1 Einleitung

In dieser Leitlinie zur Informationssicherheit der Landesverwaltung des Landes Rheinland-Pfalz - nachfolgend Leitlinie genannt - werden die grundlegenden Ziele der Informationssicherheit für die staatlichen Behörden, Stellen und Einrichtungen sowie der Gerichte und Staatsanwaltschaften des Landes Rheinland-Pfalz - im Folgenden Landesverwaltung - festgelegt. ¹

2 Stellenwert der Informationssicherheit

Die Informationssicherheit nimmt in Zeiten der fortschreitenden Digitalisierung der Datenverarbeitung, der zunehmenden Vernetzung sowie der steigenden Bedrohung durch Angriffe einen immer höheren Stellenwert ein. Eine funktionierende Verwaltung ist heute ohne elektronische Kommunikationsmedien und IT-Verfahren nicht mehr denkbar.

Im Bereich der Informationsverarbeitung und Kommunikation müssen deshalb Verfügbarkeit, Integrität und Vertraulichkeit der verarbeiteten und übertragenen Informationen durch angemessene technische und organisatorische Maßnahmen gewährleistet werden.

Die Informationssicherheit ist damit für die Landesverwaltung zur Erfüllung ihrer Geschäftsaufgaben ein unverzichtbarer Grundwert.

3 Geltungsbereich

Diese Leitlinie ist das übergeordnete Regelwerk für das landesweite Informationssicherheitsmanagement. Sie bildet die Grundlage für Informationssicherheitsleit- und Richtlinien sowie Informationssicherheitskonzepte in den Geschäftsbereichen (Ressorts). Sie gilt für die unmittelbare Landesverwaltung von Rheinland-Pfalz und ist von dieser entsprechend ihrer Aufgabenverantwortung umzusetzen.

Die Staatskanzlei, die Ressorts und die zum jeweiligen Geschäftsbereich gehörenden Behörden, Stellen und Einrichtungen sowie die Gerichte und Staatsanwaltschaften können für ihre Bereiche ergänzende Informationssicherheitsleitlinien erstellen, soweit dies über diese Leitlinie hinaus erforderlich ist und setzen diese in ihrem Verantwortungsbereich eigenständig um.

Soweit die Leitlinie den Einsatz der Informationstechnik (IT) in der Justiz betrifft, ist die verfassungsrechtlich garantierte Stellung der Gerichte und Staatsanwaltschaften zu berücksichtigen. Die richterliche Unabhängigkeit ist zu wahren.

Den Gemeinden und Gemeindeverbänden, den staatlichen Hochschulen sowie den wissenschaftsnahen Einrichtungen, den sonstigen der Aufsicht des Landes unterstehenden Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts, der Landtagsverwaltung, dem Rechnungshof Rheinland-Pfalz sowie dem Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz wird im Interesse einer einheitlichen Informationssicherheitspolitik der öffentlichen Verwaltung die Berücksichtigung dieser Leitlinie empfohlen.

4 Verantwortung der Leitung

Die Leitung der Landesverwaltung wird repräsentiert durch die Mitglieder der Landesregierung.

Sie trägt die Gesamtverantwortung für die Informationssicherheit in der Landesverwaltung zur Gewährleistung einer ordnungsgemäßen und sicheren Aufgabenerledigung im Rahmen des in Artikel 104 der Verfassung für Rheinland-Pfalz verankerten Ressortprinzips.

Die Leitung der Staatskanzlei, die Leitungen der Ressorts und die Leitungen der zum jeweiligen Geschäftsbereich gehörenden Behörden, Stellen und Einrichtungen sowie der Gerichte und Staatsanwaltschaften tragen die Verantwortung für die Informationssicherheit in ihren Geschäftsbereichen. Sie verantworten die Umsetzung von angemessenen Sicherheitsmaßnahmen sowie eine geeignete Dokumentation innerhalb ihres Geschäftsbereiches. Sie benennen eine oder einen Informationssicherheitsbeauftragten für ihre Behörde und stellen ausreichende Ressourcen zur Verfügung, um die erforderlichen personellen, infrastrukturellen, technischen und organisatorischen Maßnahmen umsetzen zu können. Des Weiteren ist die jeweilige Leitung verantwortlich für eine angemessene Aus- und Weiterbildung des Personals in Bezug auf Informationssicherheit und für die Durchführung von Informationssicherheits-Sensibilisierungsmaßnahmen der Nutzerinnen und Nutzer.

