RdErl. d. MI v. 29. 12. 2000 - 46.2-18751.3 -

Vom 29. Dezember 2000 (Nds. MBl. 2001 S. 190)

- VORIS 20480 00 00 03 023 -

Bezug:

1. a)
   RdErl. v. 13. 2. 1997 (Nds. MBl. S. 664)
2. b)
   RdErl. v. 19. 8. 1986 - 45.1-143-A-00 005-7-5 VS-NfD - (n.v.)
   - VORIS 20480 00 00 03 008 -

Das Bundesministerium des Innern hat am 26.8.1998 im Benehmen mit den Ländern für die Bundesbehörden die "Richtlinien zum Geheimschutz von Verschlusssachen beim Einsatz von Informationstechnik" (VS-IT-Richtlinien - VSITR - IS 6-606 522-4/1) erlassen. Die Länder haben sich verpflichtet, für ihren Bereich kompatible Regelungen zu erlassen.

Von der generellen Übernahme dieser Richtlinien für die Behörden des Landes mit Ausnahme des NLfV wird angesichts des derzeit geringen VS-Aufkommens, das sich zudem auf wenige Behörden konzentriert, und wegen der hohen Kosten für die entsprechende technische Ausstattung vorerst abgesehen. Um jedoch eine einheitliche Vorgehensweise bei der Be- und Verarbeitung und der Übertragung von VS zu erreichen, werden hiermit auf Grund des § 64 der VSA vom 13.2.1997 die nachfolgenden Richtlinien zum Geheimschutz von Verschlusssachen beim Einsatz von Informationstechnik erlassen:

Diese Richtlinien regeln, welche Maßnahmen zur Geheimhaltung von VS beim Einsatz von Informationstechnik (im Folgenden: IT) ergänzend zu oder abweichend von der VSA zu treffen sind. Sie sind anzuwenden, wenn VS-VERTRAULICH oder höher eingestufte VS mit IT verarbeitet werden (siehe § 10 Abs. 4 und § 47 VSA).

Werden in einer Behörde nur ausnahmsweise VS-VERTRAULICH eingestufte VS mit IT verarbeitet, kann auf technische Sicherungsmaßnahmen verzichtet werden. Die IT-Nutzerinnen und IT-Nutzer müssen jedoch sicherstellen, dass

1. a)
   bei der Verarbeitung von VS Unbefugte keine Kenntnis erhalten und
2. b)
   bei der Übertragung von VS die Nachricht die berechtigte Empfängerin oder den berechtigten Empfänger unverzüglich erreicht (z.B. durch parallele Unterrichtung per Telefon).

Die VS-Datenträger sind gemäß der VSA zu behandeln. VS-Daten, die nicht mehr benötigt werden, sind vollständig mit nicht eingestuften Daten zu überschreiben.

Die oder der Geheimschutzbeauftragte ist für die Beachtung dieser Richtlinien verantwortlich. Sie oder er kann sich bei der Umsetzung durch eine oder einen Verantwortlichen mit IT-Fachkenntnissen (IT-Verantwortliche oder IT-Verantwortlicher) unterstützen lassen, die oder der von der Dienststelle bestimmt wird.

Bei der Beschaffung von IT, die für VS eingesetzt werden soll, ist die oder der Geheimschutzbeauftragte zu beteiligen und ggf. das NLfV beratend hinzuzuziehen.

IT-Systeme, die für VS eingesetzt werden, müssen über ein zuverlässiges Zugangs-/Zugriffskontrollsystem verfügen, sodass nur Befugte im Rahmen der ihnen erteilten Rechte Zugang erhalten und auf die VS zugreifen können.