|
|
Informationssicherheitsleitlinie (IS-LL)
der
Freien Hansestadt Bremen
1. | Regelungsgegenstand, Geltungsbereich und Inkrafttreten | 3 | |
2. | Ziele der Informationssicherheit | 3 | |
3. | Grundsätze der Informationssicherheit | 3 | |
3.1 | Standards des Bundesamtes für Sicherheit in der Informationstechnik (BSI) | 3 | |
3.2 | Bereitstellung von Ressourcen | 3 | |
3.3 | Prinzip der informierten und sensibilisierten Nutzerinnen und Nutzer | 4 | |
3.4 | Sicherheit vor Verfügbarkeit | 4 | |
3.5 | Es gelten die Grundsätze der Schutzbedarfsfeststellung | 4 | |
3.6 | Minimalprinzip bei Zugriffs- und Nutzungsrechten | 4 | |
4. | Verantwortlichkeiten und Rollen | 4 | |
4.1 | Verantwortung der Leitungsebene | 4 | |
4.2 | Verantwortung der Beschäftigten | 5 | |
4.3. | Fachverantwortliche | 5 | |
4.4. | Einsatz externer Leistungserbringer | 5 | |
5. | Informationssicherheitsorganisation | 5 | |
5.1 | Informationssicherheitsbeauftragte der FHB | 5 | |
5.2 | Informationssicherheitsbeauftragte der Ressorts | 6 | |
5.3 | Arbeitsgruppe Informationssicherheitsmanagement | 6 | |
5.4 | Computer Emergency Response Team (CERT Nord) | 7 | |
6. | Fortschreibung und Revision | 7 | |
7. | Schlussbestimmungen | 7 | |
Die Senatorin für Finanzen erlässt im Bekenntnis zum Stellenwert der Informationssicherheit für die FHB die vorliegende Informationssicherheitsleitlinie als die grundlegende Regelung zur Informationssicherheit.
Die Senatorin für Finanzen und jedes Ressort achten in ihrem jeweiligen Geschäftsbereich auf die Einhaltung dieser Leitlinie. Soweit diese für ihre Geschäftsbereiche Regelungen zur Informationssicherheit erarbeiten, geschieht dies stets auf Grundlage dieser Leitlinie.
Für den Schutz von Informationen sind zunächst Zielzustände zu definieren, welche mit geeigneten Sicherheitsmechanismen erreicht werden sollen. Je nach Aufgabenspektrum können unterschiedliche Schwerpunkte gesetzt bzw. Grundwerte formuliert werden.
Übergeordnete und unabdingbare Bedeutung für die Freie Hansestadt Bremen erlangen die drei Grundschutzziele:
Die Betrachtung weiterer Sicherheitsziele bzw. Grundwerte kann je nach Einsatzfall zu einer differenzierteren und ausgewogeneren Bewertung des Schutzbedarfes der Informationen führen. Insofern besteht grundsätzlich die Möglichkeit, weitere Sicherheitskriterien – unbeschadet etwaiger Schnittmengen zwischen einzelnen Kriterien – heranzuziehen. Beispielhaft seien hier die Authentizität, die Revisionsfähigkeit, die Nichtverkettbarkeit sowie die Transparenz genannt.
Zur Erreichung und Aufrechterhaltung eines angemessenen und ausreichenden Informationssicherheitsniveaus sind für die Freie Hansestadt Bremen die Standards und Kataloge des BSI maßgeblich.
Zur Erreichung der IT-Sicherheitsziele sind durch die Senatorin für Finanzen und die Ressorts ausreichende Ressourcen zur Verfügung zu stellen. Sollten einzelne IT-Sicherheitsprozesse nicht finanzierbar sein, sind die Geschäftsprozesse, die IT-Sicherheitsstrategie sowie die Art und Weise des IT-Betriebs zu überdenken und gegebenenfalls anzupassen.
Gezielte Sensibilisierung sowie Qualifizierung der Beschäftigten sind die Grundvoraussetzung für die Informationssicherheit. Die Beschäftigten der FHB gewährleisten die notwendige und angemessene IT-Sicherheit durch ihr verantwortungsvolles Handeln.
Wird die IT-Infrastruktur angegriffen oder bedroht, können entsprechend der Schutzbedarfe vorübergehende Verfügbarkeitsbeschränkungen der betroffenen IT-Systeme vorgenommen werden. Dabei sind Einschränkungen beim Betrieb sowie im Komfort der Bedienung, insbesondere bei Netzübergängen in das Internet, vertretbar.
Bei Gefahr im Verzug insbesondere bei ressortübergreifenden Sicherheitsvorfällen kann der Informationssicherheitsbeauftragte der FHB die erforderlichen Sicherheitsmaßnahmen kurzfristig anordnen. Dies kann bis zur vorübergehenden Sperrung von Anwendungen oder Netzzugängen führen. Die betroffene Dienststellenleitung sowie das zuständige Informationssicherheitsmanagement sind hiervon unverzüglich zu unterrichten.
