Für einen individuellen Ausdruck passen Sie bitte die Einstellungen in der Druckvorschau Ihres Browsers an. Regelwerk

Gem. RdErl. d. MI, d. StK u. d. übr. Min. v. 11.6.2013 - MI-42.4-02850/0110-0002 -

Bezug:

1. Gem. RdErl. v. 9.11.2016 (Nds. MBl. S. 1193) -- VORIS 20500 -
2. Gem. RdErl. v. 11.6.2013 (Nds. MBl. S. 480) ¹⁷

1. Gegenstand und Geltungsbereich

1.1 Diese Informationssicherheitsrichtlinie über die Nutzung von mobilen Endgeräten (ISRL-Mobile Endgeräte) regelt auf Grundlage der Leitlinie zur Gewährleistung der Informationssicherheit (ISLL) - Bezugserlass zu a - in Form von Mindestanforderungen die dienstliche Nutzung mobiler Endgeräte durch Anwenderinnen und Anwender. Diese bereichspezifischen Sicherheitsanforderungen gelten in Ergänzung der ISRL-IT-Nutzung (Bezugserlass zu b).

1.2 Mobile Endgeräte i. S. dieser Informationssicherheitsrichtlinie sind informationstechnische und kommunikationstechnische Geräte, die aufgrund ihrer Größe und ihres Gewichts ohne größere körperliche Anstrengung tragbar und somit mobil einsetzbar sind. Hierzu zählen insbesondere

1. Mobiltelefone ohne Datenanbindung,
2. Mobiltelefone mit Datenanbindung (Smartphone),
3. tablet-Computer und
4. Notebooks.

1.3 Für nicht personalisierte mobile Endgeräte ohne Anbindung an das Landesnetz, deren Daten nur einen geringen Schutzbedarf haben, sind abweichende Maßnahmen im Einzelfall möglich.

1.4 Die Verwendung eines privaten mobilen Endgerätes zur Führung dienstlicher Telefonate in Ausnahmefällen ist keine dienstliche Nutzung i. S. dieser Informationssicherheitsrichtlinie.

1.5 ¹⁷ Diese Informationssicherheitsrichtlinie gilt im gesamten Geltungsbereich der ISLL (Nummern 1.1 bis 1.3 des Bezugserlasses zu a).

2. Organisatorische und technische Maßnahmen der Behördenleitung

Die Behördenleitung ist für die Gewährleistung der Informationssicherheit innerhalb ihrer Behörde verantwortlich. Zur Umsetzung dieser Informationssicherheitsrichtlinie sind durch die Behördenleitung die notwendigen organisatorischen und technischen Maßnahmen zu veranlassen. Soweit sichergestellt ist, dass die durch diese Informationssicherheitsrichtlinie festgelegten Mindestanforderungen vollständig umgesetzt werden, ist die weitere Ausgestaltung der Maßnahmen in Art und Umfang freigestellt.

3. Umsetzung

3.1 Die Umsetzung der Sicherheitsanforderungen (Nummer 5) soll vorrangig durch technische Maßnahmen erfolgen, die durch organisatorische Maßnahmen ergänzt werden.

3.2 Bei der Gestaltung organisatorischer Maßnahmen, insbesondere bei der Erstellung von Dienstanweisungen, ist zu beachten, dass diese auch für Anwenderinnen und Anwender ohne vertiefte IT-Kenntnisse verständlich und umsetzbar sind.

3.3 Die individuellen Sicherheitsanforderungen der einzelnen Sicherheitsdomänen müssen in einem angemessenen Verhältnis zur praktischen Handhabbarkeit durch die Anwenderinnen und Anwender stehen.

3.4 Die Verantwortungsbereiche der einzelnen Anwenderinnen und Anwender sind eindeutig vom Verantwortungsbereich der Systemadministration abzugrenzen.

3.5 Zur organisatorischen Umsetzung der Sicherheitsanforderungen (Nummer 5) wird der Erlass einer Dienstanweisung nach dem in der Anlage dargestellten Muster (Musterdienstanweisung) vorgeschlagen. Dieser Umsetzungsvorschlag beschränkt sich auf Sicherheitsanforderungen, die sich unmittelbar an die Anwenderinnen und Anwender richten. Es sind ggf. ergänzende oder zusätzliche Maßnahmen zu ergreifen, die die Umsetzung dieser Informationssicherheitsrichtlinie durch die Behördenleitung und die innerbehördlich zuständige Stelle sicherstellen.

4. Innerbehördliche Zuständigkeit und Organisation

Die Behördenleitung legt die innerbehördliche Zuständigkeit (zuständige Stelle) und ggf. die erforderlichen Prozesse für die Umsetzung der technischen und organisatorischen Maßnahmen aufgrund dieser Informationssicherheitsrichtlinie in eigener Zuständigkeit fest.

5. Sicherheitsanforderungen

5.1 Schutz vor Diebstahl und unberechtigtem Zugang

5.1.1 Es sind Regelungen über die sichere Aufbewahrung von mobilen Endgeräten durch die Anwenderinnen und Anwender zum Schutz vor Diebstahl und unberechtigtem Zugang zu treffen. Diese müssen insbesondere auch die Aufbewahrung im häuslichen Umfeld, auf Reisen sowie in Kraftfahrzeugen umfassen.

5.1.2 Es sind Regelungen über die Weitergabe des mobilen Endgerätes an Dritte zu treffen. Soweit die Weitergabe an Dritte nicht generell ausgeschlossen wird, ist sicherzustellen, dass das Gerät während der Benutzung durch die Dritte oder den Dritten ständig durch die verantwortliche Anwenderin oder den verantwortlichen Anwender überwacht oder vor der Weitergabe ausgeschaltet wird.

5.2 Sicherung durch Passwort oder PIN

5.2.1 Sollte die Einrichtung eines sicheren Passwortes gemäß der ISRL-IT-Nutzung