Lexipedia

Entscheid

RRB Nr. 1298/2014

Netzwerk - Sicherheitsrichtlinien, Network Security Policy NSP 2014, Genehmigung und Inkraftsetzung

10. Dezember 2014Deutsch3 min

Source zh.ch

Netzwerk - Sicherheitsrichtlinien, Network Security Policy NSP 2014, Genehmigung und Inkraftsetzung

Auszug aus dem Protokoll des Regierungsrates des Kantons Zürich Sitzung vom 10. Dezember 2014

1298. Netzwerk-Sicherheitsrichtlinien (Network Security Policy NSP 2014) (Genehmigung und Inkraftsetzung)

Erwägungen

1. Ausgangslage Das Datenkommunikationsnetzwerk LEUnet, das im Zeitraum Mitte 2015 bis Mitte 2016 erneuert wird, dient für die Datenkommunikation innerhalb der kantonalen Verwaltung sowie mit und zwischen den Ge- meinden. Damit dieses für die tägliche Arbeit wichtige Hilfsmittel sicher betrieben werden kann, sind Verhaltensregeln nötig. Zu diesem Zweck hat die Projektorganisation LEUnet2, parallel zur Erarbeitung der neuen Netzwerkstrategie (RRB Nr. 616/2014) und zum Pflichtenheft LEUnet2, mit der Erneuerung der Netzwerk Security Policy (NSP) begonnen. Die erste NSP vom 1. Mai 2006 (RRB Nr. 491/2006) wurde erneuert und am 16. Mai 2014 durch das Kantonale IT-Team (KITT) festgesetzt. Gemäss RRB Nr. 491/2006 kann das KITT gering- fügige Änderungen beschliessen, wesentliche Veränderungen sind jedoch dem Regierungsrat zu beantragen. Mit den vorliegenden Netzwerk-Sicherheitsrichtlinien soll die Netz- werk Security Policy (NSP 2014) den veränderten Bedingungen (tech- nologisch und organisatorisch) angepasst werden.

2. Inhalt Die Richtlinien enthalten einerseits Verhaltensregeln und Massnah- men zur Verbesserung der logischen und physischen Sicherheit und weisen anderseits Aufgaben, Kompetenzen und Verantwortungen an Rollen- träger zu. Im Datennetz des Kantons Zürich bestehen verschiedene Be- reiche mit unterschiedlichen Sicherheitsansprüchen. Beispielsweise müs- sen die Netze der Kantonspolizei und der Justiz besser geschützt werden als jene der allgemeinen Verwaltung. In den Richtlinien werden die Netz- bereiche in Domänen eingeteilt. Eine Domäne ist ein Netz, eine Zone oder ein Bereich mit gleichartigen Sicherheitsanforderungen. Alle Ver- waltungsnetze des Kantons werden der Domäne GELB ZH zugewiesen.

Sie definiert die gemeinsamen minimalen Sicherheitsanforderungen analog zur Stufe 1 der Informatiksicherheitsverordnung ISV. In Teilbe- reichen, sogenannten Subdomänen, werden strengere und weiter gehende Vorschriften erlassen, soweit dies nötig ist.

3. Gültigkeit Die Richtlinien sind für alle Stellen der kantonalen Verwaltung, d. h. Direktionen, Staatskanzlei und unselbstständige Anstalten, gültig. Für Stellen ausserhalb der kantonalen Verwaltung (USZ, Gemeinden, Dienst- leister, Dritte), die an das kantonale Netz angeschlossen sind, enthalten die Richtlinien ebenfalls verbindliche Kriterien. Die Interessengemein- schaft ICT Zürcher Gemeinden (IG ICT) hat aktiv bei der Erneuerung mitgearbeitet und anerkennt die Richtlinien.

4. Kosten Für die Massnahmen zur Umsetzung der NSP schätzt das KITT die Kos- ten für jede Direktion auf rund Fr. 50 000. Diese Aufwendungen sollen aus den ordentlichen IT-Budgets der Direktionen bestritten werden. Die Richtlinien ergänzen die Informatiksicherheitsverordnung vom 17. De- zember 1997. Den Netzwerk-Sicherheitsrichtlinien nachgeordnet sind Einzelrichtlinien, Domänenpolicies genannt. Nach der Inkraftsetzung der NSP soll das KITT auch für die Pflege dieser Richtlinien zuständig sein.

Dispositiv

Auf Antrag der Finanzdirektion beschliesst der Regierungsrat:

I. Die Netzwerk-Sicherheitsrichtlinien vom 16. Mai 2014 werden ge- nehmigt und auf den 1. Januar 2015 in Kraft gesetzt. Für spätere Ände- rungen ist das Kantonale IT-Team (KITT) zuständig. Wesentliche Än- derungen mit strategischen Konsequenzen sind dem Regierungsrat zu beantragen.

II. Mitteilung an – die Direktionen des Regierungsrates und die Staatskanzlei, – die Verwaltungskommission der obersten kantonalen Gerichte, c/o Obergericht des Kantons Zürich, Postfach 2401, 8021 Zürich,

– die Finanzkontrolle, – die Parlamentsdienste, – den Ombudsmann, – den Datenschutzbeauftragten, – die IG ICT Zürcher Gemeinden, Postfach 100, 8610 Uster.

Vor dem Regierungsrat Der Staatsschreiber:

Husi