Für einen individuellen Ausdruck passen Sie bitte die Einstellungen in der Druckvorschau Ihres Browsers an. Regelwerk, Anlagentechnik , Information/Kommunikation

Gem. RdErl. d. MI, d. StK u. d. übr. Min. v. 23.10.2013
- CIO-02850/0110-0006 -

Bezug: Gem. RdErl. . v. 9.11.2016 (Nds. MBl. S. 1193) - VORIS 20500 ¹⁷

1. Gegenstand und Geltungsbereich ¹⁷

Diese Informationssicherheitsrichtlinie über die Nutzung des zentralen Internetzugangs und von Web-Angeboten (ISRLWeb-Nutzung) regelt auf Grundlage der Leitlinie zur Gewährleistung der Informationssicherheit ( ISLL) - Bezugserlass - in Form von Mindestanforderungen die Grundsätze zur Nutzung des zentralen Internetzugangs des Landes und von Web-Angeboten.

Diese Informationssicherheitsrichtlinie gilt im gesamten Geltungsbereich der Leitlinie für die Gewährleistung der Informationssicherheit (Nummer 1.1 bis 1.3 des Bezugserlasses).

2. Begriffsbestimmungen

Im Sinne dieser Informationssicherheitsrichtlinie

2.1 ermöglichen "Web-Angebote" den Anwenderinnen und Anwendern die Informationsbeschaffung und die Tätigung von Online-Transaktionen über die weltweit bereitgestellten Web-Seiten im Internet und über die Web-Seiten der niedersächsischen Landesverwaltung und anderer deutscher Verwaltungen;

2.2 ist eine "vertrauenswürdige" Web-Seite eine Datenquelle, bei der keine tatsächlichen Anhaltspunkte vorliegen, die der Vertrauenswürdigkeit entgegenstehen. Anhaltspunkte, die einer Vertrauenswürdigkeit entgegenstehen, können sich z.B. aus dem Namen, der Adresse, dem Kontext, in dem die Web-Seite genannt oder verlinkt ist, den erwarteten Inhalten, den erwarteten Verantwortlichkeiten, dem Herkunftsland oder der top-Level-Domäne (z.B. ".to", ".ru") des Web-Angebots ergeben;

2.3 ist ein "vertrauenswürdiges" Server-Zertifikat die Bestätigung einer Zertifizierungsstelle, bei der keine tatsächlichen Anhaltspunkte vorliegen, die der Vertrauenswürdigkeit entgegenstehen. Anhaltspunkte, die einer Vertrauenswürdigkeit entgegenstehen, können sich z.B. aus der Ungültigkeit des Zertifikats oder aus einer inhaltlichen Abweichung zwischen der Web-Adresse und dem Zertifikat ergeben;

2.4 ist das "Landesnetz" das Weitverkehrsnetzwerk, das sich ausschließlich in der Funktionsherrschaft des Landes Niedersachsen befindet.

3. Organisatorische und technische Maßnahmen der Behördenleitung

Die Behördenleitung ist im Rahmen ihrer Zuständigkeit für die Gewährleistung der Informationssicherheit verantwortlich. Zur Umsetzung dieser Informationssicherheitsrichtlinie sind durch die Behördenleitung die notwendigen organisatorischen und technischen Maßnahmen zu veranlassen. Die Sicherheitsanforderungen können auch dadurch erfüllt werden, dass die Behördenleitung einen Dritten (z.B. IT-Dienstleister, Landesbetrieb) mit der Umsetzung von Maßnahmen beauftragt. Entsprechende Vereinbarungen oder Verträge mit dem Dritten sind aktenkundig zu machen.

Soweit sichergestellt ist, dass die durch diese Informationssicherheitsrichtlinie festgelegten Mindestanforderungen vollständig umgesetzt werden, ist die weitere Ausgestaltung der Maßnahmen in Art und Umfang freigestellt.

4. Umsetzung

4.1 Die Umsetzung der Sicherheitsanforderungen (Nummer 6) soll vorrangig durch technische Maßnahmen erfolgen, die durch organisatorische Maßnahmen ergänzt werden.

4.2 Bei der Gestaltung organisatorischer Maßnahmen, insbesondere bei der Erstellung von Dienstanweisungen, ist zu beachten, dass diese auch für Anwenderinnen und Anwender ohne vertiefte IT-Kenntnisse verständlich und tatsächlich umsetzbar sind.

4.3 Die spezifischen Sicherheitsmaßnahmen der einzelnen Sicherheitsdomänen müssen in einem angemessenen Verhältnis zur praktischen Handhabbarkeit durch die Anwenderinnen und Anwender stehen.

4.4 Die Verantwortungsbereiche der einzelnen Anwenderinnen und Anwender sind eindeutig vom Verantwortungsbereich der Systemadministration abzugrenzen.

4.5 Zur organisatorischen Umsetzung der Sicherheitsanforderungen (Nummer 6) wird der Erlass einer Dienstanweisung nach dem in der Anlage dargestellten Muster (Musterdienstanweisung) vorgeschlagen. Dieser Umsetzungsvorschlag beschränkt sich auf Sicherheitsanforderungen, die sich unmittelbar an die Anwenderinnen und Anwender richten. Es sind ggf. ergänzende oder zusätzliche Maßnahmen zu ergreifen, die die Umsetzung dieser Informationssicherheitsrichtlinie durch die Behördenleitung und die innerbehördlich zuständige Stelle sicherstellen.

5. Innerbehördliche Zuständigkeit und Organisation

Die Behördenleitung legt die innerbehördlichen Zuständigkeiten (zuständigen Stellen) und ggf. die erforderlichen Prozesse für die Umsetzung der technischen und organisatorischen Maßnahmen aufgrund dieser Informationssicherheitsrichtlinie in eigener Zuständigkeit fest.

6. Sicherheitsanforderungen

6.1 Grundsatz der Nutzung des zentralen Internetzugangs des Landes

6.1.1 Grundsätzlich ist für die Nutzung des Internets der zentrale Internetzugang des Landes zu nutzen. Über Ausnahmen bei Endgeräten, die nicht mit dem Landesnetz gekoppelt sind, entscheidet die Behördenleitung anhand einer Risikoanalyse. Diese Entscheidung ist aktenkundig zu machen.

6.1.2