umwelt-online-Demo: Archivdatei - ISRL-ISi-Vorfälle 2017 - Informationssicherheitsrichtlinie über den strukturierten Umgang mit Sicherheitsvorfällen

ISRL-ISi-Vorfälle
Informationssicherheitsrichtlinie über den strukturierten Umgang mit Sicherheitsvorfällen
- Niedersachsen -

Vom 1. November 2017
(Nds. MBl. Nr. 44 vom 15.11.2017 S. 1463; 14.04.2022 S. 640²²; aufgehoben)

1.1 Diese Informationssicherheitsrichtlinie legt auf Grundlage der Leitlinie zur Gewährleistung der Informationssicherheit ( ISLL) - Bezugserlass zu a - Mindestanforderungen an die organisatorischen Rahmenbedingungen zum Umgang mit Sicherheitsvorfällen und zur Vermeidung von Sicherheitsvorfällen (ISRL-ISi-Vorfälle) fest. Sie dient dem Zweck, die Informationssicherheit in der Landesverwaltung kontinuierlich zu verbessern.

1.2 Ziel der ISRL-ISi-Vorfälle ist es, künftige Sicherheitsvorfälle möglichst zu vermeiden und auf eingetretene Sicherheitsvorfälle angemessen zu reagieren. Zur Prävention wird anhand von Sicherheitsvorfällen die Einschätzung in den Risikoanalysen zum Schadensausmaß und zur Eintrittswahrscheinlichkeit evaluiert. Bei Bedarf wird das Sicherheitsniveau den aktualisierten Risikoanalysen angepasst. Durch eine abgestimmte, schnelle und wirksame Reaktion auf Sicherheitsvorfälle werden Schäden für die Informationen der Landesverwaltung und Datenschutzverletzungen abgewehrt.

1.3 Nicht Gegenstand dieser Informationssicherheitsrichtlinie sind der Umgang mit Notfällen *, die statistische Erhebung von Sicherheitsvorfällen sowie Regelungen zur technischen Sensorik und Protokollierung. Ebenso wird nicht die betriebliche Bewältigung von Sicherheitsvorfällen in den etablierten Prozessen zum System-, Gebäude- und Personalmanagement der Behörden sowie in den Betriebsprozessen der IT-Dienstleister (z.B. im Incidentmanagement gemäß ITIL) geregelt.

1.4 Unberührt von dieser Informationssicherheitsrichtlinie bleiben die Pflichten aus der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27.04.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. EU Nr. L 119 S. 1, Nr. L 314 S. 72) sowie sonstige Melde- und Berichtspflichten bei außerordentlichen Vorkommnissen.

1.5 Die ISRL-ISi-Vorfälle gilt im gesamten Geltungsbereich der Leitlinie für die Gewährleistung der Informationssicherheit ( ISLL) (Nummern 1.1 bis 1.3 des Bezugserlasses zu a).

2.1 Ein Sicherheitsvorfall ist ein anhand eines Katalogs bewertetes Ereignis i. S. der Informationssicherheit, das eine Einschränkung oder den Verlust der Vertraulichkeit, Verfügbarkeit oder Integrität von Informationen nach sich zieht, nach sich gezogen hat oder nach sich gezogen haben könnte. Das öffentliche Bekanntwerden einer abstrakten Bedrohung, wie z.B. die Veröffentlichung einer Sicherheitslücke, ist hingegen noch kein Sicherheitsvorfall.

2.2 Ein schwerwiegender Sicherheitsvorfall hat domänenübergreifende oder sonstige erhebliche Auswirkungen. Bei domänenübergreifenden Auswirkungen ist eine Ressource beeinträchtigt, die von mehreren Sicherheitsdomänen genutzt wird oder deren vergleichbare Nutzung zu Schäden in anderen Sicherheitsdomänen führen könnte. Erheblich sind Auswirkungen bei domänenspezifischen Sicherheitsvorfällen beispielsweise, wenn das Schadensausmaß hoch ist, die Wahrscheinlichkeit eines erneuten Sicherheitsvorfalles ähnlicher Ausprägung in der Landesverwaltung nicht ausgeschlossen werden kann oder die konkrete Vorgehensweise der Verursacherin oder des Verursachers darauf schließen lässt, dass Schadensereignisse in der Landesverwaltung gezielt vorbereitet werden.

3.1.1 Die Behördenleitung ist für den Umgang mit Sicherheitsvorfällen im Rahmen ihrer Zuständigkeit verantwortlich. Dies gilt insbesondere für Behörden in der Rolle als Eigentümer von Services und Fachverfahren.

3.1.2 Die Behördenleitung sorgt dafür, dass eine innerbehördliche Stelle mit der Entgegennahme von Meldungen, mit der fortlaufenden Dokumentation und mit der anforderungsgerechten Auswertung betraut wird. Diese Meldestelle wird allen Beschäftigten bekannt gegeben.

