Vorgehensweise bei der Anwendung BSI TR 03138 RESISCAN

  1. Strukturanalyse
  2. Schutzbedarfsanalyse
  3. Sicherheitsmaßnahmen

Bei der Strukturanalyse muss der Anwender der TR eine Strukturanalyse für seinen Scansystem durchführen.

Bei der Schutzbedarfsanalyse muss der Anwender dieser technischen Richtlinie für seine konkreten zu verarbeitenden Dokumente eine Schutzbedarfsanalyse erstellen.
Die drei Kategorien hierfür sind normal, hoch und sehr hoch.

Aus den Sicherheitsmaßnahmen ergibt es sich, welche Module und Aufbaumodule benötigt werden und welche Sicherheitsmaßnahmen aus dem modularen Maßnahmenkatalog für das Erreichen des Schutzniveaus notwendig sind.

GetEnDo GmbH das papierlose Büro

Grundsätzliche Anforderungen für das ersetzende Scannen

Um den Schutzbedarfsanforderungen bezüglich Integrität, Verfügbarkeit oder Vertraulichkeit gerecht werden zu können sind zusätzlich entsprechende Aufbaumodule vorgesehen. Neben generellen Maßnahmen, die grundsätzlich umzusetzen sind, wie Dokumente mit erhöhtem Schutzbedarf verarbeitet werden, existieren spezifische Maßnahmen für die Verarbeitung von Dokumenten mit Schutzbedarf hoch bzw. sehr hoch bezüglich Integrität, Verfügbarkeit und Vertraulichkeit.

Auf Grundlage unserer Einschätzung wäre das Basismodul dieser TR Richtlinie weitestgehend ausreichend wobei tendenziell einige Passagen mit zu verwenden sind, die in der Schutzbedarfsanalyse hoch gekennzeichnet sind.

Im Basismodul sind grundlegende Anforderungen aufgeführt.

