Lexipedia

174.102

Verordnung betreffend Informatiksicherheit

(Informatiksicherheitsverordnung, ISV)

Vom 02.12.2014 (Stand 01.01.2015)

Präambel

Der Regierungsrat des Kantons Schaffhausen,
beschliesst:

1 Grundsatz und Geltungsbereich

Art. 1 Grundsatz

Diese Verordnung bezweckt eine geordnete, wirksame und wirtschaftliche Informatik- und Informations-Sicherheit.

Die Verordnung bestimmt:

  1. das Verfahren, die Zuständigkeiten und Verantwortlichkeiten zur Gewährleistung der Sicherheit von Daten und Informationen, die mit Informatiksystemen und ‑anwendungen bearbeitet werden
  2. die grundsätzlichen Sicherheitsanforderungen, die bei der Bearbeitung von Daten oder Informationen mit Informatiksystemen und ‑anwendungen einzuhalten sind

Art. 2 Geltungsbereich

Diese Verordnung gilt für:

  1. die kantonale Verwaltung, die Justizbehörden und öffentlich-rechtliche Anstalten
  2. für die Gemeinden und für alle öffentlich-rechtlichen Körperschaften im Kanton Schaffhausen, soweit sie gemeinsam mit der kantonalen Verwaltung Informatiksysteme und ‑anwendungen betreiben, Daten oder Informationen austauschen oder eigene Anwendungen bei der KSD betreiben lassen
  3. Dienststellen oder Verwaltungseinheiten, die Bundesrecht vollziehen oder Bundesaufgaben erfüllen und dafür eigene oder fremde Informatiksysteme oder ‑anwendungen einsetzen, soweit keine Sicherheitsanforderungen seitens des Bundes vorhanden sind

2 Allgemeine Bestimmungen

Art. 3 Begriffe

Die folgenden Ausdrücke bedeuten:

  1. Informatiksysteme: Geräte und Einrichtungen sowie die dazugehörende Infrastruktur und Betriebssoftware, die zur elektronischen Bearbeitung oder zum elektronischen Austausch von Daten oder Informationen eingesetzt werden
  2. Informatikanwendungen: Programme, welche die Nutzung von Informatiksystemen für die Erfüllung oder Unterstützung bestimmter Aufgaben ermöglichen, einschliesslich der dabei bearbeiteten Daten
  3. Informationen: Informationen sind Ergebnisse von konkreten Abfragen, welche aus Sach-, Finanz- oder Personendaten gewonnen werden
  4. Inhaber der Datensammlung: Jede Organisationseinheit der öffentlichen Verwaltung des Kantons, der Gemeinden oder anderer öffentlich-rechtlicher Körperschaften im Kanton Schaffhausen, welche im Rahmen einer gesetzlichen Grundlage die Bearbeitung von Daten oder Informationen zu verantworten hat
  5. Betreiber zentraler Datenbanken: In der Regel der kantonale Informatik-Servicedienstleister KSD, in Ausnahmefällen Drittbetreiber oder der jeweilige Inhaber der Datensammlung, soweit die Datenbank dezentral betrieben wird

Ist aufgrund einer gesetzlichen Aufgabe nicht klar bestimmt oder nicht bestimmbar, wer Inhaber einer Datensammlung oder Betreiber einer Datenbank ist, muss dies unter allen Beteiligten schriftlich vereinbart und ein verantwortlicher Inhaber der Datensammlung bezeichnet werden.

Art. 4 Zuständigkeiten

Der Inhaber einer Datensammlung und der Betreiber einer zentralen Datenbank sind in ihren jeweiligen Aufgabenbereichen verpflichtet, Informatiksysteme, ‑anwendungen, Daten oder Informationen gegen Verlust und unerwünschte Einwirkungen zu sichern, vor unbefugtem Zugriff und unbefugter Bearbeitung zu schützen, die diesbezüglich notwendigen Notfallvorsorgemassnahmen sicherzustellen und die Grundsätze dieser Verordnung gemeinsam durchzusetzen.

