Für einen individuellen Ausdruck passen Sie bitte die Einstellungen in der Druckvorschau Ihres Browsers an. Regelwerk, Betriebssicherheit, IT-Sicherheit

Gem. RdErl. d. MI, d. StK u. d. übr. Min. v. 5.5.2021
- CIO-02850/0110-0017 -

Bezug: ^22a

1. Gem. RdErl. v. 9.11.2016 (Nds. MBl. S. 1193)
   - VORIS 20500 -
2. Gem. RdErl. v. 9.11.2016 (Nds. MBl. S. 1196), zuletzt geändert durch Gem. RdErl. v. 2.11.2022 (Nds. MBl. S. 1529)

1. Gegenstand und Geltungsbereich

Diese Informationssicherheitsrichtlinie zur einheitlichen Begriffsdefinition im Informationssicherheitsmanagement des Landes Niedersachsen (ISRL Glossar) legt Definitionen auf Grundlage und im Geltungsbereich der Leitlinie zur Gewährleistung der Informationssicherheit (ISLL) - Bezugserlass zu a - fest, um die einheitliche Umsetzung der ISLL in den Behörden der niedersächsischen Landesverwaltung zu ermöglichen.

2. Begriffsbestimmungen

Im Sinne dieser Richtlinie ist:

2.1 Authentifizierung der Prozess zur Überprüfung und Verifikation der von einer oder einem Nutzenden oder einem System behaupteten Identität,

2.2 Authentisierung der Nachweis der Echtheit (Authentizität) einer Identität mit einem Authentisierungsmittel,

2.3 Authentisierungsfaktor die Information, wie ein Passwort, Schlüsseldateien, ein digitales Zertifikat oder biometrische Informationen, die zur Authentisierung benötigt wird,

2.4 Authentisierungsmittel ein oder eine Kombination mehrerer Authentisierungsfaktoren, welche es dem Inhaber erlauben, eine Identität nachzuweisen,

2.5 Bedrohung ein Ereignis, wie beispielsweise höhere Gewalt, menschliche Fehlhandlung, technisches Versagen, Organisationsmangel oder vorsätzlicher Angriff, durch das ein Schaden entstehen kann; eine Bedrohung wird durch eine ausnutzbare Schwachstelle zur Gefahr,

2.6 Betrachtungsgegenstand der abgegrenzte Teil aller Verwaltungsaufgaben, für den die jeweilige risikobasierte Konzeption durchgeführt werden soll; er definiert sich durch die verarbeiteten Informationen und die eingesetzten Ressourcen,

2.7 Computerprogramm eine Folge von Anweisungen, die von einem IT-System ausgeführt werden kann; hierunter fallen insbesondere Skripte, Anwendungen und Betriebssysteme,

2.8 Datensicherung das Kopieren von elektronisch gespeicherten Daten und erforderlichen Metainformationen, um sie im Fall eines Datenverlustes wiederherstellen zu können,

2.9 Datenwiederherstellung die Rekonstruktion der elektronisch gespeicherten Daten in ihren vorherigen Kontext aus einer Datensicherung,

2.10 dienstliches IT-System ein IT-System, welches zur Erfüllung von dienstlichen Aufgaben bestimmt ist und dem vollständigen Risikomanagement des Bezugserlasses zu b unterworfen ist,

2.11 dienstlicher Wechseldatenträger ein Wechseldatenträger, welcher zur Erfüllung von dienstlichen Aufgaben bestimmt ist und einem behördlichen Risikomanagement gemäß dem Bezugserlass zu b unterworfen ist,

2.12 Domänenrisiko das Ergebnis einer systematischen Einschätzung möglicher Schäden für die in den Behörden verarbeiteten Informationen, nachdem jede Behörde einer Sicherheitsdomäne angemessene Sicherheitsmaßnahmen für ihre jeweils eingesetzten Ressourcen umgesetzt hat,

2.13 domänenspezifisches Sicherheitskonzept das Dokument, in dem die Ergebnisse der risikoorientierten Vorgehensweise für die Behördenleitung zur Entscheidung dargestellt werden; dazu werden den Risiken der Sicherheitsdomäne angemessene Sicherheitsmaßnahmen zugeordnet, die daraus abgeleitete Handlungsstrategie für die Maßnahmenumsetzung aufgezeigt und die Domänenrisiken nach der Maßnahmenumsetzung dargestellt,

2.14 ^22a domänenübergreifendes Fachverfahren ein Fachverfahren, das von mehreren Sicherheitsdomänen der niedersächsischen Landesverwaltung genutzt wird und von einer niedersächsischen Landesbehörde verantwortlich als Fachverfahrenseigentümer gepflegt wird,

2.14a ^22a ebenenübergreifendes Fachverfahren ein Fachverfahren, das über Verwaltungsgrenzen hinweg genutzt wird (z.B. von mehreren Bundesländern, von der Landes- und Bundesverwaltung, von der Landes- und Kommunalverwaltung) und von einer Behörde der niedersächsischen Landesverwaltung verantwortlich als Fachverfahrenseigentümer gepflegt wird,

2.15 Einsatzszenario die detaillierte Beschreibung der Zweckbestimmungen, für die ein Service nach Einschätzung des Serviceeigentümers oder ein Fachverfahren nach Einschätzung des Fachverfahrenseigentümers konzipiert worden ist; ein Einsatzszenario hat immer einen Bezug zu den Verwaltungsaufgaben, bei deren Erfüllung die Services und Fachverfahren Unterstützung bieten sollen,

2.16 Eintrittswahrscheinlichkeit die Einschätzung, mit welcher Wahrscheinlichkeit ein Gefahrenszenario eintreten wird; die Eintrittswahrscheinlichkeit stellt ein Risikomerkmal im Rahmen der Risikoeinschätzung dar; sie wird in Stufen (z.B."unwahrscheinlich", "möglich", "wahrscheinlich", "sehr wahrscheinlich") klassifiziert,

2.17