... | ... | @@ -2,7 +2,7 @@ |
|
|
|
|
|
[[_TOC_]]
|
|
|
|
|
|
Auf dieser und den folgenden Seiten finden Sie Informationen rund um die in SecDoc genutzten Begrifflichkeiten, die grundlegende Benutzung der Anwendung und Antworten auf häufige Fragen. Die Übersicht der vorhandenen Seiten finden Sie rechts.
|
|
|
Auf dieser und den folgenden Seiten finden Sie Informationen rund um die in SecDoc genutzten [Begrifflichkeiten](#erklärungen-zu-den-genutzten-begrifflichkeiten), die [grundlegende Benutzung](nutzung/Arbeitsablauf) der Anwendung und [Antworten auf häufige Fragen](nutzung/H%C3%A4ufige%20Fragen). Die Übersicht der vorhandenen Seiten finden Sie rechts.
|
|
|
|
|
|
## Erklärungen zu den genutzten Begrifflichkeiten
|
|
|
|
... | ... | @@ -12,7 +12,7 @@ Zwischen Dokumentationen der gleichen Ebene und zu der nächsten Ebene darunter |
|
|
|
|
|
### Ansprechpartner
|
|
|
|
|
|
Als Ansprechpartner sollten die Personen gewählt werden, die für den Betrieb einer Verarbeitungstätigkeit, einer Fachapplikation oder eines IT-Verfahrens zuständig sind. Es können in der Regel ein erster und ein zweiter Ansprechpartner angegeben werden, beispielsweise im Sinne eines fachlichen und eines technischen Ansprechpartners. Sollte keine konkrete Person benannt werden können, kann das Feld auch frei ausgefüllt werden mit einer Rollenbezeichnung.
|
|
|
Als Ansprechpartner sollten die Personen gewählt werden, die für den Betrieb einer Verarbeitungstätigkeit, einer Fachapplikation oder eines IT-Systems zuständig sind. Für Infrastruktur-Dokumentationen sollten passende Verantwortliche an dieser Stelle gewählt werden. Es können in der Regel ein erster und ein zweiter Ansprechpartner angegeben werden, beispielsweise im Sinne eines fachlichen und eines technischen Ansprechpartners. Sollte keine konkrete Person benannt werden können, kann das Feld auch frei ausgefüllt werden mit einer Rollenbezeichnung.
|
|
|
|
|
|
### Dokumentationen
|
|
|
|
... | ... | @@ -20,25 +20,31 @@ Dokumentationen stellen den Kern von SecDoc dar. Es können verschiedene Ebenen |
|
|
|
|
|
#### Verarbeitungstätigkeiten
|
|
|
|
|
|
Auf der obersten Ebene (Ebene 1) ist eine personenbezogene Verarbeitung im datenschutzrechtlichen Sinne angesiedelt. Diese Ebene entspricht dem, was vielfach als ein "Fachverfahren" oder "Geschäftsprozess" mit einem bestimmten funktionalen Ablauf der Verarbeitungstätigkeit verstanden wird (z.B. Immatrikulation). Auf dieser Ebene einer Verarbeitung werden die für eine Verarbeitungstätigkeit erforderlichen personenbezogenen Daten sowie die gesetzlichen Anforderungen dokumentiert. Der Verantwortliche definiert wie die personenbezogenen Daten verwaltet werden und bestimmt die zu verwendenden IT-Systeme und Prozesse. Wesentlich für die datenschutzrechtlich angemessen funktionale Gestaltung dieser Ebene ist die Bestimmung des Zwecks oder der Zwecke der Verarbeitungstätigkeit.
|
|
|
Auf der obersten Ebene (Ebene 1) ist eine personenbezogene Verarbeitung im datenschutzrechtlichen Sinne angesiedelt. Diese Ebene entspricht dem, was vielfach als ein "Fachverfahren" oder "Geschäftsprozess" mit einem bestimmten funktionalen Ablauf der Verarbeitungstätigkeit verstanden wird (z. B. Immatrikulation). Auf dieser Ebene einer Verarbeitung werden die für eine Verarbeitungstätigkeit erforderlichen personenbezogenen Daten sowie die gesetzlichen Anforderungen dokumentiert. Der Verantwortliche definiert wie die personenbezogenen Daten verwaltet werden und bestimmt die zu verwendenden IT-Systeme und Prozesse. Wesentlich für die datenschutzrechtlich angemessen funktionale Gestaltung dieser Ebene ist die Bestimmung des Zwecks oder der Zwecke der Verarbeitungstätigkeit.
