Teil IIIT-Verfahren

5Dokumentation von IT-Verfahren

 

5.1IT-Verfahrensdatenbank

Für die Dokumentation von IT-Verfahren muss die von der Freien Universität zentral bereitgestellte IT-Verfahrensdatenbank genutzt werden. Wesentliche Änderungen eines IT-Verfahrens sind spätestens nach drei Monaten in die Datenbank einzupflegen.

Sollte ein IT-Verfahren unverändert geblieben sein, ist dies jährlich zum Stichtag 31. März auch in der Datenbank zu vermerken. Alle größeren Änderungen an einem IT-Verfahren, die zum Beispiel den Datenschutz berühren oder das Betriebsrisiko verändern, müssen vor der Umsetzung durch eine Änderungsmeldung dem IT-Sicherheitsbeauftragten der Freien Universität Berlin zur Kenntnis gegeben werden. Dort wird die weitere Vorgehensweise mit der/dem Verfahrensverantwortlichen abgestimmt.
 

 

 

 

5.2Struktur der IT-Verfahrensdokumentation

Die Dokumentation eines IT-Verfahrens ist einheitlich strukturiert. Eine Reihe von Komponen-ten finden sich in nahezu allen IT-Verfahren wieder. Die strukturierte Betrachtung von IT-Verfahren ermöglicht eine ebenso strukturierte Dokumentationsweise, indem die Komponenten der Reihe nach bearbeitet werden. Die folgende Grafik soll die Struktur eines IT-Verfahrens mit den typischen Komponenten veranschaulichen.

Abbildung 1Vereinfachte Darstellung der typischen Komponenten eines IT-Verfahrens

5.3Beziehungen zwischen Komponenten der IT-Verfahrensdokumentation

Die modulare Struktur erlaubt eine Vereinfachung der Verknüpfungsmöglichkeiten durch die Komponenten aus verschiedenen IT-Verfahren. Beispielsweise kann die Nutzung eines vom Hochschulrechenzentrum angebotenen Dienstes dadurch dokumentiert werden, indem auf die Komponente verwiesen wird, die in der Verfahrensdokumentation der ZEDAT den Dienst beschreibt.

Abbildung 2Beispiel: Ein IT-Verfahren in einem Fachbereich nutzt einen Dienst der Zedat

5.4Rollen innerhalb eines IT-Verfahrens

Eine Rolle ist eine Bündelung von Kompetenzen, die zur Bearbeitung von Aufgaben innerhalb eines IT-gestützten Geschäftsprozesses benötigt werden. Sie beschreibt, für welche Aufgaben man mit welchen Rechten auf welche Ressourcen zugreift. Die Rollenverteilung innerhalb eines IT-Verfahrens / Geschäfts-prozesses orientiert sich an folgendem Rollenmodell:

Rolle Funktion Anmerkungen
Verfahrensverantwortliche/r
 Verantwortlich für
  • die Einführung und den Betrieb
  • die technische Durchführung bzw. die Erstellung eines Dienstes
  • die korrekte Umsetzung der für das IT-Verfahren relevanten Vorgaben
  • alle IT-Aufgaben, die im Rahmen des Ver-fahrens anfallen
  • die technische Umsetzung des Datenschut-zes und der Informationssicherheit
  • die Erstellung der Verfahrensdokumentation

 

  • obligatorisch für jedes IT-Verfahren
  • es kann nur einen Verfahrensverantwortlichen geben
  • der Verfahrensverantwortliche muss in der Organisations-struktur so verankert sein, dass er über die notwendigen Befugnisse verfügt
Systemadministrator/in
  • installiert, konfiguriert und betreibt IT-Systeme
  • verantwortlich für den ordnungsgemäßen Betrieb der IT-Systeme
  • zuständig für die Einhaltung des Betriebs- und Datensicherungskonzepts
 obligatorisch für einen ordnungsgemäßen Betrieb
Applikationsbetreuer/in
  • Parametrisierung und Konfiguration der An-wendungssoftware
  • Verwaltung von festgelegten Benutzerrechten
  • administrative Betreuung aus fachlicher Sicht
 in der Regel notwendig für einen ordnungsgemäßen Betrieb
Key-User/in
  • Key-User verfügen über besonders gute Anwendungskenntnisse, die sie an die Anwender weitergeben (Multiplikatoren)
  • erste Ansprechstelle für Anwender
 können bei komplexeren Systemen mit vielen Anwendern sinnvoll sein
Anwender/in
  • Nutzer des IT-Verfahrens
  

Tabelle 2Übersicht der Rollen

Die konkrete personelle Zuordnung einer Rolle ist abhängig von dem betreffenden IT-Verfahren. Bei großen und komplexen IT-Verfahren kann eine Rolle auch auf mehrere Personen verteilt sein. Anderseits können bei kleinen IT-Verfahren mehrere Rollen von einer Person wahrgenommen werden. Nicht alle dargestellten Rollen sind in einem konkretem IT-Verfahren zwingend erforderlich. Obligatorisch für jedes IT-Verfahren ist die Rolle des Verfahrensverantwortlichen; sie muss von einer einzigen natürlichen Person wahrgenommen werden.

