ARCHIV

Leitlinie zur Gewährleistung der IT-Sicherheit in der Landesverwaltung Brandenburg (IT-Sicherheitsleitlinie)

0. Präambel

Für die Staatskanzlei, die Landesministerien und die ihnen nachgeordneten Behörden, Einrichtungen und Landesbetriebe - im folgenden Landesverwaltung - sowie für die Gerichte und Staatsanwaltschaften des Landes - im folgenden Justiz - ist die Unversehrtheit, die Verfügbarkeit und in vielen Fällen auch die Vertraulichkeit von Informationen von größter Bedeutung. Maßgaben zur Informationssicherheit sind nicht nur gesetzlich vorgeschrieben, sondern auch Teil der Verpflichtungen gegenüber der parlamentarischen Kontrolle, den Aufsichtsbehörden und den Bürgern. Jeder Mitarbeiter der Landesverwaltung und Justiz muss daher sein Handeln nach diesen Maßgaben und den daraus abgeleiteten Standards und Richtlinien ausrichten.

Jede Dienststellenleitung bzw. Geschäftsführung ist verantwortlich für die IT-Sicherheit in ihrem Bereich. Sie hat geeignete Maßnahmen im Sinne der IT-Sicherheitsleitlinie zu treffen, um die Verfügbarkeit der eingesetzten Systeme und die Integrität der Informationen zu sichern. Bei behördenübergreifenden vernetzten Systemen hat sie zudem die Unterstützung des zentralen IT-Sicherheitsmanagements zu gewährleisten.

Jede Dienststellenleitung bzw. Geschäftsführung hat die Risiken, die sich beim Einsatz von Informationstechnik ergeben, bewusst zu steuern. Optionen zur Behandlung der Risiken sind die Ergreifung geeigneter Maßnahmen zur Verminderung der Risiken, die bewusste und objektive Akzeptanz der Risiken und die Übertragung der Risiken auf Dienstleister bzw. Versicherungen. Bei der Erarbeitung von Richt- bzw. Leitlinien zum Risikomanagement bzw. zum Qualitätsmanagement in der Landesverwaltung und Justiz sind die Regelungen der IT-Sicherheitsleitlinie zu berücksichtigen.

1. Gegenstand und Geltungsbereich

Die IT-Sicherheitsleitlinie dient der Gewährleistung der IT-Sicherheit in der Landesverwaltung und Justiz. Die IT-Sicherheitsleitlinie beschreibt den Aufbau und den Betrieb eines zentral koordinierten, ressortübergreifenden Informationssicherheitsmanagementsystems (ISMS). Ziel des ISMS ist es, durch eine ressortübergreifende IT-Sicherheitskoordinierung und ressortübergreifende Regelwerke die Erfüllung der IT-Sicherheitsziele der Landesverwaltung und Justiz zu gewährleisten.

Durch die IT-Sicherheitsleitlinie soll sichergestellt werden, dass dem jeweiligen Schutzzweck angemessene und dem Stand der Technik entsprechende Sicherheitsmaßnahmen ergriffen werden, um Informationswerte und personenbezogene Daten angemessen zu schützen und um die Verfügbarkeit von informationstechnischen bzw. kommunikationstechnischen Verfahren zu gewährleisten.

Die IT-Sicherheitsleitlinie ist Bestandteil eines hierarchisch abgestuften Regelwerks:

• die IT-Standardisierungsrichtlinie beinhaltet die IT-Sicherheitsstrategie und die IT-Sicherheitsstandards der Landesverwaltung und Justiz,
• die IT-Sicherheitsleitlinie setzt die strategischen Vorgaben der IT-Standardisierungsrichtlinie um
• und ist das übergeordnete Regelwerk für IT-Sicherheitsrichtlinien und IT-Sicherheitskonzepte der Ressorts bzw. einzelner Einrichtungen (siehe Abbildung 1).

Die IT-Sicherheitsleitlinie gilt für die Landesverwaltung und Justiz. Sie muss von allen Dienststellen der Landesverwaltung und Justiz entsprechend ihrer Aufgabenverantwortung umgesetzt und ausgestaltet werden.

Dem Landtag und dem Landesrechnungshof wird die Anwendung der IT-Sicherheitsleitlinie empfohlen.