Alle Informationen, die in Prozessen der FHB verarbeitet werden, sind hinsichtlich ihres jeweiligen Schutzbedarfs nach den BSI-Standards zu klassifizieren.
Der Zugriff auf IT-Systeme ist auf den erforderlichen Personenkreis einzuschränken. Die Zugriffsrechte werden auf das erforderliche Maß zur Aufgabenerfüllung beschränkt.
Die Verantwortung für die ordnungsgemäße und sichere Aufgabenerledigung und damit für die Informationssicherheit hat die Leitung der Behörde oder Einrichtung (Dienststellenleitung). Sie oder die vorgesetzte Dienstbehörde erlässt die erforderlichen Regelungen zur Informationssicherheit für den Bereich der Dienststelle oder Einrichtung. Die aktuellen Regelungen sind den Beschäftigten bekannt zu geben. Die Dienststellenleitung trägt die Verantwortung für die Umsetzung der vereinbarten Sicherheitsmaßnahmen und eine geeignete Dokumentation. Die Leitungen können die Verantwortung an die für die einzelnen Fachverfahren jeweils zuständigen Fachverantwortlichen delegieren. Hierzu gehört die Nutzungsverwaltung einschließlich der Zugriffsrechte auf der Ebene der Fachverfahren. Sie stellt die Mittel für die Beschaffung und den Betrieb der vereinbarten Sicherheitsmaßnahmen zur Verfügung und veranlasst erforderliche Schulungsmaßnahmen. Die Dienststellen und Einrichtungen sind für eine dem jeweiligen Aufgabengebiet angemessene Informationssicherheit verantwortlich.
Alle Beschäftigten gewährleisten die Informationssicherheit durch ihr verantwortungsvolles Handeln und halten die für die Informationssicherheit relevanten Gesetze, Vorschriften, Richtlinien, Anweisungen und vertraglichen Verpflichtungen ein.
Fachverantwortliche für einen Geschäftsprozess oder ein IT-Fachverfahren sind zuständig für:
Personen, Dienststellen und Unternehmen, die nicht zur FHB gehören, für diese aber Leistungen erbringen, haben die Vorgaben des Auftraggebers zur Einhaltung der Informationssicherheitsziele gemäß dieser Leitlinie einzuhalten. Der Auftraggeber verpflichtet ihn in geeigneter Weise zur Einhaltung. Dazu gehört, dass der Auftragnehmer bei erkennbaren Mängeln und Risiken eingesetzter Sicherheitsmaßnahmen den Auftraggeber zu informieren hat.
Für die FHB ist für die ressortübergreifende IT die Stelle des Informationssicherheitsbeauftragten des Landes (IT-SiBe Land) einzurichten. Die Aufgaben dieser Stelle umfassen:
Die Ressorts haben Informationssicherheitsbeauftragte für den jeweiligen Geschäftsbereich (IT-SiBe Ressort) zu benennen.
Die Aufgaben eines IT-SiBe Ressort umfassen:
Die Zusammenarbeit der IT-SiBe und der behördlichen Datenschutzbeauftragten in Bezug auf den Umgang mit personenbezogenen Daten ist dabei unerlässlich.
Die entsprechenden Dienstvereinbarungen der FHB sind hierbei zu beachten.
Den IT-SiBe des Ressort bzw. der Dienststellen sowie deren Stellvertretungen sind dabei ausreichende Möglichkeiten einer qualifizierten Aus- und Fortbildung in Themen der Informationssicherheit zu gewähren.
Zur Umsetzung der Informationssicherheitsorganisation und Unterstützung der Informationssicherheitsbeauftragten wird eine Arbeitsgruppe Informationssicherheitsmanagement (AG ISM) gebildet. Um die verschiedenen Aspekte der Informationssicherheit in der FHB berücksichtigen zu können, arbeiten in der AG ISM ständige, nichtständige sowie sonstige Mitglieder zusammen. Die AG ISM gibt sich in Abstimmung mit den Ressorts eine Geschäftsordnung.
Für die FHB ist beim zentralen IT-Dienstleister ein CERT als zentrale Anlaufstelle für präventive sowie reaktive Maßnahmen in Bezug auf sicherheits- und verfügbarkeitsrelevante Vorfälle aufzubauen. Relevante Sicherheitsvorfälle müssen dem CERT gemeldet werden.
Die vorliegende Informationssicherheitsleitlinie wird entweder anlassbezogen oder regelmäßig alle 2 Jahre einer überprüfenden Revision unterzogen. Die Informationssicherheitsleitlinie wird dabei durch Mitglieder der AG ISM inhaltlich überprüft und im Bedarfsfall aktualisiert und danach zur Abstimmung gebracht.
Die Zuweisungen der Rollen sowie die Einrichtung der AG ISM gemäß der Inhaltsangabe sind mit einer Frist von 12 Monaten nach Inkrafttreten dieser Informationssicherheitsleitlinie umzusetzen.
Die Verwaltungsvorschrift tritt am Tage ihrer Veröffentlichung in Kraft.
