futingo gmbh – iseed kompakt - isg - institut für ...isgrita/nutzerschulung_ovgu.pdf · § 43...
TRANSCRIPT
futingo GmbH – iseed kompaktBenutzerschulung – Otto von Guericke Universität Magdeburg
Ingo Dageförde
© futingo GmbH http://www.futingo.de
Die futingo GmbH
Ingo DagefördeDiplom-Informatiker
Gründer und Geschäftsführer
Tino NaphtaliDiplom-Informatiker
Gründer und Geschäftsführer
● 2008 Ausgründung der FU Berlin (GmbH seit Januar 2010)
● Kundennahe Softwareentwicklung und Beratung
● Entwicklung einer Standardsoftware zur Dokumentation der IT-Landschaft (IT-Sicherheit, Datenschutz)
● Über 10 Jahre Erfahrung in Softwareprojekten und starkes Team mit hohem Know-how
● Kunden aus dem Hochschulbereich, Verwaltung und Wirtschaft
© futingo GmbH http://www.futingo.de
● BSI-Gesetz (seit 20.08.2009)
● Gewährleistung eines sicheren Betriebs, Rechtssicherheit für das Management
● Standards des Bundesamts für Sicherheit in der Informationstechnik (BSI)
● IT-Grundschutz (100-2)
● Risikoanalyse (100-3)
● Notfallmanagement (100-4)
➔ M 2.201 Dokumentation des Sicherheitsprozesses
➔ M 2.219 Kontinuierliche Dokumentation der Informationsverarbeitung
➔ M 2.34 Dokumentation der Veränderungen an einem bestehenden System
➔ M 6.119 Dokumentation im Notfallmanagement-Prozess
➔ M 6.134 Dokumentation von Sicherheitsvorfällen
➔ G 2.27 Fehlende oder unzureichende Dokumentation
Notwendigkeit der Dokumentation
IT-Sicherheit
© futingo GmbH http://www.futingo.de
● Schutz der personenbezogenen Daten
● Bundesdatenschutzgesetz (BDSG)
➔ § 3 Zielvorgaben Datensparsamkeit und Datenvermeidung
➔ § 4d Meldepflicht
➔ § 4e Inhalt der Meldepflicht
➔ § 4g Aufgaben des Beauftragten für den Datenschutz
➔ § 32 Dokumentation der Verarbeitung von Beschäftigtendaten
➔ $ 38 Mehr Befugnisse der Aufsichtsbehörden bei Verletzung des Datenschutzes
➔ § 42aPflicht zur Selbstanzeige bei Datenpannen
➔ § 43 Bußgeld von 50T€ bis 300T€ (und mehr bei wirtschaftlichem Vorteil des Täters)
● Datenschutzgesetze des Landes (Sachsen-Anhalt, DSG-LSA)
➔ § 14 Dürchführung des Datenschutzes und Verfahrensverzeichnis (Abs. 3)
Notwendigkeit der Dokumentation
Datenschutz
© futingo GmbH http://www.futingo.de
● Im Personalvertretungsgesetz genannte Mitbestimmungstatbestände bei IT-Einsatz
● z.B. Personalvertretungsgesetz Sachsen-Anhalt (PersVG LSA)
➔ § 61 Umfang und Durchführung der Mitbestimmung
– § 69 Mitbestimmung in Rationalisierungs-, Technologie und
Organisationsangelegenheiten Abs. 1 u. 2
Notwendigkeit der Dokumentation
Mitbestimmung
© futingo GmbH http://www.futingo.de
● Transparenz und Steuerung des IT-Einsatzes
➔ Transparenz des Ressourceneinsatzes
➔ Bereitstellung zentraler und dezentraler Steuerungsinstrumente
➔ Aufzeigen von Möglichkeiten zur bereichsübergreifenden Zusammenarbeit
