Sicherheitsmanagement
|
|
- Linda Hafner
- vor 2 Jahren
- Abrufe
Transkript
1 Schicht Übergreifende Aspekte GR 1.0 GR 1.0 Sicherheitsmanagement Mit (Informations-)Sicherheitsmanagement wird die Planungs- und Lenkungsaufgabe bezeichnet, die erforderlich ist, um einen durchdachten und wirksamen Prozess zur Herstellung von Informationssicherheit aufzubauen und kontinuierlich umzusetzen. Ein funktionierendes Sicherheitsmanagement muss in die existierenden Managementstrukturen einer jeden Institution eingebettet werden. - Die Leitungsebene muss die Gesamtverantwortung für Informationssicherheit in der Institution übernehmen. - Die Leitungsebene muss eine übergeordnete Leitlinie zur Informationssicherheit verabschieden, die den Stellenwert der Informationssicherheit, die Sicherheitsziele und die wichtigsten Aspekte der Sicherheitsstrategie beschreibt. - Die Sicherheitsleitlinie muss allen Mitarbeitern und sonstigen Mitgliedern der Institution bekannt gegeben werden. - Die Leitungsebene muss einen IT-Sicherheitsbeauftragten benennen, der die Informationssicherheit in der Institution fördert und den Sicherheitsprozess steuert und koordiniert. - Der IT-Sicherheitsbeauftragte muss mit angemessenen Ressourcen ausgestattet werden und berichtet bei Bedarf direkt an die Leitungsebene. - Im Rahmen des Sicherheitsprozesses müssen für die gesamte Informationsverarbeitung ausführliche und angemessene Sicherheitsmaßnahmen festgelegt werden. - Alle Sicherheitsmaßnahmen müssen systematisch in Sicherheitskonzepten dokumentiert und regelmäßig aktualisiert werden. - Der Sicherheitsprozess und die Sicherheitskonzepte müssen die individuell geltenden Vorschriften und Regelungen berücksichtigen. Sie sollten auf anerkannten Standards basieren. - Alle Mitarbeiter der Institution und sonstige relevante Personen (wie extern Beschäftigte oder Projektmitarbeiter) müssen systematisch und zielgruppengerecht zu Sicherheitsrisiken sensibilisiert und zu Fragen der Informationssicherheit geschult werden. - Der Sicherheitsprozess, die Sicherheitskonzepte, die Leitlinie zur Informationssicherheit und die Organisationsstruktur für Informationssicherheit müssen regelmäßig auf Wirksamkeit und Angemessenheit überprüft und aktualisiert werden. Die Sicherheitsempfehlungen zum Thema Sicherheitsmanagement müssen zielgruppengerecht aufbereitet und institutionsweit veröffentlicht werden. Weitere Informationen zum Thema Sicherheitsmanagement finden sich im Baustein B 1.0 Sicherheitsmanagement der IT-Grundschutz-Kataloge sowie in den BSI-Standards und
2 Schicht Übergreifende Aspekte GR 1.1 GR 1.1 Organisation Viele Sicherheitsmaßnahmen sind auf organisatorischer Ebene zu ergreifen, insbesondere gehören dazu die allgemeinen und übergreifenden Maßnahmen, die als organisatorische Standardmaßnahmen zur Erreichung eines Mindestschutzniveaus erforderlich sind. - Für alle Aufgaben im Sicherheitsprozess müssen sowohl Verantwortlichkeiten als auch Befugnisse festgelegt sein. Alle Mitarbeiter müssen auf ihre Verantwortung für die Informationssicherheit in ihrem Einflussbereich hingewiesen worden sein. - Für alle Informationen, Anwendungen und IT-Komponenten sollte festgelegt werden, wer für diese und deren Sicherheit verantwortlich ist. Es muss auch klar geregelt sein, welche Informationen mit wem ausgetauscht werden dürfen und wie diese dabei zu schützen sind. - Es müssen konkrete Handlungsanweisungen und Verantwortlichkeiten zur Informationssicherheit festgelegt werden. Diese Regelungen sind den betroffenen Mitarbeitern in geeigneter Weise bekannt zu geben. - Die Aufgabenverteilung und die hierfür erforderlichen Funktionen sind so zu strukturieren, dass operative und kontrollierende Funktionen auf verschiedene Personen verteilt werden, um Interessenskonflikte bei den handelnden Personen zu verhindern (Funktionstrennung). - In allen Geschäftsprozessen muss es funktionierende Vertretungsregelungen geben. - Auf den verschiedenen Ebenen müssen angemessene und praktikable Berechtigungen vergeben werden (z. B. für den Zutritt zu Räumen, Zugang zu IT-Systemen, Zugriff auf Anwendungen). Es sollten immer nur so viele Rechte vergeben werden, wie es für die Aufgabenwahrnehmung notwendig ist. Es muss ein geregeltes Verfahren für die Vergabe, die Verwaltung und den Entzug von Berechtigungen geben. - Die Betriebsmittel, die zur Aufgabenerfüllung und zur Einhaltung der Sicherheitsanforderungen erforderlich sind, müssen in ausreichender Menge vorhanden sein. Es muss geeignete Prüfverfahren vor Einsatz der Betriebsmittel geben. Für die Bestandsführung müssen die Betriebsmittel in Bestandsverzeichnissen aufgelistet werden. Um den Missbrauch von Daten zu verhindern, sollte die zuverlässige Löschung oder Vernichtung von Betriebsmitteln geregelt sein. - Es sind Regelungen für Ersatzteilbeschaffung, Reparaturen und Wartungsarbeiten festzulegen, um auf Störungen bei einer nicht funktionierenden Infrastruktur adäquat reagieren zu können. Bei bestehenden Wartungsverträgen sind feste Wartungsintervalle und Wartungsdetails einzelner IT-Systeme (oder Gruppen) verbindlich zu regeln. - Betriebs- und Sachmittel, die besonderen Schutzbedingungen unterliegen, müssen so entsorgt werden, dass keine Rückschlüsse auf ihre Verwendung oder Inhalte gezogen werden können. Den Mitarbeitern sollte bekannt sein, wie mit ausgesonderten Datenträgern vor einer Vernichtung umzugehen ist. Es sollte hierfür ein Handlungsleitfaden zur Verfügung stehen. - Es muss geregelt sein, welche Reaktionen auf Verletzungen der Sicherheitsvorgaben erfolgen sollen. Nur so ist eine zielgerichtete und zeitnahe Reaktion möglich. Die Sicherheitsempfehlungen zum Thema Organisation müssen zielgruppengerecht aufbereitet und institutionsweit veröffentlicht werden. Weitere Informationen zum Thema Organisation finden sich im Baustein B 1.1 Organisation und in den weiteren Bereichen der IT-Grundschutz-Kataloge.
3 Schicht Übergreifende Aspekte GR 1.2 GR 1.2 Personal Informationssicherheit ist nicht nur eine Frage der Technik, sondern hängt in erheblichem Maße von den organisatorischen und personellen Rahmenbedingungen ab. Im Personalbereich sind daher von der Einstellung bis zum Weggang von Mitarbeitern aus der Institution eine Reihe von Sicherheitsmaßnahmen erforderlich. - Zur geregelten Einarbeitung neuer Mitarbeiter müssen diese auf bestehende Regelungen und Handlungsanweisungen zur Informationssicherheit hingewiesen werden. - Alle Mitarbeiter sollten umgehend über Regelungen zur Informationssicherheit, deren Veränderungen und ihre spezifischen Auswirkungen auf einen Geschäftsprozess oder auf das jeweilige Arbeitsumfeld unterrichtet werden. - Alle Mitarbeiter sollten explizit darauf verpflichtet werden, einschlägige Gesetze, Vorschriften und interne Regelungen einzuhalten. Außerdem sollten alle Mitarbeiter darauf hingewiesen werden, dass alle während der Arbeit erhaltenen Informationen ausschließlich zum internen Gebrauch bestimmt sind, solange sie nicht anders gekennzeichnet sind. - Vor der Einstellung neuer Mitarbeiter sollten deren akademische und berufliche Qualifikationen und (soweit möglich) deren Vertrauenswürdigkeit verifiziert werden. Die Vertrauenswürdigkeit von Personen mit besonderen Funktionen und Berechtigungen ist besonders wichtig. Daher müssen beispielsweise Administratoren sorgfältig ausgewählt werden. - Die Mitarbeiter sollten dazu motiviert werden, Regelungen zur Informationssicherheit eigenverantwortlich umzusetzen. Dazu sollten sie durch geeignete Schulungen motiviert und gefördert werden. - Administrations- und Wartungspersonal muss detailliert über die von ihnen betreuten Systeme und deren Sicherheitseigenschaften ausgebildet werden, da diese aufgrund der weitgehenden Rechte im Umgang mit der IT eine hohe Verantwortung tragen. - Es muss Vertretungsregelungen in allen Bereichen geben. Um eine kontinuierliche Verfügbarkeit wichtiger Prozesse zu erreichen, muss insbesondere dafür gesorgt werden, dass Schlüsselpositionen immer besetzt sind, sobald dies von den Abläufen her gefordert wird. - Kommunikationsprobleme innerhalb der Institution, persönliche Probleme von Mitarbeitern, ein schlechtes Betriebsklima und andere Faktoren können zu Unzufriedenheit und damit zu Sicherheitsrisiken führen. Um hier rechtzeitig vorbeugen zu können, sollten geeignete Anlaufstellen (z. B. Mitarbeitervertretungen) eingerichtet werden. - Bei Mitarbeitern, die die Institution verlassen oder andere Funktionen übernehmen, müssen bestehende Regelungen mit erhöhter Sorgfalt überprüft werden. Nachfolger müssen eingearbeitet werden, Unterlagen sind zurückzugeben und erteilte Berechtigungen sind wieder zu entziehen. Vor der Verabschiedung sollte noch einmal explizit auf Verschwiegenheitsverpflichtungen hingewiesen werden. Die Sicherheitsempfehlungen zum Thema Personal müssen zielgruppengerecht aufbereitet und institutionsweit veröffentlicht werden. Weitere Informationen zum Thema personelle Sicherheit finden sich im Baustein B 1.2 Personal und in weiteren Bereichen der IT-Grundschutz-Kataloge.
