Merkblatt IT-Sicherheit Informations- und Informatiksicherheit in der kantonalen Verwaltung

Transkript

1 Merkblatt IT-Sicherheit Marginaltitel Textabsatz Informations- und Informatiksicherheit in der kantonalen Verwaltung

2 Vorwort Geschätzte Mitarbeiterin, geschätzter Mitarbeiter Wir alle nutzen täglich mehrfach PC, Notebook und andere Informations- und Kommunikationsmittel. Der umfassende Einsatz dieser Informationsmittel birgt jedoch auch Gefahren (Virenbefall, Daten- und Informationsabfluss, Diebstahl usw.). Trotz technischer und organisatorischer Sicherheitsmassnahmen wie zum Beispiel Zugriffs- und Virenschutz oder regelmässiger Software-Updates von Betriebs- und Virenschutzsoftwares sind das Sicherheitsbewusstsein und das verantwortungsvolle Verhalten der Mitarbeitenden die wichtigste Grundlage für die Gewährleistung der Informations- und Informatiksicherheit. Sie, liebe Mitarbeitende auf allen Stufen, sind gefordert, unsere Werte (Informationen, Prozesse, Material usw.) so zu schützen, dass diese zur rechten Zeit, in der geforderten Qualität und Quantität am richtigen Ort den Berechtigten zur Verfügung stehen. Wir alle tragen Verantwortung. Sie schützen damit sich und Ihre Arbeit, aber auch die Sicherheit der Informationen und Anwendungen in der kantonalen Verwaltung als Ganzes. Sie und ich, wir alle, tragen zur Informations- und Informatiksicherheit bei. Helfen Sie mit, unsere Daten, Informationen und Werte zu schützen. Martin Matter Leiter Abteilung Informatik Aargau Informatik Aargau, Informatik-Sicherheitsbeauftragter, Januar

3 Inhaltsverzeichnis Vorwort 3 Inhaltsverzeichnis 5 1. Sicherheit heisst Werte schützen 7 2. Vorsichtsmassnahmen am Arbeitsplatz 9 3. Sicher mobil unterwegs Schützen Sie sich vor Social Engineering Zutritt und Zugriff Daten sicher verwalten Vertraulichkeit von Informationen Sichere Nutzung des Internets Sicherer Umgang mit s 23 Informatik Aargau, Informatik-Sicherheitsbeauftragter, Januar

4 1. Sicherheit heisst Werte schützen Die 4 Säulen der Informationssicherheit Die Informations- und Informatiksicherheit stützt sich auf folgende Elemente: Vertraulichkeit Verfügbarkeit Integrität Nachvollziehbarkeit Informationen sind geschützt und nur Berechtigten zugänglich. Informationen sind für die Aufgabenerfüllung vorhanden. Informationen sind vollständig, unverfälscht und korrekt. Der Ursprung ist nachgewiesen. Der Nachweis von Bearbeitung, Versand oder Empfang ist gegeben. Informieren Sie Ihren Vorgesetzten oder den Informatik-Sicherheitsbeauftragten (CISO) umgehend, wenn Sie Sicherheitsmängel in diesen Bereichen feststellen. Gültigkeit Dieses Merkblatt gilt für alle Mitarbeitenden der kantonalen Verwaltung sowie für Auftragnehmer, die für den Kanton Dienstleistungen erbringen. Es wird periodisch angepasst (in Bezug auf Sicherheitsbedrohungen, technische Anforderungen, Vorgaben der Verwaltung usw.). Für definierte Bereiche oder Funktionen (Projektleitende, Mitarbeitende der Strafverfolgung, Systemadministratoren usw.) können die Departemente, die Justizbehörden und die Staatskanzlei zum erhöhten Schutz weitergehende Sicherheitsvorgaben erlassen. Ihre Führungsperson informiert Sie über die geltenden Vorgaben und wo diese dokumentiert sind. Informatik Aargau, Informatik-Sicherheitsbeauftragter, Januar

