MRRC München DokuWiki

Benutzer-Werkzeuge

Webseiten-Werkzeuge

Zuletzt angesehen:
datenschutz:sicherheitskonzept

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen RevisionVorhergehende Überarbeitung
Nächste Überarbeitung		Vorhergehende Überarbeitung
datenschutz:sicherheitskonzept [2024/10/04 16:39] advorakdatenschutz:sicherheitskonzept [2024/10/06 11:44] (aktuell) advorak
Zeile 22: Zeile 22:
 Eine generelle Überprüfung von Zugangsrechten erfolgt bei jedem Vorstandswechsel. Eine generelle Überprüfung von Zugangsrechten erfolgt bei jedem Vorstandswechsel.
  
-==== Tür der Geschäftsstelle ==== +Akten sind im verschlossenen Schrank zu hinterlegen.
-Im Schließfach liegt eine Liste der Personen mit deren Zugangskodes. Die Verwaltung erfolgt über den 1. und 2. Vorsitzenden.+
  
-==== Schlüsselaufbewahrung ==== +Schlüssel sind im verschließbaren Schlüsselschrank zu hinterlegen.
-Die Schlüssel, die in der Geschäftsstelle hinterlegt sind, sollen über eine Zugangskontrolle gesichert sein. Dazu dient der Schlüsseltresor.+
  
-Für die Verwaltung der Personen, die im Besitz von dem Code für den Schlüsselschrank sind, ist Datei der Übersicht der Zugänge zu pflegen. Die Liste ist im Aktenschrank im Ordner IT zu hinterlegen+Bargeld und kleine sensible Dinge sind im Tresor zu hinterlegen.
- +
-==== Aktenschrank ==== +
-Für die Verwaltung der Personen, die in Besitz von einem Schlüssel sind, ist die oben genannte Liste zu pflegen. +
- +
-==== Schließfach ==== +
-Der Kennwortwechsel, soll mit jedem Vorstandswechsel erfolgen. Es gibt einen Master Code, der im Besitz von 2. Vorsitzenden ist. +
- +
-Für die Verwaltung der Kennungen ist folgende Datei der Übersicht der Zugänge zu pflegen.+
  
 +Das Notebook auf dem Schreibtisch ist mit einer Diebstahlsicherung gesichert werden. Das zweite Notebook liegt im abschließbaren Aktenschrank.
  
 ===== Umgang mit Kennwörtern ===== ===== Umgang mit Kennwörtern =====
 Zur Authentifizierung an IT-Systemen sollen sichere Passwörter verwendet werden, die nach dem Stand der Technik über eine ausreichende Komplexität verfügen, um robust gegen Wörterbuchangriffe zu sein (z.B. Kombination aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen, keine Zeichenketten aus aufeinanderfolgenden Buchstaben oder Ziffern) und nicht leicht erraten werden können. Für Regelungen zur Änderung der Passwörter siehe die folgenden Abschnitte. Zur Authentifizierung an IT-Systemen sollen sichere Passwörter verwendet werden, die nach dem Stand der Technik über eine ausreichende Komplexität verfügen, um robust gegen Wörterbuchangriffe zu sein (z.B. Kombination aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen, keine Zeichenketten aus aufeinanderfolgenden Buchstaben oder Ziffern) und nicht leicht erraten werden können. Für Regelungen zur Änderung der Passwörter siehe die folgenden Abschnitte.
 +
 +Kennwörter werden nur vom Vorstand oder den Webmastern vergeben. Eine anderweitige Weitergabe ist nicht erlaubt.
 +
 +Kennwörter dürfen elektronisch nur in Passwort Managern gespeichert werden. In Papierform muss es an einem sichern Platz hinterlegt sein. 
  
 Kennwörter dürfen nicht ohne Sicherheitsschutz zu übertragen. Bei einer E-Mail ist ein Verschlüsselung notwendig. Ansonsten ist noch der Versand per SMS erlaubt. Kennwörter dürfen nicht ohne Sicherheitsschutz zu übertragen. Bei einer E-Mail ist ein Verschlüsselung notwendig. Ansonsten ist noch der Versand per SMS erlaubt.
Zeile 56: Zeile 51:
  
