dossier:bin:sicherheitsrichtlinien

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung		 Vorhergehende Überarbeitung
dossier:bin:sicherheitsrichtlinien [2011/03/11 12:31] Marc Pillouddossier:bin:sicherheitsrichtlinien [2018/08/10 16:28] (aktuell) – Externe Bearbeitung 127.0.0.1
Zeile 1: Zeile 1:
 ===== B. Richtlinien Internet-Sicherheit ===== ===== B. Richtlinien Internet-Sicherheit =====
  
-**Version 0.52**+Der folgende Anhang ist ein Entwurf für Internetsicherheitsrichtlinien für die Schulen des Kantons Zürich.
  
-==== - Grundsätzliches ====  +==== -#1 Grundsätzliches ====  
-Diese Richtlinie beschreibt die pädagogischen, technischen und organisatorischen Vorgaben für die Umsetzung der Internet-Sicherheit an den Zürcher Schulen. Sie basieren auf der kantonalen Gesetzgebung (IDG, IDV und ISV) und auf den Erfahrungen im Umgang mit Internet-Sicherheit der letzten Jahre. +Diese Richtlinien beschreiben die pädagogischen, technischen und organisatorischen Vorgaben für die Umsetzung der Internet-Sicherheit an den Zürcher Schulen. Sie basieren auf der kantonalen Gesetzgebung (IDG, IDV und ISV) und auf den Erfahrungen im Umgang mit Internet-Sicherheit der letzten Jahre. 
  
 Aufgrund der rasanten Entwicklungen im ICT-Bereich sollten diese Richtlinien in der Regel alle 4 bis 5 Jahre überprüft und gegebenenfalls den veränderten Gegebenheiten angepasst werden.  Aufgrund der rasanten Entwicklungen im ICT-Bereich sollten diese Richtlinien in der Regel alle 4 bis 5 Jahre überprüft und gegebenenfalls den veränderten Gegebenheiten angepasst werden. 
Zeile 12: Zeile 12:
  
 <box round 100% orange> <box round 100% orange>
-Es wird sowohl auf massvolle pädagogische als auch auf technische Massnahmen gesetzt.+Die Schulen setzen sowohl auf massvolle pädagogische wie auch auf technische Massnahmen.
 </box> </box>
  
 <box round 100% orange> <box round 100% orange>
-Die Internet-Sicherheits-Infrastruktur soll schulspezifisch sein und ein semiprofessionelles Niveau erreichen.+Die Internet-Sicherheits-Infrastruktur soll schulspezifisch sein und  mindestens ein semiprofessionelles Niveau erreichen.
 </box> </box>
  
 <box round 100% orange> <box round 100% orange>
-Es wird eine Balance zwischen Sicherheitsrisiken, technischen Massnahmen  +Die Schulen streben eine Balance zwischen Sicherheitsrisiken, technischen Massnahmen  
-und pädagogisch, didaktischem Mehrwert eines einfachen Netzzugangs angestrebt.+und pädagogisch, didaktischem Mehrwert eines einfachen Netzzugangs an.
 </box> </box>
  
