Für einen individuellen Ausdruck passen Sie bitte die Einstellungen in der Druckvorschau Ihres Browsers an. Regelwerk

Archiv ²⁰¹¹

Gem. RdErl. d. MI, d. StK u. d. übr. Min. v. 9.11.2016
- CIO-02850-0007 -

1. Gegenstand und Geltungsbereich

1.1 Die ISLL beschreibt den Aufbau und den Betrieb eines ressortübergreifenden Informationssicherheitsmanagementsystems (ISMS) in der niedersächsischen Landesverwaltung auf Grundlage des Standards ISO/IEC 27001. Sie dient der langfristigen Gewährleistung der Informationssicherheit für die unmittelbare Landesverwaltung. Vom Geltungsbereich ausgenommen sind die Hochschulen und Forschungseinrichtungen, der LT, der LRH und die oder der LfD.¹

1.2 Die Bestimmungen dieser ISLL und der daraus resultierenden Informationssicherheitsrichtlinien (ISRL) gelten nicht für Lehrkräfte und für andere an Schulen beschäftigte Landesbedienstete, sofern sie keine IT-Systeme der Landesverwaltung nutzen. Weitergehende Regelungen, insbesondere die Nutzung privater IT-Systeme dieser Personen sind gesondert durch das zuständige Ressort zu regeln.

1.3 Behörden der mittelbaren Landesverwaltung sowie Organisationen und Personen, die aus anderen Gründen nicht vom Geltungsbereich dieser ISLL erfasst sind, sind zur Einhaltung von Anschlussbedingungen und damit zur Gewährleistung eines mit dieser ISLL vergleichbaren Sicherheitsniveaus zu verpflichten, soweit sie das niedersächsische Landesdatennetz oder andere Bestandteile der zentralen IT-Infrastrukturen der Landesverwaltung nutzen.²

1.4 Für länderübergreifende Informationstechnologieverbünde auf Grundlage von Staatsverträgen oder Verwaltungsabkommen können im Einvernehmen mit dem für die zen-
trale Steuerung der Informationstechnik (IT) des Landes zuständigen Ministerium gesonderte Regelungen getroffen werden.

1.5 Den Sicherheitsdomänen bleibt es freigestellt, für ihr behördliches ISMS eigene Leitlinien nach Maßgabe dieser ISLL in Kraft zu setzen.

2. Sicherheitsziele

Durch diese ISLL und das ISMS soll sichergestellt werden, dass dem jeweiligen Schutzzweck angemessene und dem Stand der Technik entsprechende Sicherheitsmaßnahmen ergriffen werden, um das Eintreten von Sicherheitsvorfällen weitestgehend zu minimieren. Die ISLL und das ISMS dienen insbesondere

• der zuverlässigen Unterstützung der Geschäftsprozesse oder sonstigen Verwaltungsaufgaben durch die IT und der Sicherstellung der Kontinuität der Arbeitsabläufe,
• der Wahrung von Dienst- oder Amtsgeheimnissen,
• der Gewährleistung der aus gesetzlichen Vorgaben resultierenden Anforderungen,
• der Gewährleistung des informationellen Selbstbestimmungsrechts der Betroffenen bei der Verarbeitung personenbezogener Daten,
• der Reduzierung der bei einem Sicherheitsvorfall entstehenden materiellen und immateriellen Schäden sowie
• der Realisierung sicherer und vertrauenswürdiger E-Governmentverfahren.

3. Definitionen

Im Sinne dieser ISLL gelten folgende Definitionen:

3.1 Das "Fachverfahren" ist eine Leistung, die eine Fachverwaltung zur Unterstützung von Verwaltungsaufgaben, die in strukturierten Abläufen abgearbeitet werden, bereitstellt. Es setzt sich in der Regel aus den Funktionen, Datenbeständen, IT-Systemen, Computerprogrammen, Dokumentationen und der Beratung zusammen.

