MH711 Daten- und Informationsmanagement

Einrichtung

Management-Handbuch

 Code: MH711
Daten- und Informationsmanagement
 Revision: 01

Datum: 10.10.19

Seite: 2 von 2
Erstellt Geprüft Freigegeben
Name Schlote
Datum 08.10.19
Unterschrift i.O.u. Schl.
Datei

MH711 Daten- und Informationsmanagement

Als Prüfeinrichtung mit mehr als 9 Mitarbeitern handhabt die Einrichtung persönliche Daten in elektronischer Form und unterliegt somit neben Anforderungen, die sich aus der Erfüllung der DIN 17025:2018-3 ergeben, auch den Bestimmungen der DSGVO. Besondere Aufmerksamkeit und Priorität genießen die Wahrung der Vertraulichkeit, Sicherheit und Unverfälschtheit in der elektronischen Kommunikation sowie die veränderungssichere Aufbewahrung / Speicherung von Informationen, die in Zusammenhang mit Kunden und Aufgaben in Forschung und Entwicklung im Rahmen der Tätigkeiten der Einrichtung entstehen.

1 Grundsätzliches

Mit Blick auf die Einrichtungen (MH604 Einrichtungen) und deren Betrieb sowie die Verarbeitung der damit erhobenen Daten und deren Verarbeitung bis hin zur Übermittlung von Ergebnisberichten und Kommunikation stellt sich die Einrichtung als datenverarbeitender Betrieb dar. Der Informatik entlehnte Grundsätze gelten demzufolge auch gemäß der DIN 17025:2018-3 im Umgang mit elektronischen Daten:

  • Ein Sicherungsmechanismus, dessen Wiederherstellungsfunktion nicht als funktionell und handhabbar verifiziert wurde, gilt als fehlend.
  • Daten, die nicht gesichert wurden, gelten als gelöscht.
  • Datenübertragungen gelten als „nicht fehlerfrei übermittelt“ solange die Unversehrtheit und Richtigkeit der übertragenen Daten nicht verifiziert wurde.
  • Ein Netzwerk gilt als „öffentlich“ und „kompromittiert“ solange mit angemessenen Mitteln ausgeführte Eindring- und Manipulationsversuche nicht belegbar scheitern.
  • Vertraulichkeit hat als „gebrochen“ zu gelten, bis Kommunikationswege, Speicherung inklusive Entsorgungswege von Datenträgern nicht als „der Vertraulichkeit Genüge tuend“ verifiziert wurden.
  • Datenschutz gilt so lange als verletzt, wie nicht für alle personenbezogen, persönlichen oder mit einzelnen Personen direkt und indirekt verknüpfbaren Daten und Elemente, die gehandhabt und/oder gespeichert werden, der Schutz verifiziert und dieser Schutz mit einem angemessenen Aufwand nicht zu brechen ist.
  • Jede neu installierte Anwendung hat als disfunktional und unsicher zu gelten, bis das bestimmungsgemäße Funktionieren sichergestellt / verifiziert wurde und kollaterale Dysfunktion oder Störungen implementierter Schutzelemente nicht ausgeschlossen wurden.
  • Jeder Nutzer gilt im System als angemeldet, bis seine Abmeldung dokumentiert ist.
  • Jeder Zugang (physische Tür, Port des Routers) gilt bis zur Verifikation des Gegenteils als offen.

Die Verifikation einer Einrichtung gemäß MH604 bestätigt eine bestimmungsgemäße Gebrauchsfähigkeit und Rückführung. Sie nimmt zunächst keinen Bezug auf Sicherheits- und Funktionalitätsaspekte des Informationsmanagements.

Alle digitale Daten erzeugenden und verarbeitenden Geräte der Prüfeinrichtung unterliegen den genannten Grundsätzen.

1 Erfassung

Jede direkt und indirekt netzwerkfähige im lokalen Netz befindliche Hard- und Software ist geeignet, Vertraulichkeit, Richtigkeit und Rückverfolgbarkeit von Daten zu kompromittieren. Selbst eine Abschaltung der Geräte führt nicht zwangsläufig zu absoluter Sicherheit vor Datenverlust, wenn nicht zugleich der Zugang zu den Speichermedien absolut unterbunden werden kann. Da eine Abschaltung zudem keinen arbeitsfähigen Zustand der Prüfeinrichtung beschreibt, ist das aus dem Betrieb entstehende Risiko zu minimieren. Bei der Beschaffung externer Produkte und Dienstleistungen (MH606) sind Risikominimierungsaspekte nach Maßgabe des Informationsmanagements zu berücksichtigen.