4 Schicht Übergreifende Aspekte GR 1.3 GR 1.3 Notfallmanagement Der Notfallmanagement einer Behörde oder eines Unternehmens umfasst sowohl die Notfallvorsorge, als auch Aspekte zur Bewältigung eines Notfalls. Dazu ist der Aufbau geeigneter Organisationsstrukturen und Regelungen für den Umgang mit Notfällen aller Art notwendig. - Die Leitungsebene muss hinter den Zielen des Notfallmanagements stehen und sich ihrer Verantwortung dafür bewusst sein. Die Leitungsebene muss den Notfallmanagement-Prozess initiieren, steuern und kontrollieren, damit dieser in der Institution auch in allen Bereichen umgesetzt wird. - Es müssen die organisatorischen Voraussetzungen für das Notfallmanagement geschaffen werden, d. h. Rollen und Verantwortlichkeiten müssen definiert und von der Leitungsebene ein ausreichendes Budget zur Verfügung gestellt werden. Es muss ein Notfallbeauftragter benannt werden, der den Notfallmanagement-Prozess steuert und koordiniert. - Auf Basis einer Schutzbedarfsanalyse oder einer Business Impact Analyse und einer anschließenden Risikoanalyse müssen die Auswirkungen von Geschäftsunterbrechungen untersucht sowie die Verfügbarkeitsanforderungen an die Geschäftsprozesse und deren benötigten Ressourcen ermittelt werden. - Die kritischen Prozesse müssen definiert und analysiert werden, danach folgt die Auswahl einer angemessenen Strategie, um einerseits Ausfallrisiken zu reduzieren und andererseits nach dem Auftreten von Notfällen Ausfallzeiten verkürzen zu können. Diese werden in einem Notfallvorsorgekonzept dokumentiert. - Für eine rasche Notfallbewältigung ist ein Notfallhandbuch zu erstellen, in dem beschrieben wird, welche Maßnahmen bei einem Notfall durchgeführt und umgesetzt werden müssen. Das Notfallhandbuch sollte mindestens Alarmierungspläne, Meldewege, Notfall-, Wiederanlauf-, Wiederherstellungs- und Geschäftsfortführungspläne, sowie alle wichtigen Informationen und Aufgabenzuordungen der Mitglieder des Notfallteams enthalten. - Die entwickelten Maßnahmen und Verfahren zur Notfallbewältigung müssen regelmäßig durch Übungen und Tests auf ihre Wirksamkeit untersucht werden. Notfall-Übungen erleichtern es, sich rechtzeitig im Vorfeld auf eine Notfallsituation einstellen und Fehler in der Notfallkonzeption erkennen zu können. - Um ein effizientes Notfallmanagement aufrecht zu erhalten, müssen nicht nur die Dokumente regelmäßig aktualisiert werden, sondern auch die Notfallvorsorgemaßnahmen überprüft und angepasst werden. - Alle Mitarbeiter der Institution müssen systematisch und zielgruppengerecht sensibilisiert und im Umgang mit Notfallsituationen geschult werden. So wird in der Institution eine Notfallmanagement-Kultur etabliert. Die Richtlinien und Vorgaben zum Thema Notfallmanagement müssen zielgruppengerecht aufbereitet und institutionsweit veröffentlicht werden. Weitere Informationen zum Thema Notfallmanagement finden sich im Baustein B 1.3 Notfallmanagement und in den weiteren Bereichen der IT-Grundschutz-Kataloge.
5 Schicht Übergreifende Aspekte GR 1.4 GR 1.4 Datensicherungskonzept Computersysteme und Datenträger (z. B. Festplatten) können ausfallen oder manipuliert werden. Durch den Verlust oder die Veränderungen von gespeicherten geschäftsprozessrelevanten Daten können gravierende Schäden verursacht werden. Durch regelmäßige Datensicherungen können Schäden durch Ausfälle von Datenträgern, Schadsoftware oder Manipulationen an Datenbeständen zwar nicht verhindert, deren Auswirkungen aber minimiert werden. - Um zu gewährleisten, dass alle Datenbestände regelmäßig gesichert werden, müssen für alle IT- Systeme und Anwendungen geeignete Datensicherungsverfahren festgelegt werden. Datensicherungen sollten weitgehend automatisiert erfolgen. - Es muss festgelegt werden, wer für die Datensicherung der einzelnen IT-Systeme zuständig ist. - Neben dem Datum müssen Umfang, Art der Durchführung der Sicherung sowie gewählte Parameter und die eingesetzte Hard- und Software der Datensicherungen dokumentiert werden. Ebenso sollten die wichtigsten Informationen für eine spätere Datenrekonstruktion festgehalten werden. - Die eingesetzten Speichermedien sollten ausreichend Speicherkapazität haben und müssen eindeutig beschriftet sein. - Auch die Daten mobiler IT-Systeme wie Laptops, PDAs, Handys müssen regelmäßig gesichert werden. - Backup-Datenträger müssen einerseits im Bedarfsfall schnell verfügbar sein, andererseits sollten sie aber räumlich getrennt von den gesicherten IT-Systemen aufbewahrt werden, damit sie bei Notlagen wie z. B. Brand oder Hochwasser verfügbar sind. - Es sollten nur befugte Personen auf die Datensicherungsmedien zugreifen dürfen. Vertrauliche Daten sollten vor der Sicherung möglichst verschlüsselt werden. - Es muss regelmäßig getestet werden, ob die Datensicherung auch wie gewünscht funktioniert, vor allem, ob gesicherte Daten problemlos zurückgespielt werden können. Die Sicherheitsempfehlungen zum Thema Datensicherung müssen zielgruppengerecht aufbereitet und institutionsweit veröffentlicht werden. Weitere Informationen zum Thema Datensicherung finden sich im Baustein B 1.4 Datensicherungskonzept und in den weiteren Bereichen der IT-Grundschutz-Kataloge.
6 Schicht Übergreifende Aspekte GR 1.5 GR 1.5 Datenschutz Aufgabe des Datenschutzes ist es, den Einzelnen davor zu schützen, dass er durch die Verarbeitung und den Umgang seiner personenbezogenen Daten in dem Recht beeinträchtigt wird, selbst über die Preisgabe und Verwendung seiner Daten zu bestimmen ("informationelles Selbstbestimmungsrecht"). - Die Leitungsebene muss die Gesamtverantwortung für den Datenschutz in der Institution übernehmen. - Die Leitungsebene muss einen Datenschutzbeauftragten benennen, der den Datenschutz in der Institution fördert und den ordnungsmäßigen Umgang mit personenbezogenen Daten steuert und kontrolliert. - Der Datenschutzbeauftragte muss mit angemessenen Ressourcen ausgestattet werden. Er muss bei Bedarf direkt an die Leitungsebene berichten können. - Es sollte klare Regeln für den Umgang mit personenbezogenen Daten geben, die allen Mitarbeitern und sonstigen Mitgliedern der Institution bekannt gegeben werden. Alle Beschäftigten sind bei der Aufnahme ihrer Tätigkeit auf das Datengeheimnis zu verpflichten bzw. darüber zu unterrichten. - Alle Datenschutzmaßnahmen müssen systematisch in einem Datenschutzkonzept dokumentiert und regelmäßig aktualisiert werden. - Der Datenschutzbeauftragte muss bei allen Änderungen in Geschäftsprozessen und neuen Projekten eingebunden werden, so dass er die rechtlichen Rahmenbedingungen für die Datenverarbeitung prüfen und geeignete Vorkehrungen ausarbeiten kann. - Alle Mitarbeiter der Institution und sonstige relevante Personen (wie extern Beschäftigte oder Projektmitarbeiter) müssen systematisch und zielgruppengerecht zu Datenschutzfragen sensibilisiert und zum Umgang mit personenbezogenen Daten geschult werden. Die Richtlinien und Vorgaben zum Thema Datenschutz müssen zielgruppengerecht aufbereitet und institutionsweit veröffentlicht werden. Weitere Informationen zum Thema Datenschutz finden sich im Baustein B 1.5 Datenschutz und in weiteren Bereichen der IT-Grundschutz-Kataloge.
7 Schicht Übergreifende Aspekte GR 1.6 GR 1.6 Schutz vor Schadprogrammen Wenn IT-Systeme mit Schadsoftware (Viren, Würmer, Trojanische Pferde usw.) befallen werden, kann dies die Verfügbarkeit, Integrität und Vertraulichkeit der Systeme und der darauf gespeicherten Daten gefährden. Für einen effizienten Computer-Virenschutz ist daher zu sorgen. - Es müssen zentrale Ansprechpartner mit der notwendigen Fachkunde für das Thema Schadsoftware benannt werden. - Innerhalb der vernetzten Strukturen einer Institution müssen Viren-Schutzprogramme so auf den IT-Systemen platziert werden, dass alle möglichen Infektionswege abgedeckt sind. Dabei muss sichergestellt werden, dass auch die mobilen Endgeräte ausreichend geschützt sin - Die Viren-Schutzprogramme müssen regelmäßig durch zeitnahes Einspielen von Updates und Patches auf den aktuellen Stand gebracht werden. - Schadprogramm-Signaturen müssen in möglichst kurzen Abständen, mindestens täglich, aktualisiert werden. - Auf allen IT-Systemen müssen für die Betriebssysteme sowie für alle installierten Treiber und Programme zeitnah die jeweils hierfür veröffentlichten sicherheitsrelevanten Updates und Patches eingespielt werden. Dies gilt besonders für Programme, mit denen auf Fremdnetze zugegriffen wird, beispielsweise Browser. - Die Mitarbeiter müssen darüber informiert sein, wie sie eine Infektion mit Schadsoftware verhindern können, woran sie sie erkennen und wie sie sich in einem solchen Fall zu verhalten haben. - Erkannte Infektionen mit Schadprogrammen müssen zeitnah an die zuständigen Fachkräfte gemeldet werden. Die Meldung sollte möglichst automatisch erfolgen. - Infizierte IT-Systeme müssen unverzüglich von allen Datennetzen getrennt werden und dürfen bis zur vollständigen Bereinigung nicht mehr produktiv genutzt werden. - Entdeckte Schadprogramme müssen zeitnah durch fachkundiges Personal entfernt werden. Die Sicherheitsempfehlungen zum Thema Schutz vor Schadprogrammen müssen zielgruppengerecht aufbereitet und institutionsweit veröffentlicht werden. Weitere Informationen zum Thema Schutz vor Schadprogrammen finden sich im Baustein B 1.6 Schutz vor Schadprogrammen und in den weiteren Bereichen der IT-Grundschutz-Kataloge.
8 Schicht Übergreifende Aspekte GR 1.7 GR 1.7 Kryptokonzept Damit schützenswerte Informationen nicht manipuliert werden oder in falsche Hände geraten, sollten sie durch zuverlässige kryptographische Verfahren und Techniken geschützt werden. Dies betrifft sowohl die auf den verschiedensten IT-Systemen lokal gespeicherten Daten als auch die zu übertragenen Daten. Da beim Einsatz kryptographischer Verfahren sehr viele komplexe Einflussfaktoren zu betrachten sind, sollte hierfür ein Kryptokonzept erstellt werden. - Alle Informationen sollten in Punkto Vertraulichkeit und Integrität klassifiziert sein, damit jederzeit klar ist, welche Informationen wie verschlüsselt oder signiert werden müssen - Allen Mitarbeitern müssen geeignete kryptographische Produkte zur Verfügung stehen, um Informationen verschlüsseln, signieren oder anders schützen zu können. - Dafür müssen kryptographische Produkte ausgewählt werden, die alle für den jeweiligen Einsatzzweck erforderlichen Sicherheitsfunktionalitäten bieten. Solche Produkte können dabei aus Hardware, Software, Firmware oder aus einer diesbezüglichen Kombination bestehen. Sie müssen nach dem Stand der Technik sicher und zuverlässig arbeiten, einfach zu bedienen und wenig fehleranfällig sein, außerdem sollten sie bei möglichst vielen Geschäftsprozessen, IT-Systemen und Kommunikationspartnern einsetzbar sein. - Es sollte ein Kryptokonzept entwickelt werden, in dem alle Einflussgrößen und Entscheidungskriterien für die Wahl eines konkreten kryptographischen Verfahrens und der entsprechenden Produkte berücksichtigt werden und das gleichzeitig unter Kostengesichtspunkten wirtschaftlich vertretbar ist. - Kryptographische Produkte müssen sicher betrieben werden. Dazu gehört, dass sie gegen unmittelbare Angriffe und Fremdeinwirkung geschützt werden müssen. Voreingestellte Schlüssel müssen bei der Installation geändert werden. - Die Mitarbeiter sollten im Umgang mit den von ihnen zu bedienenden Kryptoprodukten geschult werden. Sie sollten darüber hinaus für den Nutzen der kryptographischen Verfahren sensibilisiert werden und einen Überblick über kryptographische Grundbegriffe erhalten. - Kryptoprodukte können nur dann sicher betrieben werden, wenn geeignete Schlüssel vertraulich, integer und authentisch erzeugt, verteilt und installiert worden sind (Schlüsselmanagement). Die Schlüsselerzeugung sollte in sicherer Umgebung und unter Einsatz geeigneter Schlüsselgeneratoren erfolgen. Schlüsselverteilung und Schlüsselaustausch müssen so abgesichert werden, dass unbefugte Kenntnisnahme bzw. Verfälschung der Schlüssel verhindert oder wenigstens erkannt werden können. Kryptographische Schlüssel müssen regelmäßig gewechselt werden. - Es muss geklärt werden, wie Datensicherungen der verschlüsselten Daten angefertigt werden. Ebenso muss auch überlegt werden, ob und wie die benutzten kryptographischen Schlüssel gespeichert werden sollen. Die Sicherheitsempfehlungen zum Thema Kryptokonzept müssen zielgruppengerecht aufbereitet und institutionsweit veröffentlicht werden. Weitere Informationen zum Thema Kryptokonzept finden sich im Baustein B 1.7 Kryptokonzept und in den weiteren Bereichen der IT-Grundschutz-Kataloge.