|
|
|
|
|
|
**Beispiele:** E-Mail Betrieb, Identitätsverwaltung, Immatrikulation, Newsletterdienst, Prüfungsverwaltung, Schulungsveranstaltung
|
|
|
|
|
|
#### Fachapplikationen
|
|
|
|
|
|
Auf der nächsten Ebene (Ebene 2) ist die praktische Umsetzung der Verarbeitung und des Zwecks angesiedelt. Diese umfasst zum einen die Rolle der Sachbearbeitung sowie die IT- Applikation(en), die sich genauer auch als "Fachapplikation eines Fachverfahrens" bezeichnen lässt (z.B. SAP HCM). Die Sachbearbeitung und die Fachapplikation müssen die funktionalen und (datenschutz-)rechtlichen Anforderungen, denen die Verarbeitung unterliegt, vollständig erfüllen. Die Fachapplikation muss die Zweckbindung sicherstellen. Die Applikation muss die Verarbeitung zusätzlicher Daten oder zusätzliche Verarbeitungsformen ausschließen, selbst wenn sie funktional besonders komfortabel sein mögen. Damit soll das Risiko minimiert werden, dass sie die Zweckbindung unterlaufen oder der Zweck überdehnt wird.
|
|
|
Auf der nächsten Ebene (Ebene 2) ist die praktische Umsetzung der Verarbeitung und des Zwecks angesiedelt. Diese umfasst zum einen die Rolle der Sachbearbeitung sowie die IT- Applikation(en), die sich genauer auch als "Fachapplikation eines Fachverfahrens" bezeichnen lässt (z. B. SAP HCM). Die Sachbearbeitung und die Fachapplikation müssen die funktionalen und (datenschutz-)rechtlichen Anforderungen, denen die Verarbeitung unterliegt, vollständig erfüllen. Die Fachapplikation muss die Zweckbindung sicherstellen. Die Applikation muss die Verarbeitung zusätzlicher Daten oder zusätzliche Verarbeitungsformen ausschließen, selbst wenn sie funktional besonders komfortabel sein mögen. Damit soll das Risiko minimiert werden, dass sie die Zweckbindung unterlaufen oder der Zweck überdehnt wird.
|
|
|
|
|
|
**Beispiele:** Active Directory, CMS, Exchange, SAP
|
|
|
|
|
|
#### IT-Verfahren
|
|
|
#### IT-Systeme
|
|
|
|
|
|
Auf der Ebene 3 "IT-Verfahren" ist die IT-Infrastruktur angesiedelt, die Funktionen bereitstellt, die eine Fachapplikation nutzt. Zu dieser Ebene an "technischen Services" zählen Betriebssysteme, virtuelle Systeme, Datenbanken, Authentifizierungs- und Autorisierungssysteme, Router und Firewalls, Speichersysteme wie SAN oder NAS, CPU-Cluster, sowie die Kommunikationsinfrastruktur einer Organisation wie das Telefon, das LAN oder der Internetzugang. Auch hier gilt, dass diese Systeme innerhalb einer Verarbeitungstätigkeit jeweils so zu gestalten und zu nutzen sind, dass die Zweckbindung erhalten bleibt. Damit die Zweckbindung bzw. Zwecktrennung auf dieser Ebene durchgesetzt werden kann, müssen typischerweise technische und organisatorische Maßnahmen getroffen werden.
|
|
|
Auf der Ebene 3 "IT-Systeme" ist die IT-Infrastruktur angesiedelt, die Funktionen bereitstellt, die eine Fachapplikation nutzt. Zu dieser Ebene an "technischen Services" zählen Betriebssysteme, virtuelle Systeme, Datenbanken, Authentifizierungs- und Autorisierungssysteme, Router und Firewalls, Speichersysteme wie SAN oder NAS, CPU-Cluster, sowie die Kommunikationsinfrastruktur einer Organisation wie das Telefon, das LAN oder der Internetzugang. Auch hier gilt, dass diese Systeme innerhalb einer Verarbeitungstätigkeit jeweils so zu gestalten und zu nutzen sind, dass die Zweckbindung erhalten bleibt. Damit die Zweckbindung bzw. Zwecktrennung auf dieser Ebene durchgesetzt werden kann, müssen typischerweise technische und organisatorische Maßnahmen getroffen werden.