5 Gesetzliche und organisatorische Grundlagen Alle Informations- und Informatiksicherheitsvorgaben der kantonalen Verwaltung stützen sich auf die folgenden gesetzlichen Grundlagen: Gesetz über die Information der Öffentlichkeit, den Datenschutz und das Archivwesen (IDAG; SAR ) sowie die Verordnung zum Gesetz über die Information der Öffentlichkeit, den Datenschutz und das Archivwesen (VIDAG; SAR ). Für die Umsetzung dieser beiden gesetzlichen Vorgaben (IDAG und VIDAG) gelten folgende Beschlüsse des Informatikboards: IT-Sicherheitsorganisation im Kanton Aargau (IBB Nr. 044/2009) und die Informatik-Sicherheitsstrategie (IBB Nr. 026/2010). Der Arbeitgeber kann bei Missachtung der Sorgfalts- und Treuepflicht oder Verstössen gegen die Informations- und Informatiksicherheit personalrechtliche Konsequenzen ziehen. Organisatorische Zuständigkeiten Das Informatikboard ist für die Informations- und Informatiksicherheit verantwortlich, genehmigt die IT-Sicherheits-Strategie sowie die IT-Sicherheits-Merkblätter. Die Informatikkonferenz berät das Informatikboard in Fragen der Informatiksicherheit. Der Informatik-Sicherheitsbeauftragte ist Mitglied der Informatikkonferenz. Er ist für die Umsetzung und Überprüfung der Informatiksicherheits-Massnahmen in der kantonalen Verwaltung verantwortlich und leitet die Arbeitsgruppe Informatiksicherheit. Die Umsetzung der Informatiksicherheit auf departementaler Stufe ist Aufgabe der Informatikbeauftragten (IB) der Departemente, der Gerichte und der Staatskanzlei. Bei Problemen im Gebrauch der Informations- und Kommunikationsmittel (Desktop- PC, Notebook usw.) steht Ihnen Ihr Informatikdienst zur Verfügung. Weitergehende Informationen zum Thema Informationen zum Thema Informatiksicherheit finden Sie im Intranet (InKA) unter: Grundlagen > Richtlinien & Weisungen > Informatikweisungen > Sicherheit. Weiterbildungsangebote Allen neu eintretenden Mitarbeitenden der kantonalen Verwaltung wird der Kurs "Informatik-Arbeitsplatz in der kantonalen Verwaltung" zum Besuch empfohlen. Vertieftes Wissen vermittelt der Kurs "Informatik-Sicherheit". Ausserkraftsetzung Dieses Merkblatt setzt folgende Dokumente, die durch die Staatskanzlei publiziert wurden, ausser Kraft: "Sicherheitsrichtlinien für den Informatikarbeitsplatz (PC, Notebook usw.) in der kantonalen Verwaltung" "Sicherheitsrichtlinien Merkblatt für die Benutzerinnen und Benutzer" "Weisung über den Einsatz von Informatikmitteln am Arbeitsplatz" (Büroinformatik-Weisung), Ziff. 6 und 9 Für die Informatikdienste gelten zusätzliche Sicherheitsvorgaben, die in internen Dokumenten beschrieben sind. Gültigkeitserklärung Aufgrund der IT-Board-Beschlussnummer 035/2012 vom 26. November 2012 ist das Merkblatt ab 1. Januar 2013 gültig. Informatik Aargau, Informatik-Sicherheitsbeauftragter, Januar

6 2. Vorsichtsmassnahmen am Arbeitsplatz Verantwortungsbewusster Umgang mit der Hardware Der Arbeitgeber stellt Ihnen für die Erfüllung Ihrer Aufgabe einen Informatik- Arbeitsplatz zur Verfügung. Der Einsatz ausserhalb der dienstlichen Verwendung dieser Arbeitsgeräte ist nur für den persönlichen, nicht kommerziellen Gebrauch erlaubt. Sie dürfen nicht an Dritte weitergegeben werden. Alle Computer und Daten sind vor unberechtigtem Zugriff zu schützen. Beim Verlassen des Arbeitsplatzes sind der Desktop oder das Notebook zu sperren, die Smartcard muss zwingend entfernt und mitgenommen oder sicher aufbewahrt werden. Am Abend oder bei Nichtgebrauch sind die persönlichen Arbeitsgeräte auszuschalten. Die Verbindung eines Arbeitsplatzes von ausserhalb der kantonalen Verwaltung mit dem kantonalen Netzwerk (Heimarbeitsplatz oder externe Firma) bedarf der Bewilligung der informatikbeauftragten Person der Organisationseinheit. Der gleichzeitige Anschluss an das interne Netzwerk des Kantons und an ein externes Netz (zum Beispiel W-LAN Stadt Aarau) ist aus Sicherheitsgründen (unerlaubter Netzwerkübergang) untersagt. Unkontrollierbare und ungesicherte Zugriffe auf die kantonale Informatikinfrastruktur sind dadurch ausgeschlossen. Umgang mit Software Die Installation und Konfiguration von Software (Eigentum des Kantons) darf nur von den vom Kanton autorisierten Stellen vorgenommen werden. Die Aktualisierung des Betriebssystems und der Antivirussoftware wird ausschliesslich durch die autorisierten Stellen vorgenommen. Auch alle Sicherheitseinstellungen werden ausschliesslich von den autorisierten Stellen vorgenommen. Die Installation von privater Software ist verboten. Verlassen des Raumes Bei Arbeitsunterbrüchen von mehr als 15 Minuten und bei Arbeitsende sind leicht zugängliche Fenster und Türen zu verschliessen. Vertrauliche Dokumente und externe Datenträger sind, wenn möglich, in ein sicheres Behältnis (z.b. Stahlschrank) einzuschliessen. Informatik Aargau, Informatik-Sicherheitsbeauftragter, Januar