9 Schicht Übergreifende Aspekte GR 1.8 GR 1.8 Behandlung von Sicherheitsvorfällen Sicherheitsvorfälle können große Schäden nach sich ziehen, wenn deren professionelle Behandlung nicht konzipiert und eingeübt wurde. Um Schäden zu verhüten bzw. zu begrenzen, sollte die Behandlung von Sicherheitsvorfällen zügig und effizient ablaufen. Dazu ist der Aufbau geeigneter Organisationsstrukturen und Regelungen für den Umgang mit IT-Sicherheitsvorfällen aller Art notwendig. - Um jedem Mitarbeiter das richtige Verhalten beim Auftreten eines Sicherheitsvorfalls vorzugeben, sind zielgruppengerechte Richtlinien zur Behandlung von Sicherheitsvorfällen zu erstellen, abzustimmen und bekannt zu geben. Oberste Regel ist dabei, dass alle Beteiligten Ruhe bewahren und keine übereilten Maßnahmen ergreifen. - Es müssen organisatorische Voraussetzungen für den Umgang mit IT-Sicherheitsvorfällen geschaffen werden. Dafür müssen Rollen und Verantwortlichkeiten (d. h. Kompetenzen, Aufgaben und Verhaltensregeln) festgelegt und benannt werden. - Es sind Meldewege und Eskalationsstrategien für die verschiedenen Arten von Sicherheitsvorfällen zu definieren. Hierbei sollte der IT-Support mit einbezogen werden, da bereits vorhandene Vorgehensweisen zur Fehlermeldung und -behebung integriert werden sollten. - Um die Ursachen von Sicherheitsvorfällen und die entstandenen Schäden effizient und in einer sinnvollen Reihenfolge beheben zu können, ist es wichtig, die Prioritäten für die Problembeseitigung vorab festzulegen. Diese Prioritätensetzung muss regelmäßig aktualisiert werden. - Sobald die Ursache eines Sicherheitsvorfalls identifiziert worden ist, müssen Maßnahmen zu dessen Behebung ergriffen werden. Dazu muss zunächst das Problem eingegrenzt und beseitigt und anschließend der "normale" Zustand wiederhergestellt werden. Häufig ist es notwendig, die betroffenen IT-Systeme oder Standorte zu isolieren, um die Auswirkung des Sicherheitsvorfalls einzudämmen. - Die Behebung von Sicherheitsvorfällen muss ausführlich dokumentiert werden, um aufgetretene Probleme nachvollziehbar zu machen und sie sowohl bereinigen als auch um vorbeugende Maßnahmen ausarbeiten zu können, damit ein einmal erkanntes Problem nicht wieder auftritt. Zur Dokumentation gehören sowohl alle durchgeführten Aktionen inklusive der Zeitpunkte, als auch die Protokolldateien der betroffenen IT-Systeme. - Es sind geeignete Beweissicherungsmaßnahmen zu etablieren, um für eine mögliche Strafverfolgung Beweise zu sammeln. Die zuständigen Mitarbeiter sind im Umgang mit Detektions- und Beweismittelwerkzeugen zu schulen. - Von einem Sicherheitsvorfall müssen alle betroffenen internen und externen Stellen informiert werden. Hierzu muss ein klares Konzept entwickelt werden, wer durch wen in welcher Reihenfolge und in welcher Tiefe informiert wird. Auskünfte über Sicherheitsvorfälle dürfen ausschließlich durch benannte Verantwortliche, wie zum Beispiel das Sicherheitsmanagement oder die Pressestelle, gegeben werden. Die Sicherheitsempfehlungen zum Thema Behandlung von Sicherheitsvorfällen müssen zielgruppengerecht aufbereitet und institutionsweit veröffentlicht werden. Weitere Informationen zum Thema Behandlung von Sicherheitsvorfällen finden sich im Baustein B 1.8 Behandlung von Sicherheitsvorfällen und in den weiteren Bereichen der IT-Grundschutz-Kataloge.
10 Schicht Übergreifende Aspekte GR 1.9 GR 1.9 Hard- und Software-Management Für den sicheren Einsatz von IT-Systemen und IT-Anwendungen in einer Institution müssen sowohl die einzelnen IT-Komponenten angemessen geschützt, als auch alle Abläufe und Vorgänge, die diese IT- Systeme berühren, so gestaltet werden, dass das angestrebte IT-Sicherheitsniveau erreicht und beibehalten wird. Sicherheit sollte integrierter Bestandteil des gesamten Lebenszyklus eines IT-Systems bzw. eines Produktes sein. Hierfür sind klare Regelungen erforderlich, um einen ordnungsgemäßen und sicheren IT-Betrieb sicherstellen zu können. - Durch eine geeignete Benutzerkonten- und Rechteverwaltung muss sichergestellt werden, dass nur diejenigen Personen Zugang auf IT-Systeme und Zugriff auf Applikationen und Informationen haben, die aufgrund ihrer Aufgaben dazu berechtigt sind. - Die Verantwortung für die Administration von IT-Systemen und Anwendungen muss klar definiert werden. - Es sollten Standardarbeitsplätze und Standardsysteme definiert werden, die nur mit festgelegter Hardware und Software betrieben werden dürfen. Dadurch wird die Verwaltung von IT-Systemen effizienter und sicherer. - Es müssen Richtlinien für den IT-Betrieb und die IT-Nutzung definiert werden und den Benutzern bekannt gemacht werden. Dazu gehören auch Richtlinien für die Informationssicherheit. - Die Mitarbeiter sowie alle, die Zugang zu internen Informationen haben, müssen zum sicheren Umgang mit Informationstechnik und Informationen sensibilisiert und geschult werden. Für Fragen der Benutzer zur Informationssicherheit und zu IT-Themen sollte eine Betreuung sichergestellt sein. - Systemkonfigurationen müssen ausreichend dokumentiert werden. Außerdem müssen Installationshinweise, Benutzerhandbücher und -Anleitungen vorhanden sein, um Probleme zu vermeiden und um den Betrieb nach Ausfällen wieder herzustellen. - Um sicherzustellen, dass nur Befugte auf Systeme und Informationen zugreifen können, ist es wichtig, dass sich jeder vor Nutzung von IT-Systemen und IT-Anwendungen authentisieren muss. Dazu sind Regelungen, z. B. für den Umgang mit Passwörtern und deren Gestaltung, zu definieren. Die Benutzer müssen über die Regelungen und deren Anwendung sowie deren Hintergründe informiert werden. - IT-Systeme sind weniger angreifbar, wenn sie nur minimal nach außen geöffnet sind. Daher muss genau überlegt werden, welche Anwendungen und Dienste auf einem System (Internet, Fernzugriff,...) sinnvoll sind. Nur diese sollten installiert oder aktiviert werden. - Um IT-Systeme sicher betreiben zu können, ist eine regelmäßige Informationsbeschaffung zu Schwachstellen und Schadsoftware notwendig. Aktuelle sicherheitsrelevante Updates und Patches müssen zeitnah auf allen Systemen installiert werden. - Der Hard- und Software-Bestand muss regelmäßig kontrolliert werden, nicht freigegebene Hardoder Software muss entfernt werden, bei Verlust oder Diebstahl von IT-Systemen oder Komponenten müssen sofort geeignete Maßnahmen ergriffen werden. Die Sicherheitsempfehlungen zum Thema Hard- und Software-Management müssen zielgruppengerecht aufbereitet und institutionsweit veröffentlicht werden. Weitere Informationen zum Thema Hardund Software-Management finden sich im Baustein B 1.9 Hard- und Software-Management und in den weiteren Bereichen der IT-Grundschutz-Kataloge.
11 Schicht Übergreifende Aspekte GR 1.10 GR 1.10 Standardsoftware Als Standardsoftware wird Software bezeichnet, die als vorgefertigtes Produkt z. B. über den Fachhandel erworben werden kann. Sie zeichnet sich dadurch aus, dass sie vom Anwender selbst installiert wird und dass nur geringer Aufwand für die anwenderspezifische Anpassung notwendig ist. - Es sollte klare Regeln und Prozesse für den sicheren Umgang mit Standardsoftware gebe - Alle Mitarbeiter sollten wissen, dass nur explizit freigegebene Standardsoftware eingesetzt werden darf. - Die Nutzung nicht zugelassener Hard- und Software sollte möglichst technisch unterbunden werden. - Um geeignete Standardsoftware auszuwählen, sollte von den Fach- und den IT-Verantwortlichen gemeinsam ein Anforderungskatalog erstellt werden. - Bevor Standardsoftware zum Einsatz kommt, muss sie ausreichend getestet werden. Außerdem muss die optimale Konfiguration festgelegt und dokumentiert werden. - Standardsoftware muss entsprechend der bei den Tests festgelegten Installations- und Konfigurationsanweisungen auf den dafür vorgesehenen IT-Systemen installiert werden. Es sollte sichergestellt werden, dass Standardsoftware nicht in anderer Form oder auf anderen IT-Systemen installiert wird. - Die Mitarbeiter sollten angemessenen über die Anwendung der von ihnen genutzten Standardsoftware geschult sein. Dazu gehört auch die Aufklärung über eventuelle Sicherheitsrisiken und Sicherheitsfunktionalitäten der IT-Anwendungen. Die Sicherheitsempfehlungen zum Thema Standardsoftware müssen zielgruppengerecht aufbereitet und institutionsweit veröffentlicht werden. Weitere Informationen zum Thema Standardsoftware finden sich im Baustein B 1.10 Standardsoftware und in den weiteren Bereichen der IT-Grundschutz-Kataloge.
