Leitlinie zur Gewhrleistung der Informationssicherheit im Kommunalen Datennetz Sachsen (KDN II) angelehnt an die VwV Leitlinie Informationssicherheit

des Freistaates Sachsen

Inhaltsverzeichnis 1 2 3 Einleitung ............................................................................................................................ 3 Geltungsbereich ................................................................................................................. 3 Grundstze und Ziele der Informationssicherheit ............................................................. 4 3.1 Grundstze................................................................................................................... 4 3.1.1 Begriffseinfhrung................................................................................................ 4 3.1.2 Standards des BSI ................................................................................................. 4 3.1.3 Die Rolle der Informationssicherheit beim Einsatz von IT ................................... 4 3.1.4 Informationssicherheit als Leistungsmerkmal von IT-Verfahren ......................... 5 3.1.5 Informationssicherheit als Leistungsmerkmal der Organisation ......................... 5 3.1.6 Wirtschaftlichkeit ................................................................................................. 5 3.1.7 Einhaltung gesetzlicher Regelungen .................................................................... 6 3.1.8 Regelungskompetenz und Subsidiaritt ............................................................... 6 3.1.9 Sicherheit vor Verfgbarkeit ................................................................................ 6 3.1.10 Prinzip des informierten Mitarbeiters.................................................................. 6 3.2 Informationssicherheitsziele ....................................................................................... 7 3.2.1 Verfgbarkeit........................................................................................................ 7 3.2.2 Vertraulichkeit ...................................................................................................... 7 3.2.3 Integritt ............................................................................................................... 7 3.2.4 Weitere Informationssicherheitsziele .................................................................. 7 Verantwortlichkeiten und Rollen ....................................................................................... 8 4.1 Verantwortung der Leitungsebene ............................................................................. 8 4.2 Verantwortung der Mitarbeiter .................................................................................. 8 4.3 Fachverantwortlicher .................................................................................................. 9 4.4 Beschftigung externer Leistungserbringer .............................................................. 10 Informationssicherheitsorganisation ............................................................................... 10 5.1 Beauftragter fr Informationssicherheit (IT-SB KDN)................................................ 10 5.2 Informationssicherheitsmanagementteams ............................................................. 11 Umsetzung........................................................................................................................ 11 Sicherung und Verbesserung der Informationssicherheit ............................................... 11 Inkrafttreten ..................................................................................................................... 11

6 7 8

2/11

1 Einleitung
Auf dem Weg in das Informationszeitalter werden Staat, Wirtschaft und Gesellschaft zunehmend durch die immer intensiver werdende Nutzung moderner Informationstechnik (IT) geprgt. Informationsinfrastrukturen gehren heute neben Straen, Wasser- und Stromleitungen zu den nationalen Infrastrukturen, ohne die das private wie das berufliche Leben zum Stillstand kme. Durch die verstrkte Abhngigkeit von moderner Kommunikationstechnik hat sich das Risiko der Beeintrchtigung von Informationsinfrastrukturen und deren Komponenten durch vorstzliche Angriffe von innen und auen, fahrlssiges Handeln, Nachlssigkeiten, Ignoranz, Unkenntnis und potenzielles Versagen der Technik sowohl qualitativ als auch quantitativ deutlich erhht. Unter Beachtung der rechtlichen und wirtschaftlichen Rahmenbedingungen sowie den Anforderungen aus ihren Geschftsprozesse haben die schsischen Kommunalverwaltungen effizient, wirtschaftlich, nachvollziehbar und dienstleistungsorientiert zu handeln. Jede Beeintrchtigung der Informationssicherheit kann zu einer Strung dieser Arbeitsweise fhren, die Leistungsfhigkeit der Kommunalverwaltungen mindern und im Extremfall die Geschftsprozesse zum Erliegen bringen. Vor diesem Hintergrund ist eine angemessene Informationssicherheit in den Geschftsprozessen der schsischen Kommunalverwaltungen zu organisieren. Danach sind organisatorische Rahmenbedingungen zur nachhaltigen Gewhrleistung von Informationssicherheit zu schaffen, ein Informationssicherheitsmanagement einzurichten, Standards zur Informationssicherheit einschlielich der Definition von Verantwortlichkeiten und Befugnissen zu erarbeiten, Komponenten zur Steigerung der Informationssicherheit zu standardisieren und alle Sicherheitsvorkehrungen und Sicherheitsmanahmen hinreichend zu dokumentieren. Die vorliegende Leitlinie beschreibt die allgemeinen Ziele, Strategien und Organisationsstrukturen, welche fr die Initiierung und Etablierung eines ganzheitlichen Informationssicherheitsprozesses erforderlich sind.