1.1 Identifizierung relevanter Einrichtungen

Jede innerhalb des internen Rechnernetzes installierte und betriebene Software inklusive möglicher Updates ist relevant in Bezug auf die Sicherheit des Netzwerks.

Jede innerhalb des internen Rechnernetzwerks installierte und betriebene Hardware ist grundsätzlich relevant, wenn sie softwaregesteuerte Bestandteile enthält oder enthalten kann. Beispiele können sein:

  • Netzwerkdrucker,
  • Presenter,
  • Funktastatur, Funkmaus,
  • Router,
  • Netzwerkkarte,
  • Administrierbare Switches,
  • Netzwerkfestplatten,
  • Server,
  • Computer,
  • Smartphones,
  • Telefonanlage.

2 Verifizierung

Entsprechend der Handhabung für Einrichtungen, die für Mess- und Prognosezwecke verifiziert und freigegeben werden, sind auch Hard- und Software, die auch nur zeitweilig in Verbindung mit dem internen Netzwerk verbunden werden, für den Betrieb zu verifizieren und freizugeben. Dies gilt ebenfalls für alle Updates der Hard- und Software. Bei Hard- und Software, die speziell für die Verwendung in akkreditierten Prüfeinrichtungen entwickelt und extern verifiziert und/oder rückgeführt wurde, kann in der Regel auf eine Verfizierung nicht aber auf eine Freigabe für den Gebruach verzichtet werden. Der EDV-Sicherheitsbeauftragte verifiziert selbst oder deligiert die ein angemessenes Verifizierungsverfahren an kompetentes Personal. Auch externe nachgewiesenerweise kompetente Personen, die in die Vertraulichkeitsregelungen der Einrichtung eingebunden sind, können Dienstleistung dieser Art übernehmen. In diesem Fall sind sie in das Vertraulichkeits- und Unparteilichkeitssystem der Einrichtung einzubinden.

3 Überwachung

Entsprechend dem Verfahren zur Überwachung der Aktualität der verwendeten externen Vorschriften, Normen und Richtlinien ist ein Verfahren für die Überwachung der als relevant erkannten Hard- und Software implementiert MF711-5 Checkliste Überwachung Hard- und Software. Die Überwachung erfolgt mit Blick auf:

  • Abkündigungen (End of Life) von Support und Updates,
  • gemeldete anstehende Updates,
  • bekannt gewordene Sicherheitsprobleme,
  • für die Richtigkeit, Rückverfolgbarkeit von Prüfergebnissen relevante Probleme.

Die Sicherheit des Netzwerks ist in angemessenen Zeitabständen durch externe Kompromittierungsversuche zu verifizieren. Erkannte Probleme sind entsprechend ihrer Schwere geeignet zu sanieren. Verifizierungsergebnisse sind in das Management von Chancen und Risiken (MH805 Risiken und Chancen handhaben) einzubinden und zusammengefasst in der Managementbewertung zu würdigen.

4 Notfälle, Notfallpläne, Autorisierungen

Störungen im Informationsmanagement können unterschiedliche Ursachen haben, unterschiedliche Ausmaße annehmen und Schadenstiefe annehmen. Alle Mitarbeiter werden regelmäßig für diese Problematik sensibilisiert, denn das Erkennen eines Problems ist Aufgabe aller Mitarbeiter. Abhängig von der Art des beobachteten Problems kann die Reaktion entsprechend vorbereiteter Notfallpläne angezeigt sein.

Problemtypen nach Art der Schwere:

  1. vermutete Infektion mit Schadsoftware
  2. Serverausfall
  3. Diebstahl oder Verlust von Passwörtern
  4. Diebstahl oder Verlust von Datenträgern
  5. Störung des Internetzugangs

erfordern ein Vorgehen gemäß:

  1. Notfallplan „Schadsoftware“
  2. Notfallplan „Serverstörung“
  3. Notfallplan „Passwortverlust“

Treten Notfallpläne Typ A oder B in Kraft ist unverzüglich entsprechend dieser Pläne zu handeln.

5 Mitgeltende Dokumente

MF EDV-Sicherheitskonzept

MV711-1 Daten und Informationen sicher handhaben

MF711-1 Sicherheitsrelevante Hardware

MF711-2 Notfallplan „Schadsoftware“

MF711-3 Notfallplan „Serverstörung“

MF711-4 Notfallplan „Passwortverlust“

MF711-5 Checkliste Überwachung Hard- und Software