Datensicherheit
Wissenswertes
Für den Umgang mit Personendaten oder Gesch?ftsdaten (z.B. Finanzdaten, Vertr?ge, Schulleitungsunterlagen) gilt von Gesetzes wegen ein besonderer Schutz.
Personendaten
- Personendaten liegen vor, wenn eine Person bestimmbar ist. Für Personendaten gilt das externe Seite Bundesgesetz über den Datenschutz.
- Für Personaldaten gelten zus?tzlich die Richtlinien über den Schutz und den Umgang mit Personaldaten an der ETH Zürich (RSETHZ 612)
Gesch?ftsdaten
Für Gesch?ftsdaten gelten Vorschriften zur Aufbewahrung von Gesch?ftsunterlagen (Art. 81 Finanzreglement der ETH Zürich, Weisung über die Aufbewahrung und Vernichtung von Gesch?ftsunterlagen, RSETHZ 245.5).
Der Verlust solcher Daten kann die Erfüllung der gesetzlichen Aufgaben der ETH Zürich wesentlich beeintr?chtigen. Solche Daten sind entsprechend auch technisch besonders zu schützen (Art. 14-15 Benutzungsordnung für Informations- und Kommunikationstechnologie an der ETH Zürich, BOT; RSETHZ).
Forschungsdaten
Auch der Umgang mit Forschungsdaten unterliegt gesetzlichen Vorschriften: Richtlinien für Integrit?t in der Forschung und gute wissenschaftliche Praxis an der ETH Zürich.
Vorgaben Dritter
Auch Institutionen der Forschungsf?rderung (SNF, KTI, EU etc.) machen Vorgaben zum Datenmanagement. Dies kann zum Beispiel Open Access oder Datenmanagementpl?ne betreffen.
Geheimhaltung
Für den Austausch bestimmter Daten kann zwischen den Parteien vereinbart werden, dass sie vertraulich zu behandeln sind.
Dazu wird - bereits im Vorfeld der Zusammenarbeit - eine Geheimhaltungsvereinbarung (Englisch: NDA) abgeschlossen.
Es wird empfohlen, Forschungs-NDA vor der Unterzeichnung ?ETH transfer zur Prüfung vorzulegen. Fragen zu allgemeinen NDA beantwortet der Rechtsdienst.
- Bei der Verwendung von personenbezogenen Daten in der Forschung müssen die betroffenen Personen über die Verwendung ihrer Daten informiert werden und sie müssen ihr Einverst?ndnis damit erkl?ren (informed consent). Dies gilt auch bei der Erhebung von biologischem Material.
- Das Erheben von personenbezogenen Daten nach einem Schnee?ball?system ist grunds?tzlich unzul?ssig. Das heisst, man darf Personen nicht nach Informationen über Dritte befragen.
- Forschungsdaten müssen gem?ss den Richtlinien für Integrit?t in der Forschung und gute wissenschaftliche Praxis an der ETH Zürich aufbewahrt werden, um die wissenschaftliche Nachprüfbarkeit der Forschungsergebnisse zu gew?hrleisten.
- Wer gesundheitsbezogene Personendaten oder biologisches Material für die Forschung aufbewahrt, muss diese Daten durch geeignete betriebliche und organisatorische Massnahmen besonders schützen. Dazu geh?ren zum Beispiel die zurückhaltende Gew?hrung des Zugangs zu den Daten (nur wo n?tig), die Verschlüsselung oder die Anonymisierung (Art. 5 HFV; Art. 18 KlinV). Auskünfte erteilt die Ethikkommission der ETH Zürich.
- Wenn keine besonderen L?schfristen bestehen, müssen Personendaten (z.B. Forschungsdaten nach externe Seite Humanforschungsgesetz) dann endgültig archiviert oder gel?scht werden, wenn sie für ihren Zweck nicht mehr erforderlich sind.
Eigentum der ETH Zürich
Prim?rdaten, die im Rahmen von Forschungsprojekten an der ETH Zürich erarbeitet werden, bleiben grunds?tzlich Eigentum der ETH Zürich. Forschende der ETH Zürich sind nicht verpflichtet, die Daten ausserhalb des Projektteams zug?nglich zu machen, bevor sie diese nicht selber verarbeitet, ausgewertet oder publiziert haben.
Wenn Sie nicht mehr zum Projektteam geh?ren
In jedem Forschungsprojekt wird durch einen Professor/eine Professorin in Absprache mit der jeweiligen Projektleitung bestimmt und schriftlich festgehalten, welche Teilnehmer nach ihrem Ausscheiden aus dem Projektteam Zugang zu den Prim?rdaten behalten sollen und zu welchen Zwecken sie diese Daten und Materialien verwenden dürfen.
