Für einen individuellen Ausdruck passen Sie bitte die Einstellungen in der Druckvorschau Ihres Browsers an. Regelwerk, Anlagensicherheit, Inforamtion/Kommunikation

Archiv: ²⁰¹³

Gem. RdErl. d. MI, d. StK u. d. übr. Min. v. 5.5.2021
- CIO-02850/0110-0016 -

Bezug:

1. Gem. RdErl. v. 9.11.2016 (Nds. MBl. S. 1193) - VORIS 20500 -
2. Gem. RdErl. v. 11.6.2013 (Nds. MBl. S. 480), zuletzt geändert durch Gem. RdErl. v. 25.11.2020 (Nds. MBl. S. 1491)
3. Gem. RdErl. v. 11.6.2013 (Nds. MBl. S. 482), zuletzt geändert durch Gem. RdErl. v. 25.11.2020 (Nds. MBl. S. 1492)
4. Gem. RdErl. v. 23.10.2013 (Nds. MBl. S. 868), zuletzt geändert durch Gem. RdErl. v. 25.11.2020 (Nds. MBl. S. 1492)
5. Gem. RdErl. v. 30.7.2014 (Nds. MBl. S. 592), zuletzt geändert durch Gem. RdErl. v. 3.5.2017 (Nds. MBl. S. 567)
6. Gem. RdErl. v. 5.5.2021 (Nds. MBl. S. 1075)

1. Geltungsbereich

1.1 Diese Informationssicherheitsrichtlinie regelt auf Grundlage der Leitlinie zur Gewährleistung der Informationssicherheit ( ISLL), dem Bezugserlass zu a, den Einsatz und die Nutzung von Informationstechnik. Begriffsbestimmungen richten sich nach § 1 NDIG und dem Bezugserlass zu f.

2. Umgang mit Risiken und Gewährleistung der Schutzziele

2.1 Ein dienstliches IT-System ist eine Ressource und immer Teil eines Services oder eines Fachverfahrens.

2.2 Regelungen zur Risikobehandlung von Services und Fachverfahren sind auf der Grundlage der ausgewiesenen Schutzbedarfseignung und/oder des Schutzbedarfs der verarbeiteten Daten, Produkteigenschaften sowie den in der Risikobeschreibung dargestellten Risiken und vorgeschlagenen Maßnahmen festzulegen. Wird ein dienstliches IT-System außerhalb der Infrastruktur der Landesverwaltung eingesetzt, so sind die besonderen Risiken und Anforderungen an die Schutzbedarfseignung zu berücksichtigen.

2.3 Diese Richtlinie bestimmt Mindestanforderungen für Maßnahmen zur Gewährleistung der Informationssicherheit bei der Nutzung von IT-Systemen. Weitere Sicherheitsmaßnahmen ergeben sich aus den durchzuführenden Risikoanalysen und müssen dem Schutzbedarf angemessen sein. Bei gleicher Eignung sind technische Maßnahmen gegenüber organisatorischen Maßnahmen zu bevorzugen.

3. Grundsätze der Nutzung von IT-Systemen

3.1 Die Beschäftigten sind für die sichere Nutzung von dienstlichen IT-Systemen zu schulen. Sie sind für Gefahren für die Informationssicherheit der von ihnen verarbeiteten Informationen sowie für die Schutzbedarfseignung der Verarbeitungsweise zu sensibilisieren. Schulungen und Sensibilisierungen sind zielgruppengerecht zu gestalten und regelmäßig sowie anlassbezogen durchzuführen.

3.2 Die Behördenleitung kann den Beschäftigten im angemessenen Rahmen die Verantwortung für die Umsetzung von organisatorischen Sicherheitsmaßnahmen übertragen. Bei der Gestaltung von Sicherheitsmaßnahmen, insbesondere bei der Erstellung von Dienstanweisungen, ist zu beachten, dass diese auch für Beschäftigte ohne vertiefte IT-Kenntnisse verständlich und tatsächlich umsetzbar sind.

3.3 Die Verantwortungsbereiche der Anwenderinnen und Anwender sind eindeutig vom Verantwortungsbereich der Systemadministration abzugrenzen.

3.4 Ein sonstiges IT-System darf nicht mit dem Landesdatennetz verbunden werden ( § 1 Abs. 2 NDIG). Sonstige IT-Systeme dürfen nur an dienstliche IT-Systeme angeschlossen werden, wenn dies in der Servicerisikobeschreibung durch den Serviceeigentümer gestattet wird. Der Anschluss muss durch die Behördenleitung angeordnet und verantwortet werden, nachdem die dabei entstehenden Risiken behandelt wurden.

3.5 Auf einem sonstigen IT-System dürfen keine dienstlichen Informationen gespeichert werden. Dies gilt insbesondere für Speicherangebote im Internet. Die Speicherung ist nur zulässig, wenn sie notwendig und erforderlich ist, durch die Behördenleitung angeordnet, auf das erforderliche Anwendungsszenario begrenzt und verantwortet wird, nachdem die dabei entstehenden Risiken behandelt wurden.

3.6 Es sind Regelungen zu treffen, ob und in welchem Umfang dienstliche IT-Systeme zu privaten Zwecken genutzt werden dürfen. Wird die private Nutzung gestattet, sind basierend auf einer Risikoanalyse Sicherheitsmaßnahmen umzusetzen, die das bestehende Sicherheitsniveau erhalten. Eine private Nutzung ist durch eine Vereinbarung mit den Beschäftigten zu regeln.

4. Nutzung von dienstlichen IT-Systemen

4.1 Umgang mit dienstlichen IT-Systemen

4.1.1 Der physische Zutritt zu dienstlichen IT-Systemen ist zu regeln.

4.1.2 Die vorübergehende Weitergabe von dienstlichen IT-Systemen an Nichtberechtigte ist zu untersagen oder so zu regeln, dass sie während der Benutzung durch Nichtberechtigte von den Verantwortlichen ständig überwacht oder vor der Weitergabe ausgeschaltet werden.

4.1.3 Für dienstliche IT-Systeme, die sich außerhalb einer Landesliegenschaft befinden, sind Sicherheitsmaßnahmen basierend auf einer Risikoanalyse umzusetzen, die den besonderen Risiken für die Informationssicherheit begegnen; insbesondere dem erhöhten Diebstahl-, Verlust-, Angriffs- und Vertraulichkeitsrisiko.

4.1.4 Basierend auf einer Risikoanalyse sind Sicherheitsmaßnahmen umzusetzen, die den besonderen Risiken bei der Verwendung dienstlicher Wechseldatenträger begegnen; insbesondere einem erhöhten Verlust- und Vertraulichkeitsrisiko.

4.2 Authentifizierung