Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts IT-Grundschutz und Datenschutz im Unternehmen implementieren Heiko Behrendt ISO 27001 Grundschutzauditor Fon: 0431 988 1212 Mail: behrendt@datenschutzzentrum.de Web: Inhalte Abgrenzung IT-Grundschutz und Datenschutz Grundschutzmethode Datenschutzkernbereiche Organisatorische Rahmenbedingungen Basis Informationsverbund Implementierung in 10 Schritten Messbarkeit IT-Grundschutz und Datenschutz im Unternehmen implementieren! 2
Unabhängiges Landeszentrum für Datenschutz SH? Prüfung Beratung Schulung inkl. DATN- SCHUTZ- AKADMI IT-Labor Modellprojekte Gütesiegel Audit Primäre Adressaten: Verwaltung Wirtschaft, Wirtschaft Wissenschaft, Verwaltung Bürger IT-Grundschutz und Datenschutz im Unternehmen implementieren! 3 Abgrenzung: Wo sind die Unterschiede? Datenschutz IT-Grundschutz Datenschutzrecht Datensicherheit K R N L M N T - Zulässigkeit der Datenverarbeitung - Zweckbindung - Transparenz - Verhältnismäßigkeit - Datenvermeidung und Datensparsamkeit - Vorabkontrolle - Verfahrensverzeichnis - Datenübermittlung - Rechte der Betroffenen - Datenschutzbeauftragte(r) - Ordnungswidrigkeiten - Haftung - Gefährdungs- und Risikoanalyse - Schutzbedürftigkeit - Technische und organisatorische Sicherheitsmaßnahmen - Überwachung und Audits - Sicherheitsmanagement - IT-Sicherheitsbeauftragte(r) - Abgrenzung der Datenverarbeitung (IT- Verbund) - Schutzbedarfsfestlegung - Grundschutzmaßnahmen - Risikoanalyse - rgänzende Sicherheitsmaßnahmen - Überwachung und Audits Z W C K - Schutz des inzelnen vor dem Missbrauch personenbezogener Daten - Schutz des informationellen Selbstbestimmungsrechts der betroffenen Personen - Schutz der Informationen des Unternehmens bzw. der Behörde, keine Differenzierung zwischen personenbezogenen und nicht personenbezogenen Daten - Gesetzliche Vorschriften im Bundes- und Landesdatenschutzgesetz für öffentliche (Behörden) und nicht öffentliche Stellen (Unternehmen), bereichsspezifische Regelungen - Keine gesetzliche Vorschrift IT-Grundschutz und Datenschutz im Unternehmen implementieren! 4
Was ist schützenswert? Gebäude Infrastruktur Technik IT-Komponenten Daten Applikationen Betriebsgeheimnisse Image, Ansehen Kundenverträge IT-Grundschutz und Datenschutz im Unternehmen implementieren! 5 Mit TOM wird alles gut?! IT-Grundschutz und Datenschutz im Unternehmen implementieren! 6
Was ist für den Datenschutz wichtig? Datenverarbeitung (personenbezogen) - Applikationen 1. Schutzbedürftigkeit, Angemessenheitsprinzip 2. Zuständig- und Verantwortlichkeiten 3. Schulung und Sensibilisierung 4. Rechtsgrundlage, Zweckbindung 5. Verfahrensverzeichnis, Vorabkontrolle 6. Auskunftsrecht 7. Test und Freigabe 8. Datenabschottung 9. Auftragsdatenverarbeitung, Datenübermittlung 10. Datenlöschung 11. inhaltung, Überwachung 12.... IT-Grundschutz und Datenschutz im Unternehmen implementieren! 7 Gibt es Gemeinsamkeiten? Unternehmen IT-Grundschutz Standards 100-1 bis 100-4 TOMs Grundschutzkataloge Vertraulichkeit Integrität Verfügbarkeit Datenschutz Baustein 1.5 LDSG, BDSG, bereichssp. Vors. Unternehmenswerte Alle Daten!? Delta Persönlichkeitsrechte der Kunden und MitarbeiterInnen Personenbezogene Daten! IT-Grundschutz und Datenschutz im Unternehmen implementieren! 8
Was macht das Delta aus? Strukturelle Besonderheiten in der Organisation Datenschutzmaßnahmen (TOM) für Applikationen (Schicht 5) Test und Freigabe Mandantentrennung, Datenabschottung Berechtigungsvergabe Löschung der Daten Protokollierung Ca. 3 10 % zusätzliche TOM für Datenschutz und strukturelle Besonderheiten in der Org. Dokumentation Verschlüsselung IT-Grundschutz und Datenschutz im Unternehmen implementieren! 9 IT-Sicherheits- und Datenschutzprozesse Kernelemente: Festlegung durch Geschäftsführung Implementierung von IT-Grundschutz Datenschutz- und IT-Sicherheitsziele Datenschutz- und IT-Sicherheitsmanagement IT-Datenschutz- und IT-Sicherheitsmanagement-Team Datenschutzbeauftragter, IT-Sicherheitsbeauftragte Bausteinverantwortliche Grundlage: IT-Sicherheitskonzept IT-Grundschutz und Datenschutz im Unternehmen implementieren! 10
Informationsverbund - Zielobjekte IT-Grundschutz und Datenschutz im Unternehmen implementieren! 11 Informationsverbund - Bausteine Informationsverbund: IT-KU Schicht: übergreifende Aspekte B 1.0 Sicherheitsmanagement B 1.1 Organisation B 1.4 Datensicherungskonzept B 1.5 Datenschutz B 1.6 Schutz vor Schadprogrammen B 1.9 Hard- und Software-Management B 1.11 Outsourcing B 1.13 Sensibilisierung und Schulung zur Informationssicherheit Schicht: IT-Systeme B 3.101 Allgemeiner Server B 3.201 Allgemeiner Client B 3.203 Laptop B 3.301 Sicherheitsgateway (Firewall) B 3.302 Router und Switches B 3.303 Speichersysteme und Speichernetze B 3.304 Virtualisierung B 3.401 TK-Anlage B 3.402 Faxgerät B 3.404 Mobiltelefon B 3.406 Drucker, Kopierer und Multifunktionsgeräte Schicht: Anwendungen B 5.3 Groupware B 5.7 Datenbanken B 5.14 Mobile Datenträger B 5.16 Active Directory B 5.19 Internet-Nutzung bb 5.1 Fachanwendungen Schicht: Infrastruktur B 2.1 Gebäude B 2.2 lektrotechnische Verkabelung B 2.3 Büroraum B 2.4 Serverraum B 2.10 Mobiler Arbeitsplatz B 2.11 Besprechungs-, Veranstaltungs- und Schulungsräume B 2.12 IT-Verkabelung Schicht: Netze B 4.1 Heterogene Netze Schicht: Risikoanalyse rb 99.5 NAS/SAN rb 99.2 Fachanwendungen IT-Grundschutz und Datenschutz im Unternehmen implementieren! 12
Informationsverbund Datenschutzmaßnahmen IT-Grundschutz und Datenschutz im Unternehmen implementieren! 13 IT-Grundschutz-Standard implementieren! 1. IT-Sicherheitsmanagement festlegen 2. IT-Grundschutz-Know-how aufbauen 3. Strukturanalyse durchführen 4. Schutzbedarf für Objekte/Bereiche festlegen 5. Bausteine mit IT-Grundschutz-Maßnahmen zuordnen 6. Basissicherheitscheck (Soll-Ist-Abgleich) umsetzen 7. rgänzende Sicherheits- und Risikoanalyse durchführen 8. Schulung und Sensibilisierung realisieren 9. IT-Grundschutz-Dokumentation entwickeln und erstellen 10.IT-Grundschutz intensivieren, aufrechterhalten und kontrollieren IT-Grundschutz und Datenschutz im Unternehmen implementieren! 14
IT-Grundschutz mit Datenschutz implementieren! 1. Umsetzung des Bausteins 1.5 Datenschutz 2. Bestellung Datenschutzbeauftragter (DSB) 3. Beteiligung des DSB bei Änderungen im Unternehmen 4. Aufnahme aller Fachanwendungen mit personenbez. Daten 5. Analyse der Datenkommunikationsprozesse 6. Durchführung einer Datenschutz-Risikoanalyse 7. Festlegung/Umsetzung fehlender Datenschutzmaßnahmen 8. inrichtung eines Datenschutzvorfallmanagements 9. Durchführung von datenschutzrechtlichen Audits 10.inführung einer Kommunikationsebene mit der Unternehmensleitung IT-Grundschutz und Datenschutz im Unternehmen implementieren! 15 So wird Datenschutz und IT-Sicherheit messbar! Messparameter: Anwendung anerkannter Standards inführung eines ISMS Sollvorgaben: Leitlinie, Konzepte, Richtlinien, TOM Sicherheits- und Notfallmanagement Revision und interne Audits Berichtswesen zur Geschäftsleitung Sensibilisierung und Schulung aller MitarbeiterInnen IT-Grundschutz und Datenschutz im Unternehmen implementieren! 16
Vielen Dank für Ihre Aufmerksamkeit! Heiko Behrendt ISO 27001 Grundschutzauditor Fon: 0431 988 1212 Mail: behrendt@datenschutzzentrum.de Web: IT-Grundschutz und Datenschutz im Unternehmen implementieren! 17