Für einen individuellen Ausdruck passen Sie bitte die Einstellungen in der Druckvorschau Ihres Browsers an. Regelwerk, Information/Kommunikation

Bezug: ²²

a) Gem. RdErl. v. 9.11.2016 (Nds. MBl. S. 1193) - VORIS 20500 -

b) Gem. RdErl. v. 5.5.2021 (Nds. MBl. S. 1075), zuletzt geändert durch Gem. RdErl. v. 2.11.2022 (Nds. MBl. S. 1530).

1. Gegenstand und Geltungsbereich ²²

1.1 Diese Informationssicherheitsrichtlinie beschreibt die risikobasierte Konzeption der Informationssicherheit von Services, Fachverfahren und Sicherheitsdomänen (ISRL-Konzeption). Sie legt auf Grundlage der Leitlinie zur Gewährleistung der Informationssicherheit ( ISLL) - Bezugserlass - Mindestanforderungen an die risikoorientierte Vorgehensweise sowie an die Dokumentenstruktur von Sicherheitskonzepten und von Risikobeschreibungen fest. Sie dient dem Zweck, Risiken für die Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit zu erkennen und angemessen zu behandeln, sodass Schäden für die Informationen der niedersächsischen Landesverwaltung vermieden und Risiken gesteuert und verantwortet werden können.

1.2 Ziel der ISRL-Konzeption ist es, die Konzeptionen von Services, Fachverfahren und Sicherheitsdomänen mit ihren sonstigen Verwaltungsaufgaben in der niedersächsischen Landesverwaltung ressortübergreifend zu etablieren und fortlaufend zu verbessern.

1.3 Die ISRL-Konzeption gilt im gesamten Geltungsbereich der Leitlinie für die Gewährleistung der Informationssicherheit ( ISLL) (Nummer 1.1 des Bezugserlasses).

1.4 Die ISRL beschreibt in Nummer 5.3 mit dem risikoorientierten Vorgehensmodell die methodische Vorgehensweise bei der Erstellung von Sicherheitskonzepten. Neben diesem risikoorientierten Vorgehensmodell ist die Erstellung von Sicherheitskonzepten nach den Vorgaben des BSI-Standards 200-2 in der jeweils geltenden Fassung ebenso zulässig.

1.5 Die ISRL-Konzeption findet keine Anwendung, soweit für einzelne Betrachtungsgegenstände oder Organisationen die Pflicht besteht, eine von Nummer 1.4 abweichende Vorgehensweise einzusetzen. Die Abweichung wird der Behördenleitung und der oder dem Informationssicherheitsbeauftragten der Landesverwaltung (CISO) bekannt gegeben.

1.6 Ist bei der Erstellung eines Sicherheitskonzepts nach Nummer 1.4 oder 1.5 eine Risikoanalyse erforderlich, sind die Anforderungen der Nummer 5.4 entsprechend anzuwenden. Zudem findet Nummer 5.5 stets Anwendung.

2. Begriffsbestimmungen ²²

Für Begriffsbestimmungen zur einheitlichen Begriffsdefinition im Informationsmanagement des Landes Niedersachsen wird auf den Bezugserlass zu b verwiesen.

3. Organisatorische und technische Maßnahmen der Behördenleitung ²²

Die Behördenleitung ist im Rahmen ihrer Zuständigkeit für die Gewährleistung der Informationssicherheit verantwortlich. Zur Umsetzung der ISRL-Konzeption veranlasst die Behördenleitung die notwendigen organisatorischen und technischen Maßnahmen. Insbesondere entscheidet sie über die nach Nummer 1.4 oder 1.5 anzuwendende Vorgehensweise bei der Erstellung des Sicherheitskonzepts, sofern keine einheitliche Vorgehensweise für die Sicherheitsdomäne festgelegt wurde.

Soweit sichergestellt ist, dass die Sicherheitsanforderungen der Nummer 5 vollständig umgesetzt werden, ist der Behördenleitung die weitere Ausgestaltung der Maßnahmen in Art und Umfang freigestellt.

4. Innerbehördliche Zuständigkeit und Organisation

Die Behördenleitung legt die innerbehördlichen Rollen mit ihren Zuständigkeiten (zuständigen Stellen) für die Umsetzung der ISRL-Konzeption in eigener Zuständigkeit fest. Die Aufgabenzuweisung wird dokumentiert. Sie stellt sicher, dass ein strukturierter Prozess für die Konzeption der Informationssicherheit etabliert und kontinuierlich verbessert wird.

5. Sicherheitsanforderungen

5.1 Aufgaben

5.1.1 Die Behördenleitung veranlasst die risikobasierten Konzeptionen der Services, Fachverfahren und sonstigen Verwaltungsaufgaben ihres Zuständigkeitsbereichs. Sie lässt diese Konzeptionen umsetzen und dokumentieren.

