umwelt-online Suchausgabe: Umwelt

Änderungstext

ISRL-Konzeption
Informationssicherheitsrichtlinie über die risikobasierte Konzeption der Informationssicherheit von Services, Fachverfahren und Sicherheitsdomänen
- Niedersachsen -

Vom 02. November 2022
(Nds. MBl. Nr. 47 vom 23.11.2022 S. 1529)

Gem. RdErl. d. MI, d. StK u. d. übr. Min. v. 2.11.2022
- CIO-02850/0110-0009 -

Bezug: Gem. RdErl. v. 9.11.2016 (Nds. MBl. S. 1196)

Der Bezugserlass wird mit Wirkung vom 19.12.2022 wie folgt geändert:

1. Der Bezug erhält folgende Fassung:

alt

neu

Bezug: Gem. RdErl. v. 9.11.2016 (Nds. MBl. S. 1193) - VORIS 20500 -

"Bezug:

a) Gem. RdErl. v. 9.11.2016 (Nds. MBl. S. 1193) - VORIS 20500 -

b) Gem. RdErl. v. 5.5.2021 (Nds. MBl. S. 1075), zuletzt geändert durch Gem. RdErl. v. 2.11.2022 (Nds. MBl. S. 1530)."

2. Nummer 1 wird wie folgt geändert:

a) Es wird die folgende neue Nummer 1.4 eingefügt:

"1.4 Die ISRL beschreibt in Nummer 5.3 mit dem risikoorientierten Vorgehensmodell die methodische Vorgehensweise bei der Erstellung von Sicherheitskonzepten. Neben diesem risikoorientierten Vorgehensmodell ist die Erstellung von Sicherheitskonzepten nach den Vorgaben des BSI-Standards 200-2 in der jeweils geltenden Fassung ebenso zulässig."

b) Die bisherige Nummer 1.4 wird Nummer 1.5 und darin erhält Satz 1 folgende Fassung:

alt	neu
Die ISRL-Konzeption findet keine Anwendung, soweit für einzelne Betrachtungsgegenstände oder Organisationen aufgrund anderer Bestimmungen die Pflicht besteht, eine von dieser risikobasierten Konzeption abweichende Vorgehensweise einzusetzen.	"Die ISRL-Konzeption findet keine Anwendung, soweit für einzelne Betrachtungsgegenstände oder Organisationen die Pflicht besteht, eine von Nummer 1.4 abweichende Vorgehensweise einzusetzen."

c) Es wird die folgende Nummer 1.6 angefügt:

"1.6 Ist bei der Erstellung eines Sicherheitskonzepts nach Nummer 1.4 oder 1.5 eine Risikoanalyse erforderlich, sind die Anforderungen der Nummer 5.4 entsprechend anzuwenden. Zudem findet Nummer 5.5 stets Anwendung."

3. Nummer 2 erhält folgende Fassung:

alt

neu

2. Begriffsbestimmungen

2.1 Ein "Leistungsempfänger" ist die Behörde, die einen Service eines Serviceeigentümers nutzt oder die ein Fachverfahren eines Fachverfahrenseigentümers einsetzt.

2.2 Ein "Sicherheitskonzept" ist das Dokument, in dem die Ergebnisse der risikoorientierten Vorgehensweise für die Behördenleitung zur Entscheidung dargestellt werden. Dazu werden den Risiken des Betrachtungsgegenstandes angemessene Sicherheitsmaßnahmen zugeordnet, die daraus abgeleitete Handlungsstrategie für die Maßnahmenumsetzung aufgezeigt und die Risiken nach der Maßnahmenumsetzung dargestellt.

2.3 Eine "Risikobeschreibung" ist das Dokument, das die Leistungsempfänger über die Ergebnisse der risikoorientierten Vorgehensweise für Services und Fachverfahren informiert. Dazu werden die Risiken eines Services oder eines Fachverfahrens, die hierzu umgesetzten Sicherheitsmaßnahmen und die Risiken nach der Maßnahmenumsetzung transparent gemacht.

2.4 Ein "Risiko" ist das Ergebnis einer systematischen Einschätzung möglicher Schäden für Informationen zu der von einer Ressource ausgehenden Gefahr. Das Risiko definiert sich aus der Wahrscheinlichkeit, mit der ein Schaden eintritt, und dem Ausmaß des potenziellen Schadens.