Die Umsetzung dieser Leitlinie sowie die daraus resultierenden Sicherheitsmaßnahmen unterliegen einer ständigen Überprüfung mit dem Ziel der Weiterentwicklung des Informationssicherheitsmanagements (ISM).

5 Festlegung von Sicherheitszielen

Zur Abbildung des hohen Stellenwertes der Informationssicherheit werden für die Landesverwaltung Rheinland-Pfalz die nachstehenden Sicherheitsziele festgelegt:

• Vertraulichkeit
  Informationen dürfen ausschließlich dem berechtigten Personenkreis zur Verfügung stehen.
• Integrität
  Die physische und logische Unversehrtheit von Systemen, Anwendungen und Daten muss jederzeit gewahrt sein. Dieses umfasst auch die unberechtigte Erstellung oder Änderung von Informationen.
• Verfügbarkeit
  Systeme, Anwendungen und Daten müssen den Berechtigten in jeder Situation wie vorgesehen zeitgerecht zur Verfügung stehen.

Bei der Erreichung dieser Ziele ist die Verhältnismäßigkeit der eingesetzten Mittel zur Wahrung der schützenswerten Güter zu beachten.

6 Sicherheitsstrategie

Die Sicherheitsstrategie des Landes Rheinland-Pfalz hat das Ziel, mit wirtschaftlichem Ressourceneinsatz ein angemessenes Maß an Sicherheit zu erreichen und verbleibende Restrisiken zu minimieren. Die Sicherheitsstrategie wird durch die Einführung eines Informationssicherheitsmanagementsystems (im Folgenden ISMS) realisiert, das sich an ISO/IEC 27001:2013 auf der Basis von IT-Grundschutz und den diesbezüglichen Standards des Bundesamtes für Sicherheit in der Informationstechnik (BSI) orientiert und als kontinuierlicher Prozess gestaltet wird. Der Prozess umfasst die Schritte:

• Planung: Festlegung der Vorgaben für den Sicherheitsprozess und das ISMS.
• Umsetzung: Aufbau eines ISMS, Erstellung und Umsetzung eines Sicherheitskonzepts sowie Etablierung des Sicherheitsprozesses.
• Überprüfung: Erfolgskontrolle der Erreichung der Sicherheitsziele.
• Aufrechterhaltung: Überwachung des Sicherheitsprozesses, Durchführung von Korrekturen zur Optimierung des Sicherheitsprozesses und der Sicherheitsorganisation.

Das ISMS wird ressortübergreifend gesteuert, koordiniert und überprüft.

Die Sicherheitsstrategie gilt für die gesamte Informationsverarbeitung in der Landesverwaltung. Das ISMS soll für den jeweiligen Schutzzweck angemessene Sicherheitsmaßnahmen definieren und für deren wirtschaftliche Umsetzung sorgen. Bei der Auswahl und Umsetzung von Sicherheitsmaßnahmen ist darauf zu achten, dass das erforderliche Sicherheitsniveau erreicht wird, ohne den Ablauf von Geschäftsprozessen unnötig zu beeinträchtigen.

