View
1
Download
0
Category
Preview:
Citation preview
Umsetzung von Sicherheitsstandards am Beispiel eines FinanzdienstleistersRA Dirk Refflinghaus, Datenschutzbeauftragter
RA Dirk Refflinghaus 6. Oldenburger Forum 2© FinanzIT
Kurze Darstellung des UnternehmensWas hat Datenschutz mit IT-Sicherheit zu tunDarstellung des ProzessesUmsetzung des Prozesses mit den Regelungen in der FinanzITBackup– Office21 Konzept
Agenda
RA Dirk Refflinghaus 6. Oldenburger Forum 3© FinanzIT
Rund 180* Sparkassen, Banken und Bausparkassen haben sich bisher für die innovativen Softwarelösungen des Systemhauses entschieden. Zum Kerngeschäft der FinanzIT gehört:
Entwicklung und Integration von Anwendungs-softwaresystemen
Hard- und Software-Beratung und IT-Services
Betrieb von Netzwerken und einem der modernstenRechenzentren-Verbünde Europas
Weitere Aufgaben des Systemhauses:
Produktion des Kartenmanagementsystems für Pluscard
Integration und Betrieb von Saarshopping.de für SaarConnect
ASP-Lösung Personalwirtschaft (PAISY)
Betrieb eines Autorisierungssystems für Kreditkarten (eps)
Das Systemhaus der Sparkassen-Finanzgruppe
* 31.12.2003
RA Dirk Refflinghaus 6. Oldenburger Forum 4© FinanzIT
Standorte der FinanzIT GmbH
HannoverBerlin
Leipzig
Saarbrücken
RA Dirk Refflinghaus 6. Oldenburger Forum 5© FinanzIT
Wettbewerbsfähige Lösungen für Sparkassen, Landesbanken und Landesbausparkassen in elf Bundesländern
Kunden und Unternehmensdaten
Kunden 31.12.2003Sparkassen 168Landesbanken 5Landesbausparkassen 5Kundenkonten in Mio. (inkl. Zahlungsverkehr) 50Mitarbeiter (Institute) 99.908Endgeräte (Institute) 107.864
Unternehmensdaten 31.12.2003 FinanzITGesamterlöse* in Mio. EUR 715Mitarbeiter 2.606
* Umsatzerlöse und sonstige betriebliche Erträge
RA Dirk Refflinghaus 6. Oldenburger Forum 6© FinanzIT
Rechenzentren und Server-Standorte Hannover, Berlin, Leipzig und Saarbrücken
Mit mehreren räumlich getrennten Netzwerkmodulen und Rechenzentren gewährleistet die FinanzIT GmbH eine größtmögliche Sicherheit bei optimaler Geschwindigkeit in der Datenverarbeitung.
Ausstattung und Kapazitäten:
2 Rechenzentren mit je 2 getrennten Modulen in Hannover und Leipzig, zusätzlich 2 Server-Standorte in Berlin und Saarbrücken mit je 2 getrennten Modulen
12 Großrechner (z/OS), 14 Unix-Großrechner und ca. 2.045 Server
Magnetplatten mit 198 Terabyte Speicher-kapazität (davon 68 Terabyte gespiegelt)
31 Kassettensilos mit 70.000 Kassetten* 1 Terabyte sind ca. 1000 Milliarden Byte, bzw. 1000 Gigabyte
RA Dirk Refflinghaus 6. Oldenburger Forum 7© FinanzIT
Druckzentren Hannover, Berlin, Leipzig und Saarbrücken
Ausstattung:
31 Laserdrucksysteme (ca. 6.100 Seiten/Minute)15 Mikroficheanlagen (ca. 1700 Originale/Stunde)
5 Verpackungssysteme5 Verteilroboter8 Kuvertiersysteme
(ca. 100.000 Kuvertierungen/Stunde) 4 CD-Produktionssysteme
Verarbeitungsvolumen (2003):
Zentraler Druck (Mio. Seiten): 682*Zentrale Mikroverfilmung (Mio. Fiches): 9,3Kuvertierungen (Mio. Sendungen): 40,6
* Das entspricht ca. 211.000 km Papier = 5 fache des Erdumfanges
RA Dirk Refflinghaus 6. Oldenburger Forum 8© FinanzIT
Netzdienstleistungen
Netzmanagement
Management- und technologieorientierte Beratung
Komplettlösungen für Institutsnetze
SKO-individuelle Netzdienste
Infrastruktur für Internet und E-Commerce
Leitungen und Netzknoten
Backbone-Vernetzung der FinanzIT
Integration sämtlicher Informations- und Kommunikationstechnologie-Dienstleistungen
RA Dirk Refflinghaus 6. Oldenburger Forum 9© FinanzIT
Deutschlands zentraler Verbindungsknoten der Sparkassen-Finanzgruppe ist die FinanzIT
Im Rahmen des europäischen Geldauto-matenverbundes EUFISERV (63.000 Sparkassen-Geldautomaten in 12 Län-dern) werden alle Karten-Autorisierungs-anfragen der Institute der Sparkassen-Finanzgruppe (SFG) an ausländischen Geldautomaten und alle Geldautomaten-transaktionen mit Karten aus den Part-nerländern an SFG-Geldautomaten über den zentralen Verbindungsknoten des FinanzIT-Rechenzentrums in Hannover an die jeweils kontoführende Institution weitergeleitet. Ergänzt wird diese Aufgabe seit 2003 durch die Funktion als Kopfstelle für Prepaid-Online-Aufladungin der Sparkassen-Finanzgruppe.