2 Geltungsbereich
Die Leitlinie gilt fr das gesamte Kommunale Datennetz in Sachsen und richtet sich an alle Mitarbeiter der Kommunalverwaltungen und Teilnehmer am Kommunalen DatenNetz KDN II. Die Vorgaben sind von allen an das KDN II angeschlossenen Verwaltungen und deren Auenstellen entsprechend ihrer Aufgabenverantwortung umzusetzen und auszugestalten. Das Gleiche gilt fr alle Schulen und Bildungseinrichtungen, welche ber das KDN II bzw. SVN an das Schulverwaltungsnetz angeschlossen sind.

3/11

3 Grundstze und Ziele der Informationssicherheit

3.1 Grundstze
3.1.1 Begriffseinfhrung Informationssicherheit bezeichnet einen Zustand, in dem die Risiken fr die Sicherheitsziele Vertraulichkeit, Integritt und Verfgbarkeit von Informationen und Informationstechnik durch angemessene Manahmen auf ein tragbares Ma reduziert sind. Die Informationssicherheit umfasst neben der Sicherheit der IT-Systeme und der darin gespeicherten Daten auch die Sicherheit von nicht elektronisch verarbeiteten und gespeicherten Daten und Informationen. Dabei bedeutet: Vertraulichkeit: Vertrauliche Daten, Informationen und Programme sind vor unberechtigten Zugriffen und unbefugter Preisgabe zu schtzen. Zu den Schutzobjekten gehren die gespeicherten oder transportierten Nachrichteninhalte, die nheren Informationen ber den Kommunikationsvorgang (wer, wann, wie lange, mit wem etc.) sowie die Daten ber den Sende- und Empfangsvorgang. Integritt: Der Begriff der Integritt bezieht sich sowohl auf Informationen, Daten als auch das gesamte IT-System. Integritt der Informationen bedeutet deren Vollstndigkeit und Korrektheit. Vollstndigkeit bedeutet, dass alle Teile der Information verfgbar sind. Korrekt sind Informationen, wenn sie den bezeichneten Sachverhalt unverflscht wiedergeben. Zum anderen bezieht sich der Begriff Integritt auch auf IT-Systeme, da die Integritt der Informationen und Daten nur bei ordnungsgemer Verarbeitung und bertragung sichergestellt werden kann. Verfgbarkeit: Die Funktionen der Hard- und Software im System- und Netzbereich sowie notwendige Informationen stehen dem Anwender zum richtigen Zeitpunkt am richtigen Ort zur Verfgung.

3.1.2 Standards des BSI

Zur Erreichung und Aufrechterhaltung eines angemessenen und ausreichenden Informationssicherheitsniveaus sind fr die schsischen Kommunalverwaltungen die Standards und Kataloge des Bundesamtes fr Sicherheit in der Informationstechnik (BSI) in der jeweils aktuellen Fassung mageblich.

3.1.3 Die Rolle der Informationssicherheit beim Einsatz von IT

4/11

In den schsischen Kommunalverwaltungen muss es das Ziel sein, dass alle Einrichtungen, die der Erstellung, Speicherung und bertragung von Daten dienen, so ausgewhlt, integriert und konfiguriert sind, dass fr die auf ihnen verarbeiteten Daten zu jeder Zeit und unter allen Umstnden das angemessene Ma an Vertraulichkeit, Integritt und Verfgbarkeit sichergestellt ist. Dies gilt auch fr die Orte zur Aufbewahrung der Medien zur Datensicherung. Die Einhaltung dieser Anforderungen ist unabdingbarer Bestandteil jedes Einsatzes von Informations- und Kommunikationstechnik im Bereich der schsischen Kommunalverwaltungen und ist mit technischen und organisatorischen Manahmen verbindlich sicherzustellen. Bestehende gesetzliche Verpflichtungen sind zu erfllen.