3.2 Die "Informationssicherheit" ist die Herstellung und Aufrechterhaltung der

• "Vertraulichkeit", d. h. die Gewährleistung des physikalischen und logischen Zugangs zu Informationen nur für Zugriffsberechtigte,
• "Verfügbarkeit", d. h. die Gewährleistung des bedarfsorientierten Zugangs zu Informationen und zugehörigen Werten für berechtigte Benutzerinnen und Benutzer,
• "Integrität", d. h. die Sicherstellung der Richtigkeit und Vollständigkeit von Informationen und Verarbeitungsmethoden.

3.3 Das "Informationssicherheitsmanagementsystem" (ISMS) ist die Aufstellung von Verfahren und Regeln, welche dazu dienen, die Informationssicherheit dauerhaft zu definieren, zu steuern, zu kontrollieren, aufrechtzuerhalten und fortlaufend zu verbessern.

3.4 Der "Leistungsempfänger" ist die Behörde, die einen Service nutzt oder ein Fachverfahren einsetzt.

3.5 Das "Risiko" ist das Ergebnis einer systematischen Einschätzung möglicher Schäden zu der von einer Ressource ausgehenden Gefahr. Das Risiko definiert sich aus der Wahrscheinlichkeit, mit der ein Schaden eintritt, und dem Ausmaß des potenziellen Schadens.

3.6 Die "Risikobeschreibung" ist ein Dokument, das die Leistungsempfänger über die Ergebnisse der risikoorientierten Vorgehensweise für Services und Fachverfahren informiert. Dazu werden die Risiken eines Services oder eines Fachverfahrens, die hierzu umgesetzten Sicherheitsmaßnahmen und die Risiken nach der Maßnahmenumsetzung transparent gemacht.

3.7 Der "Service" ist eine Leistung, die ein IT-Dienstleister zur Unterstützung von Verwaltungsaufgaben bereitstellt.

3.8 Die "Sicherheitsanforderung" ist die Vorgabe, die in den ISRL ressortübergreifend geregelt und bei deren Umsetzung zu beachten ist.

3.9 Die "Sicherheitsdomäne" ist ein abgrenzbarer Teil der Landesverwaltung mit einheitlichen Sicherheitsanforderungen und/oder einheitlicher Sicherheitsadministration. Dabei kann eine Sicherheitsdomäne weitere, untergeordnete Sicherheitsdomänen enthalten; eine untergeordnete Sicherheitsdomäne wendet grundsätzlich die Regeln der ihr übergeordneten Sicherheitsdomäne an, soweit sie sich in Abstimmung mit der übergeordneten Sicherheitsdomäne selbst keine spezielleren Regeln gibt.

3.10 Die "Sicherheitsmaßnahme" ist eine technische oder organisatorische Lösung mit dem Ziel, ein bestehendes Risiko zu minimieren oder zu beherrschen.

3.11 Die "sonstige Verwaltungsaufgabe" ist eine Aufgabe, deren Bearbeitung nicht durch den Einsatz eines Fachverfahrens unterstützt wird.

4. Grundsätze der Sicherheitsstrategie

4.1 Risikoanalyse

Im Rahmen einer Risikoanalyse sind mögliche Schäden zu der von einer Ressource ausgehenden Gefahr anhand der Eintrittswahrscheinlichkeit und des Schadensausmaßes systematisch einzuschätzen. Auf dieser Basis ist die Akzeptanz der Risiken zu bewerten und es sind Entscheidungen zur Risikobehandlung zu treffen. Die Risikoanalyse hat neben technischen insbesondere auch personelle, organisatorische und bauliche Aspekte zu betrachten. Das nach der Maßnahmenumsetzung verbleibende Risiko ist zu dokumentieren und durch die Behördenleitung zu verantworten.

4.2 Angemessenheit von Sicherheitsmaßnahmen

Finanzieller und organisatorischer Aufwand von Sicherheitsmaßnahmen müssen in einem angemessenen Verhältnis zum verfolgten Ziel stehen. Dem Gebot der Wirtschaftlichkeit und Sparsamkeit ist Rechnung zu tragen.

