Ziel: Gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welcher Stelle eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.
Grundsätze:
- Sicherheitsrelevante systembezogene Ereignisse und Zugänge zum System werden protokolliert (Systemlog) und die Loginformationen für 90 Tage vorgehalten. Eine darüber hinausgehende benutzerbezogene Protokollierung von Aktivitäten findet nicht statt.
- Die Auswertung der Loginformationen erfolgt anlassbezogen unter Berücksichtigung rechtlicher Vorgaben.
- Loginformationen werden über das reguläre Backup Verfahren gesichert. Ein Wiederherstellen der Loginformationen erfolgt ausschließlich über das etablierte Change-Verfahren.
- Als Basis für die eingesetzten Verschlüsselungstechnologien werden bewährte und anerkannte Standardverfahren und vorgeschlagene Mindestlängen der Schlüssel verwendet.
- Die Anwendung muss eine Veränderung der Schlüssellänge berücksichtigen können.
- Auf mobilen Datenträgern dürfen vertrauliche Daten ausschließlich verschlüsselt abgelegt werden.
Maßnahmen:
- Versand von Datenträgern erfolgt in versiegelten Transportbehältern
- Gesicherte bzw. verschlüsselte Übertragungswege
- Protokollierung durch aktive Netzkomponenten und im Bedarfsfall Auswertung durch das Netzzentrum
- Kontrollierte Vernichtung von Datenträgern
- Verschlüsselungsverfahren nach Stand der Technik