3.1.4 Informationssicherheit als Leistungsmerkmal von IT-Verfahren

Die Informationssicherheit ist ein zu bewertendes und herbeizufhrendes Leistungsmerkmal von IT-Verfahren. Bleiben im Einzelfall trotz der Sicherheitsvorkehrungen Risiken untragbar, ist auf den IT-Einsatz zu verzichten. Belange der Informationssicherheit sind zu bercksichtigen bei: der Entwicklung und Einfhrung von IT-Verfahren dem Betrieb und der Pflege von IT-Verfahren der Beschaffung und Beseitigung / Entsorgung von IT-Produkten der Nutzung von Diensten Dritter

3.1.5 Informationssicherheit als Leistungsmerkmal der Organisation

Bei der Gestaltung von technischen und organisatorischen Sicherheitsmanahmen ist darauf zu achten, dass diese stets integraler Bestandteil der Vorgnge sind und nicht Erweiterungen, die ber das vermeintlich Notwendige hinausgehen. Belange der Informationssicherheit sind zu bercksichtigen bei: der Gestaltung der Organisation der Schaffung und Besetzung von Rollen der Fhrung von Mitarbeitern dem Bereich Aus- und Weiterbildung der Gestaltung von Arbeitsablufen der Zusammenarbeit mit anderen Behrden und Externen der Auswahl und dem Einsatz von Hilfsmitteln

3.1.6 Wirtschaftlichkeit
Die fr die Umsetzung der erforderlichen und angemessenen Sicherheitsmanahmen notwendigen Ressourcen und Investitionsmittel sind im Rahmen der zustndigen Mittelbewirtschaftung bereit zu stellen. Die Sicherheitsmanahmen mssen in einem wirtschaftlich vertretbaren Verhltnis zum Schaden stehen, der durch Sicherheitsvorflle verursacht werden kann. Dieser wird durch den Wert der zu schtzenden Informationen und 5/11

der informationstechnischen Systeme definiert. Zu bewerten sind dabei in der Regel die Auswirkungen auf die krperliche und seelische Unversehrtheit von Menschen, das Recht auf informationelle Selbstbestimmung, finanzielle Schden, Beeintrchtigungen des Ansehens der schsischen Kommunalverwaltungen und die Folgen von Gesetzesversten.

3.1.7 Einhaltung gesetzlicher Regelungen

Die gesetzlichen Regelungen sind einzuhalten. Dabei sind sowohl die Regelungen zu beachten, denen die Durchfhrung der fachlichen Aufgaben der schsischen Kommunalverwaltungen unterliegt, als auch die Regelungen, die sich allgemein auf den Einsatz von Informationstechnik beziehen.

3.1.8 Regelungskompetenz und Subsidiaritt

Die einzelnen Stdte- und Gemeindeverwaltungen sind grundstzlich frei in der Auswahl der Mittel, mit denen sie ihre Sicherheitsziele erreichen wollen. Angemessene Sicherheitsmanahmen knnen eigenstndig geplant und umgesetzt werden. Durch Richtlinien des Beauftragten fr Informationssicherheit der KDN GmbH (IT-SB KDN) werden grundstzlich Belange von bergeordnetem Interesse geregelt und Mindeststandards zur Informationssicherheit definiert. Vorgaben des IT-SB KDN zu Sicherheitszielen knnen von den einzelnen Kommunalverwaltungen entsprechend ihren individuellen Anforderungen przisiert und ergnzt werden, drfen aber nicht im Widerspruch zu den Vorgaben dieser Leitlinie stehen. Sinnvollerweise benennt jede eigenstndige Verwaltung auch selbst einen IT-Sicherheitsbeauftragten (intern oder extern) und bertrgt diesem die notwendigen Mittel und Befugnisse.