Hannover
Prag
WienBern
Paris
MadridRom
Lissabon
Dublin
Brüssel
StockholmOslo
Amsterdam
RA Dirk Refflinghaus 6. Oldenburger Forum 10© FinanzIT
Kurze Darstellung des UnternehmensSymbiose zwischen Datenschutz und IT-SicherheitDarstellung des ProzessesUmsetzung des Prozesses mit den Regelungen in der FinanzITBackup– Office21 Konzept
Agenda
RA Dirk Refflinghaus 6. Oldenburger Forum 11© FinanzIT
Zusammenspiel
Datenschutz IT-SicherheitAnhang zu
§ 9 BDSG
8 Gebote
oder TOMs
(technische und organisatorische Maßnahmen)
RA Dirk Refflinghaus 6. Oldenburger Forum 12© FinanzIT
Werden personenbezogene Daten automatisiert verarbeitet oder genutzt, ist die innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird.
Dabei sind insbesondere Maßnahmen zu treffen, die je nach Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind.
1. Zutrittskontrolle2. Zugangskontrolle3. Zugriffskontrolle4. Weitergabekontrolle5. Eingabekontrolle6. Auftragskontrolle7. Verfügbarkeitskontrolle8. Zu unterschiedlichen Zwecken
erhobene Daten müssen getrennt verarbeitet werden können.
Anforderungen an die Datensicherheit gemäß § 9 BDSG
RA Dirk Refflinghaus 6. Oldenburger Forum 15© FinanzIT
Die Sicherheitsarchitektur der FinanzIT
Grundsätze, Sicherheitsziele
Konzepte,Regeln,Best Practices
Maßnahmen Verfahrens-/Arbeitsanweisungen
Internat.StandardBS7799/ISO17799
RA Dirk Refflinghaus 6. Oldenburger Forum 16© FinanzIT
Policies der FinanzIT
Abgeleitete Policies zur Durchsetzung konkreter Maßnahmen
Sicherheit als integraler Bestandteil der UnternehmensstrategieEinhaltung der gesetzlichen AnforderungenSchutz der Daten und RessourcenSchutz der Mitarbeiter, Mitentwickler, Kooperationspartner und KundenGewährleistung der NachvollziehbarkeitEinhalten eines definierten, fortgeschriebenen Sicherheitsstandards
RA Dirk Refflinghaus 6. Oldenburger Forum 18© FinanzIT
Kurze Darstellung des UnternehmensWas hat Datenschutz mit IT-Sicherheit zu tunDarstellung des Prozesses „IT-Sicherheit managen“Umsetzung des Prozesses mit den Regelungen in der FinanzITBackup– Office21 Konzept
Agenda
RA Dirk Refflinghaus 6. Oldenburger Forum 22© FinanzIT
Projekt xyz
Organisation der Sicherheit
Datenschutz
Unternehmens-steuerung
Anwendungs-bereitstellung
IT-Sicherheit
Interne Revision
Produktion ...
...
...
Systemsteuerung
...
SicherheitsmanagementIT-RisikomanagementStrategie/SicherheitspolitikSicherheitsbewusstseinAuditStandards/Entwicklung
...
...
SicherheitsadministrationBenutzermanagementAdministrationBetriebÜberwachung
SicherheitstechnologeSicherheitskonzepte und -implementierung in Anwendungen
RA Dirk Refflinghaus 6. Oldenburger Forum 26© FinanzIT
Kurze Darstellung des UnternehmensWas hat Datenschutz mit IT-Sicherheit zu tunDarstellung des Prozesses „IT-Sicherheit managen“Umsetzung des Prozesses mit den Regelungen in der FinanzITBackup– Office21 Konzept
Agenda
RA Dirk Refflinghaus 6. Oldenburger Forum 27© FinanzIT
Regelungen
Welche Regelungen gibt es?
General IT-Security Policy
Sicherheitspolicies der FinanzIT
Geschäftsanweisung/GrundsatzrichlinieInformationssicherheit
VA Allgemeine Informationssicherheit
IT-Security Regelungen
...
RA Dirk Refflinghaus 6. Oldenburger Forum 28© FinanzIT
Erwartungen an die Mitarbeiter
Mitarbeiter
kennen die für sie zutreffenden Regeln zur Informationssicherheit und halten sie ein und
verwenden Einrichtungen der Informationsverarbeitung nur für genehmigte Zwecke.
