Aktuelle und konsistente Informationen sind für das reibungslose Funktionieren von Prozessen aller Art von grosser Wichtigkeit. Darüber hinaus spielen beim Einsatz der Informations- und Kommunikationstechnik die Einhaltung gesetzlicher Verpflichtungen und die Erfordernisse zur sicheren Verarbeitung, Speicherung und Übermittlung von Daten eine wesentliche Rolle. Die Überlegung, dass Sicherheit Geld kostet und keinen direkten Nutzen erzeugen würde, verbunden mit einer «Vogel-Strauss-Politik» und der Hoffnung, dass schon keine Sicherheitsverletzung geschehen werden, lässt viele Projekte ganz nahe am Abgrund leben, ohne dass dieses geahnt wird.
Ziel der Informationssicherheit ist, Daten und Dienste gemäss ihrem Wert für eine Aufgabe in Bezug auf ihre Vertraulichkeit, Integrität und Verfügbarkeit zu kennen und zu schützen. Zur Ermittlung der Anforderungen kann eine Sicherheitspolitik Hinweise geben:
Aufgaben sind z.B.:
● Ermittlung der Sicherheitsanforderungen
● Entwickeln und Aufrechterhalten eines Sicherheitsbewusstseins
● Umsetzung von Sicherheitsmassnahmen
● Überprüfen der Wirksamkeit der Sicherheitsmassnahmen
● kontinuierliche Verbesserung des Themas Sicherheit in Projekten
● Informationen an das Management und an die Projektteams
Mit definierten Messgrössen können Projekte auch in Sicherheitsbelangen effizienter und effektiver werden. Diese Parameter können folgende Themen beinhalten:
● Abdeckungsgrad der erkannten Risiken
● Entdeckte Sicherheitslücken
● Entdeckte Sicherheitsverletzungen (Viren, Eindringversuche, Passwortumgehungen usw.)
● Wirkungsgrad der Massnahmen nach Entdeckung von Sicherheitslücken und Auftreten von Sicherheitsverletzungen
Der heute weit fortgeschrittene Stand der Informations- und Kommunikationstechnologie bietet vielfältige und immer mächtigere Möglichkeiten der Datenhaltung und -nutzung. Das birgt, was Daten, die sich auf bestimmte oder bestimmbare Personen beziehen, besondere Gefahren für natürliche oder juristische Personen. Aus diesem Grund ist es erforderlich, bereits bei der Konzipierung zukünftiger IKT-Lösungen den Belangen des Datenschutzes besondere Aufmerksamkeit zu widmen.
Das Datenschutzgesetz regelt hierzu den zulässigen Umgang mit Personendaten, unabhängig von den angewandten Mitteln und Verfahren, insbesondere das Beschaffen, Aufbewahren, Verwenden, Umarbeiten, Bekanntgeben, Archivieren oder Vernichten von Daten und ist in der Projektarbeit entsprechend zu berücksichtigen.
Dabei spielt beim Aufbau von Datensammlungen auch die Erschliessbarkeit von personenbezogenen Informationen eine entscheidende Rolle.
Personendaten, welche über
● die religiösen, weltanschaulichen, politischen oder gewerkschaftlichen Ansichten oder Tätigkeiten,
● die Gesundheit, die Intimsphäre oder die Rassenzugehörigkeit,
● Massnahmen der sozialen Hilfe,
● administrative oder strafrechtliche Verfolgungen und Sanktionen
Auskunft geben, sowie Persönlichkeitsprofile sind besonders zu schützen.
Stellt sich heraus, dass die Personendaten nicht sensitiv sind, dafür aber der Zweck oder das Umfeld der Datenbearbeitung, so sind ebenfalls besondere Schutzmassnahmen zu treffen.
Aus technischer Sicht kann im Datenschutzbearbeitungsreglement zwischen den nachfolgenden vier beim Datenschutz zu berücksichtigenden Ebenen unterschieden werden:
● Anwendung (IKT-Verfahren)
● Übertragung
● Datensammlung
● Betriebssystem und Hardware
Anzustreben sind Datenschutzmassnahmen in der tiefsten Ebene, um deren Einheitlichkeit, Integrität und Wirksamkeit sicherzustellen.
Die folgende Übersicht (Security Matrix) zeigt exemplarisch Abstufungsmöglichkeiten für Anforderungen und Maßnahmenkategorien in Bezug auf die drei Grundelemente der IT-Sicherheit: Vertraulichkeit, Integrität und Verfügbarkeit:
|
Sicherheits-massnahmen |
nicht erforderlich |
ratsam |
bedeutend |
absolut |
|
Vertraulichkeit |
Öffentlich dürfen veröffentlicht werden Beispiele: |
Intern nur für internen Gebrauch Beispiele: Handbücher, Verfahrensanweisungen, Arbeitsergebnisse |
Vertraulich Zugriff nur durch direkt beteiligte Personen Beispiele |
Geheim Schaden für das Projekt/Unternehmen bei Zugriff durch nicht ausdrücklich berechtigte Personen Beispiele: |
|
Integrität |
Passiv Kein spez. Schutz notwendig, Integrität durch sorgfältige Handhabung gesichert |
Aktiv Geschäftsprozess toleriert Fehler in einem kleineren Rahmen, Integrität durch aktive Komponenten gesichert Beispiele: |
Wahrnehmbar Nahezu fehlerfrei erforderlich, Integrität kann erkannt werden Beispiele:
|
Nachgewiesen absolut fehlerfreie Informationen erforderlich, Integrität nachgewiesen Beispiele: |
|
Verfügbarkeit |
Nicht anwendbar niedrige Verfügbarkeit erforderlich, Beispiele: |
Erforderlich mittlere Verfügbarkeit erforderlich, Beispiele: |
Wichtig hohe Verfügbarkeit während den Geschäftszeiten erforderlich, Beispiele:
|
Absolut keine Ausfälle gestattet Beispiele:
|
Nachfolgende Fragebeispiele geben einen Einblick in konkret zu regelnde Sicherheitsbelange:
● Gibt es eine Sicherheitspolitik mit dem Ziel und Umfang der Security Managementsystematik, den geltenden Grundsätzen, den Rollen und Verantwortlichkeiten sowie einen Bezug zu anderen geltenden Richtlinien wie die Qualitätspolitik oder die Releasepolitik?
● Gibt es einen Kommunikationsplan zur Unterstützung der Bewusstseinskampagne?
● Sind die abzusichernden Risiken erkannt und festgelegt?
● Besteht ein Security Plan, aus dem die Anforderungen, die Massnahmen und deren Umsetzung im Projekt hervorgehen?
● Ist die Rolle des Security Managers im Projekt geregelt?
● Sind die Zugriffsrechte, die Verteiler, die Rückgabe und die Vernichtung von Daten und Dokumenten geregelt?
● Sind Aufbewahrung und Sicherung der Daten und Dokumente geregelt?
● Sind die Sicherheitsmassnahmen sinnvoll in die Arbeit integriert oder verursachen sie unzumutbare Mehrarbeit?
● Werden systematisch Sicherheitslevel geprüft?
● Sind diese Sicherheitslevel ausgewogen?
● Ist das Thema Sicherheit ein fester Bestandteil bei QS-Aktivitäten?