Einführungslehrgang für Landesbedienstete

Größe: px
Ab Seite anzeigen:

Download "Einführungslehrgang für Landesbedienstete"

Transkript

1 Einführungslehrgang für Landesbedienstete h t t p : / / i n t r a n e t. k t n. g v. a t / l a d i o n e d v k u n d e n o r i e n t i e r t k o m p e t e n t i n n o v a t i v e f f i z i e n t AUTOR: DI RUDOLF KÖLLER erstellt am: Folie: 1

2 Inhalte Überblick über das IT-System des Landes Vorstellung des Systemumfanges IT-Organisation Wichtige Basissysteme (Fileserver, Mail, SAP, Personalwirtschaft, DOMEA ) Kennzahlen Vorstellung der wichtigsten IT-Prozesse Projektmanagement Berechtigungsvergabe Softwareprodukte Bestellwesen Support IT-Sicherheitsmanagement Überblick Komponenten der IT-Sicherheit Besondere Sicherheitsrisiken Umgang mit Social Media (Facebook und Co) Was kann und soll der Mitarbeiter zur IT-Sicherheit beitragen? AUTOR: DI RUDOLF KÖLLER erstellt am: Folie: 2

3 Überblick über das IT-System des Landes Kärnten Rechenzentren Hauptrechenzentrum in Klagenfurt Lampertzzelle Notstromgenerator Unterbrechungsfreie Stromversorgung Redundante Klimaanlagen 160 Server 170 TB Daten 1,4 PB Sicherungen Notfallrechenzentrum in Villach im Aufbau Arbeitsplatzstruktur 3000 PC-Arbeitsplätze 600 Drucker Mehr als 100 Standorte 3500 Useraccounts im Landesnetz 4500 Useraccounts im Kärntner Schulnetz AUTOR: DI RUDOLF KÖLLER erstellt am: Folie: 3

4 Aktuelles Organigramm (Stand 2013) EDV-Leitung DI Rudolf Köller Sekretariat Sabine Tschauko Organsationsunterstützung Gerald Klier Softwareentwicklung und Datenbankservices Thomas Steinwender Systemtechnik Maurizio Papini Interne Basissysteme Mag. Peter Marktl Rechenzentrum und Netzwerktechnik Harald Kiko Qualitätsmanagement IT-Berechtigungscenter Gerald Klier DI Thomas Puschl Ing. Helmut Mastnak Einkauf Dietmar Holzer IT-Kundencenter Eva Andritsch Sonja Hudelist Datenbankadministration, DWH Thomas Steinwender Ing. Roman Zöttl Josef Kofler Formularserver Elisabeth Pirker (0,75) Entwicklung Josef Kuneth Ing. Klaus Wolte Ing. Michael Russegger Heinrich Gatti DI Stefan Karnel DI (FH) Peter Rainer Server Maurizio Papini Josef Jaritsch Andreas Jobst Robert Fister Mag. Andrzej Laska Bundesapplikationen Marketing Ing. Dietmar Kraxner BH-Unterstützung Udo Tröbacher Gerald Valentin Dateneingabe Ingrid Oleschko (0,5) Helga Hornbogner (0,5) Projektmanagement Mag. Peter Marktl DI Walter Hetzendorf DI Robert Kawalar Mag. Primig Daniela (K) DI Peter Sterz (0,5) Host Entwicklung Alfred Kollinger Jobvorbereitung Host Alfred Zeginigg Domea Servies Josef Schurz Ing. Michael Strasser Valentin Hafner Gabriele Hartwig (L) SAP-CC Ing. Peter Wanschou n.n. SAP-Entwickler (0) Mag. Vera Koren (K) QISMS, Unix Harald Kiko Michael Goritschnig Netzwerkbetrieb Heinz Malle Rudolf Wandelnig 6 9, ,5 (davon 2 in Karenz (K)), +1 ausgeschrieben +1 ausgeliehen (L)) 4 LEGENDE für Funktion Unterstrichen: Leitung Normal: Gruppenmitglied Kursiv in (): extern oder nicht besetzt Gruppe Arbeitsfelder, grob abgegrenzt Organigramm Abteilung 1 (Kompetenzzentrum Landesamtsdirektion) Informationstechnologie Stand Gesamtanzahl MA 01/2000: 61 / aktuell: 43 Personen (davon 3x50% + 2 in Karenz) 40,25 PE Version 5.3 AUTOR: DI RUDOLF KÖLLER erstellt am: Folie: 4

5 Datenvolumen des Landes (EVA 8000 High Quality Level, P2000) Status 2012: Ziele 2013: Halten des Standards. Steigerung der Performance. Aufbau eines Notfallrechenzentrums in der BH Villach. Erhöhung der Backupkapazität / Änderung des Backupkonzeptes. Erwarteter Bedarf von 155 TB Plattenspeicher Das Land hat ein High- End Festplattensystem (HP EVA6500) und mehrere kleinere Storage Systeme (HP P2000) Der Zuwachs an Speicherplatz entspricht dem weltweiten Trend Die Datenbestände werden täglich gesichert. Es gibt wöchentliche und monatliche Fullbackups. Entsprechend dieser Logik können jeden Datenstand der letzten sechs Monate wiederherstellen Ein Problem bereitet der Speicherzuwachs im Backupsystem. AUTOR: DI RUDOLF KÖLLER erstellt am: Folie: 5

6 Entwicklung der Internetnutzung Ergebnisse 2012: Geringer Anstieg bei der Internetnutzung 2010: Ausstieg der Gmeinden 2011: Verschärfung des Contentfilters Anteil der Nutzung von.gv.at-seiten ist geringfügig gestiegen Ziele 2013: Sicherung des Zugangs zum Gesamtsystem: Rollout des Trusted Network Computing Intensivierung der Anwendungssicherung mit CITRIX NetScaler. Externer Security Check AUTOR: DI RUDOLF KÖLLER erstellt am: Folie: 6

7 Endgerätestrategie des Landes Homogenisierung der Hardware, wenige Produkttypen, industrialisierte Geschäftsprozesse Derzeit ist das 4. Hauptrollout im Laufen und nahezu abgeschlossen HW-unabhängiges Imaging Basis Image (für sämtliche Modelle gleich) Vergabe einer Modell-ID pro Gerätetype Zuordnung der HW-spezifischen Treiber in einer Datenbank Einsatz weniger Geräte-Typen Kategorisierung Office-PC und -Notebook Workstation und mobile Workstation ultramobiles Notebook Generelle Zielsetzung Kostenreduktion unter Berücksichtigung eines zweckorientierten Produktkataloges optimierte Ausnutzung der Hersteller Lifecycles Green IT (Energy Star, EPEAT Gold etc.) im Hinblick auf Produktion, Betrieb und Verwertung AUTOR: DI RUDOLF KÖLLER erstellt am: Folie: 7

8 Der Office-PC HP Compaq 8200 Elite USDT (UltraSlimDeskTop) Core i Prozessor (2 nd Gen. Core i) 4GB RAM 250GB HDD DVD-Brenner integriert optional erweiterbares Graphik-Subsystem AUTOR: DI RUDOLF KÖLLER erstellt am: Folie: 8

9 Die Workstation HP Z220 Workstation Core i Prozessor 4GB RAM 500GB HDD NVIDIA Quadro MB A-CAD zertifiziert AUTOR: DI RUDOLF KÖLLER erstellt am: Folie: 9

10 Das ultramobile Notebook HP EliteBook 2570p 4GB RAM 128GB SSD HDD Akkulaufzeit bis 8,5h 1,75kg Core i5-2510m (2 nd Gen.) 12,5 HD-Display, 1366x768dpi UMTS/3G Modem integriert DVD-Brenner integriert AUTOR: DI RUDOLF KÖLLER erstellt am: Folie: 10

11 Das Office Notebook HP ProBook 6470b Core i3-2310m (2 nd Gen.) 4GB RAM 250GB HDD 14 HD-Display, 1366x768dpi bis zu 7h Akkulaufzeit 2,3kg AUTOR: DI RUDOLF KÖLLER erstellt am: Folie: 11

12 Die mobile Workstation HP EliteBook 8570w Core i7-2620qm (QuadCore i 2 nd Gen.) 4GB RAM 500GB HDD 15,6 HD+ Display, 1600x900dpi NVIDIA Quadro 1000M A-CAD zertifiziert AUTOR: DI RUDOLF KÖLLER erstellt am: Folie: 12

13 Ihre Standardsoftware Windows 7 Professional Edition Virenschutz: Symantec Endpoint Protection Microsoft Office Professional Microsoft Exchange 2010 Server Outlook 2010 Client Mailarchiv: Symantec Enterprise Vault DOMEA Elektronischer Akt SAP Kernprozesse des betrieblichen Rechnungswesens Acrobat Reader Wir betreiben Metering: Softwarenutzungsgrad Netzwerktraffic Druckernutzung Verbrauchsmaterialmessungen Nutzung der Mobilen Endgeräte AUTOR: DI RUDOLF KÖLLER erstellt am: Folie: 13

14 Server: Microsoft Exchange 2007 Client: Microsoft Outlook 2010 Mailarchiv: Symantec Enterprise Vault Sicherheit: MXTreme Borderware Ihr Account: Archivierung: Datenvolumen: 200 MB Ab dem dritten Monat UserMailbox 3 Jahre PostMailbox 7 Jahre Das Mail System des Landes Die Filterung der empfangenen Mails beim Land Kärnten, ist ein wichtiges aber auch ein sehr komplexes Thema. Im Landesbereich wird derzeit die Serversoftware MXTREME Mail Firewall zur SPAM Filterung eingesetzt. Das Klassifizierungslimit für das SPAM Ranking ist zurzeit so eingestellt, dass keine korrekten Mails gefiltert werden. Daraus ergibt sich aber der Umstand, dass ein geringer Prozentsatz an SPAM Mails zum Anwender gelangt. Die Filterung im Landesbereich beschränkt sich im wesentlichen, auf SPAM (eindeutig identifiziert), auf REJECT (durch Blacklist und DNS Check als SPAM identifiziert) und VIRUS (virenverseuchte Mails die nicht gesäubert werden konnten). AUTOR: DI RUDOLF KÖLLER erstellt am: Folie: 14

15 DOMEA - ELAK Betrachtet werden sollen folgendevideokonferenzsituat ionen: Peer to Peer (möglichst ohne digitalen Konferenzraum) Kommunikation über einen Konferenzraum der Polycom- Infrastruktur AUTOR: DI RUDOLF KÖLLER erstellt am: Folie: 15

16 Personalwirtschaftssystem DPW DPW-Modul Status Zeitwirtschaft Betrieb seit 1995 Lohnverrechnung Vollbetrieb seit Abwesenheiten Vollbetrieb seit Stellenplan Vollbetrieb seit Mai 2007; mit 2009 wieder eingestellt DPW-AddOn AKL-Reisekosten Betrieb seit Bewerbermanagement Pilotbetrieb ab 12/2010 Reisekosten eingestellt Leistungszeiterfassung Volltrieb ESS Urlaubsantrag Teilbetrieb Budget zurückgestellt Personalinformation keine weitere Entwicklung; Stellenplan in Betrieb Dokumentengenerierung Analyse ASFINAG Schnittstelle Vollbetrieb Datenbank Umstellung V10 erfolgt 5/2010 Pensionsrechner Analyse abgeschlossen Vordienstzeitenberechnung Teilbetrieb SAP Schnittstellen Vollbetrieb seit 01/2010 Umstellung V8P Vollbetrieb seit 08/2010 Beförderungsmodul Vollbetrieb seit 10/2011 Führerschein-/Sachverst.gebühren Vollbetrieb seit 02/2011 Bundespensionskasse Vollbetrieb ab 01/2010 Dienstreisemanagementsystem Detailanalyse Vollbetrieb in Umsetzung Pilotbetrieb Teilbetrieb Ergebnisse 2012: Alle relevanten Bereiche sind seit Jahren im Echtbetrieb. Gesetzliche Anpassungen und Neuanforderungen werden per Auftrag umgesetzt. Im Jahr 2012 wurden wesentliche Analysen durchgeführt, die 2013 implementiert werden sollen. (Dienstreisemangement, Pensionsrechner) Der elektronische Urlaubsantrag wurde auf die Abteilung 1,2,3,5 und 8 ausgerollt. Ziele 2013: Umsetzung Dienstreisemanagement Umsetzung Pensionsrechner Nettozettel Neu Personalbudget Neu (inkl. Agenden von Hr. Linke aufgrund Pensionierung) Ablöse Personalauswertungen/Schnittstellen von Cognos Upfront in eine Portalanwendung Dokumentengenerierung: Bewerber + Vordienstzeitenanrechnung DPW Online Datenanlieferung über SOAP Webservice AUTOR: DI RUDOLF KÖLLER erstellt am: Folie: 16

17 Das SAP-System des Landes Kärnten Systemaufbau und Schnittstellen AUTOR: DI RUDOLF KÖLLER erstellt am: Folie: 17

18 Druckmanagement Ergebnisse 2012: Druckvolumen ist trotz Gegensteuerung um 0,3% gestiegen Duplexdruck wurde ausgeweitet Sensibilisieren Ziele 2013: Druckvolumen senken (Sollte durch Druckzentrum möglich werden) Follow me noch stärker ausrollen Rollout Universal Printer Driver Userakzeptanz steigern AUTOR: DI RUDOLF KÖLLER erstellt am: Folie: 18

19 E-Government: Anwendungen und Nutzung Nicht erreichte Ziele 2012: Der Produkt- und Leistungskatalog muss nach wie vor mit dem Themenzugang im Verwaltungsportal abgestimmt werden. Ziele für 2013: Verstärkte Sicherheitsüberprüfungen (PVP Audit; regelmäßiges Monitoring) Das PVP System soll im Rahmen des Patchlevelmanagements immer am neuesten Stand gehalten werden. Upgrade auf Windows 2008 Server Betriebssystem AUTOR: DI RUDOLF KÖLLER erstellt am: Folie: 19

20 Vorstellung der wichtigsten IT-Prozesse Lieferant KUNDE Anforderung Planung und Risikoanalyse TT Auftrag Audit Unterstützungsprozesse Prozesslandkarte der Ladion EDV Applikationen Client HW, Betriebssystem SW Datenbanken Plattform HW, SW Netz, SAN Betriebsführung Einkauf Entwicklung Projektmanagement Informationssicherheit Netz HW SW Unix, Host, Win Server Oracle, DBII, Data Warehouse, Notes DB PC, Drucker, Peripherie Diverse Anwendungen Managementbewertung TTA LS KVP Produkt / Dienstleistung KUNDE Betrieb Rollout Serverbetrieb Support Einkauf Bestellwesen Assetmanagement Entwicklung Neuentwicklung von SW Wartung und Adaptierung Datenbankdesign Projektmanagement Informationssicherheit Risikomanagement Berechtigungsverwaltung Securitychecks TT = Trouble Ticket TTA = TT Auflösung PA = Projektauftrag LS = Lieferschein KVP = Kontinuierlicher Verbesserungsprozess HW= Hardware SW= Software AUTOR: DI RUDOLF KÖLLER erstellt am: Folie: 20

21 Welche Begriffe müssen Sie im Zusammenhang mit dem IT-System kennen? Trouble Ticket, Nummer des IT-Servicecenters *2999 No Ticket No Trouble! Was ist Ihre Arbeitsplatznummer (Icon: IT_Hotline am Desktop) Wer ist Ihr SYSVA? Neuanforderungen: Projektauftrag (durch den SYSVA zu Stellen) Berechtigungen: Berechtigungsauftrag (ist durch den BSAG zu stellen (meist SYSVA)) Infos finden Sie im Intranet unter: Intranet.ktn.gv.at Abteilungen LADion IT Breaking News: Ankündigung von geplanten Abschaltungen oder bekannten Problemen Erlässe und Regelungen finden Sie in der Erlasssammlung der LADion: Intranet.ktn.gv.at Abteilungen Abt.1 LAndesamtsdirektion Erlässe Datenverarbeitung Sicherheitspolitik_mobile_Endgeräte Sicherheitspolitik_m IT-QM-8/1-2012, Leitfaden-Meldung-Datenanwendung-DVR Leitfaden-Meldung-Da... LAD-IT_QM-3/3-2011, Social Media Leitfaden_Öffentlichkeitsarbeit (final) Social Media Leitfad... LAD-IT_QM-3/2-2011, Social Media Leitfaden_Kommunikation (final) Social Media Leitfad... LAD-IT_QM-3/1-2011, Sicherheitspolitik für das IT-System des Landes Kärnten ("Generalpolicy") Sicherheitspolitik f... LAD-IT_QM-0/1-2011, Sicherheitspolitik für das IT-System des Landes Kärnten ("Generalpolicy") Erlass Sicherheitspolitik f... LAD-IT_QM-0/1-2011, AUTOR: DI RUDOLF KÖLLER erstellt am: Folie: 21

22 Troubleticketauswertung Hardware 6% default: the10 most commonly used Netzwerk 3% Betriebssystem 2% Auskunft 0% Security 0% AKL Systeme 33% Aufträge 7% Drucken 8% Benutzer und Daten 9% Situation: Gesamttickets: 2009: : :6500 gesunken 2012: 8187 gestiegen Anwendungen 32% Ursachen: Dokugen/UDCS (AKL-Systeme) Drucker Hardware Ziele: Optimierung des Servicedeskprozesses mit AddIT Stabilisieren UDCS AUTOR: DI RUDOLF KÖLLER erstellt am: Folie: 22

23 Kundencenter, TT und Projektaufträge Die Anzahl der PA ist 2012 auf 660 gestiegen Das Ausscheiden des Praktikanten wurde durch Fr. Hornbogner aufgefangen Arbeit im Kundencenter und in den Besprechungsbereichen durch Kaffeezone gestört Ziele 2013: Qualität KC halten Nutzenbewertung bei PAs Digitalisierung von analogen Aufzeichnungen Den erwarteten Kundennutzen und das Ergebnis aufzeichnen AUTOR: DI RUDOLF KÖLLER erstellt am: Folie: 23

24 Kennzahlen des Berechtigungscenters Ziele 2012: TOP-Qualität halten Übernahme SAP-Berechtigungsvergabe Übernahme DOMEA-Benutzerverwaltung Sensibilisierung der BAdmin, BSAG und FSB (Rechte und Pflichten incl. Verantwortung bzw. Bedeutung) Einbindung der Zentralen Benutzer Verwaltung in ein SSO System bzw. ILCM (FIM). AUTOR: DI RUDOLF KÖLLER erstellt am: Folie: 24

25 Verfügbarkeit der IT-Systeme des Landes Kärnten (Stand ) Erreichte Ziele 2012: Steigerung der Verfügbarkeit: Redundanz der Internetleitungen wurde hergestellt 2 * 60 MB (Klagenfurt und Villach). Ersatz der Laserstrecken durch Funk Vorbereitung Notfallrechenzentrum Villach Steigerung der Sicherheit: Trennung Drucker und PC Zone. Einsatz der Anwendungskontrolle am Proxy Server im Gastnetz. Aktivierung der Anwendungskontrolle des CITRIX NetScaler. Sensibilisierung der Systemverantwortlichen. Ziele 2012: Rollout Trusted Network Computing Ausbau Notfallrechenzentrum Villach Dataguard für Mobile Endgeräte AUTOR: DI RUDOLF KÖLLER erstellt am: Folie: 25

26 Leitprojekte 2013 (1) Bereich Projekt Anmerkung PL Plan Priorität Entwicklung Lohnzettel neu MUSS: ab 02/2014 SEPA-Beleg neu JKU (Vollbetrieb) 1,00 Entwicklung Dienstreise Neu LAD-Leitprojekt JKU Ende ,00 Entwicklung WBF Kleinbau Hostablöse (Einsparung BK ) TST, RKA Ende ,00 Entwicklung WBF Großbau Hostablöse (Einsparung BK ) TST, RKA Ende ,00 Entwicklung WBF Ersterwerb Hostablöse (Einsparung BK ) TST, RKA Ende ,00 Entwicklung WBF Eigenmittelersatzdarlehen Hostablöse (Einsparung BK ) TST, RKA Ende ,00 Entwicklung DWH-Filemanager JKU Ende ,00 Entwicklung DWH KGF JKU Ende ,00 Entwicklung DPW-Personal PDOC JKU Ende ,00 Entwicklung Personalberichtswesen JKU Ende ,00 Entwicklung DPW-Pensionsrechner JKU Ende ,00 Entwicklung ZBV-Neu mit AD-Integration TST ,00 Entwicklung Anbinden Bilddatenbank an Fachapplikationen TST Ende ,00 Entwicklung Evaluierung Oracle-Betriebsinfrastruktur neu TST April ,00 Entwicklung Lehrerevidenz JKU Ende ,00 Entwicklung Jagd- und Fischereikarten TST Ende ,00 IBS SAP-Strategieprozeß weitertreiben RKÖ laufend 1,00 IBS Motorbootabgabe Hostablöse (Einsparung BK ) PWA Ende ,00 IBS Naturschutzabgabe Hostablöse (Einsparung BK ) PWA Ende ,00 IBS Nächtigungstaxe Hostablöse (Einsparung BK ) PWA Ende ,00 IBS Tourismusabgabe Hostablöse (Einsparung BK ) PWA April ,00 IBS Finanzberichte abhängig von neuem SAP-Entwickler PWA Plan ,00 IBS Sondertransportschnittstelle abhängig von neuem SAP-Entwickler PWA Plan ,00 IBS Produktkatalog und Formularwesen RKA Plan ,00 IBS/Domea Outputmanagement (prioritär) dzt. nur in Strafen, TAbg. und WBH WHE Ende ,00 IBS/Domea Skartierung Betriebsprojekt PST Mai ,00 IBS/Domea Stammdaten Analyse MST Ende ,00 IBS/Domea Posteingang WHE Ende ,00 IBS/Domea Scanstelle WHE Ende ,00 AUTOR: DI RUDOLF KÖLLER erstellt am: Folie: 26

