Geschäftspartner Raiffeisen Informatik Center Steiermark Raiffeisen Rechenzentrum Dokument Eigentümer Version 1.3 Versionsdatum 22.08.2013 Status
Maintenance & Re-Zertifizierung
Zertifizierung nach Technischen Richtlinien Maintenance & Re-Zertifizierung Version 1.2 vom 15.06.2009 Bundesamt für Sicherheit in der Informationstechnik Postfach 20 03 63 53133 Bonn Tel.: +49 22899 9582-0
Checkliste für die Prüfung von Auftragnehmern im Rahmen der Auftragsdatenverarbeitung
Checkliste für die Prüfung von Auftragnehmern im Rahmen der Auftragsdatenverarbeitung Erstprüfung und Folgeprüfung Seite 1 von 12 1 Gesetzliche Grundlagen zu technisch organisatorischen Maßnahmen 1.1 9
Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions
Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions Autor: Frank Schönefeld Gültig ab: 23.03.2015 / Ersetzte Ausgabe: 29.05.2012 Seite 1 von 5 Vorwort Unsere Kunden und Beschäftigten müssen
Datenschutzrichtlinie für die Plattform FINPOINT
Datenschutzrichtlinie für die Plattform FINPOINT Die FINPOINT GmbH ( FINPOINT ) nimmt das Thema Datenschutz und Datensicherheit sehr ernst. Diese Datenschutzrichtlinie erläutert, wie FINPOINT die personenbezogenen
Risikofragebogen Cyber-Versicherung
- 1 / 5 - Mit diesem Fragebogen möchten wir Sie und / oder Ihre Firma sowie Ihren genauen Tätigkeitsbereich gerne kennenlernen. Aufgrund der von Ihnen gemachten Angaben besteht für keine Partei die Verpflichtung
BYOD Bring Your Own Device
BYOD Bring Your Own Device Was ist das Problem? So könnt ihr es regeln. Bruno Schierbaum Berater bei der BTQ Niedersachsen GmbH BTQ Niedersachsen GmbH Donnerschweer Straße 84; 26123 Oldenburg Fon 0441/8
Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen zum 12. Übungsblatt Technischer Datenschutz an Hochschulen
und der IT-Sicherheit Lösungen zum 12. Übungsblatt Technischer Datenschutz an Hochschulen 12.1 Datenschutzrechtliche Chipkarteneinführung (1) Nach 12 Abs. 4 LHG können Hochschulen durch Satzung für ihre
ITIL & IT-Sicherheit. Michael Storz CN8
ITIL & IT-Sicherheit Michael Storz CN8 Inhalt Einleitung ITIL IT-Sicherheit Security-Management mit ITIL Ziele SLA Prozess Zusammenhänge zwischen Security-Management & IT Service Management Einleitung
Sicherheitstechnische Qualifizierung (SQ), Version 9.0
Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Atos Worldline GmbH Hahnstraße 25 60528 Frankfurt/Main für das PIN Change-Verfahren Telefonbasierte Self Selected
MM-2-111-403-00. IT-Sicherheit
MM-2-111-403-00 Rev. Nr.: 01 Rev. Datum: 26.03.2014 Nächste Rev.: 26.03.2017 MM-2-111-403-00 IT-Sicherheit Seite: 1 / 8 MM-2-111-403-00 Rev. Nr.: 01 Rev. Datum: 26.03.2014 Nächste Rev.: 26.03.2017 Ziel
Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten
Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten Innominate Security Technologies AG Rudower Chaussee 29 12489 Berlin Tel.: (030) 6392-3300 info@innominate.com www.innominate.com Die folgenden
