Sie sind auf Seite 1von 5

Merkblatt fr Security Prfungen (M166 / M176) 1.

Vertraulichkeit - Es muss sichergestellt werden, dass nur berechtigte Personen Zugriff auf sensible Daten und Informationen haben. 2. Integritt - Es muss sichergestellt werden, dass gespeicherte Daten und Informationen vollstndig, unverflscht und korrekt sind. 3. Verfgbarkeit - Es muss sichergestellt werden, dass bentigte Daten, Informationen, Anwendungen und Dienste jederzeit verwendet werden knnen. Das Vorhandensein einer Dienstleistung oder technischen Leistung welche durch Menschen oder Gerte erbracht werden sollte. 4. Verbindlichkeit Es muss sichergestellt werden, dass ausgetauschte Daten und Informationen verpflichtend und rechtsgltig sind. Ich kenne die Herkunft der Daten. Im Zusammenhang mit ITSecurity umfasst Verbindlichkeit folgende Aspekte: Authentizitt: Absender und Empfnger sind echt, d.h., es handelt sich effektiv um diejenigen Personen, als die sie sich ausgeben. Rechtsgltigkeit: Gesetzliche und vertragliche Bedingungen werden eingehalten. Geschfte, die durch ICT-System zustande kommen, sind rechtlich verbindlich. Nicht-Abstreitbarkeit (non-repudation): Kommunikationsvorgnge knnen so nachvollzogen werden, dass der Versand und der Empfang der Daten oder Informationen nicht abgestritten werden kann. 5. Datensicherheit - Die Datensicherheit bezweckt den umfassenden Schutz der Daten und Informationen bezglich Vertraulichkeit, Integritt, Verfgbarkeit und Verbindlichkeit. Die Ziele der Datensicherheit werden of mit dem Krzel CIA zusammengefasst. Dieser Krzel setzt sich zusammen aus den ersten Buchstaben der entsprechenden englischen Begriffe: C = Confidentiality, I = Integrity und A = Availability. Bei diesem Verstndnis wird davon ausgegangen, dass die Verbindlichkeit ebenfalls gegeben ist, wenn die Vertraulichkeit, Integritt und Verfgbarkeit gewhrleistet werden und fr den betreffenden Geschftsvorfall die notwendigen Nachweise vorliegen (z.B. Protokolle, Logfiles). 6. Datenschutz - Der Datenschutz bezweckt den Schutz der Daten und Informationen vor Missbrauch, unberechtigter Einsichtnahme, Verwendung, nderung oder Verflschung (Manipulation). Unter deas Datenschutzgesetz fallen vor allem sensible personenbezogene Daten. 7. Datensicherung - Die Datensicherung umfasst alle organisatorischen und technischen Vorsorgemassnahmen, um die Vertraulichkeit, Integritt, Verfgbarkeit und Verbindlichkeit sicherzustellen. Es geht also um Massnahmen, die verhindern sollen, dass diese Schutzziele verletzt werden. 8. Notfallvorsorge Die Notfallvorsorge umfasst alle personellen, organisatorischen und technischen Vorsorgemassnahmen, die bei Strungen zum Tragen kommen, die die Vertraulichkeit, Integritt, Verfgbarkeit und Verbindlichkeit beeintrchtigen. Es geht als um Massnahmen, die umgesetzt werden mssen, wenn diese Schutzzeile bereits verletzt worden sind.
Seite 1 von 5

Merkblatt fr Security Prfungen (M166 / M176) 9. Bedrohung Eine Bedrohung ist ein mgliches Ereignis, das zu einem Schaden fhren kann. Bedrohungen lassen sich zu verschiedenen Kategorien zusammenfassen. Ein Risiko ist eine Bedrohung, die so wahrscheinlich ist (oder erscheint), dass mit dem Eintreffen des Ereignisses gerechnet werden muss. Eine Verletzbarkeit ist ein Mangel an einem Objekt bzw. eine Anflligkeit eines Objekts in Bezug auf bestimmte Schutzziele. Um Risiken bewerten zu knnen, mssen das Schadenpotenzial und die Eintrittswahrscheinlichkeit bercksichtigt werden. 10. Klassifizierung - ffentlich (jedermann) - Intern (Mitarbeiter) - Vertraulich (bestimmter Personenkreis) - Geheim (minimaler Personenkreis, Protokollierter Zugriff) 11. Gefahren (Verlust von Verfgbarkeit und Vertraulichkeit von Daten und Systemen) - Hhere Gewalt (Ereignisse welche von aussen auf Menschen oder Gegenstnde einwirken und zudem unvorhersehbar oder aussergewhnlich sind. Bsp: Feuer, Wasser, Wind, Unflle, Naturkatastrophen etc.) - Technischer Ausfall (Single Point Of Failure etc.) - Personalausfall (Krankheiten / Pandemien, Unfall, Kndigung, Todesfall etc.) - Menschliches Fehlverhalten (Langeweile, bermut, Unwissen, Vorstzliche Beschdigung etc.) - Software Schden (Virus, Spyware, Trojaner, Sicherheitslcken, Programmfehler (Bugs), Inkompatibilitt) - Internet Sicherheit (Viren, Spyware, Trojaner, Hacker, Spam, Phising)