27 Leitprojekte 2013 (2) Bereich Projekt Anmerkung PL Plan Priorität Systemtechnik Bitlocker Verschlüsselung bei Notebooks MPA Juni ,00 Systemtechnik Domänenmigration (KSN, AKL) Intergration KSN-Domain in AKL JJA Juni ,00 Systemtechnik Videokonferenzsystem Pilotbetrieb für SBA und Abt. 3 RKÖ Mai ,00 Systemtechnik Mobile Device Management Steigernung der Sicherheit MPA Ende ,00 Netzwerk Notfallrechenzentrum: Bauliche Maßnahmen Fertigstellen des RZ in Villach HKI April ,00 Netzwerk Notfallrechenzentrum: Trennung von vorhandenen Systemen Steigerung Ausfallssicherheit HKI laufend bis Ende ,00 Netzwerk Notfallrechenzentrum: Siedelung alte EVA Steigerung Ausfallssicherheit HKI Ende Juli ,00 Netzwerk Integration der Landwirtschaftlichen Fachschulen Netzwerkerweiterung HKI ,00 Netzwerk Rollout TNC (abteilungweise) IT-Sicherheit HKI laufend bis Ende ,00 Netzwerk IP-Adressanpassung an CC-Struktur Adaptierung HKI ,00 Netzwerk Crisam (Risikoreduktion) IT-Sicherheit Alle laufend bis Ende ,00 Netzwerk Backupkonzept überarbeiten IT-Sicherheit HKI ,00 Unterstützungsprozesse DPW-Batch Neu für alle Firmen Betriebsübenahme GKL ,00 Unterstützungsprozesse Urlaubsschein Rollout Berechtigungsvergabe GKL laufend bis Ende ,00 Unterstützungsprozesse SAP-Berechtigungsübernahme Neuübernahme GKL ,00 Unterstützungsprozesse QM-Punkte erledigen QM GKL Ende ,00 AUTOR: DI RUDOLF KÖLLER erstellt am: Folie: 27

28 AUTOR: DI RUDOLF KÖLLER erstellt am: Folie: 28

29 IT-Sicherheitsmanagement Allgemeines Komponenten der IT-Sicherheit Sicherheitssensibilisierung, besondere Sicherheitsrisiken Umgang mit Social Media (Facebook und Co) Was kann und soll der Mitarbeiter zur IT-Sicherheit beitragen? AUTOR: DI RUDOLF KÖLLER erstellt am: Folie: 29

30 Begriffsbestimmungen Cybercrime: Internetbetrug Ausspähen von Daten Verbreitungsverbot Jugendmedienschutz Identitätsdiebstahl Urheberrechtsverletzung Cyber-Mobbing Volksverhetzung Kinderpornographie Cyberterrorismus Cyberwar Thesen: Datensicherheitsprobleme sind nicht neu (Karteikasten!) Der Mensch ist die Schwachstelle Sicherheit heißt: Schwachstellen erkennen und beseitigen Internet ist ein rechtsfreier Raum Die Bösen sind immer eine Nasenlänge voraus Cybercrime Studie von Symantec (2011) (http://de.norton.com/cybercrimereport) Durch Internet-Kriminalität entstand Symantecs aktuellem Cybercrime Report 2011 zufolge in den vergangenen zwölf Monaten in Deutschland ein direkter finanzieller Schaden in Höhe von insgesamt 16,4 Milliarden Euro. Weltweit belief sich der Schaden auf 114 Milliarden Dollar beziehungsweise 388 Milliarden Dollar inklusive des eingerechneten Zeitverlustes. Zusammengenommen entspreche der Schaden dem Wert des weltweiten Drogenhandels, so Symantec in seiner Studie. AUTOR: DI RUDOLF KÖLLER erstellt am: Folie: 30

31 Geräteverlust ist ein hohes Sicherheitsrisiko! Verlorene Geräte in Taxis: Studie von Pointsec in Chicago und London Anzahl verlorener Geräte allein in Taxis nach 6 Monaten Handys PDAs/Pocket PCs Laptops! Verlorene Geräte auf Flughäfen: Studie für Dell von Ponemon Institut durchgeführt Untersuchung an 8 der größten EU FlughäfenShiphol, Charles de Gaulle Laptops/Woche gestohlen oder vergessen 3.300/Woche = 471,5/Tag = 19,6/Stunde Das entspricht alle 3 Minuten ein Gerät! AUTOR: DI RUDOLF KÖLLER erstellt am: Folie: 31

32 Cyberkriminalität ist ein Geschäft In den guten alten Zeiten ging es um die Ehre! Malware schreiben wurde sportlich gesehen Wettkampf: Wer entwickelt coolere Viren Heute gilt Make Money egal wie Gezahlt wird für jede Art von Daten Erpressung -> Denial of Service, Online Banking Trojaner, Phishing, SPAM Kreditkartennummern, Botnets, Onlinebanking-Zugängen, Logins für Online- Shopping (ebay, Amazon), virtuelles Geld wie Paypal, persönliche Daten, etc Facebook! AUTOR: DI RUDOLF KÖLLER erstellt am: Folie: 32

33 Sicherheitssensibilisierung (1) Neuen Mitarbeiterinnen / Mitarbeitern müssen interne Regelungen, Gepflogenheiten und Verfahrensweisen im IT-Einsatz bekannt gegeben werden. Vorstellungen aller Ansprechpartner/innen, insbesondere zu IT Sicherheitsfragen. Erläuterung der hausinternen Regelungen und Vorschriften zur IT Sicherheit und der organisationsweiten Sicherheitspolitik. Durch unsachgemäßen Umgang mit IT Anwendungen hervorgerufene Schäden können vermieden werden, wenn die Benutzer/innen eingehend in die IT Anwendungen eingewiesen werden. Umfassende IT Sicherheit kann nur dann gewährleistet werden, wenn alle beteiligten und betroffenen Personen einen angemessenen Kenntnisstand über IT Sicherheit allgemein und insbesondere über die Gefahren und Gegenmaßnahmen in ihren eigenen Arbeitsgebiet haben AUTOR: DI RUDOLF KÖLLER erstellt am: Folie: 33

34 Sicherheitssensibilisierung (2) Die überwiegende Zahl von Schäden im IT Bereich entsteht durch Nachlässigkeit. Das richtige Verhalten bei Auftreten eines Virus auf einem PC. Der richtige Einsatz von Zugangscodes und Zugangskontrollmedien. Die Bedeutung von Datensicherung und deren Durchführung. Der geregelte Ablauf eines Datenträgeraustausches. Der Umgang mit personenbezogenen Daten. Die Einweisung in Notfallmaßnahmen. Richtiges Verhalten bei Auftreten von Sicherheitsproblemen. Vorbeugung gegen Social Engineering. AUTOR: DI RUDOLF KÖLLER erstellt am: Folie: 34

35 IT-Sicherheit Überblick Elemente des IT-Sicherheitsmanagements [1] Sicherheitspolitik [2] Sicherheitsorganisation [3] Klassifizierung von Vermögenswerten [4] Personalsicherheit [5] Physische Sicherheit [6] Sicherheit von Kommunikation und Betrieb [7] Zugriffskontrolle [8] Sicherheit bei Systementwicklung und Wartung [9] Aufrechterhaltung der Betriebsbereitschaft [10] Einhaltung von Sicherheitsvorschriften AUTOR: DI RUDOLF KÖLLER erstellt am: Folie: 35

36 QISMS Pyramide Plan Act ISO 9001 Qualitätsmanagement Organisation General Ebene Leitbild Generalpolicy Strategie Meta Ebene ÖN Informationssicherheitsmanagement Risikoanalyse SLA s Prozesse Policies Detail Ebene Detail SLA s Detail Prozesse Detail Policies Do Check AUTOR: DI RUDOLF KÖLLER erstellt am: Folie: 36

37 Generalpolicy des Landes Kärnten Allgemein Diese Generalpolicy dient der Festlegung allgemein gültiger Grundsätze, Ziele und Verfahren des Informationssicherheitsmanagements für das IT-System des Landes Kärnten. Sie wurde im Rahmen der Einführung eines integrierten Informationssicherheits- und Qualitätsmanagementsystems erstellt und wird im Rahmen dieser Normen gewartet. Quellenhinweis Die ÖNORM A 7799 / ISO Informationssicherheitsmanagementsysteme und ISO 9000:2000 Qualitätsmanagementsysteme bilden die Basis dieser Generalpolicy. Durch dieses Dokument soll auch den Anforderungen des geltenden Datenschutzgesetzes 0 (DSG 2000), insbesondere im Hinblick auf die zu setzenden Datensicherheitsmaßnahmen, Rechnung getragen werden. Zu finden im RIS Adressaten Im Wege eines Erlasses für das Amt der Kärntner Landesregierung (AKL) und die Bezirkshauptmannschaften (BH). Weiters müssen sich auch andere Nutzer des IT-Systems des Landes Kärnten wie die Agrarbezirksbehörde (ABB) Klagenfurt und ABB Villach, oder sonstige Nutzer des IT-Systems des Landes Kärnten wie ausgegliederte Rechtsträger oder Vereine zur Einhaltung dieser Grundsätze, wie etwa durch Vereinbarungen mit der Ladion EDV, verpflichten. AUTOR: DI RUDOLF KÖLLER erstellt am: Folie: 37

38 Räumliche Zutrittsregelung Sicherheitszone A Rechnerraum, zentrale Netzwerkteile Sicherheitszone B PC-Standorte Sicherheitszone C Heimarbeitsplätze und mobile Arbeitsplätze Schutz gegen Diebstahl PCs- / Notebooks / Drucker sind nicht versichert Festlegung von Sicherheitsklassen und Stufen Klassifizierung von personenbezogenen Daten: indirekt personenbezogenen Daten direkt personenbezogene Daten Sensible Daten Betriebsverfügbarkeit Redundanter Standort Keine Vorsorge (Unkritisch) Offline Sicherung - Notfallordner Redundante Infrastruktur Generalpolicy (Regelungen 1) AUTOR: DI RUDOLF KÖLLER erstellt am: Folie: 38

39 Generalpolicy (Regelungen 2) Grundsätzliches zu Hard- und Software Netzwerksicherheit und Datenkommunikation CNC + VPN, CNC Gemeinden, KSN Zulässige Hard- und Software Software darf nicht dupliziert werden Nicht Standardsoftware Gerätewechsel oder Arbeitsplatzwechsel Firewall, Virenchecker, Proxy Server, Mail Server Hardware wird über den Outsourcingpartner zur Verfügung gestellt Dienstliche Daten bleiben stets im Eigentum des Landes Die Endgeräte (PC, Notebook, etc.) werden vom AKL den Dienstnehmern zur Ausübung der dienstlichen Tätigkeiten überlassen. Die Geräte und Dateninhalte bleiben Eigentum des AKL. Es ist autorisierten Personen (Mitarbeiter der Ladion EDV, des Outsourcingpartner oder der Amtsinspektion) in Absprache mit dem Dienstnehmer jederzeit zu ermöglichen, die Endgeräte auszutauschen, Daten zu löschen und erforderlichenfalls in die Dateninhalte des Rechners Einsicht zu nehmen. Folgende Grundsätze sind dabei zu beachten: Grundsatz der größtmöglichen Beschränkung bei der Einsicht oder Verfügung über Daten Dateneinsicht oder -verfügung ausschließlich zur Wahrung dienstlicher Interessen Beachtung der Vorgaben des Datenschutzes bei der Verwendung personenbezogener Daten AUTOR: DI RUDOLF KÖLLER erstellt am: Folie: 39

40 Generalpolicy (Regelungen 3) Das Berechtigungssystem Authentisierung (Bin ich der, der ich vorgebe zu sein?) Ausloggen / Bildschirmschoner Generelle Regelungen zu Passwörtern» Keine Trivialpasswörter (12345, ABC, Geburtsdatum, KFZ KZ)» Klein- / Großbuchstaben + 1 Sonderzeichen» Keine Einsicht bei Passworteingabe» Keine Programmierung auf Funktionstasten Stellvertreterregelung Autorisierung (Rechteverwaltung) (Darf ich das, was ich tue; bin ich autorisiert?) Abwicklung durch das IT_Berechtigungscenter Rechte für Anwendungen ZBV / Portal Rechte für Datenspeicherung, Fileserver / Domainkonzept AUTOR: DI RUDOLF KÖLLER erstellt am: Folie: 40

41 Generalpolicy (Regelungen 4) Datensicherung - Personalcomputer (Sicherheitszonen B und C) Sonstiges Bei vernetzten PC sind dienstliche Daten am Server abzuspeichern und daher am PC nicht gesondert zu sichern In allen anderen Fällen (auch Individual-Programme) sind die Fachabteilungen für das Sicherungskonzept verantwortlich. (z. B. Daten auf USB Stick). Siehe auch Organisatorische Maßnahmen, EndgerätewechselDomänenkonzept Eigene Dateien Protokollierung Das Datenschutzgesetz führt als Datensicherheitsmaßnahme auch die Protokollierung von Datenverwendungsvorgängen insbesondere bei Änderungen, Abfragen und Übermittlungen an. Jede Datenanwendung, mit welcher personenbezogene Daten verarbeitet werden (sollen), ist unter Bedachtnahme auf 14 Abs. 2 DSG 2000 (Abwägung der technischen Möglichkeiten, der Wirtschaftlichkeit und des damit verbundenen Schutzzweckes) auf Protokollierungserfordernisse hin zu prüfen. Internetzugriffskontrolle Sicherungsmaßnahmen beim Ausscheiden von Datenträgern Beim Ausscheiden von Datenträgern sind Vorkehrungen gegen eine missbräuchliche Datenverwendung zu treffen. Sicherheitsvorfälle Maßnahmen für den Notfall AUTOR: DI RUDOLF KÖLLER erstellt am: Folie: 41

42 Vorstellung der Handysignatur Was ist die Handysignatur? Die Handysignatur ist ein elektronischer Ausweis (Identität) Die Handysignatur ist eine qualifizierte elektronische Signatur, die mittels Mobiltelefon auf ein.pdf-dokument aufgebracht werden kann Die Handysignatur ist bei vielen Banken eine komfortable Möglichkeit um ohne TAN-Zettel sicheres Telebanking zu betreiben Es fallen für die Aktivierung und die Nutzung der Handy-Signatur keine Kosten an. Einsatzbereiche der Handysignatur: Telebanking Signieren von Online-Anträgen Signieren von.pdf-dokumenten Zugriff auf Versicherungsdaten Zugriff auf Bürgerkartenanwendungen (ZMR-Abfrage ) Zugang zu Finanz-Online Zugang zum Bezugsnachweis (und in der Folge auch zu anderen Mitarbeiterinformationen z.b. Nebengebührenwerten) AUTOR: DI RUDOLF KÖLLER erstellt am: Folie: 42

43 Wie kommt man zur Handysignatur? 4. Kaum verbreitet, unpraktisch 3. Besuch in der Registrierungsstelle nötig 1. Die einfachste und komfortabelste Form 2. Voraussetzung: Bestimmte Geldinstitute AUTOR: DI RUDOLF KÖLLER erstellt am: Folie: 43

44 Handysignatur Linksammlung und Demo https://www.handy-signatur.at (beste Info zu Anmeldemöglichkeiten Anmelden) https://finanzonline.bmf.gv.at (einfachste Aktivierung) https://portal.ktn.gv.at (Landesportal) Einfachste Aktivierung AUTOR: DI RUDOLF KÖLLER erstellt am: Folie: 44

45 Leitfaden für verantwortungsvolle Kommunikation im WEB 2.0 und in sozialen Medien AUTOR: DI RUDOLF KÖLLER erstellt am: Folie: 45

46 Was sind Social Media? Soziale Netzwerke und Gemeinschaften (Communities) im WEB Persönliche Informationen, Daten, Meinungen, Eindrücke und Erfahrungen werden ausgetauscht Jeder kann aktiv mit anderen in Beziehung treten Inhalte werden gemeinsam erstellt, bearbeitet, kommentiert und weitergeleitet AUTOR: DI RUDOLF KÖLLER erstellt am: Folie: 46

47 Nutzungsformen von Social Media (das Dienstrecht ist die Basis für den Umgang mit WEB 2.0!) Art der Nutzung Private Nutzung Dienstlicher Wissenserwerb, Fachdiskussion Rolle Privatperson Fachreferentin bzw. Fachreferent Zu beachtende Gesetze Öffentlichkeitsarbei t Offizielle Auskunftsperson des Landes Kärnten in sozialen Medien Sozialen Medien Dienstordnung, Amtsverschwiegenheit, Datenschutz, Copyright Zweck/Funktion Private Kommunikation Dienstlicher Wissenserwerb, fachlicher Austausch Beauftragung/Erlaubnis Keine Ob eine Meldung oder Beauftragung durch die Dienststellenleitung notwendig ist, hängt von der Dienststelle ab Dienstlich, Öffentlichkeitsarbeit für das Land Kärnten Beauftragung durch die Dienststellenleitung Nutzungszeit Außerhalb der Dienstzeit (Freizeit) In der Dienstzeit In der Dienstzeit AUTOR: DI RUDOLF KÖLLER erstellt am: Folie: 47

48 Art der Nutzung Private Nutzung Dienstlicher Wissenserwerb, Fachdiskussion Öffentlichkeitsarbeit Technische Ausstattung Private Geräte Dienstliche Geräte Dienstliche Geräte Hinweis auf den Dienstgeber Kein Hinweis auf Dienstgeber im Profil Hinweis auf Dienstgeber im Profil Hinweis auf Dienstgeber im Profil Signatur Keine dienstliche Dienstliche Signatur Dienstliche Signatur Dienstliche Signatur Name Anonym, Nickname, eigener Name oder Mischform aus beiden Angabe des eigenen Namens Angabe des eigenen Namens und/oder der Behörde -Adresse Private -Adresse Dienstliche -Adresse Dienstliche -Adresse Gestaltung des Profils Privat (unter Beachtung des Dienstrechtes) Keine privaten Informationen Keine privaten Informationen Umgangston Netikette beachten, respektvoller, nicht diskriminierender, höflicher Umgangston Gepostete Inhalte Private Meinung Persönliche Meinung zurück stellen, fachlicher Austausch steht im Vordergrund Persönliche Meinung zurück stellen, Redaktionsplan steht im Vordergrund Für die kommunizierten Inhalte (Texte, Fotos, Videos, Musik) gilt: Bedienstete haben im Dienst und außer Dienst alles zu vermeiden, was die Achtung und das Vertrauen, die ihrer Stellung entgegengebracht werden, untergraben könnte (Dienstrecht) Copyright und Urheberrechte gelten selbstverständlich auch für gepostete Inhalte AUTOR: DI RUDOLF KÖLLER erstellt am: Folie: 48

49 Allgemeine Grundregeln Das Netz vergisst nie und nichts Schützen Sie Ihre Privatshäre Kommunizieren Sie verantwortungsvoll Beachten Sie das Copyright Wahren Sie unbedingt das Amtsgeheimnis und den Datenschutz Respektieren Sie die Marke Land Kärnten Geplante Veröffentlichung: Leitfaden für die verantwortungsvolle Kommunikation im WEB 2.0 und in Sozialen Medien (Für alle Mitarbeiter) Leitfaden für die Öffentlichkeitsarbeit von Dienststellen im Web 2.0 und in Sozialen Medien AUTOR: DI RUDOLF KÖLLER erstellt am: Folie: 49