Bei einer zukünftigen Beteiligung der Kommunen des Landes Brandenburg an gemeinsamen E-Government-Vorhaben im Rahmen der EU-Dienstleistungsrichtlinie kann diese IT-Sicherheitsleitlinie auch auf diese Bereiche ausgedehnt werden.

Länderübergreifende IT-Verbünde auf Grundlage von Staatsverträgen oder Verwaltungsabkommen sind von der Regelung im Zusammenhang mit dieser Leitlinie ausgenommen, soweit die Gewährleistung der IT-Sicherheit im entsprechenden Verbund geregelt wird. Das im Verbund erzielte Sicherheitsniveau darf dabei nicht hinter das in dieser Sicherheitsleitlinie beschriebene Niveau zurückfallen.

2. Definitionen

Für die IT-Sicherheitsleitlinie gelten die folgenden Definitionen.

2.1 IT-Sicherheit

IT-Sicherheit im Sinne von Informationssicherheit ist die Sicherung und Aufrechterhaltung der:

• Vertraulichkeit: Gewährleistung des physikalischen bzw. logischen Zugangs zu Informationen nur für die Zugriffsberechtigten,
• Integrität: Sicherstellung der Richtigkeit und Vollständigkeit von Informationen und Verarbeitungsmethoden,
• Verfügbarkeit: Gewährleistung des bedarfsorientierten Zugangs zu Informationen und zugehörigen Werten für berechtigte Benutzer.

2.2 Informationssicherheitsmanagementsystem (ISMS)

Unter einem ISMS wird der Teil des gesamten Managementsystems verstanden, der auf Basis eines Geschäftsrisikoansatzes die Entwicklung, Implementierung, Durchführung, Überwachung, Überprüfung, Aufrechterhaltung und Verbesserung der IT-Sicherheit abdeckt. Das Managementsystem umfasst dabei Strukturen, Richtlinien, Planungsaktivitäten, Verantwortlichkeiten, Praktiken, Verfahren, Prozesse und Ressourcen einer Organisation.

2.3 Informationstechnik (IT)

Informationstechnik (IT) im Sinne der IT-Sicherheitsleitlinie umfasst alle Formen der elektronischen Informationsverarbeitung und Telekommunikation.

2.4 Informationseigentümer

Zu jedem IT-unterstützten Geschäftsprozess und jeder Fachanwendung muss ein Ansprechpartner benannt werden, der als so genannter Informationseigentümer für alle Fragen der Informationsverarbeitung und der Informationssicherheit im Rahmen dieses Geschäftsprozesses verantwortlich ist.

Der Verantwortliche für einen Geschäftsprozess muss als Informationseigentümer (siehe Ziffer 5.1) sicherstellen, dass die für seinen Geschäftsprozess relevanten IT-Sicherheitsmaßnahmen dem Sicherheits- und Kontrollumfang der Schutzbedarfsfeststellung entsprechen.

2.5 Sicherheitsdomänen

IT-Sicherheitsrichtlinien bzw. Sicherheitskonzepte beziehen sich immer auf eine bestimmte Sicherheitsdomäne. Als Sicherheitsdomäne wird dabei ein logisch, organisatorisch oder räumlich zusammengehöriger Bereich mit einheitlichen Sicherheitsanforderungen und/oder einheitlicher Sicherheitsadministration bezeichnet. Insbesondere bilden die Ressorts eigene Sicherheitsdomänen.

3. Ziele der IT-Sicherheit

Allgemeingültige Sicherheitsziele innerhalb der Landesverwaltung und Justiz sind:

• Zuverlässige Unterstützung der Geschäftsprozesse durch die IT und Sicherstellung der Kontinuität der Arbeitsabläufe innerhalb der Organisation,
• Realisierung sicherer und vertrauenswürdiger E-Government-Verfahren,
• Erhaltung der in Technik, Informationen, Arbeitsprozesse und Wissen investierten Werte,
• Sicherung der hohen, möglicherweise unwiederbringlichen Werte der verarbeiteten Informationen,
• Erhalt bzw. Gewährleistung der aus gesetzlichen Vorgaben resultierenden Anforderungen,
• Gewährleistung des informationellen Selbstbestimmungsrechts des Betroffenen bei der Verarbeitung personenbezogener Daten,
• Reduzierung der im Schadensfall entstehenden Kosten sowie
• Wahrung besonderer Dienst- oder Amtsgeheimnisse.

