1 Schutzbedarfsanalyse... 2

Ähnliche Dokumente
1 Schutzbedarfsanalyse Angaben zum Schutzobjekt Schutzbedarfsanalyse Teil Schutzbedarfsanalyse Teil 2...

A704 Thin Client Rechner

Weisungen des Bundesrates über die IKT-Sicherheit in der Bundesverwaltung

A007 Web Content Management Systeme (CMS)

Assessments vor der Freigabe von Grossprojekten in der Bundesverwaltung

A585 Mailserver. IKT-Standard. Ausgabedatum: Version: Ersetzt: Genehmigt durch: Informatiksteuerungsorgan Bund, am

A007 Web Content Management Systeme (CMS)

Informationssicherheit

A361 Web-Server. IKT-Standard. Ausgabedatum: Version: Ersetzt: Genehmigt durch: Informatiksteuerungsorgan Bund, am

IKT Sicherheit und Awareness

A472 Datenbanken. IKT-Standard. Ausgabedatum: Version: 2.3. Ersetzt: Version 2.2

Informatik und Datenschutz im Bund

P008 ICO-Methode. IKT-Standard. Ausgabedatum: Version: Ersetzt: 4.6. Genehmigt durch: Informatiksteuerungsorgan Bund, am

A506 Backup Software. IKT-Standard. Ausgabedatum: Version: Ersetzt: 1.12

P030 The Open Group Architecture Framework (TO-GAF) als Unternehmensarchitektur Methode für die Bundesverwaltung

Hinweise zur Bereitstellung der Referenzdokumente im Rahmen der Zertifizierung nach ISO auf der Basis von IT- Grundschutz. Version 1.

Merkblatt private/persönliche Post

BSI TR (RESISCAN) Ersetzendes Scannen einfach und sicher

1 Allgemeine Bestimmungen

A023 DNS Services. IKT-Architekturvorgabe. Ausgabedatum: Version: Ersetzt: 1.01

P028 Richtlinien des Bundes für die Gestaltung von barrierefreien

Grundlagen des Datenschutzes und der IT-Sicherheit

Ja, ich möchte ab (Datum) Förderspender im Deutschen Roten Kreuz, Kreisverband Dresden e.v. werden. Ich zahle einen Beitrag von: Verwendungszweck:

Agenda Datenschutz, konkrete Umsetzung

Antrag auf Zertifizierung eines Informationssicherheitsmanagementsystems (ISMS) gem. ISO/IEC 27001:2013 und Fragebogen

ICT-Sicherheitsleitlinie vom 11. August 2015

Die neue DIN-Norm Wichtige Informationen für die Vernichtung von Datenträgern

Digitale Signatur und Verschlüsselung

A050 Supportprozesse Immobilien

Verordnung über die elektronische Geschäftsverwaltung in der Bundesverwaltung


Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts

Weisungen über die harmonisierten Beschaffungsprozesse

Anleitung für die Handhabung von Kommentaren/Notizen mit Acrobat Reader Version 2.0 vom

Rechtssicheres dokumentenersetzendes Scannen. Entwicklung einer Technischen Richtlinie (TR RESISCAN) Dietmar Lorenz

A501 Disk-Subsystem. IKT-Standard. Ausgabedatum: Version: Ersetzt: 2.02

P025 Ressourcen- und Umweltstandards für die Beschaffung der IKT-Infrastruktur

Weisung des EJPD über die Einrichtung von Online-Verbindungen und die Erteilung von Zugriffsbewilligungen auf Informatikanwendungen des EJPD

Regelwerk der Informationssicherheit: Ebene 1

Die erheblichen Einflüsse der Datenschutz-Grundverordnung auf die IT

DE 098/2008. IT- Sicherheitsleitlinie

Verordnung des VBS über das Personal für den Einsatz zum Schutz von Personen und Sachen im Ausland

Finanzierung und Steuerung im E-Government IKT-Steuerung und Standarddienste in der Bundesverwaltung

Zugriffsmatrix Authentisierung, Verschlüsselung und Signatur: Anforderungen an elektronische Zertifikate und weitere Authentisierungsmittel

12 Systemsicherheitsanalyse

Informatiksteuerungsorgan Bund ISB Nachrichtendienst des Bundes NDB Melde- und Analysestelle Informationssicherung MELANI.