3.1.3 Soweit eine andere öffentliche oder nichtöffentliche Stelle mit der Bearbeitung von Sicherheitsvorfällen oder von einzelnen Arbeitsschritten dazu (z.B. als Meldestelle gemäß Nummer 3.1.2 oder als Kontaktstelle gemäß Nummer 4.1.1) beauftragt werden soll, wird der Auftragnehmer vom Auftraggeber auf die Einhaltung der Sicherheitsanforderungen verpflichtet. Es wird vereinbart, in welchem Umfang und in welchen Zeitintervallen der Auftragnehmer über die gemeldeten Sicherheitsvorfälle berichtet, und unter welchen Bedingungen er dem Auftraggeber Zugriffsberechtigungen auf die Verlaufsdokumentation erteilt. Die Beauftragungen werden dokumentiert.

3.1.4 Die oder der Informationssicherheitsbeauftragte der Sicherheitsdomäne überwacht die Einhaltung der Arbeitsschritte zur Bewältigung von Sicherheitsvorfällen sowie zur Vermeidung künftiger Sicherheitsvorfälle.

3.2.1 Die Behördenleitung verpflichtet die Beschäftigten, einen Verdacht auf einen Sicherheitsvorfall unverzüglich zu melden. Dritte, die vorübergehend in der Behörde tätig sind, werden entsprechend verpflichtet.

3.2.2 Die Beschäftigten werden sensibilisiert, mutmaßliche Sicherheitsvorfälle zu erkennen, und sie werden informiert, wie sie sich bei einem Verdacht auf einen Sicherheitsvorfall verhalten sollen.

Für die Analyse, Reaktion und Nachbereitung von Sicherheitsvorfällen durch eine zuständige Stelle wird ein strukturierter Ablauf definiert und kontinuierlich verbessert.

3.3.1 Zur Steuerung des weiteren Vorgehens wird das gemeldete Ereignis analysiert, indem es bewertet und klassifiziert wird.

3.3.1.1 Es wird anhand eines Ereigniskatalogs bewertet, ob es sich bei der eingehenden Meldung um einen Sicherheitsvorfall handelt. Zu diesem Zweck wird von den Sicherheitsdomänen ein Ereigniskatalog angelegt. Die in der Anlage aufgeführten Ereignisse sind als Mindestanforderung in den domänenspezifischen Ereigniskatalog aufzunehmen. Der Ereigniskatalog unterliegt einem kontinuierlichen Verbesserungsprozess.

3.3.1.2 Es wird anhand der Auswirkungen entschieden, ob der Sicherheitsvorfall als "schwerwiegend" gemäß Nummer 2.2 zu klassifizieren ist.

3.3.2 Es werden strukturierte und sachgerechte Abläufe definiert, um angemessen auf den Sicherheitsvorfall zu reagieren und unverzüglich den Normalzustand wieder herzustellen. Dazu werden Arbeitsschritte für die Schadensbegrenzung, die Tatsachenfeststellung, die Umsetzung einer vorläufigen Lösung, die Ursachenforschung, die Schadensanalyse und die dauerhafte Problemlösung vorbereitet.

3.3.3 Sicherheitsvorfälle werden nachbereitet, damit anhand der Erfahrungen aus den eingetretenen Sicherheitsvorfällen künftige Sicherheitsvorfälle gleicher oder ähnlicher Ausprägung vermieden werden. Die Nachbereitung umfasst insbesondere die Auswertung der Dokumentation und soweit erforderlich die Störerermittlung und Prüfung rechtlicher Schritte. Zur Nachbereitung gehören auch die Wirksamkeitsprüfung erlassener Regelungen und getroffener Abwehrmaßnahmen sowie die anschließende Übernahme der daraus gewonnenen Erkenntnisse in die Aktualisierung der Gefahren- und Risikoanalyse gemäß der Informationssicherheitsrichtlinie über die risikobasierte Konzeption der Informationssicherheit von Services, Fachverfahren und Sicherheitsdomänen (ISRL-Konzeption) - Bezugserlass zu b -.

3.4.1 Die Behördenleitung regelt, in welchem Umfang die Leitungsebenen über Sicherheitsvorfälle regelmäßig zu informieren sind und lässt dabei sicherstellen, dass die betroffenen Stellen und Funktionen ausreichend beteiligt werden. Sie regelt ferner die Art und den Umfang der Information der Mitarbeiterinnen und Mitarbeiter sowie betroffener Vereinbarungs- oder Vertragspartner.

3.4.2 Die Behördenleitung regelt, dass die zuständigen Stellen betroffener Behörden innerhalb einer Sicherheitsdomäne über Sicherheitsvorfälle informiert werden und auch die weitere Kommunikation sichergestellt ist.

