Beruflich Dokumente
Kultur Dokumente
Inhaltsverzeichnis 1 2 3 Einleitung ............................................................................................................................ 3 Geltungsbereich ................................................................................................................. 3 Grundstze und Ziele der Informationssicherheit ............................................................. 4 3.1 Grundstze................................................................................................................... 4 3.1.1 Begriffseinfhrung................................................................................................ 4 3.1.2 Standards des BSI ................................................................................................. 4 3.1.3 Die Rolle der Informationssicherheit beim Einsatz von IT ................................... 4 3.1.4 Informationssicherheit als Leistungsmerkmal von IT-Verfahren ......................... 5 3.1.5 Informationssicherheit als Leistungsmerkmal der Organisation ......................... 5 3.1.6 Wirtschaftlichkeit ................................................................................................. 5 3.1.7 Einhaltung gesetzlicher Regelungen .................................................................... 6 3.1.8 Regelungskompetenz und Subsidiaritt ............................................................... 6 3.1.9 Sicherheit vor Verfgbarkeit ................................................................................ 6 3.1.10 Prinzip des informierten Mitarbeiters.................................................................. 6 3.2 Informationssicherheitsziele ....................................................................................... 7 3.2.1 Verfgbarkeit........................................................................................................ 7 3.2.2 Vertraulichkeit ...................................................................................................... 7 3.2.3 Integritt ............................................................................................................... 7 3.2.4 Weitere Informationssicherheitsziele .................................................................. 7 Verantwortlichkeiten und Rollen ....................................................................................... 8 4.1 Verantwortung der Leitungsebene ............................................................................. 8 4.2 Verantwortung der Mitarbeiter .................................................................................. 8 4.3 Fachverantwortlicher .................................................................................................. 9 4.4 Beschftigung externer Leistungserbringer .............................................................. 10 Informationssicherheitsorganisation ............................................................................... 10 5.1 Beauftragter fr Informationssicherheit (IT-SB KDN)................................................ 10 5.2 Informationssicherheitsmanagementteams ............................................................. 11 Umsetzung........................................................................................................................ 11 Sicherung und Verbesserung der Informationssicherheit ............................................... 11 Inkrafttreten ..................................................................................................................... 11
6 7 8
2/11
1 Einleitung
Auf dem Weg in das Informationszeitalter werden Staat, Wirtschaft und Gesellschaft zunehmend durch die immer intensiver werdende Nutzung moderner Informationstechnik (IT) geprgt. Informationsinfrastrukturen gehren heute neben Straen, Wasser- und Stromleitungen zu den nationalen Infrastrukturen, ohne die das private wie das berufliche Leben zum Stillstand kme. Durch die verstrkte Abhngigkeit von moderner Kommunikationstechnik hat sich das Risiko der Beeintrchtigung von Informationsinfrastrukturen und deren Komponenten durch vorstzliche Angriffe von innen und auen, fahrlssiges Handeln, Nachlssigkeiten, Ignoranz, Unkenntnis und potenzielles Versagen der Technik sowohl qualitativ als auch quantitativ deutlich erhht. Unter Beachtung der rechtlichen und wirtschaftlichen Rahmenbedingungen sowie den Anforderungen aus ihren Geschftsprozesse haben die schsischen Kommunalverwaltungen effizient, wirtschaftlich, nachvollziehbar und dienstleistungsorientiert zu handeln. Jede Beeintrchtigung der Informationssicherheit kann zu einer Strung dieser Arbeitsweise fhren, die Leistungsfhigkeit der Kommunalverwaltungen mindern und im Extremfall die Geschftsprozesse zum Erliegen bringen. Vor diesem Hintergrund ist eine angemessene Informationssicherheit in den Geschftsprozessen der schsischen Kommunalverwaltungen zu organisieren. Danach sind organisatorische Rahmenbedingungen zur nachhaltigen Gewhrleistung von Informationssicherheit zu schaffen, ein Informationssicherheitsmanagement einzurichten, Standards zur Informationssicherheit einschlielich der Definition von Verantwortlichkeiten und Befugnissen zu erarbeiten, Komponenten zur Steigerung der Informationssicherheit zu standardisieren und alle Sicherheitsvorkehrungen und Sicherheitsmanahmen hinreichend zu dokumentieren. Die vorliegende Leitlinie beschreibt die allgemeinen Ziele, Strategien und Organisationsstrukturen, welche fr die Initiierung und Etablierung eines ganzheitlichen Informationssicherheitsprozesses erforderlich sind.