5.1.2 Die Behördenleitung sorgt für eine Ermittlung und Priorisierung aller Services, Fachverfahren und sonstigen Verwaltungsaufgaben im Rahmen ihrer Zuständigkeit. Sie legt für die Priorisierung Kriterien fest.

5.1.3 Die jeweils zuständigen Stellen für die Konzeptionen zu Services, Fachverfahren und sonstigen Verwaltungsaufgaben initiieren diese und führen sie durch.

5.1.4 Die oder der Informationssicherheitsbeauftragte der Sicherheitsdomäne überwacht die Vorgehensweise zu den Konzeptionen sowie die daraus resultierende Unterrichtung der Leistungsempfänger zu den Servicerisiken und Fachverfahrensrisiken.

5.1.5 Im Rahmen der Zuständigkeit gemäß Nummer 5.1.3 kann eine andere Stelle innerhalb oder außerhalb der Behörde mit der Konzeption oder mit einzelnen Arbeitsschritten dazu (z.B. Konzepterstellung) beauftragt werden. Dazu wird der Auftragnehmer vom Auftraggeber auf die Einhaltung der Sicherheitsanforderungen der Nummern 5.3 bis 5.5 verpflichtet. Die Beauftragungen werden dokumentiert.

5.2 Verantwortlichkeiten

5.2.1 Die Serviceeigentümer, die Fachverfahrenseigentümer und die Informationseigentümer verantworten im Rahmen ihrer Zuständigkeit die Informationssicherheit als wesentliche Bestandteile ihrer Services, ihrer Fachverfahren und der Sicherheitsdomänen mit ihren sonstigen Verwaltungsaufgaben.

5.2.2 Die Serviceeigentümer und Fachverfahrenseigentümer verantworten für ihre Services und Fachverfahren die Schutzbedarfseignung anhand der festgelegten Einsatzszenarien.

5.2.3 Die Leistungsempfänger verantworten die Nutzung eines Services oder Fachverfahrens, insbesondere außerhalb der in der Risikobeschreibung angegebenen Einsatzszenarien und Schutzbedarfseignung.

5.3 Vorgehensweise zur Konzeption

5.3.1 Das risikoorientierte Vorgehen beinhaltet folgende sieben Arbeitsschritte:

1. die Festlegung des Betrachtungsgegenstandes,
2. die Ermittlung der Ressourcen,
3. die Gefahrenanalyse,
4. die Risikoanalyse,
5. die Erstellung des Katalogs an Sicherheitsmaßnahmen,
6. die Erstellung der Umsetzungsplanung und
7. die Akzeptanz des Risikos nach der Maßnahmenumsetzung. Die Methodik zum risikoorientierten Vorgehen richtet sich nach Nummer 5.4.

5.3.2 Die Betrachtungsgegenstände werden anhand der Geschäftsprozesse oder für sonstige Verwaltungsaufgaben in Anlehnung an den Geschäftsverteilungsplan festgelegt. Zum ausgewählten Betrachtungsgegenstand werden die dort verarbeiteten Informationen identifiziert.

5.3.3 Es werden anschließend die Ressourcen identifiziert, die für die Verarbeitung der Informationen des Betrachtungsgegenstands eingesetzt werden.

5.3.4 Im Rahmen der Gefahrenanalyse werden für jede Ressource die realistischen Gefahrenszenarien anhand der jeweiligen Schutzziele ermittelt und dokumentiert. Die Gefahrenanalyse eines Fachverfahrens bezieht die in den Servicerisikobeschreibungen aufgezeigten Gefahrenszenarien und die Servicerisiken ein; sie werden vom Leistungsempfänger weiterbehandelt. Die Gefahrenanalyse der Sicherheitsdomäne bezieht die in den Service- und Fachverfahrensrisikobeschreibungen aufgezeigten Gefahrenszenarien und die Servicerisiken und Fachverfahrensrisiken ein; sie werden vom Leistungsempfänger weiterbehandelt.

5.3.5 Im Rahmen der Risikoanalyse werden für jedes Gefahrenszenario die Risikoeinschätzung und die Risikobewertung durchgeführt. Im Rahmen der Risikoeinschätzung wird beim Serviceeigentümer und beim Fachverfahrenseigentümer die Schutzbedarfseignung festgelegt und beim Informationseigentümer die Informationsklassifizierung durchgeführt.

5.3.6 Es werden angemessene Sicherheitsmaßnahmen für die jeweiligen Risiken mit dem Ziel der Risikoreduzierung ermittelt.

