Datenschutz in Berlin
Homepage

Wir über Uns
Berlin
National
Europäische Union
International
Recht
T.O Maßnahmen
Aktuelles
Kontrolle
Materialien
Service
Themen

RICHTLINIE ZUR GEWÄHRLEISTUNG DER NOTWENDIGEN SICHERHEIT BEIM IT-EINSATZ IN DER BERLINER VERWALTUNG
(IT-SICHERHEITSRICHTLINIE)

Vom 5. Januar 1999, DBI. I, Nr. 2 v. 16.4.1999, S. 5 ff
(Inn ZSC 2 Hö)

VORBEMERKUNG

Die Notwendigkeit für eine IT-Sicherheitsrichtlinie ergibt sich u. a. aus folgenden grundsätzlichen Randbedingungen für den IT-Einsatz:

- Der Einsatz von Informationstechnik vollzieht sich zunehmend in miteinander vielfältig global verbundenen (vernetzten) Systemen, daraus ergeben sich völlig neue Risiken sowohl in qualitativer als auch in quantitativer Hinsicht.

- Die Verwaltung ist in ständig steigendem Maße bei ihrer Aufgabenwahrnehmung vom IT-Einsatz abhängig; somit ist das Erreichen der Behördenziele nur bei einem sicheren IT-Einsatz möglich.

- Fehlende oder unzureichende Sicherheitsmaßnahmen können zu großen materiellen und immateriellen Schäden mit teilweise beträchtlichen politischen Auswirkungen führen. Somit muß IT-Sicherheit zwingend als integraler Bestandteil der originären Fachaufgabe betrachtet werden. Damit verbleibt, ausgehend von der fachlichen Verantwortung, die letztendliche Verantwortung für IT-Sicherheit bei der jeweiligen Behördenleitung.

Die IT-Sicherheitsrichtlinie enthält mittelfristige Mindest- und Rahmenbedingungen zur Gewährleistung der IT-Sicherheit und regelt unter ressortübergreifenden Gesichtspunkten:

- die Verantwortlichkeiten,

- die Vorgehensmethodik,

- die Umsetzung und Qualitätskontrolle sowie

- die Anforderungen an das technische und organisatorische Instrumentarium.

Die Regelungen der Richtlinie werden konkretisiert durch sogenannte Sicherheitsstandards. Diese werden auf Empfehlung des IT-KAB vom zentralen IT-Management erstellt, bei Bedarf kurzfristig fortgeschrieben und in Form von Rundschreiben bekannt gegeben.

Die Ausgestaltung und Umsetzung der Richtlinie erfolgt behörden- und verfahrensbezogen.

Die inhaltlichen Regelungen berücksichtigen neben den angeführten Randbedingungen insbesondere

- die sich aus der organisatorisch-technischen Verteiltheit des IT-Einsatzes in der Berliner Verwaltung ergebenden Anforderungen und

- die durch Bedrohungen von "außen" als auch von "innen" entstehenden Risiken.

A GRUNDSÄTZE DER SICHERHEITSPOLITIK

Geltungsbereich

(1) Die Richtlinie gilt für alle Senats- und Bezirksverwaltungen und deren nachgeordnete Behörden.

Ausgestaltung

(2) Die Richtlinie ist von den am IT-Einsatz Beteiligten entsprechend ihrer Aufgabenverantwortung durch entsprechende Sicherheitskonzepte umzusetzen und bedarfsgerecht auszugestalten.

Berücksichtigung von IT-Sicherheit beim IT-Einsatz

(3) Die Gewährleistung von Verfügbarkeit, Vertraulichkeit, Integrität, Authentizität und Nachweisbarkeit im jeweils erforderlichen Maße ist unabdingbare Voraussetzung und Bestandteil jedes IT-Einsatzes und für den gesamten Einsatzzeitraum auf der Basis von Sicherheitskonzepten sicherzustellen.

(4) Notwendige Maßnahmen sind auch dann zu ergreifen, wenn sie den IT-Einsatz erschweren.

(5) Benötigte Ressourcen bzw. entstehende Kosten sind in allen Phasen (insbesondere der Planungsphase) zu berücksichtigen und separat auszuweisen.