3.1.9 Sicherheit vor Verfgbarkeit

Wenn Angriffe auf die Sicherheit der IT-Infrastruktur der schsischen Kommunalverwaltungen drohen oder bekannt werden oder sonstige Sicherheitsrisiken auftreten, kann die Verfgbarkeit von Informations- und Kommunikationstechnik, ITAnwendungen, Daten und Netzwerken entsprechend dem Bedrohungs- und Schadensrisiko vorbergehend eingeschrnkt werden. Im Interesse der Funktionsfhigkeit der gesamten Verwaltung ist der Schutz vor Schden vorrangig. Vertretbare Einschrnkungen in Bedienung und Komfort sind hinzunehmen. Dies gilt in besonderem Mae fr die bergnge zu anderen Netzwerken, insbesondere zum Internet.

3.1.10 Prinzip des informierten Mitarbeiters

Die Mitarbeiter sind im erforderlichen Umfang bezglich der Informationssicherheit zu sensibilisieren und zu qualifizieren.

6/11

3.2 Informationssicherheitsziele
3.2.1 Verfgbarkeit
Fr alle IT-Verfahren sind die Zeiten, in denen sie verfgbar sein sollen, festzulegen. Strungsbedingte Ausflle sind in diesen Zeiten weitgehend zu vermeiden, d. h. nach Zahl und Dauer zu begrenzen. Die Beschreibung der notwendigen Verfgbarkeit umfasst die regelmigen Betriebszeiten die Zeiten mit erhhter Verfgbarkeitsanforderung die maximal tolerierbare Dauer einzelner Ausflle sind regelmig geplante Auszeiten, insbesondere zu

Ebenfalls festzulegen Wartungszwecken.

3.2.2 Vertraulichkeit
Die in allen IT-Verfahren erhobenen, gespeicherten, verarbeiteten und weiter gegebenen Daten sind vertraulich zu behandeln und jederzeit vor unbefugtem Zugriff zu schtzen. Zu diesem Zweck ist fr alle Daten der Personenkreis, dem der Zugriff gestattet werden soll, zu bestimmen. Der Zugriff auf IT-Systeme, IT-Anwendungen und Daten sowie Informationen ist auf den unbedingt erforderlichen Personenkreis zu beschrnken. Jeder Mitarbeiter erhlt eine Zugriffsberechtigung nur auf die Daten, die er zur Erfllung seiner dienstlichen Aufgaben bentigt.

3.2.3 Integritt
Informationen sind gegen unbeabsichtigte Vernderung und vorstzliche Verflschung zu schtzen. Alle IT-Verfahren sollen stets aktuelle und vollstndige Informationen liefern, eventuelle verfahrens- oder informationsverarbeitungsbedingte Einschrnkungen sind zu dokumentieren.

3.2.4 Weitere Informationssicherheitsziele

Die einzelnen Stdte und Gemeinden knnen ber Verfgbarkeit, Vertraulichkeit und Integritt hinaus weitere Sicherheitsziele formulieren, z. B. Nachvollziehbarkeit und Authentizitt.

7/11

4 Verantwortlichkeiten und Rollen

4.1 Verantwortung der Leitungsebene
Die Verantwortung fr die ordnungsgeme und sichere Aufgabenerledigung und damit fr die Informationssicherheit haben der (die) Oberbrgermeister(in) / Brgermeister(in) oder die vertretende Person der jeweiligen Kommunalverwaltung. Sie erlassen verbindliche Regeln zur Informationssicherheit fr ihre Verwaltung. Die aktuellen Regeln sind den Mitarbeitern bekannt zu geben. Eine Mglichkeit zur Kenntnisnahme der aktuellen Regeln ist jederzeit sicherzustellen. Der (die) Oberbrgermeister(in) / Brgermeister(in) trgt die Verantwortung fr die Umsetzung der vereinbarten Sicherheitsmanahmen und eine geeignete Dokumentation. Er / Sie stellt die Mittel fr die Beschaffung und den Betrieb der vereinbarten Sicherheitsmanahmen zur Verfgung und veranlasst erforderliche Schulungsmanahmen. Die kommunalen Verwaltungen sind fr eine dem jeweiligen Aufgabengebiet angemessene Informationssicherheit selbst verantwortlich.