  1. Um einen geordneten Ablauf beim ersetzenden Scannen zu ermöglichen muss eine Verfahrensdokumentation existieren. Diese Verfahrensdokumentation muss wesentliche Aspekte umfassen, wie die Art der zu verarbeitenden Dokumente, die Festlegung von Maßnahmen zur Qualifizierung, die Beschreibung der den Schutzbedarf entsprechenden Anforderungen, Regelung an die Administration und Wartung und bei Bedarf die Festlegung von geeigneten Sicherheitsmaßnahmen für IT-Systeme. Die Verfahrensdokumentation umfasst insbesondere eine Verfahrensanweisung, die sich an die in dem Scanprozesses eingebundenen Personen richtet.
  2. Es muss eine sorgfältig begründete Sicherheitsbedarfsanalyse hinsichtlich der verschiedenen Grundwerte der IT-Sicherheit (Integrität, Verfügbarkeit, Vertraulichkeit) durchgeführt werden, um die Schutzbedarfsklasse normal, hoch oder sehr hoch zu bestimmen.
  3. Um die Ordnungsmäßigkeit der Abläufe beim ersetzenden Scannen sicherzustellen sind die Verantwortlichen, Abläufe und Aufgaben im Scanprozess fest zulegen. Aufgrund der Vielzahl von Abläufen und Aufgaben wird hier auf Punkt A.O.l. der TR Seite 14 verwiesen.
  4. Bei den Regelungen für Wartungs- und Reparaturarbeiten sollen die Regelungen für die Wartung und die Reparatur der für den Scanvorgang eingesetzten IT-Systeme getroffen werden.
  5. Um eine unbemerkte Manipulation der zum Scannen verwendete IT-Systeme und Anwendungen zu verhindern und die Ordnungsmäßigkeit der Systeme zu dokumentieren muss ein geregeltes Verfahren für die Abnahme und Freigabe der eingesetzten Hardware und Software etabliert werden.
  6. In angemessenen zeitlichen Abständen soll eine Überprüfung der Wirksamkeit und Vollständigkeit der für die Informationssicherheit an Ersetzenden Scannen vorgesehen Maßnahmen durchgeführt werden.
  7. Sofern der Scanprozess komplett oder teilweise von spezialisierten Scandienstleistern durchgeführt wird sind die ihm vorliegenden Anforderungskataloge vorgesehen Maßnahmen entsprechend umzusetzen.
  8. Bei den personellen Maßnahmen sind insbesondere folgende personelle Maßnahmen vorgesehen: a. Sensibilisierung der Mitarbeiter b. Verpflichtung der Mitarbeiter auf Einhaltung einschlägiger Gesetze c. Einweisung zur ordnungsmäßigen Bedienung des Scansystems d. Schulung zur Sicherheitsmaßnahmen im Scanprozess und Schulung des Wartungsund Administrationspersonals.
  9. Bei den Sicherungsmaßnahmen, bei der Dokumentenvorbereitung sollten zuverlässige und vollständige Erfassung der Papierdokumente gewährleistet sein. Papierdokumente sorgfältig vorbereitet werden. Diese Vorbereitung sollte im Regelfall vom Auftraggeber erfolgen.
  10. Es müssen geeignete Maßnahmen der Sicherstellung der Vollständigkeit getroffen werden. Damit diese Vollständigkeitsprüfung im Rahmen der Nachbearbeitung durchgeführt werden kann, sollen bei Bedarf entsprechende Vorbereitungen getroffen werden. Dies kann beispielsweise die Ermittlung der Anzahl der zu erfassenden Seiten umfassen.
  11. Damit eine spätere Zuordnung der Scanprodukte zu einem Geschäftsvorgang möglich ist, sollen Index und Metadaten in geeigneter Weise übergeben werden.
  12. Für eine zuverlässige Betriebsführung und die Sicherstellung der Nachvollziehbarkeit des Scanprozesses soll eine geeignete und in der Verfahrensanweisung näher geregelte Protokollierung erfolgen, die insbesondere wesentliche Punkte umfassen: a.) Die Änderung von kritischen Konfigurationsparametern b.) Die Information, wer das Scansystem, wann und in welcher Weise genutzt hat c.) Die Information, ob eine manuelle Nachbearbeitung des Scanproduktes stattgefunden hat und ob fehlgeschlagene Authentifizierungsvorgänge oder sonstige auftretende Fehler protokolliert worden sind.
  13. Diese Protokolldaten müssen den geltenden und Datenschutzrechtlichen Bestimmungen verarbeitet und insbesondere vor unautorisierten Zugriff geschützt werden.
  14. Um mangelhafte Scanvorgänge (z.B. fehlende Seiten, mangelnde Lesbarkeit, fehlender Dokumentenzusammenhang, beschädigte Dateien) zu vermeiden, muss eine geeignete Qualitätskontrolle und bei Bedarf eine erneute Verfassung und eine Anpassung der Scaneinstellung erfolgen.
  15. Für jedes Scanprodukt soll ein zugehöriger Transfervermerk erstellt werden der insbesondere folgende Aspekte dokumentiert: a.) Ersteller des Scanproduktes, b.) Technisches und organisatorisches Umfeld des Erfassungsvorganges, c.) Etwaige Ausfällungen des Scanprozesses, d.) Zeitpunkt der Erfassung, e.) Ergebnis der Qualität, f.) Sicherung, g.) Die Tatsache, dass es sich um ein Scanprodukt handelt das bildlich und inhaltlich mit dem Papierdokument übereinstimmt.

Der Transfervermerk bzw. die äquivalente Information muss mit dem Scanprodukt logisch verknüpft oder in das Scanprodukt integriert werden. Die Integrität des Transfervermerkes muss entsprechend dem Schutzbedarf der verarbeitenden Dokumente geschützt werden.

Jetzt weitere Informationen zu unseren Dienstleistungen anfordern. Rufen Sie uns an 02133 228 303-0 oder schicken Sie uns direkt eine Nachricht über unser Kontaktformular

 

Referenzen

Sie interessieren sich für weitere Projekte? Hier gelangen Sie auf eine neue Seite.

Ich möchte mehr sehen...
Email

Sie würden gerne Kontakt zu uns auf aufnehmen?

Zum Kontaktformular...
Karriere

Bewerben Sie sich und treten einem besonderen und effizienten Team bei.

Ich bin interessiert...