Zeile 27: Zeile 27:
 === - Definition von Internet-Sicherheit === === - Definition von Internet-Sicherheit ===
 Internet-Sicherheit ist ein sehr weiter Begriff. Er umfasst Themen wie  Internet-Sicherheit ist ein sehr weiter Begriff. Er umfasst Themen wie 
-   **Computer- und Netzsicherheit**, der Schutz der Infrastruktur vor Angriffen (Hacken, mutwillige automatisierte Überlastung, sowie Viren und anderem Schadcode) +   **Computer- und Netzsicherheit**Schutz der Infrastruktur vor Angriffen wie Hacken, mutwillige automatisierte Überlastung, sowie Viren und anderem Schadcode. 
-   **Datensicherheit**, der Schutz der Daten vor unerlaubtem Zugriff, Manipulation oder Verlust (Verschlüsselung, Datensicherung, etc.) +   **Datensicherheit**Schutz der Daten vor unerlaubtem Zugriff, Manipulation oder Verlust. 
-   **Datenschutz**, der Schutz personenbezogener Daten vor Missbrauch (siehe Datenschutzgesetz)  +   **Datenschutz**Schutz personenbezogener Daten vor Missbrauch (siehe Datenschutzgesetz). 
-   **Schutz der Kinder, Jugendlichen und Lehrpersonen** vor problematischen Inhalten, problematischen Kontakten und Cybermobbing  +   **Schutz der Kinder, Jugendlichen und Lehrpersonen**: Schutz vor problematischen Inhalten, problematischen Kontakten und Cyber-Mobbing. 
-   **Schutz der Lehrer/innen und der Schule**, dass sie nicht in unangenehme und/oder rechtlich problematische Situationen geraten bzgl. der Internet-Nutzung in der Schule oder Internet-Einsatz im Unterricht (siehe Personalgesetz) +   **Schutz der Lehrer/innen und der Schule**: Schutz vor unangenehmen und/oder rechtlich problematischen Situationen aufgrund der Internet-Nutzung in der Schule (siehe Personalgesetz). 
-   - **Schutz der Schule** im Sinne, dass sie ihre Verantwortung bzgl. den obigen Punkten wahr nimmt.+
  
 === - Gültigkeitsbereich === === - Gültigkeitsbereich ===
Zeile 38: Zeile 38:
    * Diese Richtlinien betreffen alle von der Schule zur Verfügung gestellten Internetzugänge. Sie betreffen nicht die privaten Internetzugänge (via Handy etc.) der Schüler/innen und Lehrer/innen. Diese sind im Verantwortungsbereich der Nutzer/innen resp. deren Eltern. Die Nutzung der privaten ICT-Geräte auf dem Schulareal und im Unterricht ist in der //Internet-Nutzungsvereinbarungen// mit den Schüler/innen und Lehrer/innen geregelt.    * Diese Richtlinien betreffen alle von der Schule zur Verfügung gestellten Internetzugänge. Sie betreffen nicht die privaten Internetzugänge (via Handy etc.) der Schüler/innen und Lehrer/innen. Diese sind im Verantwortungsbereich der Nutzer/innen resp. deren Eltern. Die Nutzung der privaten ICT-Geräte auf dem Schulareal und im Unterricht ist in der //Internet-Nutzungsvereinbarungen// mit den Schüler/innen und Lehrer/innen geregelt.
  
-   * Schulen, die über eine umfassende ICT-Konzeption verfügen, können begründet auf die Umsetzung einzelner Richtlinien verzichten, falls diese anderweitig abgedeckt werden. +   * Schulen, die über eine umfassende ICT-Konzeption verfügen, können begründet auf die Umsetzung einzelner Richtlinien verzichten, falls diese durch andere Massnahmen abgedeckt werden. 
  
    * Stufenspezifische Richtlinien sind folgendermassen gekennzeichnet: KGU (Kindergarten/Unterstufe), M (Mittelstufe), S1 (Sekundarstufe 1), S2 (Sekundarstufe 2).    * Stufenspezifische Richtlinien sind folgendermassen gekennzeichnet: KGU (Kindergarten/Unterstufe), M (Mittelstufe), S1 (Sekundarstufe 1), S2 (Sekundarstufe 2).
- 
- 
- 
  
 ==== - Pädagogische Richtlinien ==== ==== - Pädagogische Richtlinien ====
Zeile 51: Zeile 48:
  
 === - Verhaltenskodizes mit Internet-Nutzer/innen  === === - Verhaltenskodizes mit Internet-Nutzer/innen  ===
-   * (a) Jede Schule verfügt über eine //Internet-Nutzungsvereinbarung//, als Ergänzung zur Schulhausordnung oder als integraler Bestandteil dieser.+   * (a) Jede Schule verfügt über eine //Internet-Nutzungsvereinbarung//, als Ergänzung zur Schulhausordnung oder als integraler Bestandteil der Schulhausordnung.
    * (b) Die //Internet-Nutzungsvereinbarung// weist auf angemessenes, respektvolles Verhalten im Internet hin.    * (b) Die //Internet-Nutzungsvereinbarung// weist auf angemessenes, respektvolles Verhalten im Internet hin.
    * <nowiki>(c)</nowiki> Die //Internet-Nutzungsvereinbarung// ist von allen Internet-Nutzer/innen resp. deren Eltern zur Kenntnis zu nehmen.     * <nowiki>(c)</nowiki> Die //Internet-Nutzungsvereinbarung// ist von allen Internet-Nutzer/innen resp. deren Eltern zur Kenntnis zu nehmen. 
Zeile 57: Zeile 54:
  