Payment Card Industry (PCI) Datensicherheitsstandard
Payment Card Industry (PCI) Datensicherheitsstandard Konformitätsbescheinigung für Vor-Ort-Beurteilungen - Händler Version 3.0 Februar 2014 1. Abschnitt: Informationen zur Beurteilung Anleitung zum Einreichen
Checkliste: Technische und organisatorische Maßnahmen
Checkliste: Technische und organisatorische Maßnahmen Folgende technische und organisatorische Maßnahmen wurden nach 9 BDSG für folgende verantwortliche Stelle getroffen: Musterstein GmbH Musterweg 2-4
Scopevisio AG Abteilung Auftragsdatenverarbeitung Rheinwerkallee 3
Scopevisio AG Abteilung Auftragsdatenverarbeitung Rheinwerkallee 3 53227 Bonn Copyright Scopevisio AG. All rights reserved. Seite 1 von 11 Copyright Scopevisio AG. All rights reserved. Seite 2 von 11 Inhalt
Aktive Schnittstellenkontrolle
Aktive Schnittstellenkontrolle Version 1.0 Ausgabedatum 05.03.2013 Status in Bearbeitung in Abstimmung Freigegeben Ansprechpartner Angelika Martin 0431/988-1280 uld34@datenschutzzentrum.de Inhalt 1 Problematik...2
Dynamische Web-Anwendung
Dynamische Web-Anwendung Christiane Lacmago Seminar Betriebssysteme und Sicherheit Universität Dortmund WS 02/03 Gliederung Einleitung Definition und Erläuterung Probleme der Sicherheit Ziele des Computersysteme
Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen
Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen D-TRUST GmbH Kommandantenstraße 15 10969 Berlin für den Zertifizierungsdienst D-TRUST SSL Class 3 CA die Erfüllung
Risikoanalyse mit der OCTAVE-Methode
Risikoanalyse mit der OCTAVE-Methode 07.05.2013 Dr. Christian Paulsen DFN-CERT Services GmbH Bedrohungslage Trends der Informationssicherheit: Hauptmotivation der Angreifer: Geld, Informationen Automatisierte
A u f b a u u n d O r g a n i s a t i o n s- s t r u k t u r I n f o r m a t i o n s s i c h e r- h e i t i n G e m e i n d e n
Anleitung A u f b a u u n d O r g a n i s a t i o n s- s t r u k t u r I n f o r m a t i o n s s i c h e r- h e i t i n G e m e i n d e n Inhalt 1 Einleitung... 2 2 Zweck der Informationssicherheitsorganisation...
IT Best Practice Rules
Informatikdienste Direktion Reto Gutmann IT Best Practice Rules Versionskontrolle Version Historie / Status Datum Autor/in URL 1.0 Initial Version 27.08.2013 Autorengemeinschaft ID - nur für internen Gebrauch
Checkliste Technisch-organisatorische Maßnahmen nach 9 BDSG:
Checkliste Technisch-organisatorische Maßnahmen nach 9 BDSG: Geprüftes Unternehmen: Firmenname: oberste Leitung; EDV-Abteilung: Datenschutzbeauftragter: Firmensitz: Niederlassungen: Prüfdaten: Prüfung
Sicherheitshinweise für Administratoren. - Beispiel -
Sicherheitshinweise für Administratoren - Beispiel - Stand: Juni 2004 INHALTSVERZEICHNIS 1 EINLEITUNG... 2 2 VERANTWORTUNGSBEREICH... 2 3 VERWALTUNG DER IT-DIENSTE... 3 3.1 KONFIGURATION DER IT-DIENSTE...
Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences
Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences WISSENSCHAFTLICHE WEITERBILDUNG Fernstudium Industrial Engineering Produktions- und Betriebstechnik Kurseinheit 98 und
Seite: 1 Revisionssichere Firewalls mit Tufin SecureTrack. NUBIT 2006 Kiel, 17. Februar 2006. Martin Seeger NetUSE AG ms@netuse.de
Seite: 1 mit Tufin SecureTrack NUBIT 2006 Kiel, 17. Februar 2006 Martin Seeger NetUSE AG ms@netuse.de Seite: 2 mit Tufin SecureTrack Agenda Herausforderungen Aufbau und Funktionsweise Versionsstände Vergleiche
Dienstvereinbarung über den Einsatz von Firewallsystemen an der Freien Universität Berlin
Dienstvereinbarung - Firewall 1 / 7 Dienstvereinbarung über den Einsatz von Firewallsystemen an der Freien Universität Berlin gemäß 74 Personalvertretungsgesetz Berlin (PersVG) in der aktuellen Fassung
IPS-ENERGY ISMS Unterstützung für Information Security Management Systeme. 2015 IPS GmbH
IPS-ENERGY ISMS Unterstützung für Information Security Management Systeme Inhalt Zur Relevanz von ISMS für EVUs Übersicht Kritische Infrastrukturen 11 EnWG BSI-Standards 100-x Was ist ein ISMS? Unterstützung
Händlerbedingungen BEDINGUNGEN FÜR DIE TEILNAHME AM ELECTRONIC CASH-SYSTEM DER DEUTSCHEN KREDITWIRTSCHAFT
Gültig ab 1. Januar 2013 Händlerbedingungen BEDINGUNGEN FÜR DIE TEILNAHME AM ELECTRONIC CASH-SYSTEM DER DEUTSCHEN KREDITWIRTSCHAFT 1. Teilnahme am electronic cash-system der deutschen Kreditwirtschaft
4. Stuttgarter Sicherheitskongress: IT-Sicherheit in industriellen Anlagen
4. Stuttgarter Sicherheitskongress: IT-Sicherheit in industriellen Anlagen Henning Sandfort Siemens AG, Sector Industry SIMATIC Produkt- & Systemmanagement Allgemeine Security-Bedrohungen in der Automatisierung
Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen
Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Uniscon universal identity control GmbH Agnes-Pockels-Bogen 1 80992 München für das Verfahren IDGARD Datenschutzkasse,
Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion)
Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) I. Ziel des Datenschutzkonzeptes Das Datenschutzkonzept stellt eine zusammenfassende Dokumentation der datenschutzrechtlichen Aspekte
2. Datenbackups... 3 2.3 Recovery... 3. 3. Verfügbarkeit... 3 3.1 Datenverfügbarkeit... 3 3.2 Stromversorgung... 3
1. Datenspeicherung... 2 1.1 Speicherung von Daten auf administrativen Systemen... 2 1.1.1 Firmenbezogen... 2 1.1.2 Kundenbezogen... 2 1.2 Speicherung von Daten auf online Systemen... 2 1.2.1 Firmenbezogen...
Benutzerhinweise SolumWEB
/ Landesdatennetz Seite 1 von 12 Inhaltsverzeichnis 1 Einleitung... 3 2 Technische Voraussetzungen... 3 2.1 PC und Betriebssystem... 4 2.2 Verbindung über Intranet / Landesdatennetz... 4 2.3 PDF Viewer...
Sicherheit bei Internet- Kreditkartentransaktionen
Sicherheit bei Internet- Kreditkartentransaktionen MasterCard SDP / Visa AIS Randolf Skerka / Manuel Atug SRC Security Research & Consulting GmbH Bonn - Wiesbaden Übersicht Vorstellung SRC Vorstellung
Convision IP-Videoserver und die Sicherheitseinstellungen von Windows XP (SP2)
Inhalt Convision IP-Videoserver und die Sicherheitseinstellungen von Windows XP (SP2)... 1 1. Die integrierte Firewall von Windows XP... 2 2. Convision ActiveX und Internet Explorer 6... 3 3. Probleme
