IT-Sicherheitsrichtlinie der Erstellt von: Mag.(FH) Markus Bamberger Geprüft von: Mag.(FH) Corinna Metze Freigegeben von: Mag. Ulrike Prommer Datum: 25. Juli 2012 IMC Fachhochschule Krems GmbH Piaristengasse 1 - A-3500 Krems - Austria - Europe - Tel: +43(0)2732-802-0 - Fax: +43 (0)2732-802-4 http://www.fh-krems.ac.at - office@fh-krems.ac.at - FNB 79297 p - DVR: 0798771
Inhaltsverzeichnis 1. Vorwort... 3 2. Ziele... 4 3. Geltungsbereich... 4 4. Spezielle Bezeichnungen... 4 4.1. Informationen... 4 4.2. Computersysteme, Netzwerksysteme... 5 5. Allgemeine IT-Sicherheitsrichtlinie... 5 6. Richtlinienkriterien... 6 6.1. Verwendung der Systeme... 6 6.2. Individuelle Verwendung... 6 6.3. Regelungen zur Passwortwahl... 7 6.4. Tipps zur Erstellung eines schwer zu erratenden Passwortes:... 7 6.5. Schutz vor Viren und anderen böswilligen Produkten... 8 6.6. Datenklassifizierung (sensitivity level)... 8 6.7. Datenschutz... 10 6.8. Regelungen bezüglich personenbezogener Informationen... 10 6.9. Reaktion auf einen Sicherheitsvorfall... 11 6.10. Verfügbarkeit... 11 6.11. Zugriffskontrollen... 12 6.12. Überprüfung der BenutzerInnen-Zugriffsrechte... 12 6.13. Sicheres Entsorgen von Informationen... 12 6.14. Sicheres Vernichten von Geräten... 12 6.15. Netzwerksicherheit... 12 6.16. Entfernter Zugriff... 13 6.17. Software-Lizenzen und Copyright... 13 6.18. Das Internet... 14 6.19. Datenlöschung... 14 6.20. Elektronische Post... 14 7. Kriterien zur Richtlinien-Einhaltung... 15 7.1. Ausnahmen dieser Sicherheitsrichtlinie... 15 7.2. Durchsetzung und Verletzung... 15 7.3. Änderungen dieses Dokuments... 16 8. Organisatorische und funktionale Verantwortlichkeiten... 16 9. Verpflichtungserklärung zur Einhaltung des Datenschutzes... 17 10. Anhang... 19 10.1. IT Policy in der Fassung vom 24.07.2012... 19 10.2. Laptop Nutzungsrichtlinie... 21 Dok.Nr.: FHR-1-0010_Vers.02_Rev.01 2
1. Vorwort Die IT-Sicherheitsrichtlinie ist eine Beschreibung der Verantwortlichkeiten und Verpflichtungen für alle MitarbeiterInnen der IMC FH Krems, um eine unternehmensweite sichere IT-Infrastruktur etablieren und verwalten zu können. Um die IT-Sicherheitsrichtlinie für alle MitarbeiterInnen der IMC FH Krems zu implementieren, wird sie an all jene Personen verteilt, die in einem aktiven Beschäftigungsverhältnis zur IMC FH Krems stehen, an der IMC FH Krems studieren oder durch andere vertragliche Regelungen Zugriff auf Daten und Informationen der IMC FH Krems haben. Ebenfalls ist die Abteilung IT Services im Auftrag der Geschäftsführung dazu verpflichtet, eine jährlich wiederholende Schulung mit allen MitarbeiterInnen und Studierenden durchzuführen und das Verstehen der IT- Sicherheitsrichtlinie und aller anderen Sicherheitsdokumente schriftlich bestätigen zu lassen. Die Unterschriftenlisten sind in der Abteilung IT Services mindestens zwei Jahre aufzubewahren. Sollte diese IT-Sicherheitsrichtlinie oder Teile davon im Konflikt mit anderen Sicherheitsrichtlinien innerhalb der IMC FH Krems stehen, so hat dieses Dokument den Vorrang und ist im Zweifelsfall zuerst anzuwenden. Die IT Policy sowie die Laptop Nutzungsrichtlinie der IMC FH Krems werden periodisch adaptiert und sind integraler Bestandteil dieser IT-Sicherheitsrichtlinie. Die derzeit gültige IT-Policy sowie die Laptop Nutzungsrichtlinie sind im Anhang ersichtlich. Für weitergehende Informationen steht die Abteilung IT-Services der IMC FH Krems gerne zur Verfügung. Mag. Ulrike Prommer Geschäftsführerin Mag. (FH) Markus Bamberger Leitung IT Services Krems, am 10.07.2012 Dok.Nr.: FHR-1-0010_Vers.02_Rev.01 3
2. Ziele Die vorrangigen Ziele der IT-Sicherheitsrichtlinie sind: 1. Methoden hervorzuheben, um Sicherheitsrisiken effektiv zu behandeln und die Verantwortlichkeit innerhalb der IMC FH Krems zum Schutz von der in diesem Dokument beschriebenen Informationen zu kommunizieren. 2. Das Einreichen einer verlässlichen IT-Arbeitsgrundlage und einer stabilen IT-Arbeitsinfrastruktur. 3. Die Einhaltung aller anzuwendenden Gesetze und Bestimmungen zu gewährleisten. 4. Methoden hervorzuheben, um die Verteilung und die Einhaltung der IT- Sicherheitsrichtlinie von allen MitarbeiterInnen der IMC FH Krems sicherzustellen. 3. Geltungsbereich Die Gültigkeit der IT-Sicherheitsrichtlinie erstreckt sich auf alle aktuellen und in der Zukunft dazu kommenden Geschäftsstandorte, Abteilungen und Unternehmensbereiche der IMC FH Krems. Dies gilt gleichermaßen für alle MitarbeiterInnen, VertragsmitarbeiterInnen (ProjektmitarbeiterInnen, nebenberuflich Lehrende, etc), Zulieferer, Studierende und andere Personen, die Zugriff auf Informationen der IMC FH Krems haben. Die IT- Sicherheitsrichtlinie umfasst sämtliche Computer- und Netzwerksysteme, für die die IMC FH Krems die administrative Verantwortung übernommen hat (sowohl für eigene als auch für Kundensysteme). 