● Interne Regeln der Universität
➔ IT-Grundschutzvereinbarung
➔ IT-Sicherheitsrichtlinie
➔ IT-Organisationsrichtlinie
➔ Datenschutzrichtlinie/-satzung
Notwendigkeit der Dokumentation
Management und Controlling
© futingo GmbH http://www.futingo.de
Beispiel für Regelwerke zur IT-Sicherheit
© futingo GmbH http://www.futingo.de
Rollen bei der Dokumentation
Evaluierung der Datenflüsse und Ressourcen
IT-Beauftragter
Planung eines neuen Geschäftsprozesses
Einrichten der Compliance/Risk-Maßnahmen
Benennung von Verantwortlichen
Freigabe durch Datenschutzbeauftragten
Zustimmung durch Personalrat
Inbetriebnahme des Geschäftsprozesses Personalrat
CIO
Controlling
Datenschutz-beauftragter
Jederzeit verfügbar:
- Status Datensicherheit- Status Datenschutz- Kommunikation mit Verantwortlichen- Kosten von Maßnahmen und Prozessen
© futingo GmbH http://www.futingo.de
futingo iseed
© futingo GmbH http://www.futingo.de
futingo iseed - Varianten
© futingo GmbH http://www.futingo.de
● Zusammenfassung IT-gestützter Geschäftsprozesse
● Verarbeitete Daten
● Arbeitsabläufe (Tätigkeitsfelder)
● Personen und Rollen/Verantwortlichkeiten
● Hard- und Software
futingo iseed kompakt
Speicherung von Informationen der IT-Verfahren
● Ermittlung des Schutzbedarfs der Daten(standardisiertes Verfahren)
● Ermittlung mitbestimmungsrechtlicher Tatbestände
● Ermittlung und Dokumentation von datenschutzrechtlichen Erfordernissen
● Dokumentation der Schnittstellen
Methoden
© futingo GmbH http://www.futingo.de
futingo iseed kompakt
Organisationseinheit Geschäftsprozess Ressourcen / IT-System
Beispiel
Technik und Bauplanung Gebäudebestandsverwaltung Datenbank-Applikation
Beispiel
FB Medizin Patientendatenverwaltung Datenbank-Applikation
WER.. ...macht WAS... ...WOMIT?
© futingo GmbH http://www.futingo.de
IT-Verfahren
Geschäfts-prozess
Geschäfts-prozess
Geschäfts-prozess
Ein IT-Verfahren besteht aus einem oder mehreren Geschäftsprozessen
Komponenten eines IT-Verfahrens
© futingo GmbH http://www.futingo.de
Ein Geschäftsprozess besteht aus
§ Arbeitsabläufen (Tätigkeiten)
§ IT-Systeme
§ Daten
§ Personen (Rollen)
Geschäftsprozess
Arbeits-ablauf
IT-System Daten Personen
Komponenten eines IT-Verfahrens - Geschäftsprozess
© futingo GmbH http://www.futingo.de
Einem Geschäftsprozess können Arbeitsabläufe zugeordnet werden
Geschäftsprozess
Arbeitsablauf
Standard-Kernprozesse• Lehre (Student)
• Recherche• eLearning• […]
• Lehre (Dozent)• Vor- und Nachbereitung• Lehrveranstaltungen• […]
• Forschung• Recherchen• Erstellung von Gutachten• […]
• (Drittmittel-)Projekte• Projektmanagement• […]
Standard-Supportprozesse• Verwaltung / Sekretariat
• Personalverwaltung• Haushalt / Finanzen• […]
• Bibliotheksdienste• Ausleihverfahren• Bestandsverwaltung• […]
• IT-Service• Serversysteme (Betrieb)• Level-1-Support• […]
