Archiv: ²⁰¹³

Gem. RdErl. d. MI, d. StK u. d. übr. Min. v. 5.5.2021
- CIO-02850/0110-0016 -

Bezug:

1. Gem. RdErl. v. 9.11.2016 (Nds. MBl. S. 1193) - VORIS 20500 -
2. Gem. RdErl. v. 11.6.2013 (Nds. MBl. S. 480), zuletzt geändert durch Gem. RdErl. v. 25.11.2020 (Nds. MBl. S. 1491)
3. Gem. RdErl. v. 11.6.2013 (Nds. MBl. S. 482), zuletzt geändert durch Gem. RdErl. v. 25.11.2020 (Nds. MBl. S. 1492)
4. Gem. RdErl. v. 23.10.2013 (Nds. MBl. S. 868), zuletzt geändert durch Gem. RdErl. v. 25.11.2020 (Nds. MBl. S. 1492)
5. Gem. RdErl. v. 30.7.2014 (Nds. MBl. S. 592), zuletzt geändert durch Gem. RdErl. v. 3.5.2017 (Nds. MBl. S. 567)
6. Gem. RdErl. v. 5.5.2021 (Nds. MBl. S. 1075)

1. Geltungsbereich

1.1 Diese Informationssicherheitsrichtlinie regelt auf Grundlage der Leitlinie zur Gewährleistung der Informationssicherheit ( ISLL), dem Bezugserlass zu a, den Einsatz und die Nutzung von Informationstechnik. Begriffsbestimmungen richten sich nach § 1 NDIG und dem Bezugserlass zu f.

2. Umgang mit Risiken und Gewährleistung der Schutzziele

2.1 Ein dienstliches IT-System ist eine Ressource und immer Teil eines Services oder eines Fachverfahrens.

2.2 Regelungen zur Risikobehandlung von Services und Fachverfahren sind auf der Grundlage der ausgewiesenen Schutzbedarfseignung und/oder des Schutzbedarfs der verarbeiteten Daten, Produkteigenschaften sowie den in der Risikobeschreibung dargestellten Risiken und vorgeschlagenen Maßnahmen festzulegen. Wird ein dienstliches IT-System außerhalb der Infrastruktur der Landesverwaltung eingesetzt, so sind die besonderen Risiken und Anforderungen an die Schutzbedarfseignung zu berücksichtigen.

2.3 Diese Richtlinie bestimmt Mindestanforderungen für Maßnahmen zur Gewährleistung der Informationssicherheit bei der Nutzung von IT-Systemen. Weitere Sicherheitsmaßnahmen ergeben sich aus den durchzuführenden Risikoanalysen und müssen dem Schutzbedarf angemessen sein. Bei gleicher Eignung sind technische Maßnahmen gegenüber organisatorischen Maßnahmen zu bevorzugen.

3. Grundsätze der Nutzung von IT-Systemen

3.1 Die Beschäftigten sind für die sichere Nutzung von dienstlichen IT-Systemen zu schulen. Sie sind für Gefahren für die Informationssicherheit der von ihnen verarbeiteten Informationen sowie für die Schutzbedarfseignung der Verarbeitungsweise zu sensibilisieren. Schulungen und Sensibilisierungen sind zielgruppengerecht zu gestalten und regelmäßig sowie anlassbezogen durchzuführen.

3.2 Die Behördenleitung kann den Beschäftigten im angemessenen Rahmen die Verantwortung für die Umsetzung von organisatorischen Sicherheitsmaßnahmen übertragen. Bei der Gestaltung von Sicherheitsmaßnahmen, insbesondere bei der Erstellung von Dienstanweisungen, ist zu beachten, dass diese auch für Beschäftigte ohne vertiefte IT-Kenntnisse verständlich und tatsächlich umsetzbar sind.

3.3 Die Verantwortungsbereiche der Anwenderinnen und Anwender sind eindeutig vom Verantwortungsbereich der Systemadministration abzugrenzen.

3.4 Ein sonstiges IT-System darf nicht mit dem Landesdatennetz verbunden werden ( § 1 Abs. 2 NDIG). Sonstige IT-Systeme dürfen nur an dienstliche IT-Systeme angeschlossen werden, wenn dies in der Servicerisikobeschreibung durch den Serviceeigentümer gestattet wird. Der Anschluss muss durch die Behördenleitung angeordnet und verantwortet werden, nachdem die dabei entstehenden Risiken behandelt wurden.

3.5 Auf einem sonstigen IT-System dürfen keine dienstlichen Informationen gespeichert werden. Dies gilt insbesondere für Speicherangebote im Internet. Die Speicherung ist nur zulässig, wenn sie notwendig und erforderlich ist, durch die Behördenleitung angeordnet, auf das erforderliche Anwendungsszenario begrenzt und verantwortet wird, nachdem die dabei entstehenden Risiken behandelt wurden.

3.6 Es sind Regelungen zu treffen, ob und in welchem Umfang dienstliche IT-Systeme zu privaten Zwecken genutzt werden dürfen. Wird die private Nutzung gestattet, sind basierend auf einer Risikoanalyse Sicherheitsmaßnahmen umzusetzen, die das bestehende Sicherheitsniveau erhalten. Eine private Nutzung ist durch eine Vereinbarung mit den Beschäftigten zu regeln.

4. Nutzung von dienstlichen IT-Systemen

4.1 Umgang mit dienstlichen IT-Systemen

4.1.1 Der physische Zutritt zu dienstlichen IT-Systemen ist zu regeln.

4.1.2 Die vorübergehende Weitergabe von dienstlichen IT-Systemen an Nichtberechtigte ist zu untersagen oder so zu regeln, dass sie während der Benutzung durch Nichtberechtigte von den Verantwortlichen ständig überwacht oder vor der Weitergabe ausgeschaltet werden.