Wiederholung: Informationssicherheit Ziele
Wiederholung: Informationssicherheit Ziele Vertraulichkeit: Schutz der Information vor unberechtigtem Zugriff bei Speicherung, Verarbeitung und Übertragung Integrität: Garantie der Korrektheit (unverändert,
FAQ zu Datenschutz, SLA und Datensicherheit PRODATA GmbH
FAQ zu Datenschutz, SLA und Datensicherheit PRODATA GmbH Hosting, Application Management und Geschäftsprozess-Outsourcing Datenschutzbeauftragter: Jens Wiesner Seite 1 1.1 Hosting 1.1.1 Räumliche Voraussetzungen
Homebanking-Abkommen
Homebanking-Abkommen Der Bundesverband der Deutschen Volksbanken und Raiffeisenbanken e.v., Bonn, Bundesverband deutscher Banken e.v., Köln, Bundesverband Öffentlicher Banken Deutschlands e.v., Bonn Deutscher
Datenschutz und Datensicherheit in mittelständischen Betrieben
Datenschutz und Datensicherheit in mittelständischen Betrieben Vortrag beim MHUT-Mülheimer Unternehmer Treff e.v. Dienstag, 9. Februar 2010, 19.00 Uhr Datenschutz + Datensicherheit = IT-Sicherheit IT-Sicherheit
Anlage zum Vertrag vom. Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag
Anlage zum Vertrag vom Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag O durch Wartung bzw. O Fernwartung *Zutreffendes bitte ankreuzen Diese Anlage konkretisiert die datenschutzrechtlichen
Leitfaden zum sicheren Betrieb von Smart Meter Gateways
Leitfaden zum sicheren Betrieb von Smart Meter Gateways Wer Smart Meter Gateways verwaltet, muss die IT-Sicherheit seiner dafür eingesetzten Infrastruktur nachweisen. Diesen Nachweis erbringt ein Gateway-
Technisches und rechtliches Rezertifizierungs-Gutachten
Technisches und rechtliches Rezertifizierungs-Gutachten Einhaltung datenschutzrechtlicher Anforderungen durch das IT-Produkt KOMMBOSS Version 2.9 der GfOP Neumann & Partner mbh Zum Weiher 25 27 14552 Wildenbruch
Stand: 12.8.2011. Der
Stand: 12.8.2011 Vertrag über die Zulassung als Kopf- und/oder Übergabestelle im electronic cash-system und dem Deutschen Geldautomaten-System der deutschen Kreditwirtschaft Der Bundesverband der Deutschen
ESA SECURITY MANAGER. Whitepaper zur Dokumentation der Funktionsweise
ESA SECURITY MANAGER Whitepaper zur Dokumentation der Funktionsweise INHALTSVERZEICHNIS 1 Einführung... 3 1.1 Motivation für den ESA Security Manager... 3 1.2 Voraussetzungen... 3 1.3 Zielgruppe... 3 2
Technische und organisatorische Maßnahmen der
Seite 1 von 8 der Inhaltsverzeichnis: 1. Einleitung 2. Gesetzliche Grundlage 3. zur Umsetzung 3.1 Zutrittskontrolle 3.2 Zugangskontrolle 3.3 Zugriffskontrolle 3.4 Weitergabekontrolle 3.5 Eingabekontrolle
Technische und organisatorische Maßnahmen zur Datensicherheit bei cojama Infosystems GmbH gem. 9 BDSG
Datensicherheit bei gem. 9 BDSG Der Auftragnehmer verpflichtet sich gegenüber dem Auftraggeber zur Einhaltung nachfolgender technischer und organisatorischer Maßnahmen, die zur Einhaltung der anzuwendenden
Payment Card Industry (PCI) Datensicherheitsstandard
Payment Card Industry (PCI) Datensicherheitsstandard Konformitätsbescheinigung für Selbstbeurteilungs-Fragebogen D - Dienstanbieter Version 3.0 Februar 2014 1. Abschnitt: Informationen zur Beurteilung
Informationstechnik (IT)-Sicherheitshandlungsleitlinien für Systementwickler
Informationstechnik (IT)-Sicherheitshandlungsleitlinien für Systementwickler Gültig ab: 20.10.2006 Status: Freigegeben Geändert am: 12.03.2013 Version: 2.0 Herausgeber: I/GA-2, Datenschutz / Datensicherheit
