Für einen individuellen Ausdruck passen Sie bitte die Einstellungen in der Druckvorschau Ihres Browsers an. Regelwerk

zur aktuellen Fassung

Gem. RdErl. d. MI, d. StK u. d. übr. Min. v. 12.7.2011
- MI-CIO1.3-02850/0007 -

- VORIS 20500 -

1. Gegenstand und Geltungsbereich

1.1 Die ISLL beschreibt den Aufbau und den Betrieb eines ressortübergreifenden Informationssicherheitsmanagementsystems ( ISMS) in der niedersächsischen Landesverwaltung auf Grundlage des Standards ISO/IEC 27001 und dient der langfristigen Gewährleistung der Informationssicherheit für die unmittelbare Landesverwaltung unter Ausschluss der Hochschulen und Forschungseinrichtungen. Die in einzelnen Ressorts bereits im Aufbau befindlichen ISMS bleiben erhalten und werden in die durch diese Leitlinie vorgegebene, ressortübergreifende Struktur integriert. ^*

1.2 Für länderübergreifende Informationstechnologieverbünde auf Grundlage von Staatsverträgen oder Verwaltungsabkommen können im Einvernehmen mit dem für die zentrale Steuerung der Informationstechnik (IT) des Landes zuständigen Ministerium gesonderte Regelungen getroffen werden.

2. Sicherheitsziele

Durch diese ISLL und das ISMS soll sichergestellt werden, dass dem jeweiligen Schutzzweck angemessene und dem Stand der Technik entsprechende Sicherheitsmaßnahmen ergriffen werden, um das Eintreten von Sicherheitsvorfällen weitestgehend zu minimieren. Sie dienen insbesondere

2.1 der zuverlässigen Unterstützung der Verwaltungsprozesse durch die IT und der Sicherstellung der Kontinuität der Arbeitsabläufe,

2.2 der Wahrung von Dienst- oder Amtsgeheimnissen,

2.3 der Gewährleistung der aus gesetzlichen Vorgaben resultierenden Anforderungen,

2.4 der Gewährleistung des informationellen Selbstbestimmungsrechts der oder des Betroffenen bei der Verarbeitung personenbezogener Daten,

2.5 der Reduzierung der bei einem Sicherheitsvorfall entstehenden materiellen und immateriellen Schäden sowie

2.6 der Realisierung sicherer und vertrauenswürdiger E-Governmentverfahren.

3. Definitionen

Im Sinne dieser ISLL

3.1 ist "Fachverfahren" ein Computerprogramm, welches nicht lediglich der Bürokommunikation dient und Verwaltungsprozesse unterstützt;

3.2 ist "Informationssicherheit" die Herstellung und Aufrechterhaltung der

3.2.1 "Vertraulichkeit", d. h. die Gewährleistung des physikalischen bzw. logischen Zugangs zu Informationen nur für Zugriffsberechtigte,

3.2.2 "Verfügbarkeit", d. h. die Gewährleistung des bedarfsorientierten Zugangs zu Informationen und zugehörigen Werten für berechtigte Benutzerinnen und Benutzer,

3.2.3 "Integrität", d. h. die Sicherstellung der Richtigkeit und Vollständigkeit von Informationen und Verarbeitungsmethoden;

3.3 ist "Informationstechnik" jedes technische Mittel zur Verarbeitung oder Übertragung von Informationen;

3.4 ist "Informationssicherheitsmanagementsystem" () die Aufstellung von Verfahren und Regeln, welche dazu dienen, die Informationssicherheit dauerhaft zu definieren, zu steuern, zu kontrollieren, aufrechtzuerhalten und fortlaufend zu verbessern;

3.5 ist "Informationssicherheitsprozess" ein sich dauerhaft wiederholender sukzessiver Ablauf von Planungs-, Umsetzungs-, Überprüfungs- und Verbesserungsphasen mit dem Ziel, die Informationssicherheit langfristig zu gewährleisten;

3.6 ist "Schutzbedarf" das unter Berücksichtigung der Bedeutung einer Information angemessene Maß von Sicherungsmaßnahmen;

3.7 sind "Schutzkategorien" Gruppen annähernd gleichen Schutzbedarfs, dabei bedeutet

3.7.1 "normaler Schutzbedarf", dass die Auswirkungen eines Schadens begrenzt und überschaubar wären,

3.7.2 "hoher Schutzbedarf", dass die Auswirkungen eines Schadens beträchtlich sein können,