3.4.3 Behörden in der Rolle als Eigentümer von Services und Fachverfahren vereinbaren mit den Leistungsempfängern, wie diese über Sicherheitsvorfälle zu den genutzten Services und eingesetzten Fachverfahren i. S. der Nummer 3.1.1 und über die dadurch möglicherweise eingetretene Erhöhung des Servicerisikos und des Fachverfahrensrisikos informiert werden.

3.4.4 Jeder gemeldete Sicherheitsvorfall wird mit allen Aktivitäten zur Reaktion, Nachbereitung und Kommunikation zeitnah und vollständig dokumentiert.

3.4.5 Personenbezogene Daten und sonstige sensitive Informationen, die bei der Kommunikation und Dokumentation von Sicherheitsvorfällen anfallen, werden durch Anonymisierung oder andere geeignete Maßnahmen geschützt.

4.1.1 Es wird eine Kontaktstelle pro Sicherheitsdomäne eingerichtet und dem N-CERT bekannt gegeben.

4.1.2 Die Kontaktstelle der Sicherheitsdomäne, in deren Verantwortungsbereich ein schwerwiegender Sicherheitsvorfall fällt, unterrichtet unverzüglich das N-CERT. Es werden anlassbezogen Initial-, Fortschritts- und Abschlussmeldungen übermittelt. Die Kontaktstelle steht dem N-CERT als direkter Ansprechpartner für Rückfragen zur Verfügung.

4.1.3 Das N-CERT stellt den Kontaktstellen der Sicherheitsdomänen eine Kommunikationsschnittstelle zur Verfügung und bestimmt ein Muster für den Informationsaustausch. Dieses soll Angaben

Das N-CERT berät und unterstützt die Sicherheitsdomänen auf Anforderung bei der Bewältigung schwerwiegender Sicherheitsvorfälle, insbesondere

Zur Umsetzung der Nummern 3 und 4 veranlasst die Behördenleitung die notwendigen organisatorischen und technischen Maßnahmen (z.B. die Definition der Prozesse und die Festlegung der Meldestelle, Kontaktstelle, zuständige Stelle). Es wird empfohlen, hierbei die vom MI herausgegebenen Handreichungen als Arbeits- und Orientierungshilfen zu verwenden.

Dieser Gem. RdErl. tritt am 02.11.2017 in Kraft und mit Ablauf des 31.12.2024 außer Kraft.

*) Notfall ist jedes Schadensereignis, das die Geschäftsprozesse in erheblichem Umfang beeinträchtigt, eine große Schadenswirkung entfaltet und dessen Bewältigung mit der gängigen Aufbau- und Ablauforganisation sowie im allgemeinen Tagesgeschäft nicht bewältigt werden kann.

umwelt-online - Demo-Version

(Stand: 10.02.2025)

Alle vollständigen Texte in der aktuellen Fassung im Jahresabonnement
Nutzungsgebühr: ab 105.- € netto

(derzeit ca. 7200 Titel s.Übersicht - keine Unterteilung in Fachbereiche)

Preise & Bestellung

Die Zugangskennung wird kurzfristig übermittelt

? Fragen ?
Abonnentenzugang/Volltextversion

Lfd. Nr.	Ereignis, das als Sicherheitsvorfall zu bewerten ist
1.	erfolgreiche Installation eines Schadprogramms auf IT-Systemen
2.	Herbeiführung einer erheblichen Überlastung eines IT-Systems oder Netzkoppelelements
3.	unautorisierte Manipulation von Anwendungen, Datenbeständen und Web-Seiten
4.	Ausfall von IT-Systemen durch Sabotage, Zerstörung oder Verlust
5.	unautorisierter Datenabfluss
6.	Einrichtung von Spam-Relays im Landesdatennetz
7.	gezielter Social Engineering Angriff
8.	unbefugte Verschlüsselung durch Dritte
9.	Diebstahl von Authentisierungsmitteln
10.	Missbrauch von Rechten
11.	Offenlegung schützenswerter Informationen, Datenmanipulation oder sonstiger Missbrauch durch sog., InnentäterâEuro˜
12.	Speicherung in unautorisierten Clouddiensten
13.	Datenabfluss durch unsachgemäße Entsorgung von Datenträgern
14.	Verlust von dienstlichen IT-Systemen
15.	versuchtes oder erfolgreiches unbefugtes Eindringen in das Rechenzentrum oder in den Systembetriebsraum einer Behörde
16.	erhebliche Störung von IT-Systemen und Fachverfahren
17.	erhebliche Störung von Standard-Software
18.	erhebliche Störung des Netzwerkbetriebs
19.	erhebliche Störung von zentralen Diensten/ Services
20.	erhebliche Störung von Infrastrukturdiensten