1 Sicherheitssitzung 2. Halbjahr 2013 Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung,

1

Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung,

2

PROGRAMMPROGRAMM1) Präsentation des Beraters 2) Summarischer Überblick der Standesregeln der Mitglieder

des Sozialhilferats3) Richtlinien der ZDSS für die Clouds (noch nicht offiziell

zugelassen von der dafür eingerichteten Sicherheitsgruppe). 4) Windows 365: kurzer Überblick.5) Neue Methode zur Ernennung des Sicherheitsberaters


Zu erörternde Fragen oder Themen

Sie sind gefragt!

4

PRÄSENTATION DES PRÄSENTATION DES SICHERHEITSBERATERS 1 SICHERHEITSBERATERS 1


DIE MITGLIEDER DES SOZIALHILFERATS WISSEN NICHT

was Informationssicherheit ist;

was ein Sicherheitsberater ist;

was sie beachten müssen, um die

Mindestnormen einzuhalten.

5



Informationssicherheit bedeutet:

- die Vorbeugung und die schnelle und effiziente Wiederherstellung der Beschädigungen von sozialen Daten

- und der ungerechtfertigten Verletzung der Privatsphäre der Betroffenen.

6



Der Informationssicherheitsdienst überwacht im öffentlichen Sozialhilfezentrum (ÖSHZ) die Beachtung der Sicherheitsvorschriften, die durch gesetzliche Anordnung auferlegt wurden.

Königlicher Beschluss vom 12.08.1993

7



Der Informationssicherheitsdienst hat eine Begutachtungs-, Förderungs-, Dokumentations-, und Kontrollaufgabe.

8



Der mit der Informationssicherheit

beauftragte Dienst berät den für die tägliche

Geschäftsführung Verantwortlichen

(Generaldirektor – Sekretär) seines ÖSHZ

auf dessen Anfrage hin oder auf eigene

Initiative, bei allen Aspekten zum Thema

Informationssicherheit.

9



Außer wenn die Risiken nicht

groß genug sind, werden die

Begutachtungen schriftlich

und begründet abgegeben.

10



In der Frist ... von höchstens drei Monaten,

entscheidet sich der Beauftragte für die tägliche

Geschäftsführung:

die Begutachtungen zu befolgen oder nicht und er

unterrichtet den Informationssicherheitsdienst über

seine Entscheidung.

Wenn die Entscheidung von einer schriftlichen

Begutachtung abweicht, muss sie schriftlich und mit

Begründung abgegeben werden.

11



Der Informationssicherheitsdienst fördert

die Beachtung der … vorschriftsmäßigen

Sicherheitsregeln und die Annahme eines

sicherheitsfördernden Verhaltens durch

die in der Einrichtung angestellten

Personen.

12



Der

Informationssicherheitsdiens

t sammelt die nützliche

Dokumentation

diesbezüglich.

13



Der Sicherheitsberater überwacht innerhalb der

ÖSHZ die Beachtung der gesetzlichen oder

vorschriftsmäßigen Sicherheitsregeln ... Alle

festgestellten Verletzungen werden schriftlich und

ausschließlich dem Beauftragten der täglichen

Geschäftsführung der Einrichtung, mit den

notwendigen Begutachtungen zur Vorbeugung von

zukünftigen Verletzungen, mitgeteilt.

14



Die Sicherheitsberater und ihre

eventuellen Stellvertreter können

aufgrund der geäußerten Meinungen

oder der im Rahmen der korrekten

Ausführung ihrer Funktion

vorgenommenen Handlungen nicht ihrer

Funktion enthoben werden.

15



Der Informationssicherheitsdienst

untersteht den direkten

Weisungen der für die tägliche

Geschäftsführung des ÖSHZ

verantwortlichen Person.

16



Er arbeitet eng mit den Diensten

zusammen, bei denen seine Mitwirkung

erforderlich ist oder erforderlich sein

kann, insbesondere:

mit dem Informatikdienst;

mit dem IDGS.