4. Spezielle Bezeichnungen Zusätzlich zu anderen Definitionen in diesem Dokument gelten die folgenden Definitionen: 4.1. Informationen Informationen beinhalten Wissen, Formeln, Technik, Erfindungen, Methoden, Prozesse, Ideen, Produktbeschreibungen, Kundenlisten, Preisangaben, Studien, Erhebungen, Datenbanken, Fotos, Notizen, Analysen, Zusammenfassungen und jede andere Art von Daten, die von oder im Auftrag der IMC FH Krems erstellt wurden. Im Rahmen dieses Dokuments werden jene Daten, die der Öffentlichkeit zur Verfügung Dok.Nr.: FHR-1-0010_Vers.02_Rev.01 4
gestellt oder der IMC FH Krems ohne Vertraulichkeitscharakter geliefert wurden, nicht als Information bezeichnet. Diese Sicherheitsrichtlinie gilt für jede Form, in der Informationen in der IMC FH Krems zur Verfügung gestellt werden, und zwar: Verbale Kommunikation, geschriebene Dokumentationen, elektronische Datenbanken, Bänder, Disketten, elektronisch erstellte Ausdrucke, E-Mails, Informationen auf Anrufbeantwortern, Faxausdrucke, Besprechungsnotizen und Arbeitspapiere. 4.2. Computersysteme, Netzwerksysteme Computer- und Netzwerksysteme beinhalten Desktop Computer, Laptops, Computernetzwerke, Serversysteme, E-Mail-Systeme, Faxgeräte und Telefongeräte und anlagen, die der Firma entweder gehören oder von ihr geleast sind. Diese Sicherheitsrichtlinie ist unabhängig der eingesetzten Technik und beinhaltet keinerlei technische Implementierungsvorschriften. 5. Allgemeine IT-Sicherheitsrichtlinie Informationen gehören zu den wichtigsten Vermögenswerten der IMC FH Krems. Die Qualität, in der die Informationen gesichert werden, ist ein Schlüsselfaktor zur Erhaltung der Geschäftstätigkeit. Aus diesem Grund sind alle MitarbeiterInnen der IMC FH Krems dafür verantwortlich, dass die Verfügbarkeit, die Vertraulichkeit und die Integrität der Informationen gewährleistet sind. Jede/r BenutzerIn von Informationen oder jede Person, die Zugriff auf Informationen hat, geht die Verpflichtung ein, diese Vermögenswerte der IMC FH Krems zu erhalten und sie in einer verlässlichen Art zu schützen. Sicherheitskontrollen, die in diesem Dokument hervorgehoben werden, liefern den notwendigen physischen und prozess-bezogenen Schutz, um dieser Verpflichtung nachzukommen. Jede Information darf nur zu geschäftlichen Zwecken der IMC FH Krems verwendet werden. Informationen müssen über ihren gesamten Lebenszyklus geschützt werden also von der Erstellung über die Verwendung bis hin zur autorisierten Zerstörung. Jede Information muss in einer sicheren und verlässlichen Art geschützt werden und für die autorisierte Verwendung verfügbar sein. Informationen müssen auf der für den Geschäftszweck basierenden Wichtigkeit entsprechend klassifiziert sein. Die IT-Services der IMC FH Krems ermöglichen, dass Informationen gemeinsam genutzt werden können, wobei gleichzeitig sichergestellt sein muss, dass sie und die damit verbundenen Systeme geschützt sind. Die Geschäftsführung und alle MitarbeiterInnen sind dafür verantwortlich, dass die jeweiligen Kontrollen eingeführt sind, um die Verfügbarkeit, die Vertraulichkeit und die Integrität der Vermögenswerte zu gewährleisten. Jede einzelne Person der IMC FH Krems ist dafür verantwortlich, dass alle Sicherheitsmaßnahmen eingehalten werden. Dok.Nr.: FHR-1-0010_Vers.02_Rev.01 5
6. Richtlinienkriterien 6.1. Verwendung der Systeme Für die Verwendung jedes einzelnen Systems der IMC FH Krems bedarf es einer Genehmigung durch die Geschäftsführung. Diese Genehmigung wird durch den direkten Vorgesetzten schriftlich angefordert. Die Einhaltung dieser Richtlinie kann stichprobenartig durch IT Services überprüft werden. 6.2. Individuelle Verwendung Zur Verwendung der Systeme der IMC FH Krems ist eine individuelle Verantwortlichkeit erforderlich. Dies geschieht durch die Vergabe von individuell für alle BenutzerInnen eingerichteten Computererkennungen, also Benutzerkonten. Es ist eine Zustimmung der Geschäftsführung erforderlich, um eine/n BenutzerIn eine neue Benutzerkennung zuweisen zu können. Die Abteilung IT-Services muss außerdem eine Liste aller verfügbaren Benutzerkennungen verwalten. Jede/r BenutzerIn auf Systemen der IMC FH Krems darf lediglich auf jene Informationen zugreifen, für die sie/er aufgrund der ihr/ihm zugewiesenen Benutzerkennung autorisiert ist. Die Abteilung IT- Services ist verpflichtet, alle Benutzerkennungen und auf die damit zugegriffenen Systeme zu überwachen. Weiterhin ist die Abteilung IT-Services verpflichtet, entsprechende Technologien zu implementieren, um unerlaubten Zugriff auf Systeme oder Informationen vorzubeugen. Zusammen mit der Benutzerkennung muss eine weitere Identifikationsüberprüfung über ein Kennwort erfolgen. Kennwörter sind als vertrauliche Informationen zu behandeln und dürfen nur den BenutzerInnen bekannt sein und nicht weitergegeben werden. Zuletzt ist jede/r BenutzerIn dafür verantwortlich, welche Aktivitäten unter Verwendung der Benutzerkennung durchgeführt werden. Dok.Nr.: FHR-1-0010_Vers.02_Rev.01 6