2.5 Ein "Servicerisiko" ist das Ergebnis einer systematischen Einschätzung möglicher Schäden für die unter Nutzung des Services verarbeiteten Informationen, nachdem der Serviceeigentümer angemessene Sicherheitsmaßnahmen für seine Ressourcen umgesetzt hat.

2.6 Ein "Fachverfahrensrisiko" ist das Ergebnis einer systematischen Einschätzung möglicher Schäden für die unter Einsatz des Fachverfahrens verarbeiteten Informationen, nachdem der Fachverfahrenseigentümer angemessene Sicherheitsmaßnahmen für seine Ressourcen umgesetzt hat.

2.7 Ein "Domänenrisiko" ist das Ergebnis einer systematischen Einschätzung möglicher Schäden für die in den Behörden verarbeiteten Informationen, nachdem jede Behörde einer Sicherheitsdomäne angemessene Sicherheitsmaßnahmen für ihre jeweils eingesetzten Ressourcen umgesetzt hat.

Diese Begriffsbestimmungen werden um die Definitionen der Anlage ergänzt.

"2. Begriffsbestimmungen

Für Begriffsbestimmungen zur einheitlichen Begriffsdefinition im Informationsmanagement des Landes Niedersachsen wird auf den Bezugserlass zu b verwiesen."

4. Der Nummer 3 Abs. 1 wird der folgende Satz 3 angefügt:

"Insbesondere entscheidet sie über die nach Nummer 1.4 oder 1.5 anzuwendende Vorgehensweise bei der Erstellung des Sicherheitskonzepts, sofern keine einheitliche Vorgehensweise für die Sicherheitsdomäne festgelegt wurde."

5. In Nummer 7 wird das Datum "31.12.2022" durch das Datum "31.12.2024" ersetzt.

6. Die Anlage wird

Glossar für die risikobasierte Konzeption der Informationssicherheit von Services, Fachverfahren und Sicherheitsdomänen