Auszug aus:FinanzIT-Arbeitsanweisung Verantwortlichkeiten
RA Dirk Refflinghaus 6. Oldenburger Forum 29© FinanzIT
Erwartungen an die Führungskräfte
Führungskräfte
informieren ihre Mitarbeiter bei Übernahme einer neuen Aufgabe, mindestens jedoch jährlich, über die Regeln zur Informationssicherheit und überwachen, ob diese eingehalten werden.
Auszug aus:FinanzIT-Arbeitsanweisung Verantwortlichkeiten
RA Dirk Refflinghaus 6. Oldenburger Forum 30© FinanzIT
Schutz von Datenstationen und Arbeitsplätzen
Jeder Mitarbeit ist verantwortlich
Diebstahl, Beschädigung, Missbrauch von Datenstationen und Arbeitsplatzcomputern und darin gespeicherten Informationen zu verhindern.
Auszug aus:FinanzIT-Arbeitsanweisung Verantwortlichkeiten
RA Dirk Refflinghaus 6. Oldenburger Forum 31© FinanzIT
Clean Desk
Ordnung und Sauberkeit am Arbeitsplatz als Elemente der Sicherheit
Nur Informationen am Arbeitsplatz, die zur Erledigung der jeweiligen Aufgabe nötig sind.
Vertraulich und höher klassifizierte Informationen unter Verschluss halten, wenn sie nicht unter Aufsicht sind.
Bei Arbeitsende die für die Öffentlichkeit nicht bestimmten Informationen aufräumen (durch das Bürokonzept Office 21 gegeben).
RA Dirk Refflinghaus 6. Oldenburger Forum 32© FinanzIT
Regelungen
Voraussetzungen zur Nutzung des Internet in der FinanzIT
Teilnahme an Sicherheitsschulung und Abgabe der Verpflichtungserklärung.
Wahrung der Interessen und des Ansehens der FinanzIT in der Öffentlichkeit
Keine Downloads unter Nutzung von privaten Webmail-Accounts (keine Virenprüfung!)
Die private Nutzung des von der FinanzIT bereitgestellten Internet-zugangs bzw. des Mail-Accounts ist nicht gestattet.
RA Dirk Refflinghaus 6. Oldenburger Forum 33© FinanzIT
Regelungen
Wahrung der Interessen und des Ansehens der FinanzIT oder des Instituts in der Öffentlichkeit.
Meinungsäußerung in politischen oder anderen Foren,
Sittenwidrige und sexistische Angebote,
Menschenverachtende und rassistische Propagandadaten,
Religionspropaganda bzw. Mitgliederwerbung jeder Art,
Unbefugtes Software-Herunterladen für Privatzwecke und dadurch vorsätzliche Verletzung des Lizenzrechtes.
RA Dirk Refflinghaus 6. Oldenburger Forum 37© FinanzIT
Bürokonzept Office 21
Flexible Arbeitsmöglichkeiten
Neue Arbeitsstile
Frei wählbare Büros bzw. Arbeits-plätze je nach Tätigkeit
Mehrfachnutzung eines Arbeitsplatzes (Desk Sharing)
Beschleunigte Informationswege
Papierarme Abläufe
Weitestgehend papierlose Arbeitsprozesse
Papierarme Archivierung
Verfügbarkeit elektronischer Daten und Informationen unabhängig von Raum und Zeit
RA Dirk Refflinghaus 6. Oldenburger Forum 38© FinanzIT
Bürokonzept Office 21
Das Bürokonzept sorgt in Hannover für mehr Motivation und Produktivität. Durch DeskSharing teilen sich 1.500 Mitarbeiter 1.350 Arbeitsplätze.
Verschiedene Arbeitszonen:
Teamcenter – Individuelle Arbeitsplätze und eine Vielfalt an offenen und geschlossenen Raumsituationen für Teamarbeit in unterschiedlicher Größe.
Einzelbüros – Kleine Arbeitsräume, in denen sich 3 bis 4 Mitarbeiter zurückziehen können, um konzentriert zu arbeiten.
Lounge – Informelle, entspannte Atmosphäre mit Sitzgruppe, die zum Arbeiten einlädt.
Einrichtung und technische Ausstattung:
Schließfächer, Telefonladestationen, Besprechungsräume, Mediencenter, standardisierter Office 21 Arbeitsplatz-PC, Zugriff auf individuelle Daten von jedem Platz aus u.v.m. ermöglichen ein variables Arbeiten.
RA Dirk Refflinghaus 6. Oldenburger Forum 39© FinanzIT
Arbeitsplatzbelegung und Wirtschaftlichkeit
Durchschnittliche Arbeitsplatzbelegung
61% (45-90%)
Maximale Arbeitsplatzbelegung
76% (58%-100%)
WirtschaftlichkeitGebäude und Arbeitsplätze auf 75%Bereitstellungsquote zugeschnitten,Investitionen und laufende Betriebs-kosten werden entsprechend reduziert
Recommended