Compliance Ihres Informations systems
Die Herausforderungen der Compliance
Sicherheitslücken, zweifelhafte Nutzung von Kundendaten, Piraterie usw. Der gesetzliche Rahmen entwickelt sich weiter, um der Digitalisierung aller Prozesse Rechnung zu tragen und Nutzer wie Organisationen – mit Hilfe verschiedener Zertifizierungen und Vorschriften – zu schützen.
Zweck der Compliance ist vor allem das Vermeiden potenzieller Sanktionen, sie dient aber auch der Glaubwürdigkeit gegenüber Ihren Kunden und Benutzern.
Die DSGVO
Die Datenschutzgrundverordnung (DSGVO) ist eine Vorschrift der Europäischen Union zur Regelung der Verarbeitung personenbezogener Daten.
Die Einrichtung einer Lösung zur Verwaltung von Zugangsberechtigungen trägt zur Compliance hinsichtlich der aus der DSGVO resultierenden Verpflichtungen bei. Dies gilt ganz besonders für die Verpflichtung zur verstärkten Einführung „datenschutzfreundlicher Voreinstellungen“ gemäß Artikel 25 Absatz 2 DSGVO.
Mit einem einzigen Portal für sensible Zugriffe sind Transparenz und Rückverfolgbarkeit jederzeit für sämtliche derartigen Zugriffe auf Ihr System gegeben.
Die NIS-Richtlinie
Die NIS- Richtlinie (Network and Information System Security) der EU-Institutionen zielt darauf ab, das Sicherheitsniveau von Netz- und Informationssystemen zu erhöhen. Sie richtet sich an Betreiber von wesentlichen Diensten und Anbieter von digitalen Dienstleistungen.
Sie sieht diesbezüglich vor allem Verpflichtungen in Sachen Unternehmensführung und Sicherheit von Netz- und Informationssystemen vor.
Sektor spezifische Verpflichtungen
Vor allem durch die NIS-Richtlinie sind die Tätigkeitsgebiete, für die besondere Vorschriften zur Sicherheit von Informationssystemen gelten, klar definiert.
Daher berücksichtigen wir die Besonderheiten Ihres Unternehmens, um Sie permanent unter Einhaltung der gesetzlichen Vorschriften für die Verwaltung von Zugangsberechtigungen begleiten zu können.
Empfehlungen der ANSSI
(französicher Pendant BSI - Bundesamt für Sicherheit in der Informationstechnik)
Was ist die ANSSI?
Die „Agence nationale de la sécurité des systèmes d‘information“ (ANSSI) ist dem „Secrétariat général de la défense et de la sécurité nationale“ (Sekretariat für Verteidigung und nationale Sicherheit) unterstellt und sorgt durch die Schaffung eines sicheren Umfelds für die Sicherheit und Verteidigung der Informationssysteme des französischen Staats und der Betreiber von „vitaler Bedeutung“ (OIV).
Über ihre staatlichen Aufgaben hinaus, fördert diese Stelle Lösungen und Know-how, die von französischen Unternehmen entwickelt wurden.
Ihre Dienstleistungen erstrecken sich auf die Überwachung, Erkennung, Warnmeldungen über und Abwehr von Hackerangriffen.
Diesbezüglich legt sie vor allem gute Praktiken in Form von Leitfäden fest und vergibt an anerkannte Lösungen ein Label des Vertrauens wie das „Visa de sécurité“ (Sicherheitsvisum).
Gute Praktiken
Um Organisationen bei der Aufrechterhaltung von Betrieb und Sicherheit ihrer IT-Systeme zu helfen, veröffentlicht die ANSSI u.a. einen Leitfaden, der Unterstützung bei der Konzipierung sicherer Architekturen bietet.
Sie empfiehlt insbesondere die Einrichtung einer „Protokollunterbrechung“ im Rahmen der Notwendigkeit der Rückverfolgung, und dies in erster Linie durch die Verwendung von Lösungen in der Art von „Administration Bastions“.
Die „Sicherheitsvisa“
Mit den Sicherheitsvisa identifiziert die ANSSI verlässliche, anerkannte Sicherheitslösungen. Die Bewertung erfolgt aufgrund stringenter und erprobter Methoden wie etwa bei Produktbewertungen durch unabhängige Labors. Mittels Eindringtests und gründlicher Analyse wird die Konformität dieser Lösungen mit den entsprechenden Anforderungsstandards überprüft. Ein „Sicherheitsvisum“ führt – je nach Kontext und Bedarf – zu einer Zertifizierung oder Qualifizierung.
Für die Nutzer bedeuten die Sicherheitsvisa einen Nachweis der Sicherheit.