12 Schicht Übergreifende Aspekte GR 1.11 GR 1.11 Outsourcing Beim Outsourcing werden Arbeits- oder Geschäftsprozesse einer Organisation ganz oder teilweise zu externen Dienstleistern ausgelagert. Outsourcing kann sowohl Nutzung und Betrieb von Hardware und Software, aber auch Dienstleistungen betreffen. Dabei ist es unerheblich, ob die Leistung in den Räumlichkeiten des Auftraggebers oder in einer externen Betriebsstätte des Outsourcing-Dienstleisters erbracht wird. Typische Beispiele sind der Betrieb eines Rechenzentrums, einer Applikation, einer Webseite oder des Wachdienstes. - Vor der Entscheidung Geschäftsprozesse auszulagern, muss überlegt werden, ob und in welcher Form dies möglich ist. Hierbei müssen neben anderen Rahmenbedingungen auch die sicherheitsrelevanten Aspekte einbezogen werden. - Sobald die Entscheidung zum Outsourcing gefallen ist, müssen die wesentlichen übergeordneten Sicherheitsanforderungen für das Outsourcing-Vorhaben festgelegt werden. Diese sind unter anderem die Basis für die Auswahl eines Outsourcing-Dienstleisters. - Bei der Auswahl eines geeigneten Outsourcing-Dienstleisters müssen Qualifikationen der Mitarbeiter und Sicherheitsnachweise nachgefragt werden. Hierbei können Zertifikate hilfreich sein. - Bei der Vertragsgestaltung mit dem Outsourcing-Dienstleisters müssen möglichst detailliert die IT-Sicherheitsanforderungen und die Kriterien zur Messung von Servicequalität und Sicherheit beschrieben werden. Im Vertrag müssen auch Auskunfts-, Mitwirkungs- und Revisionspflichten geregelt sein. - Zwischen Auftraggeber und Outsourcing-Dienstleister muss ein detailliertes Sicherheitskonzept inklusive Notfallvorsorgekonzept abgestimmt werden. - Bei der Übertragung der Aufgaben müssen klare Führungsstrukturen geschaffen und auf beiden Seiten eindeutige Ansprechpartner benannt werden. Außerdem müssen ausreichende Tests geplant und durchgeführt werden, damit die Produktionseinführung reibungslos erfolgen kann. - Auch während des laufenden Betriebs eines Outsourcing-Vorhabens muss der Auftraggeber regelmäßige Kontrollen zur Aufrechterhaltung der IT-Sicherheit beim Dienstleister durchführen (lassen). - Nichts dauert ewig. Daher müssen Eigentumsrechte an Hard- und Software sowie die Rückgabe der Datenbestände vom Dienstleister geklärt sein. Außerdem müssen alle erforderlichen Informationen für die Weiterführung des Betriebs von IT-Systemen und IT-Anwendungen ausreichend dokumentiert sein. Die Sicherheitsempfehlungen zum Thema Outsourcing müssen zielgruppengerecht aufbereitet und institutionsweit veröffentlicht werden. Weitere Informationen zum Thema Outsourcing finden sich im Baustein B 1.11 Outsourcing und in den weiteren Bereichen der IT-Grundschutz-Kataloge.
13 Schicht Übergreifende Aspekte GR 1.12 GR 1.12 Archivierung Bei nahezu allen Geschäftsprozessen entstehen Daten, die geeignet archiviert werden müssen, um sie später wiederfinden und verwenden zu können. Die dauerhafte und unveränderbare Speicherung von elektronischen Dokumenten und anderen Daten wird als Archivierung bezeichnet. Diese ist an Regeln gebunden wie Unveränderbarkeit, langfristige Wiederauffindbarkeit und Wiedergabefähigkeit. Die Aufbewahrungsfrist muss zum Archivierungszeitpunkt festgelegt werden, es kann unter Umständen eine zeitlich unbegrenzte Verfügbarkeit gefordert sein. - Elektronische Archivierungssysteme sollten in einem dreigliedrigen Prozess (Planung, Einführung/Betrieb, Migration) eingeführt werden. Neben den Phasen "Planung" und "Einführung/Betrieb" muss eine Migrationsphase durchgeführt werden, da die eingesetzten Archivsysteme und -medien mit der Zeit technologisch und physikalisch veralten. - Vor dem Einsatz einer Archivierungslösung sind die Ziele festzulegen, die mit der Archivierung erreicht werden sollen. Die technischen, rechtlichen und organisatorischen Rahmenbedingungen müssen ermittelt werden. Die Ergebnisse müssen in einem Archivierungskonzept erfasst werden. - Es sind Richtlinien zur Administration und Benutzung des Archivsystems festzulegen, die sicherstellen, dass das Archivierungskonzept in vorgesehener Weise umgesetzt wird und die festgelegten Rahmenbedingungen eingehalten werden. - Benutzer und Administratoren sind in die Bedienung des verwendeten Archivsystems in geeigneter Weise einzuweisen. - Für Archivierungssysteme sowie die Lagerung der entstehenden Archivierungsmedien sind geeignete Standorte, Gerätschaften, Software und Datenformate zu wählen. Der Aufstellungsort des Systems sowie der Lagerungsort der Archivmedien sind vor unbefugtem Zutritt und anderen Gefährdungen zu schützen. - Der Archivierungsprozess ist kontinuierlich zu überwachen und auf Korrektheit zu prüfen. - System- und Archivdaten sowie Index-Datenbanken sind im Hinblick auf Integrität und Verfügbarkeit durch geeignete Maßnahmen besonders zu schützen. Die Richtlinien und Vorgaben zum Thema Archivierung müssen zielgruppengerecht aufbereitet und institutionsweit veröffentlicht werden. Weitere Informationen zum Thema Archivierung finden sich im Baustein B 1.12 Archivierung und in den weiteren Bereichen der IT-Grundschutz-Kataloge.
14 Schicht Übergreifende Aspekte GR 1.13 GR 1.13 Sensibilisierung und Schulung zur Informationssicherheit Um Sicherheitsmaßnahmen wirkungsvoll umsetzen zu können, muss in jeder Institution eine IT-Sicherheitskultur aufgebaut und ein Sicherheitsbewusstsein gebildet werden. Informationssicherheit betrifft ohne Ausnahme alle Mitarbeiter. Daher müssen alle Mitarbeiter in Hinblick auf die Bedeutung von Sicherheitsmaßnahmen und ihre Anwendung geschult und sensibilisiert werden. Dafür müssen Schulungskonzepte für verschiedene Zielgruppen (z. B. Administratoren, Manager, Anwender, Wachpersonal) erstellt werden. - Ein effektives Schulungs- und Sensibilisierungsprogramm zur Informationssicherheit muss aufgebaut und aufrechterhalten werden. Nur langfristige und kontinuierliche Maßnahmen bewirken eine Verhaltensänderung der Mitarbeiter hin zu einer sicheren Institution. - Die Durchführung von Schulungs- und Sensibilisierungsmaßnahmen muss nachhaltig unterstützt werden. Daher ist es wichtig, dass das Management auf die Bedeutung der Informationssicherheit aufmerksam gemacht wird. - Den Mitarbeitern muss die notwendige Kompetenz zur Informationssicherheit vermittelt werden, die sie bei der Ausführung ihrer Fachaufgaben benötigen. Den Mitarbeitern soll eine Basis gegeben werden, um die Folgen und Auswirkungen ihrer Tätigkeit sowohl im beruflichen und als auch privaten Umfeld besser einschätzen können. - Alle Mitarbeiter, die neu eingestellt oder denen neue Aufgaben zugewiesen wurden, müssen gründlich eingearbeitet und ausgebildet werden. Auch erfahrene IT-Benutzer sollten in regelmäßigen Abständen ihr Wissen auffrischen und ergänzen. - Mitarbeiter müssen über den Sinn von Sicherheitsmaßnahmen aufgeklärt werden. Dies ist besonders wichtig, wenn sie Komfort- oder Funktionseinbußen zur Folge haben. - Alle Mitarbeiter müssen die firmeninternen Abläufe kennen und wissen, an wen sie sich wenden können, falls Sicherheitsfragen auftreten oder Sicherheitsprobleme gelöst werden müssen. Die Sicherheitsempfehlungen zum Thema Schulung und Sensibilisierung müssen zielgruppengerecht aufbereitet und institutionsweit veröffentlicht werden. Weitere Informationen zum Thema Schulung und Sensibilisierung finden sich im Baustein B 1.13 Sensibilisierung und Schulung zur Informationssicherheit und in den weiteren Bereichen der IT-Grundschutz-Kataloge.
15 Schicht Übergreifende Aspekte GR 1.14 GR 1.14 Patch- und Änderungsmanagement Sicherheitslücken und Störungen im IT-Betrieb sind häufig auf fehlerhafte oder nicht erfolgte Änderungen zurückzuführen. Ein fehlendes oder vernachlässigtes Patch- oder Änderungsmanagement führt schnell zu Lücken in der Sicherheit der einzelnen Komponenten und damit zu möglichen Angriffspunkten. Ein Änderungsmanagement ist dafür zuständig, Änderungen an Anwendungen, Infrastruktur, Dokumentationen, Prozessen und Verfahren steuer- und kontrollierbar zu gestalten. - Jede Institution sollte ein funktionierendes Patch- und Änderungsmanagement haben. Alle Änderungen von Hard- und Softwareständen und Konfigurationen sollten über den Prozess des Patchund Änderungsmanagements gesteuert und kontrolliert werden. - Der Patch und Änderungsmanagementprozess muss in die Geschäftsprozesse integriert werden. - Es sollte sichergestellt werden, dass das angestrebte Sicherheitsniveau während und nach dem Einspielen von Änderungen und Patches erhalten bleibt. - Die Freigabe und Durchführung von Änderungen sollten zwischen Fachbereichen und IT-Betrieb abgestimmt und die jeweiligen Ressourcen und Interessen berücksichtigt werden. - Die Integrität und Authentizität von Softwarepaketen muss während des gesamten Patch- und Änderungsmanagementprozesses sichergestellt sein. - Die Verantwortlichkeiten für die verschiedenen Aktivitäten beim Patch- und Änderungsmanagement sollten klar definiert sein. - Es sollte einen fest definierten Ablauf geben, wie Änderungsanforderungen eingereicht, koordiniert, umgesetzt, evaluiert und abgeschlossen werden. Dieser sollte auch den Umgang mit fehlgeschlagenen Änderungen beinhalten. - Zeitweise oder permanent nicht erreichbare Geräte, wie zum Beispiel Laptops, müssen im Patchund Änderungsmanagement durch geeignete Mechanismen berücksichtigt werden. - Der Umgang mit automatischen Update-Mechanismen (Autoupdate) der verwendeten Software muss geklärt werden und passend konfiguriert werden. - Alle Änderungen an IT-Systemen sollten dokumentiert werden. Die Sicherheitsempfehlungen zum Thema Patch- und Änderungsmanagement müssen zielgruppengerecht aufbereitet und institutionsweit veröffentlicht werden. Weitere Informationen zum Thema Patchund Änderungsmanagement finden sich im Baustein B 1.14 Patch- und Änderungsmanagement und in den weiteren Bereichen der IT-Grundschutz-Kataloge.
16 Schicht Übergreifende Aspekte GR 1.15 GR 1.15 Löschen und Vernichten von Daten Damit Informationen nicht in falsche Hände geraten können, muss in einem Unternehmen oder einer Behörde die Vorgehensweise geregelt sein, wie Daten und Datenträger vollständig und zuverlässig zu löschen oder zu vernichten sind. Dabei müssen sowohl die schutzbedürftigen Informationen auf Papier oder anderen analogen Datenträgern wie Mikrofilm als auch solche, die auf digitalen Datenträgern (elektronisch, magnetisch, optisch) gespeichert sind, betrachtet werden. - Es muss klare und einfache Regeln zum Löschen und zur Entsorgung von Informationen und Datenträgern geben. - Den Mitarbeitern müssen geeignete Werkzeuge und Geräte zur Entsorgung von Informationen und Datenträgern zur Verfügung stehen. - Alle Mitarbeiter sollten über die vorhandenen Methoden zum Löschen von Informationen oder zur Vernichtung von Datenträgern informiert sein. - Informationen sollten strukturiert gehalten und nach Schutzbedarf kategorisiert werden. Dies erleichtert es, alle zu löschenden oder zu vernichtenden Informationen zu identifizieren. - Alle Arten von Information und Datenträgern müssen sicher entsorgt werden. Hierzu gehören nicht nur Server-Festplatten, auch Mobiltelefone, USB-Sticks, Ausdrucke oder Fax-Material dürfen nicht vergessen werden. - Vor der Weitergabe von Datenträgern müssen alle Restinformationen sorgfältig gelöscht werden. Die Richtlinien und Vorgaben zum Thema Löschen und Vernichten müssen zielgruppengerecht aufbereitet und institutionsweit veröffentlicht werden. Weitere Informationen zum Thema Löschen und Vernichten finden sich im Baustein B 1.15 Löschen und Vernichten von Daten und in den weiteren Bereichen der IT-Grundschutz-Kataloge.
