Verordnung betreffend Informatiksicherheit
1 Grundsatz
1/2015 Geltungsbereich
2 Schaffhauser Rechtsbuch 1997 c) Dienststellen oder Verwaltungseinheiten, die Bundesrecht voll- ziehen oder Bundesaufgaben erfüllen und dafür eigene oder fremde Informatiksysteme oder -anwendungen einsetzen, so- weit keine Sicherheitsanforderungen seitens des Bundes vor- handen sind. II. Allgemeine Bestimmungen
§ 3
1 Die folgenden Ausdrücke bedeuten: a) Informatiksysteme: Geräte und Einrichtungen sowie die dazu- gehörende Infrastruktur und Betriebssoftware, die zur elektroni- schen Bearbeitung oder zum elektronischen Austausch von Da- ten oder Informationen eingesetzt werden. b) Informatikanwendungen: Programme, welche die Nutzung von Informatiksystemen für die Erfüllung oder Unterstützung be- stimmter Aufgaben ermöglichen, einschliesslich der dabei bear- beiteten Daten. c) Informationen: Informationen sind Ergebnisse von konkreten Abfragen, welche aus Sach-, Finanz- oder Personendaten ge- wonnen werden. d) Inhaber der Datensammlung: Jede Organisationseinheit der öf- fentlichen Verwaltung des Kantons, der Gemeinden oder ande- rer öffentlich-rechtlicher Körperschaften im Kanton Schaffhau- sen, welche im Rahmen einer gesetzlichen Grundlage die Be- arbeitung von Daten oder Informationen zu verantworten hat. e) Betreiber zentraler Datenbanken: In der Regel der kantonale In- formatik-Servicedienstleister KSD, in Ausnahmefällen Dritt- betreiber oder der jeweilige Inhaber der Datensammlung, so- weit die Datenbank dezentral betrieben wird.
2 Ist aufgrund einer gesetzlichen Aufgabe nicht klar bestimmt oder nicht bestimmbar, wer Inhaber einer Datensammlung oder Betrei- ber einer Datenbank ist, muss dies unter allen Beteiligten schriftlich vereinbart und ein verantwortlicher Inhaber der Datensammlung bezeichnet werden.
§ 4
1 Der Inhaber einer Datensammlung und der Betreiber einer zentra- len Datenbank sind in ihren jeweiligen Aufgabenbereichen ver- pflichtet, Informatiksysteme, -anwendungen, Daten oder Informati- onen gegen Verlust und unerwünschte Einwirkungen zu sichern, vor unbefugtem Zugriff und unbefugter Bearbeitung zu schützen, Begriffe Zuständigkeiten
3
1/2015
4 Schaffhauser Rechtsbuch 1997 III. Schutzziele und Klassifizierung
§ 5
1 Für Informatiksysteme, -anwendungen und Informationen gelten folgende Schutzziele: a) Verfügbarkeit: Informatiksysteme, -anwendungen, Daten oder Informationen sind zugänglich und nutzbar. b) Vertraulichkeit: Daten oder Informationen sind nur den berech- tigten Personen zugänglich. c) Integrität: Informatiksysteme, -anwendungen, Daten oder Infor- mationen sind vor unberechtigten Änderungen geschützt. Alle Daten und Informationen sind vollständig und richtig. d) Nachvollziehbarkeit: Eine Ereigniskette kann nachträglich nach- vollzogen werden. e) Beweistauglichkeit und Revisionssicherheit: gemäss § 12 Abs.
3 dieser Verordnung.
2 Der Inhaber der Datensammlung und der Betreiber einer Daten- bank haben den Schutzbedarf der Daten und Informationen an- hand dieser Schutzziele festzulegen.
§ 6
1 Die Informatiksysteme, -anwendungen sowie die Daten und In- formationen sind von allen dieser Verordnung unterstehenden Or- ganisationseinheiten nach folgenden Kriterien zu klassifizieren: a) Verfügbarkeit: Ausfalldauer 3 Tage und mehr (Stufe tief); Aus- falldauer 1 – 3 Tage (Stufe mittel); Ausfalldauer bis ein Tag (Stufe hoch) b) Vertraulichkeit: Stufe P (public), Stufe N (nicht klassifizierte in- terne Daten), Stufe V (vertraulich), Stufe G (besonders schüt- zenswert) c) Integrität: Ausmass einer Beeinträchtigung in der Datennutzung dauert mehrere Jahre (Stufe sehr hoch); maximal bis zu einem Jahr (Stufe hoch); hat einen signifikanten, jedoch nicht über ein Jahr dauernden Einfluss auf das Geschäftsergebnis (Stufe mit- tel) d) Nachvollziehbarkeit: keine Nachvollziehbarkeit; anonymisierte Nachvollziehbarkeit; personenbezogene Nachvollziehbarkeit. e) Beweistauglichkeit und Revisionssicherheit: durch elektronische Signierung und Aufbewahrungsfristen.
2 Die KSD erlässt eine Weisung betreffend Klassifizierung von Da- ten und Informationen. Schutzziele Klassifizierung
5 Massnahmen- plan Instruktion des Personals
1/2015 Schutz der Informatiksys- teme, - anwendungen und Informatio- nen
6 Schaffhauser Rechtsbuch 1997
2 Die KSD stellt sicher, dass Verletzungen der Sicherheitsgrundsät- ze gemäss dieser Verordnung mit angemessenem Aufwand nach- vollzogen und beweistauglich reproduziert werden können.