Prim?rdaten zug?nglich machen
Nach Projektabschluss und Ergebnispublikation sollen die Forschungs?ergebnisse und die entsprechenden Ausgangsdaten der ?ffentlichkeit zug?nglich gemacht werden (soweit keine Geheimhaltungsinteressen oder vertragliche Verpflichtungen entgegenstehen): Open-Access-Policy der ETH Zürich
Fachstelle Forschungsdatenmanagement und Datenerhalt der Bibliothek der ETH Zürich
Sichere Aufbewahrung von Forschungsdaten für einen vorderfinierten Zeitraum und Publikation von Forschungsdaten inklusive der Bereitstellung eines Digital Object Identifiers
Scientific IT Services (SIS)
Unterstützung von 捷报比分_新浪体育nba¥直播官网n und Forschungsgruppen beim wissen?schaftlichen Rechnen und dem Umgang mit Forschungsdaten. SIS bietet Beratung, technische L?sungen und Dienstleistungen zum Management aktiver Forschungsdaten an.
Hochschularchiv der ETH Zürich
Das Hochschularchiv bietet Beratung zum Records Management, Archi?vierung von Gesch?ftsunterlagen und ist Ansprechstelle für Professorinnen und Professoren vor der Pensionierung.
Rechtsdienst der ETH Zürich
Der Rechtsdienst kann u.a. bei Fragen zum Datenschutz weiterhelfen.
Planung und Struktur
Definieren Sie innerhalb Ihrer Forschungs- oder Projektgruppe klare Regeln zum Umgang mit Daten und halten Sie sie in einem Datenmanagementplan fest. Die Data Management Checklist liefert wichtige Hinweise zum Thema.
- Daten (auch Prim?rdaten) sollen geordnet und mit Metadaten versehen, abgelegt werden.
- Klassifizieren Sie die Daten bezüglich Vertraulichkeit, Integrit?t und Verfügbarkeit.
- Einstufungen der ETH Zürich bzgl. Vertraulichkeit sind: ?ffentlich, intern, vertraulich
- Weitere Informationen finden Sie in der Weisung Informationssicherheit.
- Legen Sie die Zugriffsrechte fest, geben Sie jeder Rolle (Forscherin, Administrator, Supervisor, etc) nur die wirklich notwendigen Rechte.
- Wenn n?tig, legen Sie ein Verschlüsselungsverfahren fest.
- Legen Sie ein Versionskontrollsystem fest.
- Legen Sie ein Namensgebungsschema fest.
- Speicherung
- Verwenden Sie DOIs für die permanente Speicherung und Identifikation von Daten. DOI = Digital Object Identifier (deutsch: ?Digitaler Objektbezeichner?) ist ein Seriencode für Objekte, wie zum Beispiel elektronische Dokumente.
- Die seri?se Nachnutzung fremder Forschungsdaten ist nur m?glich, wenn die Daten vollst?ndig mit ihrem Kontext dokumentiert sind. Sorgen Sie deshalb dafür, dass solche Kontextinformationen zusammen mit Ihren Daten gespeichert sind und nicht an unterschiedlichen Orten verstreut liegen.
- Vermeiden Sie es, Daten auf Offline-?Medien (CDs, DVDs, USB-?Sticks, Band) zu speichern, die verloren oder kaputtgehen oder vergessen werden k?nnen.
- Programme und Fileformate ver?ndern sich im Laufe der Zeit, sodass alte Dateien m?glicherweise nicht mehr zuverl?ssig gelesen werden k?nnen. Die Fachstelle Forschungsdatenmanagement und Datenerhalt gibt Empfehlungen zur Archivtauglichkeit von Dateiformaten.
- Verwenden Sie DOIs für die permanente Speicherung und Identifikation von Daten. DOI = Digital Object Identifier (deutsch: ?Digitaler Objektbezeichner?) ist ein Seriencode für Objekte, wie zum Beispiel elektronische Dokumente.
Umsetzung
- Halten Sie sich an den Datenmanagementplan.
- Dokumentieren Sie, wie Daten aufbereitet wurden beziehungsweise was sie enthalten und zu welchem Zweck sie verwendet werden k?nnen.
- Führen Sie ein Laborjournal. Schreiben Sie ReadMes.
- Dokumentieren Sie die Urheberrechte und die intellektuelle Eigentumssituation, um zu prüfen, wer die intellektuellen Eigentumsrechte an den Daten h?lt.
- Kontrollieren und verwalten Sie Ihre Zugriffsrechte auf Daten und Systeme. Halten Sie diese stets aktuell.
Aufr?umen nach Projektende
Sorgen Sie dafür, dass Daten und Materialien nach Abschluss des Projektes w?hrend der für das Fachgebiet massgebenden Frist aufbewahrt und innerhalb der gesetzlich vorgegeben Frist ordnungsgem?ss vernichtet werden.
Datenklassifikation beachten
Beachten Sie die Klassifikationen der Datenbest?nde (bzgl. Vertraulichkeit, Verfügbarkeit und Integrit?t), mit denen Sie arbeiten. Wurden die Daten von Dritten übergeben, sind ebenfalls deren Einstufungen zu beachten.
Dokumente wegschliessen
Halten Sie sensitive physische Dokumente und Datentr?ger unter Verschluss.