5.3.7 Anhand der ermittelten Sicherheitsmaßnahmen wird im Rahmen der Umsetzungsplanung eine Zeit- und Ressourcenplanung von der zuständigen Stelle erstellt und daraus eine Handlungsstrategie für umzusetzende oder zu ändernde Sicherheitsmaßnahmen entwickelt.

5.3.8 Die verantwortliche Behördenleitung entscheidet auf der Basis des Katalogs von Sicherheitsmaßnahmen und der Umsetzungsplanung über die Maßnahmenumsetzung zur Risikoreduzierung. Dazu legt die zuständige Stelle einen Entscheidungsvorschlag vor und dokumentiert die Entscheidung. 5.3.9 Die verantwortliche Behördenleitung entscheidet anschließend über die Akzeptanz der Risiken nach der Maßnahmenumsetzung. Dazu legt die zuständige Stelle einen Entscheidungsvorschlag vor und dokumentiert die Entscheidung.

5.3.10 Konzeptionen unterliegen dem kontinuierlichen Verbesserungsprozess. Sie werden anlassbedingt aktualisiert und in regelmäßigen Abständen überprüft.

5.3.11 Es ist anzustreben, die risikoorientierte Vorgehensweise der Nummern 5.3.1 bis 5.3.10 sowohl für die Aspekte der Informationssicherheit als auch für die Aspekte des Datenschutzes gleichermaßen anzuwenden.

5.3.12 Ist in den Fällen der Nummer 1.4 oder aufgrund einer Regelung aus einer anderen Informationssicherheitsrichtlinie eine Risikoanalyse erforderlich, wird die risikoorientierte Vorgehensweise der Nummern 5.3.1 bis 5.3.11 entsprechend angewendet.

5.4 Methodik zum Vorgehen

5.4.1 Die Eintrittswahrscheinlichkeit der Gefahrenszenarien wird im Rahmen der Risikoeinschätzung ermittelt und in Stufen (z.B."unwahrscheinlich", "möglich", "wahrscheinlich", "sehr wahrscheinlich") klassifiziert. Diesen Stufen werden numerische Werte zugewiesen.

5.4.2 Das Schadensausmaß der Gefahrenszenarien wird im Rahmen der Risikoeinschätzung für die Sicherheitsziele "Vertraulichkeit", "Integrität" und "Verfügbarkeit" ermittelt und klassifiziert. Für die Klassifizierung werden mindestens die Schutzkategorien "normal", "hoch" und "sehr hoch" verwendet. Diesen Kategorien werden numerische Werte zugewiesen.

5.4.3 Es wird ein Risikowert aus den Werten für die Eintrittswahrscheinlichkeit und für das Schadensausmaß berechnet.

5.4.4 Für die Risikobewertung wird eine Klassifizierung des Risikowertes aus Nummer 5.4.3 als Risikolevel "grün = gering", "gelb = risikobehaftet" oder "rot = kritisch" vorgenommen.

5.4.5 Es werden Sicherheitsmaßnahmen mit dem Ziel der Risikoreduzierung ermittelt. Anhand von nachvollziehbaren Kriterien (z.B. Vollständigkeit, Wirksamkeit, Zuverlässigkeit) wird für jede Sicherheitsmaßnahme der Wert bestimmt, um den sich das Risiko vermindert. Der Status der Maßnahmenumsetzung (z.B."umgesetzt", "teilweise umgesetzt", "nicht umgesetzt") wird dokumentiert.

5.4.6 Für die Risikobehandlung wird nach der Maßnahmenumsetzung eine Klassifizierung des Wertes für das Servicerisiko oder Fachverfahrensrisiko aus Nummer 5.4.5 in eine der folgenden drei Risikolevel vorgenommen:

• "grün": Servicerisiko oder Fachverfahrensrisiko kann in der
  Regel ohne weitere Risikobehandlung akzeptiert werden;
• "gelb": Behördenleitung des Serviceeigentümers oder Fachverfahrenseigentümers kann das Servicerisiko oder Fachverfahrensrisiko akzeptieren;
• "rot": Servicerisiko oder Fachverfahrensrisiko ist grundsätzlich nicht akzeptabel und verhindert grundsätzlich den Produktivbetrieb; Akzeptanz dieses Risikos muss begründet und an die oder den CISO kommuniziert werden.

5.4.7 Für die Risikobehandlung wird nach der Maßnahmenumsetzung eine Klassifizierung des Wertes für das Domänenrisiko aus Nummer 5.4.5 in eine der folgenden drei Risikolevel vorgenommen:

• "grün": Domänenrisiko kann in der Regel ohne weitere Risikobehandlung akzeptiert werden;
• "gelb": Behördenleitung kann das Domänenrisiko akzeptieren und muss für eine regelmäßige Kontrolle sorgen;
• "rot": Domänenrisiko ist grundsätzlich nicht akzeptabel; die Behördenleitung muss unverzüglich Maßnahmen zur Risikoreduzierung einleiten; Akzeptanz dieses Risikos muss begründet und an die oder den CISO kommuniziert werden.

