AV d. MJ v. 8.6.2020 (1510 - ISMS. 32)
Vom 8. Juni 2020 (Nds. Rpfl. S. 215)
VORIS 31600
Diese Dienstanweisung regelt auf der Grundlage der Informationssicherheitsrichtlinie über den strukturierten Umgang mit Sicherheitsvorfällen (ISRL-ISi-Vorfälle) - Gem. RdErl. d. Ml, d. StK u. d. übr. Min. v. 1. 11. 2017 - CIO-02850/0110-0011 - Nds. MBl. 2017, 1463) - die organisatorischen Rahmenbedingungen zum Umgang mit Sicherheitsvorfällen. Sie verfolgt das Ziel, durch eine abgestimmte, schnelle und wirksame Reaktion auf Sicherheitsvorfälle Folgen für die Informationen der niedersächsischen Justiz abzuwehren und die Informationssicherheit kontinuierlich zu verbessern.
Unberührt von dieser Dienstanweisung bleiben
a) spezielle Regelungen, die der Zentrale IT-Betrieb Niedersächsische Justiz (ZIB) ausschließlich für seine Mitarbeiterinnen und Mitarbeiter erlassen hat;
b) sonstige Melde- und Berichtspflichten bei außerordentlichen Vorkommnissen im Justizvollzug, bei den Gerichten und Staatsanwaltschaften sowie
c) Meldungen von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde.
Diese Dienstanweisung gilt für alle Bediensteten der niedersächsischen Justiz.
2.1 Ein Sicherheitsvorfall im Sinne der Informationssicherheit ist ein Ereignis, das eine Einschränkung oder den Verlust der Vertraulichkeit, Verfügbarkeit oder Integrität 1 von Informationen nach sich zieht, nach sich gezogen hat oder nach sich gezogen haben könnte.
2.2 Die Informationssicherheit dient dem Schutz sämtlicher justizinterner Informationen und Daten. Ein Sicherheitsvorfall kann daher sowohl analoger (nicht-technischer) als auch digitaler (technischer) Art sein.
2.3 Das öffentliche Bekanntwerden einer abstrakten Bedrohung, wie z. B. die Veröffentlichung einer Sicherheitslücke, ist noch kein Sicherheitsvorfall.
2.4 Ein meldepflichtiger Verdacht (siehe hierzu Nr. 3) auf einen Sicherheitsvorfall liegt insbesondere in folgenden Fällen vor;
Datenverlust ohne erkennbaren Grund,
Sperrung von Nutzerkonten ohne erkennbaren Grund,
Meldungen des Virenscanners sowie
Systemmeldungen, die auf einen Missbrauch hinweisen.
2.5. Die Anlage zu dieser Dienstanweisung enthält in tabellarischer Form eine - nicht abschließende - Liste von Ereignissen, die als Sicherheitsvorfälle zu bewerten sind.
2.6 Soweit es sich bei dem vermuteten Sicherheitsvorfall um Schadsoftware handelt, ist die "Handlungsanweisung Schadsoftware" (veröffentlicht auf der Intranetseite des ZIB: http://intra.zib.niedersachsen.de und des Informationssicherheitsbeauftragten: http://intra.isb-justiz.niedersachsen.de) zu beachten.
Vertraulichkeit: Die Gewährleistung des physikalischen bzw. logischen Zugangs zu Informationen nur für Zugriffsberechtigte.
Verfügbarkeit: Die Gewährleistung des bedarfsorientierten Zugangs zu Informationen und zugehörigen Werten für berechtigte Benutzerinnen und Benutzer.
Integrität: Die Sicherstellung der Richtigkeit und Vollständigkeit von Informationen und Verarbeitungsmethoden.
3.1 Die Bediensteten der niedersächsischen Justiz sind im Rahmen der ihnen übertragenen dienstlichen Aufgaben verpflichtet, einen Sicherheitsvorfall oder Verdacht auf einen solchen unverzüglich zu melden. Entsprechendes gilt für Dritte, die vorübergehend in der Behörde tätig sind.
3.2 Ein vermuteter oder tatsächlicher Sicherheitsvorfall mit mittelbarem oder unmittelbarem Bezug zur IT-Nutzung ist von jeder Mitarbeiterin und jedem Mitarbeiter unverzüglich telefonisch an den Service-Desk der niedersächsischen Justiz zu melden. Der Service-Desk kann Anweisungen erteilen, denen verbindlich nachzukommen ist. Ereignet sich der Vorfall außerhalb der telefonischen Erreichbarkeit des Service-Desk, hat die Meldung per Mail (Servicedesk@justiz.niedersachsen.de zu erfolgen. Nach erfolgter Meldung hat die Mitarbeiterin bzw. der Mitarbeiter die örtliche Behördenleitung zu unterrichten.
3.3 Im Rahmen von Großstörungen 2 kann die Berichtspflicht des Einzelnen unterbleiben, wenn der Service-Desk bereits unterrichtet wurde und den Geschäftsbereich regelmäßig über den aktuellen Sachstand informiert.
3.4 Unberührt bleiben sonstige Melde- und Berichtspflichten bei außerordentlichen Vorkommnissen im Justizvollzug (4430304.18 - Erlass in der jeweils gültigen Fassung) sowie bei den Gerichten und Staatsanwaltschaften (5330-102.68 (VS-NfD) - Erlass in der jeweils gültigen Fassung).
3.4.1 Handelt es sich bei dem außerordentlichen Vorkommnis um einen Sicherheitsvorfall ohne IT-Bezug (z. B. Diebstahl von Justizpost), ist dieser unverzüglich an die veröffentlichten Ansprechpartner vorab telefonisch und anschließend mit dem entsprechenden Vordruck auf dem Dienstweg zu melden.
3.4.2 Handelt es sich bei dem außerordentlichen Vorkommnis um einen Sicherheitsvorfall mit mittelbarem oder unmittelbarem Bezug zur IT-Nutzung, ist zusätzlich die Meldung nach Nr. 3.2 zu veranlassen.
z. B.: - eine gesamte Behörde kann nicht arbeiten (Ausfall an der Infrastruktur oder einer Fachanwendung)
- ein zentraler Service (E-Mail, EGVP, Inter- oder Intranet), der von mehr als 400 Anwenderinnen/Anwendern genutzt wird, fällt aus.
Bestehen konkrete Anhaltspunkte dafür, dass der vermutete oder tatsächliche Sicherheitsvorfall aufgrund missbräuchlicher oder unerlaubter Nutzung dienstlicher IT-Systeme (einschließlich des dienstlichen Internet-Zugangs und E-Mail-Postfachs) 3 verursacht wurde, kann der ZIB zum Zwecke der Aufklärung direkt Kontakt zu der oder dem jeweiligen Beschäftigten aufnehmen und bzw. oder die Behördenleitung von dem Sicherheitsvorfall unterrichten. Die oder der Dienstvorgesetzte benachrichtigt hierüber den örtlichen Richterrat bzw. Staatsanwaltsrat und den Personalrat und gibt ihnen Gelegenheit zur Stellungnahme.
Hierzu gehört beispielsweise auch der Verdacht auf Spionage