17



Der Sicherheitsberater erstellt einen Entwurf eines

Sicherheitsplanes für einen Zeitraum von 3 Jahren,

zu Händen des Beauftragten für die tägliche

Geschäftsführung, in dem er auf Jahresbasis die

erforderlichen Mittel zur Realisierung des Plans

aufstellt. Dieser Plan wird mindestens ein Mal pro

Jahr überprüft und ggf. angepasst. Der Entwurf des

Sicherheitsplans gilt als Begutachtung

18



Der Informationssicherheitsdienst erstellt

einen Jahresbericht zu Händen des

Beauftragten für die tägliche

Geschäftsführung der Einrichtung.

19



Die Aufgaben des

Informationssicherheitsdienstes, wie definiert,

beziehen sich auch auf die durch Vermittlung

Dritter (Softwarehäuser, Gemeindeverwaltung,

usw.) im Auftrag von des ÖSHZ

gespeicherten, bearbeiteten oder

ausgetauschten personenbezogenen

Sozialdaten.

20



21

Summarischer Überblick der Standesregeln der Mitglieder des Sozialhilferats


Quelle: http://www.uvcw.be/articles/33,38,38,0,2207.htm

Die Achtung der Privatsphäre A. Das Geheimnis

Innerhalb des ÖSHZ ist die Einhaltung des Berufsgeheimnisses eine zwingende soziale Notwendigkeit.Die Verpflichtung zum Berufsgeheimnis ist zunächst festgelegt durch den Artikel 458 des Strafgesetzbuchs,

Alle während der Ausübung des Berufs oder des Mandats erhaltenen oder festgestellten Informationen fallen unter das Berufsgeheimnis.

22


Das Grundlagengesetz vom 08.07.1976 zu den ÖSHZ legt außerdem fest, dass: die Mitglieder des Sozialhilferats sowie jede

andere Person, die aufgrund des Gesetzes an Versammlungen des Rats, des Ständigen Büros und der Sonderausschüsse teilnimmt, sind an das Berufsgeheimnis gebunden (Art. 36, Abs. 2);

diese Anordnungen gelten auch für die das Personal des ÖSHZ (Art. 50).


23



Daher sind innerhalb des ÖSHZ nicht nur

die Sozialarbeiter, sondern das gesamte

Personal (darunter auch Hilfspersonal)

und die Bevollmächtigten, an das

Berufsgeheimnis gebunden.

24



Die Ratsmitglieder und Personen, die an der

Versammlung teilnehmen können, dürfen

daher weder den Inhalt der Diskussionen, der

Beratungen und Beschlüsse, die Statements,

Meinungen und Haltungen, noch die Art

weitergeben, auf welche die Abstimmung

durchgeführt wurde, da dies für Antragsteller

erfolgte.

RAT Zunächst einmal mit Ihrem Sekretär und

Ihrem Präsidenten prüfen: das Interesse, auf die Regeln und Vorschriften

hinzuweisen, den Inhalt, die Art und Weise (sehr didaktisch wenn

möglich und sehr einfach).

26

Sicherheitsrichtlinien, Sicherheitsrichtlinien, die die Clouds betreffen: Risiken 1die die Clouds betreffen: Risiken 1


Der Verlust des Steuerungssystems der Behandlung.

Der Verlust der Überprüfbarkeit des Dienstanbieters aufgrund von Fehlern bei der Verwaltung der Subunternehmer bzw. der Auftragsverarbeiter.

Die technologische Abhängigkeit des ÖSHZ gegenüber dem Lieferanten des Cloud Computing = Unmöglichkeit oder Schwierigkeit bei der Lösungsänderung (für einen anderen Lieferanten oder eine interne Lösung) ohne Datenverlust.

27



Eine Lücke bei der Datenisolierung = d. h. das

Risiko, dass die auf einem (virtualisierten)

System vorhandenen Daten nicht mehr isoliert

sind und verändert oder für unbefugte Dritte

zugänglich gemacht werden könnten, infolge

eines Fehlers des Dienstanbieters oder infolge

einer schlechten Funktion des Hypervisors;

28



Die Befolgung gesetzlicher Anforderungen auf der Basis von ausländischem Recht ohne Absprache mit den nationalen Behörden (Beispiel: USA).

http://www.levif.be/info/actualite/international/google-veut-pouvoir-publier-le-nombre-de-requetes-de-la-nsa/article-4000331420445.htm

29



Google möchte die Anzahl der Abfragen der NSA veröffentlichen dürfen

Der Kern der Sache Mittwoch, 19. Juni 2013 um 06h36 Google hat am Dienstag auf dem

Sondergerichtshof für Untersuchungen in Verbindung mit der nationalen Sicherheit einen Antrag auf Genehmigung zur Veröffentlichung der Zahl der Suchanfragen der Nachrichtendienste gestellt, die von ihm Daten anforderten.

