Öffentlicher Gestaltungsplan «Thurgauerstrasse Teilgebiete ...
1 Sicherheitssitzung 2. Halbjahr 2013 Föderaler Öffentlicher Programmierungsdienst...
-
Upload
selma-wernet -
Category
Documents
-
view
102 -
download
0
Transcript of 1 Sicherheitssitzung 2. Halbjahr 2013 Föderaler Öffentlicher Programmierungsdienst...
1
Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung,
2
PROGRAMMPROGRAMM1) Präsentation des Beraters 2) Summarischer Überblick der Standesregeln der Mitglieder
des Sozialhilferats3) Richtlinien der ZDSS für die Clouds (noch nicht offiziell
zugelassen von der dafür eingerichteten Sicherheitsgruppe). 4) Windows 365: kurzer Überblick.5) Neue Methode zur Ernennung des Sicherheitsberaters
Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung,
Zu erörternde Fragen oder Themen
Sie sind gefragt!
4
PRÄSENTATION DES PRÄSENTATION DES SICHERHEITSBERATERS 1 SICHERHEITSBERATERS 1
Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung,
DIE MITGLIEDER DES SOZIALHILFERATS WISSEN NICHT
was Informationssicherheit ist;
was ein Sicherheitsberater ist;
was sie beachten müssen, um die
Mindestnormen einzuhalten.
5
PRÄSENTATION DES PRÄSENTATION DES SICHERHEITSBERATERS 2 SICHERHEITSBERATERS 2
Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung,
Informationssicherheit bedeutet:
- die Vorbeugung und die schnelle und effiziente Wiederherstellung der Beschädigungen von sozialen Daten
- und der ungerechtfertigten Verletzung der Privatsphäre der Betroffenen.
6
PRÄSENTATION DES PRÄSENTATION DES SICHERHEITSBERATERS 3 SICHERHEITSBERATERS 3
Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung,
Der Informationssicherheitsdienst überwacht im öffentlichen Sozialhilfezentrum (ÖSHZ) die Beachtung der Sicherheitsvorschriften, die durch gesetzliche Anordnung auferlegt wurden.
Königlicher Beschluss vom 12.08.1993
7
PRÄSENTATION DES PRÄSENTATION DES SICHERHEITSBERATERS 4 SICHERHEITSBERATERS 4
Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung,
Der Informationssicherheitsdienst hat eine Begutachtungs-, Förderungs-, Dokumentations-, und Kontrollaufgabe.
8
PRÄSENTATION DES PRÄSENTATION DES SICHERHEITSBERATERS 5 SICHERHEITSBERATERS 5
Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung,
Der mit der Informationssicherheit
beauftragte Dienst berät den für die tägliche
Geschäftsführung Verantwortlichen
(Generaldirektor – Sekretär) seines ÖSHZ
auf dessen Anfrage hin oder auf eigene
Initiative, bei allen Aspekten zum Thema
Informationssicherheit.
9
PRÄSENTATION DES PRÄSENTATION DES SICHERHEITSBERATERS 6 SICHERHEITSBERATERS 6
Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung,
Außer wenn die Risiken nicht
groß genug sind, werden die
Begutachtungen schriftlich
und begründet abgegeben.
10
PRÄSENTATION DES PRÄSENTATION DES SICHERHEITSBERATERS 7 SICHERHEITSBERATERS 7
Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung,
In der Frist ... von höchstens drei Monaten,
entscheidet sich der Beauftragte für die tägliche
Geschäftsführung:
die Begutachtungen zu befolgen oder nicht und er
unterrichtet den Informationssicherheitsdienst über
seine Entscheidung.
Wenn die Entscheidung von einer schriftlichen
Begutachtung abweicht, muss sie schriftlich und mit
Begründung abgegeben werden.
11
PRÄSENTATION DES PRÄSENTATION DES SICHERHEITSBERATERS 8 SICHERHEITSBERATERS 8
Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung,
Der Informationssicherheitsdienst fördert
die Beachtung der … vorschriftsmäßigen
Sicherheitsregeln und die Annahme eines
sicherheitsfördernden Verhaltens durch
die in der Einrichtung angestellten
Personen.
12
PRÄSENTATION DES PRÄSENTATION DES SICHERHEITSBERATERS 9 SICHERHEITSBERATERS 9
Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung,
Der
Informationssicherheitsdiens
t sammelt die nützliche
Dokumentation
diesbezüglich.
13
PRÄSENTATION DES PRÄSENTATION DES SICHERHEITSBERATERS 10 SICHERHEITSBERATERS 10
Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung,
Der Sicherheitsberater überwacht innerhalb der
ÖSHZ die Beachtung der gesetzlichen oder
vorschriftsmäßigen Sicherheitsregeln ... Alle
festgestellten Verletzungen werden schriftlich und
ausschließlich dem Beauftragten der täglichen
Geschäftsführung der Einrichtung, mit den
notwendigen Begutachtungen zur Vorbeugung von
zukünftigen Verletzungen, mitgeteilt.
14
PRÄSENTATION DES PRÄSENTATION DES SICHERHEITSBERATERS 11 SICHERHEITSBERATERS 11
Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung,
Die Sicherheitsberater und ihre
eventuellen Stellvertreter können
aufgrund der geäußerten Meinungen
oder der im Rahmen der korrekten
Ausführung ihrer Funktion
vorgenommenen Handlungen nicht ihrer
Funktion enthoben werden.