6.3. Regelungen zur Passwortwahl Schlechte oder zu einfache Passwörter erhöhen die Möglichkeit, dass unautorisiert Zugang zu Computersystemen erreicht wird. Um Informationen der Fachhochschule Krems möglichst gut zu schützen, muss das Passwort nach folgenden Regeln gewählt werden. Das Passwort muss eine mindestlänge von 8 Zeichen haben. UND Hinweise: Das Passwort muss jeweils mindestens ein Zeichen der folgenden Gruppen enthalten: o Großbuchstaben (A-Z) o Kleinbuchstaben (a-z) o Nummer (0-9) o Sonderzeichen! $%&/()=?+*#,.-;:_@ Passwörter sollen nicht in einem Wörterbuch vorkommen. Auch das ersetzen von Buchstaben durch ähnliche Zeichen ist zu vermeiden. (z.b.: P@assw0rt) Die Benutzerinnen und Benutzer werden explizit darauf hingewiesen ihr Passwort in regelmäßigen Abständen zu ändern um die Datensicherheit ihrer Daten zu erhöhen und die Gefahr des Identitätsdiebstahls zu vermeiden. Die Abteilung IT Services behält es sich vor dies stichprobenartig zu überprüfen und Verstöße dagegen gegebenenfalls zu melden. 6.4. Tipps zur Erstellung eines schwer zu erratenden Passwortes: Sie können recht einfach ein schwierig zu erratendes Passwort erstellen, wenn Sie Wörter aus Themen, die Sie interessieren mit Nummern und Symbolen kombinieren. Wählen Sie zum Beispiel ein Passwort, das mit Ihren Interessen oder Hobbies zu tun hat. Das macht es einfacher eines auszusuchen und es ist auch leichter zu merken. Aber verwenden Sie bitte nicht die hier angeführten Beispiele: Nehmen Sie zwei Worte und eine Nummer, trennen Sie diese mit einem Sonderzeichen Schu-3-geschäft (wo gehen Sie gerne hin) 1/rote-Tomate (wächst in meinem Garten) Kombinieren Sie ein Wort oder Initialen von etwas, das Sie interessiert mit Sonderzeichen 456=mein-Audi (wenn Sie 456 in Ihrem Kennzeichen haben) Haus-13-krems (dort wohne ich) Dok.Nr.: FHR-1-0010_Vers.02_Rev.01 7
London/2012 (dort war ich auf Urlaub) Benutzen Sie ein Zitat, eine Liedzeile oder ein Gedicht Iam_from_Austria Last:Christmas! Kürzen Sie einen Satz mit dessen Anfangsbuchstaben ab Ich habe am 8. Jänner Geburtstag Iha8.JG 6.5. Schutz vor Viren und anderen böswilligen Produkten Da eine Vielzahl an BenutzerInnen Zugriff auf Informationen der IMC FH Krems haben, ist die Wahrscheinlichkeit des Befalls mit einem Computervirus, eines Netzwerkwurms oder anderen böswilligen Programmen hoch. Dies kann zur zeitweiligen Unterbrechung einzelner oder aller Systeme führen. Deshalb ist die kontinuierliche Verwendung von Antiviren-Software notwendig. Antiviren-Software ist daher auf allen Systemen installiert und wird durch die Abteilung IT-Services regelmäßig aktualisiert. Die Systeme müssen und werden damit nach Viren überprüft. Alle Dateien, die im Netzwerk verwendet werden und der IMC FH Krems von extern geliefert werden, muss vor deren Verwendung auf Viren untersucht werden. 6.6. Datenklassifizierung (sensitivity level) Die IMC FH Krems möchte eine Datenklassifizierung einführen. Abteilungs- und StudiengangsleiterInnen sind verantwortlich für die Festlegung der Sicherheitsanforderungen für jede der zugewiesenen Informationsgruppen bezüglich der drei Bereiche: Geheimhaltung, Vollständigkeit und Verfügbarkeit (confidentiality, integrity, availability) Um den Prozess der Festlegung zu vereinfachen und um sicherzustellen, dass an der gesamten Fachhochschule dieselben Kriterien verwendet werden, sollen Informationsgruppen nach folgenden Kriterien kategorisiert werden: Die Geheimhaltungsanforderung für eine Informationsgruppe wird wie folgt definiert: Öffentlich: Informationen können an Mitglieder und Nichtmitglieder der IMC FH Krems weitergegeben werden ohne Autorisierung durch die zuständige Führungskraft. Intern: Informationen können an Mitglieder der IMC FH Krems weitergegeben werden. Die Weitergabe solcher Informationen benötigt die Freigabe durch die zuständige Führungskraft. Dok.Nr.: FHR-1-0010_Vers.02_Rev.01 8