4.3 Ressourcen für Informationssicherheit

Informationssicherheit ist eine qualitative Eigenschaft der Services, der Fachverfahren und der sonstigen Verwaltungsaufgaben einer Behörde. Dafür sind die notwendigen personellen Ressourcen und Sachmittel bereit zu stellen.

5. Dokumentenhierarchie

Das ISMS wird durch mehrere Dokumente beschrieben, die hierarchisch aufeinander aufbauen.

5.1 Die ISLL ist das übergeordnete strategische Basisdokument zur Gewährleistung der Informationssicherheit für den Geltungsbereich. Sie dient der Aufrechterhaltung des ressortübergreifenden ISMS.

5.2 Die ISRL gestalten das ressortübergreifende ISMS taktisch aus und legen für einzelne organisatorische oder technische Bereiche Sicherheitsanforderungen für den Geltungsbereich verbindlich fest.

5.3 Die Sicherheitskonzepte für die Informationssicherheit dokumentieren auf operativer Ebene die für Services, Fachverfahren und sonstige Verwaltungsaufgaben der Sicherheitsdomänen ermittelten Risiken, die Sicherheitsmaßnahmen zur Risikoreduzierung und die nach der Maßnahmenumsetzung verbleibenden Risiken.

5.4 Die Risikobeschreibungen für die Informationssicherheit dokumentieren für Services und Fachverfahren die ermittelten Risiken, die umgesetzten Sicherheitsmaßnahmen der Service- und Fachverfahrenseigentümer und die verbleibenden Risiken nach der Maßnahmenumsetzung. Sie dienen dazu, die Leistungsempfänger über die wesentlichen sicherheitsrelevanten Informationen zu unterrichten.

6. Organisation

6.1 Niedersächsischer IT-Planungsrat

Der Niedersächsische IT-Planungsrat legt technische und organisatorische Sicherheitsanforderungen fest und beschließt dazu domänenübergreifende ISRL. Für die behördliche Umsetzung der ISRL gibt er verbindliche Fristen unter Berücksichtigung der jeweils aktuellen Rahmenbedingungen vor und lässt sich von der oder dem Informationssicherheitsbeauftragten der Landesverwaltung über die Fristeinhaltung berichten.

6.2 ISMS-Board

Als Arbeitsgruppe des Niedersächsischen IT-Planungsrates wird ein Koordinierungsgremium "ISMS-Board" eingerichtet. Das ISMS-Board verfolgt das Ziel, die Informationssicherheitsprozesse domänenübergreifend abzustimmen und das ressortübergreifende ISMS kontinuierlich zu verbessern. Es hat insbesondere die Aufgabe, Beschlüsse des Niedersächsischen IT-Planungsrates zum ressortübergreifenden ISMS vorzubereiten. Die StK und die Ministerien entsenden jeweils eine Vertreterin oder einen Vertreter in das ISMS-Board. Die oder der Informationssicherheitsbeauftragte der Landesverwaltung leitet das Gremium. Das Gremium kann sich eine Geschäftsordnung geben.

6.3 StK und Ministerien

6.3.1 Die StK und die Ministerien legen eine oder mehrere Sicherheitsdomänen für ihren Geschäftsbereich fest. Abgrenzungskriterien für die Bildung von Sicherheitsdomänen, denen mehrere Behörden angehören, können rechtliche Anforderungen, enge Kommunikationsbeziehungen, der Einsatz einheitlicher Fachverfahren oder die Wahrnehmung vergleichbarer Verwaltungsaufgaben sein. Liegt eine Behörde im Geschäftsbereich mehrerer Ministerien, entscheiden diese im Einvernehmen über die Zugehörigkeit zu einer Sicherheitsdomäne. Für jede Sicherheitsdomäne wird eine Informationssicherheitsbeauftragte oder ein Informationssicherheitsbeauftragter benannt. Sie oder er kann für mehrere Behörden einer Sicherheitsdomäne zuständig sein. Die oder der Informationssicherheitsbeauftragte der Landesverwaltung wird über die Bildung der Sicherheitsdomänen und die Benennung ihrer Informationssicherheitsbeauftragten unterrichtet.