|
|
|
|
|
|
**Beispiele:** Datenbankserver, ESX, Speichersysteme, Router
|
|
|
|
|
|
#### Infrastruktur
|
|
|
|
|
|
Die "Infrastruktur"-Ebene (Ebene 4) dient zur Dokumentation von Infrastruktur-Objekten, beispielsweise Gebäuden, Büroräumen oder auch Serverräumen. Auf dieser Ebene geht es vor allem darum, wie Gebäude und Räume physisch abgesichert sind, z. B. vor Einbruch oder Feuer, aber auch wie IT-Infrastruktur verbaut ist, z. B. Verkabelung.
|
|
|
|
|
|
**Beispiele:** Büroraum, Serverraum, Bürogebäude
|
|
|
|
|
|
#### Übergreifende Maßnahmen
|
|
|
|
|
|
Die zusätzliche Ebene 4 stellt übergreifende Maßnahmen dar, die universitäts- oder bereichsweit umgesetzt wurden und für eine Vielzahl dort eingesetzter IT-Verfahren gültig sind. Dies verhindert, dass diese bei jeder einzelnen Dokumentation mit einbezogen und bearbeitet werden müssen. Übergreifende Maßnahmen können als Abhängigkeiten an andere Dokumentationen angehängt werden. Zum Anlegen übergreifender Maßnahmen sind spezielle Berechtigungen notwendig.
|
|
|
Die zusätzliche Ebene der übergreifenden Maßnahmen kann zur Dokumentation von Maßnahmen genutzt werden, die universitäts- oder bereichsweit umgesetzt wurden und für eine Vielzahl von Dokumentationen gültig sind. Dies verhindert, dass diese bei jeder einzelnen Dokumentation mit einbezogen und bearbeitet werden müssen. Übergreifende Maßnahmen können als Abhängigkeiten an andere Dokumentationen angehängt werden. Zum Anlegen übergreifender Maßnahmen sind spezielle Berechtigungen notwendig.
|
|
|
|
|
|
**Beispiele:** Datenschutzkonzept, Infrastrukturelemente, ISMS, Netzelemente
|
|
|
|
... | ... | @@ -50,14 +56,14 @@ Die zusätzliche Ebene 4 stellt übergreifende Maßnahmen dar, die universitäts |
|
|
|
|
|
### Rollen
|
|
|
|
|
|
SecDoc besitzt aktuell 4 verschiedene Rollen, die ein Nutzer einnehmen kann. Diese können oben links mit dem Knopf "Zur Rolle ... wechseln" durchgewechselt werden. Der Knopf wird nur angezeigt, wenn der Nutzer über mehr als nur eine Rolle verfügt. Die aktuelle Rolle wird hinter dem Namen des aktuellen Benutzers angezeigt.
|
|
|
SecDoc besitzt aktuell 4 verschiedene Rollen, die ein Nutzer einnehmen kann. Diese können oben links mit dem Knopf "Zur Rolle ... wechseln" durchgewechselt werden. Der Knopf wird nur angezeigt, wenn der Nutzer über mehr als eine Rolle verfügt. Die aktuelle Rolle wird hinter dem Namen des aktuellen Benutzers angezeigt.
|
|
|
|
|
|
![image](uploads/d1182be115c096b7f3528778a0a412e3/image.png)
|
|
|
|
|
|
**Mögliche Rollen:**
|
|
|
* **Nutzer:** Die normale Nutzer-Rolle für die Verwendung von SecDoc. Der Zugriff ist auf die Grundfunktionen und die Ebenen 1 bis 3 beschränkt.
|
|
|
* **Bereichs-DSB/-ISB:** Zusätzlich zu den normalen Funktionen erhält diese Rolle Zugriff auf das Anlegen von TOM-Vorlagen, sowie von übergreifenden Maßnahmen. Darüber hinaus werden zusätzliche Optionen während der Bearbeitung von Dokumentationen angezeigt und es kann der Grundschutz-Check aufgerufen werden.
|
|
|
* **DSB/ISB:** Mit dieser Rolle hat man Zugriff auf alle Funktionen von SecDoc, inklusive der DSB-Ansicht zur Auswertung von vorhandenen Dokumentationen. Nutzer mit dieser Rolle haben darüber hinaus Zugriff auf **alle** Dokumentationen, unabhängig von gesetzten Zugriffsrechten.
|
|
|
* **Bereichs-DSB/-ISB:** Zusätzlich zu den normalen Funktionen erhält diese Rolle Zugriff auf das Anlegen von TOM-Vorlagen sowie von übergreifenden Maßnahmen. Darüber hinaus werden zusätzliche Optionen während der Bearbeitung von Dokumentationen angezeigt und es kann die IT-Grundschutz-Ansicht aufgerufen werden.