 ===== Elektronische Kommunikation ===== ===== Elektronische Kommunikation =====
 +
   * Es ist auf sichere Kommunikation zu achten:   * Es ist auf sichere Kommunikation zu achten:
   * Beim Versand von E-Mails nur vertrauensvolle E-Mail-Dienstleister verwenden. Der MRRC nutzt HostEurope.   * Beim Versand von E-Mails nur vertrauensvolle E-Mail-Dienstleister verwenden. Der MRRC nutzt HostEurope.
   * Bei der Konfiguration von einem E-Mail-Client wie z.B. Thunderbird muss beim E-Mail Versand die Transportverschlüsselung sichergestellt werden (z.B. STARTTLS)   * Bei der Konfiguration von einem E-Mail-Client wie z.B. Thunderbird muss beim E-Mail Versand die Transportverschlüsselung sichergestellt werden (z.B. STARTTLS)
   * Damit E-Mails verschlüsselt werden können, muss dem Versender der öffentliche Schlüssel des Empfängers bekannt sein. Dieser Schlüssel kann unverschlüsselt per E-Mail verschickt werden. Es muss aber auf einem weiteren Weg (z.B. Telefon, Fax) geprüft werden, ob der öffentliche Schüssel wirklich der Person gehört.   * Damit E-Mails verschlüsselt werden können, muss dem Versender der öffentliche Schlüssel des Empfängers bekannt sein. Dieser Schlüssel kann unverschlüsselt per E-Mail verschickt werden. Es muss aber auf einem weiteren Weg (z.B. Telefon, Fax) geprüft werden, ob der öffentliche Schüssel wirklich der Person gehört.
-  * „Offene“ E-Mail-Verteiler sollten vermieden werden. Stattdessen soll die BCC-Funktionalität geeignet eingesetzt werden.  Eine Ausnahme gilt nur in Fällen, wo die Mitglieder des Verteilers ausdrücklich ihre E-Mail-Adresse der Gruppe veröffentlicht haben. So eine Ausnahme kann z.B. der Arbeitskreis zu Organisation einer Veranstaltung sein. +  * „Offene“ E-Mail-Verteiler sollten vermieden werden. Stattdessen soll die BCC-Funktionalität geeignet eingesetzt werden.  Eine Ausnahme gilt nur in Fällen, wo die Mitglieder des Verteilers ausdrücklich ihre E-Mail-Adresse der Gruppe veröffentlicht haben. So eine Ausnahme kann z.B. der Arbeitskreis zu Organisation einer Veranstaltung sein 
-  *   * E-Mail-Signatur. Für vereinsbezogene E-Mails ist eine Signatur nach folgendem Schema an jede E-Mail anzuhängen: +  * E-Mail-Signatur. Für vereinsbezogene E-Mails ist eine Signatur nach folgendem Schema an jede E-Mail anzuhängen: 
-    Grußformel + 
-    Vor- und Nachname +Grußformel 
-    MRRC München e.V. +Vor- und Nachname 
-    Amt / Funktion +MRRC München e.V. 
-    E-Mail-Adresse: vorname.nachmame@mrrc.de +Amt / Funktion 
-    Web-Adresse: http://www.mrrc.de+E-Mail-Adresse: vorname.nachmame@mrrc.de 
 +Web-Adresse: [[http://www.mrrc.de]] 
 + 
 +===== Papierunterlagen ===== 
 +Es müssen nur sensible Papierdaten geschreddert werden (die personenbezogene Daten enthalten). 
 + 
 +===== Eingabekontrolle ===== 
 +Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind. 
 + 
 +Maßnahmen zur nachträglichen Überprüfung, ob und von wem Daten eingegeben, verändert oder entfernt (gelöscht) worden sind, sind im erforderlichen Umfang umgesetzt. Die Integrität der Loginformationen wird durch technische und organisatorische Maßnahmen gewährleistet. 
 + 
 +===== Auftragskontrolle ===== 
 +Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können.  
 + 
 +Mit allen externen Dienstleistern die Zugriff auf personenbezogene Daten des Vereins erhalten, sind Verträge zur Auftragsverarbeitung abzuschließen. 
 + 
 +Aktuell liegen folgende Verträge vor: 
 + 
 +  * Sewobe (Software zur Vereins- und Mitgliederverwaltung) 
 +  * HostEurope (Web-Hosting) 
 + 
 +===== Datenschutz ===== 
 +Regelungen zur Erarbeitung, Umsetzung und Nachhaltung von Datenschutz-Maßnahmen im Verein. 
 + 
 +m Verein sind weniger als zehn Personen ständig mit der Verarbeitung von personenbezogenen Daten beschäftigt. Ein Datenschutzbeauftragter gemäß DSGVO wird daher nicht benannt. Die Verantwortung für das Thema Datenschutz liegt beim Vorstand. 
 +Alle Mitglieder und Mitarbeiter des Vereins, die mit Themen des Datenschutzes im Verein betraut sind können unter der Adresse datenschutz@mrrc.de erreicht werden. 
 + 
 +===== Verzeichnis der Verarbeitungsprozesse ===== 
 +Alle Verarbeitungsprozesse sind in der folgenden Datei hinterlegt.
datenschutz/sicherheitskonzept.1728052768.txt.gz · Zuletzt geändert: von advorak