Für einen individuellen Ausdruck passen Sie bitte die Einstellungen in der Druckvorschau Ihres Browsers an. Regelwerk Anlagensicherheit Information/Kommunikation

Archiv: ²⁰¹³

Bezug:

1. Gem. RdErl. v. 9.11.2016 (Nds. MBl. S. 1193) - VORIS 20500 -
2. Gem. RdErl. v. 23.10.2013 (Nds. MBl. S. 864), zuletzt geändert durch Gem. RdErl. v. 25.11.2020 (Nds. MBl. S. 1492)
3. Gem. RdErl. v. 1.11.2017 (Nds. MBl. S. 1463)

1. Gegenstand und Geltungsbereich

Diese Informationssicherheitsrichtlinie über die Abwehr von Schadsoftware (ISRL-Schadsoftware) regelt auf Grundlage der Leitlinie zur Gewährleistung der Informationssicherheit ( ISLL) - Bezugserlass zu a - in Form von Mindestanforderungen die Grundsätze der Abwehr von Schadsoftware und der Bewältigung bei einem tatsächlichen Schadsoftwarebefall von IT-Systemen der niedersächsischen Landesverwaltung.

Diese Informationssicherheitsrichtlinie gilt im gesamten Geltungsbereich der Leitlinie für die Gewährleistung der Informationssicherheit (Nummer 1.1 bis 1.3 des Bezugserlasses zu a).

2. Organisatorische und technische Maßnahmen der Behördenleitung

Die Behördenleitung ist im Rahmen ihrer Zuständigkeit für die Gewährleistung der Informationssicherheit verantwortlich. Zur Umsetzung dieser Informationssicherheitsrichtlinie sind durch die Behördenleitung die notwendigen organisatorischen und technischen Maßnahmen zu veranlassen. Die Sicherheitsanforderungen können auch dadurch erfüllt werden, dass die Behördenleitung einen Dritten (z.B. IT-Dienstleister, Landesbetrieb) mit der Umsetzung von Maßnahmen beauftragt. Entsprechende Vereinbarungen oder Verträge mit dem Dritten sind aktenkundig zu machen.

Soweit sichergestellt ist, dass die durch diese Informationssicherheitsrichtlinie festgelegten Mindestanforderungen vollständig umgesetzt werden, ist die weitere Ausgestaltung der Maßnahmen in Art und Umfang freigestellt.

3. Umsetzung

3.1 Die Umsetzung der Sicherheitsanforderungen ( Nummer 5) soll vorrangig durch technische Maßnahmen erfolgen, die durch organisatorische Maßnahmen ergänzt werden.

3.2 Die Verantwortungsbereiche der einzelnen Anwenderinnen und Anwender sind eindeutig vom Verantwortungsbereich der Systemadministration abzugrenzen.

3.3 Zur organisatorischen Umsetzung der Sicherheitsanforderungen wird vorgeschlagen, dass die Anwenderinnen und Anwender über das Verhalten bei einem Verdacht auf Schadsoftwarebefall anhand der in der Anlage aufgeführten Inhalte informiert werden.

3.4 Es sind ggf. ergänzende organisatorische Maßnahmen zu ergreifen, insbesondere wenn sich Sicherheitsanforderungen unmittelbar an die Anwenderinnen und Anwender richten. Bei der Gestaltung organisatorischer Maßnahmen, insbesondere bei der Erstellung von Dienstanweisungen, ist zu beachten, dass diese auch für Anwenderinnen und Anwender ohne vertiefte IT-Kenntnisse verständlich und tatsächlich umsetzbar sind. Die spezifischen Sicherheitsmaßnahmen der einzelnen Sicherheitsdomänen müssen in einem angemessenen Verhältnis zur praktischen Handhabbarkeit durch die Anwenderinnen und Anwender stehen.

4. Innerbehördliche Zuständigkeit und Organisation

Die Behördenleitung legt die innerbehördlichen Zuständigkeiten (zuständigen Stellen) und ggf. die erforderlichen Prozesse für die Umsetzung der technischen und organisatorischen Maßnahmen aufgrund dieser Informationssicherheitsrichtlinie in eigener Zuständigkeit fest.

5. Sicherheitsanforderungen

5.1 Schutz vor Schadsoftware

5.1.1 Die Behördenleitung hat dafür Sorge zu tragen, dass grundsätzlich auf jedem Endgerät (z.B. Arbeitsplatzrechner, tablet-Computer, Notebook) sowie auf jedem Serversystem eine Anti-Schadsoftware eingesetzt oder eine effektive Alternativmaßnahme zur Abwehr von Schadsoftware getroffen wird.

5.1.2 Die Behördenleitung entscheidet anhand einer Risikoanalyse, ob bestimmte Endgeräte (z.B. Smartphones) ohne Anti-Schadsoftware eingesetzt werden dürfen. Das Ergebnis der Risikoanalyse ist aktenkundig zu machen.

5.1.3 Die Behördenleitung gewährleistet, dass die eingesetzte Anti-Schadsoftware regelmäßig automatisiert aktualisiert wird. Die Aktualisierungsintervalle sind so klein wie nötig zu halten.

5.1.4 Der Status des Schutzes der IT-Systeme soll auf einem zentralen System erfasst werden.

5.1.5 Die Anti-Schadsoftware hat Dateien beim Zugriff zu untersuchen, unabhängig davon, auf welchem Datenträger oder Speichermedium die Dateien abgelegt sind. IT-Systeme sollen regelmäßig ohne Anlass vollständig auf Schadsoftware untersucht werden. Nach der Auslieferung vorinstallierter IT-Systeme oder der Durchführung von Wartungsarbeiten sollen die betroffenen IT-Systeme auf Schadsoftware untersucht werden.

5.2 Sensibilisierung und Information

5.2.1 Die Behördenleitung stellt sicher, dass alle Anwenderinnen und Anwender sowie die Systemadministration für von Schadsoftware ausgehende Gefahren und hinsichtlich der einzuhaltenden Sicherheitsmaßnahmen in angemessener Form und im notwendigen Umfang sensibilisiert und über aktuelle Veränderungen (z.B. Sicherheitshinweise) informiert werden.