Für einen individuellen Ausdruck passen Sie bitte die Einstellungen in der Druckvorschau Ihres Browsers an. Regelwerk, Information/Kommunikation

Bezug:

a) Gem. RdErl. v. 9.11.2016 (Nds. MBl. S. 1193) -- VORIS 20500 -

b) Gem. RdErl. v. 9.11.2016 (Nds. MBl. S. 1196)

1. Gegenstand und Geltungsbereich

1.1 Diese Informationssicherheitsrichtlinie legt auf Grundlage der Leitlinie zur Gewährleistung der Informationssicherheit ( ISLL) - Bezugserlass zu a - Mindestanforderungen an die organisatorischen Rahmenbedingungen zum Umgang mit Sicherheitsvorfällen und zur Vermeidung von Sicherheitsvorfällen (ISRL-ISi-Vorfälle) fest. Sie dient dem Zweck, die Informationssicherheit in der Landesverwaltung kontinuierlich zu verbessern.

1.2 Ziel der ISRL-ISi-Vorfälle ist es, künftige Sicherheitsvorfälle möglichst zu vermeiden und auf eingetretene Sicherheitsvorfälle angemessen zu reagieren. Zur Prävention wird anhand von Sicherheitsvorfällen die Einschätzung in den Risikoanalysen zum Schadensausmaß und zur Eintrittswahrscheinlichkeit evaluiert. Bei Bedarf wird das Sicherheitsniveau den aktualisierten Risikoanalysen angepasst. Durch eine abgestimmte, schnelle und wirksame Reaktion auf Sicherheitsvorfälle werden Schäden für die Informationen der Landesverwaltung und Datenschutzverletzungen abgewehrt.

1.3 Nicht Gegenstand dieser Informationssicherheitsrichtlinie sind der Umgang mit Notfällen *, die statistische Erhebung von Sicherheitsvorfällen sowie Regelungen zur technischen Sensorik und Protokollierung. Ebenso wird nicht die betriebliche Bewältigung von Sicherheitsvorfällen in den etablierten Prozessen zum System-, Gebäude- und Personalmanagement der Behörden sowie in den Betriebsprozessen der IT-Dienstleister (z.B. im Incidentmanagement gemäß ITIL) geregelt.

1.4 Unberührt von dieser Informationssicherheitsrichtlinie bleiben die Pflichten aus der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27.04.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. EU Nr. L 119 S. 1, Nr. L 314 S. 72) sowie sonstige Melde- und Berichtspflichten bei außerordentlichen Vorkommnissen.

1.5 Die ISRL-ISi-Vorfälle gilt im gesamten Geltungsbereich der Leitlinie für die Gewährleistung der Informationssicherheit ( ISLL) (Nummern 1.1 bis 1.3 des Bezugserlasses zu a).

2. Begriffsbestimmungen

2.1 Ein Sicherheitsvorfall ist ein anhand eines Katalogs bewertetes Ereignis i. S. der Informationssicherheit, das eine Einschränkung oder den Verlust der Vertraulichkeit, Verfügbarkeit oder Integrität von Informationen nach sich zieht, nach sich gezogen hat oder nach sich gezogen haben könnte. Das öffentliche Bekanntwerden einer abstrakten Bedrohung, wie z.B. die Veröffentlichung einer Sicherheitslücke, ist hingegen noch kein Sicherheitsvorfall.

2.2 Ein schwerwiegender Sicherheitsvorfall hat domänenübergreifende oder sonstige erhebliche Auswirkungen. Bei domänenübergreifenden Auswirkungen ist eine Ressource beeinträchtigt, die von mehreren Sicherheitsdomänen genutzt wird oder deren vergleichbare Nutzung zu Schäden in anderen Sicherheitsdomänen führen könnte. Erheblich sind Auswirkungen bei domänenspezifischen Sicherheitsvorfällen beispielsweise, wenn das Schadensausmaß hoch ist, die Wahrscheinlichkeit eines erneuten Sicherheitsvorfalles ähnlicher Ausprägung in der Landesverwaltung nicht ausgeschlossen werden kann oder die konkrete Vorgehensweise der Verursacherin oder des Verursachers darauf schließen lässt, dass Schadensereignisse in der Landesverwaltung gezielt vorbereitet werden.

3. Sicherheitsanforderungen für den Umgang mit Sicherheitsvorfällen

3.1 Aufgaben

3.1.1 Die Behördenleitung ist für den Umgang mit Sicherheitsvorfällen im Rahmen ihrer Zuständigkeit verantwortlich. Dies gilt insbesondere für Behörden in der Rolle als Eigentümer von Services und Fachverfahren.

3.1.2 Die Behördenleitung sorgt dafür, dass eine innerbehördliche Stelle mit der Entgegennahme von Meldungen, mit der fortlaufenden Dokumentation und mit der anforderungsgerechten Auswertung betraut wird. Diese Meldestelle wird allen Beschäftigten bekannt gegeben.

3.1.3 Soweit eine andere öffentliche oder nichtöffentliche Stelle mit der Bearbeitung von Sicherheitsvorfällen oder von einzelnen Arbeitsschritten dazu (z.B. als Meldestelle gemäß Nummer 3.1.2 oder als Kontaktstelle gemäß Nummer 4.1.1) beauftragt werden soll, wird der Auftragnehmer vom Auftraggeber auf die Einhaltung der Sicherheitsanforderungen verpflichtet. Es wird vereinbart, in welchem Umfang und in welchen Zeitintervallen der Auftragnehmer über die gemeldeten Sicherheitsvorfälle berichtet, und unter welchen Bedingungen er dem Auftraggeber Zugriffsberechtigungen auf die Verlaufsdokumentation erteilt. Die Beauftragungen werden dokumentiert.

3.1.4 Die oder der Informationssicherheitsbeauftragte der Sicherheitsdomäne überwacht die Einhaltung der Arbeitsschritte zur Bewältigung von Sicherheitsvorfällen sowie zur Vermeidung künftiger Sicherheitsvorfälle.

3.2 Meldung