Seite 2 von 5

Merkblatt fr Security Prfungen (M166 / M176) 12. Gesetze Strafgesetz: Art135. Vorfhrung schutzunwrdiger Gewaltttigkeit gegen Mensch oder Tiere. Verletzung der Menschenwrde Art143. Unrechtmssige Beschaffung von Daten. Unrechtmssige Bereicherung (fr sich selber oder einen anderen) Art143bis. Unbefugtes Eindringen ohne Bereicherungsabsicht in ein fremdes zugriffsgeschtztes Datenverarbeitungssystem Art144bis. Unbefugte Vernderung, Lschung oder unbrauchbar Machung elektronisch oder vergleichbar gespeicherter Daten. In Verkehr Bringung, Herstellung, Einfhrung, Anpreisung oder zugnglich Machung von schdlicher Software Art147. Vermgungsverschiebung zum Schaden eines anderen, oder das Verdecken unmittelbar nach dem Vorgang, mittels unrichtiger, unvollstndiger oder unbefugter Verwendung oder Manipulation von elektronischen Daten Art150. Erschleichen einer kostenpflichtigen Leistung ohne zu Bezahlen Art179. Unberechtigtes ffnen einer verschlossenen Schrift oder Sendung, bzw. das ausntzen oder verbreiten deren Inhalte Art179bis. Abhren oder mitschneiden fremder nicht ffentliche Gesprche ohne Einwilligung aller Beteiligten. Die Nutzung so gewonnener Informationen Art179ter. Abhren oder Mitschneiden nicht ffentlicher Gesprche als Teilnehmer ohne Einwilligung aller Beteiligten Art179quater. Aufnahmen aus dem Geheim- oder Privatbereich eines Anderen ohne dessen Einwilligung oder die Aufbewahrung, Verwendung oder Weitergabe an Dritte so gewonnener Aufnahmen Art179novies. Unbefugte Beschaffung besonders schtzenwerter Daten aus einer nicht frei zugnglichen Datensammlung Art197. Anbieten oder zugnglich machen Pornographischer Vorfhrungen als Schriften, Ton oder Bildaufnahmen, Abbildungen oder solcher Gegenstnde an Personen unter 16 Jahren, bzw. Verbreitung durch Radio oder Fernsehen. ffentliches ausstellen oder unaufgefordertes Anbieten derselben. Sexuelle Handlungen mit Kindern, Tieren, menschlichen Ausscheidungen oder Gewaltttigkeiten in jeder Form untersagt. Ist nicht pornographisch, wenn sie einen kulturellen oder wissenschaftlichen Wert haben Art251. Urkundenflschung mit der Absicht das Vermgen oder die Rechte anderer zu Schdigen Art252. Dokumentflschung oder Verflschung (Ausweisschriften, Zeugnisse, Bescheinigungen etc.) mit der Absicht sich oder einem anderen das Weiterkommen zu erleichtern. Missbrauch echter Dokumente die nicht fr einen bestimmt sind.