3.7.3 "sehr hoher Schutzbedarf", dass die Auswirkungen eines Schadens ein existenzielles bzw. katastrophales Ausmaß erreichen können;

3.8 ist "Sicherheitsdomäne" ein abgrenzbarer Teil der Landesverwaltung mit einheitlichen Sicherheitsanforderungen und/oder einheitlicher Sicherheitsadministration, dabei kann eine Sicherheitsdomäne weitere, untergeordnete Sicherheitsdomänen enthalten; eine untergeordnete Sicherheitsdomäne wendet grundsätzlich die Regeln der ihr übergeordneten Sicherheitsdomäne an, soweit sie sich in Abstimmung mit der übergeordneten Sicherheitsdomäne selbst keine spezielleren Regeln gibt;

3.9 sind "Sicherheitskonzepte" Dokumente, welche den Schutzbedarf von Informationen festlegen, die Angriffs- und Schadenszenarien eines bestimmten organisatorischen oder technischen Bereichs durch vorsätzliche Schädigungen und durch menschliches Versagen analysieren, um Risiken für die Informationen zu bestimmen, und Sicherheitsmaßnahmen beschreiben, um diese Risiken zu behandeln;

3.10 ist "Sicherheitsmaßnahme" eine technische oder organisatorische Lösung mit dem Ziel, ein bestehendes Risiko zu minimieren oder zu beherrschen.

4. Dokumentenhierarchie

Das ISMS besteht aus mehreren Dokumenten, welche hierarchisch aufeinander aufbauen.

4.1 Die ISLL ist das übergeordnete strategische Basisdokument zur Gewährleistung der Informationssicherheit und dient insbesondere der Initiierung und Aufrechterhaltung des ISMS.

4.2 Die Informationssicherheitsrichtlinien ( ISRL) legen für einzelne organisatorische oder technische Bereiche Standards fest.

4.3 Die Sicherheitskonzepte bestimmen mögliche Risiken für Sicherheitsdomänen und/oder Fachverfahren und legen Maßnahmen zur Risikobehandlung fest. Sie enthalten eine Bestimmung des zu schützenden Objekts und des Schutzbedarfs der Informationen, eine Analyse der Angriffs- und Schadenszenarien, eine Bewertung der Eintrittswahrscheinlichkeit und der potentiellen Schadenhöhe, Maßnahmen zur Reduzierung der Eintrittswahrscheinlichkeit bzw. Schadenhöhe und eine Analyse der eigenen Risikotragbarkeit sowie ggf. die Genehmigung des Restrisikos durch die Behördenleitung. Das Sicherheitskonzept trifft zudem Aussagen zur Datensicherung und Archivierung, zur Notfallvorsorge und zum Virenschutz.

5. Grundsätze der Sicherheitsstrategie

5.1 Informationsklassifizierung

Alle Informationen mit Relevanz für das Verwaltungshandeln sind in Schutzkategorien zu klassifizieren.

5.2 Risikoanalyse

Im Rahmen einer Risikoanalyse sind mögliche Schadenereignisse, deren Ursachen und Auswirkungen sowie deren Eintrittswahrscheinlichkeit zu untersuchen und Maßnahmen zur Risikobehandlung zu entwickeln. Das verbleibende Risiko (Restrisiko) ist zu beschreiben und durch die betroffene Behördenleitung zu verantworten.

5.3 Angemessenheit von Sicherheitsmaßnahmen

Finanzieller und organisatorischer Aufwand von Sicherheitsmaßnahmen müssen in einem angemessenen Verhältnis zum verfolgten Ziel stehen. Dem Gebot der Wirtschaftlichkeit und Sparsamkeit ist Rechnung zu tragen.

6. Organisation

6.1 Informationssicherheitsbeauftragte oder Informationssicherheitsbeauftragter der Landesverwaltung

6.1.1 Beim für die zentrale Steuerung der IT des Landes zuständigen Ministerium ist eine Informationssicherheitsbeauftragte oder ein Informationssicherheitsbeauftragter für die Landesverwaltung (Chief Information Security Officer - CISO) zu bestimmen, die oder der für die Koordinierung des ISMS und die strategische, ressortübergreifende Planung und Steuerung der Informationssicherheit in der gesamten Landesverwaltung zuständig ist und diese in allen Fragen der Informationssicherheit berät. Die oder der CISO kann direkt an ihre oder seine Behördenleitung berichten.

