TOM‘s: Zutrittskontrolle
Ziel
Maßnahmen
Kein unbefugter Zutritt zu Datenverarbeitungsanlagen (räumlich)
Keine unbefugte Systembenutzung
Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen von Daten innerhalb
des Systems
Zutrittsüberwachungs- und kontrollsystem
- Magnet- oder Chipkarten, Schlüssel, elektrische Türöffner, Werkschutz bzw.
- Register von Schlüsselinhabern
- Vorgaben für externe Personen/Fremdfirmen, Besucherausweise,
Anwesenheitslisten
- Einrichtung von Sicherheitszonen mit Zugangsbeschränkungen
Automatische Sperrmechanismen an Arbeitsplätzen,
Kontrolle von Zugangsrechten
Kontrollierte Vernichtung von Datenträgern
Berechtigungskonzepte und bedarfsgerechte Zugriffsrechte
Zugriffskontrollen
Regelbasierten Zugriffskontrolle (MAC)
Wahlfreie oder diskrete Zugriffskontrolle (DAC)
Rollenbasierte Zugriffskontrolle (RBAC)
Chinese-Wall-Modell
TOM‘s: Datenträgerkontrolle
Das unbefugte Lesen, Kopieren, Verändern, oder Löschen von Datenträgern ist zu
verhindern
Verschlüsseln von Datenträgern
Verschlossenes Aufbewahren von Datenträgern
Protokollierung der Aushändigung bzw. Rückgabe von Datenträgern
TOM‘s: Weitergabe-, Übertragungs- und Transportkontrolle
Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei der
elektronischen Übertragung oder beim Transport sowie die nachträgliche
Überprüfung
Geeignete Berechtigungsnachweise (Need-to-Know-Prinzip)
Gegenseitige Überwachung (Separation of Duties-, Rotation of Duties-Prinzip)
Verschlüsselung, Virtual Private Networks (VPN)
elektronische Signatur
Kontrolle der Anfertigung von Datenkopien
TOM‘s: Eingabekontrolle
Ziel:
Feststellung und Nachvollziehbarkeit, ob und von wem personenbezogene Daten
in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind
Maßnahmen:
Protokollierung von Zugriffen und Änderungen
Nachweis der Quellen von Daten (Authentizität)
Versionierung
Dokumentation der Verarbeitungsprozesse mittels Protokollen auf der Basis eines
Protokollierungs- und Auswertungskonzepts
Verantwortung für Daten und Systeme, Arbeitsanweisungen
TOM‘s: Auftragskontrolle
Weisungsgemäße Auftragsverarbeitung im Sinne von Art. 28 DSGVO durch Dritte
Maßnahmen zur Abgrenzung der Kompetenzen zwischen Auftraggeber und
Auftragnehmer
Eindeutige Vertragsgestaltung
formalisiertes Auftragsmanagement
strenge Auswahl des Dienstleisters, Vorabüberzeugungspflicht
Nachkontrollen
Datenschutz- und IT-Sicherheitsaudits
TOM‘s: Verfügbarkeitskontrolle
Schutz gegen zufällige oder mutwillige Zerstörung bzw. Verlust
Backup-Strategie und –Verfahren (online/offline; on-site/off-site)
Brandfrüherkennung, Rauchmeldeanlagen
Unterbrechungsfreie Stromversorgung (USV)
Virenschutz
Firewall
TOM‘s: Trennungskontrolle
Getrennte Verarbeitung von Daten, die zu unterschiedlichen Zwecken erhoben
wurden
Mandantenfähigkeit, Gewährleistung der Zweckbindung
Trennung von Produktiv-, Test- und Entwicklungssystemen
getrennte Ordnerstrukturen (Kunden, Anwendungsbereiche,
Auftragsverarbeitung), separate Tabellen innerhalb von Datenbanken, getrennte
Datenbanken
Sandboxingl
TOM‘s: Wiederherstellbarkeit
Der Betrieb von Anwendungen und Systemen kann im Störungsfall rasch
wiederhergestellt werden
Schutzbedarfsfeststellungen
Notfallplan, Desaster Recovery Maßnahmen
Business Continuity Management
Schulung und Übungen, Dokumentation und Ermittlung des
Verbesserungsbedarfs
Zuletzt geändertvor 3 Monaten