E i n f ü h r u n g u n d Ü b e r s i c h t

Transkript

1 E i n f ü h r u n g u n d Ü b e r s i c h t Informationssicherheit in Gemeinden mit einer Bevölkerungszahl < und in privaten Organisationen mit einem Leistungsauftrag wie Alters- und Pflegeheime oder Spitex-Organisationen

2 Informationssicherheit Seite 02 Inhalt 1 Einleitung Zielgruppen Anforderungen an die Informationssicherheit Dokumente und Hilfsmittel Umsetzung der Anforderungen an die Informationssicherheit Schritt 1: Festlegen der Sicherheitsstrategie Schritt 2: Aufbau der Organisationsstruktur für Informationssicherheit Schritt 3: Erstellen des IKT-Sicherheitskonzepts Inventar der Systeme und Anwendungen Klassifizieren der Systeme und Anwendungen Zuweisen der Sicherheitsmassnahmen und Soll-Ist-Vergleich Realisierungsplanung Schritt 4: Umsetzen der Sicherheitsmassnahmen Erstellen der Weisungen für die Mitarbeitenden Planen der Sensibilisierung der Mitarbeitenden Erstellen eines Rollen- und Berechtigungskonzepts Umsetzung von Massnahmen zum Schutz der Informationen beim Webauftritt Halten des Informationssicherheitsniveaus Überprüfung der Umsetzung der Massnahmen Überprüfung und Anpassung der Massnahmen... 10

3 Informationssicherheit Seite 03 1 Einleitung Der Datenschutzbeauftragte (DSB) hat festgestellt, dass in vielen kleinen Gemeinden (Gemeinden mit einer Bevölkerungszahl <4000), Alters- und Pflegeheimen sowie Spitex-Organisationen Mängel im Bereich Informationssicherheit bestehen. Um die gesetzlich geforderten Massnahmen im Bereich Informationssicherheit mit verhältnismässigem Aufwand und rechtskonform umzusetzen, werden im Folgenden Anleitungen, Vorlagen und Checklisten zur Verfügung gestellt, welche spezifisch den Bedürfnissen der kleinen Organe Rechnung tragen. 2 Zielgruppen Dieses Dokument richtet sich an alle öffentlichen Organe im Sinne des Gesetzes über die Information und den Datenschutz (IDG, LS 170.4) mit weniger als 4000 Betroffenen und mit weniger als 50 Systemen. Bei der Bestimmung der Risiken der Datenbearbeitungen sind folgende Faktoren massgebend: die Anzahl Systeme, die Anzahl der von den Datenbearbeitungen betroffenen Personen sowie der Art der Daten, welche bearbeitet werden (Personendaten respektive besondere Personendaten). Für die kleinen öffentlichen Organe ist bei einer möglichen Einreihung in eine von fünf Stufen (gering, gering bis mittel, mittel, mittel bis hoch oder hoch) die Stufe gering angemessen. 3 Anforderungen an die Informationssicherheit Folgende Massnahmen sind prioritär zu behandeln: Definieren der Zielsetzungen im Bereich IKT-Sicherheit Festlegen der Betriebs- und Sicherheitsorganisation Erstellen von Benutzerrichtlinien Sensibilisieren der Mitarbeitenden Sichern von Daten und Programmen Aktualisieren der Programme Schützen der Systeme und Anwendungen vor Malware Schützen der Komponenten im lokalen Netzwerk Erstellen von Passwortrichtlinien Schützen der mobilen Arbeitsplätze und Geräte Schützen der baulichen Umgebung Regeln des Zugriffs auf Daten und Anwendungen Schützen des Webauftritts