7 3. Sicher mobil unterwegs Jederzeit und überall sicher vor Datenmissbrauch Notebooks, Tablets und Smartphones sei Dank das Arbeiten und der Zugriff auf Unternehmensdaten ist jederzeit von überall her möglich. Nebst allen Vorteilen gibt es aus Sicht der Sicherheit jedoch einige Gefahren: Daten können während der Übermittlung von Unbefugten abgefangen oder vom Display abgelesen werden. Wichtige Updates können nicht umgehend auf den Geräten installiert werden. Auch sind die Geräte unterwegs einem erhöhten Verlust- und Diebstahlrisiko ausgesetzt. Bitte beachten Sie daher folgende Empfehlungen: Aktualisieren von Software und Virenschutz Halten Sie die Software (auch den Virenschutz) auf Ihrem Notebook stets aktuell, indem Sie das Gerät mindestens einmal pro Monat am kantonalen Netzwerk anschliessen. Keine unnötigen Verbindungen Unterbrechen Sie jeweils die Netzwerk-Verbindung, wenn sie nicht benötigt wird. So sind Sie nicht nur sicherer vor Datenmissbrauch, sondern reduzieren auch die Verbindungskosten und erhöhen die Akkulaufzeit. Beachten Sie die hohen Roaming- Gebühren bei Geschäftsreisen im Ausland. Informatik Aargau, Informatik-Sicherheitsbeauftragter, Januar

8 Vorsicht bei öffentlichen Geräten Vermeiden Sie die Nutzung von öffentlich zur Verfügung gestellten PCs oder Notebooks in Hotelhallen oder Internetcafés, wenn Sie geschäftliche Daten verarbeiten oder nutzen wollen. Benutzen Sie den CAG-Service "Internet Café". Es werden mit dieser Option keine Daten auf den PC geschrieben. Keine als intern, vertraulich oder geheim klassifizierten Daten auf privaten Geräten Als intern, vertraulich oder geheim klassifizierte Daten (gemäss Abschnitt "Vertraulichkeit von Informationen") dürfen nur auf dem Ihnen vom Arbeitgeber Kanton Aargau zur Verfügung gestellten Gerät bearbeitet werden und nur, wenn Sie sich in einem sicheren Raum (zum Beispiel in Ihrem Hotelzimmer) befinden. Da Smartphones und Tablets Sicherheitsrisiken bergen, ist das Bearbeiten von vertraulichen und geheimen Informationen und Daten auf diesen Geräten zu unterlassen. Achtung vor Diebstahl und Missbrauch Geben Sie Ihr persönliches Arbeitsgerät nie aus der Hand. Schliessen Sie mobile Geräte bei Nichtgebrauch an einem sicheren Ort ein. Bewahren Sie die Geräte im Auto nicht sichtbar auf. Melden Sie einen Geräteverlust unverzüglich Ihrem zuständigen Informatik-Dienst. Schützen Sie sich vor Datenverlust Stellen Sie die regelmässige Synchronisation der Daten mit dem kantonalen Netzwerk sicher und speichern Sie Ihre Daten auf den definierten Laufwerken. Sicherheitseinstellungen Deaktivieren Sie keine Sicherheitseinstellungen auf Ihrem Tablet oder Smartphone. Mitlesen und mithören Positionieren Sie Ihr Gerät so, dass niemand den Bildschirminhalt mitlesen kann, und achten Sie bei Gesprächen auf unbefugte "Mithörer". Geräte im Ausland Nehmen Sie nur dringend benötigte Geräte ins Ausland mit. Stellen Sie sicher, dass alle internen und externen Datenträger verschlüsselt sind. Nehmen Sie wenn möglich keine schützenswerten Informationen mit auf Ihre Reise. In einigen Ländern ist es den Grenzbehörden erlaubt, Festplatten zu untersuchen und zu beschlagnahmen. Tragen Sie Geräte und Datenträger immer im Handgepäck mit. Informatik Aargau, Informatik-Sicherheitsbeauftragter, Januar

9 4. Schützen Sie sich vor Social Engineering Augen und Ohren sind überall! Social Engineering ist eine Methode, um unberechtigten Zugang zu Informationen oder IT-Systemen durch "Aushorchen" zu erlangen. Auch scheinbar harmlose Informationen kann ein skrupelloser Ausfrager zu einem Gesamtbild zusammenfügen und missbräuchlich oder gar mit kriminellen Absichten verwenden. Unberechtigte können Sie oder andere mit den erschlichenen Informationen erpressen oder mit unvorsichtig preisgegebenen Anmeldedaten (Login und Passwort) auf das Firmennetzwerk des Kantons zugreifen und Daten lesen, verändern, löschen oder weiterleiten. Dieses Merkblatt gibt Ihnen Tipps, wie Sie sich vor Social Engineering schützen können und damit die IT-Sicherheit des Kantons nicht gefährden. Vorsicht im öffentlichen Raum Vermeiden Sie insbesondere vertrauliche Gespräche in einem öffentlichen Raum oder am Mobiltelefon oder Smartphone. Ihre Gespräche können mitgehört werden. Vorsicht auch beim Lesen und Bearbeiten von s und Dokumenten auf Notebook, Netbook, Smartphone oder Tablet im öffentlichen Raum. Sie können von Unberechtigten mitgelesen werden. Lassen Sie Ihre ausgedruckten Dokumente, Ihre Geräte und mobilen Datenträger (Memory-Stick, CD usw.) oder Fotoapparate nicht im öffentlichen Raum liegen. Gelegenheit macht Diebe! Als öffentlicher Raum gelten insbesondere auch Konferenzräume, Hotels, Restaurants sowie sämtliche Verkehrsmittel wie Bahn, Taxi, Flugzeug usw. Anfragen von Unbekannten Geben Sie Informationen nur an Ihnen vertraute Personen weiter und nur, wenn Sie dazu berechtigt sind. Beachten Sie in diesem Dokument den Abschnitt "Vertraulichkeit von Daten" für interne, vertrauliche und geheime Informationen. Verweisen Sie Fremde oder unbekannte Anrufer an die zuständige Medienstelle Ihrer Organisationseinheit. Informatik Aargau, Informatik-Sicherheitsbeauftragter, Januar