6.1.2 Sie oder er hat insbesondere die Aufgaben,

• das ressortübergreifende Informationssicherheitsmanagement zu initiieren, zu begleiten und weiterzuentwickeln,
• die ISLL weiterzuentwickeln,
• die domänenübergreifenden ISRL zu entwickeln bzw. weiterzuentwickeln,
• die Umsetzung und Wirksamkeit des ISMS zu überprüfen,
• einen Informationssicherheitsbericht zu erstellen,
• Sicherheitsvorfälle oder Schwachstellen zu untersuchen

bzw. festzustellen sowie

• Audits und Penetrationstests anzuregen und zu begleiten bzw. im Einvernehmen mit den betroffenen Einrichtungen durchzuführen.

6.2 Behördenleitung

Die Behördenleitung trägt die Verantwortung für die Informationssicherheit ihrer Behörde. Sie hat zu veranlassen, dass

• der Schutzbedarf von Informationen festgestellt und eine Risikoanalyse durchgeführt wird,
• Sicherheitskonzepte erstellt und die sich daraus ergebenden Maßnahmen umgesetzt werden,
• Verantwortlichkeiten im Umgang mit den Informationen explizit definiert und verbindlich gegenüber den Nutzerinnen und Nutzern festgelegt werden,
• der Zugang zu und der Zugriff auf Informationen sowie der Umfang und die Art der Autorisierung definiert und verbindlich gegenüber den Nutzerinnen und Nutzern festgelegt werden und
• Sicherheits- und Kontrollmaßnahmen zum Schutz der Informationen implementiert werden

und sich regelmäßig über den Stand der Umsetzung berichten zu lassen. Die zuständige oberste Landesbehörde kann abweichende Verantwortlichkeiten festlegen. Diese Leitlinie und die Informationssicherheitsrichtlinien sind in diesem Fall sinngemäß anzuwenden.

6.3 Informationssicherheitsbeauftragte der Sicherheitsdomänen

6.3.1 Die oder der Informationssicherheitsbeauftragte einer Sicherheitsdomäne ist für die Wahrnehmung aller Belange der Informationssicherheit innerhalb der Sicherheitsdomäne zuständig und berät und unterstützt die jeweils betroffene Behördenleitung bei der Wahrnehmung ihrer Aufgaben im Hinblick auf die Informationssicherheit. Insoweit kann die oder der Informationssicherheitsbeauftragte direkt an jede Behördenleitung innerhalb der Sicherheitsdomäne berichten.

6.3.2 Sie oder er hat insbesondere die Aufgaben,

• die Schutzbedarfsfeststellung und Risikoanalyse durchzuführen oder zu initiieren und in regelmäßigen Abständen zu wiederholen und zu überprüfen,
• die Erstellung von Sicherheitskonzepten zu veranlassen und in regelmäßigen Abständen auf ihre Angemessenheit zu überprüfen bzw. die Überarbeitung zu veranlassen,
• Audits und Penetrationstests zu veranlassen bzw. daran mitzuwirken,
• Sicherheitsvorfälle oder Schwachstellen zu untersuchen bzw. festzustellen sowie
• Sensibilisierungs- und Schulungsmaßnahmen anzuregen.

6.3.3 Sie oder er ist insbesondere bei allen neuen Projekten mit IT-Bezug sowie bei der Einführung neuer IT-Anwendungen und IT-Systeme zu beteiligen, um die Beachtung von Informationssicherheitsaspekten in den verschiedenen Projektphasen zu gewährleisten.

7. Informationssicherheitsprozess

Der landesweite Informationssicherheitsprozess hat das Ziel, ein ressortübergreifendes ISMS zu etablieren und aufrechtzuerhalten und ggf. bestehende ISMS der unmittelbaren Landesverwaltung zu integrieren.

7.1 Planen des ISMS

7.1.1 Die StK und die Ministerien legen eine oder mehrere Sicherheitsdomänen für ihren Geschäftsbereich fest. Liegt eine Behörde im Geschäftsbereich mehrerer Ministerien, entscheiden diese im Einvernehmen über die Zugehörigkeit zu einer Sicherheitsdomäne.

7.1.2 Sie bestimmen für jede Sicherheitsdomäne eine Informationssicherheitsbeauftragte oder einen Informationssicherheitsbeauftragten. Eine Informationssicherheitsbeauftragte oder ein Informationssicherheitsbeauftragter kann für mehrere Sicherheitsdomänen zuständig sein.

7.1.3 Die oder der CISO erstellt unter Beteiligung der Informationssicherheitsbeauftragten der Sicherheitsdomänen domänenübergreifende ISRL. Über die domänenübergreifenden ISRL entscheidet der Niedersächsische IT-Planungsrat.