Abteilungsdaten: Informationen können an MitarbeiterInnen der Abteilung weitergegeben werden, welche die Daten besitzt. Vertraulich: Informationen dürfen nur an MitarbeiterInnen weitergegeben werden, die diese benötigen und zuvor durch die zuständige Führungskraft per Name oder Funktion autorisiert wurden. Geheim: Informationen dürfen nur an eine begrenzte Anzahl von MitarbeiterInnen weitergegeben werden, die diese benötigen und zuvor durch die zuständige Führungskraft autorisiert wurde. Die Anforderungen an Vollständigkeit und Verfügbarkeit für eine Informationsgruppe werden wie folgt definiert: Informationen sind Non-critical wenn durch unberechtigte Veränderung, Verlust oder Zerstörung nur kurzfristige Schwierigkeiten für die BenutzerInnen dieser Informationen sowie der IT-Services verursacht werden und der Schaden geringe Kosten verursacht. Es müssen angemessene Maßnahmen zum Schutz von Informationen in versperrbaren Kästen und /oder Büros zu verwahren, getroffen werden und die Benutzung von Standard Zutritts- und Zugriffsmechanismen die es verhindern, dass unautorisierte Personen Informationen verändern. Regelmäßige Backups sind zu organisieren. Informationen sind critical wenn durch deren unautorisierte Veränderung, Verlust oder Zerstörung durch bösartige Aktivitäten, unabsichtlich oder verantwortungsloses Handeln die IMC FH Krems einen größeren finanziellen Schaden oder einen Schaden an Reputation erleiden könnte, nicht mehr Gesetzes- oder Vertragskonform agiert oder die Kunden der Fachhochschule dadurch Nachteile erleiden. Zusätzliche Maßnahmen für critical Informationen: Critical Informationen müssen regelmäßig überprüft werden. Ein Notfallvorsorgeplan zur Wiederherstellung von critical Informationen welche zerstört oder beschädigt wurden wird von IT Services entwickelt, dokumentiert, eingeführt und jährlich getestet werden. Dok.Nr.: FHR-1-0010_Vers.02_Rev.01 9
6.7. Datenschutz Die IMC FH Krems besitzt in geltender Fassung persönliche Daten einzelner Personen. (Studierendendaten, etc.) Der Schutz persönlicher Daten ist von äußerster Wichtigkeit. Von allen MitarbeiterInnen der IMC FH Krems ist sicherzustellen, dass die Privatsphären-Richtlinie (Art. 7 der Charta der Grundrechte der EU) und diesbezügliche gesetzliche Bestimmungen im Datenschutzgesetz eingehalten werden. MitarbeiterInnen mit Kenntnis von und Zugriff auf persönliche Daten sind verpflichtet, die Vertraulichkeit dieser persönlichen Daten zu respektieren. Der Besitz und die Verwaltung persönlicher Daten (inklusive Kundendaten) müssen folgendermaßen verwaltet werden: BenutzerInnen der IT Systeme müssen die Möglichkeit haben, ungenaue oder unvollständige Daten anzufechten und eine weitere Verwendung außerhalb des angegebenen Zwecks zu untersagen. Die DatenverwalterInnen müssen vernünftige Kontrollen implementieren, um die Integrität der Daten zu schützen. Die Daten dürfen nur für den Zeitraum gespeichert bleiben, wie es das Gesetz oder ähnliche Bestimmungen vorsehen. Sozialversicherungsnummern von Studierenden müssen 6 Monate nach ausscheiden oder Abschluss gelöscht werden. An der IMC FH Krems wird dies automatisch durch das Verwaltungssystem erledigt. 6.8. Regelungen bezüglich personenbezogener Informationen Personenbezogene Informationen sind Informationen, die dazu benutzt werden können um eine bestimmte Person zu identifizieren oder zu kontaktieren. Beispiele dafür sind der Name, die Sozialversicherungsnummer, die Adresse, Geburtsdatum oder Telefonnummer. Alle personenbezogene Daten sind als vertraulich zu behandeln, außer: Die Informationen wurden als Adressbuchinformationen von der zuständigen Führungskraft definiert (z.b. Vorname, Nachname, Studiengang, die im Outlook Adressbuch aufscheinen) Die zuständige Führungskraft hat die Veröffentlichung von Informationen autorisiert. Dok.Nr.: FHR-1-0010_Vers.02_Rev.01 10
Folgende personenbezogene Informationen dürfen nicht gesammelt, gespeichert oder benutzt werden außer es ist für die Geschäftsprozesse notwendig (z.b. Personalverwaltung, Studierendenverwaltung) o o o o o o Sozialversicherungsnummer Geburtsort Geburtsdatum Lediger Name Kreditkartennummer Kontonummer AbteilungsleiterInnen müssen sicherstellen, dass ihre MitarbeiterInnen die Notwendigkeit diese Informationen zu schützen verstehen. Zugriff auf Informationen dieser Art dürfen nur dann gewährt werden, wenn diese Informationen zur Durchführung der aufgetragenen Aufgaben notwendig sind. 6.9. Reaktion auf einen Sicherheitsvorfall Alle BenutzerInnen der IT-Systeme der IMC FH Krems müssen darauf vorbereitet sein, Sicherheitsvorfälle wie Einbrüche oder Attacken, aber auch Schwachstellen der Systeme und andere Bedrohungen bei Erkennen weiterzuleiten. Alle erkannten oder vermuteten Sicherheitsvorfälle sind der Stelle IT-Services so schnell wie möglich zu melden. Dies kann per E-Mail, telefonisch oder persönlich erfolgen. 