Arbeitsablauf
Komponenten eines IT-Verfahrens - Tätigkeiten
© futingo GmbH http://www.futingo.de
Einem Geschäftsprozess können IT-Systeme zugeordnet werden
Geschäftsprozess
IT-System
Komponenten eines IT-Verfahrens - IT-System
© futingo GmbH http://www.futingo.de
Komponenten eines IT-Verfahrens - IT-System
Ein IT-Systeme besteht aus mehreren IT-Ressourcen
IT-System
Applikationen Hardware Netz-infrastruktur
Betriebs-infrastruktur
• Anwendungssoftware
• Server• Clients• Peripherie• Security• […]
• Datennetzkomponenten
• Telefonanlagen• […]
• Notstromvorrichtungen• Klimatechnik• Energieversorgung• Verkabelung• Zugangskontrollsysteme• […]
Personen
• Systemadministrator
• Applikationsbetreuer
• […]
© futingo GmbH http://www.futingo.de
Einem Geschäftsprozess sind ein oder mehrere Personen zugeordnet
§ Rollen (Funktionen)
Geschäftsprozess
Personen
• Verfahrensverantwortlicher• Systemadministrator• Applikationsbetreuer• Anwendungsbetreuer• Anwender• Key-User• Bereichsleiter• 1st Level Support• 2nd Level Support• Projektleiter• […]
Komponenten eines IT-Verfahrens - Personen
© futingo GmbH http://www.futingo.de
Einem Geschäftsprozess sind ein oder mehrere Datenobjekte zugeordnet
Geschäftsprozess
Daten
§ Schutzbedarfsanalyse (SBA)
§ Ggf. Risikoanalyse (RA)
§ Ggf. Angaben zur Datenübermittlung (DÜ)
§ Ggf. Angaben zur Datenverarbeitung im Auftrag (DVA)
§ Ggf. Maßnahmen zur Revisionssicherheit (MR)
§ Ggf. Maßnahmen zur Authentizität (MA)
Komponenten eines IT-Verfahrens - Daten
SBA RA
DÜ DVA MR MA
© futingo GmbH http://www.futingo.de
Einem Geschäftsprozess werden aus einem Katalog zugewiesen:
§ Grundschutzmaßnahmen
§ Ergänzende Maßnahmen (frei editierbar)
Geschäftsprozess
Grundschutz-maßnahmen
Ergänzende Maßnahmen
Komponenten eines IT-Verfahrens - Grundschutz
© futingo GmbH http://www.futingo.de
Falls personenbezogene Daten verarbeitet werden, müssen die Komponenten der Datenschutzmeldung ausgefüllt werden:
§ Angaben zur Archivierung
§ Angaben zu Sperrfristen
§ Angaben zu Löschfristen
§ Angaben zu betroffenen Personengruppen
§ Rechtsgrundlage
Geschäftsprozess
Datenschutz-meldung
Einzel-angaben
Löschfristen,Sperrfristen usw.
Komponenten eines IT-Verfahrens - Datenschutz
© futingo GmbH http://www.futingo.de
Falls das IT-Verfahren mitbestimmungspflichtig ist, müssen Angaben zur Mitbestimmung erfolgen:
§ Zuständiger Personalrat
§ Dokumentation der Zustimmung
Geschäftsprozess
Angaben zur Mitbestimmung
Komponenten eines IT-Verfahresn - Personalrat
Löschfristen,Sperrfristen usw.
© futingo GmbH http://www.futingo.de
Die Gesamtheit aller Komponenten und das Zusammenwirken der einzelnen (technischen und organisatorischen) Maßnahmen gewährleistet das notwendige Maß an Schutz und Sicherheit.
Komponenten eines IT-Verfahrens - Alle
Löschfristen,Sperrfristen usw.