Seite 3 von 5

Merkblatt fr Security Prfungen (M166 / M176) Datenschutzgesetz (seit 1993) Art1. Zweck Schutz der Persnlichkeit und der Grundrechte von Personen ber welche Daten bearbeitet werden Art2. Geltungsbereich Gilt fr das Bearbeiten von Daten natrlichen und juristischen Personen, durch private Personen oder Bundesorgane. Ist nicht anwendbar auf Personendaten fr persnlichen Gebrauch (keine Weitergabe). Ist nicht anwendbar auf Beratungen in Eidgenssischen Rten und parlamentarischen Kommissionen Ist nicht anwendbar auf hngige Verfahren (Zivilprozesse, Strafverfahren etc.) mit Ausnahme erstinstanzlicher Verwaltungsverfahren Ist nicht anwendbar auf ffentliche Register des Privatrechtsverkehrs (Handelsregister, Geburtenregister, Grundbuch etc.) Ist nicht anwendbar auf Personendaten die das IKRK bearbeitet Art3. Begriffe Personendaten = Alle Angaben mit denen eine bestimmte Person identifizierbar machen Betroffene Personen = Natrliche oder Juristische Personen, ber die Daten bearbeitet werden Besonders schtzenswerte Personendaten = Religion, Weltanschauung, Politische oder Gewerkschaftliche Ansichten oder Ttigkeiten, Gesundheitszustand, Intimsphre, Rassenzugehrigkeit, sozialer Status, administrative oder strafrechtliche Verfolgungen und Sanktionen Persnlichkeitsprofil = Datenzusammenstellung ber eine Natrliche Person welche eine Beurteilung wesentlicher Persnlichkeitsaspekte erlaubt Bearbeiten = Jeder Umgang mit Personendaten, Mittelunabhngig insbesondere Beschaffung, Verwendung, Umarbeitung, Bekanntgabe, Archivierung oder Vernichtung von Daten Bekannt geben = zugnglich machen von Personendaten (Einsicht gewhren, Verffentlichung etc.) Datensammlung = Personendatenbestand welche auf betroffene Personen zugewiesen sind Bundesorgane = Behrden und Dienststellen des Bundes. Personen welche mit ffentlichen Aufgaben des Bundes beauftragt sind Inhaber der Daten Sammlung = Private Personen oder Bundesorgane, welche ber den Zweck oder Inhalt der Datensammlung entscheiden Formelles Gesetz = Bundesgesetze, Bundesbeschlsse und fr die Schweiz verbindliche Beschlsse internationaler Organisationen Art4. Grundstze Personendaten drfen nur Rechtmssig beschafft werden. Ihre Bearbeitung hat nach Treu und Glauben zu erfolgen. Bearbeitung der Personendaten nur zudem bei der Beschaffung angegebenen Zweck verwenden Art5. Richtigkeit der Daten Wer Personendaten bearbeitet, hat sich ber deren Richtigkeit zu vergewissern. Jede Person kann verlangen, dass unrichtige Daten berichtigt werden Art6.Bekanntgabe ins Ausland Personendaten drfen bei Gefhrdung der Persnlichkeit betroffener Personen aufgrund fehlender Datenschutzgesetzte nicht ins Ausland bekannt gegeben werden. bermittlung von
Seite 4 von 5

Merkblatt fr Security Prfungen (M166 / M176) Datensammlungen ins Ausland, wenn keine gesetzliche Pflicht besteht oder die betroffenen Personen davon keine Kenntnis haben, sind nur Zulssig, wenn dies vorgngig dem Eidg. Datenschutz-, und ffentlichkeitsbeauftragten gemeldet wurde. Art7. Personendaten mssen durch angemessene technische und organisatorische Massnahmen gegen unbefugtes Bearbeiten geschtzt werden. Art8. Auskunftsrecht Jede Person kann vom Inhaber einer Datensammlung Auskunft darber verlangen, ob Daten ber sie bearbeitet werden. Der Inhaber muss alle ber die Person vorhandenen Daten in der Datensammlung und ber den Zweck und Rechtsgrundlagen des Bearbeitens, die Kategorien der Daten, der an der Sammlung Beteiligten und der Datenempfnger mitteilen- selbst wenn diese ber einen Dritten bearbeitet werden. Allgemeine Massnahmen Privatpersonen die Personendaten bearbeiten oder ein Datenkommunikationsnetz zu Verfgung stellen, mssen fr einen angemessenen Datenschutz betreffend Vertraulichkeit und Verfgbarkeit sorgen. Schutz vor folgenden Risiken: Unbefugte oder zufllige Vernichtung, zuflligen Verlust, technische Fehler, Flschung, Diebstahl oder wiederrechtliche Bearbeitung. Besondere Massnahmen Der Inhaber der Datensammlung hat, insbesondere bei der automatisierten Bearbeitung von Personendaten, technische und organisatorische Massnahmen zu treffen um die Personendaten vor unbefugtem Zugriff, Manipulation, Bekanntgabe und Transport zu schtzen. Art10a. Datenbearbeitung durch Dritte Bearbeitung von Personendaten durch Dritte ist zulssig, wenn dieser die Datengenau so bearbeitet, wie es der Auftraggeber drfte, sowie keine gesetzliche oder vertragliche Geheimhaltungspflicht besteht. Obligationenrecht OR Art328. Schutz der Persnlichkeit des Arbeitnehmers durch den Arbeitgeber vor Gesundheitlichen Schden, Wahrung der Sittlichkeit, sexueller Belstigung. Schutz von Leben, gesundheit und persnlicher Integritt. Art328b. Der Arbeitgeber darf Daten ber den Arbeitnehmer nur bearbeiten, soweit sie dessen Eignung fr das Arbeitsverhltnis betreffen oder zur Durchfhrung des Arbeitsvertrages erforderlich sind. Art957. Buchfhrung bei im Handelsregister eingetragenen Firmen. Betrifft Aufbewahrung von Buchungsbelegen und Geschftskorrespondenz, Betriebsrechnungen und Bilanzen.

Seite 5 von 5