Vorlage-Sammeldokument

Ratsversammlung Beschlussvorlage Nr. DS-00743/14 Status: öffentlich Beratungsfolge: Gremium Termin Ratsversammlung 18.12.2014 Zuständigkeit Beschlussfassung Eingereicht von Dezernat Allgemeine Verwaltung Betreff Vereinbarung des Oberbürgermeisters mit den Fraktionen der Ratsversammlung (Stadtrat) über die Zuweisung der zur Wahrnehmung ihrer Aufgaben notwendigen Haushaltsmittel für die Wahlperiode 2014-2019 Beschluss: Die Vereinbarung für die Wahlperiode 2014 - 2019 wird beschlossen. Prüfung der Übereinstimmung mit den strategischen Zielen: nicht relevant X Finanzielle Auswirkungen wenn ja, nein ja, Ergebnis siehe Anlage zur Begründung Kostengünstigere Alternativen geprüft nein Folgen bei Ablehnung nein ja, Erläuterung siehe Anlage zur Begründung Handelt es sich um eine Investition (damit aktivierungspflichtig)? nein ja, Erläuterung siehe Anlage zur Begründung Im Haushalt wirksam von Ergebnishaushalt bis Höhe in EUR wo veranschlagt Erträge Aufwendungen Finanzhaushalt Einzahlungen Auszahlungen Entstehen Folgekosten oder Einsparungen? Folgekosten Einsparungen wirksam Zu Lasten anderer OE wenn ja, nein von bis Höhe in EUR (jährlich) wo veranschlagt Ergeb. HH Erträge Ergeb. HH Aufwand Nach Durchführung der Maßnahme Ergeb. HH Erträge zu erwarten Ergeb. HH Aufwand (ohne Abschreibungen) Ergeb. HH Aufwand aus jährl. Abschreibungen Auswirkungen auf den Stellenplan Beantragte Stellenerweiterung: Beteiligung Personalrat X nein X nein wenn ja, Vorgesehener Stellenabbau: ja, Sachverhalt: Anlagen: Seite 2/3 BESCHLUSSAUSFERTIGUNG Ratsversammlung vom 18.12.2014 zu 9.1. Vereinbarung des Oberbürgermeisters mit den Fraktionen der Ratsversammlung (Stadtrat) über die Zuweisung der zur Wahrnehmung ihrer Aufgaben notwendigen Haushaltsmittel für die Wahlperiode 20142019 Vorlage: DS-00743/14 Beschluss: Die Vereinbarung für die Wahlperiode 2014 - 2019 wird beschlossen. Abstimmungsergebnis: mehrheitlich angenommen bei 3 Gegenstimmen und 1 Stimmenthaltung Leipzig, den 19. Dezember 2014 Seite: 1/1 Begründung Im Zusammenhang mit der Wahl des Stadtrates am 25. Mai 2014 und 12. Oktober 2014 ist es – wie in der bisherigen Vereinbarung zwischen dem Oberbürgermeister und den Fraktionen festgelegt – erforderlich, mit den neuen Fraktionen für die Wahlperiode 2014 bis 2019 eine „Vereinbarung des Oberbürgermeisters der Stadt Leipzig mit den Fraktionen der Ratsversammlung (Stadtrat) über die Zuweisung der zur Wahrnehmung ihrer Aufgaben notwendigen Haushaltsmittel“ abzuschließen. Die Verwaltung hat einen entsprechenden Entwurf auf Grundlage der Vereinbarungen für die IV. und V. Wahlperiode erarbeitet. Dieser Entwurf wurde den Fraktionen am 27. November 2014 übermittelt und in der Sitzung des Oberbürgermeisters mit den neuen Fraktionsvertretern am 3. Dezember 2014 mit dem Ergebnis zur Kenntnis gegeben, dass die Vorlage mit der Fraktionsvereinbarung entsprechend dem vorgelegten Entwurf durch die Verwaltung vorbereitet wird. Ziel ist die Beschlussfassung in der konstituierenden Sitzung der Ratsversammlung für die VI. Wahlperiode am 18. Dezember 2014. Folgende Anlagen sind der Vorlage beigefügt: Anlage 1 - Benennung der bereitgestellten Räume Anlage 2 - Sicherheitsrichtlinie für die IT-Nutzung durch die Fraktionsgeschäftsstellen Vereinbarung des Oberbürgermeisters der Stadt Leipzig mit den Fraktionen der Ratsversammlung (Stadtrat) über die Zuweisung der zur Wahrnehmung ihrer Aufgaben notwendigen Haushaltsmittel für die Wahlperiode 2014 - 2019 Aufgrund von § 35a SächsGemO i.V. m. § 10 Abs. 4 der Hauptsatzung der Stadt Leipzig in der Fassung vom 16.07.2014 trifft der Oberbürgermeister mit den Fraktionen der Ratsversammlung für die Wahlperiode 2014 – 2019 folgende Vereinbarung: §1 Grundsätze (1) Den Fraktionen werden nach Maßgabe der nachfolgenden Regelungen im Rahmen des jährlichen Haushaltsplans Haushaltsmittel zur Finanzierung des sächlich und personell notwendigen Aufwandes sowie Geschäftsräume zur Verfügung gestellt. Diese Mittel können sowohl für Personalaufwendungen als auch für Sachaufwendungen verwendet werden. (2) Fraktionslosen Stadträten werden nach Maßgabe der nachfolgenden Regelungen Haushaltsmittel zur Finanzierung ihres notwendigen sächlichen Aufwandes zur Verfügung gestellt. (3) Bei der Verwendung der Mittel sind die Regelungen dieser Vereinbarung und die Grundsätze einer sparsamen und wirtschaftlichen Haushaltsführung (§ 72 Abs. 2 SächsGemO) einzuhalten. (4) Die jährliche Mittelanmeldung erfolgt nach Absprache mit den Fraktionen durch das Büro für Ratsangelegenheiten. Grundlage hierfür ist der durch die jeweilige Fraktion jährlich zu erstellende Finanzplan. (5) Die Höhe der Haushaltsmittel zur Finanzierung des notwendigen sächlichen und personellen Aufwandes wird im Rahmen der jährlichen Beschlussfassung im Haushaltsplan festgelegt und in einer besonderen Anlage zum Haushaltsplan dargestellt. §2 Bereitstellung von Haushaltsmitteln (1) Die Fraktionen erhalten zur Finanzierung ihrer notwendigen sächlichen und personellen Aufwendungen jährlich die von ihnen im Rahmen der nachstehend aufgeführten Vorga ben und Rahmenbedingungen zu verwaltenden Haushaltsmittel. (2) Der Anspruch auf die Haushaltsmittel gem. Abs. 1 entsteht im Falle der Bildung einer Fraktion aufgrund des Ergebnisses der Wahl frühestens mit der konstituierenden Sit zung der Ratsversammlung, ansonsten mit der Bildung der Fraktion. Er endet für die Fraktionen der alten Ratsversammlung mit der Konstituierung der neu en Fraktion bzw. mit der Auflösung einer Fraktion in der laufenden Wahlperiode. Ent sprechend errechnet sich die Höhe der Mittel nach diesen Stichtagen. Bei Veränderung der Fraktionsstärke ist eine Neuberechnung der notwendigen Haushaltsmittel vorzunehmen. (3) Mit den Fraktionen des im Jahr 2019 neu zu wählenden Stadtrates ist eine neue Vereinbarung abzuschließen. §3 Verwendung der Haushaltsmittel (1) Die Mittel dürfen nur zur Finanzierung folgender Zwecke verwendet werden: a) Vergütung von voll- oder teilzeitbeschäftigten Mitarbeiter/innen in den Fraktionsgeschäftsstellen unter Beachtung des Besserstellungsverbotes; b) Anschaffung und laufende Unterhaltung von benötigten Ausstattungsgegenständen (Möbel) für die Räume der Fraktionsgeschäftsstellen (bis 410 EUR Ergebnishaushalt, ab 410 EUR Finanzhaushalt); c) Anschaffung und Unterhaltung von Bürotechnik (bis 410 EUR Ergebnishaushalt, ab 410 EUR Finanzhaushalt); d) Aufrechterhaltung des laufenden Geschäftsbetriebes, insbesondere Bürobedarf, Bücher und Zeitschriften (sofern