10 5. Zutritt und Zugriff Schutz vor unbefugtem Zugriff und Zutritt Um Unbefugten den Zutritt zu den Räumen und Arbeitsplätzen in der kantonalen Verwaltung zu verwehren, ist der Zugang mit Schlüssel und/oder Smartcard gesichert. Applikationen werden mittels Berechtigungsschemen vor unbefugtem Zugriff geschützt. Externe Benutzer, die Zugriff auf unser Netzwerk benötigen (Remote- Zugang), erhalten auf Antrag von der Informatik Aargau ein Login, ein Passwort sowie eine SecureID. Diese wird persönlich zugeteilt und muss quittiert werden. Smartcard und PKI Die Nutzung der bereitgestellten Informations- und Kommunikationsmittel ist im Normalfall nur mit Smartcard möglich. Diese erhalten Sie am ersten Arbeitstag vom Personaldienst oder Informatikdienst. Die Smartcard gilt für den Zutritt in Gebäude und Arbeitsräume sowie für die Anmeldung an Ihrem Informatikarbeitsplatz (Desktop- PC oder Notebook). Wo die Smartcard aus technischen Gründen nicht verwendet werden kann, ist der Zugang mit Login und Passwort gesichert (gemäss Vorgaben des Informatikbeauftragten der Organisation). Weitere Informationen zur Smartcard finden Sie im Intranet (InKA) unter: Grundlagen > Anleitungen > PKI. Schlüssel Für Gebäude, die noch nicht mit dem Schliesssystem Interflex ausgerüstet sind, benötigen Sie für den Zutritt einen Haus- oder Türschlüssel. Diesen erhalten Sie von der definierten Stelle Ihrer Organisation. Informatik Aargau, Informatik-Sicherheitsbeauftragter, Januar

11 SecureID für Remote- Zugriff Damit Sie nach genehmigtem Remote-Zugang (externer Zugriff auf das kantonale Netzwerk) zum Beispiel von zu Hause aus arbeiten können, benötigen Sie zusätzlich eine SecureID. Dieses Gerät erzeugt einen zufälligen Code, der für die Anmeldung benötigt wird. Zugriffsberechtigungen für Applikationen und Daten Die Benutzung von Applikationen bedarf einer entsprechenden Berechtigung. Die Berechtigungsvergabe (Antrag, Freigabe) wird in den jeweiligen Applikationen geregelt. Zusätzliche Anforderungen wie das vorgängige Unterzeichnen von Geheimhaltungsvereinbarungen sind sicherzustellen. PIN für mobile Endgeräte Mobile Endgeräte (Mobile Devices) wie Smartphones sind mit einem PIN (Personal Identification Number) oder einem Zugangspasswort gesichert. Dieses wird durch die Benutzer nach Vorgaben der Abteilung Informatik Aargau erstellt. Vorgaben für ein sicheres Passwort Ein Passwort muss mindestens 8-stellig sein und drei der folgenden Kriterien erfüllen: ein Kleinbuchstabe ein Grossbuchstabe eine Zahl ein Sonderzeichen wie zum Beispiel +*&_?! ist nicht geeignet) Ein gutes Passwort ist zum Beispiel: AnDru$67 Das Passwort muss je nach Applikation periodisch geändert werden. Ausgenommen sind die Passwörter auf der Smartcard. Sorgfaltspflicht des Mitarbeitenden Geben Sie nur vertrauenswürdigen Personen die Zugriffsberechtigung auf Ihre Outlookelemente wie und Kalender (verwenden Sie dazu nur die im Outlook vorhanden Zugriffs- und Stellvertretungsfunktionen). Beachten Sie allfällige zusätzliche Sicherheitsvorgaben Ihrer Organisation. Gehen Sie sorgfältig mit den Berechtigungsmitteln (Smartcard, SecureID, Schlüssel, Login und Passwörter) um. Diese Berechtigungsmittel, insbesondere Ihre Passwörter, sind persönlich und vertraulich, sie dürfen niemandem ausgehändigt oder bekannt gemacht werden. Bei Verlust der Berechtigungsmittel ist unverzüglich Ihr Informatikdienst zu benachrichtigen. Während der Ferien und bei längeren Abwesenheiten sind diese Berechtigungsmittel sicher zu verschliessen. Falls der Verdacht besteht, dass das Passwort Dritten bekannt ist (zum Beispiel, wenn eine Person die Passworteingabe beobachtet hat), muss das Passwort unverzüglich geändert werden. Bei Applikationen ist der Zugang durch die applikationsverantwortliche Person unverzüglich zu deaktivieren. Informatik Aargau, Informatik-Sicherheitsbeauftragter, Januar

