Für einen individuellen Ausdruck passen Sie bitte die
Einstellungen in der Druckvorschau Ihres Browsers an.
Regelwerk, Anlagentechnik , Information/Kommunikation

ISRL-Web-Nutzung - Informationssicherheitsrichtlinie über die Nutzung des zentralen Internetzugangs und von Web-Angeboten
- Niedersachsen -

Vom 23. Oktober 2013
(Nds. MBl. Nr. 44 vom 27.11.2013 S. 868; 10.04.2017 S. 487 17; 25.11.2020 S. 1492 *)



Gem. RdErl. d. MI, d. StK u. d. übr. Min. v. 23.10.2013
- CIO-02850/0110-0006 -

Bezug: Gem. RdErl. . v. 9.11.2016 (Nds. MBl. S. 1193) - VORIS 20500 17

1. Gegenstand und Geltungsbereich 17

Diese Informationssicherheitsrichtlinie über die Nutzung des zentralen Internetzugangs und von Web-Angeboten (ISRLWeb-Nutzung) regelt auf Grundlage der Leitlinie zur Gewährleistung der Informationssicherheit ( ISLL) - Bezugserlass - in Form von Mindestanforderungen die Grundsätze zur Nutzung des zentralen Internetzugangs des Landes und von Web-Angeboten.

Diese Informationssicherheitsrichtlinie gilt im gesamten Geltungsbereich der Leitlinie für die Gewährleistung der Informationssicherheit (Nummer 1.1 bis 1.3 des Bezugserlasses).

2. Begriffsbestimmungen

Im Sinne dieser Informationssicherheitsrichtlinie

2.1 ermöglichen "Web-Angebote" den Anwenderinnen und Anwendern die Informationsbeschaffung und die Tätigung von Online-Transaktionen über die weltweit bereitgestellten Web-Seiten im Internet und über die Web-Seiten der niedersächsischen Landesverwaltung und anderer deutscher Verwaltungen;

2.2 ist eine "vertrauenswürdige" Web-Seite eine Datenquelle, bei der keine tatsächlichen Anhaltspunkte vorliegen, die der Vertrauenswürdigkeit entgegenstehen. Anhaltspunkte, die einer Vertrauenswürdigkeit entgegenstehen, können sich z.B. aus dem Namen, der Adresse, dem Kontext, in dem die Web-Seite genannt oder verlinkt ist, den erwarteten Inhalten, den erwarteten Verantwortlichkeiten, dem Herkunftsland oder der top-Level-Domäne (z.B. ".to", ".ru") des Web-Angebots ergeben;

2.3 ist ein "vertrauenswürdiges" Server-Zertifikat die Bestätigung einer Zertifizierungsstelle, bei der keine tatsächlichen Anhaltspunkte vorliegen, die der Vertrauenswürdigkeit entgegenstehen. Anhaltspunkte, die einer Vertrauenswürdigkeit entgegenstehen, können sich z.B. aus der Ungültigkeit des Zertifikats oder aus einer inhaltlichen Abweichung zwischen der Web-Adresse und dem Zertifikat ergeben;

2.4 ist das "Landesnetz" das Weitverkehrsnetzwerk, das sich ausschließlich in der Funktionsherrschaft des Landes Niedersachsen befindet.

3. Organisatorische und technische Maßnahmen der Behördenleitung

Die Behördenleitung ist im Rahmen ihrer Zuständigkeit für die Gewährleistung der Informationssicherheit verantwortlich. Zur Umsetzung dieser Informationssicherheitsrichtlinie sind durch die Behördenleitung die notwendigen organisatorischen und technischen Maßnahmen zu veranlassen. Die Sicherheitsanforderungen können auch dadurch erfüllt werden, dass die Behördenleitung einen Dritten (z.B. IT-Dienstleister, Landesbetrieb) mit der Umsetzung von Maßnahmen beauftragt. Entsprechende Vereinbarungen oder Verträge mit dem Dritten sind aktenkundig zu machen.

Soweit sichergestellt ist, dass die durch diese Informationssicherheitsrichtlinie festgelegten Mindestanforderungen vollständig umgesetzt werden, ist die weitere Ausgestaltung der Maßnahmen in Art und Umfang freigestellt.

4. Umsetzung

4.1 Die Umsetzung der Sicherheitsanforderungen (Nummer 6) soll vorrangig durch technische Maßnahmen erfolgen, die durch organisatorische Maßnahmen ergänzt werden.

4.2 Bei der Gestaltung organisatorischer Maßnahmen, insbesondere bei der Erstellung von Dienstanweisungen, ist zu beachten, dass diese auch für Anwenderinnen und Anwender ohne vertiefte IT-Kenntnisse verständlich und tatsächlich umsetzbar sind.

4.3 Die spezifischen Sicherheitsmaßnahmen der einzelnen Sicherheitsdomänen müssen in einem angemessenen Verhältnis zur praktischen Handhabbarkeit durch die Anwenderinnen und Anwender stehen.

4.4 Die Verantwortungsbereiche der einzelnen Anwenderinnen und Anwender sind eindeutig vom Verantwortungsbereich der Systemadministration abzugrenzen.

4.5 Zur organisatorischen Umsetzung der Sicherheitsanforderungen (Nummer 6) wird der Erlass einer Dienstanweisung nach dem in der Anlage dargestellten Muster (Musterdienstanweisung) vorgeschlagen. Dieser Umsetzungsvorschlag beschränkt sich auf Sicherheitsanforderungen, die sich unmittelbar an die Anwenderinnen und Anwender richten. Es sind ggf. ergänzende oder zusätzliche Maßnahmen zu ergreifen, die die Umsetzung dieser Informationssicherheitsrichtlinie durch die Behördenleitung und die innerbehördlich zuständige Stelle sicherstellen.

5. Innerbehördliche Zuständigkeit und Organisation

Die Behördenleitung legt die innerbehördlichen Zuständigkeiten (zuständigen Stellen) und ggf. die erforderlichen Prozesse für die Umsetzung der technischen und organisatorischen Maßnahmen aufgrund dieser Informationssicherheitsrichtlinie in eigener Zuständigkeit fest.

6. Sicherheitsanforderungen

6.1 Grundsatz der Nutzung des zentralen Internetzugangs des Landes

6.1.1 Grundsätzlich ist für die Nutzung des Internets der zentrale Internetzugang des Landes zu nutzen. Über Ausnahmen bei Endgeräten, die nicht mit dem Landesnetz gekoppelt sind, entscheidet die Behördenleitung anhand einer Risikoanalyse. Diese Entscheidung ist aktenkundig zu machen.

6.1.2

umwelt-online - Demo-Version


(Stand: 22.06.2022)

Alle vollständigen Texte in der aktuellen Fassung im Jahresabonnement
Nutzungsgebühr: 90.- € netto (Grundlizenz)

(derzeit ca. 7200 Titel s.Übersicht - keine Unterteilung in Fachbereiche)

Preise & Bestellung

Die Zugangskennung wird kurzfristig übermittelt

? Fragen ?
Abonnentenzugang/Volltextversion