2 Geltungsbereich
Die Leitlinie gilt fr das gesamte Kommunale Datennetz in Sachsen und richtet sich an alle Mitarbeiter der Kommunalverwaltungen und Teilnehmer am Kommunalen DatenNetz KDN II. Die Vorgaben sind von allen an das KDN II angeschlossenen Verwaltungen und deren Auenstellen entsprechend ihrer Aufgabenverantwortung umzusetzen und auszugestalten. Das Gleiche gilt fr alle Schulen und Bildungseinrichtungen, welche ber das KDN II bzw. SVN an das Schulverwaltungsnetz angeschlossen sind.
3/11
4/11
In den schsischen Kommunalverwaltungen muss es das Ziel sein, dass alle Einrichtungen, die der Erstellung, Speicherung und bertragung von Daten dienen, so ausgewhlt, integriert und konfiguriert sind, dass fr die auf ihnen verarbeiteten Daten zu jeder Zeit und unter allen Umstnden das angemessene Ma an Vertraulichkeit, Integritt und Verfgbarkeit sichergestellt ist. Dies gilt auch fr die Orte zur Aufbewahrung der Medien zur Datensicherung. Die Einhaltung dieser Anforderungen ist unabdingbarer Bestandteil jedes Einsatzes von Informations- und Kommunikationstechnik im Bereich der schsischen Kommunalverwaltungen und ist mit technischen und organisatorischen Manahmen verbindlich sicherzustellen. Bestehende gesetzliche Verpflichtungen sind zu erfllen.
3.1.6 Wirtschaftlichkeit
Die fr die Umsetzung der erforderlichen und angemessenen Sicherheitsmanahmen notwendigen Ressourcen und Investitionsmittel sind im Rahmen der zustndigen Mittelbewirtschaftung bereit zu stellen. Die Sicherheitsmanahmen mssen in einem wirtschaftlich vertretbaren Verhltnis zum Schaden stehen, der durch Sicherheitsvorflle verursacht werden kann. Dieser wird durch den Wert der zu schtzenden Informationen und 5/11
der informationstechnischen Systeme definiert. Zu bewerten sind dabei in der Regel die Auswirkungen auf die krperliche und seelische Unversehrtheit von Menschen, das Recht auf informationelle Selbstbestimmung, finanzielle Schden, Beeintrchtigungen des Ansehens der schsischen Kommunalverwaltungen und die Folgen von Gesetzesversten.
6/11
3.2 Informationssicherheitsziele
3.2.1 Verfgbarkeit
Fr alle IT-Verfahren sind die Zeiten, in denen sie verfgbar sein sollen, festzulegen. Strungsbedingte Ausflle sind in diesen Zeiten weitgehend zu vermeiden, d. h. nach Zahl und Dauer zu begrenzen. Die Beschreibung der notwendigen Verfgbarkeit umfasst die regelmigen Betriebszeiten die Zeiten mit erhhter Verfgbarkeitsanforderung die maximal tolerierbare Dauer einzelner Ausflle sind regelmig geplante Auszeiten, insbesondere zu
3.2.2 Vertraulichkeit
Die in allen IT-Verfahren erhobenen, gespeicherten, verarbeiteten und weiter gegebenen Daten sind vertraulich zu behandeln und jederzeit vor unbefugtem Zugriff zu schtzen. Zu diesem Zweck ist fr alle Daten der Personenkreis, dem der Zugriff gestattet werden soll, zu bestimmen. Der Zugriff auf IT-Systeme, IT-Anwendungen und Daten sowie Informationen ist auf den unbedingt erforderlichen Personenkreis zu beschrnken. Jeder Mitarbeiter erhlt eine Zugriffsberechtigung nur auf die Daten, die er zur Erfllung seiner dienstlichen Aufgaben bentigt.
3.2.3 Integritt
Informationen sind gegen unbeabsichtigte Vernderung und vorstzliche Verflschung zu schtzen. Alle IT-Verfahren sollen stets aktuelle und vollstndige Informationen liefern, eventuelle verfahrens- oder informationsverarbeitungsbedingte Einschrnkungen sind zu dokumentieren.
7/11
Verste gegen die Informationssicherheit sind unverzglich dem zustndigen IT-SB zu melden. Als Verste gelten insbesondere Handlungen, die aufgrund einer Abweichung von der Leitlinie oder den Richtlinien fr Informationssicherheit Kommunalverwaltungen oder Einrichtungen des Freistaates Sachsen materielle oder immaterielle Schden zufgen, den unberechtigten Zugriff auf Informationen, deren Preisgabe und / oder nderung zulassen, die Nutzung von Verwaltungsinformationen fr illegale Zwecke beinhalten oder eine Kompromittierung des Ansehens der Kommunalverwaltung und / oder des Freistaates Sachsen zur Folge haben.