Vereinbarung über den elektronischen Datenaustausch (EDI)
Vereinbarung über den elektronischen Datenaustausch (EDI) RECHTLICHE BESTIMMUNGEN Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen von und zwischen: Stadtwerke Kaltenkirchen
Richtlinie zur Wahl und Nutzung von Passwörtern und Passphrases
Richtlinie zur Wahl und Nutzung von Passwörtern und Passphrases Stand: 01.06.2012 Alle Personenbezeichnungen in dieser Richtlinie beziehen sich ungeachtet ihrer grammatikalischen Form in gleicher Weise
Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen
Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Deutsche Post AG Charles-de-Gaulle-Straße 20 53250 Bonn für den Ende-zu-Ende-Verschlüsselungs-Service für
Checkliste zum Datenschutz
Checkliste zum Datenschutz Diese Checkliste soll Ihnen einen ersten Überblick darüber geben, ob der Datenschutz in Ihrem Unternehmen den gesetzlichen Bestimmungen entspricht und wo ggf. noch Handlungsbedarf
BSI Technische Richtlinie
BSI Technische Richtlinie Bezeichnung: IT-Basisinfrastruktur Funktionalitätsspezifikation Anwendungsbereich: De-Mail Kürzel: BSI TR 01201 Teil 1.1 Version: 1.2 Bundesamt für Sicherheit in der Informationstechnik
Zusammenarbeit mit Partnern
Zusammenarbeit mit Partnern BMW Group Anforderungen an ein BMW Satellitenbüro Folie 1 (Besetzung im Satellitenbüro durch BMW und externe Mitarbeiter) Grundsätze Die Geheimhaltung ist zwischen den Partnern
Mindeststandard des BSI für den Einsatz des SSL/TLS-Protokolls durch Bundesbehörden. nach 8 Abs. 1 Satz 1 BSIG
Mindeststandard des BSI für den Einsatz des SSL/TLS-Protokolls durch Bundesbehörden nach 8 Abs. 1 Satz 1 BSIG Bundesamt für Sicherheit in der Informationstechnik Postfach 20 03 63 53133 Bonn Tel.: +49
Häufig gestellte Fragen Erfahren Sie mehr über Verified by Visa
Informationen zu Verified by Visa 2 1. Was ist Verified by Visa? 2 2. Wie funktioniert Verified by Visa? 2 3. Wie schützt mich Verified by Visa? 2 4. Ist der Umgang mit Verified by Visa benutzerfreundlich?
Lutz Grammann Datenschutz für Administratoren. St. Pius-Stift Cloppenburg 13. Oktober 2010
Lutz Grammann Datenschutz für Administratoren St. Pius-Stift Cloppenburg 13. Oktober 2010 06. Oktober 2010 Datenschutz für Administratoren 1 Erwartungen an Administratoren Mitwirkung bei der Gestaltung
Payment Card Industry (PCI) Datensicherheitsstandard
Payment Card Industry (PCI) Datensicherheitsstandard Konformitätsbescheinigung für Selbstbeurteilungs-Fragebogen A-EP Version 3.0 Februar 2014 1. Abschnitt: Informationen zur Beurteilung Anleitung zum
Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: 22.03.2013)
1. Pflichten von BelWü (Auftragnehmer) 1.1. Der Auftragnehmer darf Daten nur im Rahmen dieses Vertrages und nach den Weisungen der Schule verarbeiten. Der Auftragnehmer wird in seinem Verantwortungsbereich
BLECHCENTER Plus. Admin. Einstellungen für Programm und Datenbank
Einstellungen für Programm und Datenbank IBE Software GmbH; Friedrich-Paffrath-Straße 41; 26389 Wilhelmshaven Fon: 04421-994357; Fax: 04421-994371; www.ibe-software.de; Info@ibe-software.de Vorwort Moderne
Stabsstelle Datenschutz. Anlage zu 5 der Mustervereinbarung zur Datenverarbeitung im Auftrag einer nicht öffentlichen Stelle...
