Unterstütze uns! Spende jetzt!

AG Technik/Verfahrensverzeichnis

Aus PiratenWiki
Zur Navigation springen Zur Suche springen

AG Technik | Dashboard | Regeln | Geschäftsordnung | Treffen & Protokolle | Logbuch | Todolist | Verfahrensverzeichnis | Tools & Links | Beschlüsse

Technische organisatorische Maßnahmen

Technische und organisatorische Maßnahmen §9 BDSG - AG Technik LVBB      
Erfordernis Kurzbegriff Maßnahme  
Zu treffende Maßnahmen, die je nach Art der zu schützenden personenbezogenen Daten geeignet sind,      
       
1. Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle), Zutrittskontrolle Der Server befindet sich in einem gesicherten Rechenzentrum. Personenbezogene Daten werden nur im geringen Umfang erfasst, in der Regel durch den Betroffenen selbst.  
       
2. zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle), Zugangskontrolle Der Zugang erfolgt nur durch Eingabe sicherer Passwörter. Der Zugriff erfolgt über eine durch SSL-geschützte Internetverbindung. Der Zugriff erfolgt nur durch ihrerseits vollverschlüsselte Eingabegeräte. Ein regelmäßiger Wechsel der verwendeten Passwörter erfolgt. Die Passwörter werden an sicherer Stelle hinterlegt. Änderungen in der Zugangsberechtigung erfolgt durch den Dienstebereitssteller und durch Beschluss der AG Technik.
Sicherheitspatches werden nach Bedarf und Dringlichkeit regelmäßig eingepflegt. Die Adminstration erfolgt sowahl ehren- als auch hauptamtlich.
 
       
3. zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle), Zugriffskontrolle Der Zugriff auf Ressourcen wird durch Beschluss der AG Technik geregelt. Hierbei kommen verschiedene Rollen zum Einsatz, die je nach Sachgebiet begrenzt sind. Serveradminstratoren haben technisch bedingt einen Vollzugriff auf alle Instanzen.
Massenspeicher werden nur für Datensicherungen verwendet. Die Speicherung der Datensicherungen erfolgen im Rechenzentrum selbst. Die Datensicherungen von Wordpressblogs erfolgen zusätzlich auf einem verschlüsselten Massenspeicher beim Wordpress-Admin.
Die Eingabegeräte selbst sind nach dem Stand der Technik gegen unberechtigten Zugriff geschützt.
 
       
4. zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle), Weitergabekontrolle Eine Weitergabe von personenbezogenen Daten an Dritte findet nicht statt.  
       
5. zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle), Eingabekontrolle Der Zugriff erfolgt über eine SSL-gesicherten Zugang vom Rechner der Admins. Der Zugriff der Admins wird im Systemlog erfasst.  
       
6. zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle), Auftragskontrolle Die Einhaltung der Verträge zur Auftragsverarbeitung werden von den Admins gewährleistet. Die AV-Verträge sind für den Datenschutzbeauftragten einsehbar und prüfbar. Löschungs- bzw. Sperrungsanweisungen des Auftraggebers können umgesetzt werden. Daten, die in den Verfügungsbereich des Auftraggebers fallen, werden auf Anforderung auf einem physischen Datenträger gegen Empfangsbestätigung übergeben und erst nach Freigabe gelöscht.  
       
7. zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle), Verfügbarkeitskontrolle Das Rechenzentrum gewährleistet eine sichere operative Umgebung.
Soweit personenbezogene Daten erfasst, genutzt und/oder verarbeitet werden, werden diese in einer automatischen Datensicherung gespiegelt.
 
       
8 .zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können. Trennungsgebot Soweit es erfolderlich ist, personenbezogende Daten überhaupt zu erfassen, nutzen und/oder zu verarbeiten, wird das Trennungsgebot durch die Admins gewährleistet.
Pseudonyme werden nicht mit Klarnamen zusammengeführt.
 