sie für die Arbeit im Stadtrat notwendig sind); e) Fortbildung der Stadtratsmitglieder und Mitarbeiter in den Fraktionen bezogen auf die Aufgaben des Stadtrates und der Mandatsausübung; f) Reisekosten der Stadtratsmitglieder in den Fraktionen im Zusammenhang mit ihrer Mandatsausübung im Stadtrat; g) Öffentlichkeitsarbeit einschl. Repräsentationen und Sitzungen nach den Maßgaben des § 35 Abs. 2 SächsGemO und der dazu von der Rechtssprechung und Rechtspraxis entwickelten Grundsätze und der in Abs. 2 getroffenen Festlegungen; h) Beiträge an kommunalpolitische Vereinigungen, sofern diese als Gegenleistung für die Mandatsarbeit nützliche Informationen und Beratung bieten; (2) Aufwendungen für Zwecke der Öffentlichkeitsarbeit (eigene Publikationen, Pressearbeit) können nur getätigt werden, soweit sie im sachlichen Zusammenhang zu den Tagesordnungspunkten der Sitzungen des Stadtrates und/oder der Fraktionstätigkeit stehen. (3) Kommunale Haushaltsmittel dürfen insbesondere nicht verwendet werden für: a) Finanzierung von Parteien und Wählergruppen; b) Finanzierung des Wahlkampfes und der Wahlwerbung; c) Verfügungsmittel des Fraktionsvorsitzenden; d) Aufwandsentschädigungen der Fraktionsmitglieder für die Teilnahme an Fraktionssitzungen; e) Bewirtung der Fraktionsmitglieder; f) Teilnahme an Bildungsveranstaltungen von Parteigliederungen, die nicht regelmäßig Fortbildung betreiben; g) Finanzierung geselliger Veranstaltungen oder allgemeiner Bildungsreisen der Fraktionen; h) Spenden. 2 §4 Verfahren der Mittelbewirtschaftung (1) Die den Fraktionen zur Verfügung gestellten Haushaltsmittel werden in ein Budget für jede Fraktion eingestellt und unterliegen den Regeln der Haushaltsführung der Stadt Leipzig. Die Mittel des Budgets sind gegenseitig deckungsfähig. Die Abrechnung der Haushaltsmittel hat jährlich zu erfolgen. (2) Die Bewirtschaftung bzw. Kontrolle der Verwendung der Sachkosten für die Fraktionen und für die fraktionslosen Stadträte erfolgt durch das Büro für Ratsangelegenheiten (BfR) und der Personalkosten für die Fraktionen durch das Personalamt. (3) Die Fraktionen erhalten monatlich eine Information über die Inanspruchnahme der Haushaltsmittel in ihrem Budget, ansonsten auf Anfrage. (4) Für die laufende Geschäftsführung der Fraktionsgeschäftsstellen wird ein Fraktionskonto eingerichtet §5 Bereitstellung von Büroräumen Die Fraktionen erhalten die notwendigen Räume zur Einrichtung von Geschäftsstellen und zur gemeinsamen Nutzung aller Fraktionen einen Archivraum. Bei der Bemessung von Zahl und Größe der einzelnen Räume ist neben den räumlichen Gegebenheiten des Rathauses die Mitgliederzahl der Fraktionen angemessen zu berücksichtigen (Anlage 1). §6 Informations- und Telekommunikationstechnik Hardware und Software (Standardsoftware) und Dienstleistungen (entsprechend dem Dienstleistungsvertrag der Stadt Leipzig mit der Lecos GmbH) für die Informations- und Kommunikationstechnik werden durch den IT-Dienstleister der Stadt Leipzig bereitgestellt. Die hierbei zu beachtende Sicherheitsrichtlinie für die IT-Nutzung durch die Fraktionsge schäftsstellen ist als Anlage 2 beigefügt. §7 Rückgewähr (1) Haushaltsmittel und sonstige Leistungen, die nicht bestimmungsgemäß verwendet wurden, sind rückzubuchen bzw. zurückzugewähren. Entsprechendes gilt für aus Haushaltsmitteln beschaffte bewegliche Sachen im Wert von über 50 € brutto, die durch eine Neuanschaffung ersetzt oder nicht mehr benötigt werden. Die Kontrolle einer eventuellen Rückgewähr liegt beim Büro für Ratsangelegenheiten. (2) Ist eine Partei oder Wählervereinigung im neuen Stadtrat nicht mehr vertreten, so hat die bisherige Fraktion binnen einer Frist von 3 Monaten nach Konstituierung des neuen Stadtrates Rechnung zu legen und die noch nicht bestimmungsgemäß verwendeten Mittel zurückzuzahlen. Sie hat außerdem die ihr von der Stadt zur Verfügung gestellten Vermögensgegenstände und die mit Haushaltsmitteln beschafften beweglichen Sachen, welche gem. § 8 dieser Vereinbarung in das Inventarverzeichnis der Stadt aufzuneh men sind, der Stadt Leipzig zu übergeben. Dasselbe gilt für fraktionslose Stadträte, wenn sie während der Amtszeit ausscheiden oder nicht mehr wiedergewählt werden. 3 §8 Buchführung und Inventarisierung Die Fraktionen und die fraktionslosen Stadträte haben über ihre Erträge und Aufwendun gen nach Maßgabe des § 3 Abs. 1 gesondert Buch zu führen (Nachweis in einfacher Form gemäß § 35a Abs.3 SächsGemO). Aus den Haushaltsmitteln beschaffte bewegliche Sachen sind entsprechend der Inventarordnung der Stadt Leipzig zu inventarisieren und dem Hauptamt anzuzeigen sowie mit den von diesem dafür bereitgestellten Aufklebern besonders zu kennzeichnen. §9 Rechnungsprüfung (1) Die Fraktionen und die fraktionslosen Stadträte unterliegen hinsichtlich ihrer Rechnungsprüfung der örtlichen und überörtlichen Prüfung gem. §§ 104, 106 bzw. § 109 SächsGemO. (2) Die der Abrechnung zugrundeliegenden Belege werden entsprechend § 35 (2) Gemeindekassenverordnung 6 Jahre aufbewahrt. § 10 In-Kraft-Treten Diese Vereinbarung tritt nach Unterzeichnung in Kraft. Burkhard Jung Oberbürgermeister 19.12.2014 Claus-Uwe Rothkegel Vorsitzender der CDU- Fraktion Sören Pellmann Vorsitzender der Fraktion DIE LINKE Axel Dyck Vorsitzender der SPD-Fraktion Katharina Krefft und Norman Volger Vorsitzende der Fraktion Bündnis 90/ Die Grünen Tobias Keller Vorsitzender der AfD-Fraktion Anlage 1 – Benennung der bereitgestellten Räume Anlage 2 – Sicherheitsrichtlinie für die IT-Nutzung durch die Fraktionsgeschäftsstellen 4 Anlage 1 Benennung der bereitgestellten Räume Den Fraktionen werden nach Maßgabe des § 5 der Vereinbarung folgende Räume zur Verfügung gestellt: CDU-Fraktion Zi. 179 Zi. 180 Zi. 181 Zi. 182 Zi. 183 Fraktion DIE LINKE. Zi. 184 Zi. 185 Zi. 186 Zi. 187 SPD-Fraktion Zi. 105 Zi. 106 Zi. 107 Zi. 108 Fraktion Bündnis 90/Die Grünen Zi. 102 Zi. 103 Zi. 104 AfD-Stadtratsfraktion Leipzig Zi. 177 Zi. 178 Anlage 2 Stadt Leipzig IT-Sicherheitskonzeption Sicherheitsrichtlinie für die IT-Nutzung durch die Fraktionsgeschäftsstellen Version Datum Änderung/Bemerkung Verfasser 1.0 20.11.2014 Neufassung Anlage 2 zur DS 4614 01.16 Pester, Schultz 10.2 Kästner Inhaltsverzeichnis 1 Vorbemerkung............................................................................................................................ 2 2 Organisation............................................................................................................................... 