4 Informationssicherheit Seite 04 4 Dokumente und Hilfsmittel Art Einführung und Übersicht Glossar und Abkürzungsverzeichnis Anleitung Vorlagen Thema Informationssicherheit in Gemeinden mit einer Bevölkerungszahl < und in privaten Organisationen mit einem Leistungsauftrag wie Alters- und Pflegeheime oder Spitex-Organisationen Glossar und Abkürzungen Informationssicherheit Sensibilisierung der Mitarbeitenden für Informationssicherheit Leitlinie zur Informationssicherheit Weisung zur Informationssicherheit Erklärung zur Informationssicherheit Beispiel Checklisten Rollen- und Berechtigungskonzept Datenschutzrechtliche Massnahmen beim Webauftritt Massnahmenkatalog Es stehen eine Einführung in das Thema, eine Anleitung, direkt anwendbare Vorlagen, ein Beispiel und Checklisten zur Verfügung, um die Massnahmen praxisnah, umfassend und ohne grossen Aufwand umzusetzen. Das vorliegende Dokument Einführung und Übersicht Informationssicherheit in Gemeinden mit einer Bevölkerungszahl < und in privaten Organisationen mit einem Leistungsauftrag wie Alters- und Pflegeheime oder Spitex-Organisationen gibt kleinen Gemeinden, Alters- und Pflegeheimen sowie Spitex-Organisationen respektive deren Mitarbeitenden eine Übersicht über die vom IDG geforderten Massnahmen sowie eine Einführung, wie diese mit welchen Mitteln umgesetzt werden können.

5 Informationssicherheit Seite 05 5 Umsetzung der Anforderungen an die Informationssicherheit Die Umsetzung der Anforderungen an die Informationssicherheit erfolgt unter Zuhilfenahme der zur Verfügung gestellten Dokumente in vier Schritten: 1. Festlegen der Sicherheitsstrategie mit Hilfe einer Leitlinie für Informationssicherheit 2. Aufbau der Organisationsstruktur für Informationssicherheit und Verteilung der Rollen und Verantwortungen 3. Erstellen des IKT-Sicherheitskonzepts Inventar der Systeme und Anwendungen Klassifizieren der Systeme und Anwendungen Zuweisen der Sicherheitsmassnahmen Soll-Ist-Vergleich der Sicherheitsmassnahmen Realisierungsplanung 4. Umsetzen der fehlenden Sicherheitsmassnahmen 5.1 Schritt 1: Festlegen der Sicherheitsstrategie Die Sicherheitsstrategie wird in einer Leitlinie zur Informationssicherheit dokumentiert. Das angestrebte Sicherheitsniveau wird festgehalten und die Sicherheitsziele werden allen Mitarbeitenden zugänglich gemacht. Die Sicherheitsziele sind grundsätzlich bei den Gemeinden oder den Organisationen dieselben, weshalb der DSB die Vorlage Leitlinie zur Informationssicherheit zur Verfügung stellt. 1. Layout ans Corporate Design anpassen 2. Inhalt überprüfen und anpassen 3. Inkraftsetzung durch einen Beschluss der Exekutive (wie z.b. Gemeinderat) oder des Leitungsgremiums 4. Leitlinie an einem für alle Mitarbeitenden gut zugänglichen Ort publizieren