(6) Verbleiben trotz der unter Beachtung des Verhältnismäßigkeitsgebotes (aufzuwendende Mittel im Verhältnis zum Grad der Sicherheitsverbesserung) realisierbaren Sicherheitsmaßnahmen untragbare Risiken, dann ist der IT-Einsatz so zu modifizieren, daß den Sicherheitsanforderungen entsprochen werden kann. Ist dies nicht möglich, ist der Verzicht auf den IT-Einsatz erforderlich.

Qualitätskontrolle

(7) Die Einhaltung und Wirksamkeit der Sicherheitsmaßnahmen ist regelmäßig zu kontrollieren.

(8) Bei festgestellten Verstößen sind durch die jeweils Verantwortlichen geeignete Maßnahmen zu initiieren bzw. durchzuführen, um den daraus entstehenden Risiken wirksam zu begegnen. Dabei ist das Verhältnismäßigkeitsgebot zu beachten.

Nutzung der zentralen IT-Infrastruktur

(9) Um die notwendige Sicherheit zu gewährleisten, sind für bestimmte ressortübergreifende Dienste grundsätzlich die Dienstleistungen zur Netzsicherheit des Landesbetriebes für Informationstechnik als zentralem Infrastrukturbetreiber zu nutzen ("Pflichtdienste"). Für Bereiche mit besonderen Sicherheitsanforderungen (z. B. Polizei, Feuerwehr, Steuerverwaltung) sind Ausnahmen möglich.

(10) Voraussetzung für die Nutzung der zentralen Infrastrukturdienste durch eine Behörde ist die Beachtung des entsprechenden Sicherheitskonzeptes. Kann der Nutzer die erforderliche Sicherheit nicht gewährleisten, hat der zentrale Infrastrukturbetreiber das Recht, die Dienstnutzung zu verweigern. Insbesondere darf eine Nutzung des Berliner Landesnetzes (BeLa) durch Einrichtungen, die nicht zum Geltungsbereich dieser Richtlinie gehören, nur unter Beachtung der für die Nutzung des BeLa relevanten Regelungen dieser Richtlinie erfolgen.

Anonymisierung/Pseudonymisierung

(11) Werden personenbezogene Daten verarbeitet, ist genau zu prüfen, ob und in welchen Funktionen des IT-Verfahrens die Identität bzw. Identifizierbarkeit der jeweiligen Personen erforderlich ist. Verfahren, die keine Identität der Personen benötigen, sollen ausschließlich mit anonymisierten Daten arbeiten. Ist die Identifizierbarkeit der Personen für einzelne Funktionen erforderlich, soll mit pseudonymisierten Daten gearbeitet werden und in den erforderlichen Fällen die Identität der Person zugeordnet werden.

B VERANTWORTLICHKEITEN

(0) Die Grundlage für die Rollendefinition und das Rollenzusammenspiel bildet die IT-Organisationsrichtlinie. Die dortigen Regelungen sind grundsätzlich bei der Wahrnehmung der nachfolgend festgelegten spezifischen Verantwortlichkeiten zur IT-Sicherheit zu beachten und anzuwenden.

(1) Der Produktverantwortliche

- verantwortet die für die Einführung und den Betrieb einer Applikation notwendige IT-Sicherheit,

- überträgt dem zentralen Verfahrensverantwortlichen die standortübergreifenden Aufgaben und

- beauftragt den dezentralen Infrastrukturbetreiber mit behördenbezogenen Sicherheitsmaßnahmen für den eigenen Bereich.

Der Anwender

- hat die ihn betreffenden Sicherheitsmaßnahmen konsequent und zielgerichtet umzusetzen und

- informiert entsprechend der Regelungen der IT-Organisationsrichtlinie über sicherheitsrelevante Ereignisse.

(2) Der Verfahrensverantwortliche

- plant und erstellt im Rahmen eines Verfahrensauftrages das verfahrensspezifische Sicherheitskonzept,

- verantwortet, sofern dies im Rahmen des Verfahrensauftrages möglich ist, die Initiierung bzw. Umsetzung der verfahrensspezifischen Sicherheitsmaßnahmen und

- arbeitet mit dem Produktverantwortlichen, dem dezentralen und dem zentralen Infrastrukturbetreiber bzgl. weiterer Maßnahmen zusammen.

Die Anwendungssystembetreuung

- setzt im Rahmen ihrer administrativ-technischen Betreuung der Applikation (z. B. Verwaltung der Benutzerrechte) fortlaufend diesbezügliche Sicherheitsmaßnahmen um.