17 Schicht Übergreifende Aspekte GR 1.16 GR 1.16 Anforderungsmanagement In jeder Institution gibt es eine Vielzahl gesetzlicher, vertraglicher und interner Richtlinien und Vorgaben, die beachtet werden müssen. Aufgabe der Leitungsebene einer Institution ist es, die Einhaltung der Anforderungen durch angemessene Überwachungsmaßnahmen sicherzustellen, also "Compliance" zu gewährleisten. - Es müssen geeignete Prozesse und Organisationsstrukturen aufgebaut werden, um den Überblick über die verschiedenen Anforderungen an die einzelnen Bereiche der Institution zu gewährleisten. Dafür müssen Verantwortliche benannt und deren Aufgaben in Bezug auf das Anforderungsmanagement festgelegt werden. - Es sollte eine strukturierte Übersicht über die Anforderungen geben, die für die Institution und deren Geschäftsprozesse relevant sind. Die Übersicht muss auf dem aktuellen Stand gehalten werden. - Es müssen geeignete Maßnahmen identifiziert und umgesetzt werden, um Verstöße gegen relevante Anforderungen zu vermeiden. - Mitarbeiter, aber auch Besucher und externe Dienstleister müssen auf ihre Sorgfaltspflichten im Umgang mit Informationen und IT-Systemen hingewiesen werden, bevor sie Zugang oder Zugriff darauf erhalten. - Es muss regelmäßig überprüft werden, ob die Sicherheitsvorgaben, die die Institution zur Erfüllungen der Anforderungen erstellt hat, eingehalten werden. Ebenso muss regelmäßig überprüft werden, ob die internen Regelungen und die rechtlichen Rahmenbedingungen noch aktuell sind. - Wenn Verstöße gegen relevante Anforderungen erkannt werden, müssen sachgerechte Korrekturmaßnahmen ergriffen werden, um die Abweichungen zu beheben. Die Richtlinien und Vorgaben zum Thema Anforderungsmanagement müssen zielgruppengerecht aufbereitet und institutionsweit veröffentlicht werden. Weitere Informationen zum Thema Anforderungsmanagement finden sich im Baustein B 1.16 Anforderungsmanagement und in den weiteren Bereichen der IT-Grundschutz-Kataloge.
18 Schicht Übergreifende Aspekte GR 1.17 GR 1.17 Cloud-Nutzung Die Nutzung von Cloud Services bietet die Möglichkeit, IT-Infrastrukturen (zum Beispiel Rechenleistung, Speicherkapazitäten), IT-Plattformen (zum Beispiel Datenbanken, Applikations-Server) oder IT-Anwendungen (zum Beispiel Auftragssteuerung, Groupware) nach kundenspezifischen Bedürfnissen als Dienst über ein Netz zu beziehen. Dabei kann die Leistung sowohl in den Räumlichkeiten des Auftraggebers als auch in einer externen Betriebsstätte des Cloud-Diensteanbieters erbracht werden. Die so ermöglichte bedarfsgerechte, skalierbare und flexible Nutzung von IT-Diensten wird unterstützt durch neuartige Geschäftsmodelle, bei denen die Abrechnung je nach Funktionsumfang, Nutzungsdauer und Anzahl der Benutzer erfolgen kann. - Die Entscheidung Cloud Services zu nutzen,ist strategischer Natur. Daher sollten relevante wirtschaftliche, technische und organisatorische Randbedingungen sowie sicherheitsrelevante Aspekte betrachtet werden und in die Erstellung einer Cloud-Nutzungs-Strategie einfließen. - Aus der Cloud-Nutzungs-Strategie ergeben sich konkrete Sicherheitsvorgaben für die Umsetzung innerhalb der Institution. Diese sollten in ausreichend detaillierter Form in einer Sicherheitsrichtlinie für die Cloud-Nutzung dokumentiert werden. - Die ermittelten Anforderungen der Institution hinsichtlich der Sicherheitsvorgaben, der relevanten Schnittstellen und des benötigten Service-Levels sollten die Grundlage für die Service-Definition des zu verwendenden Cloud-Dienstes bilden. - Voraussetzung für die anschließende Auswahl eines geeigneten Cloud-Diensteanbieters ist die Erstellung eines möglichst detaillierten Anforderungsprofils. In dieses Lastenheft sollten die Sicherheitsanforderungen sowie die Definition des Cloud-Dienstes vollständig einfließen. Das Lastenheft ist mit verfügbaren Angeboten von Cloud-Diensteanbietern abzugleichen. - Alle relevanten Aspekte des Cloud-Nutzungs-Vorhabens sollten vertraglich festgehalten und geregelt werden. Der Vertrag sollte neben Aussagen zu IT-Sicherheitsanforderungen und Kriterien zur Messung von Service-Qualität und Sicherheit auch Regelungen zu Auskunfts-, Mitwirkungs- und Revisionspflichten sowie zu einer möglichen Beendigung des Vertragsverhältnisses beinhalten. - Bevor ein Cloud Service genutzt wird, sollte dessen Einbindung in die IT der Institution geplant und umgesetzt werden. Hierbei sind insbesondere die Bandbreite der Netzanbindungen und die Sicherheitsanforderungen an die Sicherheitsgateways zu berücksichtigen. - Die Migration zu einem Cloud Service erfolgt auf Basis eines Migrationskonzeptes, in dem Vorgaben zur geplanten Form der Migration (Testphase, Pilotphase etc.) sowie zu den technischen und organisatorischen Voraussetzungen für eine Migration festgeschrieben sind. - Um die Informationssicherheit im laufenden Cloud-Nutzungs-Betrieb aufrechtzuerhalten, sind Dokumentationen und Richtlinien regelmäßig zu aktualisieren sowie regelmäßige Kontrollen, Abstimmungsrunden und die Planung und Durchführung von Übungen beziehungsweise Tests sicherzustellen. Weitere Informationen hierzu sind der Maßnahme M Aufrechterhaltung der Informationssicherheit im laufenden Cloud-Nutzungs-Betrieb zu entnehmen. - Um ein Cloud-Nutzungs-Verhältnisses geordnet zu beenden, müssen Eigentumsrechte an Hardund Software sowie die Rückgabe der Datenbestände vom Dienstleister geklärt sein. Außerdem müssen alle erforderlichen Informationen für die Weiterführung des Betriebs von IT-Systemen und IT-Anwendungen ausreichend dokumentiert sein. - Als wichtige Maßnahme zur Notfallvorsorge zählt die Erstellung eines IT-Notfallkonzeptes für die internen Prozesse bei Cloud-Nutzung. In diesem sollten relevante organisatorische und technische Punkte thematisiert werden. Die Sicherheitsempfehlungen zum Thema Cloud-Nutzung müssen zielgruppengerecht aufbereitet und institutionsweit veröffentlicht werden. Weitere Informationen zum Thema Cloud-Nutzung finden sich im Baustein B 1.17 Cloud-Nutzung und in weiteren Bereichen der IT-Grundschutz-Kataloge.
19 Schicht Infrastruktur GR 2.1 GR 2.1 Allgemeines Gebäude Ein Gebäude ermöglicht einer Institution durch seine Infrastruktureinrichtungen erst den Betrieb der Geschäftsprozesse und der zugehörigen IT. Es bildet den äußeren Schutz der Informationen und Ressourcen und muss deshalb ausreichend geschützt werden. Dabei muss einerseits das Bauwerk (Wände, Decken, Böden, Dach, Fenster und Türen) betrachtet werden und andererseits alle gebäudeweiten Versorgungseinrichtungen wie Strom, Wasser, Gas, Heizung, Rohrpost etc.. - Bei einem Gebäude müssen viele verschiedene Sicherheitsaspekte beachtet werden, von Brandschutz über Elektrik bis hin zur Zutrittskontrolle, die häufig von verschiedenen Personen betreut werden. Daher müssen aufbauend auf den Schutzzielen die verschiedenen Aufgaben und Sicherheitsmaßnahmen abgestimmt werden. - Schützenswerte Räume oder Gebäudeteile sollten nicht in exponierten oder besonders gefährdeten Bereichen untergebracht sein. - Für schutzbedürftige Gebäudeteile, Räume, Verteiler der Versorgungseinrichtungen (Strom, Wasser, Gas, Telefon, etc.) ist eine Zutrittsregelung und -kontrolle festzulegen. Hierbei sollten die betroffenen Bereiche eindeutig bestimmt und die Zahl der zutrittsberechtigten Personen auf ein Mindestmaß reduziert werden. Andere Personen sollten erst nach vorheriger Prüfung der Notwendigkeit Zutritt erhalten. Alle erteilten Zutrittsberechtigungen sollten dokumentiert werden. - Bei der Raumplanung sind die zu erwartenden elektrischen Anschlusswerte und die abzuführende Wärmemenge zu bestimmen. Bei Änderungen der Raumnutzung oder der IT-Ausstattung sind die Elektroinstallation und die Kühlung zu prüfen und anzupassen, wenn nötig. - Es muss ein umfassendes Blitz- und Überspannungsschutzkonzept erstellt und realisiert werden. - Die aus der Bauordnung erwachsenden Vorschriften zum Brandschutz sind für die Anforderungen des Brandschutzes der IT nicht ausreichend. Daher ist ein IT-bezogenes Brandschutzkonzept zu erstellen und umzusetzen. Es muss ein Brandschutzbeauftragter benannt werden. Brandschutzbegehungen sollten ein- bis zweimal im Jahr stattfinden. - Der Brandschutzbeauftragte muss über alle Tätigkeiten an Rohr- und Kabeltrassen, die Wanddurchbrüche, sowie Flure, Flucht- und Rettungswege berühren, informiert sein, um die ordnungsgemäße Ausführung von Brandschutzmaßnahmen zu kontrollieren. - Für alle Schlösser des Gebäudes ist ein Schließplan zu erstellen, dabei ist die Verwaltung der Schlüssel zentral zu regeln. Es müssen Reserveschlüssel vorhanden sein und sicher, aber für Notfälle griffbereit aufbewahrt werden. - In unbenutzten Räumen sind Fenster und nach außen gehende Türen (Balkone, Terrassen) zu schließen. - Für Notfälle sind Alarmierungspläne zu erstellen. Diese sollten unter anderem die Maßnahmen enthalten, die bei einem Notfall zu ergreifen sind, welche Gebäudeteile zu räumen sind und wer zu informieren ist. Die Alarmierungspläne sind in regelmäßigen Abständen zu überprüfen und zu aktualisieren. Die Sicherheitsempfehlungen zum Thema Gebäude müssen zielgruppengerecht aufbereitet und institutionsweit veröffentlicht werden. Weitere Informationen zum Thema Gebäude finden sich im Baustein B 2.1 Allgemeines Gebäude und in den weiteren Bereichen der IT-Grundschutz-Kataloge.