50 Herzlichen Dank für Ihre Aufmerksamkeit! AUTOR: DI RUDOLF KÖLLER erstellt am: Folie: 50

51 Abteilung 1 (Kom petenzzentrum Landesam tsdirektion) Betreff: Datum: Zahl: LAD-IT_QM-0/ (Bei Eingaben bitte Geschäftszahl anführen!) Sicherheitspolitik für das IT-System des Landes Kärnten ( Generalpolicy ) Auskünfte: DI. Rudolf Köller, Harald Kiko Telefon: Fax: Sicherheitspolitik für das IT- System des Landes Kärnten ( Generalpolicy ) K l a g e n f u r t a m W ö r t h e r s e e, M i e ß t a l e r S t r a ß e 1 D V R I n T R A n e t : h t t p : / / i n t r a n e t. k t n. g v. a t / l a d i o n - e d v AUTOR: Harald Kiko, Rudolf Köller, Walter Hetzendorf erstellt am: :11:00 DOKUMENT: e6.doc Seite: 1 von 18

52 Sicherheitspolitik für das IT-System des Landes Kärnten ( Generalpolicy ) Inhalt 1 Allgemeines Einleitung Quellenhinweise Adressaten Ziele und Grundsätze Allgemeine Beschreibung Regelungen Räumliche Zutrittsregelungen Sicherheitszone A Rechnerraum, zentrale Netzwerkteile Sicherheitszone B PC-Standorte Sicherheitszone C Heimarbeitsplätze und mobile Arbeitsplätze Schutz gegen Diebstahl Festlegung von Sicherheitsklassen und Stufen Betriebsverfügbarkeit Grundsätzliches zu Hard- und Software Netzwerksicherheit und Datenkommunikation Zulässige Hard- und Software Registrierung beim Datenverarbeitungsregister (DVR) Organisatorische Maßnahmen Qualitäts- und Informationssicherheitsmanagementsystem der LADion IT Organisatorische Maßnahmen in den Organisationseinheiten Gerätewechsel oder Arbeitsplatzwechsel Berechtigungssystem Autorisierung (Rechteverwaltung) Authentisierung Allgemeine Regelung für Konten und Passwörter Datensicherung Sicherungskonzept und Archivierungskonzept Sicherung von Personalcomputern (Sicherheitszonen B und C) Sonstiges Protokollierung Sicherungsmaßnahmen beim Ausscheiden von Datenträgern Ergebniskontrolle Sicherheitsvorfälle Maßnahmen für den Notfall ISMS, QM, Audit, KVP, Managementbewertung Sanktionen Verweise Verweis auf Dokumente Verweis auf Detailpolicies Verweis auf Prozesse Verweis auf Notfallpläne, Notfallanweisungen Begriffsbestimmungen / Abkürzungen Änderungsprotokoll K l a g e n f u r t a m W ö r t h e r s e e, M i e ß t a l e r S t r a ß e 1 D V R I n T R A n e t : h t t p : / / i n t r a n e t. k t n. g v. a t / l a d i o n - e d v AUTOR: Harald Kiko, Rudolf Köller, Walter Hetzendorf erstellt am: :11:00 DOKUMENT: e6.doc Seite: 2 von 18

53 Sicherheitspolitik für das IT-System des Landes Kärnten ( Generalpolicy ) 1 Allgemeines 1.1 Einleitung Diese Generalpolicy dient der Festlegung allgemein gültiger Grundsätze, Ziele und Verfahren des Informationssicherheitsmanagements für das IT-System des Landes Kärnten. Sie wurde im Rahmen der Einführung eines integrierten Informationssicherheits- und Qualitätsmanagementsystems erstellt und wird im Rahmen dieser Normen gewartet. Begriffsbestimmungen sind den gesetzlichen Grundlagen zu entnehmen bzw. werden am Ende dieses Dokumentes definiert. 1.2 Quellenhinweise Die ISO 27001:2005 Informationssicherheitsmanagementsysteme und ISO 9001:2008 Qualitätsmanagementsysteme bilden die Basis dieser Generalpolicy. Durch dieses Dokument soll auch den Anforderungen des geltenden Datenschutzgesetzes (DSG 2000), insbesondere im Hinblick auf die zu setzenden Datensicherheitsmaßnahmen, Rechnung getragen werden. Zu finden im RIS 1.3 Adressaten Die Erstellung und Wartung dieses Dokumentes erfolgt durch die Abteilung 1 (Kompetenzzentrum Landesamtsdirektion) - Informationstechnologie im Amt der Kärntner Landesregierung, in weiterer Folge kurz als LADion IT bezeichnet. Dieses Dokument ist für folgende Landesorganisationen gültig: 1. Im Wege eines Erlasses für die Dienststellen der Kärntner Landesverwaltung. 2. Weiters müssen sich auch andere Nutzer des IT-Systems des Landes Kärnten wie ausgegliederte Rechtsträger oder Vereine zur Einhaltung dieser Grundsätze, wie etwa durch Vereinbarungen mit der LADion IT, verpflichten. 1.4 Ziele und Grundsätze Erhöhung der Sensibilität und des Sicherheitsbewusstseins beim Umgang mit dienstlichen Informationen. Einführung und Aufrechterhaltung eines Informationssicherheitsmanagementsystems (ISMS) integriert in das Qualitätsmanagementsystem (QMS) in der LADion IT. Festlegung von Aufgaben, Befugnissen und Verantwortlichkeiten und ständige Weiterentwicklung des Systems. Entsprechend den Leitgedanken der LADion IT wird eine zeitgemäße, funktionierende und geschützte IT-Infrastruktur bereitgestellt. Außerdem werden die EDV-Daten entsprechend verfügbar gehalten, geschützt, gesichert und archiviert. Die Risiken werden systematisch bewertet und den zuständigen Stellen (Referenten der Landesregierung) zur Entscheidung über entsprechende Gegenmaßnahmen vorgelegt. Vorrangig sollen diejenigen Maßnahmen umgesetzt werden, die dabei die höchste Effektivität und Effizienz erwarten lassen K l a g e n f u r t a m W ö r t h e r s e e, M i e ß t a l e r S t r a ß e 1 D V R I n T R A n e t : h t t p : / / i n t r a n e t. k t n. g v. a t / l a d i o n - e d v AUTOR: Harald Kiko, Rudolf Köller, Walter Hetzendorf erstellt am: :11:00 DOKUMENT: e6.doc Seite: 3 von 18

54 Sicherheitspolitik für das IT-System des Landes Kärnten ( Generalpolicy ) 1.5 Allgemeine Beschreibung Das IT-System wird durch die LADion IT und die IT Infrastruktur mit Hard und Software gebildet Die IT-Infrastruktur des Landes Kärnten wird aus dem gesamten Verbund aus Servern, Personal-Computern, Notebooks, Druckern, Scannern, etc., und Netzwerkkomponenten der Landesorganisationen gebildet. Ausgenommen davon sind das Schul- und Gemeindenetz. Die IT-Infrastruktur verbindet dabei einerseits die Standorte von Landesbehörden (z.b. AKL, BH) sowie anderen landesnahen Nutzern miteinander und unterhält andererseits vielfältige Verbindungen zur Außenwelt etwa zu anderen Behörden, dem Schul- und Gemeindenetz oder auch dem Internet. Dadurch erhöht sich zum einen die Komplexität der Strukturen innerhalb der IT-Infrastruktur, zum anderen aber wird es zunehmend notwendig, von außerhalb der IT-Infrastruktur auf Informationen zuzugreifen, die von Landesorganisationen angeboten werden, sei es von anderen Behörden oder auch von Firmen oder Bürgern (siehe auch E-Government - Initiative). Um den daraus resultierenden höchst unterschiedlichen Anforderungen unter Wahrung der Datensicherheit und des Datenschutzes gerecht zu werden, sind einander ergänzende Maßnahmen auf verschiedenen Ebenen zu treffen. Viele dieser Sicherheitsmaßnahmen lassen sich allerdings nicht alleine auf technischer Ebene verwirklichen, sondern müssen von geeigneten organisatorischen Maßnahmen begleitet werden. Darüber hinaus ist es auch notwendig, eine einheitliche Abwicklung verschiedener datenschutztechnischer Abläufe sicherzustellen. In den folgenden Kapiteln wird auf die einzelnen Datensicherheitsmaßnahmen näher eingegangen, wobei zu beachten ist, dass diese nie isoliert, sondern immer in Kombination angewandt werden ein erhöhtes Risiko auf der einen Seite muss durch erhöhte Sicherheitsmaßnahmen auf der anderen Seite wettgemacht werden. Befinden sich die Endpunkte von landeseigenen Datenleitungen etwa in ausschließlich dem Dienstbetrieb gewidmeten Räumen, so werden im Bereich der Authentisierung neben dem Einsatz von Benutzername/Kennwort (gegenwärtig) keine weiteren Maßnahmen erforderlich sein, weil man auf Grund der sonstigen Sicherheitsmaßnahmen z.b. räumliche Sicherheit, Passwortschutz mit hoher Wahrscheinlichkeit davon ausgehen kann, dass es sich tatsächlich um einen berechtigten Benutzer handelt. Wird ein Zugang andererseits von einem mobilen Gerät aus über öffentliche Netze hergestellt, so müssen weit strengere Maßnahmen zur Sicherstellung der Authentizität, aber etwa auch der Vertraulichkeit, getroffen werden. Dies erfolgt durch den Einsatz von geeigneten Verfahren. Unter Berücksichtigung aller relevanten Faktoren ist für jede Anwendung oder Kommunikationsform zu entscheiden, welche Maßnahmen zu treffen sind. Da insbesondere der Bereich der elektronischen Kommunikation sehr schnelllebig und ständigen Änderungen unterworfen ist, werden hier laufend Anpassungen notwendig sein. Zu diesem Zweck ist beabsichtigt, entsprechende Rahmenbedingungen (Detailpolicies) gesondert zu erstellen und zu veröffentlichen K l a g e n f u r t a m W ö r t h e r s e e, M i e ß t a l e r S t r a ß e 1 D V R I n T R A n e t : h t t p : / / i n t r a n e t. k t n. g v. a t / l a d i o n - e d v AUTOR: Harald Kiko, Rudolf Köller, Walter Hetzendorf erstellt am: :11:00 DOKUMENT: e6.doc Seite: 4 von 18

55 Sicherheitspolitik für das IT-System des Landes Kärnten ( Generalpolicy ) 2 Regelungen 2.1 Räumliche Zutrittsregelungen Je nach Art und Umfang der vorhandenen Daten sind unterschiedliche Vorkehrungen und Maßnahmen zur Absicherung zu treffen. Es handelt sich primär um organisatorische und bauliche Maßnahmen, die zusammen mit den anderen Bestimmungen eine wirkungsvolle Abschirmung schutzwürdiger Daten gewährleisten. Die erforderlichen Vorkehrungen und Maßnahmen für Räume mit IT-Infrastruktur werden in so genannte Sicherheitszonen zusammengefasst Sicherheitszone A Rechnerraum, zentrale Netzwerkteile Räume, die zur Sicherheitszone A gehören, sind grundsätzlich mit einem Zutrittssystem zu sichern. Eine Aufstellung von Rechnern oder zentralen Netzwerkteilen in einem Raum, der auch anderen Zwecken dient, ist nur dann zulässig, wenn spezielle örtliche Gegebenheiten eine andere Aufstellung nicht zulassen oder wenn eine andere Aufstellung nur unter unverhältnismäßig hohem wirtschaftlichen Aufwand möglich wäre. In diesem Fall ist zumindest ein sperrbarer Netzwerkschrank vorzusehen. Besonders ist darauf Bedacht zu nehmen, keine Räumlichkeiten mit Parteienverkehr zu wählen. In jedem Fall ist in besonderem Maße dafür Sorge zu tragen, dass ein unberechtigter Zugriff verhindert wird, etwa dadurch, dass sämtliche in dem betreffenden Raum aufgestellten Konsolen - insbesondere zu Abteilungsservern - ausnahmslos in ausgeloggtem Zustand hinterlassen werden. Ohne Begleitung zu diesen Räumen sind zutrittsberechtigt: die von der in Betracht kommenden Landesorganisation ermächtigten Personen (SysVA); die zu den zentralen Rechenanlagen ohne Begleitung zutrittsberechtigten Personen (Netzwerktechnik); Sonstige Personen (Mitarbeiter von Wartungsfirmen, Handwerker usw.) haben nur in Begleitung einer berechtigten Person Zutritt und Aufenthalt. Sollte eine Anlage mehreren Organisationen zur Verfügung stehen, so haben alle diese Organisationen ein Verzeichnis der Zutrittsberechtigten zu führen. Die Namen der Zutrittsberechtigten sind jener Organisation, in der sich die Anlage befindet, mitzuteilen. Diese Organisation hat ein Verzeichnis aller Personen, die ohne Begleitung zutrittsberechtigt sind, zu führen. Ziel ist es, dezentrale Rechenanlagen (Server) aufzulassen Sicherheitszone B PC-Standorte Die Räumlichkeiten der Sicherheitszone B (PC Standorte) sind durchwegs dem Dienstbetrieb gewidmet; sie sind durch jeweils geeignete Maßnahmen vor dem Zutritt unbefugter Personen zu schützen. Die Aufstellung von EDV-Geräten, insbesondere Bildschirmen, bzw. deren Betrieb hat unter Bedachtnahme darauf zu erfolgen, dass außenstehende Personen, wie Parteien, Zeugen, Angehörige, Wartungstechniker und sonstige Unbefugte, deren Eintritt in K l a g e n f u r t a m W ö r t h e r s e e, M i e ß t a l e r S t r a ß e 1 D V R I n T R A n e t : h t t p : / / i n t r a n e t. k t n. g v. a t / l a d i o n - e d v AUTOR: Harald Kiko, Rudolf Köller, Walter Hetzendorf erstellt am: :11:00 DOKUMENT: e6.doc Seite: 5 von 18

56 Sicherheitspolitik für das IT-System des Landes Kärnten ( Generalpolicy ) die betreffenden Räumlichkeiten durch den Dienstbetrieb notwendig wird, nicht Einblick in schützenswerte Datenbestände erhalten (etwa durch entsprechende Aufstellung der Geräte und Vorkehrungen bei der Möblierung). Datenträger (USB-Sticks, CDs, DVDs, EDV-Listen und dgl.) sind gegen unbefugte Einsichtnahme und Benützung sowie gegen Diebstahl zu sichern. Es ist darauf zu achten, dass der PC im ausgeloggten Zustand beim Verlassen des Arbeitsplatzes hinterlassen wird. Zu beachten ist auch, dass EDV-Ausdrucke mit schützenswerten Daten ebenfalls unter diese Vorschrift fallen Sicherheitszone C Heimarbeitsplätze und mobile Arbeitsplätze Sowohl für stationäre Heimarbeitsplätze als auch für mobile Geräte (Notebooks etc.) gelten die Bestimmungen der Sicherheitszone B sinngemäß. Da hier nicht davon ausgegangen werden kann, dass sich in den fraglichen Räumlichkeiten nur berechtigte Personen aufhalten bzw. darauf kein Einfluss genommen werden kann, ist in besonderem Maße darauf zu achten, dass Unbefugte keinerlei Zugriff auf schützenswerte Daten (am Bildschirm, auf der Festplatte oder sonstigen Datenträgern ) haben Schutz gegen Diebstahl Grundsätzlich ist bei allen Geräten (insbesondere bei mobilen Geräten) für einen ausreichenden Schutz gegen Diebstahl zu sorgen. Es wird in diesem Zusammenhang darauf hingewiesen, dass Geräte des Outsourcing nur gegen Einbruch, nicht jedoch gegen Diebstahl versichert sind! Festlegung von Sicherheitsklassen und Stufen Klassifizierung von personenbezogenen Daten Werden personenbezogene Daten verarbeitet, so sind die Daten auch dahingehend zu klassifizieren. Die nachfolgende Klassifizierung erfolgt in Anlehnung an das Datenschutzgesetz (DSG 2000), BGBl. I Nr. 165/1999 idgf. INDIREKT PERSONENBEZOGENE DATEN: Der Personenbezug der Daten kann mit rechtlich zulässigen Mitteln nicht bestimmt werden. (geringere Schutzwürdigkeit gegeben; z.b. bei ausschließlicher Verwendung der Personalzahl). DIREKT PERSONENBEZOGENE DATEN: Angaben über Betroffene, deren Identität bestimmt oder bestimmbar ist (größere Schutzwürdigkeit bei Verwendung des Namens). Anmerkung: Betroffener ist jede vom Auftraggeber verschiedene natürliche oder juristische Person oder Personengemeinschaft, deren Daten verwendet werden. SENSIBLE DATEN: Daten natürlicher Personen über deren rassische und ethnische Herkunft, politische Meinung, Gewerkschaftszugehörigkeit, religiöse oder philosophische Überzeugung, Gesundheit oder Sexualleben K l a g e n f u r t a m W ö r t h e r s e e, M i e ß t a l e r S t r a ß e 1 D V R I n T R A n e t : h t t p : / / i n t r a n e t. k t n. g v. a t / l a d i o n - e d v AUTOR: Harald Kiko, Rudolf Köller, Walter Hetzendorf erstellt am: :11:00 DOKUMENT: e6.doc Seite: 6 von 18

57 Sicherheitspolitik für das IT-System des Landes Kärnten ( Generalpolicy ) Es bleibt festzuhalten, dass lediglich die oben aufgelisteten Informationen als sensible Daten im Sinne des DSG 2000 anzusehen sind (besondere Schutzwürdigkeit, höchster Sicherheitsanspruch!). Für die Klassifizierung von Daten ist die jeweilige Fachabteilung verantwortlich. In Zweifelsfällen ist mit dem Datenschutzbeauftragten der Abteilung 1 Amtsinspektion Innenrevision Rücksprache zu halten. Zur Meldepflicht von Datenanwendungen an das DVR: Siehe Registrierung beim Datenverarbeitungsregister (siehe Kapitel 2.2.3). Verfügbarkeitsklassifizierung von IT-Anwendungen und Systemen (lt. SHB Teil2) Ziel ist es, die Verfügbarkeit der wichtigsten Applikationen und Systeme innerhalb eines definierten Zeitraumes zu gewährleisten sowie Vorkehrungen zur Schadensbegrenzung im Katastrophenfall zu treffen ("Gewährleistung eines kontinuierlichen Geschäftsbetriebes"). Zukünftig wird nachfolgende Betriebsverfügbarkeitskategorisierung vorgenommen. Betriebsverfügbarkeitskategorie 1 Keine Vorsorge (unkritisch): Für die IT-Anwendung werden keine besonderen Vorkehrungen getroffen. Es ist ein Datenverlust bzw. Ausfall der IT-Anwendung unbestimmter Dauer denkbar. Eine Behinderung in der Wahrnehmung der Aufgaben der betroffenen Verwaltungsstelle entsteht durch den Ausfall bzw. Datenverlust nicht. Betriebsverfügbarkeitskategorie 2 Offline Sicherung: Es sind die gängigen Sicherungsmaßnahmen für die IT-Anwendung vorgesehen, ein Datenverlust ist auszuschließen. Die IT-Anwendung kann bei technischen Problemen erst nach deren Behebung am ursprünglichen Produktivsystem in Betrieb genommen werden. Die Sicherung wird an einen externen Ort ausgelagert. Betriebsverfügbarkeitskategorie 3 Redundante Infrastruktur: Die Infrastruktur für die IT-Anwendung ist derart ausgelegt, dass bei Ausfall einer ITKomponente der Betrieb durch redundante Auslegung ohne Unterbrechung fortgesetzt werden kann. Betriebsverfügbarkeitskategorie 4 Redundanter Standort: Das IT-Infrastruktur sowie die darauf aufsetzende IT-Anwendung ist auf zwei Standorte verteilt, so dass bei Betriebsunterbrechung des einen Standortes die IT-Anwendung uneingeschränkt am zweiten Standort weiter betrieben werden kann. Zusätzlich zu den vier genannten Kategorien ist noch die Zusatzqualität K-Fall Sicher definiert, welche auch die Anforderungen im Katastrophenfällen berücksichtigt: K-Fall sicher (K2 bis K4): Die IT-Anwendung ist derart konzipiert, dass zumindest ein Notbetrieb in einer Zero-Risk- Umgebung möglich ist. Dazu werden die Daten je nach Aktualisierungsgrad laufend in die Zero-Risk-Umgebung transferiert und der Betrieb der IT-Anwendung derart gestaltet, dass ein Wiederaufsetzen eines definierten Notbetriebes in der Zero-Risk-Umgebung umgehend möglich ist. Eine Einbindung der Zero-Risk-Umgebung in den Normalbetrieb ist je nach Sensibilität vorgesehen K l a g e n f u r t a m W ö r t h e r s e e, M i e ß t a l e r S t r a ß e 1 D V R I n T R A n e t : h t t p : / / i n t r a n e t. k t n. g v. a t / l a d i o n - e d v AUTOR: Harald Kiko, Rudolf Köller, Walter Hetzendorf erstellt am: :11:00 DOKUMENT: e6.doc Seite: 7 von 18