12 6. Daten sicher verwalten Daten sind unser Kapital Daten sind daher schützenswert. Damit Ihre Daten (Informationen) sicher aufgehoben sind und Unberechtigte keinen Zugang haben, sind hier einige wesentliche Punkte zur sicheren Datenablage und -verwaltung festgehalten. Speicherung von geschäftlichen Daten Um die Verfügbarkeit geschäftlicher Daten sicherzustellen, dürfen diese nie auf einem lokalen Laufwerk, sondern müssen auf den entsprechenden Netzlaufwerken (Shares) sowie in den Fachapplikationen gespeichert werden. Die Speicherorte werden von Ihrer Organisationseinheit oder der applikationsverantwortlichen Person definiert. Nach Möglichkeit soll immer für eine Gruppe ein entsprechendes Gruppenverzeichnis (einzelner Share) angelegt werden. Eine Person ist für das Gruppenverzeichnis verantwortlich. Diese Person erteilt die notwendigen Zugriffsberechtigungen. Es ist aus Sicherheitsgründen verboten, interne, vertrauliche oder geheime Daten in Cloud-Diensten (z.b. Dropbox usw.) zu speichern. In Cloud-Diensten gespeicherte Daten können jederzeit und überall, ohne Kenntnis oder Erlaubnis des Dateninhabers gelesen, verändert oder gelöscht werden. Informatik Aargau, Informatik-Sicherheitsbeauftragter, Januar

13 Verschlüsselung von geschäftlichen Daten Bei erhöhtem Schutzbedarf (z.b. Polizei, Personaldienste, Justizbehörde) können lokale Laufwerke, Netzwerklaufwerke, Gruppenverzeichnisse oder Datenbanken von Fachapplikationen verschlüsselt werden. Diese Verschlüsselung muss beim zuständigen Informatikdienst beantragt werden. Speicherung von privaten Daten Private Daten dürfen auf lokalen Laufwerken oder privaten externen Datenträgern, wie zum Beispiel USB-Sticks, gespeichert werden. Auf dem lokalen Laufwerk muss der Ordner jedoch zwingend mit PRIVAT gekennzeichnet werden. Es ist untersagt, private Daten auf den Netzlaufwerken (Shares) zu speichern. Es ist zu beachten, dass die Informatikdienste nach erfolgter Freigabe durch die Benutzer Zugriff auf die lokalen Laufwerke haben. Die lokalen Laufwerke werden nicht gesichert. Für die Sicherung dieser Daten sind die Benutzer selbst verantwortlich. Längere Abwesenheit oder Austritt Fällt ein Mitarbeiter oder eine Mitarbeiterin für längere Zeit aus, erhält die Anstellungsbehörde Zugriff auf die geschäftlichen Daten. Vor dem Austritt speichert die Mitarbeiterin oder der Mitarbeiter alle geschäftlichen Daten in den von der vorgesetzten Stelle bestimmten Speicherort. Begriffe Lokales Laufwerk Ein Datenspeicher (z.b. Laufwerk C:\), der in einem Desktop-PC oder Notebook eingebaut ist. Die Notebook-Laufwerke werden standardmässig verschlüsselt. Bei Bedarf können auch die Desktop-Datenspeicher verschlüsselt werden. Die Verschlüsselung wird beim Einrichten des Desktop-PCs oder Notebooks von der Abteilung Informatik Aargau unwiderruflich erstellt und kann somit nicht mehr verändert werden. Netzlaufwerk Cloud Externer Datenträger Zugriffsberechtigung Externer Dienstleister (Outsourcing-Partner) Laufwerk auf einem zentralen Server, welches zentral verwaltet und Berechtigten zur Verfügung gestellt wird. Die Daten können in einem beliebigen Land zu jedem Zeitpunkt auf irgendeinem Server gespeichert sein. Deshalb gelten für uns selbstverständliche Regeln zum Datenschutz und Schutz der Privatspäre in der Cloud teilweise nur eingeschränkt. CD/DVD, externe Laufwerke, USB-Sticks, Speichermedien, Smartphones, Kameras usw. Der Zugriff, die Erstellung, die Bearbeitung und das Löschen von Daten wird durch die berechtigte Person durchgeführt. Erbringt gemäss Outsourcing-Vertrag definierte Leistungen mit entsprechenden Berechtigungen. Informatik Aargau, Informatik-Sicherheitsbeauftragter, Januar