Verschlüsseln sensitiver Daten und Dokumente
Speichern Sie sensitive Daten verschlüsselt ab, wenn Sie sicherstellen wollen, dass ausschliesslich die Personen im Besitz des Schlüssels sich Zugriff auf die Daten verschaffen k?nnen.
Sorgf?ltiger Umgang
Lassen Sie bei der Datenablage (physisch oder Cloud-basiert), bei der Datenl?schung oder beim Hochladen von Daten auf Websites Vorsicht walten. So verhindern Sie, dass selbst erstellte oder genutzte Daten unbeabsichtigt verteilt oder publiziert werden.
Sensitive Daten nur verschlüsselt übermitteln
Besondere Personendaten, vertrauliche Daten und andere sensitive Daten dürfen nur verschlüsselt übermittelt werden.
Achten Sie darauf,
- dass die Datenübertragung zum Zielsystem verschlüsselt erfolgt (https://)
oder
- die Daten zu verschlüsseln, z.B. mit WinZip
oder - die Daten mit einer verschlüsselten E-Mail zu versenden.
Sensitive Daten nur mit vertrauenswürdigen Computern bearbeiten
Wenn Sie nicht sicher sein k?nnen, ob auf einem System alle aktuellen Security Patches installiert sind, ob der Virenscanner l?uft und ob er ebenfalls aktuell ist, ob nur vertrauenswürdige Personen Zugriff hatten, dann sollten Sie nicht mit dem System arbeiten, schon gar nicht, wenn sie sensitive Daten bearbeiten wollen.
Speicher-?Service nutzen
Nutzen einen professionell verwalteten Speicher-?Service (von den Informatik?diensten oder Ihrer Informatiksupportgruppe). Dies ist die beste und zuver?l?ssigste Art und Weise, um Ihre Daten aufzubewahren.
Selbstverwalteter Speicher
Falls Sie Ihre Speicherung selbst verwalten müssen (oder wollen), verwenden Sie ein Network-Attached-Storage (NAS), das RAID-?Festplatten verwendet. Stellen Sie sicher, dass Sie immer die jüngsten Sicherheitsaktualisierungen installieren und das NAS an einem verschlossenen und sicheren Ort aufbewahren.
Externe Festplatten
Verwenden Sie externe Festplatten nur, sofern Sie über zus?tzliche Sicherheitskopien verfügen. Beim Speichern von Daten auf einer externen Festplatte riskieren Sie einen Datenverlust, da diese physisch entfernt oder verloren gehen k?nnen.
Privater Cloud-?Speicher
Nehmen Sie nur ein von der ETH gehostetes privates Cloud-?Storage-System (z.B. polybox) in Anspruch.
Externe Cloud-?Services
Falls keine andere L?sung zur Verfügung steht, k?nnen externe Cloud-?Services für nicht sensible Daten in Anspruch genommen werden, sofern alle übergeordneten Compliance-Anforderungen eingehalten werden. Es wird dringend empfohlen, den Rechtsdienst der ETH Zürich beizuziehen.
Unterstützung
Ihr IT-Support kann Sie bezüglich der Aufbewahrung Ihrer Daten unterstützen.
Backups durchführen
Vergewissern Sie sich, dass Backups durchgeführt werden und informieren Sie sich über die Aufbewahrungsfristen.
Wiederherstellung prüfen
Prüfen Sie sporadisch, ob Sie die Daten aus dem Backup wiederherstellen und nutzen k?nnen.
Backup-Service nutzen
- Nutzen Sie einen professionell verwalteten Backup-??Service (von den Informatikdiensten oder Ihrer Informatiksupportgruppe). Dies ist die beste und zuverl?ssigste Art und Weise, um Ihre Daten zu sichern.
- T?glich werden an der ETH Zürich ca. 150 Terabyte Daten gesichert. Tendenz steigend. Wenn Sie grosse Datenmengen erwarten, nehmen Sie mit dem für Ihre Gruppe zust?ndigen IT-?Support Kontakt auf, damit die notwendigen Ressourcen geplant werden k?nnen.
Selbstverwaltete Backups
Falls Sie sich entscheiden, Ihre Backups selbst zu verwalten, halten Sie bitte an die folgenden Aspekte:
- H?ufigkeit des Backups
- Aufbewahrungsfristen
- R?umliche Trennung zwischen den jeweiligen Kopien der Daten
- Aufbewahrung der Backup-Medien an einem sicheren Ort
Vorgesetzte, Entscheidungstr?ger
Legen Sie ein Verfahren fest, wie Daten bei Austritten oder internen Wechseln geordnet übergeben werden.
Austretende
?bergeben Sie vor Wechsel der Arbeitsstelle oder des Projekts alle gesch?fts?relevanten Daten und Forschungsdaten an Ihre Nachfolgenden oder an die vorgesetzte Person.
Verschlüsselte Daten müssen entweder mit dem zugeh?rigen Private Key übergeben werden oder entschlüsselt und mit dem Key Private Key des Nachfolgenden neu verschlüsselt werden.