Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen RevisionVorhergehende ÜberarbeitungNächste Überarbeitung | Vorhergehende Überarbeitung | ||
wiki:user:secdoc [2019/02/08 14:57] – Martin Neldner | wiki:user:secdoc [2023/01/04 11:34] (aktuell) – Admin | ||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
- | ====== 7.2.2019 Treffen DFN-CERT | + | <WRAP center round box 60%> |
+ | **Hinweis**: | ||
+ | </ | ||
+ | |||
+ | |||
+ | ====== SecDoc ====== | ||
+ | |||
+ | ===== Links ===== | ||
+ | |||
+ | Aktuelles Testsystem der WWU [[https:// | ||
+ | |||
+ | Gitlab [[https:// | ||
+ | |||
+ | Testsystem der TU Ilmenau [[https:// | ||
+ | |||
+ | ===== 7.2.2019 Treffen DFN-CERT ===== | ||
==== Ziel ==== | ==== Ziel ==== | ||
Zeile 39: | Zeile 54: | ||
* Dokuwiki (grundsätzlich sind Verlinkungen möglich) | * Dokuwiki (grundsätzlich sind Verlinkungen möglich) | ||
* Mandantenfähigkeit --> derzeit eher nicht, teilweise über freie Auslegung von innerorganisatorisch Verantwortlichen umgesetzt | * Mandantenfähigkeit --> derzeit eher nicht, teilweise über freie Auslegung von innerorganisatorisch Verantwortlichen umgesetzt | ||
+ | * Archiv: Schnittsstelle, | ||
+ | |||
+ | ===== 25.04.2019 Workshop WWU Münster ===== | ||
+ | |||
+ | ==== Begrüßung, | ||
+ | |||
+ | * BaWü: Landesgesetzgeber schreibt IT-Sicherheitsmanagementsystem zukünftig verbindlich vor. | ||
+ | * iSeed gescheitert | ||
+ | * WWU: Allein im Dezernat Personal 25 bis 30 Verarbeitungstätigkeiten | ||
+ | |||
+ | ==== Kurzvorstellung SecDoc, Ziele, Wünsche ==== | ||
+ | |||
+ | * (zukünftige) Erleichterungen durch | ||
+ | * Vorgabe hochschulspezifischer Verarbeitungstätigkeiten auf der Basis von Prozesslandkarten | ||
+ | * Vordefinierte TOM auf Basis ENISA | ||
+ | * Vorauswahl Kategorien von betroffenen Personen | ||
+ | * Versionierung möglich | ||
+ | * Einbindung von URL mittlerweile möglich (noch nicht in dsdoku übernommen) | ||
+ | * fertiges VVT kann mittlerweile auch als Webseite eingebunden werden | ||
+ | * Risikobewertung/ | ||
+ | * weitere Entwicklung | ||
+ | * Integration von Risikoanalysen | ||
+ | * Vorgabe TOM auf Basis Risikoanalysen | ||
+ | * Einführung/ | ||
+ | * Gemeinsamer Zugang für die Informationssicherheit und den Datenschutz | ||
+ | * Auswertungsmöglichkeiten schaffen | ||
+ | * Templates | ||
+ | * CVE-Matching: | ||
+ | * Share-Button als Workflow-Unterstützung bzw. Ticket-System | ||
+ | * Review-Prozess | ||
+ | * Zugriff auf Daten: | ||
+ | * per Script auf SQL-Lite Datenbank oder PHP-AD Schnittstelle (AD-Connector) | ||
+ | * Einbindung mehrerer Quellen denkbar | ||
+ | * Datenformat für TOM-Katalog definieren | ||
+ | * Erfahrungsberichte etc. | ||
+ | * Installation erfordert nicht nur Konfigurierung sondern Programmierung | ||
+ | * LDAP-Schnitte --> | ||
+ | * Organisatorische Fragen | ||
+ | * (halb-)offenes GitLab kommt, ggf. von anderer Hochschule (notfalls auch TU?) | ||
+ | * Glossar | ||
+ | |||
+ | ==== Standardisierung von TOM ==== | ||
+ | |||
+ | Standardisierung von [[TOM]] dringend notwendig aber von den Aufsichtsbehörden eher wenig konkretes. | ||
+ | |||
+ | ENISA hat von seit 2016 Dokumente mit Sicherheitsmaßnahmen zum Schutz personenbezogener Daten erstellt und zwar nach einem risikobasierten Ansatz. | ||
+ | |||
+ | * [[https:// | ||
+ | * [[https:// | ||
+ | * [[https:// | ||
+ | |||
+ | Der Ansatz der ENISA ist eng mit ISO 27001 verknüpft; auf Basis BSI-Grundschutz sähe die Liste aber ganz ähnlich aus. | ||
+ | |||
+ | === Tätigkeitsbereiche === | ||
+ | |||
+ | Tätigkeitsbereiche nach [[https:// | ||
+ | |||
+ | * Organisatorische Sicherheitsmaßnahmen | ||
+ | * Erfahrungen: | ||
+ | * Technische Sicherheitsmaßnahmen | ||
+ | |||
+ | |||
+ | |||
+ | === Umsetzungshilfen === | ||
+ | |||
+ | Zur praktischen Umsetzung von TOM (als Unterlegung des ENISA Ansatzes): [[https:// | ||
+ | |||
+ | Alternativ könnte auch BSI hilfreich sein. | ||
+ | |||
+ | === Weiteres Vorgehen === | ||
+ | |||
+ | Münster macht einen Vorschlag für Datenformat und Inhalte. | ||
+ | ==== Verarbeitungstätigkeit ==== | ||
+ | |||
+ | * Template und Prototypen mit Import-/ | ||
+ | * Austauschplattform | ||
+ | |||
+ | ==== Sonstiges ==== | ||
+ | |||
+ | * Lizenz --> Soll frei bleiben | ||
+ | * Projektanträge ggf. in anderen Ländern --> Thüringen?; | ||
+ | * weiterer zeitlicher Ablauf - wann Version, deren Datenbank aufwärtskompatibel ist --> ist der Fall, da in Münster im Produktivbetrieb, | ||
- | ==== Folgeüberlegungen ==== | + | {{tag> |
- | *Integration der Anlage " | ||
- | *Integration von Datenschutzdokumentationen von Forschungsprojekt ins SecDoc | ||