High Quality
Open the downloaded document, and select print from the file menu (PDF reader required).
176 Datenschutz, Daten- und Verarbeitungs-Sicherheit gewährleisten
2010
1
Bernhard Tinner;(www.takeaphoto.ch)
176 Datenschutz,Daten- und Verarbeitungs-Sicherheit gewährleisten
Zusammenfassung
Wichtigste öffentliche Regelwerke
Bundesverfassung
Datenschutzgesetz (DSG) Juni 1992
Verordnung zum DSG
–
Juni 1993
OR / neue Verordnungen
ZertES (Digitale Signatur Gesetz)
Strafrecht (StGB)
BÜPF / VÜPF (Überwachungsgesetz)
Richtlinien/LeitfädenDatenschutzbeauftragter
Zusätzliche kantonale Regelungen bezüglichDatenschutz
Bundesverfassung
Art. 13 Schutz der Privatsphäre1.
Jede Person hat Anspruch auf Achtung ihresPrivat- und Familienlebens, ihrer Wohnungsowie ihres Brief-, Post- undFernmeldeverkehrs.2.
Jede Person hat Anspruch auf Schutz vorMissbrauch ihrer persönlichen Daten.
Datenschutzgesetz (DSG)
Das Gesetz schützt nicht die Daten sondern dieverfassungsgemässige perönliche FreiheitWill den freien Informationsfluss nichtverhindern, aber
...dort unterbinden, wo Missbrauch entsteht
...die Privatsphäre schützen
...den Umgang für ALLE gültig regeln
IT Sicherheitsprozess
Bedrohungen sind:
Fahrlässige Handlung
Vorsätzliche Handlung
Technisches Versagen
Höhere Gewalt
Organisatorische Mängel
Schäden sind:
Art BeschreibungDirekteSchäden
An Maschinen, Programmen,Datenträgern, Daten etc.
IndirekteSchäden
Rekonstruktion von Daten undProgrammen, Backup-Anlage,Ersatzbeschaffung,Personalaufwand
Folgekosten
Schäden bzw. EntgangeneGewinne infolgeBetriebsunterbruch undProduktionsausfall,SchadensersatzforderungenDritter wegen Nichterfüllungvon Leistungen
176 Datenschutz, Daten- und Verarbeitungs-Sicherheit gewährleisten
2010
2
Bernhard Tinner;(www.takeaphoto.ch)
Massnahmen (zentrale Prinzipien)
Effizient / Wirtschaftlich
Einfach / Verständlich / Öffentlich bekannt /akzeptiert
Vollständig / Kontrollierbar /Nachvollziehbar
Qualität und Wirksamkeit getestet
Konsistent in der Anwendung / Flexibel imAusbau
Privilegien: so viel wie nötig, so wenig wiemöglich
Wenige Schnittstellen nach aussen
Worst case
Kompetenzen
Es wird zwischen folgenden Kompetenzartenunterschieden:
Informationskompetenz(Informationsbeschaffung)
Mitsprachekompetenz
Entscheidungskompetenz (Entscheidungen zutreffen)
Weisungskompetenz (Anordnungen zuerteilen)
Ausführungskompetenz (Sachmitteleinzusetzen)
Kontrollkompentenz
Begriffe
Begriffe BescheibungDaten
Sind eine strukturierteAnsammlung von Werten
Informationen
Sind Daten, die in einemKontext zueinanderverstanden werden.
Datenschutz
Ist für Personendaten vonnatürlichen undjuristischen Personen
Datensicherungen
Sind Massnahmen imBereich der Verfügbarkeitund Integrität von Daten.
Integrität
Bezeichnet dereninhaltliche Konsistenz
Geschäftsprozesse
Sollen sicher,wirtschaftlich, effizientund schnell ablaufen!
Die 4 Grundbegriffe des Datenschutzessind:
Vertraulichkeit
Verfügbarkeit
Integrität
Verbindlichkeit
Plan, Do Check Act
176 Datenschutz, Daten- und Verarbeitungs-Sicherheit gewährleisten
2010
3
Bernhard Tinner;(www.takeaphoto.ch)
Mögliche Massnahmen
Bereich MassnahmenZugangskontrolle
Der Zugang zu den zentralen Rechnerräumen muss eingeschränkt sein (nurbestimmte Informatiker, Service-, Reparatur-, Reinigungspersonal)Auf Endgeräten wie AP-Computer, Drucker, Kommunikationskomponenten,...können alle Personen zugreifen, welche sich in den "öffentlichen"Räumlichkeiten befinden.Spezielle Badges, Chipkarten, Ausweise, ... für befugte PersonenZutritt aller Personen registrieren (Aufzeichnen der Anwesenheiten)Überwachen der Räumlichkeiten durch Alarmanlagen und Wachpersonal,insbesondere während der GeschäftszeitenBauliche Massnahmen wie
Absicherung von Fenstern
Sicherung von Schächten für Klima und Lüftung
Sicherung der Zugangsmöglichkeiten (Einbau von Schleusen)
Datenträgerkontrolle(Personendatenträger-kontrolle)
Datenträger als hohes Sicherheitsrisiko ansehen
Sind die Daten auf dem Datenträger verschlüsselt gespeichert, so sind dieAnforderungen weniger streng zu beurteilenVerhindern von unkontrolliertem Datenabgang mit Hilfe vom Datenträgern
vom Rechnerraum
vom AP
vom DruckerVerhindern von unkontrolliertem Einbringen von Datenträgern bzw.Programmen, die eine Umgehung von Zugriffseinschränkungen ermöglichenPersonen festlegen, welche auf Grund ihrer Tätigkeit Zugang auf denDatenträger haben müssenKontrolle von Behältnissen von denjenigen Personen, welche Zugriff aufDatenträger haben.
Aktenkoffer
Taschen
MappenKontrollierte Entsorgung aller PapierabfälleKontrollierte Reparatur von DatenträgernPhysisches Löschen von Daten auf Datenträgern
Wipen
Zerkleinern4-Augen-PrinzipKontrolliertes Ausdrucken von InformationenUnterdrücken oder Protokollieren von Kopier- oder gleichartigen Funktionenoder BefehlenFühren eines DatenträgerverzeichnissesAufbewahrung der Datenträger an einem sicheren Ort
Feuer
Diebstahl
usw.
Add a Comment