20 Schicht Infrastruktur GR 2.2 GR 2.2 Elektrotechnische Verkabelung Die ordnungsgemäße und normgerechte Ausführung der elektrotechnischen Verkabelung ist Grundlage für einen sicheren IT-Betrieb. Dabei umfasst die elektrotechnische Verkabelung von IT-Systemen und anderen Geräten alle Kabel und Verteilungen im Gebäude vom Einspeisepunkt des Verteilungsnetzbetreibers bis zu den Elektro-Anschlüssen der Verbraucher. - Die elektrotechnische Verkabelung muss für den Bedarf angemessen sein, eine Überlast ist zu vermeiden. - Für die elektrotechnische Verkabelung sind geeignete Kabeltypen unter physikalisch-mechanischer Sicht auszuwählen, die dem jeweiligen Einsatzzweck gerecht werden. - Bei der Auswahl der Trassensysteme ist darauf zu achten, dass genügend Platz für alle über die Trasse geführten Kabel vorhanden ist und dass Normen beim Verlegen der Kabel, wie z. B. maximale Biegeradien der Kabel, eingehalten werden. - Brandschutzbestimmungen müssen auf jeden Fall beachtet und elektrische Zündquellen, wie z. B. nicht überprüfte Steckdosenleisten oder ähnliches, vermieden werden. Der Brandschutzbeauftragte ist aus diesen Gründen frühzeitig mit einzubeziehen. - Es muss ein geeigneter Überspannungsschutz vorhanden sein, um mögliche Schäden an IT-Geräten in Netzen durch direkten Blitzeinschlag, Einkopplung und Schalthandlungen zu reduzieren. Überspannungsschutzeinrichtungen sollten periodisch und nach bekannten Ereignissen geprüft und ersetzt werden, wenn dies erforderlich ist. - Leitungen und Verteiler sind gegen unbefugte Zugriffe zu sichern. Die Zahl der Stellen, an denen das Kabel oder Verteiler zugänglich sind, sollte auf ein Mindestmaß reduziert werden. - Die elektrotechnische Verkabelung ist so zu gestalten, dass Fehlerstromfreiheit gewährleistet ist, da solche Fehlerströme zu schädlichen Ausgleichsströmen auf Schirmungen führen können. Die Fehlerstromfreiheit muss im laufenden Betrieb aufrechterhalten werden. - Insofern Veränderungen an der elektrotechnischen Verkabelung vorgenommen werden oder Gebäude und Räume neu verkabelt werden, ist die elektrotechnische Verkabelung genau zu dokumentieren, beispielsweise auf einem Gebäude- oder Raumplan. Bei der Dokumentation an den Kabeln ist darauf zu achten, dass diese für Befugte nachvollziehbar, aber ansonsten neutral ist. - Nicht benötigte Kabel sind zu entfernen. Damit werden Brandlasten und die Gefahr von elektrischen Störungen, z. B. durch das Verschleppen von Überspannungen, reduziert. - Die Verwendung von Mehrfachsteckdosen sollte wegen der Brandgefahr konsequent vermieden werden. Fehlende Steckdosen sollten nachgerüstet werden. Die Sicherheitsempfehlungen zum Thema Elektrotechnische Verkabelung müssen zielgruppengerecht aufbereitet und institutionsweit veröffentlicht werden. Weitere Informationen zum Thema Elektrotechnische Verkabelung finden sich im Baustein B 2.2 Elektrotechnische Verkabelung und in den weiteren Bereichen der IT-Grundschutz-Kataloge.
Sicherheitsrichtlinie für das Outsourcing von IT-Leistungen. - Beispiel -
Sicherheitsrichtlinie für das Outsourcing von IT-Leistungen - Beispiel - Stand: Juni 2004 INHALTSVERZEICHNIS 1 EINLEITUNG... 2 2 GELTUNGSBEREICH... 2 3 AUSWAHL EINES OUTSOURCING-DIENSTLEISTERS... 3 4 VERTRAGSSPEZIFISCHE
Amtliches Mitteilungsblatt
Nr. 13/12 Amtliches Mitteilungsblatt der HTW Berlin Seite 119 13/12 26. April 2012 Amtliches Mitteilungsblatt Seite Grundsätze der Informationssicherheit der HTW Berlin vom 18. April 2012.................
A u f b a u u n d O r g a n i s a t i o n s- s t r u k t u r I n f o r m a t i o n s s i c h e r- h e i t i n G e m e i n d e n
Anleitung A u f b a u u n d O r g a n i s a t i o n s- s t r u k t u r I n f o r m a t i o n s s i c h e r- h e i t i n G e m e i n d e n Inhalt 1 Einleitung... 2 2 Zweck der Informationssicherheitsorganisation...
IT-Grundschutz-Zertifizierung von ausgelagerten Komponenten
Ergänzung zum Zertifizierungsschema Nr. 1 Titel ITGrundschutzZertifizierung von ausgelagerten Komponenten Status Version 1.0 Datum Diese Ergänzung zum Zertifizierungsschema gibt verbindliche Hinweise,
Sicherheitshinweise für Administratoren. - Beispiel -
Sicherheitshinweise für Administratoren - Beispiel - Stand: Juni 2004 INHALTSVERZEICHNIS 1 EINLEITUNG... 2 2 VERANTWORTUNGSBEREICH... 2 3 VERWALTUNG DER IT-DIENSTE... 3 3.1 KONFIGURATION DER IT-DIENSTE...
IT-Sicherheitspolitik. der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein
der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein Teilnehmende Institutionen Flensburg Universität Flensburg Christian- Albrechts- Universität IFM-GEOMAR Kiel Muthesius Kunsthochschule
Einführung eines ISMS an Hochschulen Praxisbericht: Informationssicherheitsmanagement am KIT
Einführung eines ISMS an Hochschulen Praxisbericht: Informationssicherheitsmanagement am KIT STEINBUCH CENTRE FOR COMPUTING - SCC KIT University of the State of Baden-Wuerttemberg and National Research
Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3
Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Flamingoweg 1 44139 Dortmund für das IT-System RWE eoperate IT Services die Erfüllung aller
FORUM Gesellschaft für Informationssicherheit mbh. GenoBankSafe-IT Der IT-Sicherheitsmanager
FORUM Gesellschaft für Informationssicherheit mbh GenoBankSafe-IT Der IT-Sicherheitsmanager Was leistet die Software und wozu wird sie benötigt? GenoBankSafe-IT bietet ein vollständiges IT-Sicherheitskonzept
Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3
Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Agfa HealthCare GmbH Konrad-Zuse-Platz 1-3 53227 Bonn für das IT-System IMPAX/web.Access die Erfüllung aller
FORUM Gesellschaft für Informationssicherheit mbh. ForumBankSafe-IT Der IT-Sicherheitsmanager
FORUM Gesellschaft für Informationssicherheit mbh ForumBankSafe-IT Der IT-Sicherheitsmanager Was leistet die Software und wozu wird sie benötigt? ForumBankSafe-IT einführen ForumBankSafe-IT bietet ein
Informationssicherheitsleitlinie
Stand: 08.12.2010 Informationssicherheit Historie Version Datum Bemerkungen 1.0 16.06.2009 Durch Geschäftsführung herausgegeben und in Kraft getreten. 1.0.1 08.12.2010 Adressänderung des 4Com-Haupsitzes.
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts IT-Grundschutz und Datenschutz im Unternehmen implementieren Heiko Behrendt ISO 27001 Grundschutzauditor Fon:
Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5
Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen SLA Software Logistik Artland GmbH Friedrichstraße 30 49610 Quakenbrück für das IT-System Meat Integrity Solution
Schon mal an den Notfall gedacht? Vorgaben und Handl ungs- Empfehlungen zur IT-Notfallvorsorge
Schon mal an den Notfall gedacht? Vorgaben und Handl ungs- Empfehlungen zur IT-Notfallvorsorge Wozu IT-Notfallvorsorge? S k Schaden, der zum Konkurs des Unternehmens führt PENG! S limit vom Unternehmen
Notfallmanagement nach BS25999 oder BSI-Standard 100-4
Notfallmanagement nach BS25999 oder BSI-Standard 100-4 Karner & Schröppel Partnerschaft Sachverständige für Informationssicherheit und Datenschutz Unser Konzept Informationssicherheit und Datenschutz als
Information Security Policy für Geschäftspartner
safe data, great business. Information Security Policy für Geschäftspartner Raiffeisen Informatik Center Steiermark Raiffeisen Rechenzentrum Dokument Eigentümer Version 1.3 Versionsdatum 22.08.2013 Status
Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: 22.03.2013)
1. Pflichten von BelWü (Auftragnehmer) 1.1. Der Auftragnehmer darf Daten nur im Rahmen dieses Vertrages und nach den Weisungen der Schule verarbeiten. Der Auftragnehmer wird in seinem Verantwortungsbereich
Datenschutz-Vereinbarung
Datenschutz-Vereinbarung zwischen intersales AG Internet Commerce Weinsbergstr. 190 50825 Köln, Deutschland im Folgenden intersales genannt und [ergänzen] im Folgenden Kunde genannt - 1 - 1. Präambel Die
LEITLINIE ZUR INFORMATIONSSICHERHEIT. Stand: 2011
LEITLINIE ZUR INFORMATIONSSICHERHEIT Stand: 2011 Inhaltsverzeichnis Präambel... 3 Ziele und Adressatenkreis... 3 Leitsätze... 4 Organisationsstruktur... 4 Verantwortlichkeiten... 6 Abwehr von Gefährdungen...
Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit
und der IT-Sicherheit Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit 5.1 Sicherheitskonzept Aufgabe: Welche Aspekte sollten in einem Sicherheitskonzept, das den laufenden Betrieb der
MM-2-111-403-00. IT-Sicherheit
MM-2-111-403-00 Rev. Nr.: 01 Rev. Datum: 26.03.2014 Nächste Rev.: 26.03.2017 MM-2-111-403-00 IT-Sicherheit Seite: 1 / 8 MM-2-111-403-00 Rev. Nr.: 01 Rev. Datum: 26.03.2014 Nächste Rev.: 26.03.2017 Ziel
Leitfaden zum sicheren Betrieb von Smart Meter Gateways
Leitfaden zum sicheren Betrieb von Smart Meter Gateways Wer Smart Meter Gateways verwaltet, muss die IT-Sicherheit seiner dafür eingesetzten Infrastruktur nachweisen. Diesen Nachweis erbringt ein Gateway-
Anforderungen an die technischen und organisatorischen Maßnahmen des Auftragnehmers
Anlage zum Vertrag zur Auftragsdatenverarbeitung Anforderungen an die technischen und organisatorischen Maßnahmen des Auftragnehmers im Rahmen der Auftragsdatenverarbeitung? Wir helfen: www.activemind.de
SiMiS-Kurzcheck zur Informationssicherheit nach ISO/IEC 27001 bzw. Datenschutz nach Bundesdatenschutzgesetz (BDSG)
Unternehmen: Branche: Ansprechpartner: Position: Straße: PLZ / Ort: Tel.: Mail: Website: Kontaktdaten Datenschutzbeauftragter: Fax: Sicherheitspolitik des Unternehmens JA NEIN 01. Besteht eine verbindliche
Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions
Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions Autor: Frank Schönefeld Gültig ab: 23.03.2015 / Ersetzte Ausgabe: 29.05.2012 Seite 1 von 5 Vorwort Unsere Kunden und Beschäftigten müssen
INFORMATIONSSICHERHEIT GEFÄHRDUNGEN IN DER ARZTPRAXIS
INFORMATIONSSICHERHEIT GEFÄHRDUNGEN IN DER ARZTPRAXIS WAS SIND INFORMATIONEN? Informationen sind essentiellen Werte einer Arztpraxis. müssen angemessen geschützt werden. 2 WAS IST INFORMATIONSSICHERHEIT?