Jedes Ressort kann für seinen Bereich weitere angepasste IT-Sicherheitsziele aufstellen.

4. Grundsätze der Sicherheitspolitik

Bei der Erstellung von IT-Sicherheitsrichtlinien bzw. Sicherheitskonzepten sind folgende Grundsätze zu berücksichtigen.

4.1 Angemessenheit von Sicherheitsmaßnahmen

Aufwand und Ziele von Sicherheitsmaßnahmen müssen in einem angemessen Verhältnis zueinander stehen, wobei das Verhältnis nach den Methoden des IT-Grundschutzhandbuches des Bundesamtes für die Sicherheit in der Informationstechnik (IT-GSHB) oder anderen anerkannten Methoden bestimmt werden muss.

Neben der Beachtung gesetzlich vorgeschriebener Sicherheitsanforderungen müssen sich daraus ergebende Sicherheitsmaßnahmen zugleich auch immer im Verhältnis zum Schutzzweck einer Angemessenheitsprüfung unterzogen werden.

Bei der Auswahl und Umsetzung von Sicherheitsmaßnahmen ist darauf zu achten, dass der Ablauf von Geschäftsprozessen möglichst wenig durch die Sicherheitsmaßnahmen beeinträchtigt wird.

4.2 Bereitstellung von ausreichenden Ressourcen für die IT-Sicherheit

Zur Erreichung und Aufrechterhaltung eines angemessenen Maßes an IT-Sicherheit sind ausreichende finanzielle, personelle und zeitliche Ressourcen bereitzustellen. Beim Festlegen des IT-Sicherheitsniveaus und bei der Formulierung konkreter IT-Sicherheitsanforderungen für die jeweilige Einrichtung ist darauf zu achten, dass das angestrebte IT-Sicherheitsniveau auch wirtschaftlich sinnvoll ist.

Sollten die gestellten Sicherheitsanforderungen nicht finanzierbar sein, müssen die Sicherheitsanforderungen, aber auch die Geschäftsprozesse und die Art und Weise des IT- Betriebes grundsätzlich überdacht werden.

4.3 Einbindung aller Mitarbeiter in den IT-Sicherheitsprozess

IT-Sicherheit betrifft ohne Ausnahme alle Mitarbeiter. Jeder Einzelne kann durch verantwortungs- und sicherheitsbewusstes Handeln dabei helfen, Schäden zu vermeiden und zum Erfolg beitragen. Sensibilisierung für IT-Sicherheit und fachliche Schulungen der Mitarbeiter sind daher eine Grundvoraussetzung für IT-Sicherheit.

Mitarbeiter müssen über den Sinn von Sicherheitsmaßnahmen aufgeklärt werden. Dies ist besonders wichtig, wenn sie Komfort- oder Funktionseinbußen zur Folge haben. Die Sicherheitsmaßnahmen sollten für den Anwender transparent und verständlich sein, sofern dadurch kein Sicherheitsrisiko entsteht.

4.4 Informationsklassifizierung und Informationsschutz

Alle Informationen, welche im Rahmen von IT-unterstützten Geschäftsprozessen verarbeitet werden, müssen anhand ihres Schutzbedarfs klassifiziert werden. Die Schutzbedarfsfeststellung und deren Dokumentation erfolgt dabei entsprechend den Vorgaben des BSI-Standards 100-2.

4.5 Sicherheit der Informationssysteme während des Lebenszyklus

Vor dem erstmaligen Einsatz von informationstechnischen bzw. kommunikationstechnischen Verfahren ist zu prüfen, ob Risiken gemäß den ermittelten Schutzzielen bestehen oder sich durch den Einsatz ergeben können. Einschlägige rechtliche Regelungen, insbesondere das Brandenburgische Datenschutzgesetz (BbgDSG), sind zu berücksichtigen. Gegebenenfalls sind im Rahmen eines nach den BSI-Standards 100-2 und 100-3 erstellten Sicherheitskonzeptes geeignete Sicherheitsmaßnahmen zur Behandlung der Risiken zu bestimmen und für das Verfahren umzusetzen. Dabei ist das IT-GSHB in der jeweils aktuellen Version als Maßnahmenkatalog zugrunde zu legen. Ausnahmen hiervon sind zulässig, wenn nachgewiesen wird, dass das er-reichte Schutzniveau nicht hinter das der BSI-Standards und des IT-GSHB zurückfällt. Für Bereiche mit hohem bzw. sehr hohem Schutzbedarf sind zusätzliche Methoden anzuwenden, z. B. erweiterte Risikoanalysen, Penetrationstests oder Diffe-renz-Sicherheitsanalysen.