 === - Medienkompetenz der Internet-Nutzer/innen === === - Medienkompetenz der Internet-Nutzer/innen ===
-   * (a) Alle Internet-Nutzer/innen verfügen über ihrer Stufe entsprechenden Internet-Nutzungs-Kompetenzen. +   * (a) Alle Internet-Nutzer/innen verfügen über ihrer Stufe entsprechende Internet-Nutzungs-Kompetenzen. 
-   * (b) Alle Internet-Nutzer/innen verfügen über eine ihrer Stufe entsprechenden Medienkompetenz bezüglich Internet-Nutzungs.  +   * (b) Alle Internet-Nutzer/innen verfügen über eine ihrer Stufe entsprechende Medienkompetenz bezüglich Internet-Nutzung.  
-   * <nowiki>(c)</nowiki> Alle Internet-Nutzer/innen sind sich den ihrer Stufe entsprechenden Problemen bei der Internetnutzung bewusst. +   * <nowiki>(c)</nowiki> Alle Internet-Nutzer/innen sind sich den Problemen bei der Internetnutzung bewusst. 
-   * (d) Lehrpersonen und Schulverwaltungspersonal sind mit dem Umgang von personenbezogenen Daten vertraut.+   * (d) Lehrpersonen und Schulverwaltungspersonal sind mit dem Umgang mit personenbezogenen Daten vertraut.
  
 ==== - Umgang mit Daten === ==== - Umgang mit Daten ===
 Die Internet-Nutzer/innen beachten das Datenschutzgesetz, insbesondere Die Internet-Nutzer/innen beachten das Datenschutzgesetz, insbesondere
-   * (a) personenbezogene Daten sind zurückhaltend zu erfassen. +   * (a) Personenbezogene Daten sind zurückhaltend zu erfassen. 
-   * (b) personenbezogene Daten dürfen nur mit Zustimmung der Betroffenen im Internet veröffentlicht werden.  +   * (b) Personenbezogene Daten dürfen nur mit Zustimmung der Betroffenen im Internet veröffentlicht werden.  
-   * <nowiki>(c)</nowiki> qualifizierende personenbezogenen Daten sind verschlüsselt zu speichern und zu versenden. +   * <nowiki>(c)</nowiki> Qualifizierende personenbezogenen Daten sind verschlüsselt zu speichern und zu versenden. 
  