2 2.1 2.2 2.3 2.4 3 3.1 3.2 3.3 3.4 4 4.1 4.2 4.3 4.4 4.5 4.6 4.7 4.8 4.9 4.10 4.11 4.12 4.13 Zuständigkeiten und Verantwortlichkeiten................................................................................. 2 Bereitstellung und Betrieb der IT-Infrastruktur........................................................................... 3 Wartungs- und Reparaturarbeiten............................................................................................. 4 Außerbetriebnahme von Hard- und Software............................................................................ 4 Personalmaßnahmen................................................................................................................. 5 Personalauswahl........................................................................................................................ 5 Verpflichtung zur Einhaltung einschlägiger Rechtsvorschriften ................................................. 5 Schulung vor Benutzung/Anwendung........................................................................................ 5 Vertretungsregelungen............................................................................................................... 6 Maßnahmen zur Gewährleistung von Vertraulichkeit, Verfügbarkeit und Integrität ...........6 Allgemeines............................................................................................................................... 6 Zutrittskontrolle.......................................................................................................................... 6 Zugangs-/Zugriffskontrolle......................................................................................................... 7 Bestimmungen für den Arbeitsplatz........................................................................................... 8 Datenverarbeitung..................................................................................................................... 8 Führung des Verfahrensverzeichnisses nach § 10 Abs. 1 SächsDSG .................................... 11 Externe Datenträger (USB-Sticks, Speicherkarten, CD-ROMs, DVDs etc.) ............................ 11 Schutz vor Schadsoftware....................................................................................................... 11 Zusätzliche Bestimmungen für den Einsatz mobiler IT-Geräte (Notebook, Smartphone, TabletPC etc.).......................................................................................................................... 12 Entsorgung von schützenswerten Betriebsmitteln ................................................................... 13 Internetnutzung........................................................................................................................ 13 E-Mail-Nutzung........................................................................................................................ 14 Protokollierung......................................................................................................................... 14 Seite 1 von 14 Inhaltsverzeichnis 1 Vorbemerkung............................................................................................................................ 2 2 Organisation............................................................................................................................... 2 2.1 2.2 2.3 2.4 3 3.1 3.2 3.3 3.4 4 4.1 4.2 4.3 4.4 4.5 4.6 4.7 4.8 4.9 4.10 4.11 4.12 4.13 Zuständigkeiten und Verantwortlichkeiten................................................................................. 2 Bereitstellung und Betrieb der IT-Infrastruktur........................................................................... 3 Wartungs- und Reparaturarbeiten............................................................................................. 4 Außerbetriebnahme von Hard- und Software............................................................................ 4 Personalmaßnahmen................................................................................................................. 5 Personalauswahl........................................................................................................................ 5 Verpflichtung zur Einhaltung einschlägiger Rechtsvorschriften ................................................. 5 Schulung vor Benutzung/Anwendung........................................................................................ 5 Vertretungsregelungen............................................................................................................... 6 Maßnahmen zur Gewährleistung von Vertraulichkeit, Verfügbarkeit und Integrität ...........6 Allgemeines............................................................................................................................... 6 Zutrittskontrolle.......................................................................................................................... 6 Zugangs-/Zugriffskontrolle......................................................................................................... 7 Bestimmungen für den Arbeitsplatz........................................................................................... 8 Datenverarbeitung..................................................................................................................... 8 Führung des Verfahrensverzeichnisses nach § 10 Abs. 1 SächsDSG .................................... 11 Externe Datenträger (USB-Sticks, Speicherkarten, CD-ROMs, DVDs etc.) ............................ 11 Schutz vor Schadsoftware....................................................................................................... 11 Zusätzliche Bestimmungen für den Einsatz mobiler IT-Geräte (Notebook, Smartphone, TabletPC etc.).......................................................................................................................... 12 Entsorgung von schützenswerten Betriebsmitteln ................................................................... 13 Internetnutzung........................................................................................................................ 13 E-Mail-Nutzung........................................................................................................................ 14 Protokollierung......................................................................................................................... 