58 Sicherheitspolitik für das IT-System des Landes Kärnten ( Generalpolicy ) In Summe ergibt eine derartige Einstufung die Verfügbarkeitsklassen 1 bis 4 und K2 bis K4. Die Zusatzoption K-Fall sicher in Verbindung mit Betriebsverfügbarkeitskategorie 1 ist nicht sinnvoll. Für die Klassifizierung von IT-Anwendungen und Systemen ist die LADion IT verantwortlich Betriebsverfügbarkeit Zur Aufrechterhaltung der Betriebsverfügbarkeit werden die entsprechenden Maßnahmen im Rahmen des ISMS umgesetzt. Es werden dazu die notwendigen Bewertungen durchgeführt. Daraus resultierende Erfordernisse werden entsprechend den Dringlichkeiten und finanziellen Ressourcen umgesetzt 2.2 Grundsätzliches zu Hard- und Software Netzwerksicherheit und Datenkommunikation Das Landesnetz wird durch die zentralen Server und Netzwerkverbindungen, die durch die LADion IT betreut werden, gebildet. Der Kern des Landesnetzes besteht aus dem zentralen Backbone in Klagenfurt und den Standleitungen zu den Bezirksverwaltungsbehörden bzw. diverse Außenstellen, die über zentrale Einheiten der A1 und der Stadtwerke Klagenfurt, die unter Hoheit der LADion IT- Netzwerktechnik stehen, angeschlossen sind. Die Verbindungen innerhalb dieses Bereiches (Corporate Network Carinthia CNC) sind mittels eigener Leitungswege realisiert. Verbindungen über öffentliche Netze (Internet, Wählleitungen) sind nur in Ausnahmefällen und mit geeigneten Mitteln erlaubt (VPN Tunnel mit Verschlüsselung). Das so genannte Schulnetz (KSN) und das so genannte Gemeindenetz (CNC- Gemeinden) sind nicht Teil dieses Landesnetzes. Der unberechtigte Zugriff von außen und nach außen wird durch verschiedene technische Maßnahmen (Firewall, Proxyserver, Virenchecker, Mailserver, etc.) verhindert. Daneben sind aber auch innerhalb der IT-Infrastruktur Vorkehrungen (etwa Subnetzbildung) zu treffen, die nach dem aktuellen Stand der Technik geeignet sind, das mit elektronischer Kommunikation verbundene Risiko zu minimieren. Ergänzt werden diese technischen Vorkehrungen durch parallele Maßnahmen im organisatorischen Bereich: Bei allen Verbindungen zum Landesnetz, die irgendwelcher zusätzlicher Sicherheitsvorkehrungen bedürfen, sind die Kommunikationspartner entweder durch Weisung (AKL oder BH) oder Verträge (andere Nutzer wie z.b. Vereine) bzw. durch entsprechende schriftliche Erklärungen zur Einhaltung aller notwendigen Sicherheitsbestimmungen zu verpflichten (siehe Vertragsmuster) Alle Verbindungen - sowohl zwischen Landesorganisationen als auch externen Kommunikationspartnern die sich des Landesnetzes bedienen, sind ausschließlich durch die LADion IT bzw. in Abstimmung mit dieser herzustellen. Die im Einzelfall geltenden besonderen Sicherheitsvorkehrungen, sind den Betroffenen zur Kenntnis zu bringen und in geeigneter Form zu publizieren. Externe Geräte (Geräte die nicht über die LADion IT beschafft werden) dürfen nur nach Rücksprache mit der LADion IT an das Landesnetz angeschlossen werden. (Siehe auch Zulässige Hard- und Software 2.2.2) K l a g e n f u r t a m W ö r t h e r s e e, M i e ß t a l e r S t r a ß e 1 D V R I n T R A n e t : h t t p : / / i n t r a n e t. k t n. g v. a t / l a d i o n - e d v AUTOR: Harald Kiko, Rudolf Köller, Walter Hetzendorf erstellt am: :11:00 DOKUMENT: e6.doc Seite: 8 von 18

59 Sicherheitspolitik für das IT-System des Landes Kärnten ( Generalpolicy ) Zulässige Hard- und Software Grundsätzlich darf nur jene Hard- und Software verwendet werden, die von der LADion IT (bzw. im Wege eines Outsourcingpartners) bereitgestellt wird. Insbesondere dürfen an Personalcomputern technische Veränderungen nur mit Zustimmung der LADion IT vorgenommen werden. Die bereitgestellte Software darf ohne Freigabe der LADion IT (im Wege eines Projektauftrages) - ausgenommen zur Datensicherung nicht dupliziert oder weitergegeben werden. Die Beschaffung von EDV-Hardware sowie die Entwicklung von Software, die nicht auf Landesstandard-Produkten basiert (sei es durch Landesorganisationen selbst oder durch Bedienstete in Eigeninitiative) sowie insbesondere deren dienstliche Verwendung sind an folgende Voraussetzungen gebunden: Die beabsichtigte Beschaffung oder Entwicklung ist der LADion IT zu melden. Vor Aufnahme des Vollbetriebes einer neuen Anwendung sind zudem auch die Vorgaben zur Meldung beim Datenverarbeitungsregister (DVR) zu beachten. Siehe Kapitel Dem Amt der Landesregierung muss die unbefristete Nutzung einer so beschafften oder entwickelten Software unentgeltlich für Amtszwecke überlassen werden. Jedenfalls stehen dienstliche Daten stets im Eigentum des Landes. Details über die Anschaffung und Verwendung von Hard- und Software sind in den in der Betriebsführung im Qualitätsmanagementsystem der LADion IT geregelt. Insbesondere sind die Policies für nicht durch die LADion IT beschaffte Hard- und Software zu beachten (inklusive privater Hard- und Software, welche Dienste des AKL nutzen) Registrierung beim Datenverarbeitungsregister (DVR) Der beabsichtigte Einsatz neuer Software (inklusive Eigenentwicklungen) wird von der LADion IT dem Datenschutzbeauftragten der Abteilung 1 Amtsinspektion - Innenrevision zur Kenntnis gebracht. Die Meldung einer Datenanwendung (Applikation) beim DVR hat durch die jeweilige Fachabteilung bzw. Bezirkshauptmannschaft zu erfolgen. Anschrift des DVR: 1010 Wien, Hohenstaufengasse 3; Telefon: Fax: Nicht meldepflichtige Standardanwendungen sowie so genannte Musteranwendungen, bei welchen eine vereinfachte Meldung vorgesehen ist, sind unter der Adresse aufgelistet und eingehend beschrieben. Das Herunterladen von Meldeformularen sowie die Meldung einer Anwendung über das Internet (Online) ist ebenfalls unter der genannten Web Page möglich K l a g e n f u r t a m W ö r t h e r s e e, M i e ß t a l e r S t r a ß e 1 D V R I n T R A n e t : h t t p : / / i n t r a n e t. k t n. g v. a t / l a d i o n - e d v AUTOR: Harald Kiko, Rudolf Köller, Walter Hetzendorf erstellt am: :11:00 DOKUMENT: e6.doc Seite: 9 von 18

60 Sicherheitspolitik für das IT-System des Landes Kärnten ( Generalpolicy ) 2.3 Organisatorische Maßnahmen Qualitäts- und Informationssicherheitsmanagementsystem der LA- Dion IT Die allgemeinen organisatorischen Maßnahmen der LADion IT werden in der QM- Systemdokumentation festgelegt (beispielsweise Regelungen zur Dokumentenverwaltung). Regelungen zur physikalischen Sicherheit oder Schlüsselverwaltung und operatives Sicherheitsmanagement werden in der ISMS-Systemdokumentation festgehalten Organisatorische Maßnahmen in den Organisationseinheiten Die Landesorganisationen als Nutzer des IT-Systems des Landes Kärnten (wie unter 1.3 festgelegt) haben durch entsprechende organisatorische Maßnahmen für eine ausreichende Datensicherheit zu sorgen (beispielsweise Aufgabenverteilung, Rechte und Pflichten, sowie Kompetenzen im Bereich der Datensicherheit und des Datenschutzes). Nachfolgende Fragen sollten sich dabei die Organisationseinheiten stellen: Wer darf welche Geräte benutzen? Wer ist für die Datensicherung und die Kontrolle der ordnungsgemäßen Durchführung zuständig? Wer hat Zugang zu den Datenträgern, die Sicherungskopien enthalten? Wer hat Zugang zu ausgelagerten Datenträgern (z.b. Bankschließfach)? Wer hat für die gegen unbefugte Einsichtnahme gesicherte Lagerung, Archivierung und allenfalls Vernichtung von Datenträgern zu sorgen? Wer ist in Bezug auf welche Daten zur Ermittlung, Verarbeitung, Benützung, Überlassung und Übermittlung (einschließlich der allenfalls erforderlichen Protokollierung der Übermittlung) ermächtigt? Wer ist für die Erteilung von Verarbeitungsaufträgen und die Überlassung von Daten zuständig? (Siehe auch EDV-Vorlage: Verpflichtungserklärung für Dienstleister) Wer ist für die fachliche Kontrolle der Verarbeitungsergebnisse zuständig? Wer außer dem Organisationsleiter ist ermächtigt, die vorstehenden Berechtigungen zu vergeben und zu verändern? (Siehe auch EDV-Prozess: Berechtigungsverwaltung und Autorisierung) Welche Maßnahmen sind zu treffen, wenn ein Mitarbeiter aus einem Projekt oder auf Dauer aus der Organisation ausscheiden (Berechtigungen, Daten)? Entsprechende Vertretungsregelungen für den Verhinderungsfall von Bediensteten sind vorzusehen. Bei schützenswerten Informationen ist jedenfalls zu beachten, dass einer Person der Zugang zu Daten und die Verwendung von Daten nur insoweit gestattet wird, als dies zur Wahrnehmung jener Funktionen erforderlich ist, die ihr durch die in Betracht kommenden Vorschriften (Verwaltungsvorschriften; Geschäftseinteilung des Amtes der Landesregierung und sonstige innerorganisatorische Vorgaben) zugewiesen sind. Insbesondere bei sensiblen Daten sind die Einsichts- und Verfügungsrechte in sachdienlicher Weise zu regeln. Folgende Grundsätze sind dabei zu beachten: Grundsatz der größtmöglichen Beschränkung bei der Einsicht oder Verfügung über dienstliche Daten Dateneinsicht oder -verfügung ausschließlich zur Wahrung dienstlicher Interessen Beachtung der Vorgaben des Datenschutzes bei der Verwendung personenbezogener Daten K l a g e n f u r t a m W ö r t h e r s e e, M i e ß t a l e r S t r a ß e 1 D V R I n T R A n e t : h t t p : / / i n t r a n e t. k t n. g v. a t / l a d i o n - e d v AUTOR: Harald Kiko, Rudolf Köller, Walter Hetzendorf erstellt am: :11:00 DOKUMENT: e6.doc Seite: 10 von 18

61 Sicherheitspolitik für das IT-System des Landes Kärnten ( Generalpolicy ) Gerätewechsel oder Arbeitsplatzwechsel Die Endgeräte (PC, Notebook, etc.) werden vom AKL den Dienstnehmern zur Ausübung der dienstlichen Tätigkeiten überlassen. Die Geräte und Dateninhalte bleiben Eigentum des AKL. Nicht über die LADion IT beschaffte Geräte dürfen nur nach Rücksprache mit der LADion IT an das Netz angeschlossen werden (Siehe auch Zulässige Hard- und Software 2.2.2). Zur privaten Nutzung siehe Detailpolicies Gerätewechsel und Wartung Es ist autorisierten Personen (Mitarbeiter der LADion IT, des Outsourcingpartner oder der Amtsinspektion) in Absprache mit dem Dienstnehmer jederzeit zu ermöglichen, die Endgeräte auszutauschen, Daten zu löschen und erforderlichenfalls in die Dateninhalte des Rechners Einsicht zu nehmen. Folgende Grundsätze sind dabei zu beachten: Grundsatz der größtmöglichen Beschränkung bei der Einsicht oder Verfügung über Daten Dateneinsicht oder -verfügung ausschließlich zur Wahrung dienstlicher Interessen Beachtung der Vorgaben des Datenschutzes bei der Verwendung personenbezogener Daten Arbeitsplatzwechsel Um abgespeicherte, dienstlich relevante Informationen im Falle eines Arbeitsplatzwechsels (beispielsweise Organisationswechsel, Suspendierung oder Ausscheiden von Mitarbeitern) sicherzustellen, wird im Interesse der Aufrechterhaltung eines geordneten Dienstbetriebes folgende Vorgangsweise festgelegt: Personelle Veränderungen sind in geeigneter Weise umgehend von der Organisationsleitung direkt der LADion IT und Ladion /Betriebswirtschaft Organisation mitzuteilen. Private Daten sind bei einem Arbeitsplatzwechsel durch den Mitarbeiter zu entfernen. Der Organisationsleitung wird zur Wahrung der dienstlichen Interessen ab dem Datum des Arbeitsplatzwechsels eines Mitarbeiters das Einsichts- bzw. Leserecht auf verbliebene Daten des Betreffenden eingeräumt. Folgende Grundsätze sind dabei zu beachten: Grundsatz der größtmöglichen Beschränkung bei der Einsicht oder Verfügung über Daten Dateneinsicht oder -verfügung ausschließlich zur Wahrung dienstlicher Interessen Beachtung der Vorgaben des Datenschutzes bei der Verwendung personenbezogener Daten Spezielle Vereinbarungen über sonstige Veränderungen am PC werden nur nach Rücksprache der Organisationsleitung mit der LADion IT getroffen. Die Mitnahme dienstlicher Hard- und Softwarekomponenten im Fall eines Arbeitsplatzwechsels ist im Einzelfall mit der LADion IT zu verhandeln. Jedenfalls sind vor einem Organisationswechsel dienstlich relevante Daten am Server abzulegen. Auch sind allenfalls mitzunehmende PC/Notebooks bei jedem Organisationswechsel (trotz bleibender Benutzeridentität) grundsätzlich neu mit einem Low Level Format zu formatieren, um die Löschung lokal abgelegter Daten sicherzustellen. Bei (Neu-)Zugang eines Mitarbeiters in einer Landesorganisation werden von der LADion IT im Regelfall neue Benutzernamen und Berechtigungen eingerichtet K l a g e n f u r t a m W ö r t h e r s e e, M i e ß t a l e r S t r a ß e 1 D V R I n T R A n e t : h t t p : / / i n t r a n e t. k t n. g v. a t / l a d i o n - e d v AUTOR: Harald Kiko, Rudolf Köller, Walter Hetzendorf erstellt am: :11:00 DOKUMENT: e6.doc Seite: 11 von 18

62 Sicherheitspolitik für das IT-System des Landes Kärnten ( Generalpolicy ) 2.4 Berechtigungssystem Zur Einführung eines zentralen Berechtigungssystems (Autorisierungssystem, Berechtigungsverwaltung, Benutzerverwaltung, Authentisierung) wird eine gesonderte Dokumentation der Vorgangsweise und den notwendigen Maßnahmen erstellt. Diese ist unter Berechtigungssystem im Informationssicherheitsmanagementsystem (ISMS) ersichtlich Autorisierung (Rechteverwaltung) Um zu verhindern, dass Daten bzw. Datenanwendungen für Unbefugte zugänglich sind, ist es erforderlich, alle Benutzer mit den ihren Aufgaben entsprechenden Berechtigungen zu versehen. Dieser Vorgang der Erteilung von Berechtigungen wird auch als Autorisierung bezeichnet. Abhängig von den jeweils eingesetzten Systemen gibt es unterschiedliche Werkzeuge und Regelungen, wie diese Vergabe und Verwaltung von Rechten im Detail zu erfolgen hat. Sofern es die eingesetzten Systeme erlauben, sollte die Verwaltung von Zugriffsrechten Rollen-basiert (bzw. Gruppen-basiert) erfolgen. D.h., in Abhängigkeit von den mit Hilfe der EDV- Anwendung zu erledigenden unterschiedlichen Aufgaben werden die erforderlichen Rechte in einem ersten Schritt zu Gruppen oder Rollen zusammengefasst und den in Frage kommenden Benutzern in einem zweiten Schritt zugeordnet. Diese Vorgangsweise erleichtert sowohl die Wartung ( - Änderungen bei den erforderlichen Rechten müssen nur an einer Stelle durchgeführt werden - ) als auch die Dokumentation und Kontrolle der vergebenen Rechte. Die Benutzerverwaltung erfolgt in einem eigenen System. Die Berechtigungsverwaltung erfolgt in den Nutzsystemen. Die Vorgangsweise ist dem Prozess Berechtigungsvergabe zu entnehmen Anwendungen Mit Hilfe des Berechtigungssystems sind den berechtigten Benutzern von der Organisationsleitung die notwendigen Rechte für die entsprechenden Programme und Dateien freizugeben und zu dokumentieren Datenspeicherung, Fileserver Auf Fileservern sind anhand der Zugriffsrechte Anwendungsgruppen zu bilden und die Zugriffsberechtigungen zu dokumentieren. Für jede Anwendung bzw. jedes Projekt ist ein Verzeichnis für die entstehenden Daten (auch Office-Dateien!) einzurichten und von den berechtigten Benutzern für die Speicherung zu verwenden. Darüber hinaus ist jedem Benutzer auf seinem Abteilungsserver ein nur für ihn zugängliches Verzeichnis mit entsprechendem Zugriffsschutz durch die LADion IT einzurichten. Dieses Verzeichnis ist vom jeweiligen Benutzer zu verwenden, um dienstliche Daten zu speichern. Der Benutzer ist nicht berechtigt anderen Benutzern Zugriffsrechte auf dieses Verzeichnis zu vergeben. Zur privaten Nutzung siehe Detailpolicies K l a g e n f u r t a m W ö r t h e r s e e, M i e ß t a l e r S t r a ß e 1 D V R I n T R A n e t : h t t p : / / i n t r a n e t. k t n. g v. a t / l a d i o n - e d v AUTOR: Harald Kiko, Rudolf Köller, Walter Hetzendorf erstellt am: :11:00 DOKUMENT: e6.doc Seite: 12 von 18

63 Sicherheitspolitik für das IT-System des Landes Kärnten ( Generalpolicy ) Authentisierung Der für den Zugriff auf bestimmte Daten autorisierte Benutzer muss sich vor dem tatsächlichen Zugriff als Berechtigter ausweisen. Dieser Vorgang der Authentisierung (also der Nachweis des rechtmäßigen Zugriffs) gegenüber einem System (Server, PC, Notebook, Anwendung, etc.) erfolgt mit unterschiedlichen Methoden, abhängig davon, welches sicherheitstechnische Risiko mit einer Anwendung bzw. mit einem Datenzugriff verbunden ist (und welche Möglichkeiten die eingesetzten Systeme bieten). In der einfachsten Form (Minimal-Variante) erfolgt die Anmeldung an das System über die Eingabe eines Passwortes (Kennwortes) in Verbindung mit einem Benutzernamen. Diese Minimal-Variante ist nur unter folgenden Voraussetzungen zulässig: Kommunikation läuft nicht über öffentliche Netze (d.h. nur über eigene Leitungswege) UND Leitungsendpunkt befindet sich in Sicherheitszone A und Sicherheitszone B (2.1.1und 2.1.2). Es ist darauf zu achten, dass der PC in ausgeloggtem Zustand beim Verlassen des Arbeitsplatzes hinterlassen wird (also nur durch die Eingabe eines Passwortes wieder aktiviert werden kann - Bildschirmschoner). Unter allen anderen Voraussetzungen sind dem Einzelfall entsprechende zusätzliche Sicherheitsvorkehrungen zu treffen Allgemeine Regelung für Konten und Passwörter Die Anlage von Konten (sowohl Benutzer- als auch Gruppenkonten) auf den einzelnen Systemen erfolgt durch den jeweils verantwortlichen Berechtigungsadministrator im Auftrag der Organisation. Beim Einrichten der Konten wird ein Passwort vergeben, welches beim ersten Anmeldevorgang vom berechtigten Benutzer zu verändern ist Generelle Regelungen zu Passwörtern Die Verwendung von Trivial-Passwörtern ist unbedingt zu vermeiden. Trivial-Passwörter sind Passwörter mit spezieller Bedeutung, welche leicht auch von Außenstehenden erraten oder bestimmt werden können. Also z.b. Namen (eigene, aus der Familie, von Prominenten), Geburtsdaten, Firmen- und Abteilungsbezeichnungen, KFZ-Kennzeichen, usw. Ebenfalls in diese Gruppe fallen Standardausdrücke wie etwa, Blank, Benutzername, TEST, SYSTEM, Tastatur- und Zeichenmuster, wie ABCDEF, QWERTZ, ,... Innerhalb eines Passwortes muss mindestens ein Zeichen verwendet werden, das kein Buchstabe ist (Zahl oder Sonderzeichen). Ganz allgemein ist darauf zu achten, dass die Eingabe des Passwortes unbeobachtet erfolgt. Sollte der Verdacht bestehen, dass das Passwort auch Personen außerhalb des berechtigten Personenkreises bekannt ist, so ist das Passwort auch vor Ablauf der Fristen laut Account Policy sofort zu ändern K l a g e n f u r t a m W ö r t h e r s e e, M i e ß t a l e r S t r a ß e 1 D V R I n T R A n e t : h t t p : / / i n t r a n e t. k t n. g v. a t / l a d i o n - e d v AUTOR: Harald Kiko, Rudolf Köller, Walter Hetzendorf erstellt am: :11:00 DOKUMENT: e6.doc Seite: 13 von 18