 ==== - Technische Richtlinien ==== ==== - Technische Richtlinien ====
  
 === - Anforderungen an die ICT-Nutzergeräte === === - Anforderungen an die ICT-Nutzergeräte ===
-Unter ICT-Nutzergeräte zählen Workstations, Desktops, Notebooks, Subnotebook, Netbooks, Tablets, E-Book-Reader, Handys, Smartphones, Musikgeräte, Videogeräte, etc. mit der Möglichkeit des Internetzugangs. +Zu ICT-Nutzergeräten zählen Workstations, Desktops, Notebooks, Subnotebook, Netbooks, Tablets, E-Book-Reader, Handys, Smartphones, Musikgeräte, Videogeräte, etc. mit der Möglichkeit des Internetzugangs. 
    * (a) Alle in der Schule verwendeten ICT-Geräte für die Schadcode in Umlauf ist, müssen über einen aktuellen Schadcodeschutz (Virenschutz etc.) verfügen.     * (a) Alle in der Schule verwendeten ICT-Geräte für die Schadcode in Umlauf ist, müssen über einen aktuellen Schadcodeschutz (Virenschutz etc.) verfügen. 
    * (b) Alle in der Schule verwendeten ICT-Geräte, für die Sicherheitsupdates angeboten werden, müssen regelmässig aktualisiert werden.     * (b) Alle in der Schule verwendeten ICT-Geräte, für die Sicherheitsupdates angeboten werden, müssen regelmässig aktualisiert werden. 
Zeile 77: Zeile 74:
 === - Anforderungen an das IT-Netzwerk  === === - Anforderungen an das IT-Netzwerk  ===
    * (a) Das Netzwerk ist dokumentiert zum Beispiel als //Netzwerkplan und/oder Inventarliste//    * (a) Das Netzwerk ist dokumentiert zum Beispiel als //Netzwerkplan und/oder Inventarliste//
-   * (b) Der Netzverkehr vom Schulnetz zu Internet-Anwendungen wird maximal 6 Monate protokolliert.  +   * (b) Der Netzwerkverkehr vom Schulnetz ins Internet wird maximal 6 Monate protokolliert.  
-   * <nowiki>(c)</nowiki> Der Netzverkehr vom Schulnetz zu Internet-Anwendungen (Web, Mail, FTP, etc.) wird überprüft bezüglich  +   * <nowiki>(c)</nowiki> Der Netzwerkverkehr vom Schulnetz ins Internet wird überprüft bezüglich  
-      * welche Art von Internet-Anwendungen erlaubt, resp. ausgeschlossen werden (Firewall),  +      * erlaubten, resp. ausgeschlossen Internet-Anwendungen (Anwendungs-Filterung durch Firewall),  
-      * welche Internet-Quellen erlaubt, resp. ausgeschlossen werden (Ressourcen-Filterung). +      * erlaubten, resp. ausgeschlossen Internet-Quellen (Ressourcen-Filterung). 
-      * wer den Internet-Zugang nutzen darf, resp. ausgeschlossen wird (Authentifizierung/Autorisierung), +      * zugangsberechtigten, resp. ausgeschlossenen Personen (Authentifizierung/Autorisierung), 
-   * (d) Die Einstellung von Firewall, Ressourcen-Filterung und Authentifizierung/Autorisierung ist dokumentiert in einer //Sicherheitspolicy//.  +   * (d) Die Einstellung von Firewall, Ressourcen-Filter und Authentifizierung/Autorisierung-Infrastruktur ist dokumentiert in einer //Sicherheitspolicy//.  
-   * (e) Firewall, Ressourcen-Filterung und Authentifizierung/Autorisierung kann von der Schule selbst oder in Auftrag betrieben werden.  +   * (e) Die Firewall, Ressourcen-Filterung und Authentifizierung/Autorisierung wird von der Schule selbst oder in Auftrag betrieben.  
-   * (e) Eine Firewall soll die Schule gegen unberechtigte An- und Zugriffe von und nach aussen schützen.  +   * (e) Die Firewall schützt die Schule gegen unberechtigte An- und Zugriffe von und nach aussen.  
-   * (f) Eine Ressourcen-Filterung beschränkt den Zugang zu problematischen Inhalten auf allen den Schüler/innen zugänglichen Geräten mit Internetzugang der SchuleDas Ressourcen-Filterung kann auf URL-Verbotslisten und/oder Inhaltsüberprüfung aufbauen. Ressourcen-Filterung ist verpflichtend für KGU, M und S1 und empfohlen für S2. +   * (f) Die Ressourcen-Filterung beschränkt den Zugang zu problematischen Inhalten. Die Ressourcen-Filterung kann auf URL-Verbotslisten und/oder Inhaltsüberprüfung aufbauen. Ressourcen-Filterung ist verpflichtend für KGU, M und S1 und empfohlen für S2. 
    * (g) Die Authentifizierung/Autorisierung beschränkt den Internet-Zugang auf bekannte Nutzer/innen. Authentifizierung/Autorisierung ist verpflichtend für S2 und empfohlen für S1, M.     * (g) Die Authentifizierung/Autorisierung beschränkt den Internet-Zugang auf bekannte Nutzer/innen. Authentifizierung/Autorisierung ist verpflichtend für S2 und empfohlen für S1, M. 
    * (h) Anonyme Internetzugänge können aus pragmatischen Gründen weiter angeboten werden, unter der Bedingung einer restriktiven Ressourcen-Filterung und einer restriktiven Firewall.     * (h) Anonyme Internetzugänge können aus pragmatischen Gründen weiter angeboten werden, unter der Bedingung einer restriktiven Ressourcen-Filterung und einer restriktiven Firewall. 
Zeile 94: Zeile 91:
  