Muster Nachweisdokumentation und Sicherheitsbewertungsbericht

Die neue Grundverordnung des europäischen Datenschutzes

Verhaltenskodex Bundesverwaltung

A702 Mobile-PC. IKT-Standard. Ausgabedatum: Version: Status: Ersetzt: 2.13

A051 Supportprozesse Materialbewirtschaftung

Tabellarischer Ablauf des Forschungsvorhabens

Sorgfaltspflichten der Führungskräfte in der Verwaltung im Umgang mit datenschutzrelevanten Informationen

Sicherheitsaspekte der kommunalen Arbeit

Nationale Strategie zum Schutz der Schweiz vor Cyber-Risiken

Unterstützung in Business Objects Anwendungen

Leitlinie für die Informationssicherheit

Leitfaden zum sicheren Betrieb von Smart Meter Gateways

Datenschutz und Datensicherheit im EPDG

ORP.5: Compliance Management (Anforderungsmanagement)

Risikolandkarte FUB Revision R Schlussbericht

Stand: 1. September Faktenblatt Nr. 2 Bundesinformatik

Weisungen des Bundesrates zu den zentral eingestellten IKT-Mitteln

C R I S A M im Vergleich

Workshop Datenschutz - ERFA-Kreis

ISO mit oder ohne BSI-Grundschutz? Oliver Müller

A009 IP-Adressverwaltung

Dirk Loomans, Micha-Klaus Müller. Bedrohungs- und Schwachstellenanalysen

Grundlagen des Datenschutzes

Berufsprüfung ICT System und Netzwerktechnik. Betrieb von ICT Systemen und Netzwerken planen

Datenschutz Aufsichtsstelle über den Datenschutz der Stadt Burgdorf. Datenschutz Bericht vom der Geschäftsprüfungskommission

SRQ - Specification Related Question

Bearbeitungsreglement extern

(ISMS) Informationssicherheits-Managementsystem. - das ABC der Umsetzung

Stand Cloud-Strategie der Schweizer Behörden

Verordnung über die elektronische Übermittlung im Rahmen eines Verwaltungsverfahrens

EINLEITUNG... 1 GANG DER UNTERSUCHUNG...3 DATENSCHUTZ IM MULTINATIONALEN KONZERN...5 A. BESTIMMUNG DER WESENTLICHEN BEGRIFFE Datenschutz...

Verordnung über den Sonderstab Geiselnahme und Erpressung

12.1 Netzbetriebsordnung

OUTLOOK-RICHTLINIEN ABWESENHEITSASSISTENT / SIGNATUR

Erfahrungen mit dem Einsatz der OCTAVE- Methode an der Universität Leipzig

Pflichtenheft Responsive Design

verschlüsselung "Secure Mail Aargau"

Neues vom IT-Grundschutz: Ausblick und Modernisierung

Kryptokonzepte. BSI-Leitfaden und praktische Umsetzung. Frank Rustemeyer. Director System Security HiSolutions AG, Berlin

Konformitätsbewertung 3.9 A 3

Rechtliche Aspekte der elektronischen Archivierung. Datenschutz-Forum 28. Juni 2005

SiMiS-Kurzcheck zur Informationssicherheit nach ISO/IEC bzw. Datenschutz nach Bundesdatenschutzgesetz (BDSG)

A373 Vertragsmanagement

1.1 Organisationscheck zum Arbeitsschutz

A) Initialisierungsphase

Videoüberwachungsreglement

Transkript:

Eidgenössisches Finanzdepartement EFD Informatiksteuerungsorgan des Bundes ISB IKT -Sicherheit Version 4.0 Schutzbedarfsanalyse vom 19. Dezember 2013 (Stand 1. März 2017) Das ISB erlässt gestützt auf Ziffer 3.1 der Weisungen des Bundesrates über die IKT-Sicherheit in der Bundesverwaltung (WIsB) vom 1. Juli 2015 nachfolgende Vorgabe. Inhalt 1 Schutzbedarfsanalyse... 2 1.1 Angaben zum Schutzobjekt... 2 1.2 Gültigkeit der Schutzbedarfsanalyse... 2 1.3 Einstufung Teil 1... 3 1.4 Amtsgeheimnisverletzung... 4 1.5 Einstufung Teil 2 (RINA)... 5 2 Anhang: Zusammenhang Schuban / RINA / ISDS-Konzept... 6 Seite 1