|
|
|
* **DSB/ISB:** Mit dieser Rolle hat man Zugriff auf alle Funktionen von SecDoc, inklusive der DSB/ISB-Ansicht zur Auswertung von vorhandenen Dokumentationen. Nutzer mit dieser Rolle haben darüber hinaus Zugriff auf **alle** Dokumentationen, unabhängig von gesetzten Zugriffsrechten.
|
|
|
* **Administrator:** Die Administrator-Rolle ist aktuell nur ein Platzhalter, soll aber zukünftig für administrative Aufgaben genutzt werden.
|
|
|
|
|
|
### Status einer Dokumentation
|
... | ... | @@ -65,18 +71,18 @@ SecDoc besitzt aktuell 4 verschiedene Rollen, die ein Nutzer einnehmen kann. Die |
|
|
Jede Dokumentation hat einen aktuellen Status hinterlegt. Dafür gibt es die folgenden Werte:
|
|
|
|
|
|
* **In Bearbeitung:**
|
|
|
Die Dokumentation wird noch aktiv bearbeitet oder die Verarbeitungstätigkeit/die Fachapplikation/das IT-Verfahren wurde noch nicht in Betrieb genommen. In diesem Zustand können nur Entwurfs-PDFs erzeugt werden und die Dokumentation taucht unter Umständen noch nicht in der Gesamt-PDF aller Dokumentationen auf, solange noch keine abgeschlossene Version existierte.
|
|
|
Die Dokumentation wird noch aktiv bearbeitet oder die Verarbeitungstätigkeit/die Fachapplikation/das IT-System/das Infrastruktur-Objekt wurde noch nicht in Betrieb genommen. In diesem Zustand können nur Entwurfs-PDFs erzeugt werden und die Dokumentation taucht unter Umständen noch nicht in der Gesamt-PDF aller Dokumentationen auf, solange noch keine abgeschlossene Version existierte.
|
|
|
|
|
|
* **Abgeschlossen/In Betrieb:**
|
|
|
Die Dokumentation wird aktuell als fertig angesehen und die Verarbeitungstätigkeit/die Fachapplikation/das IT-Verfahren ist in Betrieb. Wird eine Dokumentatione abgeschlossen, werden die eingetragenen Ansprechpartner darüber informiert. Es wird eine PDF-Version der Dokumentation erstellt, die an die Ansprechpartner verschickt wird oder heruntergeladen werden kann. Darüber hinaus wird eine Datenschutzerklärung im PDF-Format und als Include-Baustein für Webseiten angelegt.
|
|
|
Die Dokumentation wird aktuell als fertig angesehen und die Verarbeitungstätigkeit/die Fachapplikation/das IT-System/das Infrastruktur-Objekt ist in Betrieb. Wird eine Dokumentatione abgeschlossen, werden die eingetragenen Ansprechpartner darüber informiert. Es wird eine PDF-Version der Dokumentation erstellt, die an die Ansprechpartner verschickt wird oder heruntergeladen werden kann. Darüber hinaus wird eine Datenschutzerklärung im PDF-Format und als Include-Baustein für Webseiten angelegt.
|
|
|
|
|
|
Um eine Dokumentation abzuschließen, muss auf der letzten Seite der "Abschluss"-Knopf benutzt werden. Wird die Dokumentation danach erneut bearbeitet, wird der Status zurück auf "In Bearbeitung" gesetzt. Die letzte abgeschlossene Version bleibt als PDF gespeichert und einsehbar, bis die Dokumentation erneut abgeschlossen wird.
|
|
|
|
|
|
### Technische und organisatorische Maßnahmen (TOMs)
|
|
|
|
|
|
Egal ob eine Verarbeitungstätigkeit, eine Fachapplikation oder ein IT-Verfahren betrieben wird, muss ein geeigneter Schutz durch technische und/oder organisatorische Maßnahmen sichergestellt werden. Hierbei müssen verschiedene Aspekte betrachtet werden, insbesondere wie hoch der Schutzbedarf der Tätigkeit/Anwendung selbst und der darin verarbeiteten Daten ist.
|
|
|
Egal ob eine Verarbeitungstätigkeit, eine Fachapplikation oder ein IT-System betrieben wird oder ein Infrastruktur-Objekt geplant wird, muss ein geeigneter Schutz durch technische und/oder organisatorische Maßnahmen sichergestellt werden. Hierbei müssen verschiedene Aspekte betrachtet werden, insbesondere wie hoch der Schutzbedarf der Tätigkeit/Anwendung selbst und der darin verarbeiteten Daten ist.