 === - Verantwortliche Personen === === - Verantwortliche Personen ===
-   * (a) Es ist eine Person zu bestimmen, die für die Umsetzung der Internet-Sicherheit verantwortlich ist, sich informiert und bei Fragen als Ansprechperson gilt. +   * (a) Die Schule bestimmt eine Person, die für die Umsetzung der Internet-Sicherheit verantwortlich ist, sich informiert und bei Fragen als Ansprechperson gilt. 
-   * (b) Die Schule hat ein mehrstufiges pädagogisches und technisches Support-Konzept eingerichtet, das auch bei Fragen zu Internetnutzung und Internetsicherheit greift. +   * (b) Die Schule richtet ein mehrstufiges pädagogisches und technisches Support-Konzept ein, das auch bei Fragen zu Internetnutzung und Internetsicherheit greift. 
  
 === - Sicherzustellende Vorgehen === === - Sicherzustellende Vorgehen ===
-   * (a) In der Schule ist ein Vorgehen sicherzustellen, wie bei Angriffen von aussen und bei Missbrauch von innen die notwendigen Gegenmassnahmen (z. B. Informationswege, Sichern von Beweisen, etc.) eingeleitet werden. +   * (a) In der Schule ist ein Vorgehen sichergestellt, wie bei Angriffen von aussen und bei Missbrauch von innen die notwendigen Gegenmassnahmen (z. B. Informationswege, Sichern von Beweisen, etc.) eingeleitet werden. 
-   * (b) In der Schule ist ein Vorgehen sicherzustellen zur Auswertung personenbezogener Logdaten. +   * (b) In der Schule ist ein Vorgehen sichergestellt zur Auswertung personenbezogener Logdaten. 
-   * <nowiki>(c)</nowiki> In der Schule ist ein Vorgehen sicherzustellen, wie das Sperren oder Freigeben von Internetinhalten bzgl. der Ressourcen- oder Inhalts-Filterung geregelt ist.+   * <nowiki>(c)</nowiki> In der Schule ist ein Vorgehen sichergestellt, wie das Sperren oder Freigeben von Internetinhalten bezüglich der Ressourcen- oder Inhalts-Filterung geregelt ist.
  
  
Zeile 108: Zeile 105:
    * Beim Kanton (VSA und MBA) sind für die in den Richtlinien erwähnten Dokumente Beispieldokumente verfügbar.     * Beim Kanton (VSA und MBA) sind für die in den Richtlinien erwähnten Dokumente Beispieldokumente verfügbar. 
    * Der Kanton (VSA und MBA) unterstützt die Evaluation/Entwicklung von semiprofessionellen Angeboten/Lösungen, die die technischen Anforderungen dieser Richtlinien erfüllen.     * Der Kanton (VSA und MBA) unterstützt die Evaluation/Entwicklung von semiprofessionellen Angeboten/Lösungen, die die technischen Anforderungen dieser Richtlinien erfüllen. 
-   * Der Kanton (VSA und MBA) koordiniert die Lizenzierung von Sicherheits-Software wo möglich und notwendig.  +   * Der Kanton (VSA und MBA) koordiniert die Lizenzierung von Sicherheits-Software womöglich und notwendig.  
-   * Der Kanton (VSA und MBA) oder/und der Bund (educa) stellt den Schulen regelmässig (wöchentlich) aktualisierte URL-Sperrlisten zu den wesentlichen Kategorien als Grundlage für die Ressourcenfilterung bereit.    +   * Der Kanton (VSA und MBA) und/oder der Bund (educa) stellt den Schulen regelmässig (wöchentlich) aktualisierte URL-Sperrlisten zu den wesentlichen Kategorien als Grundlage für die Ressourcenfilterung bereit.    
-   * Der Kanton (VSA und MBA) oder/und der Bund (educa) stellt den Schulen ein föderiertes Authentifizierungs- und Autorisierung-System zur Verfügung.   +   * Der Kanton (VSA und MBA) und/oder der Bund (educa) stellt den Schulen ein föderiertes Authentifizierungs- und Autorisierung-System zur Verfügung.   
  
 +==== - Technischer Anhang ====
  
-==== - Inkrafttreten === +Dieser Anhang beschreibt eine technische Sichtweise und dient als Orientierung für die technische Umsetzung der Richtlinien.
- +
-Diese Richtlinie tritt ab sofort in Kraft. Für bestehende Lösungen gilt eine Übergangsfrist bis Ende Schuljahr 2010/11. +
- +
- +
-unterzeichnet  +
- +
-Regierungsrätin Regina Aeppli +
- +
- +
-==== - Anhang ==== +
- +
-Dieser Anhang beschreibt eine technische Sichtweise und gilt als Orientierung für die technische Umsetzungder Richtlinien.+
  
 === - Detailanforderung an die Netzwerkkomponenten  === === - Detailanforderung an die Netzwerkkomponenten  ===
-   * Alle zentralen Netzwerkkomponenten müssen IPV4 und IPV6 behandeln können.+   * Alle zentralen Netzwerkkomponenten müssen IPV4 und IPV6 verarbeiten können.
  
 === - Detailanforderung an eine Firewall (FW)  === === - Detailanforderung an eine Firewall (FW)  ===
Zeile 144: Zeile 130:
  
 === - Details zu den Anforderungen an Ressourcen-Filterung (RF) === === - Details zu den Anforderungen an Ressourcen-Filterung (RF) ===
-Die RF muss folgende Bestimmungen erfüllen, wenn sie wirksam und effizient sein soll:+Die RF muss folgende Minimalanforderungen erfüllen:
    * (a) Die Schule definiert selber oder auf Empfehlung des Kantons, welche Kategorien unerwünschten Inhalts (Pornographie, Gewaltdarstellungen, etc.) sie blockieren will.     * (a) Die Schule definiert selber oder auf Empfehlung des Kantons, welche Kategorien unerwünschten Inhalts (Pornographie, Gewaltdarstellungen, etc.) sie blockieren will. 
-   * (b) Entweder verfügt die RF über einen leistungsfähigen Service, der laufend die Kategorisierung von Web-sites aktualisiert und mit der RF synchronisiert (URL-Filtering) oder es wird ein Inhaltsüberprüfungssystem (Content-Screening-System) eingesetzt, welches vermag den Inhalt zur Laufzeit zu scannen.+   * (b) Entweder verfügt die RF über einen leistungsfähigen Service, der laufend die Kategorisierung von Websites aktualisiert und mit der RF synchronisiert (URL-Filtering) oder es wird ein Inhaltsüberprüfungssystem (Content-Screening-System) eingesetzt, welches vermag den Inhalt zur Laufzeit zu scannen.
    * <nowiki>(c)</nowiki> Wird URL-Filtering (Ressourcenfilterung) eingesetzt, so muss die zugrundeliegende Datenbank regelmässig aktualisiert werden.     * <nowiki>(c)</nowiki> Wird URL-Filtering (Ressourcenfilterung) eingesetzt, so muss die zugrundeliegende Datenbank regelmässig aktualisiert werden. 
    * (d) Wird ein Scanning zur Laufzeit eingesetzt (Inhaltsüberprüfung), muss insbesondere auf eine genügende Performanz-Reserve geachtet werden.     * (d) Wird ein Scanning zur Laufzeit eingesetzt (Inhaltsüberprüfung), muss insbesondere auf eine genügende Performanz-Reserve geachtet werden. 
    * (e) Anfragen via URL und via IP-Adressen müssen gleichermassen geprüft und allenfalls abgewiesen werden können.    * (e) Anfragen via URL und via IP-Adressen müssen gleichermassen geprüft und allenfalls abgewiesen werden können.
 +
  • dossier/bin/sicherheitsrichtlinien.1299843074.txt.gz
  • Zuletzt geändert: 2018/08/10 16:24
  • (Externe Bearbeitung)