Gem. RdErl. d. MI, d. StK u. d. übr. Min. v. 9. 11. 2016 - CIO-02850-0007 -
Vom 9. November 2016 (Nds. MBl. S. 1193)
- VORIS 20500 -
1.1 Die ISLL beschreibt den Aufbau und den Betrieb eines ressortübergreifenden Informationssicherheitsmanagementsystems (ISMS) in der niedersächsischen Landesverwaltung auf Grundlage des Standards ISO/IEC 27001. Sie dient der langfristigen Gewährleistung der Informationssicherheit für die unmittelbare Landesverwaltung. Vom Geltungsbereich ausgenommen sind die Hochschulen und Forschungseinrichtungen, der LT, der LRH und die oder der LfD. 1)
1.2 Die Bestimmungen dieser ISLL und der daraus resultierenden Informationssicherheitsrichtlinien (ISRL) gelten nicht für Lehrkräfte und für andere an Schulen beschäftigte Landesbedienstete, sofern sie keine IT-Systeme der Landesverwaltung nutzen. Weitergehende Regelungen, insbesondere die Nutzung privater IT-Systeme dieser Personen sind gesondert durch das zuständige Ressort zu regeln.
1.3 Behörden der mittelbaren Landesverwaltung sowie Organisationen und Personen, die aus anderen Gründen nicht vom Geltungsbereich dieser ISLL erfasst sind, sind zur Einhaltung von Anschlussbedingungen und damit zur Gewährleistung eines mit dieser ISLL vergleichbaren Sicherheitsniveaus zu verpflichten, soweit sie das niedersächsische Landesdatennetz oder andere Bestandteile der zentralen IT-Infrastrukturen der Landesverwaltung nutzen. 2)
1.4 Für länderübergreifende Informationstechnologieverbünde auf Grundlage von Staatsverträgen oder Verwaltungsabkommen können im Einvernehmen mit dem für die zentrale Steuerung der Informationstechnik (IT) des Landes zuständigen Ministerium gesonderte Regelungen getroffen werden.
1.5 Den Sicherheitsdomänen bleibt es freigestellt, für ihr behördliches ISMS eigene Leitlinien nach Maßgabe dieser ISLL in Kraft zu setzen.
Soweit Gegenstände der ISLL den Einsatz der IT in der Justiz betreffen, sind die aus der verfassungs- und einfachrechtlich garantierten Position der unabhängigen Rechtspflegeorgane resultierenden Besonderheiten zu beachten. Die richterliche Unabhängigkeit ist zu wahren. Aufgrund dieser besonderen Erfordernisse an die IT im Justizressort kann das MJ von den Festlegungen der ISLL abweichen.
Hierzu zählen auch die Organisationen der unmittelbaren Landesverwaltung gemäß Nummer 1.1 Satz 3.
Durch diese ISLL und das ISMS soll sichergestellt werden, dass dem jeweiligen Schutzzweck angemessene und dem Stand der Technik entsprechende Sicherheitsmaßnahmen ergriffen werden, um das Eintreten von Sicherheitsvorfällen weitestgehend zu minimieren. Die ISLL und das ISMS dienen insbesondere
der zuverlässigen Unterstützung der Geschäftsprozesse oder sonstigen Verwaltungsaufgaben durch die IT und der Sicherstellung der Kontinuität der Arbeitsabläufe,
der Wahrung von Dienst- oder Amtsgeheimnissen,
der Gewährleistung der aus gesetzlichen Vorgaben resultierenden Anforderungen,
der Gewährleistung des informationellen Selbstbestimmungsrechts der Betroffenen bei der Verarbeitung personenbezogener Daten,
der Reduzierung der bei einem Sicherheitsvorfall entstehenden materiellen und immateriellen Schäden sowie
der Realisierung sicherer und vertrauenswürdiger E-Governmentverfahren.
Im Sinne dieser ISLL gelten folgende Definitionen:
3.1
Das "Fachverfahren" ist eine Leistung, die eine Fachverwaltung zur Unterstützung von Verwaltungsaufgaben, die in strukturierten Abläufen abgearbeitet werden, bereitstellt. Es setzt sich in der Regel aus den Funktionen, Datenbeständen, IT-Systemen, Computerprogrammen, Dokumentationen und der Beratung zusammen.
3.2
Die "Informationssicherheit" ist die Herstellung und Aufrechterhaltung der
"Vertraulichkeit", d. h. die Gewährleistung des physikalischen und logischen Zugangs zu Informationen nur für Zugriffsberechtigte,
"Verfügbarkeit", d. h. die Gewährleistung des bedarfsorientierten Zugangs zu Informationen und zugehörigen Werten für berechtigte Benutzerinnen und Benutzer,
"Integrität", d. h. die Sicherstellung der Richtigkeit und Vollständigkeit von Informationen und Verarbeitungsmethoden.
3.3
Das "Informationssicherheitsmanagementsystem" (ISMS) ist die Aufstellung von Verfahren
und Regeln, welche dazu dienen, die Informationssicherheit dauerhaft zu definieren,
zu steuern, zu kontrollieren, aufrechtzuerhalten und fortlaufend zu verbessern.
3.4
Der "Leistungsempfänger" ist die Behörde, die einen Service nutzt oder ein Fachverfahren einsetzt.
3.5
Das "Risiko" ist das Ergebnis einer systematischen Einschätzung möglicher Schäden zu der von einer Ressource ausgehenden Gefahr. Das Risiko definiert sich aus der Wahrscheinlichkeit, mit der ein Schaden eintritt, und dem Ausmaß des potenziellen Schadens.
3.6
Die "Risikobeschreibung" ist ein Dokument, das die Leistungsempfänger über die Ergebnisse der risikoorientierten Vorgehensweise für Services und Fachverfahren informiert. Dazu werden die Risiken eines Services oder eines Fachverfahrens, die hierzu umgesetzten Sicherheitsmaßnahmen und die Risiken nach der Maßnahmenumsetzung transparent gemacht.
3.7
Der "Service" ist eine Leistung, die ein IT-Dienstleister zur Unterstützung von Verwaltungsaufgaben bereitstellt.
3.8
Die "Sicherheitsanforderung" ist die Vorgabe, die in den ISRL ressortübergreifend geregelt und bei deren Umsetzung zu beachten ist.
3.9
Die "Sicherheitsdomäne" ist ein abgrenzbarer Teil der Landesverwaltung mit einheitlichen Sicherheitsanforderungen und/oder einheitlicher Sicherheitsadministration. Dabei kann eine Sicherheitsdomäne weitere, untergeordnete Sicherheitsdomänen enthalten; eine untergeordnete Sicherheitsdomäne wendet grundsätzlich die Regeln der ihr übergeordneten Sicherheitsdomäne an, soweit sie sich in Abstimmung mit der übergeordneten Sicherheitsdomäne selbst keine spezielleren Regeln gibt.
3.10
Die "Sicherheitsmaßnahme" ist eine technische oder organisatorische Lösung mit dem Ziel, ein bestehendes Risiko zu minimieren oder zu beherrschen.
3.11
Die "sonstige Verwaltungsaufgabe" ist eine Aufgabe, deren Bearbeitung nicht durch den Einsatz eines Fachverfahrens unterstützt wird.
4.1 Risikoanalyse
Im Rahmen einer Risikoanalyse sind mögliche Schäden zu der von einer Ressource ausgehenden Gefahr anhand der Eintrittswahrscheinlichkeit und des Schadensausmaßes systematisch einzuschätzen. Auf dieser Basis ist die Akzeptanz der Risiken zu bewerten und es sind Entscheidungen zur Risikobehandlung zu treffen. Die Risikoanalyse hat neben technischen insbesondere auch personelle, organisatorische und bauliche Aspekte zu betrachten. Das nach der Maßnahmenumsetzung verbleibende Risiko ist zu dokumentieren und durch die Behördenleitung zu verantworten.
4.2 Angemessenheit von Sicherheitsmaßnahmen
Finanzieller und organisatorischer Aufwand von Sicherheitsmaßnahmen müssen in einem angemessenen Verhältnis zum verfolgten Ziel stehen. Dem Gebot der Wirtschaftlichkeit und Sparsamkeit ist Rechnung zu tragen.
4.3 Ressourcen für Informationssicherheit
Informationssicherheit ist eine qualitative Eigenschaft der Services, der Fachverfahren und der sonstigen Verwaltungsaufgaben einer Behörde. Dafür sind die notwendigen personellen Ressourcen und Sachmittel bereit zu stellen.