6.10. Verfügbarkeit Informationen müssen zur autorisierten Verwendung auf einfache Weise zur Verfügung gestellt werden. Es müssen geeignete Prozesse zur leichten und schnellen Wiederherstellung defekter, fehlender oder zerstörter Informationen entwickelt und implementiert werden. Dies gilt für jedes in der IMC FH Krems eingesetzte Betriebssystem. Es ist in jedermanns Verantwortung, geeignete Sicherungskopien seiner Informationen, die auf der persönlichen Arbeitsstation gespeichert sind, herzustellen. Es ist ein wiederkehrender Test einzuführen, der die korrekte Funktionalität der Sicherungs- und Wiederherstellungs-Programme sowie der wichtigsten Systeme überprüft. Diese Prozesse sind im QM der IMC FH Krems implementiert und werden dort regelmäßig Reviews unterzogen. Dok.Nr.: FHR-1-0010_Vers.02_Rev.01 11
6.11. Zugriffskontrollen Die Abteilung IT-Services hat physische und logische Zugriffskontrollen implementiert um Informationen und andere Vermögenswerte entsprechend ihrer Klassifikation und ihres Verlustrisikos leicht wieder herstellen zu können. Rechtszentren, Kabelschränke und Server müssen physisch vor unberechtigtem Zugriff geschützt werden. Zusätzlich dazu müssen Software-Mechanismen und entsprechende Prozesse eingeführt werden, damit sichergestellt ist, dass nur autorisierte Personen Zugriff auf diese Ressourcen haben. 6.12. Überprüfung der BenutzerInnen-Zugriffsrechte IT Services kontrolliert periodisch (mindestens alle 12 Monate) die Zugriffsmöglichkeiten der BenutzerInnen um festzustellen, ob die BenutzerInnen die Notwendigkeit erfüllen, auf jene Informationen zuzugreifen, für die sie autorisiert sind. 6.13. Sicheres Entsorgen von Informationen Vernichten von Informationen, welche aktuelle Gesetze oder Geschäftsgrundlagen der IMC FH Krems verletzen würde, ist nicht erlaubt. Grundsätzlich gilt an der IMC FH Krems, dass Daten nur auf Anweisung und nur durch die Abteilung IT-Services gelöscht werden. 6.14. Sicheres Vernichten von Geräten Alle Geräte, die Speichermedien wie zum Beispiel Festplatten enthalten, müssen vor ihrer Vernichtung daraufhin untersucht werden, dass keine sensitiven Daten oder aktuelle Programmlizenzen mehr darauf enthalten sind. Diese darf nur von autorisierten MitarbeiterInnen der Abteilung IT-Services durchgeführt werden. 6.15. Netzwerksicherheit Das Verbinden mit dem Computernetzwerk der IMC FH Krems muss in einer sicheren Art hergestellt werden, damit die Integrität des Netzwerks, die darin übertragenen Daten und dessen ständige Verfügbarkeit gewährleistet ist. Müssen Kunden, Lieferanten oder andere externe Partner auf das Firmennetzwerk der IMC FH Krems zugreifen, muss ein Repräsentant dieser Geschäftspartner Dok.Nr.: FHR-1-0010_Vers.02_Rev.01 12
der IT-Sicherheitsrichtlinie der IMC FH Krems schriftlich zustimmen, bevor eine Netzwerkverbindung hergestellt wird, die Vertraulichkeit von Informationen innerhalb des Netzwerks schriftlich akzeptieren und ist für jegliche Verletzung dieser Richtlinie verantwortlich. Jeder externe Zugriff auf das Netzwerk der IMC FH Krems bedarf einer vorherigen schriftlichen Genehmigung durch die Abteilung IT-Services der IMC FH Krems. 6.16. Entfernter Zugriff Um entfernt auf das Netzwerk der IMC FH Krems zuzugreifen, bedarf es der schriftlichen Genehmigung der Geschäftsführung. Dies ist nur in Ausnahmefällen möglich. Um eine eindeutige Zuordnung der Zugriffe auf Personen zu ermöglichen, muss die Identifikation und die Authentizität der Person überprüft werden, die Zugriff auf das Netzwerk verlangt. Jeder entfernte Zugriff muss überwacht werden, solange die Verbindung bestehen bleibt. Um entfernten Zugriff auf das Netzwerk der IMC FH Krems zu erlagen, dürfen ausschließlich jene Tools und Programme verwendet werden, die dazu von der IMC FH Krems angeboten werden. Die Verwendung anderer, firmenfremder Software und Programme sind nicht erlaubt. 6.17. Software-Lizenzen und Copyright Grundsätzlich gilt, dass auf Firmeneigenen Computern nur MitarbeiterInnen der Abteilung IT-Services Software installieren können. Lizenzierte Software darf nur dann kopiert oder dupliziert werden, wenn es dazu eine gesonderte Genehmigung innerhalb des Lizenzabkommens gibt. Keinerlei Programme oder Dateien, die außerhalb der IMC FH Krems bezogen werden (dies gilt auch für das Internet) dürfen selbst wenn sie lizenziert sind für persönliche Zwecke erworben und auf Systemen der IMC FH Krems ohne vorherige schriftliche Genehmigung der IT- Services installiert werden. Dok.Nr.: FHR-1-0010_Vers.02_Rev.01 13