Das Zusammenwirken der verschiedenen Rollen soll in der folgenden Grafik veranschaulicht werden.

Abbildung 3Zusammenwirken der Rollen

5.5IT-Verfahren mit kurzer Betriebsdauer

Für den Betrieb von IT-Systemen in Forschungsprojekten und für IT-Systeme mit kurzer Betriebsdauer (weniger als 12 Monate) entfällt die Pflicht zur ausführlichen Verfahrensbeschreibung, sofern dem keine gesetzlichen Bestimmungen entgegenstehen. (Bei der Verarbeitung personenbezogener Daten müssen beispielsweise die Dokumentationspflichten der Datenschutz-Grundverordnung erfüllt werden.) In jedem Fall ist eine Kurzdokumentation gemäß Abschnitt 5.1 anzulegen und der Betrieb dem IT-Sicherheitsbeauftragten der Freien Universität Berlin anzuzeigen und die Sicherheit der betroffenen Systeme sowie der zugrundeliegenden Infrastruktur zu gewährleisten.

Ein IT-Verfahren besteht aus einem oder mehreren Geschäftsprozessen, die ein gemeinsames Ziel verfolgen. Die Differenzierung eines IT-Verfahrens in mehrere Geschäftsprozesse ermöglicht, dass auch relativ komplexe IT-Verfahren angemessen behandelt und beschrieben werden können. Idealerweise sollten Geschäftsprozesse so abgegrenzt sein, dass andere IT-Verfahren darauf Bezug nehmen können.

  • Beispiel für ein IT-Verfahren mit nur einem Geschäftsprozess: Betrieb eines PC-Pools
    Der Betrieb eines PC-Pools beinhaltet typischerweise nur einige wenige Tätigkei-ten, die alle der Bereitstellung von Computerarbeitsplätzen dienen.
  • Beispiel für ein IT-Verfahren mit mehreren Geschäftsprozessen: Campus Management
    Das Campus-Management-System umfasst eine Vielzahl von zusammenhängen-den Prozessen der Freien Universität. Unterschiedlicher Schutzbedarf der Daten, verschiedene Datengruppen sowie verschiedene Dateneigentümer legen eine Differenzierung in mehrere Geschäftsprozesse nahe.