Stabsstelle Datenschutz Anlage zu 5 der Mustervereinbarung zur Datenverarbeitung im Auftrag einer nicht öffentlichen Stelle... Anlage zu 5 Abs. 5 der Vereinbarung Technische und organisatorische ( 9 /
Regelwerk für die Planung und Konzipierung sicherer Datennetze. Dr. Herbert Blum
Regelwerk für die Planung und Konzipierung sicherer Datennetze Dr. Herbert Blum 12. Deutscher IT-Sicherheitskongress Bonn, 7 Anwendung 6 Darstellung 5 Sitzung Anwendung Datensicherheit in Netzen 3 Vermittlung
IT kompetent & wirtschaftlich
IT kompetent & wirtschaftlich 1 IT-Sicherheit und Datenschutz im Mittelstand Agenda: - Wieso IT-Sicherheit und Datenschutz? - Bedrohungen in Zeiten globaler Vernetzung und hoher Mobilität - Risikopotential
SiMiS-Kurzcheck zur Informationssicherheit nach ISO/IEC 27001 bzw. Datenschutz nach Bundesdatenschutzgesetz (BDSG)
Unternehmen: Branche: Ansprechpartner: Position: Straße: PLZ / Ort: Tel.: Mail: Website: Kontaktdaten Datenschutzbeauftragter: Fax: Sicherheitspolitik des Unternehmens JA NEIN 01. Besteht eine verbindliche
Merkblatt: HSM. Version 1.01. Systemvoraussetzungen, Setup und Trouble Shooting. pdfsupport@pdf-tools.com
Merkblatt: HSM Version 1.01 Systemvoraussetzungen, Setup und Trouble Shooting Kontakt: pdfsupport@pdf-tools.com Besitzer: PDF Tools AG Kasernenstrasse 1 8184 Bachenbülach Schweiz www.pdf-tools.com Copyright
Häufig gestellte Fragen Erfahren Sie mehr über MasterCard SecureCode TM
Informationen zu MasterCard SecureCode TM 3 1. Was ist der MasterCard SecureCode TM? 3 2. Wie funktioniert MasterCard SecureCode TM? 3 3. Wie schützt mich MasterCard SecureCode TM? 3 4. Ist der Umgang
Orientierungshilfe. Datenschutz und Datensicherheit in Projekten: Projekt- und Produktivbetrieb
Orientierungshilfe Datenschutz und Datensicherheit in Projekten: Projekt- und Produktivbetrieb Herausgegeben vom Arbeitskreis Technische und organisatorische Datenschutzfragen der Konferenz der Datenschutzbeauftragten
BSI Technische Richtlinie
Seite 1 von 9 BSI Technische Richtlinie BSI Bezeichnung: Technische Richtlinie De-Mail Bezeichnung: Anwendungsbereich: De-Mail Postfach- und Versanddienst IT-Sicherheit Anwendungsbereich: Kürzel: BSI De-Mail
Die Top 10 Gebote. der industriellen Datenkommunikation für mehr IT-Sicherheit
Die Top 10 Gebote der industriellen Datenkommunikation für mehr IT-Sicherheit 1. Gebot Sei einzigartig! Passwörter dienen dazu, jemanden zuverlässig zu identifizieren. Sehr kritisch und hoch bedroht sind
Security of Internet Payments
Die Recommendations for the Security of Internet Payments Informationsveranstaltung: IT-Aufsicht bei Banken 29. Oktober 2013 Dr. Markus Held, BA 58 Überblick Einleitung - Worum geht es? European Forum
AUSZUG AUS DEM BUNDESDATENSCHUTZGESETZ
AUSZUG AUS DEM BUNDESDATENSCHUTZGESETZ Auszug aus dem Bundesdatenschutzgesetz in der Fassung vom 14.01.2003, zuletzt geändert am 14.08.2009 1 Allgemeine und gemeinsame Bestimmungen (1) Zweck dieses Gesetzes
Vereinbarung über den elektronischen Datenaustausch (EDI)
Vereinbarung über den elektronischen Datenaustausch (EDI) Zwischen dem Netzbetreiber Strom und Gas Netze BW GmbH Schelmenwasenstr. 15, 70567 Stuttgart und dem Lieferanten / dem Transportkunden: Name:.
IT-Sicherheitspolitik. der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein
der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein Teilnehmende Institutionen Flensburg Universität Flensburg Christian- Albrechts- Universität IFM-GEOMAR Kiel Muthesius Kunsthochschule