6.18. Das Internet Das Internet steht den MitarbeiterInnen der IMC FH Krems uneingeschränkt zu geschäftlichen Zwecken zur Verfügung, wenn folgende Regeln beachtet werden: Es dürfen nur wesentliche Netzwerk-Ressourcen verbraucht werden. Die Benutzung des Internets darf die Produktivität der MitarbeiterInnen nicht beeinträchtigen. Die Benutzung des Internets darf Sicherheits- und andere Richtlinien der IMC FH Krems nicht verletzen. Die IMC FH Krems ermutigt seine MitarbeiterInnen das Internet zu benutzen. Hier sind viele wichtige Daten, Illustrationen, Erklärungen und andere Kommentare zu finden, die für geschäftliche Belange Verwendung finden können. Allerdings beinhalten einige Seiten des Internets solches Material, das unanständig ist; zum Beispiel gibt es dort Seiten, die sexuellen, Gewalt verherrlichenden oder diskriminierenden Inhalt verbreiten. Es ist verboten, auf solcherlei Seiten zuzugreifen. Die IMC FH Krems toleriert den Missbrauch von unternehmenseigenen Ressourcen nicht. Um die Einhaltung dieser Richtlinie zu gewährleisten, wird die individuelle Verwendung des Internets überwacht und aufgezeichnet. 6.19. Datenlöschung MitarbeiterInnen, Lehrenden, Studierenden und AbsolventInnen ist es nicht gestattet Daten, über die sie nicht allein verfügungsberechtigt sind ohne den entsprechenden Auftrag oder Berechtigungen zu löschen. Die IMC FH Krems kommen uneingeschränkte Nutzungsrechte über Daten die ein/e DienstnehmerIn in Erfüllung der dienstvertraglichen Verpflichtungen geschaffen hat, zu. 6.20. Elektronische Post Die Nutzung des E-Mail-System der IMC FH Krems, sowohl bei interner als auch bei externer Kommunikation, ist nur zu geschäftlichen Zwecken erlaubt. Alle elektronischen Nachrichten, die verschickt, empfangen oder gespeichert werden, sind als Eigentum der IMC FH Krems zu betrachten. Sie können jederzeit von den IT- Services eingesehen werden. Die Verwendung des E-Mail-Systems der IMC FH Krems unterliegt nicht der Privatsphäre. Die MitarbeiterInnen der IMC FH Krems könnten unter Umständen Empfänger von unerwünschten E-Mails sein, die nichts mit der geschäftlichen Tätigkeit zu tun haben. Dok.Nr.: FHR-1-0010_Vers.02_Rev.01 14
Die einfachste Antwort auf solcherlei E-Mails ist das Ignorieren. Erhalten BenutzerInnen wiederholend unerwünschte E-Mails von einem einzelnen Absender, so sollten sie die IT-Services darüber informieren. Die IMC FH Krems behält sich dann das Recht vor, Kontrollmechanismen einzusetzen, um den Absender identifizieren zu können und diesen auch die weitere Übermittlung zu verwehren. 7. Kriterien zur Richtlinien-Einhaltung Die Einhaltung dieser IT-Sicherheitsrichtlinie ist Pflicht. Schon während der Einstellungsphase neuer MitarbeiterInnen muss auf diese Richtlinie und deren Einhaltung hingewiesen werden. Dies gilt ebenfalls für das Abschließen von Verträgen mit externen MitarbeiterInnen. Jede/r interne und externe MitarbeiterIn, der Zugriff auf Informationen der IMC FH Krems hat, muss seine eigene Rolle und Verantwortlichkeit bezüglich sicherheitsrelevanter Sachverhalte kennen und verstehen. Dies gilt ohne Ausnahme auch für den Schutz und den Erhalt der informellen Vermögenswerte der IMC FH Krems. 7.1. Ausnahmen dieser Sicherheitsrichtlinie Um eine Ausnahme bei der Einhaltung dieser Sicherheitsrichtlinie zu erwirken, ist eine schriftliche Begründung einzureichen, die von der Geschäftsführung freigegeben wird. Diese schriftliche Begründung muss an die IT-Services gerichtet werden. Die IT-Services speichern die Begründung zusammen mit der Zustimmung zur Ausnahme ab und bewahren sie revisionssicher auf. Die einmalige Gewährung einer Ausnahme bedeutet nicht die generelle Zusage zu dieser Ausnahme. 7.2. Durchsetzung und Verletzung Jede Verletzung der Richtlinie muss an die Leitung des betroffenen Unternehmensbereichs und die IT-Services gemeldet werden. Jede Verletzung der IT-Sicherheitsrichtlinie zieht disziplinarische Folgen nach sich. Die Art dieser disziplinarischen Folgen wird von der Geschäftsführung in Zusammenarbeit mit den IT-Services festgelegt. Sie hängt stark von der Wirkung und dem entstandenen Schaden ab. Abhängig von der Verletzung der Richtlinie kann es sein, dass ein Sicherheitsvorfall-Bericht erstellt werden muss. Weiterhin muss entschieden werden, ob die Zugriffsrechte einzelner Personen auf Informationen der IMC FH Krems entzogen werden müssen. Elektronisch und automatisch erstellte Sicherheitsvorfall-Berichte müssen an die Geschäftsführung, die Personalabteilung und die IT-Services weitergeleitet werden. Dok.Nr.: FHR-1-0010_Vers.02_Rev.01 15