Bei Gefahr im Verzug ist der zustndige IT-SB oder sein Stellvertreter berechtigt, die erforderlichen Sicherheitsmanahmen auch kurzfristig anzuordnen. Dies kann bis zur vorbergehenden Sperrung von Anwendungen oder Netzzugngen fhren. Die betroffene Verwaltungsleitung sowie der IT-SB KDN sind hiervon unverzglich zu unterrichten. Entstehende Kosten fr die Abschaltung und die Wiederanschaltung hat die verursachende Kommunalverwaltung zu tragen.
4.3 Fachverantwortlicher
Der Fachverantwortliche fr einen Geschftsprozess oder ein Fachverfahren ist zustndig fr:
die Festlegung der geschftlichen Relevanz seiner Informationen und deren Schutzbedarf die Sicherstellung, dass Verantwortlichkeiten explizit definiert und Sicherheitsund Kontrollmanahmen zur Verwaltung und zum Schutz seiner Informationen implementiert werden
Der Fachverantwortliche muss den Zugang auf Informationen sowie den Umfang und die Art der Autorisierung definieren, die im jeweiligen Verfahren erforderlich sind. Bei diesen Entscheidungen ist Folgendes zu bercksichtigen:
die Notwendigkeit, die Informationen entsprechend ihrer geschftlichen Relevanz zu schtzen die Aufbewahrungsvorschriften und die mit den Informationen verbundenen rechtlichen Anforderungen 9/11
inwieweit die fr die jeweiligen Geschftsanforderungen erforderlichen Informationen zugnglich sein mssen
5 Informationssicherheitsorganisation
5.1 Beauftragter fr Informationssicherheit (IT-SB KDN)
Die zentrale Sicherheitsinstanz ist der Beauftragte fr Informationssicherheit der KDN GmbH (IT-SB KDN). Er ist in der KDN GmbH angesiedelt und fr alle operativen Belange und Fragen der Informationssicherheit zustndig. Die Gesamtverantwortung der Einzelverwaltungen fr die Informationssicherheit im Rahmen ihrer Kommunalverantwortung bleibt davon unberhrt. In jeder an das KDN II angeschlossenen Stadt- / Gemeindeverwaltung ist ein Beauftragter fr Informationssicherheit zu ernennen oder extern zu beauftragen. Dieser ist fr alle operativen und koordinierenden Belange und Fragen der Informationssicherheit in seinem Verantwortungsbereich zustndig. Die Kommunalverwaltungen knnen in ihren Zustndigkeitsbereichen weitere Beauftragte fr Informationssicherheit ernennen oder extern beauftragen. Falls erforderlich, knnen weitere IT-SB fr bestimmte Bereiche, Projekte und Systeme ernannt werden. Im jeweiligen Zustndigkeitsbereich haben die IT-SB folgende Aufgaben: Steuerung des Informationssicherheitsprozesses und Mitwirkung bei allen damit zusammenhngenden Aufgaben berprfung der Umsetzung der Vorgaben zur Informationssicherheit Erstellung, Fortschreibung und Umsetzung des Sicherheitskonzeptes Vorschlag von neuen Sicherheitsmanahmen und strategien Vertretung der Kommunalverwaltung in den Angelegenheiten der Informationssicherheit Ansprechpartner fr die Mitarbeiter in den Fragen der Informationssicherheit Koordination von Sensibilisierungs- und Schulungsmanahmen
10/11
Zusammenfassung von bereichs-, projekt- oder systemspezifischen Informationen und Weiterleitung an den zustndigen BfIS der AG IS Meldung von besonders sicherheitsrelevanten Zwischenfllen
5.2 Informationssicherheitsmanagementteams
Um die Belange der Informationssicherheit bei allen strategischen Entscheidungen und Einzelmanahmen mit mglichen Auswirkungen auf die Informationssicherheit sicherzustellen, knnen in den Kommunen und kommunalen Einrichtungen grundstzlich Informationssicherheitsmanagementteams eingerichtet werden. Diese untersttzen den ITSB bei der Erfllung seiner Aufgaben.
6 Umsetzung
Auf der Grundlage dieser Leitlinie haben die Kommunalverwaltungen eigene Informationssicherheitsrichtlinien, Informationssicherheitskonzepte und weitere Regelungen zur Informationssicherheit zu gestalten.
8 Inkrafttreten
Diese Leitlinie tritt am Tag nach ihrer Verffentlichung in Kraft.
11/11