Sofern die Gesetzgebung nichts anderes vorsieht, gelten für die Ordnungsmässigkeit und Sicherheit im Umgang mit Informatiksystemen, ‑anwendungen, Daten oder Informationen die anerkannten internationalen und nationalen Standards für das Informatiksicherheits- und das Informationsmanagement.

Die KSD:

  1. bewirtschaftet die Basisinfrastrukturen
  2. unterstützt alle dieser Verordnung unterstellten Organisationseinheiten bei der Einrichtung und beim Betrieb einer sicheren Informatik sowie bei der Umsetzung und Kontrolle der Sicherheitsmassnahmen
  3. überwacht die Einhaltung der technischen Sicherheitsanforderungen
  4. ist Ansprechpartnerin für alle dieser Verordnung unterstellten Organisationseinheiten in Fragen der Informatiksicherheit

Der Inhaber einer Datensammlung und der Betreiber einer zentralen Datenbank sind in ihrem Zuständigkeitsbereich in Bezug auf die eingesetzten Informatiksysteme, ‑anwendungen, Daten oder Informationen verantwortlich für:

  1. die Bestimmung der Schutzziele
  2. die Klassifizierung nach den Schutzzielen
  3. die Erstellung eines Massnahmenplanes zur Erreichung der Schutzziele und die Umsetzung der Sicherheitsanforderungen
  4. die Kontrolle des in ihrem Zuständigkeitsbereich liegenden Informatikbetriebes und der Informatiksicherheit

Der Informatiksicherheitsbeauftragte (ISB) der KSD ist verantwortlich für den Aufbau, die Implementierung, die Umsetzung und die Anpassung der gesamten Sicherheitsgrundsätze für den Informatik- und Telekommunikationsbetrieb der KSD als zentrale IT-Servicedienstleisterin und gegenüber allen dieser Verordnung unterstehenden Organisationseinheiten.

Der Fachausschuss der KSD ernennt ein Sicherheits-Gremium (Security-Board), bestehend aus mindestens drei Personen, wovon mindestens zwei Fachspezialisten, welche mit den Fragen der Informatiksicherheit vertraut und erfahren sind. Dieses Gremium berät den ISB, ist Kontrollorgan über die Tätigkeiten des ISB und Eskalationsstelle im Sinne von § 16 Abs. 1 dieser Verordnung.

3 Schutzziele und Klassifizierung

Art. 5 Schutzziele

Für Informatiksysteme, ‑anwendungen und Informationen gelten folgende Schutzziele:

  1. Verfügbarkeit: Informatiksysteme, ‑anwendungen, Daten oder Informationen sind zugänglich und nutzbar
  2. Vertraulichkeit: Daten oder Informationen sind nur den berechtigten Personen zugänglich
  3. Integrität: Informatiksysteme, ‑anwendungen, Daten oder Informationen sind vor unberechtigten Änderungen geschützt. Alle Daten und Informationen sind vollständig und richtig
  4. Nachvollziehbarkeit: Eine Ereigniskette kann nachträglich nachvollzogen werden
  5. Beweistauglichkeit und Revisionssicherheit: gemäss § 12 Abs. 3 dieser Verordnung

Der Inhaber der Datensammlung und der Betreiber einer Datenbank haben den Schutzbedarf der Daten und Informationen anhand dieser Schutzziele festzulegen.

Art. 6 Klassifizierung

Die Informatiksysteme, ‑anwendungen sowie die Daten und Informationen sind von allen dieser Verordnung unterstehenden Organisationseinheiten nach folgenden Kriterien zu klassifizieren:

  1. Verfügbarkeit: Ausfalldauer 3 Tage und mehr (Stufe tief); Ausfalldauer 1–3 Tage (Stufe mittel); Ausfalldauer bis ein Tag (Stufe hoch)
  2. Vertraulichkeit: Stufe P (public), Stufe N (nicht klassifizierte interne Daten), Stufe V (vertraulich), Stufe G (besonders schützenswert)
  3. Integrität: Ausmass einer Beeinträchtigung in der Datennutzung dauert mehrere Jahre (Stufe sehr hoch); maximal bis zu einem Jahr (Stufe hoch); hat einen signifikanten, jedoch nicht über ein Jahr dauernden Einfluss auf das Geschäftsergebnis (Stufe mittel)
  4. Nachvollziehbarkeit: keine Nachvollziehbarkeit; anonymisierte Nachvollziehbarkeit; personenbezogene Nachvollziehbarkeit
  5. Beweistauglichkeit und Revisionssicherheit: durch elektronische Signierung und Aufbewahrungsfristen

Die KSD erlässt eine Weisung betreffend Klassifizierung von Daten und Informationen.

Die Inhaber einer Datensammlung und der Betreiber einer zentralen Datenbank sind befugt, für ihren Zuständigkeitsbereich die Klassifizierung zu verfeinern und zusätzliche interne Weisungen für ihre eigene Organisationseinheit zu erlassen.

Art. 7 Massnahmenplan

Die Inhaber einer Datensammlung und der Betreiber einer zentralen Datenbank erstellen einen Plan der organisatorischen und technischen Massnahmen, welche die Erreichung der ermittelten Schutzziele sicherstellt. Die Massnahmen richten sich nach den Anforderungen an den Betrieb und die Sicherheit (§ 9 ff.) sowie nach den weiteren Vorgaben der KSD (§ 14 und § 17). Dabei sind der Grundsatz der Verhältnismässigkeit, der Stand der Technik und die verfügbaren Mittel zu berücksichtigen.

Der Massnahmenplan enthält für alle im Einsatz stehenden Informatiksysteme, ‑anwendungen, Daten oder Informationen folgende Angaben:

  1. Schutzziele und Klassifizierung
  2. Inhalt
  3. Kosten
  4. Verantwortlichkeiten
  5. Umsetzungsschritte und Termine
  6. Restrisiko
  7. Dokumentation

Art. 8 Instruktion des Personals

Die Inhaber einer Datensammlung und der Betreiber einer zentralen Datenbank informieren ihre Mitarbeitenden über die Sicherheitsmassnahmen, die sie zu beachten haben.

Sie sorgen für eine periodische Schulung ihrer Mitarbeitenden.

4 Anforderungen an den Betrieb und die Sicherheit

Art. 9 Schutz der Informatiksysteme, ‑anwendungen und Informationen

Zur Verhinderung von Verlust, Beschädigung und Missbrauch von Informatiksystemen, ‑anwendungen, Daten oder Informationen und zur Verhinderung eines Unterbruchs von Geschäftsaktivitäten müssen die Gebäude, Räume und Geräte vor Sicherheitsbedrohungen geschützt werden.

Die KSD stellt sicher, dass Verletzungen der Sicherheitsgrundsätze gemäss dieser Verordnung mit angemessenem Aufwand nachvollzogen und beweistauglich reproduziert werden können.

Art. 10 Authentisierung und Authentifizierung

Der Zugriff auf Informatiksysteme, ‑anwendungen, Daten oder Informationen wird über die Mitgliedschaft in Berechtigungsgruppen und/oder ‑rollen geregelt. Die Benutzer werden in die zur Ausübung ihrer Tätigkeiten erforderlichen Berechtigungsgruppen und/oder ‑rollen aufgenommen. Sie haben sich an Informatiksystemen entsprechend zu authentisieren.

Für die Zuordnung der Zugangsrechte sowie für deren laufende Aktualisierung ist der Inhaber einer Datensammlung zuständig und verantwortlich. Informatiksysteme müssen in der Lage sein, Benutzer entsprechend ihren Berechtigungen zu authentifizieren.

Authentifizierungsmethoden sind der Risikosituation und dem Stand der Technik laufend anzupassen.