14 7. Vertraulichkeit von Informationen Daten richtig einstufen Damit Ihre Daten (Informationen) nicht von Unberechtigten gelesen, bearbeitet, kopiert oder gelöscht werden können, sind hier wesentliche Punkte zur Sicherheit festgehalten, die es zu berücksichtigen gilt. Falls Unberechtigte nicht öffentliche Informationen lesen, verändern, bearbeiten oder entwenden, kann für den Kanton Aargau ein grosser finanzieller Schaden oder ein Imageschaden entstehen. Die Dateninhaber sind verantwortlich für die Einstufung und Klassifizierung der Informationen und Daten. Die Geschäftsprozessinhaber übernehmen die von den Dateninhabern definierte Vertraulichkeitsstufe. Doch wann ist eine Information vertraulich, wann geheim? Der folgende nicht abschliessende Fragenkatalog hilft Ihnen beim Klassifizieren Ihrer Daten. Geheime Daten Daten werden als geheim klassifiziert, wenn nur ein eng begrenzter Personenkreis von ihnen Kenntnis haben darf. Es muss jederzeit kontrolliert und nachgewiesen werden, wer auf diese Informationen Zugriff hat und zugreift. Ein unerlaubter Zugriff ist mit technischen Massnahmen zu verhindern, um die Exklusivität des Informationszugangs sicherzustellen. Die Informationen (Personendaten und/oder Sachdaten) sind als geheim einzustufen, wenn Sie eine der nachfolgenden Fragen mit Ja beantworten können: Werden Informationen bearbeitet, die Entscheide oder Beschlüsse beinhalten, die als geheim klassifiziert sind? deren Kenntnisnahme durch Unberechtigte die freie Entscheidungsfindung öffentlicher Organe, insbesondere des Grossen Rats und des Regierungsrats, wesentlich beeinträchtigt? die börsenkursrelevante Informationen über Unternehmen enthalten, an denen der Kanton beteiligt ist? die aufgrund von gesetzlichen oder vertraglichen Geheimhaltungspflichten geheim sind? die sich auf Unterlagen beziehen, die von anderen Behörden einer vergleichbaren Vertraulichkeitsstufe zugeordnet worden sind? Informatik Aargau, Informatik-Sicherheitsbeauftragter, Januar

15 Vertrauliche Daten Diese Daten sind auf der Basis besonderer geschäftlicher oder gesetzlicher Anforderungen vertraulich zu behandeln. Insbesondere wenn es sich um Personendaten sowie besonders schützenswerte Personendaten handelt. Der Zugriff ist auf die mit dem Geschäft betrauten Personen beschränkt. Die Dateninhaber müssen jederzeit prüfen können, welche Personen mit welchen Bearbeitungsrechten (Schreiben, Lesen, Löschen) Datenzugriff haben. Die Informationen (Personendaten und/oder Sachdaten) sind als vertraulich einzustufen, wenn Sie eine der nachfolgenden Fragen mit Ja beantworten können: Werden Informationen bearbeitet, die zum Schutz öffentlicher oder privater Interessen nicht bekannt gemacht werden dürfen, weil deren unberechtigte Kenntnisnahme die öffentliche Sicherheit oder die Sicherheit Einzelner beeinträchtigen oder auf andere Weise Schaden verursachen kann? den freien Meinungs- und Willensbildungsprozess der öffentlichen Organe beeinträchtigen kann? die Beziehungen zu einem anderen Kanton, zum Bund oder zum Ausland beeinträchtigen kann? die zielkonforme Durchführung konkreter behördlicher Massnahmen wesentlich beeinträchtigen kann? dazu führt, dass gerichtliche oder polizeiliche Massnahmen nicht umgesetzt werden können? die Position in Verhandlungen beeinträchtigen kann? dazu führen kann, dass besondere Personendaten oder Angaben über soziale, familiäre, medizinische oder finanzielle Verhältnisse Einzelner bekannt werden, die nicht unter die Kategorie geheim fallen? eine Zusammenstellung ermöglicht, die eine Beurteilung wesentlicher Aspekte (z.b. Steuerdaten) einer natürlichen Person (Persönlichkeitsprofil) erlaubt? dazu führen kann, dass Geschäfts-, Berufs- oder Fabrikationsgeheimnisse bekannt werden? dazu führen kann, dass ein Rekursverfahren bekannt wird? dazu führen kann, dass Ereignisse bekannt werden, die sich auf Unterlagen stützen, die von einer anderen Behörde einer vergleichbaren Vertraulichkeitsstufe zugeordnet wurden? Informatik Aargau, Informatik-Sicherheitsbeauftragter, Januar

