Dies ist eine alte Version des Dokuments!
Inhaltsverzeichnis
SecDoc
7.2.2019 Treffen DFN-CERT
Ziel
- Ausfüllen im Browser, geschützter Zugriff von überall
- Automatisches Speichern
- Datenvorschläge
- Integrierte Hilfe
- PDF-Erzeugung
- HTML-Schnipsel Erzeugung zur Verwendung in Datenschutzerklärung (Informationspflichten, Art. 13/14 DSGVO)
- Strukturierte Ablage in Datenbank
Bekannte Probleme
- Organisationsstruktur fehlt
- kein DSMS
- Verantwortlichkeiten nicht klar geregelt/Nutzung des Tools nur aus eigenem Antrieb
- Schulungen nötig
- Status derzeit nur „Bearbeitung“ oder „Fertig“ möglich, z.B. Freigabe durch DSB fehlt noch
Technische Realisierung
- Single Page Web Application
- Umsetzung mit HTML5, CSS, JavaScript, PHP, SQLite
- Bootstrap3 (Twitter)
- responsives Design
- Datenübernahme (auch Strukturdaten) von Identity Management möglich
geplante Erweiterungen
- Mehr Flexibilität bei Verantwortlichen, evtl. auch Differenzierung fachlicher Ansprechpartner und zuständige Führungskraft
- Mehr Dropdown-Auswahlmöglichkeiten (Wo sind Gemeinsamkeiten?)
- Wiedervorlagen
- Checklisten für TOM´s (perspektivisch Einbindung Grundschutzkataloge)
- Dashboard
Meine Themen
- Dokumenteneinbindung
- Datenschutzerklärung, (grundsätzlich sind Verlinkungen möglich)
- AVV (grundsätzlich sind Verlinkungen möglich)
- Verknüpfung zu
- Spider (grundsätzlich sind Verlinkungen möglich)
- Dokuwiki (grundsätzlich sind Verlinkungen möglich)
- Mandantenfähigkeit –> derzeit eher nicht, teilweise über freie Auslegung von innerorganisatorisch Verantwortlichen umgesetzt
- Archiv: Schnittsstelle, Abfrage möglich
25.04.2019 Workshop WWU Münster
Begrüßung, Vorstellungsrunde
- BaWü: Landesgesetzgeber schreibt IT-Sicherheitsmanagementsystem zukünftig verbindlich vor.
- iSeed gescheitert
- WWU: Allein im Dezernat Personal 25 bis 30 Verarbeitungstätigkeiten
Kurzvorstellung SecDoc
- (zukünftige) Erleichterungen durch
- Vorgabe hochschulspezifischer Verarbeitungstätigkeiten auf der Basis von Prozesslandkarten
- Vordefinierte TOM auf Basis ENISA
- Vorauswahl Kategorien von betroffenen Personen
- Versionierung möglich
- Einbindung von URL mittlerweile möglich (noch nicht in dsdoku übernommen)
- fertiges VVT kann mittlerweile auch als Webseite eingebunden werden
- weitere Entwicklung
- Integration von Risikoanalysen
- Vorgabe TOM auf Basis Risikoanalysen
- Einführung/Umsetzung offener Datenschnittstellen
- Gemeinsamer Zugang für die Informationssicherheit und den Datenschutz
- Auswertungsmöglichkeiten schaffen
- Templates
- CVE-Matching: Problem Aktualisierung und Ermittlung
- Share-Button als Workflow-Unterstützung bzw. Ticket-System
- Review-Prozess
- Zugriff auf Daten:
- per Script auf SQL-Lite Datenbank oder PHP-AD Schnittstelle (AD-Connector)
- Einbindung mehrerer Quellen denkbar
- Datenformat für TOM-Katalog definieren
- Erfahrungsberichte etc.
- Installation erfordert nicht nur Konfigurierung sondern Programmierung
- LDAP-Schnitte –> können wir Source-Code zur Verfügung stellen? –> Jörg
- Organisatorische Fragen
- (halb-)offenes GitLab kommt, ggf. von anderer Hochschule (notfalls auch TU?)
- Glossar