7.2 Umsetzung des ISMS

7.2.1 Die Informationssicherheitsbeauftragten der Sicherheitsdomänen veranlassen die Erstellung mindestens eines domänenspezifischen Sicherheitskonzepts. Liegt die Verantwortung für den Betrieb der IT innerhalb einer Sicherheitsdomäne bei einem IT-Dienstleister, kann auf dort vorhandene entsprechende Konzepte Bezug genommen werden.

7.2.2 Die Informationssicherheitsbeauftragten der Sicherheitsdomänen veranlassen für jedes Fachverfahren die Erstellung eines Sicherheitskonzepts, welches auf den verfahrensspezifischen Schutzbedarf der Informationen und der Risiken und deren Behandlung eingeht. Mehrere Fachverfahren können in einem Sicherheitskonzept oder im Sicherheitskonzept nach Nummer 7.2.1 zusammengefasst werden. Soweit Behörden Fachverfahren durch einen IT-Dienstleister betreiben lassen, sind die Anforderungen an das für den Betrieb notwendige Sicherheitskonzept vertraglich oder durch Verwaltungsvereinbarung festzulegen.

7.2.3 Abweichend von den Nummern 7.2.1 und 7.2.2 kann innerhalb der Sicherheitsdomäne auch ein vollständiges ISMS betrieben werden, welches geeignet ist, den Anforderungen dieser Leitlinie gerecht zu werden. Der Betrieb eines ISMS ist dem oder der CISO zur Kenntnis zu geben.

7.3 Überwachung des ISMS

7.3.1 Die oder der Informationssicherheitsbeauftragte einer Sicherheitsdomäne meldet alle aufgetretenen Sicherheitsvorfälle, welche geeignet sind, die Informationssicherheit anderer Sicherheitsdomänen zu beeinträchtigen, oder aufgrund ihres Ausmaßes von grundlegender Bedeutung sind, der oder dem CISO.

7.3.2 Von grundlegender Bedeutung sind in der Regel

• der Verlust von Speichermedien, welche Daten enthalten, die durch eine Rechtsvorschrift besonders geschützt sind,
• Sicherheitsvorfälle, bei denen Tatbestände des StGB oder des Nebenstrafrechts erfüllt sind, und
• Sicherheitsvorfälle, die bedeutsame Auswirkungen auf die Informationssicherheit anderer Sicherheitsdomänen haben können.

7.3.3 Die oder der CISO entscheidet, ob die Informationssicherheitsbeauftragten der übrigen Sicherheitsdomänen zu unterrichten sind und ob und welche weiteren Maßnahmen zu treffen sind, um Schäden für das Land oder Beeinträchtigungen des Ansehens des Landes abzuwenden oder zu minimieren.

7.4 Aufrechterhaltung und Verbesserung des ISMS

7.4.1 Die oder der Informationssicherheitsbeauftragte einer Sicherheitsdomäne überprüft regelmäßig, mindestens einmal jährlich, die Wirksamkeit des ISMS im jeweiligen Zuständigkeitsbereich. Sie oder er überprüft dabei insbesondere die ISRL, die Sicherheitskonzepte sowie die umgesetzten Maßnahmen auf ihre Aktualität, Angemessenheit und Wirksamkeit und unterrichtet die Behördenleitung, durch die sie oder er eingesetzt wurde, sowie die oder den CISO.

7.4.2 Die oder der CISO erhebt regelmäßig, mindestens einmal jährlich, den Stand der Informationssicherheit in den Sicherheitsdomänen. Unter Berücksichtigung der Erkenntnisse und Vorschläge der Informationssicherheitsbeauftragten der Sicherheitsdomänen unterrichtet sie oder er jährlich den Niedersächsischen IT-Planungsrat in angemessener Weise über die aktuellen Risiken, die Wirksamkeit des ISMS und der Sicherheitsmaßnahmen und schlägt ggf. einen Maßnahmenkatalog zum Umgang mit den identifizierten Risiken vor.

7.4.3 Die oder der CISO überprüft jährlich, ob sich die Rahmenbedingungen geändert haben und daher das Vorgehen im Bezug auf die Gewährleistung der Informationssicherheit geändert werden muss und ob die Informationssicherheitsziele noch angemessen sind.

8. Schlussbestimmungen

Dieser RdErl. tritt am 1.8.2011 in Kraft und mit Ablauf des 31.12.2016 außer Kraft.

ENDE