Art. 11 Beendigung oder Änderung der Anstellung

Die Zugangsrechte von Mitarbeitenden, Auftragnehmern oder Drittbenutzern zu Informatiksystemen, ‑anwendungen, Daten oder Informationen müssen vom Inhaber einer Datensammlung sofort entzogen werden, wenn ihre Anstellung, ihr Auftrag oder eine entsprechende Nutzung beendet sind oder ein Missbrauch oder eine Verletzung der Sicherheitsgrundsätze gemäss dieser Verordnung festgestellt werden.

Ändern Anstellung, Auftrag oder Nutzung, sind die Zugangsrechte vom Inhaber einer Datensammlung umgehend anzupassen.

Art. 12 Datensicherung

Für die Datensicherung auf den zentralen Informatiksystemen der kantonalen Verwaltung ist die KSD zuständig. Die Sicherung umfasst:

  1. die Benutzeridentifikationen und deren Zugriffsrechte (Objekte)
  2. die Fachanwendungen und deren Daten
  3. die Datenablagen
  4. die Verbindungsdaten des Internet- und E-Mail-Verkehrs
  5. alle für die Rekonstruktion der EDV-Systeme notwendigen Daten- und Programmbereiche

Die Datensicherung kann auch Protokollierungsdateien umfassen.

Die gesicherten Daten werden gesondert und sicher aufbewahrt und können zur Rekonstruktion von verlorenen Daten beigezogen und im Rahmen der festgelegten Sicherungskonzepte auch ausgewertet werden. Deren beweistaugliche, gesetzeskonforme und revisionssichere Aufbewahrung sowie deren digitale Langzeitarchivierung bleiben im Verantwortungsbereich des Inhabers einer Datensammlung.

Für die Datensicherung auf den lokalen oder dezentralen Informatiksystemen ist der Inhaber einer Datensammlung selber verantwortlich.

Art. 13 Weitere Anforderungen

Die KSD kann im Rahmen von Richtlinien oder Weisungen die nötigen Anforderungen an den Betrieb und die Sicherheit weiter definieren oder konkretisieren, insbesondere betreffend:

  1. die Standardisierung und Organisation der Infrastrukturen
  2. den Zugriffsschutz und die Sicherheitsauswertungen
  3. die elektronische Datenkommunikation
  4. den Datenaustausch
  5. die Datensicherung und Datenablage
  6. die Sicherstellung des Geschäftsbetriebs
  7. Internet- und E-Mail-Nutzung
  8. den Schutz vor Bedrohungen wie Malware, Computer-Viren, Social Engineering, Phishing, usw.
  9. mobile Speichermedien und Endgeräte
  10. Anforderungen an den Einsatz und die Sicherheitsvorkehrungen von sozialen Medien
  11. den Umgang der Mitarbeitenden mit der Informatik am Arbeitsplatz und ausserhalb der Büroräumlichkeiten
  12. den Umgang bei Beendigung oder Änderung des Anstellungsverhältnisses
  13. neue Technologien und Infrastrukturen

Die KSD kann für die Ausarbeitung von Richtlinien oder Weisungen die Fachkräfte der Inhaber von Datensammlungen beiziehen und anhören.

5 Kontrolle und Überprüfung der Sicherheitsmassnahmen

Art. 14 Meldung von Vorkommnissen und Schwachstellen

Auftretende Unregelmässigkeiten, unerklärliches Systemverhalten, Verlust oder Veränderung von Informatiksystemen, ‑anwendungen, Daten oder Informationen, Verdacht auf Missbrauch der eigenen Benutzererkennung oder andere sicherheitsrelevante Vorkommnisse sind umgehend dem Informatiksicherheitsbeauftragten der KSD (ISB) zu melden. Der ISB orientiert den Datenschutzbeauftragten.

Der Inhaber einer Datensammlung und der Betreiber einer zentralen Datenbank richten Verfahren ein, welche eine schnelle, wirksame und planmässige Erkennung und Reaktion auf sicherheitsrelevante Vorkommnisse ermöglichen. Die KSD unterstützt sie dabei.

