Für einen individuellen Ausdruck passen Sie bitte die Einstellungen in der Druckvorschau Ihres Browsers an. Regelwerk

*) redaktionelle Änderungen

I.
Regelungsgegenstand

Die Verwaltungsvorschrift regelt die Strategien und Organisationsstrukturen, die für die Initiierung und Etablierung eines ganzheitlichen Informationssicherheitsprozesses erforderlich sind. Die allgemeinen Grundsätze und Ziele der Informationssicherheit, die Verantwortlichkeiten und Rollen und die Informationssicherheitsorganisation sind in der Anlage ausgeführt.

II.
Geltungsbereich

Die Verwaltungsvorschrift gilt für die Behörden und Einrichtungen des Freistaates Sachsen, nicht jedoch für die Gerichte, die Hochschulen, die Schulen in kommunaler Trägerschaft, die Forschungseinrichtungen, den Verfassungsgerichtshof des Freistaates Sachsen, den Rechnungshof, die Verwaltung des Landtags und den Sächsischen Datenschutzbeauftragten. Die Vorgaben sind entsprechend der jeweiligen Aufgabenverantwortung umzusetzen und auszugestalten.

III.
Inkrafttreten

Diese Verwaltungsvorschrift tritt am Tage nach ihrer Veröffentlichung in Kraft.

.

Leitlinie
der Sächsischen Staatsregierung zur Gewährleistung der Informationssicherheit in der Landesverwaltung

1 Einleitung

Auf dem Weg in das Informationszeitalter werden Staat, Wirtschaft und Gesellschaft zunehmend durch die immer intensiver werdende Nutzung moderner Informationstechnik (IT) geprägt. Informationsinfrastrukturen gehören heute neben Straßen, Wasser- und Stromleitungen zu den nationalen Infrastrukturen, ohne die das private wie das berufliche Leben zum Stillstand käme.

Durch die verstärkte Abhängigkeit von moderner Kommunikationstechnik hat sich das Risiko der Beeinträchtigung von Informationsinfrastrukturen und deren Komponenten durch vorsätzliche Angriffe von innen und außen, fahrlässiges Handeln, Nachlässigkeiten, Ignoranz, Unkenntnis und potenzielles Versagen der Technik sowohl qualitativ als auch quantitativ deutlich erhöht.

Unter Beachtung der rechtlichen und wirtschaftlichen Rahmenbedingungen sowie der Anforderungen aus ihren Geschäftsprozessen hat die Landesverwaltung effizient, wirtschaftlich, nachvollziehbar und dienstleistungsorientiert zu handeln. Jede Beeinträchtigung der Informationssicherheit kann zu einer Störung dieser Arbeitsweise führen, die Leistungsfähigkeit der Landesverwaltung mindern und im Extremfall die Geschäftsprozesse zum Erliegen bringen.

Vor diesem Hintergrund ist eine angemessene Informationssicherheit in den Geschäftsprozessen der Landesverwaltung zu organisieren. Danach sind organisatorische Rahmenbedingungen zur nachhaltigen Gewährleistung von Informationssicherheit zu schaffen, ein Informationssicherheitsmanagement einzurichten, Standards zur Informationssicherheit einschließlich der Definition von Verantwortlichkeiten und Befugnissen zu erarbeiten, Komponenten zur Steigerung der Informationssicherheit zu standardisieren und alle Sicherheitsvorkehrungen und Sicherheitsmaßnahmen hinreichend zu dokumentieren.

Die vorliegende Leitlinie beschreibt die allgemeinen Ziele, Strategien und Organisationsstrukturen, welche für die Initiierung und Etablierung eines ganzheitlichen Informationssicherheitsprozesses erforderlich sind.

2 Grundsätze und Ziele der Informationssicherheit

2.1 Grundsätze

2.1.1 Begriffseinführung

Informationssicherheit bezeichnet einen Zustand, in dem die Risiken für die Sicherheitsziele Vertraulichkeit, Integrität und Verfügbarkeit von Informationen und IT durch angemessene Maßnahmen auf ein tragbares Maß reduziert sind. Die Informationssicherheit umfasst neben der Sicherheit der IT-Systeme und der darin gespeicherten Daten auch die Sicherheit von nicht elektronisch verarbeiteten und gespeicherten Daten und Informationen.

Dabei bedeutet:
Vertraulichkeit: Vertrauliche Daten, Informationen und Programme sind vor unberechtigten Zugriffen und unbefugter Preisgabe zu schützen. Zu den Schutzobjekten gehören die gespeicherten oder transportierten Nachrichteninhalte, die näheren Informationen über den Kommunikationsvorgang (wer, wann, wie lange und dergleichen) sowie die Daten über den Sende- und Empfangsvorgang.

Integrität:
Der Begriff der Integrität bezieht sich sowohl auf Informationen und Daten als auch auf das gesamte IT-System. Integrität der Informationen bedeutet deren Vollständigkeit und Korrektheit. Vollständigkeit bedeutet, dass alle Teile der Information verfügbar sind. Korrekt sind Informationen, wenn sie den bezeichneten Sachverhalt unverfälscht wiedergeben. Das gilt entsprechend für die Integrität von Daten. Zum anderen bezieht sich der Begriff Integrität auch auf IT-Systeme, da die Integrität der Informationen und Daten nur bei ordnungsgemäßer Verarbeitung und Übertragung sichergestellt werden kann.

Verfügbarkeit:
Die Funktionen der Hard- und Software im System- und Netzbereich sowie notwendige Informationen stehen dem Anwender zum geforderten Zeitpunkt zur Verfügung.

2.1.2 Standards des Bundesamtes für Sicherheit in der Informationstechnik (BSI)