Für einen individuellen Ausdruck passen Sie bitte die Einstellungen in der Druckvorschau Ihres Browsers an. Regelwerk; Anlagensicherheit; Information/Kommunikation

Gem. RdErl. d. MI, d. StK u. d. übr. Min. v. 30.7.2014
-CIO-02850/0110-0003 -

Bezug ¹⁷ : Gem. RdErl. v. 9.11.2016 (Nds. MBl. S. 1193) - VORIS 20500 -

1. Gegenstand und Geltungsbereich ¹⁷

Diese Informationssicherheitsrichtlinie über die Nutzung des E-Mail-Dienstes (ISRL-E-Mail-Nutzung) regelt auf Grundlage der Leitlinie zur Gewährleistung der Informationssicherheit ( ISLL) -Bezugserlass -in Form von Mindestanforderungen die Grundsätze der Nutzung des E-Mail-Dienstes in der niedersächsischen Landesverwaltung.

Diese Informationssicherheitsrichtlinie gilt im gesamten Geltungsbereich der Leitlinie für die Gewährleistung der Informationssicherheit (Nummern 1.1 bis 1.3 des Bezugserlasses).

2. Organisatorische und technische Maßnahmen der Behördenleitung

Die Behördenleitung ist im Rahmen ihrer Zuständigkeit für die Gewährleistung der Informationssicherheit verantwortlich. Zur Umsetzung dieser Informationssicherheitsrichtlinie sind durch die Behördenleitung die notwendigen organisatorischen und technischen Maßnahmen zu veranlassen. Die Sicherheitsanforderungen können auch dadurch erfüllt werden, dass die Behördenleitung einen Dritten (z.B. IT-Dienstleister oder Landesbetrieb) mit der Umsetzung von Maßnahmen beauftragt. Entsprechende Vereinbarungen oder Verträge mit dem Dritten sind aktenkundig zu machen.

Soweit sichergestellt ist, dass die durch diese Informationssicherheitsrichtlinie festgelegten Mindestanforderungen vollständig umgesetzt werden, ist die weitere Ausgestaltung der Maßnahmen in Art und Umfang freigestellt.

3. Umsetzung

3.1 Die Umsetzung der Sicherheitsanforderungen (Nummer 5) soll vorrangig durch technische Maßnahmen erfolgen, die durch organisatorische Maßnahmen ergänzt werden.

3.2 Bei der Gestaltung organisatorischer Maßnahmen, insbesondere bei der Erstellung von Dienstanweisungen, ist zu beachten, dass diese auch für Anwenderinnen und Anwender ohne vertiefte IT-Kenntnisse verständlich und umsetzbar sind.

3.3 Die spezifischen Sicherheitsmaßnahmen der einzelnen Sicherheitsdomänen müssen in einem angemessenen Verhältnis zur praktischen Handhabbarkeit durch die Anwenderinnen und Anwender stehen.

3.4 Die Verantwortungsbereiche der einzelnen Anwenderinnen und Anwender sind eindeutig vom Verantwortungsbereich der Systemadministration abzugrenzen.

3.5 Zur organisatorischen Umsetzung der Sicherheitsanforderungen (Nummer 5) wird der Erlass einer Dienstanweisung nach dem in der Anlage dargestellten Muster (Musterdienstanweisung) vorgeschlagen. Dieser Umsetzungsvorschlag beschränkt sich auf Sicherheitsanforderungen, die sich unmittelbar an die Anwenderinnen und Anwender richten. Es sind ggf. ergänzende oder zusätzliche Maßnahmen zu ergreifen, die die Umsetzung dieser Informationssicherheitsrichtlinie durch die Behördenleitung und die innerbehördlich zuständige Stelle sicherstellen.

4. Innerbehördliche Zuständigkeit und Organisation

Die Behördenleitung legt die innerbehördlichen Zuständigkeiten (zuständigen Stellen) und ggf. die erforderlichen Prozesse für die Umsetzung der technischen und organisatorischen Maßnahmen aufgrund dieser Informationssicherheitsrichtlinie in eigener Zuständigkeit fest.

5. Sicherheitsanforderungen

5.1 Allgemeines

5.1.1 Die Behördenleitung regelt, wer den E-Mail-Dienst für welche Zwecke nutzen darf und veranlasst die Sensibilisierung der Anwenderinnen und Anwender für Bedrohungen der Informationssicherheit durch die Nutzung des E-Mail-Dienstes.

5.1.2 Die Behördenleitung legt fest, ob und unter welchen Bedingungen ein Zugriff auf E-Mails über ein Web-Portal erfolgen darf. Für den Zugriff aus dem Internet sind eine Risikoanalyse zu erstellen, das Ergebnis aktenkundig zu machen und das Einvernehmen mit dem für die zentrale Steuerung der IT zuständigen Ministerium herzustellen.

5.1.3 Die Behördenleitung regelt, wie mit dem E-Mail-Postfach von ausgeschiedenen und aus anderen Gründen nicht verfügbaren Anwenderinnen und Anwendern umzugehen ist.

5.2 E-Mail-Server

5.2.1 Der E-Mail-Server soll in geeigneter Weise mit dem amtlichen Zeitnormal synchronisiert werden.

5.2.2 Der E-Mail-Server ist in geeigneter Weise vor Missbrauch, insbesondere vor unverlangten E-Mails (sog. Spam-E-Mails), vor der fremdbestimmten Nutzung (z.B. Spam-Relay) und vor Beeinträchtigungen seiner Verfügbarkeit (z.B. Denialof-Service-Angriffen) zu schützen.

5.2.3 Der E-Mail-Server hat in geeigneter Weise auf übermittelte E-Mails mit schädlichen Inhalten (z.B. Schadsoftware, Phishing) zu reagieren.

5.3 E-Mail-Clients

Die E-Mail-Clients sind so zu konfigurieren, dass

• das Öffnen der Dateianhänge von eingehenden E-Mails und das Ausführen des in Dateianhängen enthaltenen Programmcodes sowie
• der Download von Bildern oder von anderen externen Inhalten bei HTML-formatierten Posteingängen

nicht automatisch, sondern erst nach ausdrücklicher Bestätigung durch die Anwenderin oder den Anwender erfolgt.

5.4 Posteingänge