14 Seite 1 von 14 1 Vorbemerkung Dieses Dokument ist Teil der Sicherheitskonzeption der Stadt Leipzig und basiert auf den ITGrundschutz-Katalogen des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Aufgrund der stetigen technischen Entwicklungen kann ein Anpassung erforderlich sein. Die Aufgabenerfüllung der Fraktionsgeschäftsstellen erfolgt auf Grundlage der für die öffentlichen Stellen geltenden Rechtsgrundlagen, insbesondere der Sächsischen Gemeindeordnung. Die Verarbeitung personenbezogener Daten oder sonstiger schutzbedürftiger Daten unterliegt den Vorschriften der für die Stadt Leipzig geltenden Gesetze (z.B. Sächsische Gemeindeordnung, Sächsisches Datenschutzgesetz, Kommunalabgabengesetz etc.). Die Nutzung von IT-Systemen, einschließlich der Verarbeitung von Daten mit oder auf diesen Systemen, ist zur Gewährleistung der gesetzlichen Anforderung an den Datenschutz und die Datensicherheit durch technische und organisatorische Maßnahmen reglementiert. Für die Nutzung von IT-Systemen und Netzen der Stadt Leipzig durch die Fraktionsgeschäftsstellen sind nachfolgend die Mindeststandards beschrieben. 2 Organisation 2.1 Zuständigkeiten und Verantwortlichkeiten 2.1.1 Fraktionsgeschäftsstellen Die Fraktionsgeschäftsstellen sind für die ordnungsgemäße Verarbeitung im Hinblick auf die Anforderungen des Datenschutzes und der Datensicherheit in ihrem Zuständigkeitsbereich verantwortlich. Die Verantwortung umfasst die erforderlichen Organisations- und Kontrollmaßnahmen. Die Leitung der Fraktionsgeschäftsstellen legt die Zugangsrechte für die Beschäftigten im Verantwortungsbereich fest. 2.1.2 Datenschutzbeauftragter Die Stadt Leipzig hat einen behördlichen Datenschutzbeauftragten und eine Abwesenheitsvertreter bestellt. Der Datenschutzbeauftragte hat die Aufgabe, die öffentliche Stelle bei der Ausführung des Sächsischen Datenschutzgesetzes sowie anderer Vorschriften über den Datenschutz zu unterstützen. Er darf zur Aufgabenerfüllung Einsicht in alle Unterlagen, Akten die gespeicherten Daten und die Datenverarbeitungsprogramme sowie deren Anwendungsvorschriften nehmen. Seine Kontrolle erstreckt sich auch auf personenbezogene Daten, die einem Berufs- oder besonderem Amtsgeheimnis, insbesondere dem Steuergeheimnis nach § 30 der Abgabenordnung, unterliegen. Der Datenschutzbeauftragte arbeitet fachlich weisungsfrei und ist nicht weisungsbefugt. 2.1.3 IT-Koordination Die IT-Koordination ist zuständig für die allgemeine IT-Steuerung, insbesondere: • • • • Konzeption, Planung und Koordinierung des IT-Einsatzes, das Setzen und Prüfen von Standards für IT-Systeme, die Abnahme und Betriebsfreigabe von neuen Projekten, Vertragssteuerung nach dem Betriebsleistungsvertrag. Seite 2 von 14 Als Ansprechpartner für die IT-Koordination ist von den Fraktionsgeschäftsstellen eine geeignete Person (DV-Ansprechpartner) zu benennen. 2.1.4 DV-Ansprechpartner Der DV-Ansprechpartner hat insbesondere folgende Aufgaben: • • • • 2.1.5 Information, Betreuung und Einweisung von Beschäftigten der Fraktionsgeschäftsstellen in die IT-Systeme und Anwendungen, Zusammenarbeit mit dem IT-Dienstleister bei Umzügen oder Störungen an IT-Systemen, Anwendungen oder der TK-Anlage, Administration von Verfahren, die nicht vom IT-Dienstleister betreut werden (einschließlich Update-/Patchmanagement), Einrichtung und Löschung von Benutzern nach den Vorgaben der Fraktionsgeschäftsstellenleitung und deren Dokumentation. IT-Nutzer Jeder Nutzer ist verantwortlich für alle mit den persönlichen Zugangsdaten durchgeführten Handlungen an und mit der IT-Infrastruktur, und zwar auch dann, wenn diese Handlungen durch Dritte vorgenommen werden, denen vorsätzlich oder fahrlässig der Zugriff auf die persönlichen Zugangsdaten ermöglicht wird. Bei Fragen und Problemen wendet sich der IT-Nutzer an den DV-Ansprechpartner oder den User Help Desk (5555). 2.1.6 IT-Dienstleister Die Lecos GmbH stellt als IT-Dienstleister der Stadt Leipzig die für Aufgabenerfüllung erforderlichen IT-Systeme, TK-Anlagen, Netze und sonstige Systemkomponenten bereit und betreibt diese. Die Bereitstellung umfasst den Betrieb einer Sicherheitsinfrastruktur (u.a. Virenschutz, Update-/Patchmanagement für Standard- und Systemprogramme, Datensicherung/-wiederherstellung, Sicherheitsgateway) Zur Benutzerunterstützung betreibt der IT-Dienstleister einen User Help Desk (App.: 5555). Bei Verträgen mit anderen IT-Dienstleistern sind die Anforderungen an Datenschutz (§ 7 SächsDSG) und Datensicherheit vertraglich zu regeln. Die datenschutzrelevanten Regelungen müssen vor Vertragsabschluss mit dem behördlichen Datenschutzbeauftragten abgestimmt werden. 2.2 Bereitstellung und Betrieb der IT-Infrastruktur Für die Arbeit in den Fraktionsgeschäftsstellen notwendige Hard-/Software und Infrastruktur wird von der Lecos-GmbH im Rahmen des Betriebsleistungsvertrags (BLV) mit der Stadt Leipzig beschafft, bereitgestellt und betrieben. Änderungen oder Erweiterungen an der Hardware, den Systemprogrammen oder der IT-Infrastruktur (einschl. Anschluss von Geräten an das städtische DV-Netz) dürfen nur vom IT-Dienstleister vorgenommen werden. Seite 3 von 14 Es dürfen nur freigegebene Programme und Dienste benutzt werden. PCs und Notebooks werden mit einer Grundkonfiguration (Schicht 11) ausgeliefert.Bei Bedarf kann durch den DV-Ansprechpartner Software der Schicht 2 über den User Help Desk abgerufen werden. System- und Anwendungsprogramme der Schichten 1 und 2 dürfen grundsätzlich nur vom ITDienstleister installiert werden. Andere Programme dürfen nur vom DV-Ansprechpartner nach vorheriger Freigabe durch die Leitung der jeweiligen Fraktionsgeschäftsstelle im Einvernehmen mit der IT-Koordination installiert werden. Durch Endbenutzer sind grundsätzlich keine Anwendungen zu entwickeln. Anwendungen sind bei Bedarf zu beschaffen oder wenn dies nicht möglich ist, durch den IT-Dienstleister entwickeln zu lassen. Die Nutzung von Tools aus IT-Fachzeitschriften etc. ist unzulässig und kann strafbewehrt sein (z.B. Hackerparagraph § 202c StGB). Der Einsatz solcher Tools muss durch die IT-Koordination genehmigt werden. 2.3 Wartungs- und Reparaturarbeiten Wartungs- und Reparaturarbeiten an den IT-Systemen werden durch den DV-Ansprechpartner veranlasst und vom IT-Dienstleister im Rahmen des Betriebsleistungsvertrags oder aufgrund anderer Vertragsbeziehungen mit der Stadt Leipzig durchgeführt. Betroffene Beschäftigte oder Stadträte werden vom DV-Ansprechpartner über die Arbeiten informiert. Vor Beginn der Arbeiten ist die Identität des Mitarbeitern des IT-Dienstleisters durch Vorlage geeigneter Dokumente (z.B. Dienstausweis) zu überprüfen. 