AG IT-Sicherheit

IT-Sicherheitsrichtlinie - Teil II IT-Verfahren

  1. Verzeichnis der Grundschutzmassnahmen
  2. Präambel
  3. Kurzbeschreibung
  4. Teil IAllgemeines
  5. 1Geltungsbereich
  6. 2Leitlinienfunktion für andere Dokumente
  7. 3Verantwortlichkeiten und Organisation der IT-Sicherheit
  8. 4Grundbegriffe
  9. Teil IIIT-Verfahren
  10. 5Dokumentation von IT-Verfahren
    1. 5.1IT-Verfahrensdatenbank
    2. 5.2Struktur der IT-Verfahrensdokumentation
    3. 5.3Beziehungen zwischen Komponenten der IT-Verfahrensdokumentation
    4. 5.4Rollen innerhalb eines IT-Verfahrens
    5. 5.5IT-Verfahren mit kurzer Betriebsdauer
  11. 6Schutzbedarfsanalyse
    1. 6.1Vorgehensweise
    2. 6.2Bewertungstabellen
      1. 6.2.1Verlust von Vertraulichkeit
      2. 6.2.2Verletzung von Integrität
      3. 6.2.3Beeinträchtigung von Verfügbarkeit
      4. 6.2.4Verstoß gegen Gesetze, Vorschriften und Verträge
  12. 7Risikoanalyse
    1. 7.1Begriffsdefinitionen
    2. 7.2Vorgehensweise
    3. 7.3Beispiel
  13. Teil IIIRegeln
  14. 8Maßnahmen des IT-Grundschutzes
    1. 8.1Allgemeines
    2. 8.2Organisation von IT
    3. 8.3IT-Personal
    4. 8.4Sicherung der Infrastruktur
    5. 8.5Hard- und Softwareeinsatz
    6. 8.6Einsatz von mobilen Geräten
    7. 8.7Zugriffsschutz
    8. 8.8Protokollierung
    9. 8.9System- und Netzwerkmanagement
    10. 8.10Datensicherung
    11. 8.11Datenträgerkontrolle
    12. 8.12Verschiedenes
  15. Teil IVAusführungsbestimmungen
  16. 9Inkraftsetzen und Aktualisierung der IT-Sicherheitsrichtlinie
  17. 10Konfliktlösung bei der Umsetzung der IT-Sicherheitsrichtlinie
  18. Anhang
  19. 11Abbildungsverzeichnis
  20. 12Tabellenverzeichnis
  21. 13Glossar
  22. 14Literaturverzeichnis
Wichtiges Merkmal eines IT-Verfahrens ist der längerfristige Charakter der erfassten IT-gestützten Arbeitsabläufe. Ein IT-Verfahren ist so zu strukturieren, dass es weder zu kleinteilig noch zu umfassend ist. Der Geschäftsprozess bildet bei der Erfassung des IT-Einsatzes die Grundlage und ist als Abfolge von zusammenhängenden IT-gestützten oder IT-unterstützenden Tätigkeiten definiert. Als Anhaltspunkt für eine Zusammenfassung oder eine Trennung können u. a. folgende Kriterien dienen:
  1. Zweck des IT-Verfahrens, Zielsetzung, Begründung, Beschreibung der Arbeitsabläufe und Angaben über die gesetzliche Grundlage
  2. Schutzbedarfsanalyse (siehe Abschnitt 6 dieser Richtlinie)
  3. Risikoanalyse in Abhängigkeit vom Ergebnis der Schutzbedarfsanalyse (siehe Abschnitt 7 dieser Richtlinie)
  4. Beschreibung des Berechtigungskonzepts und der Rollen
  5. Angaben über die Anzahl und Art von technischen Einrichtungen und Geräten (IT-System)
  6. Beschreibung der Schnittstellen zu anderen IT-Verfahren, IT-Systemen und sonstigen Diensten
  7. Angaben über die an IT-Verfahren beteiligten Einrichtungen und Bereiche
  8. Angaben zum Standort von Anlagen und Geräten, die wesentliche Funktionen innerhalb des IT-Verfahrens erfüllen, soweit dies möglich ist. Bei nicht eindeutig lokalisierbaren Anlagen und Geräten, z.B. bei Nutzung von Cloud-Diensten, müssen Angaben zum Dienstanbieter und zur Form der Zusammenarbeit erfolgen.
  9. Betriebshandbuch mit allen für den Betrieb notwendigen Angaben über die im IT-Verfahren erfassten Systeme und zum Betreuungskonzept. Insbesondere sind Regelungen zum Wiederanlauf von IT-Systemen und zur Wiederherstellung von Daten vorzusehen. Der Ablageort des Betriebshandbuchs muss in der Verfahrensdokumentation angegeben werden.
  10. Angaben zur Notfallvorsorge (Notfallplan), die beschreiben, wie in einer Notfallsituation adäquat reagiert werden muss. Insbesondere muss ein Alarmierungsplan erstellt werden, in dem die Melde-wege und die Kontaktdaten der beteiligten Stellen und Personen beschrieben sind, die im Notfall informiert werden müssen. Darüber hinaus sollten Angaben und Regelungen zu Verantwortlichkeiten und Angaben zum Zugriff auf das Betriebshandbuch enthalten sein.
  11. Soweit personenbezogene Daten verarbeitet werden, müssen die Anforderungen der geltenden Datenschutzvorschriften beachtet werden. Dazu zählen insbesondere Angaben zu folgenden Sachverhalten:
    • Löschung der Daten
    • Sperrung der Daten (soweit zutreffend)
    • Archivierung der Daten (soweit zutreffend)
    • Weitergabe von Daten (soweit zutreffend)
    • Art und Weise, wie die betroffenen Personen über die Verarbeitung ihrer Daten informiert werden; einschließlich Informationstext
    • Art und Weise, wie ein Auskunftsersuchen einer betroffenen Person bearbeitet wird
    • Art und Weise, wie die betroffenen Personen bei der Erhebung ihrer Daten informiert werden; einschließlich Informationstext
Für den Betrieb von IT-Systemen in Forschungsprojekten und für IT-Systeme mit kurzer Betriebsdauer (weniger als sechs Monate) entfällt die Pflicht zur ausführlichen Verfahrensbeschreibung, sofern dem keine gesetzlichen Bestimmungen entgegenstehen. In jedem Fall ist der Betrieb anzuzeigen und die Sicherheit der betroffenen Systeme sowie der zugrundeliegenden Infrastruktur zu gewährleisten.
Trennkriterien Zusammenfassungskriterien
  • unterschiedlicher Schutzbedarf
  • verschiedene Datenkategorien
  • verschiedene "Datenbesitzer"
  • Zusammenhängende Aufgaben
  • Praktikabilität
  • Arbeitsersparnis

Tabelle 1Strukturierungskriterien für IT-Verfahren und Geschäftsprozesse

 

Seite zuletzt geändert: 16.05.2022 16:46

Betreff:

Seite: 8

Teil II IT-Verfahren

Seite: 8a

Betreff:

 

Seite: 8b

Teil II IT-Verfahren

Betreff:

 

Seite: 8c

Teil II IT-Verfahren

Betreff:

 

Seite: 8d

Teil II IT-Verfahren

Betreff:
Inhalt und Umfang einer IT-Verfahrensdokumentation sind abhängig von der Art der im IT-Verfahren erfassten Geschäftsprozesse, der eingesetzten IT-Systeme und der Art der zu verarbeitenden Daten. Zu den unverzichtbaren Bestandteilen einer IT-Verfahrensdokumentation gehören:
8/24