7.3. Änderungen dieses Dokuments Jede/r MitarbeiterIn der IMC FH Krems kann eine Änderung dieser Sicherheitsrichtlinie beantragen. Änderungs- und Verbesserungsvorschläge hierfür müssen in schriftlicher Form an die IT-Services gerichtet werden, die den Vorschlag nach Erhalt prüft. Die Gültigkeit der geänderten Richtlinie beginnt mit dem Zeitpunkt der Verteilung an der Einbindung ins QM-System. 8. Organisatorische und funktionale Verantwortlichkeiten Die folgenden Abschnitte erklären in Kürze die organisatorische Struktur der IMC FH Krems, damit die Einhaltung der Richtlinie gewährleistet ist: IT Services Die IT-Services der IMC FH Krems hat die Gesamtverantwortung darüber, die Implementierung, Verbesserung, die Überwachung und das Einhalten dieser Sicherheitsrichtlinie sicherzustellen. Die IT-Services sind der zentrale Ansprechpartner, wenn es um sicherheitsrelevante Fragen geht. Sie arbeiten eng mit allen Unternehmensbereichen zusammen. Die IT-Services geben in Sicherheitsfragen Empfehlungen ab und machen Vorschläge, wie entsprechende Sicherheitsvorkehrungen innerhalb der IMC FH Krems getroffen werden können. Die IT-Services sind bei einem Sicherheitsvorfall dafür verantwortlich, dass alle Schritte zur Aufklärung und Wiederherstellung des Betriebs koordiniert werden. Sicherheitsadministratoren Sicherheitsadministratoren sind dafür verantwortlichen, dass diese Richtlinie entsprechend administriert, Bedrohungen identifiziert und analysiert sowie entsprechende Maßnahmen bei einem Verstoß gegen diese Richtlinie eingeleitet werden. Die Personen, die zur Gruppe der Sicherheitsadministratoren gehören, haben administrative Rechte für alle Betriebssysteme und Benutzerkennungen innerhalb der IMC FH Krems. Besitzer von Informationen Jeder Information muss ein/ eindeutige/r BesitzerIn von Informationen zugewiesen werden. Diese Personen legen fest, wer Zugriff auf diese Information bekommt und mit welchen Rechten dieser Zugriff eingerichtet wird (Lesen, Schreiben und so weiter). Diese Zugriffsrechte müssen in Einklang mit der Tätigkeitsbeschreibung der entsprechenden MitarbeiterInnen sein. Besitzer von Informationen müssen diese Informationen ihrer Wichtigkeit entsprechend klassifizieren. Diese Einstufung kann zwar delegiert werden, die Verantwortung dazu bleibt jedoch bei der/dem BesitzerIn der Informationen. Alle BenutzerInnen sind verpflichtet, diese Richtlinie, die Sicherheitsstandards, Implementierungsvorschriften und alle anderen sicherheitsrelevanten Dokumente einzuhalten; sie müssen Verletzung dieser Richtlinie an die Geschäftsführung und IT- Services melden. Dok.Nr.: FHR-1-0010_Vers.02_Rev.01 16
9. Verpflichtungserklärung zur Einhaltung des Datenschutzes Verpflichtungserklärung zur Einhaltung des Datenschutzgesetztes (DSG) 2000 Verpflichtungserklärung für Dienstnehmer die für die IMC Fachhochschule Krems (privatrechtliche Bildungseinrichtung) tätig sind zur Einhaltung des Datengeheimnisses gemäß 15 Datenschutzgesetz 2000 und zur Verschwiegenheit bezüglich sonstiger bekannt gewordener Dienst- und Amtsvorgänge. Im Zuge Ihres Dienstverhältnisses erhalten Sie voraussichtlich Kenntnis über Personen und personenbezogene Umstände und Daten sowie über technische Daten betreffend die technische Infrastruktur und den strukturellen Aufbau von Datenanwendungen. Alle diese Daten sind absolut vertraulich zu behandeln und unterliegen den Bestimmungen des österreichischen Datenschutzgesetzes. Sie verpflichten sich, das Datengeheimnis gemäß den Bestimmungen des Datenschutzgesetzes i.d.g.f., insbesondere 15 DSG (Datengeheimnis) zu wahren; zu absoluter Verschwiegenheit über alle, Ihnen anlässlich Ihrer Tätigkeit bekannt gewordenen, nicht von den zuständigen Personen ausdrücklich als unbedenklich bezeichneten Dienst- und Amtsvorgänge. Sie verpflichten sich weiters, unbefugten Personen oder zuständigen Stellen die Kenntnisnahme von Daten, die Ihnen in Ausübung Ihres Dienstes bekannt geworden sind, nicht zu ermöglichen, sowie solche Daten nicht zu einem anderen als dem zum jeweiligen rechtmäßigen Aufgabenvollzug gehörenden Zweck zu verwenden; Automationsunterstützte oder manuell verarbeitete Daten, die Ihnen auf Grund Ihrer berufsmäßigen Beschäftigung anvertraut wurden oder zugänglich geworden sind, unbeschadet sonstiger Verschwiegenheitspflichten, nur auf Grund einer ausdrücklichen mündlichen oder schriftlichen Zustimmung des Dienstgebers oder dessen Beauftragten zu verwenden; diese Verpflichtung auch nach Beendigung Ihres Mitarbeiterverhältnisses und dem Ausscheiden aus der Firma einzuhalten. Sie nehmen zur Kenntnis, dass weiterreichende andere Bestimmungen über die Geheimhaltungspflicht von der oben angeführten Verpflichtung unberührt bleiben, sofern sie nicht mit dem Datenschutzgesetz im Widerspruch stehen; Dok.Nr.: FHR-1-0010_Vers.02_Rev.01 17