1 Schutzbedarfsanalyse In der Schutzbedarfsanalyse sind mindestens festzuhalten: 1.1 Angaben zum Schutzobjekt Projektname / Departement / Amt Projekt Nr. / Projekt ID Schutzobjektname (bei bestehendem Schutzobjekt) Klassifizierung dieses Dokuments (INTERN, VERTRAULICH, GEHEIM) Geschäftsprozessverantwortlicher (Name, OE, Telefon, E-Mail) Projektleiter (PL LB) (Name, OE, Telefon, E-Mail) Informationssicherheits- und Datenschutzverantwortlicher ISDSV (Name, OE, Telefon, E- Mail) Informatiksicherheitsbeauftragter ISBO (Name, OE, Telefon, E-Mail) Dokument ausgefüllt durch (Name, OE, Telefon, E-Mail) Ergebnis der Einstufung Schuban Teil 1 (Abbild aus Einstufung Teil 1) Ergebnis der Einstufung gemäss RINA (Abbild aus Einstufung Teil 2) Änderungskontrolle Unterschriften Geprüft: ISBO (Datum, Name, OE, Telefon, E-Mail) Genehmigt: Auftraggeber/Auftraggeberin Genehmigung durch Projektauftraggeber und Geschäftsprozessverantwortlichen (Datum, Name, OE, Telefon, E-Mail) Verteiler Weitere Angaben können individuell gefordert werden. 1.2 Gültigkeit der Schutzbedarfsanalyse Die Gültigkeit einer Schutzbedarfsanalyse beträgt 5 Jahre. Seite 2

1.3 Einstufung Teil 1 In der Schutzbedarfsanalyse sind mindestens zwingend zu beurteilen: Beurteilung betreffend der... Vertraulichkeit Frage Sollen [mit diesem Schutzobjekt] Personendaten nach der Datenschutzgesetzgebung bearbeitet werden? Wenn ja, welche Art von Personendaten im Sinne des Leitfadens des EDöB zu technischen und organisatorischen Massnahmen sind betroffen? Sollen [mit diesem Schutzobjekt] klassifzierte Informationen nach der Informationsschutzverordnung (ISchV) bearbeitet werden? Wenn ja, Informationen aus welchen Klassifizierungsstufen (vgl. Art. 5 bis 7 ISchV) sind betroffen? Sollen [mit diesem Schutzobjekt] Informationen oder Daten bearbeitet werden, die aus einem sonstigen Grund (z.b. Amtsgeheimnis) geschützt werden müssen? Wenn ja, wie hoch sind die Schutzanforderungen? Betreffend Amtsgeheimnis siehe Hilfsblatt AGV Antworten Nicht-personenbezogen Nicht-sensible Personendaten (geringes-/mittleres Risiko) Sensible Personendaten (hohes Risiko) Hochsensible Personendaten (sehr hohes Risiko) Nicht klassifiziert Klassifikation: INTERN Klassifikation: VERTRAULICH Klassifikation: GEHEIM Keine erhöhten Anforderungen an die Vertraulichkeit Erhöhte Anforderungen an die Vertraulichkeit Hohe Anforderungen an die Vertraulichkeit Verfügbarkeit Max zulässige Ausfalldauer 1 Ausfalldauer grösser 1 Tag Ausfalldauer max 12 Std. Ausfalldauer max 8 Std. Ausfalldauer max. 2 Std. Servicezeiten 2 Servicezeiten Standard (11/5) Servicezeiten erhöht (11/5BR) Servicezeiten 7x24 Integrität Nachvollziehbarkeit IT Service Continuity Management (ITSCM) relevant als Teil des Business Continuity Management für geschäftskritische Anwendungen? Muss die Echtheit, Korrektheit und/oder Unversehrtheit der Daten gewährleistet werden können? Müssen bestimmte Arbeitsvorgänge nachgewiesen werden können? Nein Ja Keine speziellen Anforderungen Spezielle Anforderungen Keine speziellen Anforderungen Spezielle Anforderungen Weitere Beurteilungskriterien können individuell gefordert werden. 1 Gemäss Servicekatalog IKT-Standarddienste https://intranet.isb.admin.ch/isb_kp/de/home/ikt-vorgaben/standarddienste/sd100-servicekatalog.html 2 Gemäss Servicekatalog IKT-Standarddienste https://intranet.isb.admin.ch/isb_kp/de/home/ikt-vorgaben/standarddienste/sd100-servicekatalog.html Seite 3