Verfahrensverzeichnis

Link: https://technik.piratenbrandenburg.org/AG_Technik/Verfahrensverzeichnis

IT-Sicherheitsrichtlinie

+++ Entwurf+++

  • In der AG Technik im Landesverband Brandenburg der Piratenpartei Deutschland ist folgenden IT-Sicherheitsleitlinie gültig:
  • Die IT unterstützt die von ihr eingesetzte Technik und die auf ihr installierten Anwendungen.
  • Ein Ausfall soll insgesamt kurzfristig kompensiert werden können, wobei der Geschäftsablauf durch Sicherheitsmängel nicht stark beeinträchtigt werden darf. Alle Sicherheitsmaßnahmen werden so ausgewählt, dass sie geeignet und angemessen sind. Sie sollten also einerseits das Risiko bestmöglich minimieren und andererseits in geeignetem Verhältnis zu im Schadensfall entstehenden Kosten stehen.
  • Unsere Daten, die unserer Mitglieder und unsere IT-Systeme in allen Bereichen werden in ihrer Verfügbarkeit so gesichert, dass die zu erwartenden Stillstandszeiten toleriert werden können. Fehlfunktionen und Unregelmäßigkeiten in Daten und IT-Systemen sind nur in geringem Umfang und nur in Ausnahmefällen akzeptabel (Integrität). An die Sicherstellung der Vertraulichkeit von Firmendaten stellen wir die höchsten Ansprüche.
  • Zu diesem Zweck wurden Verantwortlichkeiten zur IT-Sicherheit definiert. Als Verantwortliche für die IT-Sicherheit sind die Koordinatoren der AG Technik und Administratoren benannt sowie Vertretungsregeln erstellt worden. Die mit IT befassten Mitglieder wurden und werden auch in Zukunft in der korrekten Nutzung der IT-Dienste und den hiermit verbundenen Sicherheitsmaßnahmen geschult, sowie hinsichtlich der Gefährdungen für die IT sensibilisiert.
  • Wir tragen den Anforderungen der Datenschutzgesetze Rechnung und streben ein der Parteiarbeit und der Bedeutung der personenbezogenen Daten bzw. Datenverarbeitung angemessenes Datenschutzniveau an. Die organisatorischen Voraussetzungen sind auf die Sicherstellung der Ordnungsmäßigkeit der Datenschutzgesetze ausgerichtet.
  • Eine kontinuierliche Revision der Regelungen und deren Einhaltung soll das angestrebte Sicherheits- und Datenschutzniveau sicherstellen. Abweichungen werden mit dem Ziel analysiert, die IT-Sicherheitssituation bei der AG Technik im Landesverband Brandenburg der Piratenpartei Deutschland zu verbessern und ständig auf dem aktuellen Stand der IT-Sicherheitstechnologie zu halten.
  • Quelle: BSI Grundschutzprofil

Verfahrensverzeichnis

Beispiel, wie so etwas aussehen könnte: Server-Dokumentation IT-Bund

Beispiel, wie Notfallverfahren zu planen sind: BSI-Standard 100-4 Notfallmanagement


Gliederung des Verfahrensverzeichnis

  • 1. Notrufnummern
  • 2. Schema Meldewege
  • 3. Schema Wiederanlaufplan
  • 4. Details Meldewege
  • 5. Details Wiederanlaufplan
  • 6. Übersicht über alles, was Nachschlagecharakter hat (Ansprechpartner, Beschaffungsmöglichkeiten, Standorte, etc.)

Prüfpunkte für ein Schema

  • a) Sind sowohl der organisatorische als auch der technische Wiederanlauf beschrieben?
  • b) Sind die wichtigsten Ansprechpartner mit Telefonnummern leicht zu finden?
  • c) Ist das Inhaltsverzeichnis verständlich und schnell zu begreifen?
  • d) Sind Abhängigkeiten zwischen den EDV-Systemen beschrieben?
  • e) Wird beim Wiederanlauf zwischen unterschiedlichen Sicherungskonzepten unterschieden?
  • f) Gibt es Hinweise auf die Wiederbeschaffung zentraler EDV-Komponenten?
  • g) Werden zeitliche Restriktionen (z.B. an Wochenenden oder nachts) berücksichtigt?
  • h) Kann ein technisch versierter Handelnder, mit den Beschreibungen zum technischen Wiederanlauf etwas anfangen?

Wiederanlaufplan nach Crash

  • 1. Netzwerkkomponenten
  • 2. Speichersysteme
  • 3. Netzwerkdienste
  • 4. virtuelle Systeme und Betriebssysteme
  • 5. Datenbanken
  • 6. Endanwendungen