15
PRÄSENTATION DES PRÄSENTATION DES SICHERHEITSBERATERS 12 SICHERHEITSBERATERS 12
Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung,
Der Informationssicherheitsdienst
untersteht den direkten
Weisungen der für die tägliche
Geschäftsführung des ÖSHZ
verantwortlichen Person.
16
PRÄSENTATION DES PRÄSENTATION DES SICHERHEITSBERATERS 13 SICHERHEITSBERATERS 13
Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung,
Er arbeitet eng mit den Diensten
zusammen, bei denen seine Mitwirkung
erforderlich ist oder erforderlich sein
kann, insbesondere:
mit dem Informatikdienst;
mit dem IDGS.
17
PRÄSENTATION DES PRÄSENTATION DES SICHERHEITSBERATERS 14 SICHERHEITSBERATERS 14
Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung,
Der Sicherheitsberater erstellt einen Entwurf eines
Sicherheitsplanes für einen Zeitraum von 3 Jahren,
zu Händen des Beauftragten für die tägliche
Geschäftsführung, in dem er auf Jahresbasis die
erforderlichen Mittel zur Realisierung des Plans
aufstellt. Dieser Plan wird mindestens ein Mal pro
Jahr überprüft und ggf. angepasst. Der Entwurf des
Sicherheitsplans gilt als Begutachtung
18
PRÄSENTATION DES PRÄSENTATION DES SICHERHEITSBERATERS 15 SICHERHEITSBERATERS 15
Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung,
Der Informationssicherheitsdienst erstellt
einen Jahresbericht zu Händen des
Beauftragten für die tägliche
Geschäftsführung der Einrichtung.
19
PRÄSENTATION DES PRÄSENTATION DES SICHERHEITSBERATERS 16 SICHERHEITSBERATERS 16
Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung,
Die Aufgaben des
Informationssicherheitsdienstes, wie definiert,
beziehen sich auch auf die durch Vermittlung
Dritter (Softwarehäuser, Gemeindeverwaltung,
usw.) im Auftrag von des ÖSHZ
gespeicherten, bearbeiteten oder
ausgetauschten personenbezogenen
Sozialdaten.
20
PRÄSENTATION DES PRÄSENTATION DES SICHERHEITSBERATERS 17 SICHERHEITSBERATERS 17
Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung,
21
Summarischer Überblick der Standesregeln der Mitglieder des Sozialhilferats
Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung,
Quelle: http://www.uvcw.be/articles/33,38,38,0,2207.htm
Die Achtung der Privatsphäre A. Das Geheimnis
Innerhalb des ÖSHZ ist die Einhaltung des Berufsgeheimnisses eine zwingende soziale Notwendigkeit.Die Verpflichtung zum Berufsgeheimnis ist zunächst festgelegt durch den Artikel 458 des Strafgesetzbuchs,
Alle während der Ausübung des Berufs oder des Mandats erhaltenen oder festgestellten Informationen fallen unter das Berufsgeheimnis.
22
Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung,
Das Grundlagengesetz vom 08.07.1976 zu den ÖSHZ legt außerdem fest, dass: die Mitglieder des Sozialhilferats sowie jede
andere Person, die aufgrund des Gesetzes an Versammlungen des Rats, des Ständigen Büros und der Sonderausschüsse teilnimmt, sind an das Berufsgeheimnis gebunden (Art. 36, Abs. 2);
diese Anordnungen gelten auch für die das Personal des ÖSHZ (Art. 50).
Summarischer Überblick der Standesregeln der Mitglieder des Sozialhilferats
23
Summarischer Überblick der Standesregeln der Mitglieder des Sozialhilferats
Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung,
Daher sind innerhalb des ÖSHZ nicht nur
die Sozialarbeiter, sondern das gesamte
Personal (darunter auch Hilfspersonal)
und die Bevollmächtigten, an das
Berufsgeheimnis gebunden.
24
Summarischer Überblick der Standesregeln der Mitglieder des Sozialhilferats
Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung,
Die Ratsmitglieder und Personen, die an der
Versammlung teilnehmen können, dürfen
daher weder den Inhalt der Diskussionen, der
Beratungen und Beschlüsse, die Statements,
Meinungen und Haltungen, noch die Art
weitergeben, auf welche die Abstimmung
durchgeführt wurde, da dies für Antragsteller
erfolgte.
RAT Zunächst einmal mit Ihrem Sekretär und
Ihrem Präsidenten prüfen: das Interesse, auf die Regeln und Vorschriften
hinzuweisen, den Inhalt, die Art und Weise (sehr didaktisch wenn
möglich und sehr einfach).
26
Sicherheitsrichtlinien, Sicherheitsrichtlinien, die die Clouds betreffen: Risiken 1die die Clouds betreffen: Risiken 1
Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung,
Der Verlust des Steuerungssystems der Behandlung.
Der Verlust der Überprüfbarkeit des Dienstanbieters aufgrund von Fehlern bei der Verwaltung der Subunternehmer bzw. der Auftragsverarbeiter.
Die technologische Abhängigkeit des ÖSHZ gegenüber dem Lieferanten des Cloud Computing = Unmöglichkeit oder Schwierigkeit bei der Lösungsänderung (für einen anderen Lieferanten oder eine interne Lösung) ohne Datenverlust.
27
Sicherheitsrichtlinien, Sicherheitsrichtlinien, die die Clouds betreffen: Risiken 2die die Clouds betreffen: Risiken 2
Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung,
Eine Lücke bei der Datenisolierung = d. h. das
Risiko, dass die auf einem (virtualisierten)
System vorhandenen Daten nicht mehr isoliert
sind und verändert oder für unbefugte Dritte
zugänglich gemacht werden könnten, infolge
eines Fehlers des Dienstanbieters oder infolge
einer schlechten Funktion des Hypervisors;
28
Sicherheitsrichtlinien, Sicherheitsrichtlinien, die die Clouds betreffen: Risiken 3die die Clouds betreffen: Risiken 3
Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung,
Die Befolgung gesetzlicher Anforderungen auf der Basis von ausländischem Recht ohne Absprache mit den nationalen Behörden (Beispiel: USA).
http://www.levif.be/info/actualite/international/google-veut-pouvoir-publier-le-nombre-de-requetes-de-la-nsa/article-4000331420445.htm
29
Sicherheitsrichtlinien, Sicherheitsrichtlinien, die die Clouds betreffen: Risiken 4die die Clouds betreffen: Risiken 4
Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung,
Google möchte die Anzahl der Abfragen der NSA veröffentlichen dürfen
Der Kern der Sache Mittwoch, 19. Juni 2013 um 06h36 Google hat am Dienstag auf dem
Sondergerichtshof für Untersuchungen in Verbindung mit der nationalen Sicherheit einen Antrag auf Genehmigung zur Veröffentlichung der Zahl der Suchanfragen der Nachrichtendienste gestellt, die von ihm Daten anforderten.
30
Sicherheitsrichtlinien, Sicherheitsrichtlinien, die die Clouds betreffen: Risiken 5die die Clouds betreffen: Risiken 5
Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung,
Eine Lücke in der Zulieferkette, u. a. in dem Fall, wo der Dienstanbieter selbst bei Dritten die Erbringung der Dienstleistung oder Bereitstellung des Dienstes anforderte.
Die Nichteinhaltung von Vorschriften zur Aufbewahrung und Vernichtung seitens der Einrichtung, u. a. durch eine ineffektive oder nicht gesicherte Datenvernichtung oder einer zu langen Aufbewahrungsdauer.
31
Sicherheitsrichtlinien, Sicherheitsrichtlinien, die die Clouds betreffen: Risiken 6die die Clouds betreffen: Risiken 6
Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung,
Probleme der Verwaltung der Zugriffs- oder Zugangsrechte.
Nichtverfügbarkeit des Dienstanbieters = Nichtverfügbarkeit des Dienstes an sich, aber auch Nichtverfügbarkeit der Zugangsmittel oder -medien zum Dienst (insbesondere Netzwerkprobleme).
Die Schließung des Dienstes des Dienstanbieters oder das nicht freiwillige Ändern des Dienstanbieters durch einen Dritten.
Die Nichteinhaltung oder Nichtübereinstimmung von bzw. mit Vorschriften, besonders bei internationalen Übertragungen.
32
Sicherheitsrichtlinien, Sicherheitsrichtlinien, die die Clouds betreffen: Risiken 7die die Clouds betreffen: Risiken 7
Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung,
Beobachtungen (1) Vor dem Inbetrachtziehen der Verwendung eines Cloud
Computing muss das ÖSHZ die Daten, Behandlungen oder Dienstleistungen, die in der Cloud abgelegt oder dort hineingestellt werden, klar und eindeutig identifizieren und die Investitionsrendite bestimmen unter Berücksichtigung vor allem der Anwendung der Sicherheitszwänge und -beschränkungen.
Falls für einen Datentyp eine besondere Vorschrift gilt, muss das ÖSHZ die Mindestbedingungen oder die Beschränkungen für dessen Übertragung feststellen. Die Mehrkosten für das Anwenden der vermutlichen und wahrscheinlichen Entwicklungen, vor allem für Sicherheitszwängen müssen ausgewertet und beziffert werden.
33
Sicherheitsrichtlinien, Sicherheitsrichtlinien, die die Clouds betreffen: Risiken 8die die Clouds betreffen: Risiken 8
Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung,
Beobachtungen (2) Die Dienstleistungsmodelle sind die
folgenden: SaaS : "Software as a Service", d. h. die
Online-Lieferung von Software; PaaS : "Platform as a Service", d. h. die
Online-Lieferung einer Plattform für Anwendungsentwicklung;
IaaS : "Infrastructure as a Service", d. h. die Online-Lieferung von Rechen- und Speicherinfrastrukturen.
34
Sicherheitsrichtlinien, Sicherheitsrichtlinien, die die Clouds betreffen: die die Clouds betreffen:
Risiken 9Risiken 9
Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung,
Beobachtungen (3) Die Bereitstellungsmodelle sind die folgenden:
"Öffentlich", wenn ein Dienst zwischen zahlreichen Kunden geteilt und gemeinsam genutzt wird;
"Privat", wenn die Cloud einem Kunden gewidmet ist;
"Gemeinschaftlich", wenn die Cloud von Kunden geteilt wird, die dieselben Verpflichtungen haben (gesetzliche, …);
"Hybrid", wenn ein Dienst teilweise in einer öffentlichen Cloud und teilweise in einer privaten Cloud ist.
35
Sicherheitsrichtlinien, Sicherheitsrichtlinien, die die Clouds betreffen: die die Clouds betreffen:
Risiken 10Risiken 10
Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung,
Beobachtungen (4) Weder die öffentliche Cloud, noch die Hybrid-
Cloud erfüllen derzeit die geforderten Sicherheitsauflagen.
Man muss seine eigenen technischen und rechtlichen Sicherheitsanforderungen festlegen. Wenn es das Ziel der Cloud ist, das ÖSHZ von bestimmten betrieblichen oder arbeitstechnischen Aufgaben zu entlasten, muss sie zunächst überprüfen, ob der Dienstanbieter ein wenigstens genauso hohes Anforderungsniveau verfolgt, wie das vom ÖSHZ geforderte (Beispiel: cloud Adehis).
36
Sicherheitsrichtlinien, Sicherheitsrichtlinien, die die Clouds betreffen: Risiken 9die die Clouds betreffen: Risiken 9
Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung,
Je weiter entfernt die Cloud ist, umso höher ist das Risiko.
Das ÖSHZ muss sich vergewissern, dass die Daten tatsächlich in einer Cloud aufbewahrt werden und nicht woanders (es gibt Tools, die die Überprüfung des Speicherorts ermöglichen).
Eine angemessene Risikoanalyse durchzuführen ist wesentlich dazu, um die geeigneten Sicherheitsmaßnahmen festlegen zu können und vor allem muss dies vom Dienstanbieter gefordert werden.
37
Sicherheitsrichtlinien, Sicherheitsrichtlinien, die die Clouds betreffen: Risiken die die Clouds betreffen: Risiken
1010
Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung,
38
Sicherheitsrichtlinien, Sicherheitsrichtlinien, die die Clouds betreffen: Risiken die die Clouds betreffen: Risiken
1111
Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung,
Garantien Vertragsklausel bezüglich der Möglichkeit für einen
Dienstanbieter des "Cloud"-Services, einen Teil seiner Aktivitäten an Subunternehmer zu vergeben. Der Dienstanbieter bleibt gegenüber ÖSHZ der alleinige
Verantwortliche für die Ausführung seiner Verpflichtungen, also auch in dem Fall, wenn er einige seiner Aktivitäten an Subunternehmer weitergibt.
Mit Hinblick darauf, dass bestimmte besondere Aufgaben an Subunternehmer vergeben werden könnten, muss der Vertrag vorsehen, dass der "Cloud"-Dienstanbieter das ÖSHZ diesbezüglich informiert und sich dazu verpflichtet, formell alle ihm obliegenden Verpflichtungen gegenüber seinen Sublieferanten zu berichten. Der Dienstanbieter muss sich auch vergewissern, dass diese Verpflichtungen von seinen Sublieferanten durch Ausführen der nötigen Kontrollen eingehalten werden.
39
Sicherheitsrichtlinien, Sicherheitsrichtlinien, die die Clouds betreffen: die die Clouds betreffen:
Risiken 12Risiken 12
Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung,
Garantien Integritätsklausel, Klausel zur Kontinuität
und zur Dienstleistungsqualität Der Dienstanbieter muss alle Maßnahmen
anordnen und umsetzen, welche die Bewahrung und die Integrität der behandelten und verarbeiteten Informationen während der Vertragsdauer sicherstellen, wie z. B. Notstromsysteme.
40
Sicherheitsrichtlinien, Sicherheitsrichtlinien, die die Clouds betreffen: die die Clouds betreffen:
Risiken 13Risiken 13
Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung,
Garantien Es muss eine Dienstleistungsvereinbarung (SLA)
formalisiert werden in einem Abkommen im Anhang zum Vertrag zwischen dem ÖSHZ und dem "Cloud"-Dienstanbieter; darin müssen insbesondere während und nach jedem Garantiezeitraum, die Verfügbarkeit des Dienstes, die maximale Bootzeit im Falle einer Unterbrechung nach einem Vorfall und alle anderen Kriterien in Bezug auf die Wiederaufnahme der Aktivitäten angegeben werden (Zeitdauer der Wiederaufnahme und maximal tolerierbarer Datenverlust).
Außerdem müssen die Einzelheiten der Maßnahmen, die die Kontinuität des Dienstes ermöglichen, in der Dienstleistungsvereinbarung (SLA) im Anhang des Vertrages stehen.
41
Sicherheitsrichtlinien, Sicherheitsrichtlinien, die die Clouds betreffen: die die Clouds betreffen:
Risiken 14Risiken 14
Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung,
Garantien Klausel zur Sicherstellung der Datenwiederherstellung.
Der Dienstanbieter verpflichtet sich dazu, keine Daten des ÖSHZ aufzubewahren über den Zeitraum hinaus, welcher in Absprache mit der Einrichtung festgelegt wurde hinsichtlich der Zwecke, für welche die Daten erhoben wurden.
Im Falle eines vorzeitigen Abbruchs oder Ende der Dienstleistung ist der Dienstanbieter dazu verpflichtet, alle Daten des ÖSHZ wiederherzustellen und zurückzugeben in der vereinbarten Art im vereinbarten Zeitraum und in einem herkömmlichen Format, strukturiert und wie dies für die herkömmliche Verwendung üblich ist, damit das ÖSHZ die Kontinuität seines Dienstes sicherstellen kann. Sobald die Wiederherstellung durchgeführt wurde, verpflichtet sich der Dienstanbieter unter Absprache mit dem ÖSHZ, alle Kopien der Daten in seinem Besitz zu vernichten, darunter auch die Backups und Archive, und dies in einem angemessenen Zeitraum unter Erbringung des Nachweises der Datenvernichtung.
42
Sicherheitsrichtlinien, Sicherheitsrichtlinien, die die Clouds betreffen: die die Clouds betreffen:
Risiken 15Risiken 15
Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung,
Garantien Klausel über die Garantie der
Datenübertragbarkeit und die Kompatibilität der Systeme.
Am Ende der Dienstleistung muss der Dienstanbieter unter den im Vertrag vereinbarten Bedingungen die nötige Hilfe leisten zum Übertragen (Migration) der Bearbeitungen, die von seiner "Cloud" durchgeführt wurden, auf eine andere Lösung.
43
Sicherheitsrichtlinien, Sicherheitsrichtlinien, die die Clouds betreffen: die die Clouds betreffen:
Risiken 16Risiken 16
Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung,
Garantien Klausel über die Prüfungsvorschriften
Der Dienstanbieter verpflichtet sich dazu, die durch das ÖSHZ finanzierten Prüfungen zu autorisieren, eng mitzuarbeiten und die festgestellten Mängel möglichst schnell zu beheben. Diese Prüfungen können vom ÖSHZ selbst durchgeführt werden oder durch einen Dritten seines Vertrauens, den das ÖSHZ auswählt.
Die Prüfungen müssen die Analyse des Einhaltens des Vertrages und der bei dieser Politik anzuwendenden Sicherheitsvorschriften ermöglichen und auch die Analyse der Konformität insbesondere hinsichtlich der von internationalen Stellen (z. B. ISO) empfohlenen bewährten Verfahrensweisen.
Die Prüfung muss es auch ermöglichen, sicherzustellen, dass die eingesetzten Sicherheitsmaßnahmen bezüglich der Vertraulichkeit, der Verfügbarkeit, der Nachverfolgbarkeit und der Integrität der Daten nicht umgangen werden können, ohne dass dies festgestellt und mitgeteilt wird.
Im Falle eines vollständigen oder teilweisen Outsourcings müssen die Prüfungsvorschriften auch bei allen Subunternehmern angewendet werden.
44
Sicherheitsrichtlinien, Sicherheitsrichtlinien, die die Clouds betreffen: die die Clouds betreffen:
Risiken 17Risiken 17
Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung,
Microsoft genehmigt keine Prüfungen in seinen Clouds.
45
Sicherheitsrichtlinien, Sicherheitsrichtlinien, die die Clouds betreffen: die die Clouds betreffen:
Risiken 18Risiken 18
Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung,
Garantien Klausel über die Verpflichtung des Dienstanbieters hinsichtlich
der Vertraulichkeit der Daten: der Dienstanbieter muss sich, seine Subunternehmer und
eventuelle Ankäufer dazu verpflichten, weder für seinen Bedarf oder in seinem Namen, noch dem, bzw. den eines Dritten, die Daten zu verwenden oder weiter zu geben.
er muss sich dazu verpflichten, alle Zugangsspuren, -pfade oder -logs zu den Daten (nötig, um festzustellen, wer was und wann getätigt hat), Verwaltungs-Tools und Anwendungen zu schützen und für den Kunden zur Verfügung zu halten, und dies über den vertraglich festgelegten Zeitraum hinweg.
er muss das ÖSHZ über jede festgestellte Anomalie bei den Anschluss- oder Verbindungs-Spuren, -pfaden oder -logs informieren, wie z. B.: Zugangsversuche von nicht-autorisierten Personen.
der Dienstanbieter muss das ÖSHZ unverzüglich über jede Anfrage oder Suchanfrage informieren, die von einer belgischen oder ausländischen Verwaltungs- oder Justizbehörde stammt.
46
Sicherheitsrichtlinien, Sicherheitsrichtlinien, die die Clouds betreffen: die die Clouds betreffen:
Risiken 19Risiken 19
Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung,
Garantien Souveränitätsklausel
Dem ÖSHZ versichern, dass der Dienstanbieter und seine eventuellen Subunternehmer keinen Forderungen oder Anfragen von ausländischen Behörden an Belgien oder anderen Mitgliedsstaaten der Europäischen Union unterliegen oder verpflichtet sind.
47
Sicherheitsrichtlinien, Sicherheitsrichtlinien, die die Clouds betreffen: die die Clouds betreffen:
Risiken 20Risiken 20
Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung,
Garantien Klausel über die Verpflichtungen des
Dienstanbieters hinsichtlich der Datensicherheit. Dem Kunden die Sicherheitspolitik der
Informationssysteme liefern, die er eingesetzt hat und ihn über die Entwicklungen dieser Politik informieren.
Der Lieferant des "Cloud Computing"-Dienstes ist verpflichtet zur Einhaltung der geltenden und einschlägigen guten Praktiken, die von und für die Einrichtung gefordert werden, besonders solche, die in der ISO 27002 angegeben sind oder solche, die in den Mindestnormen für die soziale Sicherheit angegeben sind.
48
Sicherheitsrichtlinien, Sicherheitsrichtlinien, die die Clouds betreffen: die die Clouds betreffen:
Risiken 21Risiken 21
Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung,
Einhaltung der guten Praktiken vom Dienstanbieter
Die hier erwähnten guten Praktiken sind eine minimale und unvollständige Liste mit Sicherheitsmaßnahmen, die der Anbieter des "Cloud Computing"-Dienstes einhalten und anwenden muss unter Berücksichtigung der Tatsache, dass die durch das ÖSHZ durchgeführte Risikoanalyse der Anlass zu zusätzlichen Sicherheitsmaßnahmen sein kann.
49
Sicherheitsrichtlinien, Sicherheitsrichtlinien, die die Clouds betreffen: die die Clouds betreffen:
Risiken 22Risiken 22
Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung,
Einhaltung der guten Praktiken durch den Dienstanbieter 5 Bereiche sind zu beachten.
Die empfindlichen Daten: der Dienstanbieter muss in kohärenter Weise die Prozesse in Sachen Sicherheit, Personalverwaltung, Inventar, Qualifikation und Rückverfolgbarkeit der Daten umsetzen,
die Rechenzentren: der Dienstanbieter muss über ein Sicherheitsmanagement des physikalischen Zugangs zu den Rechenzentren verfügen sowie über technische Einrichtungen, welche den Schutz gegen Bedrohungen von außen und durch die Umwelt gewährleisten (Brand, Überschwemmung, Stromausfall, usw.).
50
Sicherheitsrichtlinien, Sicherheitsrichtlinien, die die Clouds betreffen: die die Clouds betreffen:
Risiken 23Risiken 23
Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung,
Einhaltung der guten Praktiken durch den Dienstanbieter 5 Bereiche sind zu beachten.
die Sicherheit der logischen Zugriffe: der Dienstanbieter muss über Kontrollen des logischen Zugriffs verfügen, welche einen angemessenen Schutz der empfindlichen und nicht-empfindlichen Daten gewährleisten,
die Sicherheit der Systeme: der Dienstanbieter muss über konfigurierte Systeme verfügen, die geschützt sind gegen Sicherheitslücken, insbesondere für die gespeicherten Daten,
Netzwerksicherheit: der Dienstanbieter muss über ein gesichertes und geschütztes Netzwerk verfügen mit einer geeigneten Abschirmung bzw. Isolierung gegen Dritte.
51
Sicherheitsrichtlinien, Sicherheitsrichtlinien, die die Clouds betreffen: die die Clouds betreffen:
Risiken 23Risiken 23
Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung,
Einhaltung der guten Praktiken durch den Dienstanbieter
DatenDer Dienstanbieter versichert: dass die Lokalisierung der empfindlichen und nicht-
empfindlichen Daten, die Eigentum der Einrichtung sind, bekannt ist und den Anforderungen des ÖSHZ entspricht (Rechenzentrum, Speicherung und Server)
dass die zugehörigen Informatik-Notstromsysteme und Informatik-Notfallpläne in die Tat umgesetzt und regelmäßig getestet werden,
dass er über einen Ethikkodex verfügt, der von und für sein Personal und seine eventuellen Subunternehmer angewendet wird. Er darf keine Aktivitäten ausführen, die einen Interessenkonflikt auslösen können,
52
Sicherheitsrichtlinien, Sicherheitsrichtlinien, die die Clouds betreffen: die die Clouds betreffen:
Risiken 24Risiken 24
Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung,
Einhaltung der guten Praktiken durch den Dienstanbieter
DatenDer Dienstanbieter versichert: dass sein Personal regelmäßig an Schulungen zur
Vermittlung von Sicherheitsbewusstsein teilnimmt, dass er über zentralisierte Mittel zur Rückverfolgbarkeit
verfügt, die es ermöglichen, Verletzungen von Rechten oder böswilliges Verhalten festzustellen,
dass er über ein Management der Sicherheitszwischenfälle oder -verletzungen verfügt, einschließlich der Feststellung, des Alarmierens, der Behandlung bis hin zur Lösung, der Identifizierung der Ursachen und der Mitteilung an die Einrichtung.
53
Sicherheitsrichtlinien, Sicherheitsrichtlinien, die die Clouds betreffen: die die Clouds betreffen:
Risiken 25Risiken 25
Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung,
Einhaltung der guten Praktiken durch den Dienstanbieter
Sicherheit der RechenzentrenDer Dienstanbieter versichert: dass er über gesicherte Systeme verfügt der Kontrolle des
physikalischen Zugangs oder Zugriffs, der Feststellung von Eindringen/Einbrüchen, Überschwemmungen und zur Videoüberwachung;
dass die Zugänge zu den Rechenzentren nur autorisiert sind für einzelne Personen, die dadurch ermächtigt sind, dass sie einen geeigneten Zyklus zur Genehmigung durchlaufen haben; sie werden regelmäßig weiterverfolgt und überprüft;
dass jeder Wartungs-Subunternehmer, der dazu veranlasst wurde, Ausrüstungen zu verwenden oder zu reparieren, die empfindliche Daten enthalten, an die vertraglichen Vertraulichkeits-Klauseln gebunden ist;
dass jedes Speichermedium, das empfindliche Daten enthält und dazu bestimmt ist, wieder benutzt, entsorgt oder recycelt zu werden, zuvor in geeigneter Weise einer Datenlöschung unterzogen wird.
54
Sicherheitsrichtlinien, Sicherheitsrichtlinien, die die Clouds betreffen: die die Clouds betreffen:
Risiken 26Risiken 26
Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung,
Einhaltung der guten Praktiken durch den Dienstanbieter Sicherheit der logischen Zugriffe
Der Dienstanbieter versichert: dass er die Vorschriften zur Autorisierung des Zugriffs auf
Daten anwendet in Abhängigkeit der von dem ÖSHZ mitgeteilten Punkte (Abfrage, Anlegen, Ändern und Löschen);
dass sich die Zugriffe durch Anwender und Administratoren auf Systeme, die empfindliche Daten enthalten, auf Mechanismen stützen, welche die Vertraulichkeit und die Rückverfolgbarkeit gewährleisten (Prüfpfade der Zugriffe auf die Daten und Behandlung der Problematik der generischen Accounts (Konten);
dass er eine Authentifizierungspolitik anwendet, die derjenigen des ÖSHZ entspricht.
55
Sicherheitsrichtlinien, Sicherheitsrichtlinien, die die Clouds betreffen: die die Clouds betreffen:
Risiken 27Risiken 27
Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung,
Einhaltung der guten Praktiken durch den Dienstanbieter Sicherheit der Systeme
Der Dienstanbieter versichert: dass die auf allen verwendeten Datenträgern
gespeicherten Daten mit Hilfe eines geeigneten Systems verschlüsselt werden (Algorithmus, Schlüssellänge, ...);
dass die Schwachstellen der Systeme verwaltet werden und mindestens alljährlich (Hacker-) Angriffstests organisiert werden und die kritischen Schwachstellen unverzüglich korrigiert werden;
dass die Server, auf denen sich empfindliche Daten befinden, mit einem verstärkten Sicherheitsniveau eingerichtet bzw. konfiguriert werden;
56
Sicherheitsrichtlinien, Sicherheitsrichtlinien, die die Clouds betreffen: die die Clouds betreffen:
Risiken 28Risiken 28
Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung,
Einhaltung der guten Praktiken durch den Dienstanbieter
Sicherheit der SystemeDer Dienstanbieter versichert: Die Sicherheits-Patches werden auf zentrale Art verwaltet,
zuvor getestet und in Zeiträumen von weniger als einem Monat verwendet;
die Anti-Virenprogramme auf den Servern und den Arbeitsplätzen werden installiert, aktualisiert und überwacht;
die Verwendung der USB-Sticks und der anderen mobilen Speichermedien wird kontrolliert, verwaltet und natürlicherweise auf allen Systemen untersagt, auf denen empfindliche Daten vorhanden sind; darin mit einbezogen sind auch alle Arten von externen Speicherungen, die nicht explizit im Vertrag vorgesehen sind.
57
Sicherheitsrichtlinien, Sicherheitsrichtlinien, die die Clouds betreffen: die die Clouds betreffen:
Risiken 29Risiken 29
Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung,
Einhaltung der guten Praktiken durch den Dienstanbieter
Sicherheit des NetzwerkzugangsDer Dienstanbieter versichert: die Zugangspunkte zum Netzwerk sind begrenzt, abgesichert und
gefiltert; die Systemverwaltungsaufgaben werden von einem abgesicherten
Netzwerk aus durchgeführt, das dafür vorgesehen ist und das isoliert (abgeschirmt) ist dadurch, dass es sich mit hohen Authentisierungsmechanismen verbindet;
die Änderungen im Bereich der Netzwerkausrüstungen werden mitverfolgt, dokumentiert und zuvor genehmigt;
im Falle eines geteilten "Cloud Computing"-Dienstes:• der Netzwerkzugang wird nur zugelassen von
vertrauenswürdigen Computerterminals;• das Netzwerk, an das diejenigen Systeme angeschlossen sind, die
empfindliche Daten enthalten, wird vom Netzwerk der anderen Kunden isoliert.
58
Sicherheitsrichtlinien, Sicherheitsrichtlinien, die die Clouds betreffen: die die Clouds betreffen:
Risiken 30Risiken 30
Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung,
Einhaltung bestimmter gesetzlicher Verpflichtungen im Falle der Verarbeitung von persönlichen Daten
Das ÖSHZ muss immer auf die Einhaltung der Vorschriften zum Schutz von persönlichen Daten achten (Gesetz über den Schutz der Privatsphäre). wenn solche Daten in einem Dienst vom Typ "Cloud" ver- oder bearbeitet werden. In diesem Rahmen ist das ÖSHZ als Eigentümer der Daten immer verantwortlich für die korrekte Einhaltung der Vorschriften zum Schutz der persönlichen Daten.
Die Wahl des Anbieters des "Cloud Computing"-Dienstes durch das ÖSHZ beschränkt sich auf Dienstanbieter, die ausschließlich nur "Privat-Cloud"-Dienste" anbieten im Falle einer Auslagerung von persönlichen Daten.
59
Sicherheitsrichtlinien, Sicherheitsrichtlinien, die die Clouds betreffen: die die Clouds betreffen:
Risiken 31Risiken 31
Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung,
Einhaltung bestimmter gesetzlicher Verpflichtungen im Falle der Verarbeitung von persönlichen Daten
Die personenbezogenen Daten können von Belgien aus und innerhalb der Europäischen Union frei zirkulieren, solange die allgemeinen Prinzipien des belgischen Gesetzes über den "Schutz der Privatsphäre" eingehalten werden. In diesem Rahmen ist die Wahl einer Auslagerung von personenbezogenen Daten oder von Datenverarbeitungsdiensten persönlicher Daten in ein Land der Europäischen Union nur dann gestattet, wenn das belgische Gesetz über den "Schutz der Privatsphäre" bezogen auf das jeweilige Land der Union eingehalten wird (wie angegeben in der europäischen Richtlinie 95/46/CE).
Außerdem erfordert jede Auslagerung von personenbezogenen Daten eine Datenverschlüsselung während der Übertragung und während des Zeitraums der Speicherung. Die Mittel zur Verschlüsselung müssen immer unter der Kontrolle der Einrichtung stehen in Bezug auf die Verwaltung und dürfen nicht an Subunternehmer vergeben werden.
60
Sicherheitsrichtlinien, Sicherheitsrichtlinien, die die Clouds betreffen: die die Clouds betreffen:
Risiken 34Risiken 34
Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung,
Eventuelle Fragen???
61
WINDOWS 365WINDOWS 365
Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung,
Einige Prinzipien
62
Neues Verfahren zur Ernennung Neues Verfahren zur Ernennung des Sicherheitsberaters* (1)des Sicherheitsberaters* (1)
Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung,
Das sind die verschiedenen Schritte.
Den Sicherheitsberater oder den stellvertretenden
Sicherheitsberater vom Sozialhilferat benennen lassen.
Die unterschriebene Ernennung zum
Sicherheitsberater vom FÖP Sozialeingliederung per
Post oder eingescannt per E-Mail schicken an:
[email protected], SPP Intégration sociale
(FÖP Sozialeingliederung), Bd Roi Albert II, 30, 1000
Bruxelles (Brüssel).
*Dies gilt auch für den stellvertretenden Sicherheitsberater.
63
Neues Verfahren zur Ernennung Neues Verfahren zur Ernennung des Sicherheitsberaters (2)des Sicherheitsberaters (2)
Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung,
3. Dann auf die Internetseite der ZDSS
gehen.
4. Klicken auf Sicherheitsberater (direkt
unter "Sicherheit und Schutz der
Privatsphäre").
64
Neues Verfahren zur Ernennung Neues Verfahren zur Ernennung des Sicherheitsberaters (3)des Sicherheitsberaters (3)
Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung,
oder auf http://www.bcss.fgov.be/fr/bcss/page/c
ontent/websites/belgium/security/security_03.html
Klicken Sie auf "Bewertungs-Fragebogen für den Sicherheitsberater". Die URL des Links ist die folgende: http://www.bcss.fgov.be/binaries/documentation/fr/securite/explications_questionnaire_evaluation_conseiller_e.pdf
65
Neues Verfahren zur Ernennung Neues Verfahren zur Ernennung des Sicherheitsberaters (4)des Sicherheitsberaters (4)
Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung,
7. Das Dokument "Bewertungs-Fragebogen für den Sicherheitsberater" öffnet sich.
8. Lesen Sie sich das ganze Dokument VOR dem Ausfüllen aufmerksam durch.
9. Klicken Sie anschließend auf "hier", um das auszufüllende Dokument zu öffnen.
10. Wörterbuch: der für die tägliche Geschäftsführung Verantwortliche in Brüssel: der Sekretär in der Wallonie: der Generaldirektor.Die antragstellende Einrichtung ist das öffentliche Zentrum für Sozialhilfe (ÖSHZ).
66
Neues Verfahren zur Neues Verfahren zur Ernennung des Ernennung des
Sicherheitsberaters (5)Sicherheitsberaters (5)
Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung,
11. Füllen Sie das ganze Formular komplett aus.12. Nachdem Sie das Formular ausgefüllt haben, gehen
Sie zu Seite 2 und unterzeichnen Sie es elektronisch.13. Wenn der Sekretär oder Generaldirektor der
Sicherheitsberater ist, lassen Sie den Präsidenten anstelle des für die tägliche Geschäftsführung Verantwortlichen unterzeichnen.
14. Durch das elektronische Signieren wird das Dokument automatisch zur Kommission zum Schutz der Privatsphäre geschickt.
15. Drucken Sie das ausgefüllte Dokument aus, falls Sie es per Post senden möchten und bewahren Sie stets ein Exemplar für sich auf.
67
Neues Verfahren zur Neues Verfahren zur Ernennung des Ernennung des
Sicherheitsberaters (6)Sicherheitsberaters (6)
Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung,
Sobald der neue Sicherheitsberater diese Formalitäten erfüllt hat, muss er:
- zwei Wochen warten (Bearbeitungszeit der Kommission zum Schutz der Privatsphäre);
- Den Verantwortlichen Zugänge Einheit darum bitten, er möge auf die folgenden Internetseiten gehen: https://professional.socialsecurity.be, er soll auf Arbeitgeber klicken und anschließend klicken auf "Verbinden".
68
Neues Verfahren zur Neues Verfahren zur Ernennung des Ernennung des
Sicherheitsberaters (7)Sicherheitsberaters (7)
Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung,
- wenn der Sicherheitsberater bereist existiert, soll er das löschen;
- wenn der Sicherheitsberater noch nicht existiert, dies nicht zu erstellen,
- zu klicken auf "Lokalen Fragebogen ersetzen"
- die Nationalregisternummer des neuen Sicherheitsberaters einzugeben, abzuspeichern und auf "Bestätigen" zu klicken.
69
Neues Verfahren zur Ernennung Neues Verfahren zur Ernennung des Sicherheitsberaters (8)des Sicherheitsberaters (8)
Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung,
Hinweis: Der Sicherheitsberater darf in einem großen
öffentlichen Sozialhilfezentrum nicht der Sekretär oder der
Generaldirektor sein.
Der Sicherheitsberater darf nicht der Verantwortliche oder der
Leiter des EDV-Services sein.
Die Kommission zum Schutz der Privatsphäre wird die
Informationen speichern, darf aber kein Urteil oder
Entscheidung abgeben über Ihre Kenntnisse und darf
niemanden daran hindern, zum Informations-
Sicherheitsberater ernannt zu werden.
FRAGEN?
ENDE