1.4 Amtsgeheimnisverletzung Anleitung zur Reduktion des Risikos der Amtsgeheimnisverletzung Aufgrund des Art. 320 StGB ist zu überprüfen, ob beim IKT-Schutzobjekt Amtsgeheimnisse (Privatund Dienstgeheimnisse) verarbeitet werden und das Risiko besteht, dass die Daten bei der Inbetriebnahme, Wartung, Support etc. auswärtigen Dritten offenbart werden müssen. Folgend Grundlagen sind dazu zu konsultieren: Massnahme 15.2.1 IKT-Grundschutz Dokument «Anforderungen angesichts des Risikos von Amtsgeheimnisverletzungen in der Bundesverwaltung» Entsprechende Richtlinien des Departements zum Einwilligungsprozess der Inhaber der Daten bzw. der vorgesetzten Behörde. Schritt 1: Werden Daten bzw. Informationen verarbeitet, die Amtsgeheimnisse darstellen? Wenn "Nein" Prozess abgeschlossen; Wenn "Ja" weiter zu Schritt 2. Schritt 2: Ist davon auszugehen, dass während des Life Cycles des Schutzobjektes externe IKT- Fachkräfte Zugang zu diesen Daten bzw. Informationen erhalten? Wenn "Nein" Prozess abgeschlossen. Wenn "Ja" weiter zu Schritt 3. Schritt 3: Handelt es sich dabei um Dienst-, Privatgeheimnisse- oder um beide Arten? Im Zweifelsfall ist unbedingt der LB bzw. die entsprechende Rechtsabteilung zu konsultieren. Weiter zu Schritt 4, wenn nur Dienstgeheimnisse verarbeitet werden. Ansonsten weiter zu Schritt 5. Schritt 4: Die Ziffern 15.1.1 und 15.2.1 des IKT Grundschutzes sind so weitgehend wie möglich umzusetzen. Die entsprechende Einwilligung der vorgesetzten Behörde ist gemäss den amts- bzw. departementsspezifischen Prozessen einzuholen. Prozess abgeschlossen Schritt 5: Die Ziffer 15.2.1 des IKT Grundschutzes sind so weitgehend wie möglich umzusetzen. Die entsprechende Einwilligung der vorgesetzten Behörde und nach Möglichkeit der Datenherren ist gemäss den amts- bzw. departementsspezifischen Prozessen einzuholen. Die verantwortliche Linie (LE und LB) ist ausdrücklich bezüglich des Risikos der Amtsgeheimnisverletzung aufgrund von Privatgeheimnissen zu informieren. Prozess abgeschlossen. Seite 4

1.5 Einstufung Teil 2 (RINA) Im Rahmen der Schutzbedarfsanalyse Teil 2 wird der erste Schritt des Prüfprozesses RINA (Risikomanagementmethode zur Reduktion nachrichtendienstlicher Ausspähung) durchlaufen. Dazu werden die folgenden 4 Kriterien angewendet, um die Schutzobjekte auf ihre Risikorelevanz zu überprüfen. Das detaillierte Vorgehen ist in der Anleitung zum Prüfprozess RINA erläutert: 1. Hat das IKT-Schutzobjekt Interdependenzen mit anderen IKT-Infrastrukturen? 2. Kann das IKT-Schutzobjekt (gemäss Anleitung RINA, Kap. 2.1 3 ) einer der 5 risikorelevanten Kategorien a-e zugeordnet werden? 3. Ist das IKT-Schutzobjekt eine militärisch klassifizierte Beschaffungen oder ein militärisch klassifiziertes Schutzobjekt (z.b. Kommunikationsgeräte)? 4. Ergibt die Schuban Teil 1 einen erhöhten Schutzbedarf, muss für die weitere Beurteilung eine Risikomatrix erstellt werden, die in der Excel-Vorlage Schutzbedarfsanalyse im Folder Einstufung Teil 2 (RINA) abgelegt ist. Diese Vorlage enthält einen von der Risikomatrix des ISDS-Konzeptes abgeleiteten verkürzten Fragebogen, der auf vorsätzliche Handlungen und äussere Bedrohungen fokussiert. Wird dort der Risikowert 61 überschritten, liegt eine Risikorelevanz vor. Fakultativ kann auf dem gleichen Blatt eine feinkörnigere Risikoanalyse vorgenommen werden, die das Risiko auf die Aspekte Vertraulichkeit, Verfügbarkeit, Integrität und Nachvollziehbarkeit detaillierter untersucht. Trifft eines der Kriterien zu, ist der zweite Schritt des Prüfprozesses RINA (gemäss Anleitung RINA 4 ) zu durchlaufen. 3 Vgl. Intranetseite ISB / Sicherheit / Projekthilfsmittel 4 Vgl. Intranetseite ISB / Sicherheit / Projekthilfsmittel Seite 5

Eidgenössisches Finanzdepartement EFD Informatiksteuerungsorgan des Bundes ISB IKT -Sicherheit 2 Anhang: Zusammenhang Schuban / RINA / ISDS-Konzept Seite 6

2026 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback