Willkommen beim Datenschutz-Wiki der TU Ilmenau
Hinweise Impressum Datenschutzerklärung

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen RevisionVorhergehende Überarbeitung
Nächste Überarbeitung		Vorhergehende Überarbeitung
wiki:user:secdoc [2019/02/07 16:46] Martin Neldnerwiki:user:secdoc [2023/01/04 11:34] (aktuell) Admin
Zeile 1: Zeile 1:
-====== 7.2.2019 Treffen DFN-CERT ======+<WRAP center round box 60%> 
 +**Hinweis**: Die Seite wird im Interesse der Transparenz als Archiv vorgehalten aber nicht mehr gepflegt, da die TU Ilmenau [[TU:Audatis]] als Datenschutzmanagementsystem einsetzt. Aktuelles zu SecDoc findet sich hier: [[https://zivgitlab.uni-muenster.de/secdoc/secdoc]] 
 +</WRAP> 
 + 
 + 
 +====== SecDoc ====== 
 + 
 +===== Links ===== 
 + 
 +Aktuelles Testsystem der WWU [[https://www.uni-muenster.de/ZIVtest/secdoc-demo/]] 
 + 
 +Gitlab [[https://zivgitlab.uni-muenster.de/wwu-cert/secdoc]] 
 + 
 +Testsystem der TU Ilmenau [[https://dsdoku.tu-ilmenau.de]] 
 + 
 +===== 7.2.2019 Treffen DFN-CERT =====
  
 ==== Ziel ==== ==== Ziel ====
Zeile 28: Zeile 43:
   * Mehr Dropdown-Auswahlmöglichkeiten (Wo sind Gemeinsamkeiten?)   * Mehr Dropdown-Auswahlmöglichkeiten (Wo sind Gemeinsamkeiten?)
   * Wiedervorlagen   * Wiedervorlagen
-  * Checklisten für TOM´s (perspektivisch Einbindung Grundschutzkataloge; evtl. auch Entwicklung Grundschutzprofil für Hochschulen in NRW Ansätze in Entwicklung+  * Checklisten für TOM´s (perspektivisch Einbindung Grundschutzkataloge) 
-  * Sichtbarkeit des Verfahrens feiner steuern+  * Dashboard
  
