4. Checkliste Zugriffskontrolle
Abkürzungen: erf. = erfüllt, nicht erf. = nicht erfüllt, nicht erfdl. = nicht erforderlich / nicht zutreffend
| Vorgabe | erf. | nicht erf. | nicht erfdl. | Bemerkungen | |
|---|---|---|---|---|---|
| Zugriffskontrolle | |||||
| 4.1 | Ausgestaltung des Berechtigungskonzeptes und der Zugriffsrechte | ||||
| 4.1.1 | Schriftliches Berechtigungskonzept | x | |||
| 4.1.2 | Programmtechnisches Berechtigungskonzept | x | ERP / Banking / Adressverwaltung | ||
| 4.1.3 | Rollendefinition | x | |||
| 4.1.4 | Differenzierte Berechtigungen (Daten) | x | |||
| 4.1.5 | Differenzierte Berechtigungen für Kenntnisnahme, Veränderung, Löschung | x | |||
| 4.1.6 | Differenzierte Berechtigungen (Anwendungen) | x | |||
| 4.1.7 | Differenzierte Berechtigungen (Betriebssystem) | x | |||
| 4.1.8 | Protokollierung | Zugriffsprotokollierung | |||
| 4.1.8.1 | Verfahrensanweisung/Richtlinie | x | |||
| 4.1.8.2 | Dateizugriffe | x | |||
| 4.1.8.3 | Programmausführung | x | |||
| 4.1.8.4 | Shell-Zugriff | x | Zugriff auf Dateisystemebene | ||
| 4.1.8.5 | Richtlinienverstoß | x | |||
| 4.1.8.6 | Manuelle Protokollauswertung | x | Wie oft, durch wen? | ||
| 4.1.8.7 | Automatische Protokollauswertung | x | Wie oft, durch wen? | ||
| 4.1.8.8 | Aufbewahrung der Protokolle (max.1a) | durchschnittlich 8 Wochen | |||
| 4.2 | Datenträger (DT) | ||||
| 4.2.1 | Benennung eines Verantwortlichen | x | F. Hochdorfer | ||
| 4.2.2 | Mobile DT - Art und Anzahl | beweglich, nicht stationär eingebaut | |||
| 4.2.2.1 | Festplatten | x | |||
| 4.2.2.2 | USB-Sticks | x | ca. 10 | ||
| 4.2.2.3 | SD-Karten | x | 4, nur Kameras | ||
| 4.2.2.4 | Disketten | x | |||
| 4.2.2.5 | Magnetbandkassetten | x | |||
| 4.2.2.6 | CD | x | keine personenbezogenen Daten | ||
| 4.2.2.7 | DVD | x | keine personenbezogenen Daten | ||
| 4.2.3 | Lagerung nach Dienstschluss | x | |||
| 4.2.3.1 | Verfahrensanweisung/Richtlinie | x | |||
| 4.2.3.2 | abschließbare Schränke | x | |||
| 4.2.4 | Auslagerung von Sicherungsdatenträgern | x | externe Sicherung Privatwohnung GF | ||
| 4.3 | Datenträgerverwaltung | keine externen Datenträger mit personenbezogenen Daten | |||
| 4.3.1 | Nachweis über, Eingang, Ausgang sowie Bestand (Verzeichnisse) | x | |||
| 4.3.2 | Datenträgerinventuren | x | |||
| 4.3.3 | Festlegungen zur Datenträgerverwendung | x | |||
| 4.3.4 | Abgrenzung der Bereiche, in denen sich DT befinden dürfen | x | |||
| 4.3.5 | Festlegung der Personen, die DT befugt sind, DT zu entnehmen | x | |||
| 4.3.6 | Festlegung der DT-Empfänger | x | |||
| 4.3.7 | Quittierverfahren | x | |||
| 4.3.8 | Datenträgerbegleitpapiere | x | |||
| 4.3.9 | Äußerliche Kennzeichnung der eigenen DT zur Unterscheidung von fremden DT | x | |||
| 4.3.10 | Trennung der DT verschiedener Auftraggeber | x | |||
| 4.3.11 | Eigener DT-Pool für jeden Kunden | x | |||
| 4.3.12 | Verbot des Einsatzes privater DT | x | Richtlinie, Dienstanweisung | ||
| 4.3.13 | Protokollierung der DT-Aussonderung | x | |||
| 4.4 | Datenträgervernichtung/-entsorgung | ||||
| 4.4.1 | Richtlinien zur Entsorgung/Vernichtung von Fehldrucken und unbrauchbaren bzw. nicht mehr gebrauchten Datenträgern | x | |||
| 4.4.2 | Datenschutzgerechte Löschung verwendeter DT vor neuer Verwendung bzw. Weitergabe | x | |||
| 4.4.3 | Sichere Zwischenlagerung | x | abgeschlossener Serverraum | ||
| 4.4.4 | Einsatz von „Reißwolf“/Shredder | x | P-4 | ||
| 4.4.5 | Einsatz von Datenträgerlöschgeräten oder -Software | x | |||
| 4.4.6 | Einsatz von Geräten zum Verbrennen/Zerstören | x | |||
| 4.4.7 | Kontrolle der ordnungsgemäßen Vernichtung | x | |||
| 4.4.8 | Einsatz von Entsorgungsunternehmen | x | |||
| 4.4.8.1 | Zuverlässiges Entsorgungsunternehmen ausgewählt? | x | |||
| 4.4.8.2 | Vertragliche Regelung vorhanden | x | |||
| 4.4.8.3 | Entsorgungsbescheinigung, Löschprotokoll | x | |||
| 4.5 | Regelungen für das Kopieren von DT | ||||
| 4.5.1 | Richtlinie vorhanden | x | |||
| 4.5.2 | Sperrung der Laufwerke und Anschlüsse (USB, Diskette, CD/DVD …) | x | |||
| 4.5.2.1 | Mechanische Verriegelung | x | |||
| 4.5.2.2 | Systemtechnische Einstellung | x | |||
| 4.5.2.3 | Einsatz spezieller Software | x | |||
| 4.5.2.4 | Weitere Schnittstellen, die Zugriff ermöglichen, gesperrt | x | |||
| 4.5.3 | Kopierfunktion grundsätzlich deaktiviert | x | |||
| 4.5.4 | Einsatz privilegierter Arbeitsplätze | x | |||
| 4.5.4.1 | Wo? | x | |||
| 4.5.4.2 | Zu welchem Zweck? | x | |||
| 4.5.4.3 | Wer hat Zugriff? | x | |||
| 4.5.4.4 | Netzwerktechnische Anbindung | x | |||
| 4.5.4.5 | Besondere Sicherheitsmaßnahmen | x | eingeschränkte Benutzerrechte zum Zugriff auf pers. bez. Daten | ||
| 4.6 | Taschenverbot bzw. -kontrollen | x | |||
| 4.7 | Zugriffsschutz durch Bildschirmschoner | x | GPO | ||
| 4.7.1 | Automatische Sperre | x | GPO | ||
| 4.7.2 | Sperre über Funktionstasten | x | |||
| 4.7.3 | Ausschließlich passwortgestützte Aufhebung | x | GPO | ||
| 4.8 | Regelungen und Kontrolle von externer Wartung und Fernwartung | x | keine externe Wartung | ||
| 4.9 | Parasitäre Abstrahlung | x | elektromagnetische Abstrahlungen, Schallausbreitungen u.ä. | ||
| 4.9.1 | Messungen durchgeführt | x | |||
| 4.9.2 | Gegenmaßnahmen eingerichtet | x | |||