Für einen individuellen Ausdruck passen Sie bitte dieEinstellungen in der Druckvorschau Ihres Browsers an. Regelwerk
| Für einen individuellen Ausdruck passen Sie bitte die Einstellungen in der Druckvorschau Ihres Browsers an. Regelwerk |
Änderungstext
ISRL-Konzeption
Informationssicherheitsrichtlinie über die risikobasierte Konzeption der Informationssicherheit von Services, Fachverfahren und Sicherheitsdomänen
- Niedersachsen -
Vom 02. November 2022
(Nds. MBl. Nr. 47 vom 23.11.2022 S. 1529)
Gem. RdErl. d. MI, d. StK u. d. übr. Min. v. 2.11.2022
- CIO-02850/0110-0009 -
Bezug: Gem. RdErl. v. 9.11.2016 (Nds. MBl. S. 1196)
Der Bezugserlass wird mit Wirkung vom 19.12.2022 wie folgt geändert:
1. Der Bezug erhält folgende Fassung:
| alt | neu |
| Bezug: Gem. RdErl. v. 9.11.2016 (Nds. MBl. S. 1193) - VORIS 20500 - | "Bezug:
a) Gem. RdErl. v. 9.11.2016 (Nds. MBl. S. 1193) - VORIS 20500 - b) Gem. RdErl. v. 5.5.2021 (Nds. MBl. S. 1075), zuletzt geändert durch Gem. RdErl. v. 2.11.2022 (Nds. MBl. S. 1530)." |
2. Nummer 1 wird wie folgt geändert:
a) Es wird die folgende neue Nummer 1.4 eingefügt:
"1.4 Die ISRL beschreibt in Nummer 5.3 mit dem risikoorientierten Vorgehensmodell die methodische Vorgehensweise bei der Erstellung von Sicherheitskonzepten. Neben diesem risikoorientierten Vorgehensmodell ist die Erstellung von Sicherheitskonzepten nach den Vorgaben des BSI-Standards 200-2 in der jeweils geltenden Fassung ebenso zulässig."
b) Die bisherige Nummer 1.4 wird Nummer 1.5 und darin erhält Satz 1 folgende Fassung:
| alt | neu |
| Die ISRL-Konzeption findet keine Anwendung, soweit für einzelne Betrachtungsgegenstände oder Organisationen aufgrund anderer Bestimmungen die Pflicht besteht, eine von dieser risikobasierten Konzeption abweichende Vorgehensweise einzusetzen. | "Die ISRL-Konzeption findet keine Anwendung, soweit für einzelne Betrachtungsgegenstände oder Organisationen die Pflicht besteht, eine von Nummer 1.4 abweichende Vorgehensweise einzusetzen." |
c) Es wird die folgende Nummer 1.6 angefügt:
"1.6 Ist bei der Erstellung eines Sicherheitskonzepts nach Nummer 1.4 oder 1.5 eine Risikoanalyse erforderlich, sind die Anforderungen der Nummer 5.4 entsprechend anzuwenden. Zudem findet Nummer 5.5 stets Anwendung."
3. Nummer 2 erhält folgende Fassung:
| alt | neu |
| 2. Begriffsbestimmungen
2.1 Ein "Leistungsempfänger" ist die Behörde, die einen Service eines Serviceeigentümers nutzt oder die ein Fachverfahren eines Fachverfahrenseigentümers einsetzt. 2.2 Ein "Sicherheitskonzept" ist das Dokument, in dem die Ergebnisse der risikoorientierten Vorgehensweise für die Behördenleitung zur Entscheidung dargestellt werden. Dazu werden den Risiken des Betrachtungsgegenstandes angemessene Sicherheitsmaßnahmen zugeordnet, die daraus abgeleitete Handlungsstrategie für die Maßnahmenumsetzung aufgezeigt und die Risiken nach der Maßnahmenumsetzung dargestellt. 2.3 Eine "Risikobeschreibung" ist das Dokument, das die Leistungsempfänger über die Ergebnisse der risikoorientierten Vorgehensweise für Services und Fachverfahren informiert. Dazu werden die Risiken eines Services oder eines Fachverfahrens, die hierzu umgesetzten Sicherheitsmaßnahmen und die Risiken nach der Maßnahmenumsetzung transparent gemacht. 2.4 Ein "Risiko" ist das Ergebnis einer systematischen Einschätzung möglicher Schäden für Informationen zu der von einer Ressource ausgehenden Gefahr. Das Risiko definiert sich aus der Wahrscheinlichkeit, mit der ein Schaden eintritt, und dem Ausmaß des potenziellen Schadens. 2.5 Ein "Servicerisiko" ist das Ergebnis einer systematischen Einschätzung möglicher Schäden für die unter Nutzung des Services verarbeiteten Informationen, nachdem der Serviceeigentümer angemessene Sicherheitsmaßnahmen für seine Ressourcen umgesetzt hat. 2.6 Ein "Fachverfahrensrisiko" ist das Ergebnis einer systematischen Einschätzung möglicher Schäden für die unter Einsatz des Fachverfahrens verarbeiteten Informationen, nachdem der Fachverfahrenseigentümer angemessene Sicherheitsmaßnahmen für seine Ressourcen umgesetzt hat. 2.7 Ein "Domänenrisiko" ist das Ergebnis einer systematischen Einschätzung möglicher Schäden für die in den Behörden verarbeiteten Informationen, nachdem jede Behörde einer Sicherheitsdomäne angemessene Sicherheitsmaßnahmen für ihre jeweils eingesetzten Ressourcen umgesetzt hat. Diese Begriffsbestimmungen werden um die Definitionen der Anlage ergänzt. |
"2. Begriffsbestimmungen
Für Begriffsbestimmungen zur einheitlichen Begriffsdefinition im Informationsmanagement des Landes Niedersachsen wird auf den Bezugserlass zu b verwiesen." |
4. Der Nummer 3 Abs. 1 wird der folgende Satz 3 angefügt:
"Insbesondere entscheidet sie über die nach Nummer 1.4 oder 1.5 anzuwendende Vorgehensweise bei der Erstellung des Sicherheitskonzepts, sofern keine einheitliche Vorgehensweise für die Sicherheitsdomäne festgelegt wurde."
5. In Nummer 7 wird das Datum "31.12.2022" durch das Datum "31.12.2024" ersetzt.
(Stand: 25.11.2022)
Alle vollständigen Texte in der aktuellen Fassung im Jahresabonnement
Nutzungsgebühr: 90.- € netto (Grundlizenz)
(derzeit ca. 7200 Titel s.Übersicht - keine Unterteilung in Fachbereiche)
Die Zugangskennung wird kurzfristig übermittelt
? Fragen ?
Abonnentenzugang/Volltextversion