30



Eine Lücke in der Zulieferkette, u. a. in dem Fall, wo der Dienstanbieter selbst bei Dritten die Erbringung der Dienstleistung oder Bereitstellung des Dienstes anforderte.

Die Nichteinhaltung von Vorschriften zur Aufbewahrung und Vernichtung seitens der Einrichtung, u. a. durch eine ineffektive oder nicht gesicherte Datenvernichtung oder einer zu langen Aufbewahrungsdauer.

31



Probleme der Verwaltung der Zugriffs- oder Zugangsrechte.

Nichtverfügbarkeit des Dienstanbieters = Nichtverfügbarkeit des Dienstes an sich, aber auch Nichtverfügbarkeit der Zugangsmittel oder -medien zum Dienst (insbesondere Netzwerkprobleme).

Die Schließung des Dienstes des Dienstanbieters oder das nicht freiwillige Ändern des Dienstanbieters durch einen Dritten.

Die Nichteinhaltung oder Nichtübereinstimmung von bzw. mit Vorschriften, besonders bei internationalen Übertragungen.

32



Beobachtungen (1) Vor dem Inbetrachtziehen der Verwendung eines Cloud

Computing muss das ÖSHZ die Daten, Behandlungen oder Dienstleistungen, die in der Cloud abgelegt oder dort hineingestellt werden, klar und eindeutig identifizieren und die Investitionsrendite bestimmen unter Berücksichtigung vor allem der Anwendung der Sicherheitszwänge und -beschränkungen.

Falls für einen Datentyp eine besondere Vorschrift gilt, muss das ÖSHZ die Mindestbedingungen oder die Beschränkungen für dessen Übertragung feststellen. Die Mehrkosten für das Anwenden der vermutlichen und wahrscheinlichen Entwicklungen, vor allem für Sicherheitszwängen müssen ausgewertet und beziffert werden.

33



Beobachtungen (2) Die Dienstleistungsmodelle sind die

folgenden: SaaS : "Software as a Service", d. h. die

Online-Lieferung von Software; PaaS : "Platform as a Service", d. h. die

Online-Lieferung einer Plattform für Anwendungsentwicklung;

IaaS : "Infrastructure as a Service", d. h. die Online-Lieferung von Rechen- und Speicherinfrastrukturen.

34

Sicherheitsrichtlinien, Sicherheitsrichtlinien, die die Clouds betreffen: die die Clouds betreffen:

Risiken 9Risiken 9


Beobachtungen (3) Die Bereitstellungsmodelle sind die folgenden:

"Öffentlich", wenn ein Dienst zwischen zahlreichen Kunden geteilt und gemeinsam genutzt wird;

"Privat", wenn die Cloud einem Kunden gewidmet ist;

"Gemeinschaftlich", wenn die Cloud von Kunden geteilt wird, die dieselben Verpflichtungen haben (gesetzliche, …);

"Hybrid", wenn ein Dienst teilweise in einer öffentlichen Cloud und teilweise in einer privaten Cloud ist.

35


Risiken 10Risiken 10


Beobachtungen (4) Weder die öffentliche Cloud, noch die Hybrid-

Cloud erfüllen derzeit die geforderten Sicherheitsauflagen.

Man muss seine eigenen technischen und rechtlichen Sicherheitsanforderungen festlegen. Wenn es das Ziel der Cloud ist, das ÖSHZ von bestimmten betrieblichen oder arbeitstechnischen Aufgaben zu entlasten, muss sie zunächst überprüfen, ob der Dienstanbieter ein wenigstens genauso hohes Anforderungsniveau verfolgt, wie das vom ÖSHZ geforderte (Beispiel: cloud Adehis).

36



Je weiter entfernt die Cloud ist, umso höher ist das Risiko.

Das ÖSHZ muss sich vergewissern, dass die Daten tatsächlich in einer Cloud aufbewahrt werden und nicht woanders (es gibt Tools, die die Überprüfung des Speicherorts ermöglichen).