64 Sicherheitspolitik für das IT-System des Landes Kärnten ( Generalpolicy ) Passwörter dürfen nicht auf programmierbaren Funktionstasten gespeichert werden. Soweit es das jeweilige Betriebssystem zulässt, ist die Einhaltung dieser Richtlinien durch entsprechende Einstellungen im Betriebssystem sicherzustellen. Voreingestellte Passwörter (etwa vom Hersteller des Systems) müssen umgehend (beim ersten Login) durch individuelle Passwörter ersetzt werden Zur Verwendung des Bildschirmschoners siehe auch Sicherheitszonen (2.1) und Authentisierung (2.4.2). Die Umsetzung der Passwortregelungen erfolgt entsprechend den strategischen Vorgaben des ISMS und den entsprechenden Detailpolicies Spezielle Regelungen zu Passwörtern Benutzernamen und Passwörter sind vom jeweiligen Berechtigungsverwaltungssystem abhängig und werden in der Systemverwaltung dokumentiert Passwortregelung für Benutzerkonten Benutzerkonten sind personenbezogen, daher darf nur der Inhaber das jeweilige Konto benutzen. Die Benutzer dürfen das Passwort unter keinen Umständen anderen Personen bekannt geben. In der Sicherheitszone A (2.1.1) ist eine schriftliche Fixierung bei versiegelter Aufbewahrung in einem Schließfach erforderlich, wobei die Eröffnung des Siegels zu dokumentieren ist. Eine schriftliche Fixierung in den Sicherheitszonen B (2.1.2) und C (2.1.3) ist nur zulässig wenn sie entsprechend der Sicherheitszone A (2.1.1) erfolgt (Schließfach, Siegel, Dokumentation). In der Sicherheitszone A (2.1.1), B (2.1.2) und C (2.1.3) haben die Benutzer das Passwort periodisch zu ändern. Besteht der Verdacht, dass ein Passwort nicht mehr geheim ist, ist es sofort zu ändern (Ausnahme Gruppenkonten siehe ). Für Administratoren sind keine Gruppenkonten zulässig und in Verwendung. Daher ist die Eröffnung von schriftlich hinterlegten Passworten nur in Ausnahmefällen notwendig. Stellvertreterregelung: Wenn mehrere Benutzer an einem System arbeiten, ist jedem Benutzer ein eigenes Benutzerkonto einzurichten. Hat ein Benutzer die Aufgaben eines anderen Benutzers zu übernehmen (Bsp. Urlaub), sind diesem Stellvertreter die Rechte zu übertragen (Auf keinen Fall darf der Benutzername und das Passwort weitergegeben werden). Das für den externen Zugang zur IT-Infrastruktur über Wählleitung vergebene Passwort ist auf gleiche Weise zu schützen. Es darf insbesondere kein Gebrauch von der allenfalls vorhandenen Möglichkeit gemacht werden, das Passwort bei der Verbindung abzuspeichern Passwortregelung für Gruppenkonten Bestehenden Gruppenkonten sind bestimmten Funktionen zugeordnet und dürfen nur zur Erledigung dieser Aufgaben verwendet werden. Eine Weitergabe von Passwörtern ist nur im unbedingt notwendigen Ausmaß zulässig. In der Sicherheitszone A ist eine schriftliche Fixierung bei versiegelter Aufbewahrung in einem Schließfach erforderlich, wobei die Eröffnung des Siegels zu dokumentieren ist. Eine schriftliche Fixierung in den Sicherheitszonen B und C ist nur zulässig, wenn sie entsprechend der Sicherheitszone A erfolgt. Bei Ausscheiden eines Mitgliedes einer Gruppe ist das Passwort zu ändern. Grundsätzlich ist danach zu streben, Gruppenkonten aufzulösen (siehe Stellvertreterregelung in ( ) K l a g e n f u r t a m W ö r t h e r s e e, M i e ß t a l e r S t r a ß e 1 D V R I n T R A n e t : h t t p : / / i n t r a n e t. k t n. g v. a t / l a d i o n - e d v AUTOR: Harald Kiko, Rudolf Köller, Walter Hetzendorf erstellt am: :11:00 DOKUMENT: e6.doc Seite: 14 von 18

65 Sicherheitspolitik für das IT-System des Landes Kärnten ( Generalpolicy ) 2.5 Datensicherung Sicherungskonzept und Archivierungskonzept Es ist ein Sicherungs- und Archivierungskonzept durch die LADion IT in Zusammenarbeit mit den Fachabteilungen zu entwickeln, welches systemabhängige Regelungen vorgibt (z.b. ELAK) Sicherung von Personalcomputern (Sicherheitszonen B und C) Für die Sicherung von Personalcomputern gelten folgende Anforderungen: Bei vernetzten PC sind dienstliche Daten am Server abzuspeichern und daher am PC nicht gesondert zu sichern ( ), da die Sicherung der Server durch die LADion IT sichergestellt wird. In allen anderen Fällen (auch Individual-Programme) sind die Fachabteilungen für das Sicherungskonzept verantwortlich. Siehe auch Organisatorische Maßnahmen, Endgerätewechsel (2.3) 2.6 Sonstiges Protokollierung Das Datenschutzgesetz führt als Datensicherheitsmaßnahme auch die Protokollierung von Datenverwendungsvorgängen insbesondere bei Änderungen, Abfragen und Übermittlungen an. Jede Datenanwendung, mit welcher personenbezogene Daten verarbeitet werden (sollen), ist unter Bedachtnahme auf 14 Abs. 2 DSG 2000 (Abwägung der technischen Möglichkeiten, der Wirtschaftlichkeit und des damit verbundenen Schutzzweckes) auf Prot o- kollierungserfordernisse hin zu prüfen. Dabei ist hinsichtlich der eingesetzten Protokollierungstools eine Abwägung zwischen dem Stand der Technik, den erwarteten Kosten und den zu schützenden Daten vorzunehmen (Risikoanalyse). Insbesondere vor dem Einsatz von Standardsoftware sollte eine entsprechende Risikoanalyse durchgeführt werden. Grundsätzlich ist davon auszugehen, dass bei der Verarbeitung von sensiblen Daten (siehe Punkt 0) ein höheres Schutzniveau zu gewährleisten ist und daher auch höhere Anforderungen an die Protokollierung gestellt werden müssen. Die Protokollierung wird auch von der Anzahl der zugriffsberechtigten Personen abhängig sein. Protokoll- und Dokumentationsdaten dürfen nicht für Zwecke verwendet werden, die mit ihrem Ermittlungszweck das ist die Kontrolle der Zulässigkeit der Verwendung des protokollierten oder dokumentierten Datenbestandes und die Sicherstellung des ordnungsgemäßen Betriebes unvereinbar sind Sicherungsmaßnahmen beim Ausscheiden von Datenträgern Beim Ausscheiden von Datenträgern sind Vorkehrungen gegen eine missbräuchliche Datenverwendung zu treffen. Datenträger, die aus der automationsunterstützten Datenverarbeitung stammen (Bänder, Disketten usw.) sind einer geordneten Entsorgung zuzuführen K l a g e n f u r t a m W ö r t h e r s e e, M i e ß t a l e r S t r a ß e 1 D V R I n T R A n e t : h t t p : / / i n t r a n e t. k t n. g v. a t / l a d i o n - e d v AUTOR: Harald Kiko, Rudolf Köller, Walter Hetzendorf erstellt am: :11:00 DOKUMENT: e6.doc Seite: 15 von 18

66 Sicherheitspolitik für das IT-System des Landes Kärnten ( Generalpolicy ) Gegebenenfalls mit der Entsorgung beauftragte externe Dienstleister sind zu verpflichten durch entsprechende Sicherheitsmaßnahmen eine missbräuchliche Verwendung dieser Daten zu verhindern. Pei einem PC-Tausch oder dem Austausch einer Festplatte, ist die Festplatte durch die zuständige Person (der LADion IT oder des Outsourcingpartners) mittels Low Level Format unleserlich zu machen. Sonstige Datenträger insbesondere Papier sind ebenfalls einer geordneten Entsorgung zuzuführen. Befinden sich auf dem Datenträger schutzwürdige personenbezogene Daten, sind diese zuvor unleserlich zu machen. Gegebenenfalls mit der Entsorgung beauftragte externe Dienstleister sind zu verpflichten eine missbräuchliche Verwendung dieser Datenträger zu verhindern Ergebniskontrolle In jeder Landesorganisation sind die beim Einsatz der automationsunterstützten Datenverarbeitung erzielten Ergebnisse auf ihre Richtigkeit zu überprüfen. Dies auch dann, wenn die Datenverarbeitung durch einen Dienstleister erfolgt ist. Art und Umfang der Prüfung sind, nach Maßgabe der Möglichkeiten unter Berücksichtigung wirtschaftlicher Gesichtspunkte und des Dateninhaltes vom Organisationsleiter, zu bestimmen Sicherheitsvorfälle Die Definition und der Umgang mit Sicherheitsvorfällen wird im Rahmen des ISMS Prozesses festgelegt. Das Management dieser Sicherheitsvorfälle erfolgt entsprechend den Vorgaben der Betriebsführung, des KVP und der Managementbewertung Maßnahmen für den Notfall Bei Eintreten eines Notfalles sind zuallererst die einschlägigen Bestimmungen zu befolgen. Tritt ein Notfall ein, sind zunächst die nach Lage des Falles gebotenen unaufschiebbaren Maßnahmen (z.b. im Brandfall Maßnahmen der Brandbekämpfung und der Hilfeleistung) zu ergreifen- Erst in zweiter Linie ist darüber hinaus unter Abwägung des jeweiligen Risikos für die Bergung der Inhalte der Safes, der Aktenordner und der technischen Einrichtungen (etwa Abteilungsserver, Netzwerkkomponenten, PCs) zu sorgen. Für gefährdete Bereiche sind Notfallpläne entsprechend den Risikoanalysen zu erstellen K l a g e n f u r t a m W ö r t h e r s e e, M i e ß t a l e r S t r a ß e 1 D V R I n T R A n e t : h t t p : / / i n t r a n e t. k t n. g v. a t / l a d i o n - e d v AUTOR: Harald Kiko, Rudolf Köller, Walter Hetzendorf erstellt am: :11:00 DOKUMENT: e6.doc Seite: 16 von 18

67 Sicherheitspolitik für das IT-System des Landes Kärnten ( Generalpolicy ) 3 ISMS, QM, Audit, KVP, Managementbewertung Zur Aufrechterhaltung dieser Generalpolicy und der Informationssicherheit sind Prozesse des Informationssicherheitsmanagementsystem (ISMS) eingerichtet. In diesen Prozessen sind die erforderlichen Aktivitäten dokumentiert. Das Audit ist dabei eine periodische, interne oder externe, Überprüfung des Systems. Durch den Kontinuierlichen Verbesserungsprozess (KVP) werden auftretende Fehler gemanagt bzw. Vorbeugungs- und Verbesserungsmaßnahmen gesetzt. Die Leitung verpflichtet sich das System regelmäßig zu hinterfragen und die Wirksamkeit des ISMS zu bewerten (Managementbewertung). Diese Werkzeuge des Managements sind, da sie den Anforderungen des der ISO 9001:2008 entsprechen, im Qualitätsmanagement dokumentiert. Siehe auch Verweise. 4 Sanktionen Es wird darauf hingewiesen, dass die rechtswidrige Verwendung von dienstlichen Informationen und personenbezogenen Daten zu disziplinären, zivilrechtlichen, verwaltungsstrafbehördlichen oder sogar strafgerichtlichen Konsequenzen führen kann. So ist die Verpflichtung zur Amtsverschwiegenheit sowohl verfassungsrechtlich, als auch dienstrechtlich klar festgeschrieben. Eine allfällige zivilrechtliche Haftung (Schadenersatzpflicht) kann bei Vorliegen bestimmter Voraussetzungen aus den einschlägigen Bestimmungen des Amtshaftungsgesetzes, des Organhaftpflichtgesetzes bzw. des Dienstnehmerhaftplichtgesetzes abgeleitet werden. Strafgerichtliche Sanktionen bei vorsätzlicher Verletzung des Amtsgeheimnisses oder Datenbeschädigung sind wiederum im geltenden Strafgesetzbuch geregelt. Im Falle des leichtfertigen oder missbräuchlichen Umganges mit personenbezogenen Daten sieht zudem auch das Datenschutzgesetz 2000 entsprechende verwaltungsbehördliche und gerichtliche Strafen ( 51, 52 DSG 2000) vor. 5 Verweise 5.1 Verweis auf Dokumente QM + ISMS - Dokumentation der LADion IT Verpflichtungserklärung für Mitarbeiter und Administratoren der LADion IT Verpflichtungserklärung für die Ladion IT als Dienstleister (gegenüber externen Kunden) Verpflichtungserklärung für externe Dienstleister (die von der Ladion IT beauftragt werden) Verpflichtungserklärung für Endanwender (insbesondere verpflichtend für die Anwendungen des österreichischen Portalverbundes) Verpflichtungserklärung für Endanwender mit Unterweisung (insbesondere verpflichtend für Anwender externer Kunden oder Dienstleister) Die aktuell gültigen Versionen der Verpflichtungserklärungen sind auf der Homepage der Ladion IT zum Download bereitgestellt. 5.2 Verweis auf Detailpolicies Zu den einzelnen Systemen werden eigene Policies erarbeitet und veröffentlicht (Homepage der LADion IT) K l a g e n f u r t a m W ö r t h e r s e e, M i e ß t a l e r S t r a ß e 1 D V R I n T R A n e t : h t t p : / / i n t r a n e t. k t n. g v. a t / l a d i o n - e d v AUTOR: Harald Kiko, Rudolf Köller, Walter Hetzendorf erstellt am: :11:00 DOKUMENT: e6.doc Seite: 17 von 18

68 Sicherheitspolitik für das IT-System des Landes Kärnten ( Generalpolicy ) 5.3 Verweis auf Prozesse QM KVP und Audit Operative Prozesse laut Prozesslandkarte Berechtigungsverwaltung ISMS-Prozess Siehe auch Homepage der LADion IT. 5.4 Verweis auf Notfallpläne, Notfallanweisungen Siehe ISMS-Prozessdokumentation auf der Homepage der LADion IT. 6 Begriffsbestimmungen / Abkürzungen SLA Service Level Agreement (Dienstleistungsvereinbarung) SHB IT Sicherheitshandbuch des Bundeskanzleramtes QM Qualitätsmanagement QMS Qualitätsmanagementsystem ISMS Informations- und Sicherheitsmanagement KVP Kontinuierlicher Verbesserungsprozess 7 Änderungsprotokoll Datum Wer Änderung Hetzendorf Erste Seite eingefügt Änderungsprotokoll eingefügt Normenänderung von A7799, BS 7799, ISO auf ISO als zertifizierter Standard (Wird nach Freigabe durchgeführt /eingefügt whe) Klier Einbau der neuen, freigegebenen Fußzeile Kiko Neues Design, Normenänderung, Neue Verweise Kiko LADion EDV -> LADion IT, Verweis auf Dokumente Autoren:Köller Rudolf, Hetzendorf Walter, Kiko Harald, Klier Gerald Unterzeichner Land Kärnten Datum/Zeit-UTC T16:00:55Z Dieses Dokument wurde amtssigniert. Informationen zur Prüfung der elektronischen Signatur finden Sie unter: https://www.ktn.gv.at/amtssignatur Der Ausdruck dieses Dokuments kann durch schriftliche, persönliche oder telefonische Rückfrage bei der erledigenden Stelle auf seine Echtheit geprüft werden. Die erledigende Stelle ist während der Amtsstunden unter ihrer Adresse bzw. Telefonnummer erreichbar K l a g e n f u r t a m W ö r t h e r s e e, M i e ß t a l e r S t r a ß e 1 D V R I n T R A n e t : h t t p : / / i n t r a n e t. k t n. g v. a t / l a d i o n - e d v AUTOR: Harald Kiko, Rudolf Köller, Walter Hetzendorf erstellt am: :11:00 DOKUMENT: e6.doc Seite: 18 von 18

69 Abteilung 1 (Kompetenzzentrum Landesam tsdirektion) Inform ationstechnologie Betreff: Datum: Zahl: LAD-IT-QM-8/ (Bei Eingaben bitte Geschäftszahl anführen!) Sicherheitspolitik für mobile Endgeräte Auskünfte: Maurizio Papini Telefon: Fax: Inhaltsverzeichnis 1 Allgemeines Einleitung Gültigkeitsbereich Ziele Allgemeine Richtlinien für mobile Endgeräte, die vom Dienstgeber bereitgestellt werden Grundsätze des Umgangs mit mobilen Endgeräten Lebenszyklus Transport und Aufbewahrung Verlust Handhabung Privater Gebrauch Spezielle Regelungen für Notebooks Private Mailaccounts Synchronisierung mit Netzlaufwerken Aktualisierung der Anti-Viren-Software Einsatz einer Personal Firewall Spezielle Regelungen für SmartPhones und Tablets Sichere Grundkonfiguration Starke Authentifizierung Synchronisation Spezielle Regelungen für Wechseldatenträger Verschlüsselung von Wechseldatenträgern Speicherung sensibler Daten Allgemeine Richtlinien für mobile private Endgeräte, die für den Dienstbetrieb eingesetzt werden8 4 Verweise auf andere Dokumente Begriffsbestimmungen / Abkürzungen Änderungsprotokoll Dokumentenänderungsvermerk K l a g e n f u r t a m W ö r t h e r s e e, M i e ß t a l e r S t r a ß e 1 D V R I n T R A n e t : h t t p : / / i nt r a n e t. k t n. g v. a t / l a d i o n - e d v AUTOR: Maurizio Papini erstellt am: :32:09 Gespeichert am: :32 gedruckt am: :32:00 DOKUMENT: , rkö_sicherheitspolitik_mobile_endgeräte_v.3.0 (Erlassversion).doc Seitte: 1 von 9

70 Abteilung 1 (Kompetenzzentrum Landesam tsdirektion) Inform ationstechnologie Allgemeines 1.1 Einleitung Beim Amt der Kärntner Landesregierung ist eine Vielzahl von mobilen Endgeräten in Verwendung. Auf Grund ihrer Größe und mobilen Verwendung sind diese und somit auch die auf ihnen gespeicherten Informationen besonderen Bedrohungen ausgesetzt. Im Rahmen dieser Policy werden daher Richtlinien und Vorgaben für den sicheren Umgang mit mobilen Endgeräten definiert. Diese Richtlinien basieren auf Empfehlungen und Best Practices einschlägiger Sicherheitsstandards, wie etwa dem Österreichischen Sicherheitshandbuch, dem Deutschen Grundschutzhandbuch und entsprechenden Studien. 1.2 Gültigkeitsbereich Diese Policy gilt für sämtliche Landesdienststellen und auch alle anderen Nutzer des IT-Systems des Landes Kärnten, die mobile Endgeräte im Rahmen ihrer Dienstausführung zur Verfügung gestellt bekommen. Im Sinne dieser Sicherheitspolitik umfasst der Begriff mobile Endgeräte folgende Geräte: Notebooks Tablets SmartPhones Wechseldatenträger Darüber hinaus wird in dieser Policy auch der Einsatz privater Endgeräte geregelt, die für den Dienstbetrieb eingesetzt werden. 1.3 Ziele Schutz mobiler Endgeräte und der darauf gespeicherten Informationen sowie des amtlichen Datenbestandes Erhöhung der Sensibilität und des Sicherheitsbewusstseins beim Umgang mit mobilen Endgeräten Weiterentwicklung des Informationssicherheits-Management-Systems des Landes K l a g e n f u r t a m W ö r t h e r s e e, M i e ß t a l e r S t r a ß e 1 D V R I n T R A n e t : h t t p : / / i nt r a n e t. k t n. g v. a t / l a d i o n - e d v AUTOR: Maurizio Papini erstellt am: :32:09 Gespeichert am: :32 gedruckt am: :32:00 DOKUMENT: , rkö_sicherheitspolitik_mobile_endgeräte_v.3.0 (Erlassversion).doc Seitte: 2 von 9

