Ersetzendes Scannen – sicher, wirtschaftlich, pragmatisch

Wichtige Antworten zur TR-Resiscan

| Autor / Redakteur: Steffen Schwalm & Alexander Dörner / Susanne Ehneß

Definierte Maßnahmen

Ersetzendes Scannen reduziert Aktenberge
Ersetzendes Scannen reduziert Aktenberge (Bild: mickyso_Fotolia.com)

Die konzeptionellen Vorarbeiten zur Einführung des ersetzenden Scannens beginnen mit einer vereinfachten Strukturanalyse. Dabei wird der Scanprozess entsprechend dem individuellen Lösungsansatz definiert. Dieser unterscheidet sich hinsichtlich Scanzeitpunkt (vor, während, nach der Bearbeitung) sowie des Betreibermodells (Inhouse, Outtasking, Outsourcing) und umfasst in der Regel folgende Phasen:

  • Dokumentvorbereitung,
  • Scannen,
  • Nachverarbeitung,
  • Integritätssicherung.

Damit unterscheidet sich die TR nicht vom normalen Scanprozess, auch wenn keine Vernichtung der Originale erfolgt. Die Strukturanalyse betrachtet dabei sowohl die eingesetzten Komponenten als auch die vorhandenen Kommunikationsverbindungen. Daneben werden die im Scanprozess relevanten Datenobjekte identifiziert. Hierzu gehören vor allem die zu scannenden Papieroriginale, die möglicherweise in weitere Kategorien (zum Beispiel Rechnung, Leistungsbescheid, Vertrag) geclustert werden können sowie das Scanprodukt.

Daneben sind weitere ­Datenobjekte, wie zum Beispiel Index- und Metadaten, der Transfervermerk, Sicherungsdaten (dienen Schutz der Integrität und Authentizität anderer Datenobjekte, zum Beispiel Signaturen, Zeitstempel) und Protokolldaten zu berücksichtigen.

Hierauf aufbauend erfolgt die Schutzbedarfsanalyse gemäß der IT-Grundschutz-Methodik des BSI, die für Mitarbeiter mit IT-Sicherheitserfahrungen sehr einfach umsetzbar ist. Da in BSI TR-Resiscan-A gezeigt wurde, dass sich der Schutzbedarf aller Datenobjekte aus dem Schutzbedarf des originären Papierdokumentes ableitet und für die weitere Anwendung der TR-Resiscan die Betrachtung der Grundwerte ausreichend ist, genügt es, den Schutzbedarf der verarbeiteten Papierdokumente gemäß der Grundwerte Integrität, Vertraulichkeit und Verfügbarkeit zu bestimmen.

Durch die generischen Vorarbeiten im Rahmen der Entwicklung der TR-Resiscan kann also insbesondere auf die differenzierte Schutzbedarfsanalyse und die typischerweise aufwändige individuelle Bedrohungs- und Risikoanalyse verzichtet werden. Vielmehr steht nach der Bestimmung des Schutzbedarfs fest, welche Sicherheitsmaßnahmen aus dem modularen Anforderungskatalog umgesetzt werden müssen.

Ergänzendes zum Thema
 
Wer wendet ersetzendes Scannen nach TR-Resiscan ­bereits an?

Die in der TR-03138 definierten Basismaßnahmen sind grundlegend geeignet zum Scannen personenbezogener Daten, ebenso ­erzielen sie grundsätzlich eine Gerichtsfestigkeit der Unterlagen. Häufig ist es jedoch notwendig, die zusätzlichen Maßnahmen mitzubetrachten, was die aktuellen Urteile des VG Wiesbadens dokumentieren. Neben der so genannten fachlichen Schutzbedarfsanalyse muss eine Verfahrensdokumentation und -anweisung angefertigt werden. Diese umfasst

  • Art der verarbeiten Dokumente,
  • Festlegung nicht verarbeitbarer Dokumente,
  • Rollen & Verantwortlichkeiten,
  • Abläufe, Aufgaben im Scanprozess,
  • Anforderungen an Mitarbeiter hinsichtlich Qualifikation, Kompetenz, Maßnahmen zur Qualifizierung,
  • Organisatorische und technische Anforderungen an die relevanten Räume, IT-Systeme, Anwendungen und Sicherungsmittel,
  • Regelungen für Administration und Wartung der IT-Systeme und Anwendungen,
  • Festlegung von Sicherungsanforderungen an IT-Systeme, Netze und Anwendungen.

Bitte lesen Sie auf der nächsten Seite weiter.

Kommentar zu diesem Artikel abgeben
Wozu der Aufwand ? Ich bin in einem Ministerium zuständig für den Betrieb und die...  lesen
posted am 17.10.2015 um 14:43 von Unregistriert

Resiscan, QES, TR-ESOR, eIDAS ... aktuell gibt es bei uns im Blog zwei sehr interessante...  lesen
posted am 14.10.2015 um 16:51 von Unregistriert

Kommentare zur #ResiScan: Ulrich Kampffmeyer Schon wieder die Resi... http://bit.ly/RESI-Scan ...  lesen
posted am 08.10.2015 um 13:17 von Unregistriert


Mitdiskutieren
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 43636096 / Standards & Technologie)