§ 10
1 Der Zugriff auf Informatiksysteme, -anwendungen, Daten oder In- formationen wird über die Mitgliedschaft in Berechtigungsgruppen und/oder -rollen geregelt. Die Benutzer werden in die zur Ausübung ihrer Tätigkeiten erforderlichen Berechtigungsgruppen und/oder - rollen aufgenommen. Sie haben sich an Informatiksystemen ent- sprechend zu authentisieren.
2 Für die Zuordnung der Zugangsrechte sowie für deren laufende Aktualisierung ist der Inhaber einer Datensammlung zuständig und verantwortlich. Informatiksysteme müssen in der Lage sein, Benut- zer entsprechend ihren Berechtigungen zu authentifizieren.
3 Authentifizierungsmethoden sind der Risikosituation und dem Stand der Technik laufend anzupassen.
§ 11
1 Die Zugangsrechte von Mitarbeitenden, Auftragnehmern oder Drittbenutzern zu Informatiksystemen, -anwendungen, Daten oder Informationen müssen vom Inhaber einer Datensammlung sofort entzogen werden, wenn ihre Anstellung, ihr Auftrag oder eine ent- sprechende Nutzung beendet sind oder ein Missbrauch oder eine Verletzung der Sicherheitsgrundsätze gemäss dieser Verordnung festgestellt werden.
2 Ändern Anstellung, Auftrag oder Nutzung, sind die Zugangsrechte vom Inhaber einer Datensammlung umgehend anzupassen.
§ 12
1 Für die Datensicherung auf den zentralen Informatiksystemen der kantonalen Verwaltung ist die KSD zuständig. Die Sicherung um- fasst: a) die Benutzeridentifikationen und deren Zugriffsrechte (Objekte); b) die Fachanwendungen und deren Daten; c) die Datenablagen; d) die Verbindungsdaten des Internet- und E-Mail-Verkehrs; e) alle für die Rekonstruktion der EDV-Systeme notwendigen Da- ten- und Programmbereiche.
2 Die Datensicherung kann auch Protokollierungsdateien umfassen. Authentisierung und Authentifi- zierung Beendigung oder Änderung der Anstellung Datensicherung
7 Weitere Anfor- derungen
1/2015
8 Schaffhauser Rechtsbuch 1997 V. Kontrolle und Überprüfung der Sicherheits- massnahmen
§ 14
1 Auftretende Unregelmässigkeiten, unerklärliches Systemverhal- ten, Verlust oder Veränderung von Informatiksystemen, - anwendungen, Daten oder Informationen, Verdacht auf Missbrauch der eigenen Benutzererkennung oder andere sicherheitsrelevante Vorkommnisse sind umgehend dem Informatiksicherheitsbeauf- tragten der KSD (ISB) zu melden. Der ISB orientiert den Daten- schutzbeauftragten.
2 Der Inhaber einer Datensammlung und der Betreiber einer zentra- len Datenbank richten Verfahren ein, welche eine schnelle, wirk- same und planmässige Erkennung und Reaktion auf sicherheitsre- levante Vorkommnisse ermöglichen. Die KSD unterstützt sie dabei.
§ 15
1 Die Inhaber einer Datensammlung und der Betreiber einer zentra- len Datenbank überprüfen regelmässig, jedoch mindestens einmal jährlich, die Schutzziele und die Klassifizierung der in ihrem Zu- ständigkeitsbereich liegenden Informatiksysteme, -anwendungen, Daten und Informationen, die Einhaltung und Angemessenheit der Sicherheitsmassnahmen sowie die Zugangsrechte.
2 Der Inhaber einer Datensammlung und der Betreiber einer zentra- len Datenbank führen die notwendigen Dokumentationen gemäss dieser Verordnung aktuell nach und informieren die KSD angemes- sen und zeitnah.
3 Ändern Aufgaben, Organisation oder eingesetzte Informatiksys- teme, -anwendungen oder die damit bearbeiteten Daten und Infor- mationen, treffen der Inhaber einer Datensammlung und der Betreiber einer zentralen Datenbank die nötigen Anpassungen (vgl. auch § 11).
4 Der Inhaber einer Datensammlung und der Betreiber einer zentra- len Datenbank können die Schutzziele und die Klassifizierung so- wie die getroffenen Massnahmen in Abstimmung mit der KSD zu- sätzlich durch eine qualifizierte unabhängige externe Stelle prüfen lassen. Die Finanzkontrolle von Kanton und Stadt Schaffhausen, die KSD sowie der oder die kantonale Datenschutzbeauftragte können Einsicht in die Berichte nehmen. Meldung von Vorkommnissen und Schwach- stellen Überprüfung
9
1) und in die kantonale Ge- Bereinigung von Differenzen Weisungen der KSD Übergangsbe- stimmung Aufhebung bis- herigen Rechts
1/2015 Inkrafttreten
10 Schaffhauser Rechtsbuch 1997 Fussnoten:
1) Amtsblatt 2014, S. 1759.
Feedback