 ==== Meine Themen ====  ==== Meine Themen ==== 
Zeile 36: Zeile 51:
     * [[:AVV]] (grundsätzlich sind Verlinkungen möglich)     * [[:AVV]] (grundsätzlich sind Verlinkungen möglich)
   * Verknüpfung zu   * Verknüpfung zu
-    * Spider (grundsätzlich sind Verlinkungen möglich)+    * Spider (grundsätzlich sind Verlinkungen möglich)
     * Dokuwiki (grundsätzlich sind Verlinkungen möglich)     * Dokuwiki (grundsätzlich sind Verlinkungen möglich)
   * Mandantenfähigkeit --> derzeit eher nicht, teilweise über freie Auslegung von innerorganisatorisch Verantwortlichen umgesetzt   * Mandantenfähigkeit --> derzeit eher nicht, teilweise über freie Auslegung von innerorganisatorisch Verantwortlichen umgesetzt
 +  * Archiv: Schnittsstelle, Abfrage möglich
 +
 +===== 25.04.2019 Workshop WWU Münster =====
 +
 +==== Begrüßung, Vorstellungsrunde ====
 +
 +  * BaWü: Landesgesetzgeber schreibt IT-Sicherheitsmanagementsystem zukünftig verbindlich vor.
 +  * iSeed gescheitert
 +  * WWU: Allein im Dezernat Personal 25 bis 30 Verarbeitungstätigkeiten
 +
 +==== Kurzvorstellung SecDoc, Ziele, Wünsche ====
 +
 +  * (zukünftige) Erleichterungen durch
 +    * Vorgabe hochschulspezifischer Verarbeitungstätigkeiten auf der Basis von Prozesslandkarten
 +    * Vordefinierte TOM auf Basis ENISA
 +    * Vorauswahl Kategorien von betroffenen Personen
 +    * Versionierung möglich
 +    * Einbindung von URL mittlerweile möglich (noch nicht in dsdoku übernommen)
 +    * fertiges VVT kann mittlerweile auch als Webseite eingebunden werden
 +    * Risikobewertung/[[:Schutzbedarfsfeststellung]] als einfache Angabe normal-hoch-sehr hoch und ggf. URL zu einem geeigneten Tool unproblematisch, Ausbau später denkbar
 +  * weitere Entwicklung
 +    * Integration von Risikoanalysen
 +    * Vorgabe TOM auf Basis Risikoanalysen
 +    * Einführung/Umsetzung offener Datenschnittstellen
 +    * Gemeinsamer Zugang für die Informationssicherheit und den Datenschutz
 +    * Auswertungsmöglichkeiten schaffen
 +    * Templates
 +    * CVE-Matching: Problem Aktualisierung und Ermittlung
 +    * Share-Button als Workflow-Unterstützung bzw. Ticket-System
 +    * Review-Prozess
 +  * Zugriff auf Daten: 
 +    * per Script auf SQL-Lite Datenbank oder PHP-AD Schnittstelle (AD-Connector)
 +    * Einbindung mehrerer Quellen denkbar
 +    * Datenformat für TOM-Katalog definieren
 +  * Erfahrungsberichte etc.
 +    * Installation erfordert nicht nur Konfigurierung sondern Programmierung
 +    * LDAP-Schnitte -->  können wir Source-Code zur Verfügung stellen? --> Jörg
 +  * Organisatorische Fragen
 +    * (halb-)offenes GitLab kommt, ggf. von anderer Hochschule (notfalls auch TU?)
 +    * Glossar
 +
 +==== Standardisierung von TOM ====
 +
 +Standardisierung von [[TOM]] dringend notwendig aber von den Aufsichtsbehörden eher wenig konkretes.
 +
 +ENISA hat von seit 2016 Dokumente mit Sicherheitsmaßnahmen zum Schutz personenbezogener Daten erstellt und zwar nach einem risikobasierten Ansatz.
 +
 +  * [[https://www.enisa.europa.eu/publications/guidelines-for-smes-on-the-security-of-personal-data-processing|Guidelines for SMEs on the security of personal data processing]]
 +  * [[https://www.enisa.europa.eu/publications/handbook-on-security-of-personal-data-processing]]
 +  * [[https://www.enisa.europa.eu/publications/reinforcing-trust-and-security-in-the-area-of-electronic-communications-and-online-services|Reinforcing trust and security in the area of electronic communications and online services]]
 +
 +Der Ansatz der ENISA ist eng mit ISO 27001 verknüpft; auf Basis BSI-Grundschutz sähe die Liste aber ganz ähnlich aus.
 +
 +=== Tätigkeitsbereiche ===
 +
 +Tätigkeitsbereiche nach [[https://www.enisa.europa.eu/publications/guidelines-for-smes-on-the-security-of-personal-data-processing|Guidelines for SMEs on the security of personal data processing]] im Überblick:
 +
 +  * Organisatorische Sicherheitsmaßnahmen
 +    * Erfahrungen: Bündel von 20-25 Maßnahmen, erster Zugriff mit ggf. 5 Maßnahmen (Rechte und Rollen, Schulung etc.)
 +  * Technische Sicherheitsmaßnahmen
 +
 +
 +
 +=== Umsetzungshilfen ===
 +
 +Zur praktischen Umsetzung von TOM (als Unterlegung des ENISA Ansatzes): [[https://www.teletrust.de/fileadmin/docs/fachgruppen/ag-stand-der-technik/TeleTrusT-Handreichung_Stand_der_Technik_-_Ausgabe_2018.pdf|Handreichung zum "Stand der Technik" technischer und organisatorischer Maßnahmen]]
 +
 +Alternativ könnte auch BSI hilfreich sein.
 +
 +=== Weiteres Vorgehen ===
 +
 +Münster macht einen Vorschlag für Datenformat und Inhalte.
 +==== Verarbeitungstätigkeit ====
 +
 +  * Template und Prototypen mit Import-/Exportfunktion
 +  * Austauschplattform 
  
-==== Vorschläge aus der Runde ==== +==== Sonstiges ====
-  * Rolle für Datenschutzkoordinatoren +
-  * Hochschule als Auftragsverarbeiter+
  
-==== Weiteres Vorgehen ==== +  * Lizenz --> Soll frei bleiben 
-  * Ressourcen +  * Projektanträge ggfin anderen Ländern --> Thüringen?; notfalls Fork 
-    * Stuttgart/ZENDAS evtlUnterstützung bei den TOM +  * weiterer zeitlicher Ablauf - wann Version, deren Datenbank aufwärtskompatibel ist --> ist der Fall, da in Münster im Produktivbetrieb, ggf. werden Skripte an der WWU entwickelt für Übergang
-    * Fördergelder ("Digitale Hochschule NRW"?)  +
-    * Gitlab entweder der WWU (Interessierte als Gäste einladen) sonst auf Github oä +
-  * Pilot kann mit gegenwärtiger Version gestartet werden, Aufwärtskompatibilität wurde schon erfolgreich getestet +
-  * Einbindung von Dokumenten per Weblink kommt+
  
 +{{tag>Archiv 2022}}
  
  
-ANSEHEN:CPE 
  

Zuletzt angesehen:

Drucken/exportieren
QR-Code
QR-Code SecDoc (erstellt für aktuelle Seite)