4.1.3 Für dienstliche IT-Systeme, die sich außerhalb einer Landesliegenschaft befinden, sind Sicherheitsmaßnahmen basierend auf einer Risikoanalyse umzusetzen, die den besonderen Risiken für die Informationssicherheit begegnen; insbesondere dem erhöhten Diebstahl-, Verlust-, Angriffs- und Vertraulichkeitsrisiko.

4.1.4 Basierend auf einer Risikoanalyse sind Sicherheitsmaßnahmen umzusetzen, die den besonderen Risiken bei der Verwendung dienstlicher Wechseldatenträger begegnen; insbesondere einem erhöhten Verlust- und Vertraulichkeitsrisiko.

4.2 Authentifizierung

4.2.1 Der Zugang zu dienstlichen IT-Systemen muss durch eine Authentifizierung abgesichert erfolgen. Anzahl und Stärke der Authentisierungsfaktoren sind insbesondere abhängig von der Schutzkategorie der Informationen, dem Standort sowie den Zugriffsrechten festzulegen.

4.2.2 Sofern sichergestellt ist, dass die Schutzziele der verarbeiteten Informationen durch eine Benutzerinteraktion nicht verletzt werden können, zum Beispiel bei einem Web-Auftritt oder einem Kiosk-System, kann von einer Authentifizierung abgesehen werden.

4.2.3 Es ist zu regeln, dass authentifizierte Nutzende dienstliche IT-Systeme manuell sperren, sofern sie diese nicht ständig überwachen. Nach Ablauf einer zu bestimmenden Zeit der Inaktivität ist eine geeignete Neuauthentifizierung zu erzwingen.

4.2.4 Es sind Regelungen über die Handhabung und sichere Ausgestaltung von Authentisierungsmitteln und deren Authentisierungsfaktoren (z.B. Passwörter oder Schlüsseldateien) zu treffen. Hierbei ist insbesondere die Wahrung der Vertraulichkeit und der Umgang mit den Authentisierungsmitteln durch die Beschäftigten zu regeln.

4.2.5 Informationen und die für ihre Entschlüsselung benötigten Authentisierungsmittel und Authentisierungsfaktoren (z.B. Passwörter oder Schlüsseldateien) müssen mit unterschiedlichen Verfahrensweisen übermittelt werden.

4.3 Die dienstlich zu nutzenden Computerprogramme sind festzulegen und die Beschäftigten über den zulässigen Umfang der Nutzung zu informieren. Eine Ausführung anderer Computerprogramme ist durch Sicherheitsmaßnahmen zu verhindern.

4.4 Basierend auf einer Risikoanalyse können für nicht personalisierte, dienstliche IT-Systeme ohne Verbindung mit dem Landesdatennetz abweichende Regelungen zu den Anforderungen der Nummern 4.1 bis 4.3 getroffen werden.

5. Informationsübermittlung

5.1 Es ist sicherzustellen, dass die Beschäftigten Verfahren zur Informationsübermittlung nutzen, die der Schutzkategorie der zu übermittelnden Information angemessen sind. Für jedes Verfahren zur Informationsübermittlung zwischen IT-Systemen sind Sicherheitsmaßnahmen basierend auf einer Risikoanalyse umzusetzen.

5.2 Informationsübermittlung zwischen dienstlichen und sonstigen IT-Systemen

5.2.1 Eine Übermittlung von Informationen zwischen dienstlichen IT-Systemen und sonstigen IT-Systemen darf ausschließlich über einen zentralen und gesicherten Übergang erfolgen, der von der das Landesdatennetz betreibenden Behörde bereitgestellt und verantwortet wird. Ausnahmen von Satz 1 können für den Netzabschnitt des Geschäftsbereichs des MJ gemäß § 15 Abs. 1 NDIG vom MJ bei der oder dem IT-Bevollmächtigten der Landesregierung (CIO) beantragt werden. Das MJ legt hierzu auf Basis einer Risikoanalyse die erforderlichen Sicherheitsmaßnahmen vor und verantwortet im Fall der Zustimmung die Maßnahmen im Hinblick auf die Sicherheit des Landesdatennetzes.

5.2.2 Bei dienstlichen IT-Systemen, die zu keiner Zeit mit dem Landesdatennetz verbunden werden, kann von Nummer 5.2.1 abgewichen werden, wenn hierfür Sicherheitsmaßnahmen basierend auf einer Risikoanalyse umgesetzt wurden.

5.2.3 Basierend auf einer Risikoanalyse sind Sicherheitsmaßnahmen für den Datenaustausch zwischen sonstigen Wechseldatenträgern und dienstlichen IT-Systemen umzusetzen. Insbesondere ist zu regeln, durch wen, an welchen Übergabepunkten und wie ein Datenaustausch erfolgen darf.

5.3 Es ist durch Sicherheitsmaßnahmen basierend auf einer Risikoanalyse sicherzustellen, dass Schnittstellen dienstlicher IT-Systeme nur im erforderlichen Umfang genutzt werden. Schnittstellen, die deaktiviert sein sollen, sind nur während des konkreten Bedarfs zu aktivieren.

5.4 Soweit eine Möglichkeit zur automatisierten Informationsübermittlung auf dienstlichen IT-Systemen bereitgestellt wird, dürfen diese durch Anwenderinnen und Anwender nur eingerichtet und genutzt werden, wenn Sicherheitsmaßnahmen basierend auf einer Risikoanalyse umgesetzt wurden.

6. Schlussbestimmungen

Dieser Gem. RdErl. tritt am 1.7.2021 in Kraft und mit Ablauf des 31.12.2026 außer Kraft. Die Bezugserlasse zu b, c, d und e treten mit Ablauf des 30.6.2021 außer Kraft.

ENDE