4.2 Verantwortung der Mitarbeiter

Alle Mitarbeiter gewhrleisten die Informationssicherheit durch ihr verantwortungsvolles Handeln und halten die fr die Informationssicherheit relevanten Gesetze, Vorschriften, Richtlinien, Anweisungen und vertraglichen Verpflichtungen ein. Sie gehen korrekt und verantwortungsbewusst mit den von ihnen genutzten IT-Systemen, Daten und Informationen um. Verhalten, das die Sicherheit von Daten, Informationen, IT-Systemen oder der Netze gefhrdet, kann disziplinar- oder arbeitsrechtlich geahndet werden. Unter Umstnden kann das Verhalten als Ordnungswidrigkeit oder Straftat verfolgt werden. Mitarbeiter, die die Sicherheit von Daten, Informationen, IT-Systemen oder des Netzes gefhrden und einen Schaden fr die Verwaltung oder einen Dritten verursachen, knnen darber hinaus nach den gesetzlichen Regelungen zum Schadenersatz herangezogen werden oder einem Rckgriffsanspruch ausgesetzt sein. Als Straftat kommen insbesondere in Betracht: das unbefugte Verschaffen von Daten anderer, die nicht fr ihn bestimmt und die gegen den unberechtigten Zugang besonders gesichert sind das Schdigen fremden Vermgens durch unrichtiges Gestalten eines Programms, durch Verwendung unrichtiger oder unvollstndiger Daten, durch unbefugtes Verwenden von Daten oder durch unbefugtes Einwirken auf den Ablauf eines Programms das rechtswidrige Lschen, Verndern, Unterdrcken und Unbrauchbarmachen von Daten das unbefugte Zerstren, Beschdigen, Unbrauchbarmachen, Beseitigen oder Verndern einer Datenverarbeitungsanlage oder eines Datentrgers 8/11

strafbewehrte Verste gegen das Schsische Datenschutzgesetz oder das Bundesdatenschutzgesetz

Verste gegen die Informationssicherheit sind unverzglich dem zustndigen IT-SB zu melden. Als Verste gelten insbesondere Handlungen, die aufgrund einer Abweichung von der Leitlinie oder den Richtlinien fr Informationssicherheit Kommunalverwaltungen oder Einrichtungen des Freistaates Sachsen materielle oder immaterielle Schden zufgen, den unberechtigten Zugriff auf Informationen, deren Preisgabe und / oder nderung zulassen, die Nutzung von Verwaltungsinformationen fr illegale Zwecke beinhalten oder eine Kompromittierung des Ansehens der Kommunalverwaltung und / oder des Freistaates Sachsen zur Folge haben.

Bei Gefahr im Verzug ist der zustndige IT-SB oder sein Stellvertreter berechtigt, die erforderlichen Sicherheitsmanahmen auch kurzfristig anzuordnen. Dies kann bis zur vorbergehenden Sperrung von Anwendungen oder Netzzugngen fhren. Die betroffene Verwaltungsleitung sowie der IT-SB KDN sind hiervon unverzglich zu unterrichten. Entstehende Kosten fr die Abschaltung und die Wiederanschaltung hat die verursachende Kommunalverwaltung zu tragen.

4.3 Fachverantwortlicher
Der Fachverantwortliche fr einen Geschftsprozess oder ein Fachverfahren ist zustndig fr:

die Festlegung der geschftlichen Relevanz seiner Informationen und deren Schutzbedarf die Sicherstellung, dass Verantwortlichkeiten explizit definiert und Sicherheitsund Kontrollmanahmen zur Verwaltung und zum Schutz seiner Informationen implementiert werden

Der Fachverantwortliche muss den Zugang auf Informationen sowie den Umfang und die Art der Autorisierung definieren, die im jeweiligen Verfahren erforderlich sind. Bei diesen Entscheidungen ist Folgendes zu bercksichtigen:

die Notwendigkeit, die Informationen entsprechend ihrer geschftlichen Relevanz zu schtzen die Aufbewahrungsvorschriften und die mit den Informationen verbundenen rechtlichen Anforderungen 9/11

inwieweit die fr die jeweiligen Geschftsanforderungen erforderlichen Informationen zugnglich sein mssen

4.4 Beschftigung externer Leistungserbringer

Personen, Behrden und Unternehmen, die nicht zu den Schsischen Kommunalverwaltungen gehren, fr diese aber Leistungen erbringen, haben die Vorgaben des Auftraggebers zur Einhaltung der Informationssicherheitsziele gem dieser Sicherheitsleitlinie einzuhalten. Der Auftraggeber informiert den Auftragnehmer ber diese Regeln und verpflichtet ihn in geeigneter Weise zur Einhaltung. Dazu gehrt, dass der Auftragnehmer bei erkennbaren Mngeln und Risiken eingesetzter Sicherheitsmanahmen den Auftraggeber zu informieren hat.