|
|
|
|
|
|
Auf der Seite "Maßnahmen" können umgesetzte Maßnahmen dokumentiert werden, nachdem ein passender Schutzbedarf gewählt wurde. Die Aufteilung in Bausteine und Anforderungen orientiert sich am [BSI IT Grundschutz](https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/it-grundschutz_node.html), sodass das [Kompendium](https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/IT-Grundschutz-Kompendium/it-grundschutz-kompendium_node.html) sowie weitere Informationen beim Ausfüllen zu Rate gezogen werden können. Es besteht die Möglichkeit, eine bereits vorhandene Vorlage auszuwählen, sodass kein manuelles Ausfüllen notwendig ist. Gibt es keine geeignete Vorlage, müssen zuerst Bausteine, die zur dokumentierten/m Verarbeitungstätigkeit/Fachapplikation/IT-Verfahren passen, ausgewählt und anschließend die notwendigen Anforderungen bearbeitet werden. Die Anforderungen orientieren sich am Schutzbedarf und sollten alle bearbeitet werden. Sollte eine Anforderung nicht zutreffen, kann die Option "Entbehrlich" gewählt werden.
|
|
|
Auf der Seite "Maßnahmen" können umgesetzte Maßnahmen dokumentiert werden, nachdem ein passender Schutzbedarf gewählt wurde. Die Aufteilung in Bausteine und Anforderungen orientiert sich am [BSI IT Grundschutz](https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/it-grundschutz_node.html), sodass das [Kompendium](https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/IT-Grundschutz-Kompendium/it-grundschutz-kompendium_node.html) sowie weitere Informationen beim Ausfüllen zu Rate gezogen werden können. Es besteht die Möglichkeit, eine bereits vorhandene Vorlage auszuwählen, sodass kein manuelles Ausfüllen notwendig ist. Gibt es keine geeignete Vorlage, müssen zuerst Bausteine, die zur dokumentierten/m Verarbeitungstätigkeit/Fachapplikation/IT-System passen, ausgewählt und anschließend die notwendigen Anforderungen bearbeitet werden. Die Anforderungen orientieren sich am Schutzbedarf und sollten alle bearbeitet werden. Sollte eine Anforderung nicht zutreffen, kann die Option "Entbehrlich" gewählt werden.
|
|
|
|
|
|
### Vorlagen
|
|
|
|
... | ... | @@ -84,6 +90,6 @@ Vorlagen sind verkürzte Dokumentationen, die primär dafür da sind, um vorausg |
|
|
|
|
|
### Zugriffsberechtigungen
|
|
|
|
|
|
Standardmäßig ist eine neue Dokumentation nur sichtbar und editierbar für den Ersteller, sowie eingetragene Ansprechpartner, sofern diese korrekt aus der Liste der Vorschläge ausgewählt wurden. Auf der letzten Seite der Dokumentation in SecDoc können zusätzliche Zugriffsberechtigungen festgelegt werden. Hierbei kann der Zugriff einzelnen Nutzern oder einer ganzen Nutzergruppe gewährt werden. Dafür sollten die Vorschläge aus der Liste gewählt werden. Personen oder Gruppen mit nur Lese-Berechtigung können die gesamte Dokumentation einsehen, aber keine Änderungen daran vornehmen. Wer Schreib-Berechtigungen hat, kann die Dokumentation wie gewohnt editieren.
|
|
|
Standardmäßig ist eine neue Dokumentation nur sichtbar und editierbar für die erstellende Person, sowie eingetragene Ansprechpartner, sofern diese korrekt aus der Liste der Vorschläge ausgewählt wurden. Auf der letzten Seite der Dokumentation in SecDoc können zusätzliche Zugriffsberechtigungen festgelegt werden. Hierbei kann der Zugriff einzelnen Nutzern oder einer ganzen Nutzergruppe gewährt werden. Dafür sollten die Vorschläge aus der Liste gewählt werden. Personen oder Gruppen mit nur Lese-Berechtigung können die gesamte Dokumentation einsehen, aber keine Änderungen daran vornehmen. Wer Schreib-Berechtigungen hat, kann die Dokumentation wie gewohnt editieren.
|
|
|
|
|
|
Insbesondere bei Dokumentationen, die andere Personen möglicherweise als Abhängigkeit verwenden können, sollte auf passende Berechtigungen geachtet werden, damit diese auch sichtbar für den entsprechenden Personenkreis sind. Es genügen hierfür Lese-Berechtigungen. |
|
|
\ No newline at end of file |