Während des Lebenszyklus von Informationssystemen müssen die Risikoanalysen in angemessenen Abständen regelmäßig wiederholt werden, um zu prüfen, ob die ausgewählten Sicherheitsmaßnahmen noch ausreichend sind.

Neue Hardware bzw. Software muss den geltenden IT-Sicherheitsstandards des Landes Brandenburg entsprechen.

4.6 Bildung von IT-Sicherheitsdomänen

Sicherheitsdomänen sind durch entsprechende technische und organisatorische Maßnahmen abzugrenzen. Die technische Abgrenzung kann z. B. durch eine Firewall und die organisatorische Abgrenzung durch die Bildung einer entsprechenden IT-Sicherheitsorganisation erfolgen.

5. Rollen und Verantwortlichkeiten

5.1 Informationseigentümer

Der Informationseigentümer ist zuständig für:

• die Festlegung der geschäftlichen Relevanz seiner Informationen und die Schutzbedarfsfeststellung,
• die Sicherstellung, dass Verantwortlichkeiten explizit definiert und Sicherheits- und Kontrollmaßnahmen zur Verwaltung und zum Schutz seiner Informationen implementiert werden.

Der Informationseigentümer muss die Zugänglichkeit auf Informationen sowie den Umfang und die Art der Autorisierung definieren, die im jeweiligen Zugriffsverfahren erforderlich ist. Bei diesen Entscheidungen ist Folgendes zu berücksichtigen:

• die Notwendigkeit, die Informationen entsprechend ihrer geschäftlichen Relevanz zu schützen,
• die Aufbewahrungsvorschriften und mit den Informationen verbundenen rechtlichen Anforderungen und
• inwieweit die für die jeweiligen Geschäftsanforderungen erforderlichen Informationen zugänglich sein müssen.

5.2 Nutzer

Nutzer sind bei der Erstellung, Nutzung und Verwaltung von Informationen verpflichtet, die IT-Sicherheitsleitlinie und die IT-Sicherheitsstandards sowie die weiteren Maßgaben der Landesverwaltung und Justiz, denen die IT-Sicherheitsleitlinie zu Grunde liegt, einzuhalten.

5.3 IT-Sicherheitsmanagement

Für jede IT-Sicherheitsdomäne sind IT-Sicherheitsbeauftragte bzw. verantwortliche Administratoren zu benennen.

Zur Unterstützung eines effektiven IT-Sicherheitsmanagements in der Landesverwaltung wird ein ressortübergreifendes Expertenteam gebildet (siehe Ziffer 6.1).

6. Die IT-Sicherheitsorganisation

6.1 Das IT-Sicherheitsmanagement-Team

Eine wesentliche Bedeutung für die IT-Sicherheitsorganisation der Landesverwaltung hat das IT-Sicherheitsmanagement-Team. Das IT-Sicherheitsmanagement-Team wird durch den IT-Sicherheitsmanager der Landesverwaltung und die IT-Sicherheitsbeauftragten der Staatskanzlei und der Ressorts gebildet. Der Landesbeauftragte für den Datenschutz und das Recht auf Akteneinsicht, der Zentrale IT-Dienstleister des Landes und der Ausschuss für Organisation (AfO) wirken beratend mit. Das IT-Sicherheitsmanagement-Team arbeitet eng mit dem IMA-IT zusammen.

Vorsitz und Geschäftsführung des IT-Sicherheitsmanagement-Teams obliegen der IT-Leitstelle, welche durch den IT-Sicherheitsmanager vertreten wird.

Die Verwaltung des Landtages und der Landesrechnungshof können nach eigenem Ermessen jederzeit beratend mitwirken. Sie werden zu den Sitzungen des IT-Sicherheitsmanagement-Teams eingeladen und über die Ergebnisse der Sitzungen unterrichtet.