Die Sicherheitsstrategie wird von den folgenden Grundsätzen der Informationssicherheit geprägt sein:

• Nachhaltige Betriebssicherheit: Um eine angemessene Berücksichtigung der festgelegten Sicherheitsziele zu erreichen, ist eine Einschränkung bei Funktionalität und Komfort vertretbar.
• Prinzip des Schutzbedarfs: Der Schutzbedarf von IT-Systemen und IT-Anwendungen wird vom Schutzbedarf der darauf verarbeiteten, gespeicherten oder übertragenen Daten bestimmt.
• Minimalprinzip des Zugriffs: Der Zugriff auf IT-Systeme und Daten wird auf die notwendigen Personen und Systeme beschränkt.
• Restriktives Nutzungsprinzip: Jede Nutzerin und jeder Nutzer erhält nur die Zugriffsrechte, die sie oder er zur Erfüllung ihrer oder seiner Aufgaben benötigt.
• Einbindung aller Bediensteten: Alle Bediensteten werden in den Sicherheitsmanagementprozess zur Unterstützung der Sicherheitsstrategie eingebunden und hinsichtlich der Informationssicherheit sensibilisiert.
• Zentrale Rolle der Informationssicherheit: Die Informationssicherheit wird bei Änderungen und Neuerungen von Beginn an mit berücksichtigt. Die oder der Informationssicherheitsbeauftragte ist bei allen Fragen zur Informationssicherheit zu beteiligen.
• Verhältnismäßigkeit der Sicherheitsmaßnahmen: Aufwand und Ergebnis müssen in einem angemessenen Verhältnis zueinander stehen.
• Bereitstellung von ausreichenden Ressourcen: Um ein angemessenes Maß an Informationssicherheit zu erreichen und aufrecht zu erhalten, sind ausreichende finanzielle und personelle Ressourcen und letzteren der notwendige zeitliche Freiraum bereitzustellen.

7 Organisationsstruktur für Informationssicherheit

Die Organisationsstruktur für die Informationssicherheit der Landesverwaltung von Rheinland-Pfalz besteht aus den folgenden Rollen:

• der Landesregierung,
• der oder dem Beauftragten der Landesregierung Rheinland-Pfalz für Informationstechnik (Chief Information Officer, C10),
• der oder dem Informationssicherheitsbeauftragten der Landesverwaltung (Chief Information Security Officer, CISO),
• dem Computer Emergency Response Team Rheinland-Pfalz (CERT-Rheinland-Pfalz),
• dem Informationssicherheitsmanagement-Team (ISM-Team),
• den Ressort-Informationssicherheitsbeauftragten (Ressort-ISBE),
• den Informationssicherheitsbeauftragten der jeweiligen Behörden, Stellen und Einrichtungen sowie der Gerichte und Staatsanwaltschaften (Behörden-ISBE).

Weitere Rollen und Gremien können unter Beachtung des § 31 des Landesgleichstellungsgesetzes ( LGG) bei Bedarf in die Organisationsstruktur eingebunden werden.

Bei der Besetzung des CISO und der nachfolgenden Rollen wird darauf geachtet, dass die Personen fachlich und persönlich für die ihnen zugewiesene Aufgabe qualifiziert sind. Die für die Organisationsstruktur notwendigen Ressourcen werden mit geeigneten Vertreterregelungen zur Verfügung gestellt.

7.1 Landesregierung

Die Landesregierung beschließt die Leitlinie, überträgt die Umsetzung in die steuernde Verantwortung der oder des CIO und schafft dadurch die Rahmenbedingungen für die Informationssicherheit. Auf dieser Grundlage entscheidet die oder der CIO über landeseinheitliche Richtlinien und Regelungen zur Informationssicherheit in der Landesverwaltung.

Die oder der CIO zeichnet verantwortlich für den ressortübergreifenden Informationssicherheitsprozess.

Dieser Prozess hat das Ziel, ein ressortübergreifendes Informationssicherheitsmanagementsystem (ISMS) zu etablieren, aufrechtzuerhalten und kontinuierlich zu verbessern.