6 Informationssicherheit Seite Schritt 2: Aufbau der Organisationsstruktur für Informationssicherheit Um das angestrebte Informationssicherheitsniveau zu erreichen, muss der Informationssicherheitsprozess umgesetzt werden. Es muss eine Organisationsstruktur aufgebaut, die Rollen festgelegt und diesen die Aufgaben zugeordnet werden. Inhaltliche Hinweise sind in der Vorlage Leitlinie zur Informationssicherheit zu finden. Bei sehr geringem Mitarbeiterbestand können alle Rollen der Sicherheitsorganisation dem IKT-Verantwortlichen zugewiesen werden. 1. Rollenträgerinnen und -träger definieren 2. Aufgaben in die Stellenbeschreibungen integrieren 3. Notwendige Ressourcen den Mitarbeitenden zuweisen 4. Ausbildungsmassnahmen durchführen 5.3 Schritt 3: Erstellen des IKT-Sicherheitskonzepts Im IKT-Sicherheitskonzept nimmt die Gemeinde oder die Organisation die aktuelle IKT-Umgebung auf, schätzt die Gefahrenlage ein und plant die zu ergreifenden Massnahmen. Es sind folgende Tätigkeiten vorzunehmen: 1. Inventar der Systeme und Anwendungen 2. Klassifizieren der Systeme und Anwendungen 3. Zuweisen der Sicherheitsmassnahmen und Soll-Ist-Vergleich 5. Realisierungsplanung Inventar der Systeme und Anwendungen Damit ein bedrohtes Objekt geschützt werden kann, muss seine Existenz bekannt und verzeichnet sein. Für die Informationssicherheit ist ein aktuelles und detailliertes Inventar unerlässlich. Bei diesem Inventar handelt es sich um das Erfassen des Bestandes an Geräten und Programmen mit den zugehörigen Detailangaben. Dies sind beispielsweise Listen von Netzwerkadressen und den angeschlossenen Geräten, Listen der verwendeten PCs und Server (mit Details betreffend die Hardware) oder Verzeichnissen der eingesetzten Programme (mit Versionsangaben usw.). Die wichtigsten Räume, Anwendungen und Systeme (Applikationen, Server, Clients, Netzwerkadressen und -komponenten) sind zu erfassen (beispielsweise als Tabelle in Excel von Microsoft Office).

7 Informationssicherheit Seite Klassifizieren der Systeme und Anwendungen Beim Klassifizieren handelt es sich um die Risikobeurteilung nach der Informatiksicherheitsverordnung (ISV, LS 170.8). Damit die bedrohten Objekte angemessen geschützt werden können, muss der Schutzbedarf gemäss den Schutzzielen der ISV festgelegt sein. Der DSB hat die Gemeinden und die Organisationen wie folgt klassifiziert: Gemeinde / Organisation Sicherheitsstufe nach ISV Informationssicherheitsniveau gemäss Leitlinie zur Informationssicherheit Gemeinde S2 mittel Spitex-Organisation, Alters- und Pflegeheim S3 mittel Die Klassifizierung ist zu überprüfen und allenfalls anzupassen Zuweisen der Sicherheitsmassnahmen und Soll-Ist-Vergleich Die Zuweisung der wichtigsten Massnahmen aufgrund der Klassifizierung hat der DSB in der Checkliste Massnahmenkatalog bereits vorgenommen. Beim Soll-Ist-Vergleich (Basis-Sicherheitscheck gemäss IT-Grundschutz des BSI) wird überprüft, ob die Massnahmen im Organ bereits umgesetzt sind und welche grundlegenden Sicherheitsmassnahmen noch fehlen. Der Umsetzungsgrad jeder Massnahme (ja, teilweise, nein, entbehrlich) ist einzutragen. Als Grundlage dient die Checkliste Massnahmenkatalog Realisierungsplanung Ist der Umsetzungsgrad der erforderlichen Massnahmen bekannt, folgt die Realisierungsplanung. Als Grundlage dient die Checkliste Massnahmenkatalog.