5.4.8 Es ist anzustreben, die Methodik der Nummern 5.4.1 bis 5.4.7 sowohl für die Aspekte der Informationssicherheit als auch für die Aspekte des Datenschutzes gleichermaßen anzuwenden.

5.5 Dokumentation zur Konzeption

5.5.1 Für jeden Service, jedes Fachverfahren und jede Sicherheitsdomäne mit ihren sonstigen Verwaltungsaufgaben wird ein entsprechendes Sicherheitskonzept erstellt. Es ermöglicht der Behördenleitung, Entscheidungen zur Maßnahmenumsetzung und zur Risikoakzeptanz zu treffen. Das Sicherheitskonzept enthält folgende sechs Kapitel über:

1. das Management summary,
2. den Betrachtungsgegenstand,
3. die Risiken mit den höchsten Werten,
4. die Sicherheitsmaßnahmen zur Risikoreduzierung,
5. die Handlungsstrategie zur Umsetzung von Sicherheitsmaßnahmen und
6. die Risiken nach der Maßnahmenumsetzung.

Die Details werden in den Anlagen des Sicherheitskonzepts spezifiziert.

5.5.2 Für Services werden vom Serviceeigentümer Servicerisikobeschreibungen gefertigt und den Leistungsempfängern bekannt gegeben. Die Servicerisikobeschreibungen informieren über die für die Leistungsempfänger relevanten Servicerisiken, die sie durch Sicherheitsmaßnahmen in eigener Verantwortung weiter reduzieren können oder akzeptieren. Die Servicerisikobeschreibung enthält folgende sechs Kapitel über:

1. das Management summary,
2. den Betrachtungsgegenstand,
3. die Risiken mit den höchsten Werten,
4. die vom Serviceeigentümer umgesetzten Sicherheitsmaßnahmen zur Risikoreduzierung,
5. die Servicerisiken und
6. die Vorschläge für optionale, weitere Sicherheitsmaßnahmen.

5.5.3 Für Fachverfahren werden vom Fachverfahrenseigentümer Fachverfahrensrisikobeschreibungen gefertigt und den Leistungsempfängern bekannt gegeben. Die Fachverfahrensrisikobeschreibungen informieren über die für die Leistungsempfänger relevanten Fachverfahrensrisiken, die sie durch Sicherheitsmaßnahmen in eigener Verantwortung weiter reduzieren können oder akzeptieren. Nummer 5.5.2 Satz 3 gilt für Fachverfahrensrisikobeschreibungen entsprechend.

5.5.4 Die Dokumente der Nummern 5.5.1 bis 5.5.3 unterliegen dem kontinuierlichen Verbesserungsprozess; sie werden regelmäßig und anlassbedingt aktualisiert.

5.5.5 Es ist anzustreben, sowohl die Aspekte der Informationssicherheit als auch des Datenschutzes in einem Dokument nach Maßgabe der Nummern 5.5.1 bis 5.5.3 zu behandeln.

5.5.6 Abweichend von den Nummern 5.5.1 bis 5.5.3 kann die Dokumentation anderweitig erfolgen, sofern die Anforderungen der Nummer 5.3 zur Vorgehensweise und der Nummer 5.4 zur Methodik erfüllt werden. Die Art und Weise der abweichenden Dokumentation wird der Behördenleitung zur Kenntnis gegeben.

5.6 Umsetzung der Konzeption

5.6.1 Ein Service oder Fachverfahren wird grundsätzlich erst für den Produktivbetrieb freigegeben, wenn die Dokumentation gemäß Nummer 5.5 von der zuständigen Stelle abgenommen ist.

5.6.2 Die Umsetzung der Sicherheitsmaßnahmen zur Risikoreduzierung aus dem Sicherheitskonzept gemäß Entscheidung der Behördenleitung wird von den zuständigen Stellen durchgeführt. Die aktuellen Sachstände zur Maßnahmenumsetzung werden dokumentiert. Der oder dem Informationssicherheitsbeauftragten sowie der Behördenleitung wird regelmäßig über den Umsetzungsstand berichtet. Die Umsetzung wird regelmäßigen und anlassbedingten Revisionen oder Audits unterzogen.

6. Umsetzung der ISRL-Konzeption

Zur organisatorischen Umsetzung der ISRL-Konzeption wird empfohlen, die vom MI herausgegebenen Handreichungen als Arbeits- und Orientierungshilfen zu verwenden.

7. Schlussbestimmungen ²²

Dieser Gem. RdErl. tritt am 1.1.2017 in Kraft und mit Ablauf des 31.12.2024 außer Kraft.

.

ENDE