71 Abteilung 1 (Kompetenzzentrum Landesam tsdirektion) Inform ationstechnologie Allgemeine Richtlinien für mobile Endgeräte, die vom Dienstgeber bereitgestellt werden 2.1 Grundsätze des Umgangs mit mobilen Endgeräten 1. Mobile Endgeräte sind so zu verwenden und zu verwahren, dass sie vor Zerstörung, vor Beschädigung, vor Verlust sowie vor dem Zugriff Unbefugter geschützt sind. 2. Personenbezogene Daten sowie Daten, die dem Amtsgeheimnis unterliegen, dürfen nur im dienstlich unbedingt erforderlichen Ausmaß und nur für rechtmäßige Zwecke auf mobilen Endgeräten gespeichert und genutzt werden. Eine (weitere) Übertragung solcher Daten auf private Speichermedien (z.b. Festplatte eines privaten PC) ist ausschließlich nach vorheriger Zustimmung des Dienststellenleiters zulässig. 3. Auf mobilen Endgeräten ist die Speicherung sensibler Daten gemäß 4 Z 2 DSG 2000 (Daten natürlicher Personen über ihre rassische und ethnische Herkunft, politische Meinung, Gewerkschaftszugehörigkeit, religiöse oder philosophische Überzeugung, Gesundheit oder ihr Sexualleben) weitest möglich zu vermeiden. Hierfür ist die vorherige (generelle oder konkrete) Zustimmung des Dienststellenleiters einzuholen. 4. Für die Verwendung sensibler Daten auf mobilen Endgeräten sind zusätzliche Maßnahmen zur Erhöhung der Datensicherheit zu ergreifen: a. Beim Rollout bei allen Notebooks, welche mit dem Microsoft Betriebssystem Windows 7 Enterprise versehen sind, wird eine Verschlüsselung der Festplatte mit dem Microsoft Bitlocker aktiviert. Bereits ausgegebene Notebooks werden nachträglich mit dem Microsoft Bitlocker ausgestattet. Der Rollout des Bitlocker erfolgt ab Q1/2013. b. Auf allen anderen mobilen Endgeräten sind sensible Daten ebenso mit geeigneten Methoden zu verschlüsseln. Die Verantwortung dafür liegt beim Anwender. 2.2 Lebenszyklus Für Endgeräte gilt der in Abbildung 1 dargestellte Lebenszyklus. Bei jeder Änderung eines Zustands sind diverse Maßnahmen zu setzen, um die Integrität des Systems beziehungsweise die Vertraulichkeit der darauf befindlichen Informationen zu gewährleisten. Beschaffung Betrieb Ausscheidung Benutzer- Wechsel Abbildung 1: Lebenszyklus von Endgeräten K l a g e n f u r t a m W ö r t h e r s e e, M i e ß t a l e r S t r a ß e 1 D V R I n T R A n e t : h t t p : / / i nt r a n e t. k t n. g v. a t / l a d i o n - e d v AUTOR: Maurizio Papini erstellt am: :32:09 Gespeichert am: :32 gedruckt am: :32:00 DOKUMENT: , rkö_sicherheitspolitik_mobile_endgeräte_v.3.0 (Erlassversion).doc Seitte: 3 von 9

72 Abteilung 1 (Kompetenzzentrum Landesam tsdirektion) Inform ationstechnologie Beschaffung: Die Verantwortlichkeit für die Beschaffung von Endgeräten (mit Ausnahme von Smartphones) liegt bei der LADion IT. Die Beschaffung von Smartphones erfolgt durch die Abteilung 1 - BGM. Für die Auswahl der Smartphones hat die Abteilung 1 - BGM das Einvernehmen mit der LADion IT herzustellen. Registrierung der Endgeräte: Im Zuge der Beschaffung von Endgeräten sind diese vor Indienst- Stellung mit einer eindeutigen Kennzeichnung (ID) zu versehen. Des Weiteren werden alle Notebooks vor Auslieferung an den jeweiligen Empfänger durch den Outsourcingpartner von Grund auf neu installiert. Betrieb: Während der laufenden Verwendung von Endgeräten sind Maßnahmen zu setzen, die Vertraulichkeit, Verfügbarkeit und Integrität der darauf gespeicherten Informationen sicherstellen. Geeignete Maßnahmen werden im Rahmen dieser Policy definiert. Die Verantwortlichkeit für den Betrieb liegt hinsichtlich der laufenden Verwendung beim Benutzer und hinsichtlich der Bereitstellung der Infrastruktur bei der LADion IT. Benutzer-Wechsel: Bei einem Wechsel des Benutzers eines Endgerätes muss sichergestellt werden, dass keine Daten des Vorbesitzers rekonstruiert werden können. Zudem werden Notebooks von Grund auf neu installiert. Die Verantwortlichkeit hierfür liegt bei der LADion IT bzw. bei ihren Dienstleistern. Die Verantwortung des Anwenders ist es, das Gerät zur Vorbereitung für den Benutzerwechsel an die LADion IT zur Integritätsprüfung und Datenlöschung durch den Outsourcingpartner, zu übergeben. Ausscheidung: Bei Außerdienststellung eines Endgerätes ist für eine sichere Vernichtung der auf den Endgeräten befindlichen Daten zu sorgen. Die Verantwortlichkeit für die Vernichtung der Daten liegt bei der LADion IT oder beim Outsourcingpartner. 2.3 Transport und Aufbewahrung Da Geräte im mobilen Einsatz besonderen Gefahren ausgesetzt sind, gelten für diese außerhalb einer sicheren Umgebung spezielle Sicherheitsanforderungen. 1. Bei Verwendung mobiler Endgeräte außerhalb einer sicheren Umgebung (z.b. in fremden Büros) dürfen diese nicht unbeaufsichtigt gelassen werden. Bei Bedarf sind geeignete Schutzmaßnahmen zu treffen (z.b. Versperren in einem Schrank, Abschließen des Raums, etc.). 2. Ein Zurücklassen von mobilen Endgeräten in einem KFZ soll nur dann erfolgen, wenn eine Mitnahme unzumutbar erscheint. Müssen die Endgeräte im Fahrzeug verbleiben, dann sind diese nicht sichtbar zu hinterlassen, sondern vor Blicken geschützt (z.b. im Kofferraum des Fahrzeugs) zu platzieren. 3. Beim Betrieb eines mobilen Endgerätes ist stets darauf zu achten, dass nicht-berechtigte Personen keine Einsicht in die auf dem Gerät befindlichen Informationen haben. Zudem ist bei Verlassen des Arbeitsplatzes das Gerät auf geeignete Weise zu sperren. Je nach Möglichkeit hat eine automatisierte Sperrung nach längerer Inaktivität aktiviert werden (z.b. passwortgeschützter Bildschirmschoner beim Notebook, automatische Tastensperre mit Pinverriegelung beim Smartphone oder Tablet PC). 4. Mobile Endgeräte sind stets in ausreichendem Maße geschützt vor Umwelteinflüssen (z.b. Hitze, Kälte, Nässe, etc.) zu transportieren. Dies kann durch geeignete Transport-Taschen K l a g e n f u r t a m W ö r t h e r s e e, M i e ß t a l e r S t r a ß e 1 D V R I n T R A n e t : h t t p : / / i nt r a n e t. k t n. g v. a t / l a d i o n - e d v AUTOR: Maurizio Papini erstellt am: :32:09 Gespeichert am: :32 gedruckt am: :32:00 DOKUMENT: , rkö_sicherheitspolitik_mobile_endgeräte_v.3.0 (Erlassversion).doc Seitte: 4 von 9

73 Abteilung 1 (Kompetenzzentrum Landesam tsdirektion) Inform ationstechnologie gewährleistet werden. Auch beim Betrieb dieser Endgeräte ist auf die vom Hersteller spezifizierten Betriebsbedingungen zu achten. Bei Flugreisen sind mobile Endgeräte stets als Handgepäck zu transportieren. 2.4 Verlust Bei Verlust eines Endgerätes ist dies umgehend dem IT-Kundencenter zu melden. Sollte das Gerät gestohlen worden sein, ist zudem Anzeige bei der Sicherheitsbehörde zu erstatten. Bei Bedarf sind in weiterer Folge geeignete Maßnahmen seitens der IT-Abteilung zu setzen. Diese beinhalten: Sperren der MAC-Adresse des Gerätes, um den Zugang zum internen Netz zu verhindern Sperren des VPN-Zugangs-Kontos (falls vorhanden) Sperren der MAIL-Synchronisation Sperren der SIM-Card Anstoßen des Incident Management Prozesses Wird ein verloren gemeldetes Endgerät wieder aufgefunden, ist dieses unmittelbar an das IT_kundencenter weiterzugeben. Dort sind geeignete Maßnahmen zu setzen, um die Integrität des Systems zu prüfen bzw. im Bedarfsfall wiederherzustellen. 2.5 Handhabung Mit mobilen Endgeräten ist stets sorgsam umzugehen. Hierfür sind auch die Betriebsbedingungen und Wartungshinweise des jeweiligen Herstellers zu beachten. Von den Benutzern dürfen keine Veränderungen an den Systemeinstellungen (z.b. Ändern der Netzwerkeinstellungen) vorgenommen werden. Eine Datenspeicherung darf nur unter Beachtung der Grundsätze gemäß Pkt. 2.1 erfolgen. Auf diese Weise kann der Schaden bei allfälligem Verlust oder Beschädigung des Geräts gering gehalten werden. 2.6 Privater Gebrauch Die Nutzung mobiler Endgeräte in der Dienstzeit hat der raschen und ordnungsgemäßen Erfüllung der dienstlichen Aufgaben zu dienen. Die Nutzung mobiler Endgeräte für private Zwecke ist verboten, sofern die verwendeten Daten einen gesetzwidrigen oder einen solchen Inhalt haben, der geeignet ist, das Ansehen der Landesverwaltung gegenüber Dritten oder sonstige dienstliche Interessen zu beeinträchtigen. Der Dienstnehmer haftet für die durch eine allfällige private Nutzung auftretenden Schäden an den mobilen Endgeräten. Die Benützer dürfen eigenständig keine Software auf den Geräten installieren, auch wenn dies auf Grund der vergebenen Rechte möglich wäre. Eine Installation von Software ist stets von der IT-Abteilung, einem bemächtigten Vertreter oder dem zuständigen Outsourcing-Partner durchzuführen K l a g e n f u r t a m W ö r t h e r s e e, M i e ß t a l e r S t r a ß e 1 D V R I n T R A n e t : h t t p : / / i nt r a n e t. k t n. g v. a t / l a d i o n - e d v AUTOR: Maurizio Papini erstellt am: :32:09 Gespeichert am: :32 gedruckt am: :32:00 DOKUMENT: , rkö_sicherheitspolitik_mobile_endgeräte_v.3.0 (Erlassversion).doc Seitte: 5 von 9

74 Abteilung 1 (Kompetenzzentrum Landesam tsdirektion) Inform ationstechnologie Spezielle Regelungen für Notebooks Private Mailaccounts Das Hinzufügen eines privaten Mailaccounts ist beim -Client (Microsoft Outlook) nicht gestattet Synchronisierung mit Netzlaufwerken Es wird empfohlen, auf den Notebooks gespeicherte Daten regelmäßig mit Netzlaufwerken zu synchronisieren. Idealerweise sollte eine Synchronisierung immer vor Trennung vom Netz und nach Wiedereinbindung ins Netz erfolgen. Nur auf diese Weise kann gewährleistet werden, dass der Datenstand auf den Servern möglichst aktuell gehalten wird. Eine etwaige Versions-Kontrolle ist von den einzelnen Abteilungen selbst zu regeln Aktualisierung der Anti-Viren-Software Alle Notebooks sind mit einer geeigneten Anti-Viren-Software ausgestattet, welche in regelmäßigen Abständen aktualisiert werden muss. Im Regelfall sollte die verwendete Viren-Definition nie älter als drei Tage sein. Es wird empfohlen, regelmäßige Scans auf Viren durchzuführen. Quick-Scans sollten in relativ kurzen Intervallen durchgeführt werden (z.b. einmal pro Tag). Vollständige Scans sollten bei Bedarf oder mindestens einmal pro Monat durchgeführt werden. Damit alle Updates und Virenschutzpattern, sowie alle Domain Policy Einstellungen aktuell sind, muss jedes Notebook in regelmäßigen Intervallen mit dem Landesnetz verbunden werden. Erfolgt dies eher selten, ist mit längeren Wartezeiten zu rechnen, bis der Rechner aktualisiert ist. Erst dann wird er in das Landesnetz verbunden. Dieses System heißt Trusted Network Computing (TNC) und wird beginnend mit der LADion IT ab Q1/2013 im gesamten Landesnetz ausgerollt Einsatz einer Personal Firewall Alle Notebooks sind mit einer Personal Firewall ausgestattet, die sehr restriktiv konfiguriert ist. Wenn das Notebook mit dem Landesnetz verbunden ist, können die Logfiles der Firewall zentral ausgewertet werden. Ein Deaktivieren der Personal Firewall ist, auch wenn im Ausnahmefall (z.b. temporärer lokaler Admin) dafür die erforderlichen Rechte vorhanden wären, verboten K l a g e n f u r t a m W ö r t h e r s e e, M i e ß t a l e r S t r a ß e 1 D V R I n T R A n e t : h t t p : / / i nt r a n e t. k t n. g v. a t / l a d i o n - e d v AUTOR: Maurizio Papini erstellt am: :32:09 Gespeichert am: :32 gedruckt am: :32:00 DOKUMENT: , rkö_sicherheitspolitik_mobile_endgeräte_v.3.0 (Erlassversion).doc Seitte: 6 von 9

75 Abteilung 1 (Kompetenzzentrum Landesam tsdirektion) Inform ationstechnologie Spezielle Regelungen für SmartPhones und Tablets Sichere Grundkonfiguration Für eine geeignete sichere Grundkonfiguration aller verwendeten Smart Phones und Tablets ist zu sorgen. Da dies stark modell- und herstellerabhängig ist, ist dies in Zusammenarbeit mit der LADion IT zu realisieren Starke Authentifizierung Je nach technischer Möglichkeit sind möglichst starke Authentifizierungsmethoden einzusetzen. Ist nur eine Authentifizierung über eine PIN möglich, so ist eine Mindestlänge von 4 Zeichen erforderlich, wobei eine Sperre des Geräts nach mehrmaliger Fehleingabe Standard sein muss Synchronisation Die Synchronisation von dienstlichen Smartphones mit der IT-Infrastruktur des Landes Kärnten ist grundsätzlich erlaubt bzw. erwünscht. Die Synchronisierung eines dienstlichen SmartPhones mit privaten IT-Systemen ist gestattet, wird jedoch nicht unterstützt. 2.9 Spezielle Regelungen für Wechseldatenträger Verschlüsselung von Wechseldatenträgern Eine generelle Verschlüsselung von Wechseldatenträgern ist innerhalb der IT-Infrastruktur des Landes Kärnten derzeit nicht vorgesehen Speicherung sensibler Daten Die Speicherung sensibler Daten auf Wechseldatenträgern ist ohne Verschlüsselung nicht zulässig K l a g e n f u r t a m W ö r t h e r s e e, M i e ß t a l e r S t r a ß e 1 D V R I n T R A n e t : h t t p : / / i nt r a n e t. k t n. g v. a t / l a d i o n - e d v AUTOR: Maurizio Papini erstellt am: :32:09 Gespeichert am: :32 gedruckt am: :32:00 DOKUMENT: , rkö_sicherheitspolitik_mobile_endgeräte_v.3.0 (Erlassversion).doc Seitte: 7 von 9

76 Abteilung 1 (Kompetenzzentrum Landesam tsdirektion) Inform ationstechnologie Allgemeine Richtlinien für mobile private Endgeräte, die für den Dienstbetrieb eingesetzt werden Grundsätzlich ist der Einsatz von Privatgeräten im IT-System des Landes nicht vorgesehen. Private Endgeräte werden daher nicht in das Landesnetz integriert. Allerdings kann auf Anforderung (Projektauftrag) ein Abgleich von , Kalender und Kontaktdaten, die im Microsoft Exchange-System des Landes abgelegt sind, mit privaten Endgeräten eingerichtet werden. Die dabei eingesetzte Technologie (Active Sync) überträgt die Daten zwischen dem Landessystem und dem privaten mobilen Endgerät in verschlüsselter Form. Die Verantwortung für die Datensicherheit am privaten mobilen Endgerät trägt in diesem Fall der Benutzer. Für die Verwendung des Datenabgleichs mit Active Sync hat der Anwender die Anerkennung grundsätzlicher Sicherheitsvorgaben für sein privates Endgerät dem Land schriftlich zu bestätigen. Die Regeln sind folgende: Soll ein privates mobiles Endgerät mit Active Sync an das Exchange System des Landes angebunden werden, so darf das Betriebssystem dieses Gerätes nicht modifiziert sein (z.b. durch Aufbringen eines Jailbreaks, Rootkits oder eines nicht vom Hersteller stammenden Erweiterungstool manipuliert sein). Eine Anbindung des Gerätes an einen Clouddienst mit Überleitung der Maildaten an mehrere andere private Endgeräte des Anwenders ist nicht gestattet (z.b. Einbinden eines IPhones in icloud) Der Anwender darf ein mobiles Endgerät, mit dem dienstliche Daten synchronisiert werden, nicht an Dritte weitergeben. Der Anwender verpflichtet sich, das Endgerät mit einer automatisierten Sperre (z.b. Tastensperre bei Smartphones, Locking bei Tablets mit PIN-Eingabe oder ähnlichen Mechanismen abzusichern) Der Anwender verpflichtet sich, den Diebstahl oder Verlust des Gerätes unverzüglich der LADion IT zu melden, damit die Mailsynchronisation gesperrt werden kann. Der Anwender trägt die Verantwortung, dass er die geeigneten Maßnahmen trifft, dass die Privacy Einstellungen seines mobilen Endgerätes so eingestellt sind, dass keine dienstlichen Maildaten an Dritte übermittelt werden. Außerdem hat der Anwender dafür Sorge zu tragen, dass er keine Software auf seinem Gerät installiert, die seine Accountinformationen ausspioniert. Ein allgemeiner Support für private Smartphones und Tablets wird seitens der LADion IT nicht geleistet. Der Anwender erhält von der LADion IT die Zugangsdaten für das Synchronisationstool (Active Sync) und muss sein Endgerät selbst konfigurieren, warten und updaten K l a g e n f u r t a m W ö r t h e r s e e, M i e ß t a l e r S t r a ß e 1 D V R I n T R A n e t : h t t p : / / i nt r a n e t. k t n. g v. a t / l a d i o n - e d v AUTOR: Maurizio Papini erstellt am: :32:09 Gespeichert am: :32 gedruckt am: :32:00 DOKUMENT: , rkö_sicherheitspolitik_mobile_endgeräte_v.3.0 (Erlassversion).doc Seitte: 8 von 9

77 Abteilung 1 (Kompetenzzentrum Landesam tsdirektion) Inform ationstechnologie Verweise auf andere Dokumente Generalpolicy 5 Begriffsbestimmungen / Abkürzungen MAC Media Access Control SmartPhone Kombination aus Mobiltelefon und PDA VPN Virtual Private Network 6 Änderungsprotokoll Version Datum Status/Änderung Autor Verantwortlich Initial-Version Dominik Stöttner Dominik Stöttner Internes Review Dominik Stöttner Daniel Fabian Final Draft Internes Review Maurizio Papini Rudolf Köller Freigabe Dominik Stöttner Rudolf Köller AKL-internes Review Maurizio Papini Rudolf Köller AKL-internes Review Maurizio Papini Rudolf Köller AKL-internes Review, Erweiterung auf private Endgeräte Maurizio Papini Rudolf Köller 7 Dokumentenänderungsvermerk Datum Bearbeiter Grund Papini Änderung im Bereich der Verschlüsselung von Notebooks, allg. Dokumenten- Update hinsichtlich geänderte Handhabung und Begriffsdefinitionen Köller Update und Erweiterung für private Endgeräte K l a g e n f u r t a m W ö r t h e r s e e, M i e ß t a l e r S t r a ß e 1 D V R I n T R A n e t : h t t p : / / i nt r a n e t. k t n. g v. a t / l a d i o n - e d v AUTOR: Maurizio Papini erstellt am: :32:09 Gespeichert am: :32 gedruckt am: :32:00 DOKUMENT: , rkö_sicherheitspolitik_mobile_endgeräte_v.3.0 (Erlassversion).doc Seitte: 9 von 9

Information Security Policy für Geschäftspartner

Information Security Policy für Geschäftspartner safe data, great business. Information Security Policy für Geschäftspartner Raiffeisen Informatik Center Steiermark Raiffeisen Rechenzentrum Dokument Eigentümer Version 1.3 Versionsdatum 22.08.2013 Status

Mehr

Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions

Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions Autor: Frank Schönefeld Gültig ab: 23.03.2015 / Ersetzte Ausgabe: 29.05.2012 Seite 1 von 5 Vorwort Unsere Kunden und Beschäftigten müssen

Mehr

Was Kommunen beim Datenschutz beachten müssen

Was Kommunen beim Datenschutz beachten müssen Wiesbaden DiKOM am 08.05.2012 Was Kommunen beim Datenschutz beachten müssen Rüdiger Wehrmann Der Hessische Datenschutzbeauftragte Seit 1970 Oberste Landesbehörde Dem Hessischen Landtag zugeordnet Aufsichtsbehörde

Mehr

Telearbeit. Ein Datenschutz-Wegweiser

Telearbeit. Ein Datenschutz-Wegweiser Telearbeit Ein Datenschutz-Wegweiser Inhalt Was ist Telearbeit? 4 Ist Telearbeit mit dem Datenschutz vereinbar? 5 Vorsicht bei besonders sensiblen Daten! 6 Welche Daten sind besonders schutzwürdig? 6 Unterschiede

Mehr

Datenschutzbestimmungen im Vergleich D.A.CH

Datenschutzbestimmungen im Vergleich D.A.CH Österreich Markante Phasen der Entwicklung: Datenschutzgesetz (1978) - Grundrecht auf Datenschutz, Definitionen (Daten, Betroffene, Auftraggeber, Verarbeiter, ), Meldung der Verarbeitung, Auskunftsrecht,

Mehr

INFORMATIONSSICHERHEIT GEFÄHRDUNGEN IN DER ARZTPRAXIS

INFORMATIONSSICHERHEIT GEFÄHRDUNGEN IN DER ARZTPRAXIS INFORMATIONSSICHERHEIT GEFÄHRDUNGEN IN DER ARZTPRAXIS WAS SIND INFORMATIONEN? Informationen sind essentiellen Werte einer Arztpraxis. müssen angemessen geschützt werden. 2 WAS IST INFORMATIONSSICHERHEIT?