Eine angemessene Risikoanalyse durchzuführen ist wesentlich dazu, um die geeigneten Sicherheitsmaßnahmen festlegen zu können und vor allem muss dies vom Dienstanbieter gefordert werden.

37

Sicherheitsrichtlinien, Sicherheitsrichtlinien, die die Clouds betreffen: Risiken die die Clouds betreffen: Risiken

1010


38

Sicherheitsrichtlinien, Sicherheitsrichtlinien, die die Clouds betreffen: Risiken die die Clouds betreffen: Risiken

1111


Garantien Vertragsklausel bezüglich der Möglichkeit für einen

Dienstanbieter des "Cloud"-Services, einen Teil seiner Aktivitäten an Subunternehmer zu vergeben. Der Dienstanbieter bleibt gegenüber ÖSHZ der alleinige

Verantwortliche für die Ausführung seiner Verpflichtungen, also auch in dem Fall, wenn er einige seiner Aktivitäten an Subunternehmer weitergibt.

Mit Hinblick darauf, dass bestimmte besondere Aufgaben an Subunternehmer vergeben werden könnten, muss der Vertrag vorsehen, dass der "Cloud"-Dienstanbieter das ÖSHZ diesbezüglich informiert und sich dazu verpflichtet, formell alle ihm obliegenden Verpflichtungen gegenüber seinen Sublieferanten zu berichten. Der Dienstanbieter muss sich auch vergewissern, dass diese Verpflichtungen von seinen Sublieferanten durch Ausführen der nötigen Kontrollen eingehalten werden.

39




Garantien Integritätsklausel, Klausel zur Kontinuität

und zur Dienstleistungsqualität Der Dienstanbieter muss alle Maßnahmen

anordnen und umsetzen, welche die Bewahrung und die Integrität der behandelten und verarbeiteten Informationen während der Vertragsdauer sicherstellen, wie z. B. Notstromsysteme.

40




Garantien Es muss eine Dienstleistungsvereinbarung (SLA)

formalisiert werden in einem Abkommen im Anhang zum Vertrag zwischen dem ÖSHZ und dem "Cloud"-Dienstanbieter; darin müssen insbesondere während und nach jedem Garantiezeitraum, die Verfügbarkeit des Dienstes, die maximale Bootzeit im Falle einer Unterbrechung nach einem Vorfall und alle anderen Kriterien in Bezug auf die Wiederaufnahme der Aktivitäten angegeben werden (Zeitdauer der Wiederaufnahme und maximal tolerierbarer Datenverlust).

Außerdem müssen die Einzelheiten der Maßnahmen, die die Kontinuität des Dienstes ermöglichen, in der Dienstleistungsvereinbarung (SLA) im Anhang des Vertrages stehen.

41




Garantien Klausel zur Sicherstellung der Datenwiederherstellung.

Der Dienstanbieter verpflichtet sich dazu, keine Daten des ÖSHZ aufzubewahren über den Zeitraum hinaus, welcher in Absprache mit der Einrichtung festgelegt wurde hinsichtlich der Zwecke, für welche die Daten erhoben wurden.

Im Falle eines vorzeitigen Abbruchs oder Ende der Dienstleistung ist der Dienstanbieter dazu verpflichtet, alle Daten des ÖSHZ wiederherzustellen und zurückzugeben in der vereinbarten Art im vereinbarten Zeitraum und in einem herkömmlichen Format, strukturiert und wie dies für die herkömmliche Verwendung üblich ist, damit das ÖSHZ die Kontinuität seines Dienstes sicherstellen kann. Sobald die Wiederherstellung durchgeführt wurde, verpflichtet sich der Dienstanbieter unter Absprache mit dem ÖSHZ, alle Kopien der Daten in seinem Besitz zu vernichten, darunter auch die Backups und Archive, und dies in einem angemessenen Zeitraum unter Erbringung des Nachweises der Datenvernichtung.

42




Garantien Klausel über die Garantie der

Datenübertragbarkeit und die Kompatibilität der Systeme.

Am Ende der Dienstleistung muss der Dienstanbieter unter den im Vertrag vereinbarten Bedingungen die nötige Hilfe leisten zum Übertragen (Migration) der Bearbeitungen, die von seiner "Cloud" durchgeführt wurden, auf eine andere Lösung.