© futingo GmbH http://www.futingo.de
Iseed kompakt - Objekthierarchie
© futingo GmbH http://www.futingo.de
Iseed kompakt - Grundlagen
● Hauptkomponenten
● IT-Verfahren
● Geschäftsprozess
● IT-System
● IT-Ressource
● Organisationskomponenten
● Mitarbeiter
● Organisationseinheiten
● Unterobjekte des Geschäftsprozesses
● Arbeitsablauf
● Daten
● Datenschutz
● Maßnahmen
● Mitbestimmung
Komponententypen
© futingo GmbH http://www.futingo.de
Iseed kompakt - Grundlagen
● Administrator
● Konfiguration und Pflege des Systems (u.a. Auswahllisten und Bezeichner)
● Benutzerverwaltung und Rollenvergabe
● Keine Verfahrensdokumentation
● IT-Verantwortlicher
● Dokumentation der IT-Verfahren einer Organisationseinheit
● Lesezugriff auf öffentlichen Bereich anderer Organisationseinheiten
● Mitarbeiter
● Lesezugriff auf veröffentlichte IT-Verfahren und Abruf der Verfahrensberichte
● Implizite Rolle für Hochschulmitarbeiter mit Rechenzentrumsaccount
● Sonstiger
● Kein Zugang zum System
Benutzerrollen
© futingo GmbH http://www.futingo.de
Iseed kompakt - Grundlagen
● Hierarchische Abbildung der Universität
● Wurzelorganisationseinheit „Universität“
● Jede Organisationseinheit hat genau eine Oberorganisationseinheit
● Rolle des IT-Verantwortlichen gilt für Organisationseinheit
● Jede Hauptkomponente ist genau einer Organisationseinheit zugeordnet
● Berechtigungen vererben sich auf alle Unterorganisationseinheiten („Eigene Organisationseinheiten“)
Organisationseinheiten
© futingo GmbH http://www.futingo.de
Iseed kompakt - Grundlagen
● Gilt nur für Hauptkomponenten
● Öffentlicher Bereich (für alle IT-Verantwortlichen lesbar)
● Privater Bereich (nur für IT-Verantwortliche der eigenen Organisationseinheit les- und schreibbar)
● Verschieben zwischen Bereichen möglich
● Zugehörigkeit vererbt sich nicht auf verknüpfte Hauptkomponenten
● Gilt für alle Unterobjekte eines Geschäftsprozesses
Sichtbarkeitsbereiche
© futingo GmbH http://www.futingo.de
Iseed kompakt - Seitenaufbau
Überblick
© futingo GmbH http://www.futingo.de
Iseed kompakt - Seitenaufbau
Heimseite - Verantwortlichkeiten
© futingo GmbH http://www.futingo.de
Iseed kompakt - Seitenaufbau
Standardfehlerseite
© futingo GmbH http://www.futingo.de
Iseed kompakt - Seitenaufbau
● Verfügbare Aktionen
● Suchfilter
● Aktionen in Listeneinträgen
Listenmaske
© futingo GmbH http://www.futingo.de
Iseed kompakt - Seitenaufbau
● Angaben zur Komponente/Objekte
● Sichtbarkeitsbereich
● Aufklappboxen
Detailmaske
© futingo GmbH http://www.futingo.de
Iseed kompakt - Seitenaufbau
● Berechtigung (Bearbeitungsbereichtigung vs. Nur-Anzeigeberechtigung)
● Anzeigemodus
● Bearbeitungsmodus
Aufklappboxen - Modus
© futingo GmbH http://www.futingo.de
Iseed kompakt - Seitenaufbau
Aufklappboxen - Verantwortlichkeiten
© futingo GmbH http://www.futingo.de
Iseed kompakt - Seitenaufbau
● Verknüpfte Oberkomponente
● Verknüpfte Unterkomponente
Aufklappboxen - Verknüpfungen
© futingo GmbH http://www.futingo.de
Iseed kompakt - Besonderheiten
● Löschen
● Von Komponenten inklusive der Unterobjekte
● Keine verknüpften Ober- oder Unterkomponenten
● Benutzeraccounts und Verantwortlichkeiten
● Interne Datenbank
● zentraler Verzeichnisdienst
● Administrator definiert Inhalte
● von Auswahllisten (Schlüsseltabellen)
● Bezeichnern
● Hilfetexte
● Änderungsmeldung
● Alle Änderungen im System werden protokolliert
● Können zu Änderungsmeldungen aggregiert und gedruckt werden
Spezielle Hinweise
© futingo GmbH http://www.futingo.de
● IT-Verfahrensbericht
● Übersicht der kompletten Dokumentation eines IT-Verfahrens
● Datenartbericht
● Komprimierte Liste aller IT-Verfahren, die bestimmte Daten verarbeiten
● Änderungsmeldungsbericht
● Übersicht aller Änderungen in IT-Verfahren für gewählten Zeitraum
● Datenschutzbericht (Verfahrensverzeichnis)
● Zusammenfassung des IT-Verfahrens nach Mustervorgaben des LDSG
● Auskunftsbericht (Verfahrensverzeichnis öffentlich)
● Auszug des Verfahrensverzeichnis für jedermann
iseed kompakt - Berichte
Vordefinierte PDF-Berichte