2.4 Außerbetriebnahme von Hard- und Software Hard- und Software sind so außer Betrieb zu nehmen, dass die Verfügbarkeit, Integrität und Authentizität von benötigten IT-Systemen, TK-Anlagen, Anwendungen und Daten nicht beeinträchtigt wird. Gesetzliche Löschpflichten (z.B. § 20 SächsDSG) sind zu beachten. Vom IT-Dienstleister bereitgestellte Hardware wird im Rahmen des BLV datenschutzgerecht entsorgt. Soweit andere IT-Dienstleister zuständig sind, ist sicherzustellen, dass grundsätzlich: • • keine Daten, die eventuell auf dem Gerät gespeichert sind, verloren gehen und dass keine Daten auf den Datenspeichern von Geräten zurück bleiben. Nicht mehr benötigte Hardware (dazu zählen auch Fax-Geräte) kann schutzbedürftige Daten auf permanenten Speichern enthalten. Bei einer Leistungserbringung (Rücknahme, Entsorgung etc.) durch Externe sind die Bestimmungen für die Auftragsdatenverarbeitung zu beachten (§ 7 SächsDSG). Vorhandene Daten sind grundsätzlich physisch zu löschen, ggf. sind die Speicher zu zerstören. Bei der Vertragsgestaltung ist der behördliche Datenschutzbeauftragte einzubeziehen. 1 aktueller Stand der Software-Schichten ist in der Lotus-Notes-Anwendung 'Anwendungen SL' abrufbar (für DV-Ansprechpartner) Seite 4 von 14 3 Personalmaßnahmen 3.1 Personalauswahl Beschäftigte, die sicherheitsrelevante Aufgaben ausüben sollen (Administratoren, Beschäftigte mit Zugang zu finanzwirksamen oder vertraulichen Informationen etc.), müssen vertrauenswürdig und zuverlässig sein. Bereits bei der Formulierung der Anforderungen im Auswahlverfahren sind die erforderlichen Qualifikationen und Fähigkeiten genau zu beschreiben. Besonders ist darauf zu achten, dass keine Interessenkonflikte oder Abhängigkeiten entstehen, die die Aufgabenerfüllung gefährden (z.B. bei verschiedenen Rollen, die sich ausschließen oder zu weitreichende Rechte gewähren). 3.2 Verpflichtung zur Einhaltung einschlägiger Rechtsvorschriften Stadträte und für die Fraktionsgeschäftsstellen Tätige sind mit Aufnahme der Tätigkeit gem. § 6 SächsDSG über ihre Pflichten und § 6 Abs. 1 SächsDSG (Einhaltung des Datengeheimnisses) sowie die sonstigen bei ihrer Tätigkeit zu beachtenden Vorschriften über den Datenschutz zu unterrichten und auf deren Einhaltung schriftlich zu verpflichten (s.a. § 3 Abs. 4 Geschäftsordnung für die Ratsversammlung). 3.3 Schulung vor Benutzung/Anwendung Vor der Übernahme IT-gestützter Aufgaben müssen die Benutzer in die Lage versetzt werden, die eingesetzte Informationstechnik sachgerecht zu benutzen. Stehen leicht verständliche Handbücher oder Hilfetexte zu IT-Anwendungen bereit, kann anstelle der Schulung auch die Aufforderung stehen, sich selbstständig einzuarbeiten. Voraussetzung dazu ist, dass die Benutzer ausreichend Zeit zur Einarbeitung und bei Fragen eine fachgerechte Unterstützung erhalten (z.B. durch den DV-Ansprechpartner). Jeder IT-Nutzer muss die Sicherheitsmaßnahmen in seinem Tätigkeitsbereich kennen, deren Einhaltung oder Umsetzung er zu verantworten hat (z.B. produktbezogene Sicherheitsmaßnahmen, Verhaltensregeln, Umgang mit Authentifizierungsmitteln). Die Personalamt ist zuständig für die Planung und Durchführung von Schulungen im Zusammenhang mit: • • der Einführung von Software für die allgemeine Bürokommunikation (z.B. Office) oder deren wesentlichen Änderung, bei der Einführung neuer Betriebssysteme. Diese Schulungen werden inhaltlich/thematisch zwischen Personalamt und IT-Koordination abgestimmt. Im Übrigen sind die Fraktionsgeschäftsstellen verantwortlich für die ausreichende Schulung der für sie Tätigen. Seite 5 von 14 3.4 Vertretungsregelungen Für geplante und ungeplante Abwesenheiten sollen Vertretungsregelungen im erforderlichen Umfang (Zutritt, Zugang und Zugriff) vorgesehen werden. Die Übernahme von Aufgaben im Vertretungsfall setzt voraus, dass • • der Umfang der Vertretung geregelt ist, der Verfahrens-, Projektstand oder Arbeitsstand hinreichend dokumentiert und der Vertreter ausreichend geschult ist, damit er die Aufgaben inhaltlich übernehmen kann Der Vertreter darf die erforderlichen Zugangs- und Zugriffsberechtigungen grundsätzlich nur im Vertretungsfall erhalten. 4 Maßnahmen zur Gewährleistung von Vertraulichkeit, Verfügbarkeit und Integrität 4.1 Allgemeines Der Schutz personenbezogener und sonstige schutzbedürftige Daten ist durch angemessene personelle, organisatorische und technische Maßnahmen zu gewährleisten. Insbesondere sind die datenschutzrechtlichen Vorgaben (z.B. § 9 SächsDSG) einzuhalten. Dabei kommt es nicht darauf an, ob die Daten elektronisch, magnetisch, optisch oder analog (Dokumente, Mikrofilm etc.) gespeichert sind. Die vom IT-Dienstleister bzw. der Stadt Leipzig bereitgestellten IT-Systeme und Anwendungen dürfen grundsätzlich nur für die Aufgabenerfüllung von den Fraktionsgeschäftsstellen genutzt werden. Die Verarbeitung von Daten im Geschäftsgang (Geschäftsdaten) darf nur auf den zur Verfügung gestellte Geräten bzw. mit den zugelassenen und freigegebenen Anwendungen und Diensten erfolgen. Dabei dürfen nur dokumentierte, für den jeweiligen Arbeitsplatz freigegebene Programme eingesetzt werden. Die Verarbeitung von privaten Daten auf städtischen IT-Systemen und die private Nutzung von Geschäftsdaten sind nicht zulässig. Die Nutzung privater IT-Systeme (Smartphone, PDA, Notebook TabletPC etc.) oder Datenspeicher (z.B. USB-Sticks, Speicherkarten, CDs) mit Geschäftsdaten ist unzulässig. Diese Geräte dürfen nicht mit den bereitgestellten IT-Systemen oder dem Stadtnetz verbunden werden, auch nicht zum Laden der Akkus über die USB-Schnittstelle. Bereitgestellte IT-Systeme und Datenträger dürfen nur mit fremden Geräten oder Netzen verbunden werden, wenn eine ausdrückliche Regelung in einem gültigen Sicherheitskonzept vorhanden ist. Sicherheitsmaßnahmen dürfen nicht umgangen werden (z.B. Abschaltung von Antivirensoftware, Deaktivierung von Passwörtern, Deaktivierung von Sperrbildschirmen oder Protokollfunktionen). 4.2 Zutrittskontrolle Zu Räumen, in denen IT-Systeme installiert sind, dürfen nur Berechtigte Zutritt haben. Die Fraktionsgeschäftsstellen erhalten eine Grundausstattung von Schlüsseln für die zugewiesenen Räume. Umgang und Aufbewahrung sind so zu regeln, dass jederzeit nachvollziehbar ist, wer wann welche Zutrittsberechtigungen hatte und kein unbefugter Zugriff erfolgen kann. Seite 6 von 14 Der Zutritt von Besuchern, Wartungspersonal oder sonstigen Externen darf nur in Begleitung von Beschäftigten der jeweiligen Fraktionsgeschäftsstelle oder eines Stadtrats der Fraktion erfolgen. Eine externe Person darf nicht allein im Büro zurückgelassen werden. Reinigungsarbeiten können von nach § 6 SächsDSG verpflichtetem Personal auch außerhalb der Öffnungszeiten durchgeführt werden. Die Entscheidung trifft die Fraktionsgeschäftsstelle. 