Anlage

"Bedrohung" ist ein Ereignis, wie beispielsweise höhere Gewalt, menschliche Fehlhandlung, technisches Versagen, Organisationsmangel oder vorsätzlicher Angriff, durch das ein Schaden entstehen kann. Eine Bedrohung wird durch eine ausnutzbare Schwachstelle zur Gefahr.
"Betrachtungsgegenstand" ist der abgegrenzte Teil aller Verwaltungsaufgaben, für den die jeweilige risikobasierte Konzeption durchgeführt werden soll. Er definiert sich durch die verarbeiteten Informationen und die eingesetzten Ressourcen.
"Domänenrisiko" ist das Ergebnis einer systematischen Einschätzung möglicher Schäden für die in den Behörden verarbeiteten Informationen, nachdem jede Behörde einer Sicherheitsdomäne angemessene Sicherheitsmaßnahmen für ihre jeweils eingesetzten Ressourcen umgesetzt hat.
"Domänenspezifisches Sicherheitskonzept" ist das Dokument, in dem die Ergebnisse der risikoorientierten Vorgehensweise für die Behördenleitung zur Entscheidung dargestellt werden. Dazu werden den Risiken der Sicherheitsdomäne angemessene Sicherheitsmaßnahmen zugeordnet, die daraus abgeleitete Handlungsstrategie für die Maßnahmenumsetzung aufgezeigt und die Domänenrisiken nach der Maßnahmenumsetzung dargestellt.
"Domänenübergreifendes Fachverfahren" ist ein Fachverfahren, das von mehreren Sicherheitsdomänen der niedersächsischen Landesverwaltung genutzt wird und von einer niedersächsischen Landesbehörde verantwortlich als Fachverfahrenseigentümer gepflegt wird.
"Ebenenübergreifendes Fachverfahren" ist ein Fachverfahren, das über Verwaltungsgrenzen hinweg genutzt wird (z.B. von mehreren Bundesländern, von der Landes- und Bundesverwaltung, von der Landes- und Kommunalverwaltung) und von einer Behörde der niedersächsischen Landesverwaltung verantwortlich als Fachverfahrenseigentümer gepflegt wird.
"Einsatzszenario" ist die detaillierte Beschreibung der Zweckbestimmungen, für die ein Service nach Einschätzung des Serviceeigentümers oder ein Fachverfahren nach Einschätzung des Fachverfahrenseigentümers konzipiert worden ist. Ein Einsatzszenario hat immer einen Bezug zu den Verwaltungsaufgaben, bei deren Erfüllung die Services und Fachverfahren Unterstützung bieten sollen.
"Eintrittswahrscheinlichkeit" ist die Einschätzung, mit welcher Wahrscheinlichkeit ein Gefahrenszenario eintreten wird. Die Eintrittswahrscheinlichkeit stellt ein Risikomerkmal im Rahmen der Risikoeinschätzung dar. Sie wird in Stufen (z.B."unwahrscheinlich", "möglich", "wahrscheinlich", "sehr wahrscheinlich") klassifiziert.
"Fachverfahren" ist die Leistung, die eine Fachverwaltung zur Unterstützung von Verwaltungsaufgaben, die in strukturierten Abläufen abgearbeitet werden, bereitstellt; es setzt sich in der Regel aus den Funktionen, Datenbeständen, IT-Systemen, Computerprogrammen, Dokumentationen und der Beratung zusammen.
"Fachverfahrenseigentümer" ist die Behörde, bei der die Konzeption, Erstellung, Inbetriebnahme, Pflege und Außerbetriebnahme eines Fachverfahrens sowie die Schutzbedarfseignung für das Fachverfahren und das Fachverfahrensrisiko verantwortet werden.
"Fachverfahrensrisiko" ist das Ergebnis einer systematischen Einschätzung möglicher Schäden für die unter Einsatz des Fachverfahrens verarbeiteten Informationen, nachdem der Fachverfahrenseigentümer angemessene Sicherheitsmaßnahmen für seine Ressourcen umgesetzt hat.
"Fachverfahrensrisikobeschreibung" ist das Dokument, das die Leistungsempfänger über die Ergebnisse der risikoorientierten Vorgehensweise informiert. Dazu werden die Risiken für ein Fachverfahren, die umgesetzten Sicherheitsmaßnahmen und die Fachverfahrensrisiken nach der Maßnahmenumsetzung transparent macht.
"Fachverfahrensspezifisches Sicherheitskonzept" ist das Dokument, in dem die Ergebnisse der risikoorientierten Vorgehensweise für die Behördenleitung zur Entscheidung dargestellt werden. Dazu werden den Risiken eines Fachverfahrens angemessene Sicherheitsmaßnahmen zugeordnet, die daraus abgeleitete Handlungsstrategie für die Maßnahmenumsetzung aufgezeigt und die Fachverfahrensrisiken nach der Maßnahmenumsetzung dargestellt.
"Gefahr" ist die Möglichkeit, dass eine Bedrohung die Schwachstelle einer Ressource ausnutzen und dadurch den Informationen Schaden zufügen könnte.
"Gefahrenanalyse" ist die Identifizierung von Gefahrenszenarien für jede Ressource, mit der die Informationen eines Betrachtungsgegenstandes verarbeitet werden.