Art. 15 Überprüfung

Die Inhaber einer Datensammlung und der Betreiber einer zentralen Datenbank überprüfen regelmässig, jedoch mindestens einmal jährlich, die Schutzziele und die Klassifizierung der in ihrem Zuständigkeitsbereich liegenden Informatiksysteme, ‑anwendungen, Daten und Informationen, die Einhaltung und Angemessenheit der Sicherheitsmassnahmen sowie die Zugangsrechte.

Der Inhaber einer Datensammlung und der Betreiber einer zentralen Datenbank führen die notwendigen Dokumentationen gemäss dieser Verordnung aktuell nach und informieren die KSD angemessen und zeitnah.

Ändern Aufgaben, Organisation oder eingesetzte Informatiksysteme, ‑anwendungen oder die damit bearbeiteten Daten und Informationen, treffen der Inhaber einer Datensammlung und der Betreiber einer zentralen Datenbank die nötigen Anpassungen (vgl. auch § 11).

Der Inhaber einer Datensammlung und der Betreiber einer zentralen Datenbank können die Schutzziele und die Klassifizierung sowie die getroffenen Massnahmen in Abstimmung mit der KSD zusätzlich durch eine qualifizierte unabhängige externe Stelle prüfen lassen. Die Finanzkontrolle von Kanton und Stadt Schaffhausen, die KSD sowie der oder die kantonale Datenschutzbeauftragte können Einsicht in die Berichte nehmen.

Art. 16 Bereinigung von Differenzen

Ist der Inhaber einer Datensammlung oder der Betreiber einer zentralen Datenbank nicht mit den Vorgaben der KSD einverstanden, ist das Security Board der KSD (§ 4 Abs. 6) anzurufen. Das Security Board versucht unter Einbezug der anrufenden Stelle eine einvernehmliche Lösung zu finden.

Kann innert drei Monaten seit Anmeldung der Differenz beim Security Board keine einvernehmliche Lösung gefunden werden, entscheidet der Regierungsrat. Der Datenschutzbeauftragte kann vorgängig angehört werden.

6 Schlussbestimmungen

Art. 17 Weisungen der KSD

Die KSD erlässt und publiziert alle notwendigen Weisungen, Richtlinien oder Reglemente über die Nutzung der Informatiksysteme, ‑anwendungen, Daten und Informationen, für die Sicherstellung eines sicheren und wirtschaftlichen Einsatzes und Betriebes der Informatik und für die Konkretisierung der Schutzziele und die Sicherheitsanforderungen.

Die KSD unterstützt die Inhaber einer Datensammlung und die Betreiber einer zentralen Datenbank in allen Belangen des Vollzuges dieser Verordnung.

Art. 18 Übergangsbestimmung

Die Inhaber einer Datensammlung und der Betreiber einer zentralen Datenbank haben für alle Informatiksysteme, ‑anwendungen, Daten und Informationen innerhalb von zwei Jahren nach Inkrafttreten dieser Verordnung die Schutzziele (§ 5), die Klassifizierung (§ 6) und den Massnahmenplan (§ 7) in Abstimmung mit der KSD zu erstellen.

Art. 19 Aufhebung bisherigen Rechts

Das Reglement über den Schutz und die Sicherung von Daten bei der «KSD Kanton und Stadt Schaffhausen Datenverarbeitung» (Datenschutzreglement) vom 22. April 1980 wird aufgehoben.

Art. 20 Inkrafttreten

Diese Verordnung tritt auf den 1. Januar 2015 in Kraft.

Sie ist im Amtsblatt zu veröffentlichen[1] und in die kantonale Gesetzessammlung aufzunehmen.

Egress

Abl. 2014, S. 1759

Änderungstabelle - Nach Beschluss

Beschluss Inkrafttreten Element Änderung Fundstelle
02.12.2014 01.01.2015 Erlass Erstfassung Abl. 2014, S. 1759

Änderungstabelle - Nach Artikel

Element Beschluss Inkrafttreten Änderung Fundstelle
Erlass 02.12.2014 01.01.2015 Erstfassung Abl. 2014, S. 1759