Scopevisio AG Abteilung Auftragsdatenverarbeitung Rheinwerkallee 3
Scopevisio AG Abteilung Auftragsdatenverarbeitung Rheinwerkallee 3 53227 Bonn Copyright Scopevisio AG. All rights reserved. Seite 1 von 11 Copyright Scopevisio AG. All rights reserved. Seite 2 von 11 Inhalt
Sicherheitsrichtlinie zur IT-Nutzung
Sicherheitsrichtlinie zur IT-Nutzung - Beispiel - Stand: Juni 2004 1/7 INHALTSVERZEICHNIS 1 EINLEITUNG... 2 2 GELTUNGSBEREICH... 2 3 UMGANG MIT INFORMATIONEN... 3 4 RECHTSVORSCHRIFTEN... 3 5 ORGANISATION...
Übersicht Kompakt-Audits Vom 01.05.2005
Übersicht Kompakt-Audits Vom 01.05.2005 Bernhard Starke GmbH Kohlenstraße 49-51 34121 Kassel Tel: 0561/2007-452 Fax: 0561/2007-400 www.starke.de email: info@starke.de Kompakt-Audits 1/7 Inhaltsverzeichnis
Technische und organisatorische Maßnahmen des Auftragnehmers gemäß 9 BDSG
Technische und organisatorische Maßnahmen des Auftragnehmers gemäß 9 BDSG Die Server von blau direkt werden in einem Nürnberger Rechenzentrum betrieben. Mit den beteiligten Dienstleistern wurden ordnungsgemäße
II 1 Verantwortung der Leitung II 1.13 Datenschutzkonzept. Gültigkeitsbereich Verantwortlich Team
Gültigkeitsbereich Verantwortlich Team Zweck AWO RV Halle Merseburg und alle Tochtergesellschaften GF Datenschutzbeauftragter ist Prozessverantwortlich Alle MA sind durchführungsverantwortlich Zweck des
IT-Grundschutz nach BSI 100-1/-4
IT-Grundschutz nach BSI 100-1/-4 Marko Rogge www.marko-rogge.de www.leiner-denzer.com 100-1, 100-2, 100-3, 100-4 100-1 100-2 Managementsysteme für Informationssicherheit (ISMS, Information Security Management
Informationssicherheit (k)eine Frage für Ihr Unternehmen?
Ziele Informationssicherheit (k)eine Frage für Ihr Unternehmen? SSV bei connect Schnelligkeit, Sicherheit, Verfügbarkeit Vortrag von Ingrid Dubois, dubois it-consulting gmbh Informationssicherheit: Ziele
Checkliste zum Datenschutz
Checkliste zum Datenschutz Diese Checkliste soll Ihnen einen ersten Überblick darüber geben, ob der Datenschutz in Ihrem Unternehmen den gesetzlichen Bestimmungen entspricht und wo ggf. noch Handlungsbedarf
Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion)
Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) I. Ziel des Datenschutzkonzeptes Das Datenschutzkonzept stellt eine zusammenfassende Dokumentation der datenschutzrechtlichen Aspekte
Projekt IT-Sicherheitskonzept.DVDV
Projekt IT-Sicherheitskonzept.DVDV Dokumentation.Sicherheitsrichtlinie.Server DVDV Dienstleister Bundesverwaltungsamt BIT 3 Barbarastr. 1 50735 Köln 10. Mai 2006 Dokumentinformationen Projekt IT-Sicherheitskonzept.DVDV
Test GmbH Test 123 20555 Hamburg Hamburg
Test GmbH Test 123 20555 Hamburg Hamburg 29.07.2015 Angaben zum Unternehmen Unternehmensdaten Unternehmen Test GmbH Adresse Test 123 20555 Hamburg Hamburg Internetadresse http://www.was-acuh-immer.de Tätigkeitsangaben
Taxifahrende Notebooks und andere Normalitäten. Frederik Humpert
Taxifahrende Notebooks und andere Normalitäten Frederik Humpert Ein paar Zahlen Von September 2004 bis Februar 2005 wurden weltweit 11.300 Laptops 31.400 Handhelds 200.000 Mobiltelefone in Taxis vergessen
Praktischer Datenschutz
Praktischer Datenschutz Heiko Behrendt Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, Kiel ULD72@datenschutzzentrum.de Praktischer Datenschutz 1 Themen 1. Behördlicher und betrieblicher
Technische und organisatorische Maßnahmen der
Seite 1 von 8 der Inhaltsverzeichnis: 1. Einleitung 2. Gesetzliche Grundlage 3. zur Umsetzung 3.1 Zutrittskontrolle 3.2 Zugangskontrolle 3.3 Zugriffskontrolle 3.4 Weitergabekontrolle 3.5 Eingabekontrolle
Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz
Tabelle: Maßn und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz (Verweis aus Maß M 7.5) Basierend auf den IT-Grundschutz-Katalogen Version 2006 Stand: November 2006, Stand der Tabelle: 22.08.07
Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5
Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen e-netz Südhessen GmbH & Co. KG Dornheimer Weg 24 64293 Darmstadt für das IT System Querverbundleitstelle Darmstadt
Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten?
Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten? Hamburg/Osnabrück/Bremen 18./25./26. November 2014 Gerd Malert Agenda 1. Kernziele des Gesetzesentwurfes 2.
IT Sicherheitsleitlinie der DATAGROUP
IT Sicherheitsleitlinie der DATAGROUP Dezember 2011 Dr. Tobias Hüttner Version 2.0 Seite 1 von 5 Änderungshistorie IT Sicherheitsleitlinie der DATAGROUP In der nachfolgenden Tabelle werden alle Änderungen
IT-Grundschutz. IT-Grundschutz. Dipl.-Inf. (FH) Thorsten Gerlach
IT-Grundschutz IT-Grundschutz modellieren modellieren Dipl.-Inf. (FH) Thorsten Gerlach IT-Grundschutz / Überblick IT- Grundschutzhandbuch (GSHB) betrachtet im Allgemeinen folgende Merkmale: Infrastruktur
Richtlinie zur Festlegung von Verantwortlichkeiten im Datenschutz
Richtlinie zur Festlegung von Verantwortlichkeiten im Datenschutz Freigabedatum: Freigebender: Version: Referenz: Klassifikation: [Freigabedatum] Leitung 1.0 DSMS 01-02-R-01 Inhaltsverzeichnis 1 Ziel...
Verfahrensverzeichnis für Jedermann. gem. 4g Abs. 2 Satz 2 BDSG
Verfahrensverzeichnis für Jedermann Angaben zur verantwortlichen Stelle ( 4e Satz 1 Nr. 1-3 BDSG) 1. Name oder Firma der verantwortlichen Stelle ACI-EDV-Systemhaus GmbH Dresden 2.1. Leiter der verantwortlichen
Datenschutzvereinbarung
Datenschutzvereinbarung Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG zwischen dem Nutzer der Plattform 365FarmNet - nachfolgend Auftraggeber genannt - und
Zielgruppengerechte Vermittlung von Themen der Informationssicherheit
Zielgruppengerechte Vermittlung von Themen der Informationssicherheit Autor: Bundesamt für Sicherheit in der Informationstechnik (BSI) Stand: Dezember 2008 Seite 1 von 9 1 Einleitung Informationssicherheit
Der Datenschutzbeauftragte im medizinischen Unternehmen. Sonnemann/Strelecki GbR
Der Datenschutzbeauftragte im medizinischen Unternehmen Datenschutzbeauftragter als Berufsbezeichnung Der Begriff Datenschutzbeauftragter stellt eine Berufsbezeichnung dar. Anlässlich der beantragten registergerichtlichen
Checkliste für die Prüfung von Auftragnehmern im Rahmen der Auftragsdatenverarbeitung
Checkliste für die Prüfung von Auftragnehmern im Rahmen der Auftragsdatenverarbeitung Erstprüfung und Folgeprüfung Seite 1 von 12 1 Gesetzliche Grundlagen zu technisch organisatorischen Maßnahmen 1.1 9
FAQ zu Datenschutz, SLA und Datensicherheit PRODATA GmbH
FAQ zu Datenschutz, SLA und Datensicherheit PRODATA GmbH Hosting, Application Management und Geschäftsprozess-Outsourcing Datenschutzbeauftragter: Jens Wiesner Seite 1 1.1 Hosting 1.1.1 Räumliche Voraussetzungen
Checkliste: Technische und organisatorische Maßnahmen
Checkliste: Technische und organisatorische Maßnahmen Folgende technische und organisatorische Maßnahmen wurden nach 9 BDSG für folgende verantwortliche Stelle getroffen: Musterstein GmbH Musterweg 2 4
IS-Revision in der Verwaltung
IS-Revision in der Verwaltung Dr. Gerhard Weck INFODAS GmbH, Köln 27. November 2009 Inhalt Nationaler Plan zur Sicherung der Informationsinfrastrukturen (NPSI) Umsetzungsplan KRITIS Umsetzungsplan Bund
Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen
Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Uniscon universal identity control GmbH Agnes-Pockels-Bogen 1 80992 München für das Verfahren IDGARD Datenschutzkasse,
Möglichkeiten der E-Mail- Archivierung für Exchange Server 2010 im Vergleich
Möglichkeiten der E-Mail- Archivierung für Exchange Server 2010 im Vergleich Seit Microsoft Exchange Server 2010 bieten sich für Unternehmen gleich zwei mögliche Szenarien an, um eine rechtskonforme Archivierung
Sicherheitstechnische Qualifizierung (SQ), Version 9.0
Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Freistuhl 7 44137 Dortmund für den Webshop RWE SmartHome Shop die Erfüllung aller Anforderungen
Orientierungshilfe. Datenschutz und Datensicherheit in Projekten: Projekt- und Produktivbetrieb
Orientierungshilfe Datenschutz und Datensicherheit in Projekten: Projekt- und Produktivbetrieb Herausgegeben vom Arbeitskreis Technische und organisatorische Datenschutzfragen der Konferenz der Datenschutzbeauftragten
Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits
Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits www.ds-easy.de Seminare für Datenschutzbeauftragte Seite 2 von 5 Egal, ob Sie sich weiterqualifizieren
Datensicherheit und Backup
Beratung Entwicklung Administration Hosting Datensicherheit und Backup Dipl.-Inform. Dominik Vallendor & Dipl.-Inform. Carl Thomas Witzenrath 25.05.2010 Tralios IT Dipl.-Inform. Dominik Vallendor und Dipl.-Inform.