Mehr

Online IT Check Frech Michael 15.09.2011

Online IT Check Frech Michael 15.09.2011 Online IT Check Frech Michael 5.9. Hinweise zur Nutzung! Es handelt sich hier um einen Selbsttest, der die Bereiche Basissicherheit, organisatorische Sicherheit und Rechtssicherheit betrachtet. Bei jeder

Mehr

Disaster Recovery Planung bei der NÖ Landesverwaltung

Disaster Recovery Planung bei der NÖ Landesverwaltung Disaster Recovery Planung bei der NÖ Landesverwaltung Alexander Miserka Abt. Landesamtsdirektion/Informationstechnologie Planung und Integration alexander.miserka@noel.gv.at 02742/9005/14781 Folie 1 ,

Mehr

Netz16 GmbH Managed Service / Cloud Solutions. www.netz16.de Netz16 GmbH Firmenpräsentation / Stand 2014 S. 1

Netz16 GmbH Managed Service / Cloud Solutions. www.netz16.de Netz16 GmbH Firmenpräsentation / Stand 2014 S. 1 Netz16 GmbH Managed Service / Cloud Solutions www.netz16.de Netz16 GmbH Firmenpräsentation / Stand 2014 S. 1 Vorstellung Netz16 Eckdaten unseres Unternehmens Personal 80 60 40 20 0 2010 2011 2012 2013

Mehr

Datenschutzmanagementprozesse beim Erstellen und Führen von Verfahrensverzeichnissen nach 7 LDSG

Datenschutzmanagementprozesse beim Erstellen und Führen von Verfahrensverzeichnissen nach 7 LDSG Datenschutzmanagementprozesse beim Erstellen und Führen von Verfahrensverzeichnissen nach 7 LDSG Version 1.0 Ausgabedatum 20. März 2013 Status in Bearbeitung in Abstimmung freigegeben Kontakt Angelika

Mehr

Quellschüttungsmessung und Eigendokumentation Nutzung des kommunalen Rechenzentrums

Quellschüttungsmessung und Eigendokumentation Nutzung des kommunalen Rechenzentrums Quellschüttungsmessung und Eigendokumentation Nutzung des kommunalen Rechenzentrums Gemeindeinformatikzentrum Kärnten, GIZ-K GmbH DI (FH) Sarnitz Gerd Paternion, 28. Apr 2015 GIZ-K GmbH Mit zielgerichtetem

Mehr

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts IT-Grundschutz und Datenschutz im Unternehmen implementieren Heiko Behrendt ISO 27001 Grundschutzauditor Fon:

Mehr

Berliner Beauftragter für Januar 2002 Datenschutz und Informationsfreiheit (BlnBDI)

Berliner Beauftragter für Januar 2002 Datenschutz und Informationsfreiheit (BlnBDI) Berliner Beauftragter für Januar 2002 Datenschutz und Informationsfreiheit (BlnBDI) Hinweise zur Vorabkontrolle nach dem Berliner Datenschutzgesetz (BlnDSG) Das am 30.7.2001 novellierte Berliner Datenschutzgesetz

Mehr

Sicherheitsrichtlinie für das Outsourcing von IT-Leistungen. - Beispiel -

Sicherheitsrichtlinie für das Outsourcing von IT-Leistungen. - Beispiel - Sicherheitsrichtlinie für das Outsourcing von IT-Leistungen - Beispiel - Stand: Juni 2004 INHALTSVERZEICHNIS 1 EINLEITUNG... 2 2 GELTUNGSBEREICH... 2 3 AUSWAHL EINES OUTSOURCING-DIENSTLEISTERS... 3 4 VERTRAGSSPEZIFISCHE

Mehr

Technische und organisatorische Maßnahmen der

Technische und organisatorische Maßnahmen der Seite 1 von 8 der Inhaltsverzeichnis: 1. Einleitung 2. Gesetzliche Grundlage 3. zur Umsetzung 3.1 Zutrittskontrolle 3.2 Zugangskontrolle 3.3 Zugriffskontrolle 3.4 Weitergabekontrolle 3.5 Eingabekontrolle

Mehr

Datenschutz kompakt online

Datenschutz kompakt online Datenschutz kompakt online Datenschutz im Unternehmen - schnell und rechtssicher organisiert und dokumentiert 1. Auflage 2007. Onlineprodukt. ISBN 978 3 8245 9120 6 Gewicht: 10 g Wirtschaft > Betriebswirtschaft:

Mehr

Betriebsordnung IT-SERVICES WU

Betriebsordnung IT-SERVICES WU BETRIEBSORDNUNG IT-SERVICES WU SEITE 1 Version 2011-1.0 Betriebsordnung IT-SERVICES WU 13. April 2012 Inhalt 1 Allgemeines... 2 1.1 Zweck... 2 1.2 Geltungsbereich... 2 1.3 Begriffsbestimmungen... 2 2 Aufgabenbereiche...

Mehr

Aktuelle Bedrohungslage

Aktuelle Bedrohungslage Aktuelle Bedrohungslage Seite 1 Seite 2 Waltenhofen Neuss Wiesbaden Waltenhofen Neuss Wiesbaden Security Webinar Der Weg zu Ihrem ganzheitlichen Security-Konzept in 6 Schritten Die nachfolgende Ausarbeitung

Mehr

Informationssicherheit (k)eine Frage für Ihr Unternehmen?

Informationssicherheit (k)eine Frage für Ihr Unternehmen? Ziele Informationssicherheit (k)eine Frage für Ihr Unternehmen? SSV bei connect Schnelligkeit, Sicherheit, Verfügbarkeit Vortrag von Ingrid Dubois, dubois it-consulting gmbh Informationssicherheit: Ziele

Mehr

Kurzprofil - Anforderungen an ein geprüftes Rechenzentrum

Kurzprofil - Anforderungen an ein geprüftes Rechenzentrum Kurzprofil - Anforderungen an ein geprüftes Rechenzentrum Stufe 3 tekplus Hochverfügbarkeit 24x7 Kurzprofil Rechenzentrum Stufe 3 tekplus Hochverfügbarkeit der tekit Consult Bonn GmbH TÜV Saarland Gruppe

Mehr

Datenschutzrecht. Grundlagen. Dr. Gregor König, LLM., Datenschutzkommission. 15. November 2012

Datenschutzrecht. Grundlagen. Dr. Gregor König, LLM., Datenschutzkommission. 15. November 2012 Datenschutzrecht Grundlagen Dr. Gregor König, LLM., Datenschutzkommission 15. November 2012 Inhalt Grundlagen Datenschutzrecht Rollen und Pflichten Datenschutzrecht Betroffenenrechte Soziale Netzwerke

Mehr

Befindet sich das Rechenzentrum in einem gefährdeten Gebiet (Überflutung, Erdbeben)? >> Nein

Befindet sich das Rechenzentrum in einem gefährdeten Gebiet (Überflutung, Erdbeben)? >> Nein Gültig ab dem 01.03.2015 FACTSHEET HCM CLOUD Sicherheit, technische Daten, SLA, Optionen 1. Sicherheit und Datenschutz Wo befinden sich meine Daten? Zugegeben - der Begriff Cloud kann Unbehagen auslösen;

Mehr

Stadt Wien Social Media Manual Leitfaden für die verantwortungsvolle Kommunikation im Web 2.0 und in Sozialen Medien

Stadt Wien Social Media Manual Leitfaden für die verantwortungsvolle Kommunikation im Web 2.0 und in Sozialen Medien Stadt Wien Social Media Manual Leitfaden für die verantwortungsvolle Kommunikation im Web 2.0 und in Sozialen Medien Stadt Wien Social Media Manual Leitfaden für die verantwortungsvolle Kommunikation im

Mehr

Scopevisio AG Abteilung Auftragsdatenverarbeitung Rheinwerkallee 3

Scopevisio AG Abteilung Auftragsdatenverarbeitung Rheinwerkallee 3 Scopevisio AG Abteilung Auftragsdatenverarbeitung Rheinwerkallee 3 53227 Bonn Copyright Scopevisio AG. All rights reserved. Seite 1 von 11 Copyright Scopevisio AG. All rights reserved. Seite 2 von 11 Inhalt

Mehr

Technische und organisatorische Maßnahmen des Auftragnehmers gemäß 9 BDSG

Technische und organisatorische Maßnahmen des Auftragnehmers gemäß 9 BDSG Technische und organisatorische Maßnahmen des Auftragnehmers gemäß 9 BDSG Die Server von blau direkt werden in einem Nürnberger Rechenzentrum betrieben. Mit den beteiligten Dienstleistern wurden ordnungsgemäße

Mehr

Aufstellung der techn. und organ. Maßnahmen

Aufstellung der techn. und organ. Maßnahmen Aufstellung der techn. und organ. Maßnahmen (Anlage 9 BSDG) AFI - P.M. Belz Agentur für Informatik GmbH Stuttgart Stand: 30.11.2015 1 Grundsätzliches Das Bundesdatenschutzgesetz (BDSG) schreibt mit 9

Mehr

Übersicht Kompakt-Audits Vom 01.05.2005

Übersicht Kompakt-Audits Vom 01.05.2005 Übersicht Kompakt-Audits Vom 01.05.2005 Bernhard Starke GmbH Kohlenstraße 49-51 34121 Kassel Tel: 0561/2007-452 Fax: 0561/2007-400 www.starke.de email: info@starke.de Kompakt-Audits 1/7 Inhaltsverzeichnis

Mehr

Einführung in den Datenschutz Mitarbeiterschulung nach 4g BDSG (MA4g)

Einführung in den Datenschutz Mitarbeiterschulung nach 4g BDSG (MA4g) Einführung in den Datenschutz Mitarbeiterschulung nach 4g BDSG (MA4g) Dieter Braun IT-Sicherheit & Datenschutz Gliederung Einführung 3 Personenbezogene Daten 7 Die Pflichtenverteilung 10 Daten aktiv schützen

Mehr

Sicherheitsaspekte der kommunalen Arbeit

Sicherheitsaspekte der kommunalen Arbeit Sicherheitsaspekte der kommunalen Arbeit Was ist machbar, finanzierbar, umzusetzen und unbedingt notwendig? Sicherheit in der Gemeinde Bei der Kommunikation zwischen Behörden oder zwischen Bürgerinnen,

Mehr

SiMiS-Kurzcheck zur Informationssicherheit nach ISO/IEC 27001 bzw. Datenschutz nach Bundesdatenschutzgesetz (BDSG)

SiMiS-Kurzcheck zur Informationssicherheit nach ISO/IEC 27001 bzw. Datenschutz nach Bundesdatenschutzgesetz (BDSG) Unternehmen: Branche: Ansprechpartner: Position: Straße: PLZ / Ort: Tel.: Mail: Website: Kontaktdaten Datenschutzbeauftragter: Fax: Sicherheitspolitik des Unternehmens JA NEIN 01. Besteht eine verbindliche

Mehr

I n h a l t s v e r z e i c h n i s B e t r i e b s d o k u m e n t a t i o n

I n h a l t s v e r z e i c h n i s B e t r i e b s d o k u m e n t a t i o n Checkliste I n h a l t s v e r z e i c h n i s B e t r i e b s d o k u m e n t a t i o n Seite 02 1 Betriebskonzept 0. Allgemeines Der Gliederungspunkt «0 Allgemeines» soll nicht als Kapitel gestaltet

Mehr

IT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS

IT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS IT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS 5. IT-Grundschutz-Tag 23.11.2011 Björn Schulz Agenda 1. Einleitung + Ausgangslage 2. Anforderungen 3. IT-Strukturanalyse 4. Fazit

Mehr

Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen -

Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen - Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen - Agenda Die BDGmbH Gründe für eine ISO 27001 Zertifizierung Was ist die ISO 27001? Projektablauf Welcher Nutzen konnte erzielt werden? Seite 2

Mehr

AGENDA. Einleitung. Warum IT-Notfallplanung. Was ist IT-Notfallplanung. Der IT-Notfallplan

AGENDA. Einleitung. Warum IT-Notfallplanung. Was ist IT-Notfallplanung. Der IT-Notfallplan IT-Notfallplanung AGENDA Einleitung Warum IT-Notfallplanung Was ist IT-Notfallplanung Der IT-Notfallplan Es kommt nicht darauf an, die Zukunft zu wissen, sondern auf die Zukunft vorbereitet zu sein (Perikles)

Mehr

Sicherheit und Datenschutz in der Cloud

Sicherheit und Datenschutz in der Cloud Sicherheit und Datenschutz in der Cloud Kennen Sie die Herausforderungen der Zukunft? VDE Rhein-Main e.v. Arbeitsgemeinschaft IK Thomas Kochanek Montag, den 24.10.2011 Sicherheit und Datenschutz in der

Mehr

Datenschutz und Datensicherheit

Datenschutz und Datensicherheit Datenschutz und Datensicherheit Gliederung 1. Datenschutz 2. Datensicherheit 3. Datenschutz und sicherheit in der Verbandsarbeit 12.01.14 Raphael Boezio 2 Datenschutz Was ist Datenschutz? Datenschutz ist

Mehr

Datenschutz und Datensicherheit in mittelständischen Betrieben

Datenschutz und Datensicherheit in mittelständischen Betrieben Datenschutz und Datensicherheit in mittelständischen Betrieben Vortrag beim MHUT-Mülheimer Unternehmer Treff e.v. Dienstag, 9. Februar 2010, 19.00 Uhr Datenschutz + Datensicherheit = IT-Sicherheit IT-Sicherheit

Mehr

Einführung und Umsetzung eines IT-Sicherheitsmanagements

Einführung und Umsetzung eines IT-Sicherheitsmanagements Einführung und Umsetzung eines IT-Sicherheitsmanagements Datum: 22.09.15 Autor: Olaf Korbanek IT Leiter KTR Kupplungstechnik GmbH AGENDA Vorstellung KTR Kupplungstechnik IT-Sicherheit ein weites Feld IT-Sicherheit

Mehr

Datenschutz für Künstler- und

Datenschutz für Künstler- und Datenschutz für Künstler- und Eventagenturen Dr. Günther FEUCHTINGER Abteilung Rechtspolitik www.wko.at/rp der Wirtschaftskammer Wien 1 Dr. Günther FEUCHTINGER/Datenschutz für Künstler- und Eventagenturen

Mehr

IT-Sicherheit. Abteilung IT/2 Informationstechnologie. Dr. Robert Kristöfl. 3. Dezember 2010

IT-Sicherheit. Abteilung IT/2 Informationstechnologie. Dr. Robert Kristöfl. 3. Dezember 2010 IT-Sicherheit Abteilung IT/2 Informationstechnologie Dr. Robert Kristöfl 1 3. Dezember 2010 Begriffsdefinitionen Safety / Funktionssicherheit: stellt sicher, dass sich ein IT-System konform zur erwarteten

Mehr

Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten?

Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten? Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten? Hamburg/Osnabrück/Bremen 18./25./26. November 2014 Gerd Malert Agenda 1. Kernziele des Gesetzesentwurfes 2.

Mehr

IT-Dienstleistungszentrum Berlin

IT-Dienstleistungszentrum Berlin IT-Dienstleistungszentrum Berlin»Private Cloud für das Land Berlin«25.11.2010, Kai Osterhage IT-Sicherheitsbeauftragter des ITDZ Berlin Moderne n für die Verwaltung. Private Cloud Computing Private Cloud

Mehr

Datenschutz. und Synergieeffekte. Verimax GmbH. Blatt 1. Autor:Stefan Staub Stand

Datenschutz. und Synergieeffekte. Verimax GmbH. Blatt 1. Autor:Stefan Staub Stand Datenschutz und Synergieeffekte Verimax GmbH Autor:Stefan Staub Stand Blatt 1 Nicht weil es schwer ist, wagen wir es nicht, sondern weil wir es nicht wagen, ist es schwer. Lucius Annaeus Seneca röm. Philosoph,

Mehr

Anforderungen an die technischen und organisatorischen Maßnahmen des Auftragnehmers

Anforderungen an die technischen und organisatorischen Maßnahmen des Auftragnehmers Anlage zum Vertrag zur Auftragsdatenverarbeitung Anforderungen an die technischen und organisatorischen Maßnahmen des Auftragnehmers im Rahmen der Auftragsdatenverarbeitung? Wir helfen: www.activemind.de

Mehr

Auf Nummer sicher. Der Kern der IT ist das beschleunigen von Arbeitsabläufen. Diesen kern pflegen wir.