4.3 Zugangs-/Zugriffskontrolle Für den Zugang zu den IT-Systemen und den Ressourcen der Domäne StLeipzig ist die Anmeldung mit den persönlichen Zugangsdaten erforderlich (Benutzername und Passwort). Für die Nutzung von IT-Systemen und Anwendungen dürfen nur die persönlichen Zugangsdaten verwendet werden. 4.3.1 Vergabe, Änderung und Entzug von Zugangs-/Zugriffsrechten Die Fraktionsgeschäftsstellen (Leitung) legen die Zugangsberechtigungen zu den IT-Systemen und Anwendungen nach dem Prinzip der Erforderlichkeit für die Aufgabenerfüllung schriftlich fest. Die Festlegung ist die Grundlage für den DV-Ansprechpartner zur Einrichtung und Deaktivierung von Benutzerzugängen sowie die Gewährung, Änderung und den Entzug von Zugangs- und Zugriffsrechten, beim Eintritt, Ausscheiden oder bei Zuständigkeitsänderungen. Dies ist zu dokumentieren. 4.3.2 Regeln zum Passwortgebrauch Für den Zugang zu den PCs und Notebooks der Domäne Leipzig sowie für den Zugang zu den Ressourcen der Domäne erhält jeder Nutzer persönliche Zugangsdaten. Dabei sind Komplexität, Passwortlänge und Gültigkeit vorgegeben und werden durch entsprechende Richtlinien technisch erzwungen: • • • • Länge: min. 8 Zeichen, Kombination aus drei von vier Zeichengruppen: ◦ Großbuchstaben, Kleinbuchstaben, Zahlen, Sonderzeichen, ◦ nicht vorkommen dürfen: Umlaute, ß, §, €, Gültigkeit: 40 Tage (5 Tage vor Ablauf erscheint eine Meldung auf dem Desktop, die den Nutzer zum Passwortwechsel auffordert.), die letzten 13 Passwörter können nicht verwendet werden. Vergessene Passwort können über den DV-Ansprechpartner zurückgesetzt werden. Wenn eine allein zugriffsberechtigte Person längerfristig nicht erreichbar, der Zugriff auf die Daten aber erforderlich ist, kann unter Einbeziehung des behördlichen Datenschutzbeauftragten der Zugang temporär freigeschaltet werden. Der Vorgang ist zu dokumentieren. Die betroffene Person ist zum nächstmöglichen Zeitpunkt darüber zu informieren. Für den Umgang mit Passwörtern gelten folgende Grundsätze: • • • • Passwörter sind geheim zu halten, auch gegenüber einer Vertretung, Voreingestellte Passwörter müssen durch individuelle Passwörter ersetzt werden, Bekannt gewordene Passwörter müssen gewechselt werden (auch bei Verdacht), Passwörter dürfen nicht auf programmierbaren Funktionstasten gespeichert werden, Seite 7 von 14 • • Passwörter dürfen nicht im Klartext elektronisch gespeichert werden, Leicht zu erratende Passwörter dürfen nicht verwendet werden. Das sind z.B.: ◦ Zahlen und Daten aus dem Lebensbereich (Datumsangaben, Kfz-Kennzeichen etc.), ◦ einfache Ziffern- und Buchstabenkombinationen (12345678, 1234abcd etc.), ◦ Begriffe, die in Wörterbüchern oder Lexika vorkommen, auch nicht in Kombination mit Ziffern (Winter2014, November2013, Sicherheit, Passwort123), ◦ der Benutzername oder Teile davon, • Privat genutzte Passwörter dürfen nicht dienstlich genutzt werden und umgekehrt. 4.4 4.4.1 Bestimmungen für den Arbeitsplatz Aufstellung von Geräten IT-Systeme (PCs, Drucker etc.) und Fax-Geräte sind möglichst so aufzustellen, dass nur befugte Personen Bildschirminhalte einsehen bzw. auf Daten (z.B. Ausdrucke) zugreifen können, insbesondere bei Standorten in der Nähe von Fenstern und Türen oder mit Besucherverkehr. Zum Schutz vor Überhitzung darauf zu achten, dass IT-Systeme und sonstige Geräte nicht in unmittelbarer Nähe zu Heizungen aufgestellt werden oder der direkten Sonneneinstrahlung ausgesetzt sind. Lüftungsöffnungen müssen freigehalten werden. 4.4.2 Verlassen des Arbeitsplatzes An unbeaufsichtigten Arbeitsplätzen dürfen bei Abwesenheiten keine sensiblen Informationen frei zugreifbar sein (auch keine Datenträger, wie CDs oder USB-Sticks). Nach der Aufgabenerfüllung müssen sich jeder Benutzer vom PC bzw. (soweit technisch möglich) von der verwendeten Anwendung abmelden. Bei kurzer Abwesenheit während ist es ausreichend, wenn der Raum verschlossen und der PC gesperrt wird (z.B.  + L, strg + alt + entf + 'Computer sperren'). Bei geplanter Abwesenheit (z. B. längere Besprechungen, Dienstreisen, Urlaub, Fortbildungsveranstaltungen) muss der Arbeitsplatz so hinterlassen werden, dass keine schutzbedürftigen Datenträger oder Dokumente unverschlossen am Arbeitsplatz zurückbleiben. Elektronische Geräte sind auszuschalten, wenn der Weiterbetrieb nicht notwendig ist (z.B. Arbeitsende, längere Abwesenheiten). 4.5 Datenverarbeitung Die Fraktionsgeschäftsstellen sind dafür verantwortlich, dass Akten sowie sonstiges Datenträger mit personenbezogenen Daten oder anderen Schutzvorschriften unterliegenden Daten, unbefugten Personen nicht zugänglich sind. 4.5.1 Zulässigkeit der Verarbeitung personenbezogener Daten Für die Verarbeitung personenbezogener Daten (Erheben, Speichern, Ändern, Übermitteln, Anonymisieren, Löschen, Sperren, Nutzen) gilt als allgemeiner Grundsatz ein so genanntes Verbot mit Erlaubnisvorbehalt (z.B. 4 Abs. 1 SächsDSG). Die Verarbeitung ist nur zulässig, wenn Seite 8 von 14 • • dies durch die Datenschutzgesetze oder eine andere Rechtsvorschrift ausdrücklich erlaubt oder angeordnet ist oder der Betroffene gemäß § 4 Abs. 1 SächsDSG, bei der Verarbeitung besonderer personenbezogener Daten1 gemäß § 4 Abs. 2 SächsDSG oder entsprechend einer spezialgesetzlichen Regelungen eingewilligt hat. Personenbezogene Daten dürfen nur verarbeitet werden, wenn sie zulässig erhoben oder von Dritten rechtlich begründet übermittelt wurden. Bereichsspezifische Rechtsvorschriften sind zu beachten. 