Für einen individuellen Ausdruck passen Sie bitte die Einstellungen in der Druckvorschau Ihres Browsers an. Regelwerk

1 Einleitung

Informationen sind ein wesentlicher Wert für Unternehmen und müssen daher angemessen geschützt werden. Die meisten Informationen werden heutzutage mit Informationstechnik (IT) erstellt, gespeichert, transportiert oder weiterverarbeitet. Unzureichend geschützte Informationen stellen einen häufig unterschätzten Risikofaktor dar. [ 1]

Die Richtlinie für den Schutz gegen Störmaßnahmen oder sonstige Einwirkungen Dritter beim Umgang mit und bei der Beförderung von sonstigen radioaktiven Stoffen (SEWD-Richtlinie sonstige radioaktive Stoffe) [ 2] stellt unter anderem Anforderungen an den Einsatz von Informationstechnik, die Bestandteil von Sicherungsmaßnahmen ist oder anderweitig zu einer Schutzzielverletzung beitragen kann. Diese Anforderungen gelten für den Umgang mit und für die Beförderung von sonstigen radioaktiven Stoffen aller Sicherungsstufen. Zudem fordert auch die DIN 25422 (05-2021 - Norm zum Strahlen-, Brand- und Diebstahlschutz) [ 3] die Umsetzung der Standard-Sicherungsmaßnahmen des IT-Grundschutzes, weshalb dieser IT-Leitfaden auch unterstützend für die Umsetzung der DIN-Norm herangezogen werden kann.

Der vorliegende Leitfaden enthält Anforderungen an den Einsatz von Informationstechnik, um ein Sicherungsniveau zu gewährleisten, das den Basis- und Standard-Anforderungen des IT-Grundschutz-Kompendiums [ 4] des Bundesamtes für Sicherheit in der Informationstechnik (BSI) entspricht. Der vor 25 Jahren eingeführte IT-Grundschutz des BSI bildet die konzeptionelle Grundlage zur systematischen Erstellung eines Informationssicherheits-Managementsystems (ISMS) und von IT-Sicherheitskonzepten. In diesem Sinne entwickelte das BSI das IT-Grundschutz-Kompendium sowie die BSI-Standards 200-1 bis 200-3. Darin wird erläutert, wie ein ISMS aufgebaut werden kann und welche Geschäftsprozesse bzw. Fachaufgaben wie abgesichert werden können. In diversen IT-Grundschutz-Bausteinen legt das IT-Grundschutz-Kompendium dar, welche Anforderungen bei den unterschiedlichen Themen der Informationssicherheit zu beachten sind. In rund 100 dieser IT-Grundschutz-Bausteine sind neben technischen auch infrastrukturelle, organisatorische und personelle Aspekte beschrieben.

Dieser Leitfaden dient als Hilfestellung zur Umsetzung der SEWD-Richtlinie sonstige radioaktive Stoffe. Er richtet sich an die für den Strahlenschutz zuständigen Genehmigungs- und Aufsichtsbehörden, die durch die Anwendung des Leitfadens die Umsetzung des IT-Grundschutzes zielgerichteter und daher schneller prüfen können. Mittelbar unterstützt er auch Genehmigungsinhaber und Antragsteller, die mit sonstigen radioaktiven Stoffen umgehen oder diese befördern, z.B. Strahlentherapieeinrichtungen, Großbestrahlungsanlagen, Betriebe der zerstörungsfreien Werkstoffprüfung oder Transportunternehmen.

Unternehmen mit großen Informationsverbünden werden i. d. R. eigene Organisationseinheiten vorhalten, die die IT-Sicherheitsanforderungen unter Anwendung des IT-Grundschutz-Kompendiums des BSI kompetent umsetzen können. Daher dient der Leitfaden insbesondere als Umsetzungshilfe für kleine Unternehmen mit kleinsten Informationsverbünden (IT-Anforderungen an kleinste Informationsverbünde) und für Unternehmen, die sonstige radioaktive Stoffe befördern (Anforderungskatalog zum Nachweis der IT-Sicherheit bei der Beförderung von sonstigen radioaktiven Stoffen).

Zu beachten ist, dass dieser Leitfaden lediglich solche Anforderungen an die Informationssicherheit behandelt, die aus dem Umgang mit oder der Beförderung von sonstigen radioaktiven Stoffen resultieren. Je nach Anwendungsfall können weitere rechtliche, externe oder interne Anforderungen bestehen, die zusätzliche oder höherwertigere Maßnahmen der Informationssicherheit notwendig machen.

Als Orientierungshilfe, welches Dokument zur Prüfung und Umsetzung des IT-Grundschutzes im Einzelfall geeignet ist, soll dieses Schaubild dienen:

2 IT-Sicherheitsanforderungen an kleinste Informationsverbünde

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat im Auftrag des BMU "ITSicherheitsanforderungen an kleinste Informationsverbünde zur Sicherung sonstiger radioaktiver Stoffe" erstellt. Das Dokument erläutert die Anforderungen des IT-Grundschutz-Kompendiums des BSI in einer für kleinste Informationsverbünde angepassten Form und erleichtert einerseits Genehmigungsinhabern und Antragstellern die Umsetzung des IT-Grundschutzes und unterstützt andererseits die Genehmigungs- und Aufsichtsbehörden bei der Prüfung.

Auch in großen Unternehmensstrukturen können die IT-Sicherheitsanforderungen für kleinste Informationsverbünde Anwendung finden. Hierzu enthält das Dokument entsprechende Vorgaben, unter welchen Voraussetzungen es anwendbar ist und wann stattdessen die reguläre IT-Grundschutz-Methodik anzuwenden ist.

Die IT-Sicherheitsanforderungen an kleinste Informationsverbünde sind als Anhang A dieses Rahmendokumentes beigefügt und wird in regelmäßigen Abständen an den Stand der Technik angepasst.

3 Anforderungskatalog zum Nachweis der IT-Sicherheit bei der Beförderung von sonstigen radioaktiven Stoffen