"Gefahrenszenario" ist die präzise und verständliche Beschreibung darüber, wie eine Schwachstelle durch eine Bedrohung ausgenutzt werden kann. Ein Gefahrenszenario hat immer einen Bezug zu einem der drei Sicherheitsziele (Integrität, Vertraulichkeit, Verfügbarkeit). Ein Gefahrenszenario ist unmittelbar an eine Ressource geknüpft.
"Geschäftsprozess" ist eine Folge von Einzeltätigkeiten, die schrittweise ausgeführt werden und die Verwaltungsaufgaben abbilden. Anhand dieser werden die Betrachtungsgegenstände der risikobasierten Konzeptionen bestimmt. Für die servicespezifischen Sicherheitskonzepte ergeben sich die Geschäftsprozesse aus den Serviceverzeichnissen. Für die fachverfahrensspezifischen Sicherheitskonzepte ergeben sich die Geschäftsprozesse aus den Fachverfahrensverzeichnissen. Für die domänenspezifischen Sicherheitskonzepte ergeben sich die Verwaltungsaufgaben aus den Geschäftsverteilungsplänen.
"Handlungsstrategie" ist die aus den Ergebnissen der risikoorientierten Vorgehensweise aufbereitete Darstellung für die Behördenleitung zwecks Entscheidung über umzusetzende oder zu ändernde Sicherheitsmaßnahmen mit dem Ziel der Risikoreduzierung, spezifiziert um zugehörige Zeit- und Ressourcenplanungen.
"Information" ist das Schutzobjekt der niedersächsischen Landesverwaltung, dessen Integrität, Verfügbarkeit und Vertraulichkeit zu gewährleisten ist.
"Informationseigentümer" ist die Behörde, bei der die Informationsklassifizierung erfolgt und das Domänenrisiko verantwortet wird.
"Informationsklassifizierung" ist die Aktivität, die Informationseigentümer durchführen, um ihren Informationen für die Sicherheitsziele "Integrität", "Verfügbarkeit" und "Vertraulichkeit" jeweils eine Schutzkategorie zuzuordnen.
"Leistungsempfänger" ist die Behörde, die einen Service eines Serviceeigentümers nutzt oder ein Fachverfahren eines Fachverfahrenseigentümers einsetzt.
"Ressource" ist das Sachmittel oder Personal zur Unterstützung der Verwaltungsaufgaben, das Schwachstellen aufweisen kann. Ressourcen werden - neben Personal - als IT-Systeme (Hardware und Software), Fachanwendungen, Bürokommunikationsanwendungen, Verträge, Papierakten, Gebäude, Räume und sonstige Sachmittel kategorisiert.
"Risiko" ist das Ergebnis einer systematischen Einschätzung möglicher Schäden für Informationen zu der von einer Ressource ausgehenden Gefahr. Das Risiko definiert sich aus der Wahrscheinlichkeit, mit der ein Schaden eintritt, und dem Ausmaß des potenziellen Schadens.
"Risikoakzeptanz" ist eine der vier Möglichkeiten zur Risikobehandlung und kommt vor allem in Betracht, wenn Risiken durch Sicherheitsmaßnahmen unter Wirtschaftlichkeitsaspekten nicht weiter reduziert oder vermieden werden können. Die Risikoakzeptanz erfordert, dass die Risiken nach der Maßnahmenumsetzung der Behördenleitung bewusst gemacht und von ihr als vertretbar verantwortet werden.
"Risikoanalyse" ist die Risikoeinschätzung nebst Risikobewertung.
"Risikobehandlung" ist die Entscheidung über den Umgang mit den identifizierten Risiken anhand von vier Optionen: Risikoreduzierung, Risikovermeidung, Risikoakzeptanz oder Risikotransfer.
"Risikobeschreibung" ist das Dokument, das die Leistungsempfänger über die Ergebnisse der risikoorientierten Vorgehensweise für Services und Fachverfahren informiert. Dazu werden die Risiken eines Services oder eines Fachverfahrens, die hierzu umgesetzten Sicherheitsmaßnahmen und die Risiken nach der Maßnahmenumsetzung transparent gemacht. Sie wird in Form einer Servicerisikobeschreibung oder einer Fachverfahrensrisikobeschreibung gefertigt.
"Risikobewertung" ist die Ausweisung der Risiken in einer Risikomatrix anhand eines dreistufigen Systems mit einem Risikolevel.
"Risikoeinschätzung" ist die Quantifizierung der Gefahrenszenarien, indem die beiden Risikomerkmale "Eintrittswahrscheinlichkeit" und "Schadensausmaß" anhand eines stufenbasierten Systems prognostiziert werden.
"Risikolevel" ist die Positionierung eines Risikowertes in einer Risikomatrix anhand eines dreistufigen Systems mit dem Risikolevel "grün", "gelb" oder "rot".
"Risikoreduzierung" ist eine der vier Möglichkeiten zur Risikobehandlung und stellt den Regelfall dar. Identifizierte Risiken werden durch die Umsetzung von Sicherheitsmaßnahmen soweit reduziert, dass das Risiko in der Risikomatrix aus dem Risikolevel "gelb" in den Risikolevel "grün" oder aus dem Risikolevel "rot" in den Risikolevel "grün" oder "gelb" verschoben werden kann.