4.5.2 Sichere Nutzung von Anwendungen Standardsoftware ist im Allgemeinen nicht auf ein hohes IT-Sicherheitsniveau ausgelegt. Risiken bestehen u.a. durch: • • • eingebettete Objekte (OLE) z.B. Tabellenkalkulationen in Textverarbeitungsprogrammen, bei denen für den Nutzer der Zugriff auf die Daten aus der Tabellenkalkulation erhalten kann, die vertrauliche Angaben enthalten können, pdf-Dokumente z.B. durch eingebettete Funktionen wie Programmaufrufe, kann der Nutzer dazu veranlasst werden Schadcode auf dem IT-System auszuführen, Schnellspeicherung Verschiedene Textverarbeitungsprogramme unterstützen eine Schnellspeicherung, wodurch u.U. Textfragmente vorhanden sein können, die nicht weitergegeben werden sollen. Es dürfen nur Dateien geöffnet werden, deren Herkunft als vertrauenswürdig eingeschätzt wird. Das gilt insbesondere auch für Dateien mit aktiven Inhalten (z.B. Makros). Vor dem Ausführen von Programmen oder dem Öffnen Dokumenten muss die Aktualität der Virensignaturen geprüft werden (Symbole: , ). Einige der Standardprodukte im PC-Bereich bieten eine Reihe von IT-Sicherheitsfunktionen an, die unbefugte Zugriffe behindern bzw. mögliche Schäden verringern können. Soweit nicht durch Sicherheitskonzepte bestimmte Maßnahmen vorgegeben sind, sollten abhängig von der Schutzbedürftigkeit der verarbeiteten Daten sind diese Möglichkeiten genutzt werden, z.B. • • • • 4.5.3 4.5.3.1 Entfernung von Metadaten, Passwortschutz für Dateien (vertrauliche Daten), Automatische Speicherung von Zwischenergebnissen (Sicherung von Arbeitsergebnissen; Verfügbarkeit), Verschlüsselung von Dateien (vertrauliche Daten). Übermittlung von Daten Datenformate Für den Datenaustausch müssen Formate verwendet werden, die von den beteiligten Kommunikationspartnern verarbeitet werden können. Für den stadtinternen Datenaustausch sind die open document Formate (odt, ods, odp) das Standardformat. Wenn eine Bearbeitung durch die Kommunikationspartner nicht erforderlich ist (z.B. Mitteilungen an Bürger), sind Formate zu verwenden, die einen Schutz gegen Änderungen bieten, z.B. das pdfFormat. Seite 9 von 14 4.5.3.2 Verschlüsselung vor der Übermittlung Personenbezogene Daten oder sonstige schutzbedürftige Daten dürfen elektronisch nicht als Klartext übermittelt werden. Werden schutzbedürftige Daten über ein Netz (auch innerhalb des Stadtnetzes) übertragen, sind die technischen Möglichkeiten zur Verschlüsselung der Daten zu nutzen (Transportverschlüsselung [TLS/SSL etc.], Inhaltsverschlüsselung). 4.5.3.3 Fax Fax-Übertragungen sind unverschlüsselt und können abgehört oder manipuliert werden. Wer die Übertragung durchführt ist verantwortlich für eine den gesetzlichen Vorschriften entsprechende Übertragung und den befugten Empfang. Daten, die einem besonderen Berufs- oder Amtsgeheimnis unterliegen, dürfen grundsätzlich nicht per Fax übertragen werden. Personenbezogene Daten dürfen nur übermittelt werden, wenn die Betroffenen über die bestehenden Risiken informiert sind und ausdrücklich in die Übermittlung einwilligen. Werden die Daten abgerufen, muss der Empfänger zurückgerufen werden, um dessen Authentizität zu prüfen. Für jedes Fax ist durch ein Vorblatt mit Absenderangaben und Seitenzahl zu dokumentieren und durch das Sendeprotokoll zu ergänzen. 4.5.4 Datensicherung Die Speicherung von Daten außerhalb der IT-Infrastruktur der Stadt Leipzig ist nicht gestattet. Dies gilt insbesondere für Cloud-Services (dropbox, iCloud etc.) und ähnliche Online-Speicherdienste, soweit diese nicht Teil der IT-Infrastruktur der Stadt Leipzig sind, nicht durch diese beauftragt oder verantwortet werden (z.B. doCloud). Geschäftsdaten sind grundsätzlich auf serverbasierten Speichersystemen der Stadtverwaltung zu speichern (Netzlaufwerke, in der Regel G:). Für persönliche Daten und Dokumente ist das Laufwerk H: zu nutzen. Die Laufwerke C: und D: sollen nicht verwendet werden, da keine Datensicherung erfolgt. Personenbezogene oder sonstige schutzbedürftige Daten dürfen nur verschlüsselt auf lokalen Datenträgern gespeichert werden. Die Verschlüsselung kann z.B. über die Dateieigenschaften aktiviert werden (nur lokal). Bei Nutzung dieser Funktion ist die Entschlüsselung nur durch den Benutzer möglich, der die Daten verschlüsselt hat. Lokale Datenträger sind regelmäßig zu bereinigen. Laufwerk D: muss jederzeit min. 1 GB freien Speicherplatz aufweisen. Nicht mehr für die Aufgabenerfüllung benötigte Daten sind unter Berücksichtigung datenschutzrechtlicher oder archivrechtlicher Vorschriften zu löschen bzw. zu archivieren. 4.5.5 Datenwiederherstellung Auf den serverbasierten Speichersystemen abgelegte Daten, mit Ausnahme des Laufwerks W: (Scanverzeichnis) werden arbeitstäglich (über Nacht) gesichert. Gelöschte Dateien können innerhalb von 90 Tagen nach dem Löschen wiederhergestellt werden. Die Wiederherstellung kann unter Angabe des Dateipfads über den DV-Ansprechpartner beim UHD der Lecos beauftragt werden. Für EMails gilt diese Regelung analog. Seite 10 von 14 Im Laufwerk W: abgelegte Dokumente werden am Monatsende automatisch gelöscht, wenn sie älter als 7 Tage sind. Daten auf lokalen Datenträgern werden nicht automatisch gesichert. Für ggf. erforderliche Sicherungen sind die Nutzer selbst verantwortlich. 4.6 Führung des Verfahrensverzeichnisses nach § 10 Abs. 1 SächsDSG Verfahren zur automatisierten Verarbeitung personenbezogener Daten sind in das Verfahrensverzeichnis aufzunehmen. Die Angaben im Verfahrensverzeichnis müssen aktuell sein. Die Fraktionsgeschäftsstellen arbeiten dem behördlichen Datenschutzbeauftragten die für das Verfahrensverzeichnis erforderlichen Angaben zu. Vor dem Einsatz automatisierter Verfahren zur Verarbeitung personenbezogener Daten ist der Datenschutzbeauftragte einzubeziehen, der in den Fällen des § 10 Abs. 4 SächsDSG die gesetzlich geforderte Vorabkontrolle durchführt. 4.7 Externe Datenträger (USB-Sticks, Speicherkarten, CD-ROMs, DVDs etc.) Externe Datenträger können leicht verloren gehen oder gestohlen werden. Ohne Verschlüsselung dürfen nur Daten auf externen Datenträgern gespeichert werden, die öffentlich bekannt oder zur Veröffentlichung bestimmt sind. Daten mit sehr hohem Schutzbedarf dürfen nicht auf externen Datenträgern gespeichert werden. Bei Verlust eines externen Datenträgers muss der Leiter der Fraktionsgeschäftsstelle sowie der Informationssicherheitsbeauftragte informiert werden. Externe Datenträger müssen (wenn technisch möglich) nach jeder Nutzung sicher gelöscht werden. Nicht löschbare Datenträger (CDs, DVDs etc.), die für die Aufgabenerfüllung nicht mehr benötigt werden und für die keine Aufbewahrungsfrist besteht, sind zu vernichten. Externe Datenträger sind zu kennzeichnen. Nicht genutzte Datenträger müssen verschlossen aufbewahrt werden, so dass sie vor unbefugtem Zugriff geschützt sind. 4.8 4.8.1 Schutz vor Schadsoftware Updates und Patches Zum Schutz vor Schadsoftware sind alle Clients-PCs der Domäne StLeipzig mit einem Anti-VirenProgramm ausgestattet und werden zentral mit aktuellen Virensignaturen, sicherheitsrelevanten Updates und Patches versorgt. Nach der Softwareaktualisierung erforderliche Neustarts sind unverzüglich durchzuführen. Bei Fachanwendungen, die nicht Bestandteil des Standard-Clients (Schicht 3 und 4) sind, ist die Fraktionsgeschäftsstelle (DV-Ansprechpartner) für die Durchführung der erforderlichen Tests sowie das Einspielen von Updates und sicherheitsrelevanter Patches verantwortlich. Seite 11 von 14 4.8.2 Auftreten von Schadsoftware und Gefährdungen Beim Auffinden von Schadsoftware (i.d.R. Meldung durch das Antivirenprogramm), beim Verdacht oder ungewöhnlichem Systemverhalten ist der IT-Dienstleister zu informieren, der ggf. weitere Prüfungen durchführt. Im Ergebnis der Prüfung können weitere Maßnahmen angewiesen werden, z.B. Abschaltung betroffener Systeme. 