Richtlinie zur Sicherheit und Zugriffskontrolle für personenbezogene Daten

Die Richtlinie zur Sicherheit und Zugriffskontrolle für personenbezogene Daten definiert die spezifischen Anforderungen der Organisation zum Schutz personenbezogener Daten über Systeme, Anwendungen, Services, Geräte, Cloud-Umgebungen und Betriebsprozesse hinweg. Sie gilt, wenn personenbezogene Daten gespeichert, übertragen, verarbeitet, abgerufen, administriert oder geschützt werden, und deckt Kontexte als Verantwortlicher, gemeinsam Verantwortlicher, Auftragsverarbeiter und Unterauftragsverarbeiter ab. Die Richtlinie ist ausdrücklich darauf ausgelegt, bestehende Praktiken der Informationssicherheit zu integrieren, anstatt ein vollständiges Informationssicherheits-Managementsystem, eine Netzwerksicherheitsrichtlinie, eine Richtlinie für sichere Softwareentwicklung, eine Backup-Richtlinie, eine Endpoint-Richtlinie, eine Cloud-Sicherheitsrichtlinie, einen kryptografischen Standard, ein Verfahren zum Schwachstellenmanagement oder ein Incident-Response-Verfahren zu ersetzen. Ihr zentraler Zweck besteht darin, sicherzustellen, dass personenbezogene Daten während der gesamten Verarbeitung durch geeignete, risikoorientierte und auditierbare Sicherheits- und Zugriffskontrollen geschützt werden. Zur Unterstützung dieses Zwecks legt die Richtlinie eine Sicherheitsbasislinie für personenbezogene Daten fest und verlangt nachvollziehbare Nachweise über REG02, REG08, REG10 und REG12. Dieses Nachweismodell ist für die Richtlinie zentral: Betriebsprotokolle, Ergebnisse von Sicherheitswerkzeugen, Exporte aus Berechtigungsüberprüfungen, Schwachstellenberichte und Konfigurationsnachweise können den kanonischen Nachweisobjekten angehängt, darin zusammengefasst oder darin referenziert werden, werden jedoch nicht als separate PIMS-Register behandelt. Dadurch kann die Organisation nachweisen, dass Kontrollen geplant, umgesetzt, überprüft, überwacht und verbessert werden, ohne Sicherheitsaufzeichnungen zu duplizieren. Die Richtlinie legt detaillierte Anforderungen an Zugriffskontrolle, Authentifizierung und Privileged Access Management fest. Der Zugriff auf personenbezogene Daten muss auf genehmigte Rollen und autorisierte Benutzer beschränkt sein, die in REG02 oder REG12 erfasst oder nachvollziehbar sind, und der geschäftliche Zweck muss genehmigt werden, bevor der Zugriff bereitgestellt wird. Systeme mit personenbezogenen Daten hoher Tragweite oder sensiblen personenbezogenen Daten erfordern mindestens vierteljährliche Benutzerzugriffsüberprüfungen, während andere Systeme mit personenbezogenen Daten mindestens jährlich überprüft werden müssen. Der Zugriff muss innerhalb eines Geschäftstages nach Rollenänderung, Beendigung, Vertragsabschluss oder wenn der Zugriff nicht mehr erforderlich ist, entfernt oder angepasst werden. Privilegierter Zugriff erfordert vor der Gewährung eine dokumentierte Begründung, einen dokumentierten Geltungsbereich und eine Genehmigung, mit monatlicher Überprüfung für Systeme mit personenbezogenen Daten hoher Tragweite oder sensiblen personenbezogenen Daten und vierteljährlicher Überprüfung für andere Systeme mit personenbezogenen Daten. Die Richtlinie adressiert außerdem technische Sicherheitserwartungen an Authentifizierung, Verschlüsselung, sichere Speicherung, Protokollierung, Überwachung, Konfiguration, Schwachstellenmanagement, Endpoint-Zugriff und Cloud-Zugriff. Eindeutige Benutzeridentitäten sind für Konten mit Zugriff auf personenbezogene Daten erforderlich, und starke Authentifizierung ist für privilegierten, Remote-, administrativen oder hochwirksamen Zugriff auf personenbezogene Daten erforderlich. Verschlüsselung oder genehmigte kompensierende Kontrollen müssen definiert sein, bevor personenbezogene Daten hoher Tragweite, sensible oder extern übertragene personenbezogene Daten gespeichert, übertragen oder zugänglich gemacht werden. Der Protokollierungsumfang muss Authentifizierungsereignisse, Zugriffsereignisse, privilegierte Handlungen, Exportaktivitäten personenbezogener Daten und wesentliche Konfigurationsänderungen abdecken. Konfigurationsstatus und Schwachstellenabdeckung müssen in REG12 erfasst werden; ungelöste Schwachstellen mit hohem Risiko, die personenbezogene Daten betreffen, müssen innerhalb von fünf Geschäftstagen nach Validierung erfasst werden. Governance-Verantwortlichkeiten werden der obersten Leitung, dem Privacy Lead / PIMS-Manager, dem Datenschutzbeauftragten / Datenschutzberater, dem Leiter der Informationssicherheit, dem Prozessverantwortlichen / Geschäftsinhaber, dem Systemverantwortlichen / Anwendungsverantwortlichen, dem Lieferanten- / Beschaffungsverantwortlichen, dem Incident-Response-Koordinator und dem Prüfer für internes Audit / Einhaltung zugewiesen. Die Richtlinie verlangt vierteljährliche Überprüfungen der Nachweisvollständigkeit über REG02, REG08, REG10 und REG12 hinweg, vierteljährliche Überprüfungen der Wirksamkeit der Basislinie und ungelöster Lücken sowie Audit-Stichproben zu Berechtigungsüberprüfung, Überprüfungen privilegierten Zugriffs, Protokollierungsnachweisen und Konfigurationsnachweisen. Ausnahmen müssen vor Aktivierung erfasst werden, ein Ablaufdatum, eine kompensierende Kontrolle und ein Überprüfungsdatum enthalten und die Genehmigung der obersten Leitung erhalten, wenn sie personenbezogene Daten hoher Tragweite, sensible personenbezogene Daten, privilegierten Zugriff, Verschlüsselung, Protokollierung oder ungelöste Schwachstellen mit hohem Risiko betreffen.