43




Garantien Klausel über die Prüfungsvorschriften

Der Dienstanbieter verpflichtet sich dazu, die durch das ÖSHZ finanzierten Prüfungen zu autorisieren, eng mitzuarbeiten und die festgestellten Mängel möglichst schnell zu beheben. Diese Prüfungen können vom ÖSHZ selbst durchgeführt werden oder durch einen Dritten seines Vertrauens, den das ÖSHZ auswählt.

Die Prüfungen müssen die Analyse des Einhaltens des Vertrages und der bei dieser Politik anzuwendenden Sicherheitsvorschriften ermöglichen und auch die Analyse der Konformität insbesondere hinsichtlich der von internationalen Stellen (z. B. ISO) empfohlenen bewährten Verfahrensweisen.

Die Prüfung muss es auch ermöglichen, sicherzustellen, dass die eingesetzten Sicherheitsmaßnahmen bezüglich der Vertraulichkeit, der Verfügbarkeit, der Nachverfolgbarkeit und der Integrität der Daten nicht umgangen werden können, ohne dass dies festgestellt und mitgeteilt wird.

Im Falle eines vollständigen oder teilweisen Outsourcings müssen die Prüfungsvorschriften auch bei allen Subunternehmern angewendet werden.

44




Microsoft genehmigt keine Prüfungen in seinen Clouds.

45




Garantien Klausel über die Verpflichtung des Dienstanbieters hinsichtlich

der Vertraulichkeit der Daten: der Dienstanbieter muss sich, seine Subunternehmer und

eventuelle Ankäufer dazu verpflichten, weder für seinen Bedarf oder in seinem Namen, noch dem, bzw. den eines Dritten, die Daten zu verwenden oder weiter zu geben.

er muss sich dazu verpflichten, alle Zugangsspuren, -pfade oder -logs zu den Daten (nötig, um festzustellen, wer was und wann getätigt hat), Verwaltungs-Tools und Anwendungen zu schützen und für den Kunden zur Verfügung zu halten, und dies über den vertraglich festgelegten Zeitraum hinweg.

er muss das ÖSHZ über jede festgestellte Anomalie bei den Anschluss- oder Verbindungs-Spuren, -pfaden oder -logs informieren, wie z. B.: Zugangsversuche von nicht-autorisierten Personen.

der Dienstanbieter muss das ÖSHZ unverzüglich über jede Anfrage oder Suchanfrage informieren, die von einer belgischen oder ausländischen Verwaltungs- oder Justizbehörde stammt.

46




Garantien Souveränitätsklausel

Dem ÖSHZ versichern, dass der Dienstanbieter und seine eventuellen Subunternehmer keinen Forderungen oder Anfragen von ausländischen Behörden an Belgien oder anderen Mitgliedsstaaten der Europäischen Union unterliegen oder verpflichtet sind.

47




Garantien Klausel über die Verpflichtungen des

Dienstanbieters hinsichtlich der Datensicherheit. Dem Kunden die Sicherheitspolitik der

Informationssysteme liefern, die er eingesetzt hat und ihn über die Entwicklungen dieser Politik informieren.

Der Lieferant des "Cloud Computing"-Dienstes ist verpflichtet zur Einhaltung der geltenden und einschlägigen guten Praktiken, die von und für die Einrichtung gefordert werden, besonders solche, die in der ISO 27002 angegeben sind oder solche, die in den Mindestnormen für die soziale Sicherheit angegeben sind.

48




Einhaltung der guten Praktiken vom Dienstanbieter

Die hier erwähnten guten Praktiken sind eine minimale und unvollständige Liste mit Sicherheitsmaßnahmen, die der Anbieter des "Cloud Computing"-Dienstes einhalten und anwenden muss unter Berücksichtigung der Tatsache, dass die durch das ÖSHZ durchgeführte Risikoanalyse der Anlass zu zusätzlichen Sicherheitsmaßnahmen sein kann.

49




Einhaltung der guten Praktiken durch den Dienstanbieter 5 Bereiche sind zu beachten.

Die empfindlichen Daten: der Dienstanbieter muss in kohärenter Weise die Prozesse in Sachen Sicherheit, Personalverwaltung, Inventar, Qualifikation und Rückverfolgbarkeit der Daten umsetzen,

die Rechenzentren: der Dienstanbieter muss über ein Sicherheitsmanagement des physikalischen Zugangs zu den Rechenzentren verfügen sowie über technische Einrichtungen, welche den Schutz gegen Bedrohungen von außen und durch die Umwelt gewährleisten (Brand, Überschwemmung, Stromausfall, usw.).