16 Interne Daten Die Daten sind ausschliesslich für den verwaltungsinternen Gebrauch bestimmt und dürfen nicht öffentlich zugänglich gemacht werden. Die Informationen (Personendaten und/oder Sachdaten) sind als intern einzustufen, wenn Sie die nachfolgende Frage mit Ja beantworten können: Werden Informationen bearbeitet, die den einfachen Personendaten zuzuordnen und/oder nur für den verwaltungsinternen Gebrauch bestimmt sind? Öffentliche Daten Die Informationen sind ohne Einschränkung frei zugänglich. Die Informationen (Personendaten und/oder Sachdaten) sind als öffentlich einzustufen, wenn Sie eine der nachfolgenden Fragen mit Ja beantworten können. Werden Informationen bearbeitet, die nicht den einfachen Personendaten zuzuordnen sind und/oder die nicht nur für den verwaltungsinternen Gebrauch bestimmt sind? die uneingeschränkt (z.b. im Internet oder Intranet) veröffentlicht werden dürfen? Klassifikation der Daten gilt auch für Informatikund Kommunikationsmittel Die Vertraulichkeitsstufe der Daten (Informationen) gilt auch für die Informatik- und Kommunikationsmittel (IKT). Unter Informatikmittel verstehen wir zum Beispiel Desktop-PC, Notebook, Server oder Datenspeicher. Abweichungen müssen beim Informatik-Sicherheitsbeauftragten (CISO) beantragt werden. Löschen von Daten (gilt für alle Klassifikationsstufen) Beim Löschen von Daten müssen die Datenspeicher sicher gelöscht werden. In der Fachsprache nennt man diesen Vorgang "Wiping". Eine Formatierung des lokalen sowie externen Datenträgers ist nicht ausreichend. Die entsprechende Software für das sichere Löschen wird von Ihrem Informatikdienst zur Verfügung gestellt und ist via Ticket anzufordern. Verschärfung der Klassifikation Die Dateninhaber können die Einsicht und die Bearbeitung von Daten bei Bedarf einschränken oder verhindern (zum Beispiel Personendaten oder besonders schützenswerte Personendaten). Wie gehen wir mit klassifizierten Informationen um? Je höher die Klassifizierungsstufe, desto mehr Auflagen in punkto Sicherheit sind zu beachten. Werden interne Informationen bearbeitet, gelten folgende Vorschriften: Interne Informationen dürfen im Intranet, aber NICHT im Internet zugänglich gemacht werden. Informationen auf lokalen Laufwerken sowie auf Netzlaufwerken müssen nicht verschlüsselt werden. Informationen auf externen Datenträgern (USB-Sticks, externe Harddisk, Speicherkarten, CD, DVD) müssen nicht verschlüsselt werden, eine Verschlüsselung wird jedoch empfohlen. Interne Informationen (Text und angehängte Dateien), die verwaltungsintern via übermittelt werden, müssen nicht verschlüsselt werden. Beim Löschen von Daten genügt die sichere Löschung des lokalen sowie des externen Datenträgers. Interne Informationen dürfen auf allen internen Druckern, die sich in einem nicht öffentlichen Raum befinden, oder auf Multifunktionsgeräten (MFG), die mit Smartcard gesichert sind, ausgedruckt werden. Informatik Aargau, Informatik-Sicherheitsbeauftragter, Januar

17 Werden vertrauliche Informationen bearbeitet, gelten folgende Vorschriften: Vertrauliche Informationen dürfen weder im Intranet noch im Internet zugänglich gemacht werden. Informationen auf lokalen Desktop-Laufwerken sowie auf Netzlaufwerken müssen nicht verschlüsselt werden. Die lokalen Laufwerke auf Notebooks werden standardmässig verschlüsselt. Die Speicherung von Informationen auf verschlüsselte externe Datenträger wie USB-Sticks, externe Harddisks, Speicherkarten, CD und DVD ist erlaubt. Vertrauliche Informationen (Text und angehängte Dateien), die via übermittelt werden, müssen zwingend verschlüsselt werden. Die entsprechenden Vorgaben und Software für das sichere Löschen werden von der Abteilung Informatik Aargau zur Verfügung gestellt und sind via Ticket bei Ihrem Informatikdienst anzufordern. Als vertraulich klassifizierte Informationen dürfen nur auf Multifunktionsgeräten mit Smartcard-Authentifizierung ausgedruckt werden oder auf Druckern, die sich in unmittelbarer Nähe des Arbeitsplatzes oder in einem abgeschlossenen Raum befinden. Werden geheime Informationen bearbeitet, gelten folgende Vorschriften: Geheime Informationen dürfen weder im Intranet noch im Internet zugänglich gemacht werden. Die Speicherung von Informationen auf verschlüsselte externe Datenträger wie USB-Sticks, externe Harddisks, Speicherkarten, CD und DVD ist erlaubt. Geheime Informationen auf externen Datenträgern (USB-Sticks, externe Harddisk, Speicherkarten, CD, DVD) müssen zwingend verschlüsselt werden. Geheime Informationen (Text und angehängte Dateien), die via übermittelt werden, müssen zwingend verschlüsselt werden. Als geheim klassifizierte Informationen dürfen nur auf Multifunktionsgeräten mit Smartcard-Authentifizierung ausgedruckt werden oder auf Druckern, die sich in unmittelbarer Nähe des Arbeitsplatzes oder in einem abgeschlossenen Raum befinden. Informatik Aargau, Informatik-Sicherheitsbeauftragter, Januar