"Risikotransfer" ist eine der vier Möglichkeiten zur Risikobehandlung. Sie hat zum Ziel, eine vollständige Verlagerung des identifizierten Risikos auf Dritte zu erreichen, sodass im Rahmen der Risikobehandlung kein Handlungsbedarf mehr für die niedersächsische Landesverwaltung besteht.
"Risikovermeidung" ist eine der vier Möglichkeiten zur Risikobehandlung. Sie hat zum Ziel, durch die Umsetzung von Sicherheitsmaßnahmen ein Risiko zu eliminieren, statt zu reduzieren. Dazu wird beispielsweise die Nutzung einer Ressource oder der Einsatz einer Funktion vermieden.
"Schadensausmaß" ist die Einschätzung zur Höhe des Schadens, der bei Eintritt eines Gefahrenszenarios bei den Informationen verursacht wird. Das Schadensausmaß stellt ein Risikomerkmal im Rahmen der Risikoeinschätzung dar. Es wird den Informationen für die Sicherheitsziele "Integrität", "Verfügbarkeit" und "Vertraulichkeit" jeweils eine Schutzkategorie zugeordnet.
"Schutzbedarfseignung" ist die Eigenschaft, die ein Serviceeigentümer für seinen Service und ein Fachverfahrenseigentümer für sein Fachverfahren kommuniziert, damit die Leistungsempfänger einschätzen können, inwieweit der Service und das Fachverfahren, ggf. nach Umsetzung zusätzlicher Sicherheitsmaßnahmen zwecks weitergehender Risikoreduzierung, genutzt werden dürfen.
"Schutzkategorie" ist eine Gruppe annähernd gleichen Schadensausmaßes; dabei bedeutet
"normales Schadensausmaß", dass die Auswirkungen eines Schadens begrenzt und überschaubar wären,
"hohes Schadensausmaß", dass die Auswirkungen eines Schadens beträchtlich sein können,
"sehr hohes Schadensausmaß", dass die Auswirkungen eines Schadens ein existentielles oder katastrophales Ausmaß erreichen können.
"Schwachstelle" ist die Eigenschaft einer Ressource, die potenziell ausgenutzt werden kann, um eine Schadwirkung zu erzielen (z.B. sicherheitsrelevante Fehler einer Software oder die Verwundbarkeit eines anderen Sachmittels). Durch eine Schwachstelle wird ein Sachmittel anfällig für Bedrohungen.
"Service" ist die Leistung, die ein IT-Dienstleister zur Unterstützung von Verwaltungsaufgaben bereitstellt.
"Serviceeigentümer" ist der IT-Dienstleister, bei dem die Konzeption, Erstellung, Inbetriebnahme, Pflege und Außerbetriebnahme eines Services sowie die Schutzbedarfseignung für den Service und das Servicerisiko verantwortet werden.
"Servicerisiko" ist das Ergebnis einer systematischen Einschätzung möglicher Schäden für die unter Nutzung des Services verarbeiteten Informationen, nachdem der Serviceeigentümer angemessene Sicherheitsmaßnahmen für seine Ressourcen umgesetzt hat.
"Servicerisikobeschreibung" ist das Dokument, das die Leistungsempfänger über die Ergebnisse der risikoorientierten Vorgehensweise informiert. Dazu werden die Risiken eines Services, die umgesetzten Sicherheitsmaßnahmen und die Servicerisiken nach der Maßnahmenumsetzung transparent gemacht.
"Servicespezifisches Sicherheitskonzept" ist das Dokument, in dem die Ergebnisse der risikoorientierten Vorgehensweise für die Behördenleitung zur Entscheidung dargestellt werden. Dazu werden den Risiken des Services angemessene Sicherheitsmaßnahmen zugeordnet, die daraus abgeleitete Handlungsstrategie für die Maßnahmenumsetzung aufgezeigt und die Servicerisiken nach der Maßnahmenumsetzung dargestellt.
"Sicherheitsanforderung" ist die Vorgabe, die in einer Informationssicherheitsrichtlinie ressortübergreifend geregelt und bei deren Umsetzung zu beachten ist.
"Sicherheitsfeature" ist eine technische oder organisatorische Lösung, die bereits umgesetzt ist und deshalb das Risiko um einen quantifizierten Risikoreduzierungswert mindert.
"Sicherheitskonzept" ist das Dokument, in dem die Ergebnisse der risikoorientierten Vorgehensweise für die Behördenleitung zur Entscheidung dargestellt werden. Dazu werden den Risiken des Betrachtungsgegenstandes angemessene Sicherheitsmaßnahmen zugeordnet, die daraus abgeleitete Handlungsstrategie für die Maßnahmenumsetzung aufgezeigt und die Risiken nach der Maßnahmenumsetzung dargestellt.
"Sicherheitsmaßnahme" ist eine technische oder organisatorische Lösung mit dem Ziel, ein bestehendes Risiko zu minimieren oder zu beherrschen.
"Sonstige Verwaltungsaufgabe" ist eine Aufgabe, deren Bearbeitung nicht durch den Einsatz eines Fachverfahrens unterstützt wird.

Abkürzungsverzeichnis

SiKo Sicherheitskonzept
SRB Servicerisikobeschreibung
VRB Fachverfahrensrisikobeschreibung

gestrichen.

ID: 222441

ENDE