50




Einhaltung der guten Praktiken durch den Dienstanbieter 5 Bereiche sind zu beachten.

die Sicherheit der logischen Zugriffe: der Dienstanbieter muss über Kontrollen des logischen Zugriffs verfügen, welche einen angemessenen Schutz der empfindlichen und nicht-empfindlichen Daten gewährleisten,

die Sicherheit der Systeme: der Dienstanbieter muss über konfigurierte Systeme verfügen, die geschützt sind gegen Sicherheitslücken, insbesondere für die gespeicherten Daten,

Netzwerksicherheit: der Dienstanbieter muss über ein gesichertes und geschütztes Netzwerk verfügen mit einer geeigneten Abschirmung bzw. Isolierung gegen Dritte.

51




Einhaltung der guten Praktiken durch den Dienstanbieter

DatenDer Dienstanbieter versichert: dass die Lokalisierung der empfindlichen und nicht-

empfindlichen Daten, die Eigentum der Einrichtung sind, bekannt ist und den Anforderungen des ÖSHZ entspricht (Rechenzentrum, Speicherung und Server)

dass die zugehörigen Informatik-Notstromsysteme und Informatik-Notfallpläne in die Tat umgesetzt und regelmäßig getestet werden,

dass er über einen Ethikkodex verfügt, der von und für sein Personal und seine eventuellen Subunternehmer angewendet wird. Er darf keine Aktivitäten ausführen, die einen Interessenkonflikt auslösen können,

52





DatenDer Dienstanbieter versichert: dass sein Personal regelmäßig an Schulungen zur

Vermittlung von Sicherheitsbewusstsein teilnimmt, dass er über zentralisierte Mittel zur Rückverfolgbarkeit

verfügt, die es ermöglichen, Verletzungen von Rechten oder böswilliges Verhalten festzustellen,

dass er über ein Management der Sicherheitszwischenfälle oder -verletzungen verfügt, einschließlich der Feststellung, des Alarmierens, der Behandlung bis hin zur Lösung, der Identifizierung der Ursachen und der Mitteilung an die Einrichtung.

53





Sicherheit der RechenzentrenDer Dienstanbieter versichert: dass er über gesicherte Systeme verfügt der Kontrolle des

physikalischen Zugangs oder Zugriffs, der Feststellung von Eindringen/Einbrüchen, Überschwemmungen und zur Videoüberwachung;

dass die Zugänge zu den Rechenzentren nur autorisiert sind für einzelne Personen, die dadurch ermächtigt sind, dass sie einen geeigneten Zyklus zur Genehmigung durchlaufen haben; sie werden regelmäßig weiterverfolgt und überprüft;

dass jeder Wartungs-Subunternehmer, der dazu veranlasst wurde, Ausrüstungen zu verwenden oder zu reparieren, die empfindliche Daten enthalten, an die vertraglichen Vertraulichkeits-Klauseln gebunden ist;

dass jedes Speichermedium, das empfindliche Daten enthält und dazu bestimmt ist, wieder benutzt, entsorgt oder recycelt zu werden, zuvor in geeigneter Weise einer Datenlöschung unterzogen wird.

54




Einhaltung der guten Praktiken durch den Dienstanbieter Sicherheit der logischen Zugriffe

Der Dienstanbieter versichert: dass er die Vorschriften zur Autorisierung des Zugriffs auf

Daten anwendet in Abhängigkeit der von dem ÖSHZ mitgeteilten Punkte (Abfrage, Anlegen, Ändern und Löschen);

dass sich die Zugriffe durch Anwender und Administratoren auf Systeme, die empfindliche Daten enthalten, auf Mechanismen stützen, welche die Vertraulichkeit und die Rückverfolgbarkeit gewährleisten (Prüfpfade der Zugriffe auf die Daten und Behandlung der Problematik der generischen Accounts (Konten);

dass er eine Authentifizierungspolitik anwendet, die derjenigen des ÖSHZ entspricht.