4.9 Zusätzliche Bestimmungen für den Einsatz mobiler IT-Geräte (Notebook, Smartphone, TabletPC etc.) 4.9.1 Ausgabe und Rücknahme Soweit mobile IT-Geräte nicht dauerhaft stationär betrieben werden, muss nachvollziehbar sein, wo sich die Geräte befinden. Die Dokumentation soll schriftlich erfolgen und min. folgende Punkte umfassen: • • • • • • GeräteID bzw. Seriennummer, ggf. Zubehör (z.B. Peripheriegeräte, Token), Name, Vorname, Erreichbarkeit, Einsatzzweck, Tag und Zeit der Ausgabe/Rücknahme. Bei der Übergabe und Rücknahme eines tragbaren IT-Systems sind folgende Punkte zu beachten: Übergabe: Vor der Übergabe muss die Funktionsfähigkeit des IT-Systems geprüft werden. Die Virensignaturen müssen aktualisiert und eine Virenprüfung durchgeführt werden. Sicherheitsupdates und Patches müssen geladen werden. Rücknahme: Lokale Datenspeicher werden nicht gesichert. Vor der Rückgabe des Gerätes sollten daher sämtliche vom Benutzer erzeugten und noch benötigte Daten durch den Benutzer gesichert werden. Alle übrigen vom Nutzer erzeugte Dateien müssen von diesem gelöscht werden, wenn deren Aufbewahrung nicht erforderlich ist (z.B. für die Aufgabenerfüllung durch nachfolgende Gerätebenutzer). Die Virensignaturen müssen aktualisiert und eine Virenprüfung durchgeführt werden. Sicherheitsupdates und Patches müssen geladen werden. 4.9.2 Softwareverteilung Mobile Endgeräte, der Domäne StLeipzig müssen vom Nutzer regelmäßig (min. 14tägig) an der Domäne angemeldet werden, damit aktuelle Sicherheitsupdates und -patches installiert und das AntiViren-Programm aktualisiert werden kann. 4.9.3 Schutz vor schädigenden Einflüssen Mobile Endgeräte sind vor schädigenden Umwelteinflüssen zu schützen, z.B. Feuchtigkeit durch Regen oder Spritzwasser, hohe Temperaturen durch direkte Sonneneinstrahlung. Seite 12 von 14 4.9.4 Zugangs-/Zugriffsschutz Auf mobilen PCs ist ein BIOS-Passwort für den Systemstart bzw. den Festplattenzugriff aktiviert. Das BIOS-Passwort muss getrennt vom Gerät aufbewahrt werden und darf Unbefugten nicht zugänglich sein. Tragbare IT-Systeme dürfen nicht unbeaufsichtigt bleiben bzw. müssen gesichert werden (z.B. Einschluss im Schrank/Raum). In Kfz sollten mobile PCs grundsätzlich nicht zurückgelassen werden. Ist die Aufbewahrung im Kfz dennoch erforderlich, dürfen mobile PCs nicht von außen sichtbar sein und das Fahrzeug muss verschlossen sein. Wird ein Gerät nicht genutzt ist es abzuschalten bzw. ein Zugriffsschutz zu aktivieren, um eine unerlaubte Nutzung, z.B. bei Diebstahl oder Verlust zu verhindern. 4.9.5 Speichern Daten Daten sind grundsätzlich nicht auf mobilen Endgeräten zu speichern. Ist das Speichern personenbezogener Daten oder sonstiger schutzbedürftiger Daten auf mobilen Geräten nicht vermeidbar, sind geeignete und angemessene Schutzmaßnahmen zu treffen. Insbesondere ist der Einsatz dem Stand der Technik entsprechender kryptographischer Verfahren vorzusehen. Insbesondere personenbezogene oder sonstige schutzbedürftige Daten dürfen nicht im Klartext auf mobilen Endgeräten gespeichert werden. Nicht mehr benötigte Daten müssen (soweit möglich physikalisch) gelöscht werden. 4.9.6 Verlust und Defekt Der Ausfall, Defekt, Zerstörung oder Diebstahl eines IT-Systems muss umgehend dem Vorgesetzten und dem DVA gemeldet werden. Dies gilt auch für mobile Datenträger. Werden Geräte unerwartet wieder aufgefunden, müssen diese vor der erneuten Nutzung auf eventuelle Manipulationen geprüft werden. Bei Datenträgern ist der DVA zuständig, bei sonstigen Endgeräten ist die Prüfung über den DVA zu veranlassen. 4.10 Entsorgung von schützenswerten Betriebsmitteln Für die Entsorgung von Betriebs- oder Sachmitteln gibt es stadtweite Verfahren. Ausdrucke, Fehldrucke oder sonstige analoge Datenträger mit personenbezogenen oder anderweitig schützenswerten Daten müssen in den dafür vorgesehenen Behältern (silberne Tonne) entsorgt werden. Digitale Datenträger (USB-Sticks, Speicherkarten, Festplatten, Digitalkameras mit internem Speicher, CDs, DVDs) sind über die Lecos (PC-Festplatten) oder die IT-Koordination (Sammelbehälter für Datenträger) datenschutzgerecht zu entsorgen. Bis zur Entsorgung müssen die jeweiligen Betriebs- oder Sachmitteln vor unbefugtem Zugriff gesichert, verschlossen aufbewahrt werden. 4.11 Internetnutzung Das Internet darf nur über die vom IT-Dienstleister zur Verfügung gestellten Ressourcen mit den persönlichen Zugangsdaten genutzt werden. Die Internetverbindungsdaten Datum/Zeit, Source IP, Nutzer, Ziel URL, Ziel-Kategorie, Browserversion, Status, Datenmenge und Statuscodes werden protokolliert und nach 14 Tagen gelöscht. Seite 13 von 14 4.12 E-Mail-Nutzung Für jeden IT-Nutzer kann ein E-Mail-Zugang eingerichtet werden. Die E-Mail-Zugänge dürfen nur zur Aufgabenerfüllung genutzt werden. Private E-Mails müssen unverzüglich gelöscht oder an eine private E-Mail-Adresse weitergeleitet werden. Über eingehende E-Mails, deren Absender oder Inhalt fragwürdig erscheinen oder die die zum Aktivieren von Programmen und zu sonstigen Eingaben auffordern, ist der DV-Ansprechpartner unverzüglich zu informieren. Dateianhänger dieser E-Mails dürfen nicht geöffnet werden. Dies gilt insbesondere für Anhänge mit dem Dateityp *.exe, *.com, *.vbs, *.bat, *.cmd. Für die datenschutzgerechte E-Mail-Nutzung ist der Nutzer verantwortlich. Insbesondere personenbezogene Daten dürfen nicht im Klartext übermittelt werden. Für interne E-Mails kann eine Verschlüsselung über die zusätzliche Mail-Option 'Verschlüsseln' erreicht werden (funktioniert extern nicht!). Es besteht die Möglichkeit einem Vertreter Zugriff auf die Maildatenbank und den Kalender zu gewähren. 4.13 Protokollierung Zur Gewährleistung des ordnungsgemäßen Betriebs der IT-Systeme, Anwendungen und Netze erfolgt eine Protokollierung relevanter Ereignisse. Die Protokolldaten werden ausschließlich für diesen Zweck erhoben und gespeichert. Seite 14 von 14