Datenschutz und Informationssicherheit

Größe: px

Ab Seite anzeigen:

Download "Datenschutz und Informationssicherheit"

Achim Schuster
vor 5 Jahren
Abrufe

1 Niedersächsischer CyberSicherheitstag 2018 Fachforum 5 Datenschutz und Informationssicherheit Axel Köhler Informationssicherheitsbeauftragter der Landesverwaltung

2 Einheitliches Managementsystem für Informationssicherheit und Datenschutz in der niedersächsischen Landesverwaltung (?) Axel Köhler Informationssicherheitsbeauftragter der Landesverwaltung

3 Die Landesverwaltung Begrenzte Governance durch Ressortprinzip 29 IT-Betriebe 319 Fachverfahren 111 IT-Services > Arbeitsplätze in ~ Lokationen ~ Endgeräte (mit IP-Telefonie)

4 ISMS der Landesverwaltung Informationssicherheitsleitlinie 8 Informationssicherheitsrichtlinien Musterdienstanweisungen, Glossar, Orientierungshilfen Zielrichtung Best of Breed (ISO 27000, BSI Grundschutz) für eine LV Risikoorientierung Modularisierung / Security by Design Große Schnittmenge von ISMS und DSMS

5 Risikoorientierung PDCA-Zyklus Prozessdefinition Dokumentenstruktur

Regelungen HWS (Fachverwaltung) P-Travel

6 Modularisierung Sicherheitskonzeption Behörde Personal Gebäude Abläufe und Regelungen HWS (Fachverwaltung) P-Travel (Fachverwaltung) Job-Börse (Fachverwaltung) PMV (Fachverwaltung Verfahrens- Risiko- Beschreibung (IT-Dienstleister) Print (IT-Dienstleister) Client (IT-Dienstleister) MDM (IT-Dienstleister) Service- Risiko- Beschreibung

7 Arbeitshypothese Ein gemeinsames Managementmodell für Datenschutz und Informationssicherheit ist in der niedersächsischen Landesverwaltung möglich und vorteilhaft. Argumente: Der vorherige Vortrag Die folgenden ergänzenden Überlegungen für die Landesverwaltung

8 Risikobewertung und Schutzziele Informationssicherheit Datenschutz Verfügbarkeit Verfügbarkeit Vertraulichkeit Vertraulichkeit Integrität Integrität Transparenz Das Vorgehen wird über Angriffsszenarien abgestimmt. Intervenierbarkeit Abstreitbarkeit

9 Verarbeitung durch mehrere Institutionen Wahrnehmung der Pflichten des Verantwortlichen gem. Art. 4 und 5 DS-GVO Rechte des Betroffenen auf: Lückenlose Auskunft über gespeicherte Daten Rechtmäßige Verarbeitung Gewährleistung techn.-organisat. Maßnahmen Verzeichnisse und Meldepflichten Datenschutzfolgeabschätzung

10 Verarbeitung durch mehrere Institutionen Auftragsverarbeiter gem. Art. 4 Abs. 10 DS-GVO Hinreichende Garantien gem. Art. 28 DS-GVO Geeignete techn.-organisatorische Maßnahmen Verarbeitung im Einklang mit der DS-GVO Schutz der Rechte der Betroffenen Vertragserfordernis Gemeinsame Verantwortung Vereinbarung zur Einhaltung der Pflichten der DS-GVO

11 Verarbeitung durch mehrere Institutionen Zu vereinbarende Inhalte können z. B. sein: Die das Fachverfahren nutzende Behörde ist für die Rechtmäßigkeit der Verarbeitung verantwortlich und muss prüfen, ob die jeweiligen rechtlichen Voraussetzungen erfüllt sind. Die nutzende Behörde gewährleistet die Betroffenenrechte, wie z.b. den Auskunftsanspruch der betroffenen Person. Die nutzende Behörde beschreibt ihre Verarbeitungstätigkeit für das Verzeichnis nach Art. 30 Abs. 1 DS-GVO. Das Fachverfahren ist dabei nur ein Mittel, um der Verarbeitungstätigkeit nachzugehen. Die nutzende Behörde ist für die Sicherheit der Daten in ihren Räumlichkeiten und auf ihren Computern verantwortlich. Für die Sicherheit des Fachverfahrens selbst ist die Behörde verantwortlich, die das Fachverfahren fachlich verantwortet. Die nutzende Behörde meldet Verletzungen des Schutzes personenbezogener Daten grundsätzlich selbst an die Aufsichtsbehörde und an die betroffenen Personen. Entsteht eine Verletzung des Schutzes personenbezogener Daten durch eine Verletzung der Integrität des Fachverfahrens, informiert der Fachverfahrenseigentümer die nutzenden Behörden und die Aufsichtsbehörde und die betroffenen Personen. Die nutzende Behörde nimmt erforderlichenfalls eine Datenschutz-Folgenabschätzung vor.

12 Verarbeitung durch mehrere Institutionen Ein standardisiertes Vorgehen für die Landesverwaltung.

13 Der Plan Gemeinsame Arbeitsgruppe der LfD und des CISO Anstreben eines gemeinsamen Managementsystems Erfüllung gesetzlicher Vorgaben Aufwandsminimierung für Erstellung und Pflege von Informationssicherheits- und Datenschutzkonzeptionen Dezember 2018 bis Februar 2019 ~ 0,5 PJ

14 Vielen Dank. Fragen? Axel Köhler Informationssicherheitsbeauftragter der niedersächsischen Landesverwaltung (CISO) Niedersächsisches Ministerium für Inneres und Sport - Referat 42 Lavesallee Hannover Tel: 0511/ Mob:

Ähnliche Dokumente

DS-GVO und IT-Grundschutz

DS-GVO und IT-Grundschutz Traumhochzeit oder Rosenkrieg? Robert Krelle IT-Sicherheitsbeauftragter Ministerium für Landwirtschaft und Umwelt Mecklenburg-Vorpommern DS-GVO IT-GS DS-GVO Datenschutz Informationssicherheit