55




Einhaltung der guten Praktiken durch den Dienstanbieter Sicherheit der Systeme

Der Dienstanbieter versichert: dass die auf allen verwendeten Datenträgern

gespeicherten Daten mit Hilfe eines geeigneten Systems verschlüsselt werden (Algorithmus, Schlüssellänge, ...);

dass die Schwachstellen der Systeme verwaltet werden und mindestens alljährlich (Hacker-) Angriffstests organisiert werden und die kritischen Schwachstellen unverzüglich korrigiert werden;

dass die Server, auf denen sich empfindliche Daten befinden, mit einem verstärkten Sicherheitsniveau eingerichtet bzw. konfiguriert werden;

56





Sicherheit der SystemeDer Dienstanbieter versichert: Die Sicherheits-Patches werden auf zentrale Art verwaltet,

zuvor getestet und in Zeiträumen von weniger als einem Monat verwendet;

die Anti-Virenprogramme auf den Servern und den Arbeitsplätzen werden installiert, aktualisiert und überwacht;

die Verwendung der USB-Sticks und der anderen mobilen Speichermedien wird kontrolliert, verwaltet und natürlicherweise auf allen Systemen untersagt, auf denen empfindliche Daten vorhanden sind; darin mit einbezogen sind auch alle Arten von externen Speicherungen, die nicht explizit im Vertrag vorgesehen sind.

57





Sicherheit des NetzwerkzugangsDer Dienstanbieter versichert: die Zugangspunkte zum Netzwerk sind begrenzt, abgesichert und

gefiltert; die Systemverwaltungsaufgaben werden von einem abgesicherten

Netzwerk aus durchgeführt, das dafür vorgesehen ist und das isoliert (abgeschirmt) ist dadurch, dass es sich mit hohen Authentisierungsmechanismen verbindet;

die Änderungen im Bereich der Netzwerkausrüstungen werden mitverfolgt, dokumentiert und zuvor genehmigt;

im Falle eines geteilten "Cloud Computing"-Dienstes:• der Netzwerkzugang wird nur zugelassen von

vertrauenswürdigen Computerterminals;• das Netzwerk, an das diejenigen Systeme angeschlossen sind, die

empfindliche Daten enthalten, wird vom Netzwerk der anderen Kunden isoliert.

58




Einhaltung bestimmter gesetzlicher Verpflichtungen im Falle der Verarbeitung von persönlichen Daten

Das ÖSHZ muss immer auf die Einhaltung der Vorschriften zum Schutz von persönlichen Daten achten (Gesetz über den Schutz der Privatsphäre). wenn solche Daten in einem Dienst vom Typ "Cloud" ver- oder bearbeitet werden. In diesem Rahmen ist das ÖSHZ als Eigentümer der Daten immer verantwortlich für die korrekte Einhaltung der Vorschriften zum Schutz der persönlichen Daten.

Die Wahl des Anbieters des "Cloud Computing"-Dienstes durch das ÖSHZ beschränkt sich auf Dienstanbieter, die ausschließlich nur "Privat-Cloud"-Dienste" anbieten im Falle einer Auslagerung von persönlichen Daten.

59




Einhaltung bestimmter gesetzlicher Verpflichtungen im Falle der Verarbeitung von persönlichen Daten

Die personenbezogenen Daten können von Belgien aus und innerhalb der Europäischen Union frei zirkulieren, solange die allgemeinen Prinzipien des belgischen Gesetzes über den "Schutz der Privatsphäre" eingehalten werden. In diesem Rahmen ist die Wahl einer Auslagerung von personenbezogenen Daten oder von Datenverarbeitungsdiensten persönlicher Daten in ein Land der Europäischen Union nur dann gestattet, wenn das belgische Gesetz über den "Schutz der Privatsphäre" bezogen auf das jeweilige Land der Union eingehalten wird (wie angegeben in der europäischen Richtlinie 95/46/CE).

Außerdem erfordert jede Auslagerung von personenbezogenen Daten eine Datenverschlüsselung während der Übertragung und während des Zeitraums der Speicherung. Die Mittel zur Verschlüsselung müssen immer unter der Kontrolle der Einrichtung stehen in Bezug auf die Verwaltung und dürfen nicht an Subunternehmer vergeben werden.

60




Eventuelle Fragen???