Auf Nummer sicher. Der Kern der IT ist das beschleunigen von Arbeitsabläufen. Diesen kern pflegen wir. Wir betreuen Ihre IT Infrastruktur. Zuverlässig, messbar effizienter und auf unkompliziertem, kurzen Weg. Auf Nummer sicher. Die Anforderungen an die Unternehmens-IT steigen kontinuierlich. Sie muss Anwendungen

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit und der IT-Sicherheit Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit 5.1 Sicherheitskonzept Aufgabe: Welche Aspekte sollten in einem Sicherheitskonzept, das den laufenden Betrieb der

Mehr

IT-Grundschutz - der direkte Weg zur Informationssicherheit

IT-Grundschutz - der direkte Weg zur Informationssicherheit IT-Grundschutz - der direkte Weg zur Informationssicherheit Bundesamt für Sicherheit in der Informationstechnik Referat IT-Sicherheitsmanagement und IT-Grundschutz Security-Forum 08.10.2008 Überblick IT-Grundschutz-Methodik

Mehr

Elektronischer Rechtsverkehr Einfache und sichere Kommunikation mit Österreichs Gerichten und Behörden

Elektronischer Rechtsverkehr Einfache und sichere Kommunikation mit Österreichs Gerichten und Behörden Elektronischer Rechtsverkehr Einfache und sichere Kommunikation mit Österreichs Gerichten und Behörden AMT DER KÄRNTNER LANDESREGIERUNG Abteilung 1 (Kompetenzzentrum Landesamtsdirektion) Informationstechnologie

Mehr

Avira Professional / Server Security. Date

Avira Professional / Server Security. Date Date Agenda Wozu benötige ich einen Virenschutz für Workstations/Server? Systemanforderungen der Avira Professional Security Was bietet die Avira Professional Security? Systemanforderungen der Avira Professional

Mehr

Standardisierte Umsetzung von technischen Sicherheitsmaßnahmen

Standardisierte Umsetzung von technischen Sicherheitsmaßnahmen Sicherheitsarchitektur Standardisierte Umsetzung von technischen Sicherheitsmaßnahmen Ing. Johannes MARIEL, Stabsabteilung Sicherheit & Qualität Februar 2008 www.brz.gv.at Der IT-Dienstleister des Bundes

Mehr

Die IT Verfahrensdatenbank der Freien Universität Berlin

Die IT Verfahrensdatenbank der Freien Universität Berlin elektronische Administration und Services Die IT Verfahrensdatenbank der Freien Universität Berlin Dr. Christoph Wall, Leitung eas Dietmar Dräger, IT-Sicherheit Folie 1 von 26 Freie Universität Berlin

Mehr

Elektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit

Elektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit Elektronische Signatur praktischer Nutzen für Unternehmen Grundlagen der Informationssicherheit Knut Haufe Studium der Wirtschaftsinformatik an der Technischen Universität Ilmenau Vom Bundesamt für Sicherheit

Mehr

Wir begleiten Sie in Sachen IT und Compliance

Wir begleiten Sie in Sachen IT und Compliance Wir begleiten Sie in Sachen IT und Compliance IHK Koblenz 14.03.2013 Netzwerk Netzwerkbetreuung und Netzwerkplanung Von der Konzeptphase über die Realisierung bis zur Nutzung Ihre Vorteile: Netzwerk zugeschnitten

Mehr

Einführung eines ISMS nach ISO 27001:2013

Einführung eines ISMS nach ISO 27001:2013 Einführung eines ISMS nach ISO 27001:2013 VKU-Infotag: Anforderungen an die IT-Sicherheit (c) 2013 SAMA PARTNERS Business Solutions Vorstellung Olaf Bormann Senior-Consultant Informationssicherheit Projekterfahrung:

Mehr

Dienstanweisung für die Nutzung der Schulverwaltungsrechner im Landesnetz Bildung (LanBSH)

Dienstanweisung für die Nutzung der Schulverwaltungsrechner im Landesnetz Bildung (LanBSH) Dienstanweisung für die Nutzung der Schulverwaltungsrechner im Landesnetz Bildung (LanBSH) 1. Grundsätzliches Diese Dienstanweisung bezieht sich auf die in der Schulverwaltung verwendeten PC, mit deren

Mehr

Zertifikatsprogramm der Österreichischen Computer Gesellschaft. OCG IT-Security

Zertifikatsprogramm der Österreichischen Computer Gesellschaft. OCG IT-Security Zertifikatsprogramm der Österreichischen Computer Gesellschaft OCG IT-Security Syllabus Version 1.0 OCG Österreichische Computer Gesellschaft Wollzeile 1-3 A 1010 Wien Tel: +43 (0)1 512 02 35-50 Fax: +43

Mehr

ITIL & IT-Sicherheit. Michael Storz CN8

ITIL & IT-Sicherheit. Michael Storz CN8 ITIL & IT-Sicherheit Michael Storz CN8 Inhalt Einleitung ITIL IT-Sicherheit Security-Management mit ITIL Ziele SLA Prozess Zusammenhänge zwischen Security-Management & IT Service Management Einleitung

Mehr

Checkliste zum Datenschutz

Checkliste zum Datenschutz Checkliste zum Datenschutz Diese Checkliste soll Ihnen einen ersten Überblick darüber geben, ob der Datenschutz in Ihrem Unternehmen den gesetzlichen Bestimmungen entspricht und wo ggf. noch Handlungsbedarf

Mehr

IT-Sicherheit in der Energiewirtschaft

IT-Sicherheit in der Energiewirtschaft IT-Sicherheit in der Energiewirtschaft Sicherer und gesetzeskonformer IT-Systembetrieb Dr. Joachim Müller Ausgangssituation Sichere Energieversorgung ist Voraussetzung für das Funktionieren unseres Gemeinwesens

Mehr

Datenschutz-Vereinbarung

Datenschutz-Vereinbarung Datenschutz-Vereinbarung zwischen intersales AG Internet Commerce Weinsbergstr. 190 50825 Köln, Deutschland im Folgenden intersales genannt und [ergänzen] im Folgenden Kunde genannt - 1 - 1. Präambel Die

Mehr

Datenschutz und Datensicherung

Datenschutz und Datensicherung Datenschutz und Datensicherung UWW-Treff am 26. September 2011 Über die WorNet AG Datenschutz im Unternehmen Grundlagen der Datensicherung Backuplösungen WorNet AG 2011 / Seite 1 IT-Spezialisten für Rechenzentrums-Technologien

Mehr

IT-Grundschutz-Zertifizierung von ausgelagerten Komponenten

IT-Grundschutz-Zertifizierung von ausgelagerten Komponenten Ergänzung zum Zertifizierungsschema Nr. 1 Titel ITGrundschutzZertifizierung von ausgelagerten Komponenten Status Version 1.0 Datum Diese Ergänzung zum Zertifizierungsschema gibt verbindliche Hinweise,

Mehr

Desktopvirtualisierung 2009 ACP Gruppe

Desktopvirtualisierung 2009 ACP Gruppe Konsolidieren Optimieren Automatisieren Desktopvirtualisierung Was beschäftigt Sie Nachts? Wie kann ich das Desktop- Management aufrechterhalten oder verbessern, wenn ich mit weniger mehr erreichen soll?

Mehr

Eins-A Systemhaus GmbH Sicherheit Beratung Kompetenz. Ing. Walter Espejo

Eins-A Systemhaus GmbH Sicherheit Beratung Kompetenz. Ing. Walter Espejo Eins-A Systemhaus GmbH Sicherheit Beratung Kompetenz Ing. Walter Espejo +43 (676) 662 2150 Der Eins-A Mehrwert Wir geben unseren Kunden einen Mehrwert in der Beratung der Dienstleistung und im IT Support

Mehr

Endgültige Vernichtung von Daten Risiken und rechtliche Anforderungen

Endgültige Vernichtung von Daten Risiken und rechtliche Anforderungen Endgültige Vernichtung von Daten Risiken und rechtliche Anforderungen Security Zone 2010 Themen Müssen Daten und Dokumente vernichtet werden? Informationssicherheit Geheimhaltungspflichten Datenschutzrecht

Mehr

OPTIMIEREN SIE IHRE IT-INFRASTRUKTUR. SICHERE RECHENZENTREN IN DER REGION.

OPTIMIEREN SIE IHRE IT-INFRASTRUKTUR. SICHERE RECHENZENTREN IN DER REGION. RECHENZENTREN EASY COLOCATE OPTIMIEREN SIE IHRE IT-INFRASTRUKTUR. SICHERE RECHENZENTREN IN DER REGION. Eine optimale IT-Infrastruktur ist heute ein zentraler Faktor für den Erfolg eines Unternehmens. Wenn

Mehr

Einführung in die IT Landschaft an der ZHAW

Einführung in die IT Landschaft an der ZHAW Einführung in die IT Landschaft an der ZHAW Martin Scheiwiller Building Competence. Crossing Borders. xswi@zhaw.ch / 28. August 2013 Themen 1. Netzwerkinfrastruktur 2. WEB Seiten 3. Software 4. EDV Support

Mehr

Verfahrensverzeichnis für Jedermann. gem. 4g Abs. 2 Satz 2 BDSG

Verfahrensverzeichnis für Jedermann. gem. 4g Abs. 2 Satz 2 BDSG Verfahrensverzeichnis für Jedermann Angaben zur verantwortlichen Stelle ( 4e Satz 1 Nr. 1-3 BDSG) 1. Name oder Firma der verantwortlichen Stelle ACI-EDV-Systemhaus GmbH Dresden 2.1. Leiter der verantwortlichen

Mehr

Lösungsansätze-Nicht allein die Firewall macht Unternehmen sicherer. Dipl.-Ing. Dariush Ansari Network Box Deutschland GmbH

Lösungsansätze-Nicht allein die Firewall macht Unternehmen sicherer. Dipl.-Ing. Dariush Ansari Network Box Deutschland GmbH Lösungsansätze-Nicht allein die Firewall macht Unternehmen sicherer Dipl.-Ing. Dariush Ansari Vertriebsleiter Network Box Deutschland GmbH INHALT 1. Was haben der Kauf von IT Infrastruktur und der Kauf

Mehr

Checkliste: Technische und organisatorische Maßnahmen

Checkliste: Technische und organisatorische Maßnahmen Checkliste: Technische und organisatorische Maßnahmen Folgende technische und organisatorische Maßnahmen wurden nach 9 BDSG für folgende verantwortliche Stelle getroffen: Musterstein GmbH Musterweg 2 4

Mehr

Mitarbeiterinformation

Mitarbeiterinformation Datenschutz & Gesetzliche Regelungen Praktische Hinweise Kontakt zu Ihrem Datenschutzbeauftragten Elmar Brunsch www.dbc.de Seite 1 von 5 Einleitung In den Medien haben Sie sicher schon häufig von Verstößen

Mehr

Behörde / öffentliche Stelle

Behörde / öffentliche Stelle Behörde / öffentliche Stelle Verfahrensverzeichnis des einzelnen Verfahrens nach 8 DSG NRW Lfd. Nr: Neues Verfahren: Änderung: Das Verzeichnis ist zur Einsichtnahme bestimmt ( 8 Abs. 2 Satz 1 DSG NRW)

Mehr

FORUM Gesellschaft für Informationssicherheit mbh. GenoBankSafe-IT Der IT-Sicherheitsmanager

FORUM Gesellschaft für Informationssicherheit mbh. GenoBankSafe-IT Der IT-Sicherheitsmanager FORUM Gesellschaft für Informationssicherheit mbh GenoBankSafe-IT Der IT-Sicherheitsmanager Was leistet die Software und wozu wird sie benötigt? GenoBankSafe-IT bietet ein vollständiges IT-Sicherheitskonzept

Mehr

Verfahrensverzeichnis nach 6 HDSG

Verfahrensverzeichnis nach 6 HDSG Verfahrensverzeichnis nach 6 HDSG 1 neues Verfahren Änderung Das Verzeichnis ist zur Einsichtnahme bestimmt ( 6 Abs. 2 HDSG) Das Verzeichnis ist nur teilweise zur Einsichtnahme bestimmt Ausgenommen sind

Mehr

Konzept für eine Highperformance- und Hochverfügbarkeitslösung für. einen Anbieter von Krankenhaus Abrechnungen

Konzept für eine Highperformance- und Hochverfügbarkeitslösung für. einen Anbieter von Krankenhaus Abrechnungen Konzept für eine Highperformance- und Hochverfügbarkeitslösung für Anforderungen : einen Anbieter von Krankenhaus Abrechnungen Es soll eine Cluster Lösung umgesetzt werden, welche folgende Kriterien erfüllt:

Mehr

Anlage zum Vertrag vom. Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag

Anlage zum Vertrag vom. Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag Anlage zum Vertrag vom Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag O durch Wartung bzw. O Fernwartung *Zutreffendes bitte ankreuzen Diese Anlage konkretisiert die datenschutzrechtlichen

Mehr

Lutz Grammann Datenschutz für Administratoren. St. Pius-Stift Cloppenburg 13. Oktober 2010

Lutz Grammann Datenschutz für Administratoren. St. Pius-Stift Cloppenburg 13. Oktober 2010 Lutz Grammann Datenschutz für Administratoren St. Pius-Stift Cloppenburg 13. Oktober 2010 06. Oktober 2010 Datenschutz für Administratoren 1 Erwartungen an Administratoren Mitwirkung bei der Gestaltung

Mehr

Cloud Computing. Modul im Lehrgang Unternehmensführung für KMU. Daniel Zaugg dz@sdzimpulse.ch

Cloud Computing. Modul im Lehrgang Unternehmensführung für KMU. Daniel Zaugg dz@sdzimpulse.ch Cloud Computing Modul im Lehrgang Unternehmensführung für KMU Daniel Zaugg dz@sdzimpulse.ch Zielsetzungen Die Teilnehmenden verstehen die Bedeutung und die Funktionsweise von Cloud-Computing Die wichtigsten

Mehr

Lizenzierung von Exchange Server 2013

Lizenzierung von Exchange Server 2013 Lizenzierung von Exchange Server 2013 Das Lizenzmodell von Exchange Server 2013 besteht aus zwei Komponenten: Serverlizenzen zur Lizenzierung der Serversoftware und Zugriffslizenzen, so genannte Client

Mehr

Managementhandbuch der Tintschl Communications AG

Managementhandbuch der Tintschl Communications AG Managementhandbuch der Tintschl Communications AG Version 3.1 13.02.2013 Verbindlichkeit Dieses Managementhandbuch beschreibt das Qualitätsmanagementsystem der Tintschl Communications AG. Zusammen mit

Mehr

Systemvoraussetzungen

Systemvoraussetzungen Systemvoraussetzungen Gültig ab Stotax Update 2013.1 1 Allgemeines... 2 2 Stotax Online Variante (ASP)... 2 3 Stotax Offline Variante (Inhouse)... 3 3.1 Einzelplatz... 3 3.1.1 Hardware... 3 3.1.2 Software...

Mehr

Weisungen des Kleinen Kirchenrates betreffend Datenschutz und Datensicherheit

Weisungen des Kleinen Kirchenrates betreffend Datenschutz und Datensicherheit 311.4 EVANGELISCH-REFORMIERTE GESAMTKIRCHGEMEINDE BERN Weisungen des Kleinen Kirchenrates betreffend Datenschutz und Datensicherheit vom 20. September 2006 311.4 Weisungen Datenschutz/Datensicherheit Inhaltsverzeichnis

Mehr

E i n f ü h r u n g u n d Ü b e r s i c h t

E i n f ü h r u n g u n d Ü b e r s i c h t E i n f ü h r u n g u n d Ü b e r s i c h t Informationssicherheit in Gemeinden mit einer Bevölkerungszahl < 4 000 und in privaten Organisationen mit einem Leistungsauftrag wie Alters- und Pflegeheime

Mehr

Social Media - Risiken und Gefahren für B2B-Unternehmen aus informationstechnischer und unternehmerischer Sicht

Social Media - Risiken und Gefahren für B2B-Unternehmen aus informationstechnischer und unternehmerischer Sicht Social Media - Risiken und Gefahren für B2B-Unternehmen aus informationstechnischer und unternehmerischer Sicht Referent: Herr Dipl.-Ing. Thomas Haubner Datum: 26.06.2012 02 INDEX Juli 12 www.haubner.com

Mehr

Datenschutz. Dr. Gregor König, LLM., Datenschutzkommission. E-Control

Datenschutz. Dr. Gregor König, LLM., Datenschutzkommission. E-Control Smart Grids und Smart Metering Datenschutz Dr. Gregor König, LLM., Datenschutzkommission E-Control 16. Juni 2010 Inhalt Smart Grids Grundrecht auf Datenschutz Prinzipien i i der Zulässigkeit it der Verwendung

Mehr

Technische Aspekte der ISO-27001

Technische Aspekte der ISO-27001 ISO/IEC 27001 - Aktuelles zur IT-Sicherheit Technische Aspekte der ISO-27001 Donnerstag, 19. September 2013, 14.00-18.30 Uhr Österreichische Computer Gesellschaft. 1010 Wien Überblick Norm Anhang A normativ

Mehr

Verwendung von Daten aus dem umfassenden Informationsverbundsystem EDM-Umwelt. Mag. Franz Mochty, EDM Programmleiter, Abt. VI/4, Lebensministerium

Verwendung von Daten aus dem umfassenden Informationsverbundsystem EDM-Umwelt. Mag. Franz Mochty, EDM Programmleiter, Abt. VI/4, Lebensministerium Verwendung von Daten aus dem umfassenden Informationsverbundsystem EDM-Umwelt Mag. Franz Mochty, EDM Programmleiter, Abt. VI/4, Lebensministerium Seite 1 01.06.2012 Grundrecht auf Datenschutz Grundrecht

Mehr

KES/KPMG-Sicherheitsstudie 2002. Kapitel 2: Management und Organisation der ISi. UIMC Dr. Vossbein Gmbh & Co KG, Wuppertal

KES/KPMG-Sicherheitsstudie 2002. Kapitel 2: Management und Organisation der ISi. UIMC Dr. Vossbein Gmbh & Co KG, Wuppertal KES/KPMG-Sicherheitsstudie 2002 Kapitel 2: Management und Organisation der ISi UIMC Dr. Vossbein Gmbh & Co KG, Wuppertal 2.01 Welchen Stellenwert hat die ISi für Ihr Top-Management? Nennung Prozent en

Mehr

Sicherheit im IT Umfeld

Sicherheit im IT Umfeld Sicherheit im IT Umfeld Eine Betrachtung aus der Sicht mittelständischer Unternehmen Sicherheit im IT Umfeld Gibt es eine Bedrohung für mein Unternehmen? Das typische IT Umfeld im Mittelstand, welche Gefahrenquellen

Mehr

CeSeC Certified Secure Cloud

CeSeC Certified Secure Cloud CeSeC Certified Secure Cloud - Der sichere Weg in die Cloud - 1 Bayerischer IT-Sicherheitscluster e.v. 05.10.2015 Was macht der Bayerische IT-Sicherheitscluster e.v.? Bündelung der IT-Sicherheits-Kompetenz

Mehr

THEMA: CLOUD SPEICHER

THEMA: CLOUD SPEICHER NEWSLETTER 03 / 2013 THEMA: CLOUD SPEICHER Thomas Gradinger TGSB IT Schulung & Beratung Hirzbacher Weg 3 D-35410 Hungen FON: +49 (0)6402 / 504508 FAX: +49 (0)6402 / 504509 E-MAIL: info@tgsb.de INTERNET:

Mehr

Hardware- und Software-Anforderungen IBeeS.ERP

Hardware- und Software-Anforderungen IBeeS.ERP Hardware- und Software-Anforderungen IBeeS.ERP IBeeS GmbH Stand 08.2015 www.ibees.de Seite 1 von 8 Inhalt 1 Hardware-Anforderungen für eine IBeeS.ERP - Applikation... 3 1.1 Server... 3 1.1.1 Allgemeines

Mehr

Wachsende Anzahl kommunaler Aufgaben Schwindende Finanzspielräume Demografischer Wandel Hohe IT-Ausstattung der Arbeitsplätze > Technische

Wachsende Anzahl kommunaler Aufgaben Schwindende Finanzspielräume Demografischer Wandel Hohe IT-Ausstattung der Arbeitsplätze > Technische Wachsende Anzahl kommunaler Aufgaben Schwindende Finanzspielräume Demografischer Wandel Hohe IT-Ausstattung der Arbeitsplätze > Technische Komplexität steigt > Wachsende Abhängigkeit von der IT Steigende

Mehr

Datensicherheit im schulischen Netz

Datensicherheit im schulischen Netz Datensicherheit im schulischen Netz Andreas Rittershofer Netzwerkberatertagung Meckenbeuren 2010 Vorbemerkung Ich bin kein Jurist und kann und darf daher keine Rechtsberatung geben. In kritischen Fragestellungen

Mehr

Risikoanalyse mit der OCTAVE-Methode

Risikoanalyse mit der OCTAVE-Methode Risikoanalyse mit der OCTAVE-Methode 07.05.2013 Dr. Christian Paulsen DFN-CERT Services GmbH Bedrohungslage Trends der Informationssicherheit: Hauptmotivation der Angreifer: Geld, Informationen Automatisierte

Mehr

Systemvoraussetzung. ReNoStar Verbraucherinsolvenz. Stand: August 08

Systemvoraussetzung. ReNoStar Verbraucherinsolvenz. Stand: August 08 Systemvoraussetzung ReNoStar Verbraucherinsolvenz Stand: August 08 Software ReNoStar 1.) Hardwarekonfiguration Sicherheitshinweis: Der Server ist in einem eigenem klimatisierten Raum aufzustellen. Er sollte

Mehr

Zusammenarbeit mit Partnern

Zusammenarbeit mit Partnern Zusammenarbeit mit Partnern BMW Group Anforderungen an ein BMW Satellitenbüro Folie 1 (Besetzung im Satellitenbüro durch BMW und externe Mitarbeiter) Grundsätze Die Geheimhaltung ist zwischen den Partnern

Mehr

Systemvoraussetzungen für die wiko Bausoftware ab Release 5.X

Systemvoraussetzungen für die wiko Bausoftware ab Release 5.X Systemvoraussetzungen für die wiko Bausoftware ab Release 5.X Inhalt: wiko im LAN wiko im WAN wiko & WEB-Zeiterfassung wiko im WEB wiko & Terminalserver wiko & Microsoft SQL Server Stand: 23.05.2016 Releases:

Mehr

... - nachstehend Auftraggeber genannt - ... - nachstehend Auftragnehmer genannt

... - nachstehend Auftraggeber genannt - ... - nachstehend Auftragnehmer genannt Vereinbarung zur Auftragsdatenverarbeitung gemäß 11 Bundesdatenschutzgesetz zwischen... - nachstehend Auftraggeber genannt - EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler Wirtschaftsinformatiker,

Mehr

MM-2-111-403-00. IT-Sicherheit

MM-2-111-403-00. IT-Sicherheit MM-2-111-403-00 Rev. Nr.: 01 Rev. Datum: 26.03.2014 Nächste Rev.: 26.03.2017 MM-2-111-403-00 IT-Sicherheit Seite: 1 / 8 MM-2-111-403-00 Rev. Nr.: 01 Rev. Datum: 26.03.2014 Nächste Rev.: 26.03.2017 Ziel

Mehr