7.2 Informationssicherheitsbeauftragte oder Informationssicherheitsbeauftragter der Landesverwaltung (CISO)

Als fester Bestandteil des ISMS wird die Funktion einer oder eines Informationssicherheitsbeauftragten der Landesverwaltung (CISO: "Chief Information Security Officer") eingerichtet. Um die erforderliche Eigenständigkeit zu gewährleisten, ist die oder der CISO bei der Wahrnehmung ihrer oder seiner Aufgaben weisungsfrei.

Die oder der CISO des Landes Rheinland-Pfalz plant, koordiniert und dokumentiert die Informationssicherheit in der Landesverwaltung des Landes Rheinland-Pfalz. Sie oder er hat ein direktes Vortragsrecht beim CIO und ist bei der oder dem nach der Geschäftsverteilung für die oder den CIO zuständigen Ministerin oder Minister angesiedelt.

Dazu initiiert und koordiniert sie oder er u. a. die Erstellung von landesweiten Informationssicherheitsstandards und die Erstellung und Fortschreibung eines ressortübergreifenden Sicherheitskonzepts sowie landeseinheitlicher Richtlinien und Regelungen zur Informationssicherheit in der Landesverwaltung.

Sie oder er ist Vorsitzende oder Vorsitzender des Informationssicherheitsmanagement-Teams (ISM-Team). Unter Berücksichtigung der Erkenntnisse und Vorschläge der Ressort-ISBE unterrichtet sie oder er die oder den CIO über die aktuellen Risiken sowie die Wirksamkeit des ISMS und der Sicherheitsmaßnahmen und schlägt ggf. einen Maßnahmenkatalog zum Umgang mit den identifizierten Risiken vor.

Sie oder er führt eine regelmäßige Sachstandserhebung der ressortübergreifenden Sicherheitsmaßnahmen in Bezug auf Umsetzung dieser Leitlinie durch.

Sie oder er wird bei der Wahrnehmung ihrer oder seiner Aufgaben durch eine personell und finanziell ausreichend ausgestattete Organisationseinheit direkt unterstützt.

7.3 Ressort-Informationssicherheitsbeauftragte (Ressort-ISBE)

Die Ressort-ISBE koordinieren und verantworten die Informationssicherheit in ihren Geschäftsbereichen (Ressorts) und sind grundsätzlich gleichzeitig ISBE ihrer eigenen Behörde. Sie haben ein direktes Vortragsrecht bei der Leitung ihres Ressorts.

Sie haben eine Berichtspflicht gegenüber der oder dem CISO und unterstützen diese oder diesen in allen Fragen der Informationssicherheit, insbesondere bei der Erstellung von Berichten zur Informationssicherheit.

Unter Berücksichtigung der Empfehlungen der Rechnungshöfe des Bundes und der Länder ² sollten die Ressort-ISBE organisatorisch getrennt vom IT-Management angesiedelt sein um Interessenskonflikte zu vermeiden.

7.4 Behörden-Informationssicherheitsbeauftragte (Behörden-ISBE)

Die Behörden-ISBE koordinieren und verantworten die Informationssicherheit in ihren Behörden. Sie haben ein direktes Vorspracherecht bei der Leitung ihrer Behörde.

Sie haben eine Berichtspflicht gegenüber der oder dem für ihren Geschäftsbereich zuständigen Ressort-ISBE und unterstützen diese oder diesen in allen Fragen der Informationssicherheit, insbesondere bei der Erstellung von Berichten zur Informationssicherheit. Die Behörden-ISBE können zu ihrer Unterstützung bei Bedarf ein Informationssicherheitsmanagement-Team (ISM-Team-Behörde) in ihrer Behörde/Einrichtung einrichten.

Unter Berücksichtigung der Empfehlungen der Rechnungshöfe des Bundes und der Länder ² sollten die Behörden-ISBE organisatorisch getrennt vom IT-Management angesiedelt sein um Interessenskonflikte zu vermeiden.