5 Informationssicherheitsorganisation
5.1 Beauftragter fr Informationssicherheit (IT-SB KDN)
Die zentrale Sicherheitsinstanz ist der Beauftragte fr Informationssicherheit der KDN GmbH (IT-SB KDN). Er ist in der KDN GmbH angesiedelt und fr alle operativen Belange und Fragen der Informationssicherheit zustndig. Die Gesamtverantwortung der Einzelverwaltungen fr die Informationssicherheit im Rahmen ihrer Kommunalverantwortung bleibt davon unberhrt. In jeder an das KDN II angeschlossenen Stadt- / Gemeindeverwaltung ist ein Beauftragter fr Informationssicherheit zu ernennen oder extern zu beauftragen. Dieser ist fr alle operativen und koordinierenden Belange und Fragen der Informationssicherheit in seinem Verantwortungsbereich zustndig. Die Kommunalverwaltungen knnen in ihren Zustndigkeitsbereichen weitere Beauftragte fr Informationssicherheit ernennen oder extern beauftragen. Falls erforderlich, knnen weitere IT-SB fr bestimmte Bereiche, Projekte und Systeme ernannt werden. Im jeweiligen Zustndigkeitsbereich haben die IT-SB folgende Aufgaben: Steuerung des Informationssicherheitsprozesses und Mitwirkung bei allen damit zusammenhngenden Aufgaben berprfung der Umsetzung der Vorgaben zur Informationssicherheit Erstellung, Fortschreibung und Umsetzung des Sicherheitskonzeptes Vorschlag von neuen Sicherheitsmanahmen und strategien Vertretung der Kommunalverwaltung in den Angelegenheiten der Informationssicherheit Ansprechpartner fr die Mitarbeiter in den Fragen der Informationssicherheit Koordination von Sensibilisierungs- und Schulungsmanahmen

10/11

Zusammenfassung von bereichs-, projekt- oder systemspezifischen Informationen und Weiterleitung an den zustndigen BfIS der AG IS Meldung von besonders sicherheitsrelevanten Zwischenfllen

5.2 Informationssicherheitsmanagementteams
Um die Belange der Informationssicherheit bei allen strategischen Entscheidungen und Einzelmanahmen mit mglichen Auswirkungen auf die Informationssicherheit sicherzustellen, knnen in den Kommunen und kommunalen Einrichtungen grundstzlich Informationssicherheitsmanagementteams eingerichtet werden. Diese untersttzen den ITSB bei der Erfllung seiner Aufgaben.

6 Umsetzung
Auf der Grundlage dieser Leitlinie haben die Kommunalverwaltungen eigene Informationssicherheitsrichtlinien, Informationssicherheitskonzepte und weitere Regelungen zur Informationssicherheit zu gestalten.

7 Sicherung und Verbesserung der Informationssicherheit

Der Informationssicherheitsprozess wird regelmig auf seine Aktualitt und Wirksamkeit berprft. Insbesondere werden die Manahmen regelmig daraufhin untersucht, ob sie den betroffenen Mitarbeitern bekannt, umsetzbar und in den Betriebsablauf integrierbar sind. Die Leitungsebenen untersttzen die stndige Verbesserung des Sicherheitsniveaus. Die Mitarbeiter sind angehalten, mgliche Verbesserungen oder Schwachstellen an die entsprechenden Stellen weiterzugeben. Durch eine kontinuierliche Revision der Regelungen und deren Einhaltung wird das angestrebte Sicherheits- und Datenschutzniveau sichergestellt. Abweichungen werden mit dem Ziel analysiert, die Informationssicherheit zu verbessern und stndig auf dem aktuellen Stand zu halten.

8 Inkrafttreten
Diese Leitlinie tritt am Tag nach ihrer Verffentlichung in Kraft.

Dresden, den 10. Juni 2010

11/11