Andere Verwaltungseinheiten oder Einzelpersonen, auch Externe, können auf Einladung durch den IT-Sicherheitsmanager beratend hinzugezogen werden.

Das IT-Sicherheitsmanagement-Team hat folgende Aufgaben:

• IT-Sicherheitsziele und -strategien sowie die IT- Sicherheitsleitlinie mit Unterstützung des CERT zu entwickeln bzw. weiterzuentwickeln,
• ressortübergreifende IT-Systemrichtlinien und IT-Sicherheitsstandards (siehe Anlage 1) zu entwickeln bzw. weiterzuentwickeln,
• die Umsetzung der IT-Sicherheitsleitlinie zu kontrollieren,
• den ressortübergreifenden IT-Sicherheitsprozess zu initiieren und zu begleiten,
• spezifische Methoden und Prozesse für die IT-Sicherheit zu vereinbaren,
• an der Erarbeitung von Vorgaben für Hard- und Software mitzuwirken, die der Gewährleistung oder Verbesserung der IT-Sicherheit von zentral betriebenen Querschnittsverfahren dienen, wie z.B. Firewall-Lösungen, Virenschutzsoftware, Verschlüsselungssoftware oder VPN-Lösungen,
• zu überprüfen, ob die in den IT-Systemrichtlinien geplanten Sicherheitsmaßnahmen wie beabsichtigt funktionieren und geeignet und wirksam sind, insbesondere für das Landesverwaltungsnetz (LVN),
• bei der Erstellung der jährlichen IT-Sicherheitsberichte und Umsetzungspläne "IT-Sicherheit" mitzuwirken sowie
• die Erstellung von Schulungs- und Sensibilisierungsprogrammen für IT-Sicherheit zu unterstützen.

6.2 Die IT-Leitstelle und der IT-Sicherheitsmanager

Der IT-Leitstelle werden folgende Funktionen und Aufgaben zugewiesen:

• Einsetzung eines IT-Sicherheitsmanagers für die Landesverwaltung,
• strategische Zusammenarbeit mit dem Zentralen IT-Dienstleister auf dem Gebiet der IT-Sicherheit,
• Erarbeitung strategischer Vorgaben zur Errichtung und zum Betrieb einer zentralen Anlaufstelle für präventive und reaktive Maßnahmen in Bezug auf sicherheits- und verfügbarkeitsrelevante Vorfälle in Computer-Systemen (CERT-Brandenburg) sowie
• Erarbeitung von Vorgaben für Hard- und Software, die der Gewährleistung oder Verbesserung der IT-Sicherheit von zentral betriebenen Querschnittsverfahren dienen, wie z.B. Firewall-Lösungen, Virenschutzsoftware, Verschlüsselungssoftware oder VPN-Lösungen.

Der von der IT-Leitstelle eingesetzte IT-Sicherheitsmanager der Landesverwaltung hat folgende Aufgaben:

• Koordinierung des IT-Sicherheitsmanagement-Teams,
• Beratung des Landesausschusses für E-Government und IT in IT-Sicherheitsfragen,
• Federführung bei der Erstellung des jährlichen Sicherheitsberichtes,
• jährliche Unterrichtung des Landesausschusses für E-Government und IT durch einen Sicherheitsbericht und Vorlage eines jährlichen Umsetzungsplanes "IT-Sicherheit" zum Beschluss durch den Landesausschuss,
• Überprüfung und Eskalation (d. h. Einschaltung des Landesausschusses für E-Government und IT) von Sicherheitsvorfällen sowie
• Auditierung der IT-Sicherheit in der Landesverwaltung.