7.5 CERT Rheinland-Pfalz (CERT-rlp)

Das CERT Rheinland-Pfalz (CERT = Computer Emergency Response Team) ist zentrale Anlaufstelle in der Landesverwaltung für präventive, reaktive und nachhaltige Maßnahmen in Bezug auf sicherheits- und verfügbarkeitsrelevante Vorfälle. Neben weiteren Aufgaben unterstützt das CERT Rheinland-Pfalz (CERT-rlp) die Arbeit der oder des CISO in fachlichen und organisatorischen Belangen und die Ressort-ISBE z.B. als Ansprechpartner in technischen Sicherheitsfragen.

Das CERT-rlp wird als sogenanntes kombiniertes CERT betrieben. Die dezentralen CERT-Einheiten (z.B. die einzelnen Ressorts) benennen der CERT-rlp-Kopfstelle Ansprechpartnerinnen bzw. Ansprechpartner inkl. deren Kontaktinformationen. Bei der Wahrnehmung von CERT-Aufgaben verbleiben die Mitarbeiterinnen und Mitarbeiter der dezentralen CERT-Einheiten arbeits- und dienstrechtlich in ihren angestammten Organisationseinheiten. Die zentrale CERT-rlp-Kopfstelle ist als eigenständige Organisationseinheit eine Stabstelle im Landesbetrieb Daten und Information (LDI).

7.6 Informationssicherheitsmanagement-Team (ISM-Team)

Das Informationssicherheitsmanagement-Team (ISM-Team) ist das koordinierende Gremium für alle ressortübergreifenden Aspekte der Informationssicherheit. Es besteht aus

• der oder dem CISO als Vorsitzender oder Vorsitzenden,
• den Ressort-Informationssicherheitsbeauftragten,
• der oder dem Informationssicherheitsbeauftragten LDI,
• der oder dem Informationssicherheitsbeauftragten Polizei,
• der CERT-rlp Kopfstelle.

Darüber hinaus können weitere Teilnehmer hinzugezogen werden. Hierzu gehören insbesondere:

• IT-Verantwortliche
• Vertreter der IT-Anwender
• Informationssicherheitsbeauftragte der in Nr. 3, letzter Absatz, genannten Behörden und Dienststellen

Das ISM-Team berät, informiert und unterstützt die oder den CISO in Fragen der Informationssicherheit. Es entwickelt die Informationssicherheitsziele und -strategien des Landes, die Leitlinie zur Informationssicherheit und die ressortübergreifenden Richtlinien für Informationssicherheit sowie die landesweiten Informationssicherheitsstandards bzw. schreibt diese fort. Das ISM-Team gibt sich eine Geschäftsordnung, in der die Grundlagen für die Zusammenarbeit geregelt werden.

8 Umsetzungsplan

Zur Umsetzung dieser Leitlinie ist durch den CISO ein Umsetzungsplan zur Konkretisierung der Vorgaben dieser Leitlinie zu erarbeiten.

9 Schlussbestimmungen

Die Leitlinie ersetzt das Rundschreiben der Landesregierung vom 7. Mai 2003 "Planung und Realisierung der IT-Sicherheit in der Landesverwaltung Rheinland-Pfalz" ³.

Mit diesem Dokument wird für das Land Rheinland-Pfalz der Beschluss des IT-Planungsrates vom 8. März 2013 zur Erstellung einer landeseigenen Leitlinie umgesetzt.

Diese Leitlinie tritt am 27. Juni 2017 in Kraft.

Im Rahmen des Informationssicherheitsprozesses wird diese Leitlinie spätestens zwei Jahre nach Inkrafttreten auf ihre Aktualität hin überprüft und ggf. aktualisiert.

_____
1) Die Leitlinie berücksichtigt die Mindestanforderungen des Grundsatzpapiers zum Informationssicherheitsmanagement der Rechnungshöfe des Bundes und der Länder vom Dezember 2015
2) Siehe Seite 7, letzter Absatz des Grundsatzpapiers der Rechnungshöfe des Bundes und der Länder vom Dezember 2015
3) Ministerialblatt der Landesregierung von Rheinland-Pfalz vom 4. Juni 2003 Seite 327

ENDE