Versionsverlauf

Pflichtfeld

  • ab 01.01.2020 (aktuelle Fassung)

Abschnitt 2 ISLL Justiz-AV - Definitionen

Bibliographie

Titel
Informationssicherheitsleitlinie der niedersächsischen Justiz (ISLL Justiz)
Redaktionelle Abkürzung
ISLL Justiz-AV,NI
Normtyp
Verwaltungsvorschrift
Normgeber
Niedersachsen
Gliederungs-Nr.
31600

2.1
Niedersächsische Justiz

Der Begriff "niedersächsische Justiz" umfasst das Niedersächsische Justizministerium, die Gerichte, Staatsanwaltschaften und Justizvollzugseinrichtungen sowie die Norddeutsche Hochschule für Rechtspflege, den ZIB und den AJSD.

2.2
Werte (Assets)

Als Werte (Assets) werden gerichtliche oder behördliche Erzeugnisse (Urteile, Beschlüsse, Verfahren, Daten etc.) als auch unterstützende Werte (Hard- und Software, Netzwerk, Personal, Standorte, Organisation etc.) bezeichnet.

2.3
Werte(Asset)-Eigner

Der Werte(Asset)-Eigner ist ein sachkundiger Ansprechpartner für Risikoanalyseinterviews. Als solchen bestimmt die Behördenleitung diejenige oder denjenigen, die oder der den jeweiligen Geschäftsprozess kennt und beurteilen kann und daher in der Lage ist, das jeweilige Risikoszenario zu beschreiben und zu bewerten. Der Werte(Asset)-Eigner ist im Regelfall nicht identisch mit dem Risikoeigentümer, der in der Hierarchie einer Organisation höher angesiedelt ist.

2.4
Behörde

Behörden im Sinne dieser Leitlinie sind das Niedersächsische Justizministerium sowie alle niedersächsischen Gerichte, Staatsanwaltschaften und Justizvollzugseinrichtungen, soweit sie über eine eigene Behördenleitung verfügen. Der ZIB, AJSD und die Norddeutsche Hochschule für Rechtspflege sind im Sinne dieser Regelung Behörden gleichgestellt.

2.5
Behördenspezifisches Risiko

Das behördenspezifische Risiko ist das Ergebnis einer systematischen Einschätzung möglicher Schäden für die in der Behörde verarbeiteten Informationen, nachdem sie angemessene Sicherheitsmaßnahmen für ihre jeweils eingesetzten Ressourcen umgesetzt hat, soweit diese Maßnahmen sich im Rahmen ihrer Organisations- und Umsetzungskompetenz befinden.

2.6
Behördenspezifisches Sicherheitskonzept

Das behördenspezifische Sicherheitskonzept bezeichnet ein auf der Vorlage der oder des Informationssicherheitsbeauftragten basierendes und vom MJ genehmigtes Dokument, in dem die Ergebnisse der risikoorientierten Vorgehensweise (vgl. Nummer 2.27) für die Leitung jeder Behörde zur Entscheidung dargestellt werden. Dazu werden den Risiken der Behörde angemessene Sicherheitsmaßnahmen zugeordnet, die daraus abgeleitete Handlungsstrategie für die Maßnahmenumsetzung aufgezeigt und die behördenspezifischen Risiken nach der Maßnahmenumsetzung dargestellt.

2.7
Informationssicherheit

Informationssicherheit ist die Herstellung und Aufrechterhaltung der Grundwerte

  • "Vertraulichkeit", d.h. die Gewährleistung des physikalischen bzw. logischen Zugangs zu Informationen nur für Zugriffsberechtigte,

  • "Verfügbarkeit", d.h. die Gewährleistung des bedarfsorientierten Zugangs zu Informationen und zugehörigen Werten für berechtigte Benutzerinnen und Benutzer,

  • "Integrität", d.h. die Sicherstellung der Richtigkeit und Vollständigkeit von Informationen und Verarbeitungsmethoden.

2.8
Sicherheitskonzepte

Die Sicherheitskonzepte für die Informationssicherheit dokumentieren

  • die für Services, Fachverfahren und sonstige Fachaufgaben der Sicherheitsdomänen ermittelten Risiken,

  • die Sicherheitsmaßnahmen zur Risikoreduzierung und

  • die nach der Maßnahmenumsetzung verbleibenden Restrisiken.

Sie ermöglichen der jeweils zuständigen Behördenleitung Entscheidungen zur Maßnahmenumsetzung und Risikoakzeptanz zu treffen.

2.9
Risikoanalysen

Sind Dokumente, in denen im Rahmen von Risikoanalyseinterviews mögliche Schadensereignisse, deren Ursachen, Auswirkungen und Eintrittswahrscheinlichkeit vom Asset-Eigner sowohl zu untersuchen, als auch Maßnahmen zur Risikobehandlung zu entwickeln und zu dokumentieren sind. Das nach der Maßnahmenumsetzung verbleibende Restrisiko ist zu beschreiben, durch den Risikoeigentümer zu verantworten und die Risikoakzeptanz zu dokumentieren.

2.10
Informationssicherheitsmanagementsystem (ISMS)

Das ISMS ist die Aufstellung von Verfahren und Regeln, die dazu dienen, die Informationssicherheit in der Behörde dauerhaft zu definieren, zu steuern, zu kontrollieren, aufrechtzuerhalten und fortlaufend zu verbessern.

2.11
Informationseigentümer

Informationseigentümer ist die Leitung jeder Behörde für die von ihr verarbeiteten Informationen, auch wenn diese in von IT-Dienstleistern bereitgestellten Fachverfahren oder Services verarbeitet werden.

2.12
Informationsklassifizierung

Alle Informationen mit Relevanz für die Geschäftsprozesse der niedersächsischen Justiz sind in Schutzkategorien zu klassifizieren. Eine grundsätzliche Klassifizierung von Kategorien von Informationen, z. B. für Fachverfahren bestimmter Rechtsgebiete oder bestimmter Arten von Verwaltungsangelegenheiten, erfolgt durch eine zentrale Regelung durch das Justizministerium. Diese Regelung entbindet die Mitarbeiterinnen und Mitarbeiter der niedersächsischen Justiz nicht von ihrer Pflicht auf Grund besonderer Umstände des Einzelfalls eine höhere Schutzkategorie für eine Ressource oder eine Information festzulegen.

2.13
Behördliches Informationssicherheitsmanagementsystem (ISMS)

Das behördliche ISMS muss mindestens das Erstellen von behördenspezifischen Sicherheitskonzepten im Rahmen der Organisations- und Maßnahmenkompetenz der Behörde umfassen.

2.14
Domänenrisiko

Das Domänenrisiko ist das Ergebnis einer systematischen Einschätzung möglicher Schäden für die in der gesamten Sicherheitsdomäne verarbeiteten Informationen, nachdem jede Behörde einer Sicherheitsdomäne angemessene Sicherheitsmaßnahmen für ihre jeweils eingesetzten Ressourcen umgesetzt hat. Das Domänenrisiko ist vom MJ zu verantworten.

2.15
Domänenspezifisches Sicherheitskonzept

Das domänenspezifische Sicherheitskonzept ist die Summe aller in der Sicherheitsdomäne zu erstellenden Sicherheitskonzepte.

2.16
Fachverfahren

Das Fachverfahren unterstützt die Gerichte und Justizbehörden durch Automation der Geschäftsabläufe (z. B. EUREKA, web.sta). Es setzt sich in der Regel aus Funktionen, Datenbeständen, IT-Systemen, Computerprogrammen, Dokumentationen und der Beratung zusammen.

2.17
Fachverfahrenseigentümer

Fachverfahrenseigentümer ist der das jeweilige Fachverfahren anbietende IT-Dienstleister, also entweder der Zentrale IT-Betrieb der niedersächsischen Justiz (ZIB), IT.Niedersachsen (IT.N) oder andere externe Dienstleister. Hiervon unberührt bleibt die strategische Verantwortung des MJ.

2.18
Service

Ein Service ist eine standardisierte Leistung, die ein IT-Dienstleister zur Unterstützung von Geschäftsprozessen (z. B. Skype for Business) bereitstellt.

2.19
Service-Eigentümer

Service-Eigentümer ist der den jeweiligen Service anbietende IT-Dienstleister, also entweder der Zentrale IT-Betrieb der niedersächsischen Justiz (ZIB), IT.Niedersachsen (IT.N) oder andere externe Dienstleister. Hiervon unberührt bleibt die strategische Verantwortung des MJ.

2.20
Sonstige Fachaufgabe

Eine sonstige Fachaufgabe ist eine Aufgabe, deren Bearbeitung nicht durch den Einsatz eines Fachverfahrens unterstützt wird.

2.21
Leistungsempfänger

Der Leistungsempfänger ist die Behördenleitung, die einen Service nutzt oder ein Fachverfahren einsetzt.

2.22
Einsatzszenario

Ist die detaillierte Beschreibung der Einsatzbedingungen und Zweckbestimmungen, für die ein Service oder ein Fachverfahren konzipiert worden ist.

2.23
Schutzbedarfseignung

Ist die Eigenschaft, die ein Service-Eigentümer für seinen Service und ein Fachverfahrenseigentümer für sein Fachverfahren kommuniziert, damit die Leistungsempfänger einschätzen können, inwieweit der Service und das Fachverfahren, ggf. nach Umsetzung zusätzlicher Sicherheitsmaßnahmen zwecks weitergehender Risikoreduzierung, genutzt werden dürfen.

2.24
Risikobehandlung

Die Risikobehandlung erfolgt durch

  • Risikoreduktion

  • Risikobeseitigung

  • Risikoakzeptanz oder

  • Risikotransfer/Risikoübertragung (Versicherung).

2.25
Risikoeigentümer

Eine Person, die die Verantwortung und Entscheidungsbefugnis hat, ein Risiko zu behandeln.

Risikoeigentümer von Services ist die Leiterin oder der Leiter des jeweiligen IT-Dienstleisters.

Risikoeigentümer von Fachverfahren ist die Leiterin oder der Leiter des jeweiligen IT-Dienstleisters. Risikoeigentümer von sonstigen Fachaufgaben ist die Behördenleitung der Ortsbehörde.

2.26
Risikoklassifizierung

2.26.1 Für das Servicerisiko oder Fachverfahrensrisiko werden folgende Klassifizierungen vorgenommen:

  1. a)

    "grün": Servicerisiko oder Fachverfahrensrisiko kann in der Regel ohne weitere Risikobehandlung akzeptiert werden;

  2. b)

    "gelb": Behördenleitung des Serviceeigentümers oder Fachverfahrenseigentümers kann das Servicerisiko oder Fachverfahrensrisiko akzeptieren;

  3. c)

    "rot": Servicerisiko oder Fachverfahrensrisiko ist grundsätzlich nicht akzeptabel und verhindert grundsätzlich den Produktivbetrieb; Akzeptanz dieses Risikos muss begründet und an die Informationsbeauftragte oder den Informationsbeauftragten der niedersächsischen Landesverwaltung kommuniziert werden.

2.26.2 Für behördenspezifische Risiken und Domänenrisiken werden folgende Klassifizierungen vorgenommen:

  1. a)

    "grün": Risiko kann in der Regel ohne weitere Risikobehandlung akzeptiert werden;

  2. b)

    "gelb": Behördenleitung kann das Risiko akzeptieren und muss für eine regelmäßige Kontrolle sorgen;

  3. c)

    "rot": Risiko ist grundsätzlich nicht akzeptabel; die Behördenleitung muss unverzüglich Maßnahmen zur Risikoreduzierung einleiten; Akzeptanz dieses Risikos muss begründet werden und ist auf dem üblichen Berichtsweg zu eskalieren. Die übergeordneten Behörden haben im Rahmen der weiteren Risikobehandlung die Möglichkeit zur Risikoreduzierung. Sollte bis zur Eskalation an das Justizministerium keine Risikoreduzierung erfolgt sein und immer noch ein "rotes" Risiko bestehen, entscheidet MJ final über eine mögliche Risikobehandlung. Ein dann noch verbleibendes "rotes" Risiko ist durch MJ an die Informationsbeauftragte oder den Informationsbeauftragten der niedersächsischen Landesverwaltung zu kommunizieren.

2.27
Risikomanagement

Ermitteln möglicher Risiken, Entwicklung adäquater Schutzmaßnahmen und Entscheidung über Umsetzung dieser Schutzmaßnahmen, bzw. Übernahme von Restrisiken im zulässigen Umfang.

Außer Kraft am 1. Januar 2026 durch Nummer 5 der AV vom 20. November 2019 (Nds. Rpfl. 2020 S. 15, 91)