6.3.2 Die StK und die Ministerien koordinieren und überwachen die Gewährleistung der Informationssicherheit in den Sicherheitsdomänen ihres Geschäftsbereichs.

6.4 Informationssicherheitsbeauftragte oder Informationssicherheitsbeauftragter der Landesverwaltung

6.4.1 Beim für die zentrale Steuerung der IT des Landes zuständigen Ministerium ist eine Informationssicherheitsbeauftragte oder ein Informationssicherheitsbeauftragter für die Landesverwaltung (Chief Information Security Officer - CISO) zu bestimmen, die oder der für die Koordinierung des ressortübergreifenden ISMS und für die strategische, ressortübergreifende Planung und Steuerung des Informationssicherheitsprozesses in der gesamten Landesverwaltung zuständig ist. Sie oder er kann die Behörden der mittelbaren und unmittelbaren Landesverwaltung in Fragen der Informationssicherheit beraten. Die oder der CISO hat ein direktes Vortragsrecht bei ihrer oder seiner Behördenleitung und im Niedersächsischen IT-Planungsrat.

6.4.2 Die oder der CISO hat insbesondere die Aufgaben,

• das ressortübergreifende ISMS und die ISLL weiterzuentwickeln,
• die ISRL zu entwerfen und weiterzuentwickeln,
• die Wirksamkeit des ISMS zu überprüfen,
• den jährlichen Informationssicherheitsbericht zu erstellen, - Sicherheitsvorfälle zu untersuchen und Schwachstellen festzustellen,
• die Zusammenarbeit der Informationssicherheitsbeauftragten der Sicherheitsdomänen zu fördern sowie
• Audits und Penetrationstests anzuregen und zu begleiten.

6.5 Niedersächsisches Computer Emergency Response Team (N-CERT)

Das N-CERT nimmt die Funktion der zentralen Meldestelle der oder des CISO für Sicherheitsvorfälle wahr, die domänenübergreifende oder schwerwiegende Auswirkungen haben. Das N-CERT unterstützt die Informationssicherheitsbeauftragten der Sicherheitsdomänen bei der Bewältigung dieser Sicherheitsvorfälle und bei der kontinuierlichen Verbesserung von Sicherheitsmaßnahmen.

6.6 Behördenleitung

6.6.1 Die Behördenleitung trägt die Verantwortung für die Informationssicherheit ihrer Behörde. Die zuständige oberste Landesbehörde kann abweichende Verantwortlichkeiten festlegen. Die ISLL und die ISRL sind in diesem Fall sinngemäß anzuwenden.

6.6.2 Die Behördenleitung hat insbesondere zu veranlassen, dass

• eine Informationssicherheitsbeauftragte oder ein Informationssicherheitsbeauftragter (Nummer 6.7) benannt wird,
• die ISRL nach den Vorgaben des Niedersächsischen IT-Planungsrates umgesetzt werden,
• die Risikoanalysen zu den Services, Fachverfahren und sonstigen Verwaltungsaufgaben des jeweiligen Zuständigkeitsbereichs durchgeführt werden,
• angemessene organisatorische und technische Sicherheitsmaßnahmen umgesetzt werden,
• die Leistungsempfänger von Services und Fachverfahren über die nach der Maßnahmenumsetzung verbleibenden Risiken unterrichtet werden,
• das N-CERT unverzüglich über alle domänenübergreifenden und schwerwiegenden Sicherheitsvorfälle unterrichtet wird,
• die Verantwortlichkeiten im Umgang mit Informationen definiert und gegenüber den Nutzerinnen und Nutzern festgelegt werden,
• die innerbehördlichen Zuständigkeiten (jeweils zuständigen Stellen) für Informationssicherheit festgelegt werden,
• die Prozessabläufe für das behördliche ISMS und für die Unterrichtung des N-CERT etabliert und kontinuierlich verbessert werden,
• die Informationssicherheit bereits bei der Planung und Einführung eines Services oder Fachverfahrens, bei der Vorbereitung zur Übernahme einer Verwaltungsaufgabe sowie bei sonstigen Projekten und Vorhaben berücksichtigt wird.

