Deloitte Technology Fast 50 Central Europe 2008

In 2010 durch kancellár.hu ferngemanagte Sicherheitsereignisse:

Anz. der bemerkten Ereignisse:
Anz. der geprüften Ereignisse:
Anz. der Zwischenfälle: nicht publik

Duna Tower
1138 Budapest,
Népfürdő u. 22.
telefon: +36 1 2704tel
(2704835)
fax: +36 1 2704fax
(2704329)
email: info@kancellar.hu

Blog

2009. 01. 14.
Vorwort
Gedanken zum Start des kancellár.hu Blogs
2009. 01. 14.
Unsere Daten im Net
Wenn dem Systemadministrator nur ein kleiner...

Herstellerlinks

Vorschriften, Rechtshintergrund, Normen

Einführung des ISO17799/BS7799 Systems

Bei der Speicherung, Aufarbeitung und Weiterleitung elektronischer Informationen müssen die Kriterien Vertraulichkeit, Unversehrtheit, Verfügbarkeit erfüllt werden. Die Sicherstellung dessen weicht von den klassischen Aufgaben des Vermögensschutzes ab. Deshalb

empfehlen wir zum Schutz des Informationsvermögens und der Informatikressourcen unserer Kunden die Einführung eines einheitlichen Informationssicherheitsmanagementsystems (im Weiteren: IBIR).

Unsere Methodik folgt der ISO17799 Norm, die aus der vom British Standards Institution (unter dem Namen BS7799) ausgearbeiteten Norm in 2001 zur ISO/IEC-Norm wurde.

 

Antiviren-Vorschrift

Unserer Meinung nach erstreckt sich eine gute Antiviren-Vorschrift auf die folgenden Bereiche:

  • Allgemeine Bestimmungen
  • Antivirensystem
  • Virenschutz der Arbeitsstationen
  • Virenschutz der Informationsserver
  • Virenschutz der Außenverbindungen
  • Management des Antivirensystems
  • Behandlung von Virenangriffen
  • Kontrollen
  • Schulung

 

Business Continuity Plan

Das Business Continuity Planing ist nichts anderes, als die Vorbereitung zur Sicherstellung der ununterbrochenen Verfügbarkeit aller wichtiger Geschäftsressourcen, die die lebenswichtige Geschäftstätigkeit unterstützen.

Im Ergebnis des Business Continuity Planing liegt ein Business Continuity Plan (BCP) vor, mit dessen Hilfe Störungen und Unterbrechungen in kritischen Geschäftsprozessen wirksam behoben werden können.

 

Disaster Recovery Plan

Der Disaster Recovery Plan ist ein Dokument, welches Schritt für Schritt festlegt, was in der der Katastrophe vorbeugenden Vorbereitungsphase bei Eintritt eines als Katastrophe geltenden Ereignisses und nach der Katastrophe zu tun ist. Es legt den Verantwortungsbereich der an der Beseitigung der Katastrophe teilnehmenden Personen fest und enthält die Informationen, die zum Erfolg der Beseitigung unerlässlich sind.

Die Erstellung des Disaster Recovery Plan erfolgt in 4 Schritten:

  • Lageeinschätzung
  • Bedrohungsanalyse
  • Risikoanalyse
  • Erstellung des Disaster Recovery Plan

 

Risk Management

Kancellár.hu betrachtet die Methodik des Risikomanagements, als wäre es ein Wetterbericht, bereits bei den Ausgangsdaten können wir uns nicht sicher sein, ob wir im Besitz aller notwendigen Informationen sind und die gewählte Methodik die Realität präzise modelliert, wir glauben aber zugleich daran, dass das Modell durch die ständige Auswertung der Ergebnisse/Erfahrungen verbessert und weiterentwickelt werden kann. Hierzu ist es aber unerlässlich, dass die Erfahrungen, insbesondere die innerhalb der Firma gesammelten Erfahrungen regelmäßig ausgewertet und aufgearbeitet werden.

Kancellár.hu empfiehlt zur Ausgestaltung der Risikomanagement-Methodik die Verfahrensordnung in der AS4360 Norm, da

  • der Wirkungsbereich dieser Verfahrensordnung frei einengbar oder erweiterbar ist;
  • sie die Aufgaben in einer einheitlichen Struktur festlegt;
  • sie allgemein anwendbar ist, unabhängig vom Wirtschaftssektor;
  • sie einfach einführbar ist und die Möglichkeit der Weiterentwicklung besteht.

 

Ausgestaltung einer Speicherordnung, Weiterentwicklung

Vielerorts ist feststellbar, dass die von den einzelnen Applikationen gespeicherten/verwalteten Daten nicht einheitlich gespeichert werden. Wegen der Uneinheitlichkeit der Speichervorgänge treten Probleme bei der Wiederherstellung auf.

Das Ziel unserer Arbeit besteht darin,

als sofortige Schutzmaßnahme - die Backup- und Wiederherstellungsverfahren auszuarbeiten, aus denen unter allen Umständen die Daten wiederhergestellt werden können, und die anzuwendenden Verfahrensordnungen so zu dokumentieren , dass dieses auch durch den Backupverantwortlichen vorgenommen werden kann;
  • zu prüfen, welche Geschwindigkeit beim Backup, bzw. bei der Wiederherstellung im Fall der Speicherung von Daten erreichbar ist;
  • einen Alternativvorschlag zu erstellen, wie die Speicherung weiterentwickelt werden sollte, unter Angabe der notwendigen Mittel sowie der logischen und physischen Konfiguration zur Durchführung,
  • dass ein Testumfeld entsteht, in dem die Speicherung und Wiederherstellung sowie der Test der übrigen Funktionen geschehen soll.
  • dass alle Schritte dokumentiert werden.

 

Datenschutz- und Datensicherheitsvorschrift

Die am 1. Januar 2004 in Kraft tretende Änderung des Gesetzes Nr. LXIII aus dem Jahre 1992 über den Schutz personenbezogener Daten und der Öffentlichkeit der Daten von allgemeinem Interesse erfordert bei mehreren Organisationen (bei Behörden-, Arbeits- und Kriminaldatenbanken verwaltenden, bzw. verarbeitenden Datenverwaltern und Datenverarbeitern, Finanzinstituten, Telekommunikations- und Versorgungsdienstleistern) als großer Datenverwalter die Erschaffung einer Datenschutz- und Datensicherheitsvorschrift.

Erstellung eines Datenschutz- und Datensicherheitsreglements

Die kancellár.hu erstellt für den Datenverwalter einen „Entwurf für das Datenschutz- und Datensicherheitsreglement” mit der folgenden Gliederung:

  • Allgemeine Bestimmungen
  • Voraussetzung der Datenverwaltung
  • Verfahrensvorschriften der Datenverwaltung
  • Sicherheitsanforderungen der Datenverarbeitung
  • Geltendmachung der Rechte des Betroffenen