Leitlinie Informationssicherheit an der Technischen Hochschule Wildau
Amtliche Mitteilungen Nr. 24/2015 17.12.2015 Leitlinie Informationssicherheit an der Technischen Hochschule Wildau Herausgeber: Hochschulring 1 Der Präsident 15745 Wildau Technische Hochschule Wildau Tel.:
Grundlagen der IT-Sicherheit für KMU: Organisatorische IT-Sicherheit
Grundlagen der IT-Sicherheit für KMU: Organisatorische IT-Sicherheit Ein Merkblatt der Industrie- und Handelskammer Hannover Technische Sicherheitsmaßnahmen allein reichen nicht aus. Obschon hier in den
Sicherheit entspannt Sichere Daten. Sicheres Geschäft. Tipps zur Informationssicherheit für Manager. TÜV SÜD Management Service GmbH
Sicherheit entspannt Sichere Daten. Sicheres Geschäft. Tipps zur Informationssicherheit für Manager TÜV SÜD Management Service GmbH Sicherheit, Verfügbarkeit und Zuverlässigkeit von Informationen stehen
Lutz Grammann Datenschutz für Administratoren. St. Pius-Stift Cloppenburg 13. Oktober 2010
Lutz Grammann Datenschutz für Administratoren St. Pius-Stift Cloppenburg 13. Oktober 2010 06. Oktober 2010 Datenschutz für Administratoren 1 Erwartungen an Administratoren Mitwirkung bei der Gestaltung
Online IT Check Frech Michael 15.09.2011
Online IT Check Frech Michael 5.9. Hinweise zur Nutzung! Es handelt sich hier um einen Selbsttest, der die Bereiche Basissicherheit, organisatorische Sicherheit und Rechtssicherheit betrachtet. Bei jeder
Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3
Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Deutsche Telekom AG Products & Innovation T-Online-Allee 1 64295 Darmstadt für das IT-System Developer Garden
... - nachstehend Auftraggeber genannt - ... - nachstehend Auftragnehmer genannt
Vereinbarung zur Auftragsdatenverarbeitung gemäß 11 Bundesdatenschutzgesetz zwischen... - nachstehend Auftraggeber genannt - EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler Wirtschaftsinformatiker,
BSI-Standard 100-4. der neue deutsche Standard zum Notfallmanagement. Dr. Marie-Luise Moschgath
BSI-Standard 100-4 der neue deutsche Standard zum Notfallmanagement Dr. Marie-Luise Moschgath Bundesamt für Sicherheit in der Informationstechnik IT-Sicherheitsmanagement und IT-Grundschutz Das BSI Das
Datenschutz. und Synergieeffekte. Verimax GmbH. Blatt 1. Autor:Stefan Staub Stand
Datenschutz und Synergieeffekte Verimax GmbH Autor:Stefan Staub Stand Blatt 1 Nicht weil es schwer ist, wagen wir es nicht, sondern weil wir es nicht wagen, ist es schwer. Lucius Annaeus Seneca röm. Philosoph,
(IT-) Notfallmanagement. gemäß BSI-Standard 100-4. Wirtschaftsinformatiker Krzysztof Paschke GRC Partner GmbH
Kammer-Workshop 2014 (IT-) Notfallmanagement gemäß BSI-Standard 100-4 Vorschlag: Screenshot-Folie (auch unter den Masterfolien angelegt) Wirtschaftsinformatiker Krzysztof Paschke GRC Partner GmbH Agenda
BSI Technische Richtlinie
Seite 1 von 8 BSI Technische Richtlinie BSI Bezeichnung: Technische Richtlinie De-Mail Bezeichnung: Anwendungsbereich: Kürzel: De-Mail Dokumentenablage IT-Sicherheit BSI TR 01201 Anwendungsbereich: Version:
Vorstellung des Bausteins 5.25 Cloud-Nutzung. IT-Grundschutz-Tag 26. Juni 2014
Vorstellung des Bausteins 5.25 Cloud-Nutzung IT-Grundschutz-Tag 26. Juni 2014 AGENDA Baustein 5.25 - Projektübersicht Was Sie in den nächsten 45 Minuten erwartet Motivation der Bausteinerstellung Wesentliche
Checkliste IT-Sicherheit
Ist die Administration organisatorisch angemessen aufgebaut? Wie werden die Bereiche Benutzerverwaltung, Rechteverwaltung, Protokollauswertung sowie Netzwerk- und Systemsicherheit abgedeckt? Sind die Bereiche
Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter
Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit lösungsorientiert Informationssicherheit ist für Unternehmen mit IT-basierten Prozessen grundlegend: Neben dem
Technische und organisatorische Maßnahmen zur Datensicherheit bei cojama Infosystems GmbH gem. 9 BDSG
Datensicherheit bei gem. 9 BDSG Der Auftragnehmer verpflichtet sich gegenüber dem Auftraggeber zur Einhaltung nachfolgender technischer und organisatorischer Maßnahmen, die zur Einhaltung der anzuwendenden
Kurzprofil - Anforderungen an ein geprüftes Rechenzentrum
Kurzprofil - Anforderungen an ein geprüftes Rechenzentrum Stufe 3 tekplus Hochverfügbarkeit 24x7 Kurzprofil Rechenzentrum Stufe 3 tekplus Hochverfügbarkeit der tekit Consult Bonn GmbH TÜV Saarland Gruppe
Wir begleiten Sie in Sachen IT und Compliance
Wir begleiten Sie in Sachen IT und Compliance IHK Koblenz 14.03.2013 Netzwerk Netzwerkbetreuung und Netzwerkplanung Von der Konzeptphase über die Realisierung bis zur Nutzung Ihre Vorteile: Netzwerk zugeschnitten
Gedanken zur Informationssicherheit und zum Datenschutz
Gedanken zur Informationssicherheit und zum Datenschutz Lesen Sie die fünf folgenden Szenarien und spielen Sie diese im Geiste einmal für Ihr Unternehmen durch: Fragen Sie einen beliebigen Mitarbeiter,
Vorwort Organisationsrichtlinie IT-Sicherheit
Vorwort Organisationsrichtlinie IT-Sicherheit Diese Richtlinie regelt die besonderen Sicherheitsbedürfnisse und -anforderungen des Unternehmens sowie die Umsetzung beim Betrieb von IT-gestützten Verfahren
WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT
WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT Technische und organisatorische Maßnahmen nach 9 BDSG - Regelungsinhalte von 9 BDSG sowie Umsetzungsmöglichkeiten der Datenschutzgebote Fraunhofer
E i n f ü h r u n g u n d Ü b e r s i c h t
E i n f ü h r u n g u n d Ü b e r s i c h t Informationssicherheit in Gemeinden mit einer Bevölkerungszahl < 4 000 und in privaten Organisationen mit einem Leistungsauftrag wie Alters- und Pflegeheime
IT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS
IT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS 5. IT-Grundschutz-Tag 23.11.2011 Björn Schulz Agenda 1. Einleitung + Ausgangslage 2. Anforderungen 3. IT-Strukturanalyse 4. Fazit
IT-Sicherheitsleitlinie der Universität der Bundeswehr München
IT-Sicherheitsleitlinie der Universität der Bundeswehr München Arbeitskreis IT-Sicherheit an der UniBwM 06.12.2006 Datum Bemerkung 25.07.2006 Erstfassung 06.12.2006 Redaktionelle Überarbeitung Revision
RHENUS OFFICE SYSTEMS. Compliance, Informationssicherheit und Datenschutz
RHENUS OFFICE SYSTEMS Compliance, Informationssicherheit und Datenschutz SCHUTZ VON INFORMATIONEN Im Informationszeitalter sind Daten ein unverzichtbares Wirtschaftsgut, das professionellen Schutz verdient.
DQS GmbH Deutsche Gesellschaft zur Zertifizierung von Managementsystemen - Frau Bettina Ilgner - August-Schanz-Straße 21 60433 Frankfurt am Main
DQS GmbH Deutsche Gesellschaft zur Zertifizierung von Managementsystemen - Frau Bettina Ilgner - August-Schanz-Straße 21 60433 Frankfurt am Main Achtung! Auftragsdatenverarbeitung Datenschutz-Kurzcheck
Leitlinien für Informationssicherheit. Düsseldorf, 12.11.2009
Leitlinien für Informationssicherheit Düsseldorf, 12.11.2009 Kurzer Überblick 47.000 Beschäftigte 50 Polizeibehörden 600 Standorte Einsatz Kriminalität Verkehr Verwaltung IT - Infrastruktur 30.000 PC 1.500
Aufbau und Nutzen einer ganzheitlichen IT- Dokumentation
Aufbau und Nutzen einer ganzheitlichen IT- Dokumentation tekom RG Baden am 23.05.2012 dokuit Manuela Reiss Mai 2012 1 Manuela Reiss Studium der Geographie Seit fast 20 Jahren Erfahrungen als Beraterin
IT-Beauftragter der Bayerischen Staatsregierung IT-Sicherheitsstrukturen in Bayern
IT-Sicherheitsstrukturen in Bayern Dr. Andreas Mück Agenda 1. Technische Rahmenbedingungen 2. Sicherheitsorganisation 3. Leitlinie zur IT-Sicherheit 4. Aktuelle Projekte Bayerisches Staatsministerium der
Einführung eines ISMS nach ISO 27001:2013
Einführung eines ISMS nach ISO 27001:2013 VKU-Infotag: Anforderungen an die IT-Sicherheit (c) 2013 SAMA PARTNERS Business Solutions Vorstellung Olaf Bormann Senior-Consultant Informationssicherheit Projekterfahrung:
IT-Grundschutz - der direkte Weg zur Informationssicherheit
IT-Grundschutz - der direkte Weg zur Informationssicherheit Bundesamt für Sicherheit in der Informationstechnik Referat IT-Sicherheitsmanagement und IT-Grundschutz Security-Forum 08.10.2008 Überblick IT-Grundschutz-Methodik
ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz
ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit
Strukturierte Informationssicherheit
Strukturierte Informationssicherheit Was muss getan werden ein kurzer Überblick. Donnerstag, 16.Juli 2009 Mark Semmler I Security Services I Mobil: +49. 163. 732 74 75 I E-Mail: kontakt_mse@mark-semmler.de
INFORMATIONEN NEUARTIG BETRACHTEN AKTEN- UND INFORMATIONSMANAGEMENT: GEWUSST WIE - VON ANFANG AN AUFBEWAHRUNGSPLÄNE FÜR AKTEN: GRUNDLAGEN
INFORMATIONEN NEUARTIG BETRACHTEN AKTEN- UND INFORMATIONSMANAGEMENT: GEWUSST WIE - VON ANFANG AN AUFBEWAHRUNGSPLÄNE FÜR AKTEN: GRUNDLAGEN EINFÜHRUNG KURZE EINFÜHRUNG IN DIE ERSTELLUNG UND VERWALTUNG VON
Was Kommunen beim Datenschutz beachten müssen
Wiesbaden DiKOM am 08.05.2012 Was Kommunen beim Datenschutz beachten müssen Rüdiger Wehrmann Der Hessische Datenschutzbeauftragte Seit 1970 Oberste Landesbehörde Dem Hessischen Landtag zugeordnet Aufsichtsbehörde
IT Best Practice Rules
Informatikdienste Direktion Reto Gutmann IT Best Practice Rules Versionskontrolle Version Historie / Status Datum Autor/in URL 1.0 Initial Version 27.08.2013 Autorengemeinschaft ID - nur für internen Gebrauch
IT-Revision als Chance für das IT- Management
IT-Revision als Chance für das IT-Management IT-Revision als Chance für das IT- Management Speakers Corners Finance Forum 2008 4./5. November 2008 Referat 29922 Stand 2.07 Die Frage lautet Wenn die IT
Datenschutz Schnellcheck. Referent Jürgen Vischer
Datenschutz Schnellcheck Referent Jürgen Vischer ISO 9001 ISO 9001 Dokumentation - der Prozesse - der Verantwortlichen - Managementverantwortlichkeit - Verbesserungszyklus - Mitarbeiterschulung & Bewusstsein
Datenschutzrechtliche Vereinbarung nach 11 BDSG zur Verarbeitung personenbezogener Daten
Datenschutzrechtliche Vereinbarung nach 11 BDSG zur Verarbeitung personenbezogener Daten Auftraggeber: Auftragnehmer: 1. Gegenstand der Vereinbarung Der Auftragnehmer erhebt / verarbeitet / nutzt personenbezogene
Checkliste: Technische und organisatorische Maßnahmen
Checkliste: Technische und organisatorische Maßnahmen Folgende technische und organisatorische Maßnahmen wurden nach 9 BDSG für folgende verantwortliche Stelle getroffen: Musterstein GmbH Musterweg 2-4