dass als Dienst- und Amtsvorgänge insbesondere jene zur Kenntnis gelangten Vorgänge zu verstehen sind, die dienstinterner Natur sind, oder die Rechte Dritter berühren; dass Verstöße gegen die oben angeführte Verpflichtung zu entsprechender strafrechtlicher Verfolgung führen können, schadenersatzpflichtig machen und auch arbeitsrechtliche Folgen haben können (z.b. Entlassung gemäß 27 Angestelltengesetz). Sie verpflichten sich, Daten und Verarbeitungsergebnisse ausschließlich dem Dienstgeber zurückzugeben oder nur nach dessen schriftlichem Auftrag zu übermitteln. Desgleichen bedarf eine Verwendung der überlassenen Daten für eigene Zwecke eines schriftlichen Auftrages; Alle mit der Datenverarbeitung beauftragten Personen vor Aufnahme der Tätigkeit zur Wahrung des Datengeheimnisses im Sinne des 15 DSG 2000 zu verpflichten. Insbesondere bleibt die Verschwiegenheitsverpflichtung der mit dem Datenverkehr beauftragten Personen auch nach Beendigung ihrer Tätigkeit und Ausscheiden beim Dienstnehmer aufrecht. Die Verpflichtung zur Verschwiegenheit ist auch für Daten von juristischen Personen und handelsrechtlichen Personengesellschaften einzuhalten; Ausreichende Sicherheitsmaßnahmen im Sinne des 14 DSG 2000 ergriffen zu haben, um zu verhindern, dass Daten ordnungswidrig verwendet oder Dritten unbefugt zugänglich werden; Nach Beendigung der Dienstleistung alle Verarbeitungsergebnisse und Unterlagen, die Daten enthalten, dem Auftraggeber zu übergeben bzw. in dessen Auftrag für ihn weiter vor unbefugter Einsicht gesichert aufzubewahren oder auftragsgemäß zu vernichten. Weiters verpflichtet sich der Dienstnehmer, Für die technischen und organisatorischen Voraussetzungen Vorsorge zu tragen, dass der Auftraggeber die Bestimmungen der 26 (Auskunftsrecht) und 27 (Recht auf Richtigstellung oder Löschung) DSG 2000 gegenüber dem Betroffenen innerhalb der gesetzlichen Fristen jederzeit erfüllen kann und er überlässt dem Auftraggeber alle die dafür notwendigen Informationen; Der Dienstnehmer ist nicht berechtigt, einen Subverarbeiter heranzuziehen. Dok.Nr.: FHR-1-0010_Vers.02_Rev.01 18
10. Anhang 10.1. IT Policy in der Fassung vom 24.07.2012 Um die Sicherheit des Computernetzwerkes gewährleisten zu können, verpflichten sich die MitarbeiterInnen und Studierenden zur Einhaltung folgender Benutzerregeln: Den Studierenden ist die Benutzung der den Studenten zugewiesenen Computer erlaubt. Das Downloaden von Programmen und deren Installation ist während der Benutzung der Computer der IMC Fachhochschule Krems verboten. Für die Vertraulichkeit der den Studierenden übermittelten Benutzerkennung ist Sorge zu tragen. Die Sicherung der lokal auf einem Einzelplatz PC gehaltenen Daten hat in Eigenverantwortung zu erfolgen. Die Studenten haften für die Einhaltung der gesetzlichen Vorschriften, insbesondere betreffend Urheberrecht bei Verwendung der Computer der IMC FH Krems. Die Benutzung von Tauschbörsen für Dateien jeder Art ist allenfalls unzulässig. Weiters nimmt der Studierende die Erklärung zur Einhaltung des Datengeheimnisses gemäß 15 Datenschutzgesetz 2000 nachweislich zur Kenntnis. Der Studierende verpflichtet sich, hausexternen Personen keinen Zutritt zu den Computer- und Seminarräumen zu gewähren und der Anordnung, dass Essen und Trinken in diesen Räumen nicht gestattet ist, Folge zu leisten. Der Studierende verpflichtet sich, das Inventar in den Computerräumen mit größter Sorgfalt zu behandeln und das vom Studiengang erhaltene persönliche Passwort nicht weiterzugeben. Nachfolgende Einschränkungen gelten für die den Studierenden zur Verfügung gestellten elektronischen Ressourcen: Speicherplatzbeschränkungen: - Z:\ Laufwerk max. 425MB - Mailpostfachgröße gesamt max. 500 MB - Keine Daten auf LAB-PCs Dok.Nr.: FHR-1-0010_Vers.02_Rev.01 19
Verpflichtend für alle Studenten sind nachstehende Punkte: - Pflege des Z:\Laufwerkes (Aufräumen, etc.) - Pflege des Mail Accounts (Postfach) - Anerkennung der auferlegten Speicherplatzbeschränkungen - Sofortige Bekanntgabe von eventuell auftretenden Sicherheitslücken an support@imc-krems.ac.at Jedem Studenten sind folgende Punkte strengstens untersagt: - Verändern der zur Verfügung gestellten Hardware (Lab-PCs, Surfstations, etc.) - Versenden von Spam Mails (Mails an mehr als 5 Empfänger, ohne direkten Zusammenhang mit LVAs) - Weitergabe von Passwörtern jeglicher Art - Verwendung von Passwörtern die nicht der Passwortrichtlinie in der IT- Sicherheitsrichtlinie entsprechen. - Übermäßiges Speichern von Privatdaten auf dem Z:\Laufwerk - Jeglicher Versuch, diverse Sicherheitsmechanismen zu umgehen - Speichern fremder Software auf Lab PCs Außerdem ist Folgendes zu beachten: - Allgemeine Umgangsformen am edesktop Im Falle eines Verstoßes gegen die Benutzerregeln wird umgehend die Benutzerkennung des jeweiligen Studierenden für mindestens 5 Werktage gesperrt. Dok.Nr.: FHR-1-0010_Vers.02_Rev.01 20