6.3 Der IT-Sicherheitsbeauftragte des Ressorts

Die Staatskanzlei und jedes Ministerium haben einen fachlich qualifizierten IT-Sicherheitsbeauftragten für ihr Ressort zu benennen. Der IT-Sicherheitsbeauftragte ist zuständig für die Wahrnehmung aller Belange der IT-Sicherheit innerhalb des Ressorts. Die Hauptaufgabe des IT-Sicherheitsbeauftragten besteht darin, die Dienststellenleitung bei der Wahrnehmung ihrer Aufgaben im Hinblick auf die IT-Sicherheit zu beraten und bei deren Umsetzung zu unterstützen. Die Aufgaben des IT-Sicherheitsbeauftragten des Ressorts umfassen unter anderem:

• im gesamten IT-Sicherheitsprozess mitzuwirken,
• die Erstellung von IT-Sicherheitsrichtlinien und IT-Sicherheitskonzepten im Ressort zu unterstützen,
• einen jährlichen Umsetzungsplan zur IT-Sicherheit im Ressort zu erarbeiten und die Umsetzung zu überprüfen,
• der Leitungsebene zu berichten,
• den IT-Sicherheitsmanager zu informieren,
• im IT-Sicherheitsmanagement-Team des Landes mitzuarbeiten,
• den Informationsfluss zwischen Bereichs-IT-Sicherheitsbeauftragten und behördlichen Datenschutzbeauftragten sicherzustellen,
• bei der Schutzbedarfsfeststellung mitzuwirken,
• die Realisierung für IT-Sicherheitsmaßnahmen zu initiieren und zu überprüfen,
• sicherheitsrelevante Projekte zu begleiten,
• Sensibilisierungs- und Schulungsmaßnahmen anzuregen. Der IT- Sicherheitsbeauftragte kann ressortweit die Durchführung von Sensibilisierungs- und Schulungsmaßnahmen koordinieren.
• evtl. auftretende sicherheitsrelevante Zwischenfälle festzustellen und zu untersuchen sowie
• Audits zur Erkennung von Schwachstellen durchzuführen.

Für den nachgeordneten Bereich können die Ressorts in eigener Zuständigkeit weitere IT-Sicherheitsbeauftragte benennen oder die Benennung auf diesen Bereich delegieren.

Der IT-Sicherheitsbeauftragte des Ressorts bzw. der betroffene Bereichs-IT-Sicherheitsbeauftragte ist bei allen neuen Projekten mit IT-Bezug sowie bei der Einführung neuer IT-Anwendungen und IT-Systeme zu beteiligen, um die Beachtung von IT-Sicherheitsaspekten in den verschiedenen Projektphasen zu gewährleisten.

Die fachliche Qualifikation und die Arbeitsfähigkeit der IT- Sicherheitsbeauftragen in den Ressorts und der nachgeordneten Bereiche wird gewährleistet durch Freistellung im erforderlichen Umfang sowie regelmäßige Fortbildung.

6.4 CERT-Brandenburg

Für die Landesverwaltung und Justiz ist beim Zentralen IT-Dienstleister schrittweise ein CERT-Brandenburg als zentrale Anlaufstelle für präventive und reaktive Maßnahmen in Bezug auf sicherheits- und verfügbarkeitsrelevante Vorfälle aufzubauen.

Die Dienstleistungen des CERT-Brandenburg umfassen:

• die Unterstützung der Arbeit des IT-Sicherheitsmanagement-Teams,
• die Mitarbeit bei der Erstellung von IT-Systemrichtlinien,
• die Analyse eingehender Vorfallsmeldungen,
• die Erstellung daraus abgeleiteter Empfehlungen,
• das Betreiben eines Warn- und Informationsdienstes,
• das Betreiben einer Datenbank über Sicherheitsvorfälle,
• die aktive Alarmierung bei akuten Gefährdungen sowie
• Öffentlichkeitsarbeit und Unterstützung von Schulungsmaßnahmen.

7. Der landesweite IT-Sicherheitsprozess

Der landesweite IT-Sicherheitsprozess hat das Ziel, in allen Ressorts ein ISMS zur Gewährleistung des IT-Grundschutzes entsprechend den BSI-Standards 100-1 und 100-2 zu etablieren. Zur Sicherstellung der Qualität des ISMS ist die Beschreibung des IT-Sicherheitsprozesses durch ein PDCA-Modell mit den Phasen Planen, Durchführen, Überwachen und Optimieren geeignet (siehe Abbildung 2).

7.1 Planen des ISMS

Die Ressorts passen ihren IT-Sicherheitsprozess den Vorgaben des BSI-Standards 100-2 an. Die Ressorts verabschieden auf der Grundlage der IT-Sicherheitsleitlinie für ihren Geschäftsbereich eine IT-Sicherheitsrichtlinie und legen IT-Sicherheitsdomänen fest.

Das IT-Sicherheitsmanagement-Team konkretisiert die Maßnahmen des IT-GSHB durch Vorschläge zu landesweit verbindlichen IT-Systemrichtlinien bzw. IT-Sicherheitsstandards (siehe Anlage 1), die dann vom Landesausschuss für E-Government und IT beschlossen werden.

7.2 Umsetzung und Durchführung des ISMS

Alle Dienststellen der Landesverwaltung und Justiz haben für ihren Bereich (IT-Sicherheitsdomäne) unter Beachtung der IT-Sicherheitsleitlinie und der jeweiligen IT-Sicherheitsrichtlinie eine IT-Sicherheitskonzeption nach IT-Grundschutz gemäß BSI-Standard 100-2 mit konkreten organisatorischen und technischen Anforderungen, Verantwortlichkeiten, Sicherheitsmaßnahmen und Regeln zur Durchsetzung zu erstellen.

Insbesondere sind für jede Dienststelle der Landesverwaltung und Justiz ein Virenschutzkonzept, ein Datensicherungs- und Archivierungskonzept, ein Notfallvorsorgekonzept und IT-Sicherheitsregeln für die IT-Nutzung zu erarbeiten.

7.3 Überwachung und Prüfung des ISMS

Die IT- Stellen sind verpflichtet, alle aufgetretenen Sicherheitsvorfälle, welche die IT-Sicherheit anderer Dienststellen der Landesverwaltung und Justiz beeinträchtigen könnten, dem CERT-Brandenburg zu melden. Dies umfasst u. a. Virenmeldungen, festgestellte Einbruchsversuche in IT-Systeme, festgestellte IT-Sicherheitslücken, Verlust von Backupmedien mit Systemkonteninformationen und auffällige Aktivitäten auf Firewallsystemen bzw. auf Intrusion Detection Systemen.

Das CERT-Brandenburg klassifiziert die gemeldeten Vorfälle und informiert je nach Schwere der Sicherheitsvorfälle den IT-Sicherheitsmanager und die IT-Sicherheitsbeauftragten weiterer Ressorts.

Die IT-Leitstelle richtet beim CERT-Brandenburg eine Datenbank ein, in der Sicherheitsverletzungen und -vorfälle erfasst werden. Die jeweilige Dienststellenleitung bzw. Geschäftsführung kann sich für den eigenen Bereich auf Grundlage dieser Datenbank jederzeit einen Überblick über die Gefährdungslage verschaffen.

Der IT-Sicherheitsmanager überprüft regelmäßig die Wirksamkeit des ISMS. Er kann dazu in allen Ressorts Penetrationstests oder angemessene Sicherheits-Audits vorgeben. Die Durchführung von Penetrationstests oder Sicherheits-Audits wird dann durch den IT- Sicherheitsbeauftragten des jeweiligen Ressorts gesteuert. Für die Penetrationstests vereinbart das IT-Sicherheitsmanagement-Team ein verbindliches Testszenario.

Der IT-Sicherheitsmanager wertet mit dem betroffenen IT-Sicherheitsbeauftragten die vorgenommenen Audits aus und entwickelt mit den IT-Sicherheitsbeauftragten gemeinsam einen Behandlungsplan der durch das Audit festgestellten Risiken. Des Weiteren fragt der IT-Sicherheitsmanager jährlich den Stand der IT-Sicherheit in den Ressorts ab. Unter Berücksichtigung der Auditergebnisse, der Sicherheitsvorfälle, der Vorschläge und des Feedbacks der IT-Sicherheitsbeauftragten der Ressorts erstellt der IT-Sicherheitsmanager einen jährlichen IT-Sicherheitsbericht und legt diesen dem Landesausschuss für E-Government und IT zum Beschluss vor. Der IT-Sicherheitsbericht schätzt die aktuellen Risiken ein, trifft Aussagen zur Wirksamkeit des ISMS und zur Wirksamkeit der durchgeführten Sicherheitsmaßnahmen und beinhaltet einen Plan zur Behandlung der identifizierten Risiken.

7.4 Aufrechterhaltung und Verbesserung des ISMS

Das IT-Sicherheitsmanagement-Team setzt die im IT-Sicherheitsbericht identifizierten und durch den Landesausschuss für E-Government und IT beschlossenen Verbesserungen des ISMS um. Das IT-Sicherheitsmanagement-Team stellt sicher, dass die Verbesserungen die beabsichtigten Ziele erreichen.

Das IT-Sicherheitsmanagement-Team überprüft in regelmäßigen Abständen, ob:

• sich Rahmenbedingungen geändert haben, die dazu führen, dass das Vorgehen in Bezug auf IT-Sicherheit geändert werden muss,
• die IT-Sicherheitsziele noch angemessen sind und ob
• die IT-Sicherheitsleitlinie noch aktuell ist.

8. IT-Sicherheitsstandards

Die Standards in Bezug auf IT-Sicherheit sind in der Anlage 2 der IT-Standardisierungsrichtlinie (IT-Standards) aufgeführt. Die Schwerpunkte der Fortschreibung der IT-Sicherheitsstandards liegen der IT-Sicherheitsleitlinie als Anlage 1 bei.

9. Durchsetzung

Die Ressorts regeln in ihrer jeweiligen IT-Sicherheitsrichtlinie die Durchsetzung der Vorgaben der IT-Sicherheitsleitlinie.

Stellt die IT-Leitstelle Verstöße gegen die Vorgaben der IT-Sicherheitsleitlinie oder Sicherheitsverletzungen von Dienststellen im Landesverwaltungsnetz (LVN) fest, so wird die betreffende Dienststelle über den zuständigen IT-Sicherheitsbeauftragten des Ressorts aufgefordert, in einer angemessenen Frist die Sicherheitsverletzungen zu beheben bzw. die Vorgaben der IT-Sicherheitsleitlinie umzusetzen.

Bei anhaltenden Verstößen gegen die Vorgaben der IT-Sicherheitsleitlinie oder bei anhaltenden Sicherheitsverletzungen von Dienststellen im LVN eskaliert die IT-Leitstelle den Vorfall im Landesausschuss für E-Government und IT. Der Landesausschuss kann geeignete Maßnahmen zur Gewährleistung der IT-Sicherheit im Landesverwaltungsnetz (LVN) beschließen.

10. Schlussbestimmungen

Die IT-Sicherheitsleitlinie tritt am Tag ihrer Veröffentlichung im Intranet der Landesregierung in Kraft und gilt fünf Jahre nach Veröffentlichung.

Abkürzungen

AfO -  Ausschuss für Organisation

BSI -  Bundesamt für Sicherheit in der Informationstechnik

CERT -  Computer Emergency Response Team

GSHB -  Grundschutzhandbuch

IMA-IT -  Interministerieller Ausschuss für Informationstechnik

IT -  Informationstechnik

ISMS -  Informationssicherheitsmanagementsystem

LVN -  Landesverwaltungsnetz

PDCA -  Plan-Do-Check-Act (Planen-Durchführen-Kontrollieren-Handeln)

SPAM -  Synonym für unerwünschte, unangeforderte (Massen-)Werbung per E-Mail

VPN -  Virtual Private Network

WLAN -  Wireless Local Area Network

Quellen

BSI: IT-Grundschutzhandbuch 2006. Bonn 2006

BSI: Managementsysteme für Informationssicherheit (ISMS), BSI-Standard 100-1, Version 1.0. Bonn Dezember 2005

BSI: IT-Grundschutz-Vorgehensweise, BSI-Standard 100-2, Version 1.0. Bonn Dezember 2005

BSI: Risikoanalyse auf der Basis von IT-Grundschutz, BSI-Standard 100-3, Version 2.0. Bonn September 2005

BS ISO/IEC 17799:2000 "Information technology - Code of practice for information security management". London 2000

BS 7799-2:2002 "Information security management systems - Specification with guidance for use". London 2002

BMI: Nationaler Plan zum Schutz der Informationsinfrastrukturen (NPSI). Berlin Juli 2005

OECD: OECD Guidelines for the Security of Information Systems and Networks - Towards a Culture of Security. Paris Juni 2002

Abbildungen

Abbildung 1: IT-Sicherheitsmanagement-Pyramide

Abbildung 2: Auf ISMS-Prozesse angewandtes PDCA-Modell

Anlagen