6.6.3 Die Behördenleitung hat sich regelmäßig über den Stand der Umsetzung, etwa anhand von Kontrollen und Revisionen, berichten zu lassen. Sie entscheidet über die Umsetzung angemessener Sicherheitsmaßnahmen und über die Akzeptanz der nach der Maßnahmenumsetzung verbleibenden Risiken.

6.7 Informationssicherheitsbeauftragte der Sicherheitsdomänen

6.7.1 Die oder der Informationssicherheitsbeauftragte einer Sicherheitsdomäne berät und unterstützt die Behördenleitung bei der Wahrnehmung ihrer Aufgaben im Hinblick auf alle Belange der Informationssicherheit. Insoweit hat die oder der Informationssicherheitsbeauftragte ein direktes Vortragsrecht bei jeder Behördenleitung innerhalb der Sicherheitsdomäne. Sie oder er hat ferner das Recht, die für ihre oder seine Aufgaben benötigten Berichte und Informationen in jeder Organisationseinheit der Sicherheitsdomäne anzufordern. Ihr oder ihm werden die dafür erforderlichen Unterlagen zugänglich gemacht und Auskünfte erteilt.

6.7.2 Die oder der Informationssicherheitsbeauftragte einer Sicherheitsdomäne hat insbesondere die Aufgaben,

• die Umsetzung der ISRL zu überwachen,
• die Prozessabläufe für das behördliche ISMS zu definieren und zu optimieren,
• die Erstellung und Aktualisierung der Risikoanalysen zu überwachen,
• die Umsetzung der Sicherheitsmaßnahmen zu überwachen,
• die Erstellung und Aktualisierung der Risikobeschreibungen zu überwachen,
• regelmäßige Informationssicherheitsberichte für die Behördenleitung zu erstellen,
• die Wirksamkeit des behördlichen ISMS (z.B. in Form von Audits und Penetrationstests) zu überprüfen,
• die Bewältigung der Sicherheitsvorfälle zu überwachen,
• die Erkennung von Schwachstellen sicherzustellen sowie
• Sensibilisierungs- und Schulungsmaßnahmen anzuregen.

6.7.3 Sie oder er ist bei neuen Projekten und Beschaffungen, die Auswirkungen auf die Integrität, Vertraulichkeit oder Verfügbarkeit der verarbeiteten Informationen haben, insbesondere bei der Einführung oder Änderung von IT-Anwendungen und IT-Systemen zu beteiligen, um die Beachtung von Informationssicherheitsaspekten in den verschiedenen Projektphasen zu gewährleisten.

7. Informationssicherheitsprozess

Für die Steuerung des ISMS müssen behördliche Informationssicherheitsprozesse definiert werden. Dazu werden die Prozessabläufe zur Planung, Umsetzung, Überprüfung und Anpassung so ausgestaltet, dass sie sich dauerhaft wiederholen, um die Informationssicherheit langfristig zu gewährleisten und kontinuierlich zu verbessern.

7.1 Planung des ISMS

Die Aufbauorganisation für die Sicherheitsdomäne und die Prozessabläufe für das behördliche ISMS werden festgelegt.

7.2 Umsetzung des ISMS

Die Aufgaben gemäß Nummer 6 werden regelmäßig im erforderlichen Umfang wahrgenommen.

7.3 Überprüfung des ISMS

7.3.1 Domänenübergreifend erhebt die oder der CISO jährlich den Stand der Informationssicherheit in den Sicherheitsdomänen, insbesondere zum Reifegrad des behördlichen ISMS und zum Ausmaß der von den Behördenleitungen nach der Maßnahmenumsetzung akzeptierten Risiken. Unter Berücksichtigung dieser Meldungen der Informationssicherheitsbeauftragten der Sicherheitsdomänen unterrichtet die oder der CISO jährlich den Niedersächsischen IT-Planungsrat in angemessener Weise über die Wirksamkeit des ressortübergreifenden ISMS und über die domänenübergreifende Sicherheitslage und gibt Handlungsempfehlungen.

7.3.2 Die Wirksamkeit des behördlichen ISMS wird von der oder dem Informationssicherheitsbeauftragten einer Sicherheitsdomäne regelmäßig, mindestens einmal jährlich überprüft. Sie oder er überprüft dabei insbesondere

• die Prozessabläufe für das behördliche ISMS auf deren nachhaltige Etablierung,
• die Risikoanalysen und deren Dokumentation auf deren Aktualität,
• die Risikobeschreibungen für die Leistungsempfänger auf deren Aktualität,
• die Umsetzung der Sicherheitsanforderungen auf deren Vollständigkeit und
• die Risikoakzeptanz seitens der Behördenleitung auf deren Nachweisbarkeit.

7.3.3 Auf der Basis der Erhebungsergebnisse gemäß Nummer 7.3.1 und der Prüfungsergebnisse gemäß Nummer 7.3.2 unterrichtet die oder der Informationssicherheitsbeauftragte einer Sicherheitsdomäne die Behördenleitungen ihres oder seines Zuständigkeitsbereichs regelmäßig in angemessener Weise und macht Vorschläge zu den identifizierten Handlungsbedarfen.

7.4 Anpassung des ISMS

7.4.1 Auf der Grundlage der Unterrichtung der oder des CISO gemäß Nummer 7.3.1 beschließt der Niedersächsische IT-Planungsrat erforderliche Optimierungsmaßnahmen und angemessene Umsetzungsfristen, um das ressortübergreifende ISMS und die domänenübergreifende Sicherheitslage zu verbessern.

7.4.2 Auf Basis der Unterrichtung der oder des zuständigen Informationssicherheitsbeauftragten der Sicherheitsdomäne gemäß Nummer 7.3.3 bewertet die Behördenleitung den Wirkungsgrad des behördlichen ISMS und die Sicherheitslage für die Behörde. Die Behördenleitung gewährleistet ferner die Aktualität

• der Dienstanweisungen und -vereinbarungen zur Informationssicherheit,
• der Zuständigkeitsregelungen für Aufgaben gemäß dieser ISLL und der ISRL,
• der Prozessabläufe zum behördlichen ISMS und
• der Risikoanalysen und Risikobeschreibungen.

7.4.3 Jährlich prüft die oder der CISO, ob sich die Rahmenbedingungen für das ISMS geändert haben und daher das Vorgehen in Bezug auf die Gewährleistung der Informationssicherheit geändert werden muss und ob die Informationssicherheitsziele noch angemessen sind.

8. Schlussbestimmung

Dieser Gem. RdErl. tritt am 1.1.2017 in Kraft.

________
1) Soweit Gegenstände der ISLL den Einsatz der IT in der Justiz betreffen, sind die aus der verfassungs- und einfachrechtlich garantierten Position der unabhängigen Rechtspflegeorgane resultierenden Besonderheiten zu beachten. Die richterliche Unabhängigkeit ist zu wahren. Aufgrund dieser besonderen Erfordernisse an die IT im Justizressort kann das MJ von den Festlegungen der ISLL abweichen.

2) Hierzu zählen auch die Organisationen der unmittelbaren Landesverwaltung gemäß Nummer 1.1 Satz 3.

ENDE