61

WINDOWS 365WINDOWS 365


Einige Prinzipien

62

Neues Verfahren zur Ernennung Neues Verfahren zur Ernennung des Sicherheitsberaters* (1)des Sicherheitsberaters* (1)


Das sind die verschiedenen Schritte.

Den Sicherheitsberater oder den stellvertretenden

Sicherheitsberater vom Sozialhilferat benennen lassen.

Die unterschriebene Ernennung zum

Sicherheitsberater vom FÖP Sozialeingliederung per

Post oder eingescannt per E-Mail schicken an:

[email protected], SPP Intégration sociale

(FÖP Sozialeingliederung), Bd Roi Albert II, 30, 1000

Bruxelles (Brüssel).

*Dies gilt auch für den stellvertretenden Sicherheitsberater.

63

Neues Verfahren zur Ernennung Neues Verfahren zur Ernennung des Sicherheitsberaters (2)des Sicherheitsberaters (2)


3. Dann auf die Internetseite der ZDSS

gehen.

4. Klicken auf Sicherheitsberater (direkt

unter "Sicherheit und Schutz der

Privatsphäre").

64



oder auf http://www.bcss.fgov.be/fr/bcss/page/c

ontent/websites/belgium/security/security_03.html

Klicken Sie auf "Bewertungs-Fragebogen für den Sicherheitsberater". Die URL des Links ist die folgende: http://www.bcss.fgov.be/binaries/documentation/fr/securite/explications_questionnaire_evaluation_conseiller_e.pdf

65



7. Das Dokument "Bewertungs-Fragebogen für den Sicherheitsberater" öffnet sich.

8. Lesen Sie sich das ganze Dokument VOR dem Ausfüllen aufmerksam durch.

9. Klicken Sie anschließend auf "hier", um das auszufüllende Dokument zu öffnen.

10. Wörterbuch: der für die tägliche Geschäftsführung Verantwortliche in Brüssel: der Sekretär in der Wallonie: der Generaldirektor.Die antragstellende Einrichtung ist das öffentliche Zentrum für Sozialhilfe (ÖSHZ).

66

Neues Verfahren zur Neues Verfahren zur Ernennung des Ernennung des

Sicherheitsberaters (5)Sicherheitsberaters (5)


11. Füllen Sie das ganze Formular komplett aus.12. Nachdem Sie das Formular ausgefüllt haben, gehen

Sie zu Seite 2 und unterzeichnen Sie es elektronisch.13. Wenn der Sekretär oder Generaldirektor der

Sicherheitsberater ist, lassen Sie den Präsidenten anstelle des für die tägliche Geschäftsführung Verantwortlichen unterzeichnen.

14. Durch das elektronische Signieren wird das Dokument automatisch zur Kommission zum Schutz der Privatsphäre geschickt.

15. Drucken Sie das ausgefüllte Dokument aus, falls Sie es per Post senden möchten und bewahren Sie stets ein Exemplar für sich auf.

67




Sobald der neue Sicherheitsberater diese Formalitäten erfüllt hat, muss er:

- zwei Wochen warten (Bearbeitungszeit der Kommission zum Schutz der Privatsphäre);

- Den Verantwortlichen Zugänge Einheit darum bitten, er möge auf die folgenden Internetseiten gehen: https://professional.socialsecurity.be, er soll auf Arbeitgeber klicken und anschließend klicken auf "Verbinden".

68




- wenn der Sicherheitsberater bereist existiert, soll er das löschen;

- wenn der Sicherheitsberater noch nicht existiert, dies nicht zu erstellen,

- zu klicken auf "Lokalen Fragebogen ersetzen"

- die Nationalregisternummer des neuen Sicherheitsberaters einzugeben, abzuspeichern und auf "Bestätigen" zu klicken.

69



Hinweis: Der Sicherheitsberater darf in einem großen

öffentlichen Sozialhilfezentrum nicht der Sekretär oder der

Generaldirektor sein.

Der Sicherheitsberater darf nicht der Verantwortliche oder der

Leiter des EDV-Services sein.

Die Kommission zum Schutz der Privatsphäre wird die

Informationen speichern, darf aber kein Urteil oder

Entscheidung abgeben über Ihre Kenntnisse und darf

niemanden daran hindern, zum Informations-

Sicherheitsberater ernannt zu werden.

FRAGEN?

ENDE

Documents

1 Sicherheitssitzung 2. Halbjahr 2013 Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung,