Für einen individuellen Ausdruck passen Sie bitte die Einstellungen in der Druckvorschau Ihres Browsers an. Regelwerk Anlagensicherheit Information/Kommunikation

Zur aktuellen Fassung

Gem. RdErl. d. MI, d. StK u. d. übr. Min. v. 23.10.2013
- CIO-02850/0110-0005 -

Bezug: Gem. RdErl. v. 9.11.2016 (Nds. MBl. S. 1193) - VORIS 20500 - ¹⁷

1. Gegenstand und Geltungsbereich ¹⁷

Diese Informationssicherheitsrichtlinie über die Datensicherung (ISRL-Datensicherung) regelt auf Grundlage der Leitlinie zur Gewährleistung der Informationssicherheit ( ISLL) - Bezugserlass - in Form von Mindestanforderungen die Grundsätze der Datensicherung in der niedersächsischen Landesverwaltung. Diese Grundsätze gelten für alle elektronisch verarbeiteten Informationen (z.B. Dokumente in Dateiform, Inhaltsdaten der Fachanwendungen, Systemdaten, Protokolldaten).

Diese Informationssicherheitsrichtlinie gilt im gesamten Geltungsbereich der Leitlinie zur Gewährleistung der Informationssicherheit (Nummer 1.1 bis 1.3 des Bezugserlasses).

2. Begriffsbestimmungen

Im Sinne dieser Informationssicherheitsrichtlinie ist

2.1 "Datensicherung" das Kopieren von elektronisch gespeicherten Daten und erforderlichen Metainformationen, um sie im Fall eines Datenverlustes wiederherstellen zu können;

2.2 "Datenwiederherstellung" die Rekonstruktion der elektronisch gespeicherten Daten in ihren vorherigen Kontext aus einer Datensicherung.

3. Organisatorische und technische Maßnahmen der Behördenleitung

Die Behördenleitung ist im Rahmen ihrer Zuständigkeit für die Gewährleistung der Informationssicherheit verantwortlich. Zur Umsetzung dieser Informationssicherheitsrichtlinie sind durch die Behördenleitung die notwendigen organisatorischen und technischen Maßnahmen zu veranlassen. Die Sicherheitsanforderungen können auch dadurch erfüllt werden, dass die Behördenleitung einen Dritten (z.B. IT-Dienstleister, Landesbetrieb) mit der Umsetzung von Maßnahmen beauftragt. Entsprechende Vereinbarungen oder Verträge mit dem Dritten sind aktenkundig zu machen.

Soweit sichergestellt ist, dass die durch diese Informationssicherheitsrichtlinie festgelegten Mindestanforderungen vollständig umgesetzt werden, ist die weitere Ausgestaltung der Maßnahmen in Art und Umfang freigestellt.

4. Umsetzung

4.1 Die Umsetzung der Sicherheitsanforderungen (Nummer 6) soll vorrangig durch technische Maßnahmen erfolgen, die durch organisatorische Maßnahmen ergänzt werden.

4.2 Zur organisatorischen Umsetzung der Sicherheitsanforderungen werden die Erstellung eines Anforderungskatalogs zur Datensicherung auf der Basis der in der Anlage 1 dargestellten Checkliste sowie die Erstellung einer Datensicherungskonzeption auf der Basis der in der Anlage 2 dargestellten Gliederung vorgeschlagen.

4.3 Es sind ggf. ergänzende organisatorische Maßnahmen zu ergreifen, insbesondere wenn sich Sicherheitsanforderungen unmittelbar an die Anwenderinnen und Anwender richten. Bei der Gestaltung organisatorischer Maßnahmen, insbesondere bei der Erstellung von Dienstanweisungen, ist zu beachten, dass diese auch für Anwenderinnen und Anwender ohne vertiefte IT-Kenntnisse verständlich und tatsächlich umsetzbar sind. Die spezifischen Sicherheitsmaßnahmen der einzelnen Sicherheitsdomänen müssen in einem angemessenen Verhältnis zur praktischen Handhabbarkeit durch die Anwenderinnen und Anwender stehen.

5. Innerbehördliche Zuständigkeit und Organisation

Die Behördenleitung legt die innerbehördlichen Zuständigkeiten (zuständige Stellen) und ggf. die erforderlichen Prozesse für die Umsetzung der technischen und organisatorischen Maßnahmen aufgrund dieser Informationssicherheitsrichtlinie in eigener Zuständigkeit fest.

6. Sicherheitsanforderungen

6.1 Grundsatz der zentralen Datenspeicherung

Die Datenspeicherung soll grundsätzlich zentral auf serverbasierten IT-Systemen der Dienststellen, einer Behörde, einer Fachverwaltung oder eines IT-Dienstleisters erfolgen.

6.2 Grundsätze zur Datensicherung

6.2.1 Die Datensicherung soll regelmäßig, automatisiert und zentral erfolgen.

6.2.2 Die gesicherten Daten sollen räumlich getrennt von den zu sichernden Daten aufbewahrt werden.

6.3 Anforderungen an die Datensicherung

6.3.1 Die Behördenleitung verantwortet die fachlichen Anforderungen an die Sicherung der Daten, einschließlich der Daten auf mobilen Endgeräten und Speichermedien. Es ist dabei unter Berücksichtigung der Risiken für die Verfügbarkeit der zu sichernden Daten sowie für die Vertraulichkeit und Integrität der gesicherten Daten und unter Wirtschaftlichkeitsaspekten zu bestimmen, welche Daten wie zu sichern und wie die Sicherungsdaten aufzubewahren sind. Der Anforderungskatalog ist aktenkundig zu machen.

6.3.2