18 8. Sichere Nutzung des Internets Das Internet ist Fluch und Segen zugleich Das Internet eröffnet uns den Zugang zu einer unerschöpflichen Vielfalt an Informationen und Dienstleistungen, die wir am Arbeitsplatz nutzen können. Das Surfen im Internet birgt aber auch Gefahren wie das Verteilen von Malware (Viren, Trojaner usw.), Hackerangriffe, Ablesen von s oder Spionage. Nutzen Sie das Internet deshalb mit Vorsicht und Verantwortungsbewusstsein. Dieses Merkblatt gibt Ihnen Tipps und Vorgaben zum sicheren Umgang mit dem Internet. Sicherheit dank standardisierter Browsereinstellungen Die Sicherheitseinstellungen des Internetbrowsers (Internet Explorer, Firefox usw.) sind standardisiert und können von den Benutzern nicht verändert werden. Informatik Aargau, Informatik-Sicherheitsbeauftragter, Januar

19 Vorsicht bei der Nutzung des Internets Achten Sie auf Sicherheits-Meldungen und verlassen Sie bei Unsicherheiten umgehend die Website. Aus Sicherheitsgründen ist das Herunterladen (Download) von Dateien, welche die Sicherheit Ihres Gerätes gefährden, gesperrt. Denn oftmals wird mit einem scheinbar seriösen Angebot auch eine Schadsoftware (Malware) mitgeliefert und auf Ihrem Gerät installiert. Im schlimmsten Fall können Informationen an Unberechtigte gelangen. Falls Schadsoftware (Malware) auf Ihren Desktop-PC oder Ihr Notebook gelangt, ist der Informatikdienst umgehend zu informieren. Das Gerät muss durch Ihren Informatikdienst zwingend neu aufgesetzt werden (neue Software-Installation). Hinweis: Durch das Herunterladen von grösseren Datenmengen wie Internet- TV und -Radio sowie Videos beeinträchtigen Sie die Verfügbarkeit des kantonalen Datennetzwerkes. Es können längere Wartezeiten bei Applikationen, - und Drucker-Diensten entstehen. Gesperrte Websites Aus Gründen der Sicherheit und der Verfügbarkeit ist der Zugriff auf unsichere Websites verboten und gesperrt. Sollten Sie dennoch eine gesperrte Website für den dienstlichen Gebrauch benötigen, beantragen Sie den Zugriff beim zuständigen Informatik-Dienst. Private Nutzung Am Arbeitsplatz ist die private Nutzung des Internets in den meisten Verwaltungseinheiten in angemessenem Rahmen gestattet. Benutzen Sie das Internet jedoch sehr zurückhaltend und nicht zu kommerziellen Zwecken. Schützenswerte Informationen Informationen, welche als intern, vertraulich und geheim klassifiziert sind, dürfen niemals im Internet oder auf einer Social-Media-Plattform (Facebook, XING usw.) veröffentlicht werden. Vorsicht auch mit persönlichen und privaten Informationen! Geben Sie bei der Nutzung von Internetdiensten wie Social Media keine schützenswerten Informationen preis (siehe Merkblatt "Social Media" im Intranet unter Dienste > Personal > Grundlagen > Merkblätter). Aufzeichnung Ihrer Internet-Nutzung Aus Sicherheitsgründen wird jede Nutzung des Internets von der Abteilung Informatik Aargau protokolliert (URLs, Datum, Zeit, User usw.) gemäss IDAG (Gesetz über die Information der Öffentlichkeit, den Datenschutz und das Archivwesen) und VIDAG (Verordnung zum Gesetz über die Information der Öffentlichkeit, den Datenschutz und das Archivwesen). Diese Aufzeichnungen werden in anonymisierter Form (URL, Datum, Zeit) ausgewertet, um die Sicherheit der IT-Systeme zu gewährleisten. Werden Missbräuche bei der Internet-Nutzung festgestellt, leitet der Informatik- Sicherheitsbeauftragte entsprechende Massnahmen ein. Verstösse gegen Bestimmungen des Strafgesetzbuches StGB ziehen in jedem Fall strafrechtliche und disziplinarische Massnahmen nach sich. Informatik Aargau, Informatik-Sicherheitsbeauftragter, Januar

20 9. Sicherer Umgang mit s s sind wie Postkarten Der schnelle Informations- und Datenaustausch via erleichtert unsere tägliche Arbeit, birgt aber auch Gefahren. Trotz umfangreicher Schutzmassnahmen gegen Viren, Schadsoftware (Malware) und Spam-Mails ist Ihr sorgfältiges sicherheitsbewusstes Verhalten im Umgang mit s eine Voraussetzung für die Gewährleistung eines umfassenden Schutzes. Der Versand von unverschlüsselten s kommt dem Versand von Postkarten gleich. Ohne grossen Aufwand können die übermittelten Informationen von Unberechtigten (Provider, Hacker usw.) gesammelt, gelesen oder verändert werden. Sie oder die Empfänger bemerken davon oftmals nichts. Alle s bleiben zudem über Jahre auf Ihrem Desktop oder Notebook, bei den Empfängern und/oder bei (externen) Übermittlungsdienstleistern (Providern) gespeichert. Informatik Aargau, Informatik-Sicherheitsbeauftragter, Januar