8 Informationssicherheit Seite Die Verantwortlichkeiten (wer macht was) und der Termin (wann sind die Massnahmen voraussichtlich vollständig umgesetzt) sind bei jeder Massnahme einzutragen. 2. Will man die Sicherheitskosten berechnen, sind für jede Massnahme die Kosten einzutragen. 5.4 Schritt 4: Umsetzen der Sicherheitsmassnahmen Bei der Umsetzung sind folgende Massnahmen prioritär zu behandeln: Erstellen der Weisungen für die Mitarbeitenden Der DSB stellt die Vorlage Weisung zur Informationssicherheit zur Verfügung. 1. Layout ans Corporate Design anpassen 2. Inhalt überprüfen und bei Bedarf anpassen 3. Inkraftsetzung durch die zuständige hierarchische Stufe (z.b. Gemeinderat, Spitex-Leitung) 4. Abgabe an die Mitarbeitenden, allenfalls mit Unterschrift bestätigen lassen (Vorlage Erklärung zur Informationssicherheit) 5. Publikation an einem für alle Mitarbeitenden gut zugänglichen Ort Planen der Sensibilisierung der Mitarbeitenden Sensibilisierungsmassnahmen sind zu planen und umzusetzen. Siehe Anleitung Sensibilisierung der Mitarbeitenden für Informationssicherheit 1. Bedürfnisse des Organs abklären 2. Planung und Umsetzung anhand der Anleitung vornehmen

9 Informationssicherheit Seite Erstellen eines Rollen- und Berechtigungskonzepts Der DSB stellt das Beispiel Rollen- und Berechtigungskonzept zur Verfügung. Beispiel Rollen- und Berechtigungskonzept umfassend an die eigenen Bedürfnisse anpassen Umsetzung von Massnahmen zum Schutz der Informationen beim Webauftritt Der DSB stellt die Checkliste Datenschutzrechtliche Massnahmen beim Webauftritt zur Verfügung. 1. Rechtliche, organisatorische und technische Massnahmen für den datenschutzkonformen und sicheren Betrieb des Webauftritts umsetzen 2. Getroffene Massnahmen in einer Datenschutzerklärung erläutern und auf dem Webauftritt publizieren 6 Halten des Informationssicherheitsniveaus Das angestrebte Sicherheitsniveau ist dauerhaft zu gewährleisten, weshalb die Massnahmen regelmässig überprüft und fortlaufend verbessert werden müssen. Dies betrifft sowohl die Umsetzung der Massnahmen selbst als auch den Massnahmenumfang im IKT-Sicherheitskonzept und bedeutet: 1. Kontrollieren, inwieweit Sicherheitsmassnahmen in den einzelnen Bereichen umgesetzt wurden (Revision der Informationssicherheit) 2. Prüfen, ob bestimmte Massnahmen geeignet und genügend wirksam sind, um die gesteckten Sicherheitsziele zu erreichen (Vollständigkeits- bzw. Aktualisierungsprüfung) Ziel dieser Überprüfungen ist es, Mängel zu beheben. Die Akzeptanz dieser Überprüfungen wird erhöht, wenn der Ablauf und die Resultate den Mitarbeitenden kommuniziert werden.

10 Informationssicherheit Seite Überprüfung der Umsetzung der Massnahmen Bei den mit der Checkliste Massnahmenkatalog geplanten Massnahmen ist der Stand der Umsetzung zu dokumentieren. Die Leitungsebene ist über den Stand regelmässig zu informieren. Sie nimmt die Neuplanung mit Terminen und Ressourcen ab. 6.2 Überprüfung und Anpassung der Massnahmen Erkenntnisse aus sicherheitsrelevanten Zwischenfällen, Veränderungen im technischen oder technisch-organisatorischen Umfeld sowie Änderungen von Sicherheitsanforderungen bzw. Bedrohungen erfordern eine Anpassung der bestehenden Sicherheitsmassnahmen. Deshalb sollten die Massnahmen periodisch (mindestens einmal jährlich) überprüft werden. Diese Überprüfung muss auch vorgenommen werden, falls: neue Geschäftsprozesse, Anwendungen oder IT-Komponenten implementiert werden grössere Änderungen der Infrastruktur vorgenommen werden (z. B. Umzug) grössere organisatorischen Änderungen anstehen (z. B. Outsourcing) sich die Gefährdungslage wesentlich ändert gravierende Schwachstellen oder Schadensfälle bekannt werden V 1.0 / November 2012

11 Datenschutzbeauftragter des Kantons Zürich Postfach, 8090 Zürich Telefon Fax