(3) Der dezentrale Infrastrukturbetreiber

- verantwortet die Erstellung, Umsetzung und Fortschreibung eines behördenbezogenen Sicherheitskonzeptes und

- realisiert diese Maßnahmen selbst bzw. beauftragt damit die jeweils Verantwortlichen.

(4) Der zentrale Infrastrukturbetreiber

- verantwortet die Planung, Erstellung, Realisierung, Fortschreibung von Sicherheitskonzepten für die von ihm betriebenen übergreifenden IT-Infrastruktureinrichtungen,

- betreibt anwendungsneutrale Sicherheitsdienste (mindestens die "Pflichtdienste") und

- ist gehalten, bei groben Verstößen gegen diese Sicherheitskonzepte durch eine Behörde diese Behörde von der Dienstnutzung (zeitweilig) auszuschließen.

Die Behörde ist vor dem Ausschluß über die festgestellten Verstöße nachweislich zu informieren, und ihr ist unter Beachtung der durch die Verstöße entstehenden Sicherheitsrisiken eine angemessene Frist zur Beseitigung dieser Sicherheitsrisiken zu gewähren.

(5) Das Dezentrale IT-Management

- verantwortet die Initiierung und Kontrolle eines behördenbezogenen Sicherheitskonzeptes,

- arbeitet dabei eng mit anderen Bereichen der Behörde, die sicherheitsrelevante Aufgaben wahrnehmen (z. B. Brandschutzbeauftragter, Datenschutzbeauftragter usw.), zusammen und

- koordiniert und kontrolliert das Zusammenspiel zwischen den verfahrensspezifischen Sicherheitskonzepten und dem behördenbezogenen Sicherheitskonzept.

(6) Das Zentrale IT-Management

- verantwortet die Erstellung, Umsetzung und Kontrolle einer ressortübergreifenden IT-Sicherheitsrichtlinie,

- erstellt und aktualisiert auf Empfehlung des IT-KAB Sicherheitsstandards,

- legt auf Empfehlung des IT-KAB "Pflichtdienste" (nach A 9) fest,

- legt dem IT-KAB jährlich einen Sicherheitsbericht und den "Umsetzungsplan IT-Sicherheit" vor (vgl. D) und

- hat Verantwortung für die Sicherheit der zentralen IT-Infrastruktur.

(7) Der IT-KAB

- beschließt einen jährlichen "Umsetzungsplan IT-Sicherheit" von Sicherheitsmaßnahmen (vgl. Abschnitt D),

- initiiert die Fortschreibung der IT-Sicherheitsrichtlinie,

- initiiert die Erstellung und Fortschreibung von Sicherheitsstandards und

- richtet eine ständige Arbeitsgruppe "IT-Sicherheit" ein.

C METHODISCHES VORGEHEN

(1) Als Sicherheitsdomäne wird ein logisch, organisatorisch oder räumlich zusammengehöriger Bereich mit einheitlichen Sicherheitsanforderungen bezeichnet. Sicherheitskonzepte beziehen sich immer auf eine bestimmte Sicherheitsdomäne.

(2) Für Sicherheitsdomänen mit niedrigem bis mittlerem Schutzbedarf ist ein IT-Grundschutz durch Anwendung des IT-Grundschutzhandbuches (IT-GSHB) des Bundesamtes für Sicherheit in der Informationstechnik (BSI) in der jeweils aktuellen Fassung zu realisieren.

(3) Für Sicherheitsdomänen, bei denen der IT-Grundschutz nicht ausreicht, ist zusätzlich zum IT-GSHB das ebenfalls vom BSI herausgegebene "IT-Sicherheitshandbuch" partiell und ergänzend auf die durch den IT-Grundschutz nicht oder nicht ausreichend geschützten Objekte anzuwenden.

(4) Ist in Ausnahmefällen (z. B. wegen der Komplexität einer Sicherheitsdomäne oder der besonderen Qualität der zu beachtenden Sicherheitsanforderungen) eine umfassende und vollständige Anwendung des "IT-Sicherheitshandbuches" erforderlich, ist dazu i. A. externer Sachverstand zu beteiligen.

(5) Sicherheitskonzepte sind nach folgendem Schema einheitlich zu gliedern:

a) Anwendungsbereich (Behörde, Verfahren)

b) Risikoanalyse

c) Maßnahmen

d) Restrisikoanalyse

e) Verantwortlichkeiten (Rechte, Pflichten, Qualitätssicherung/Kontrolle)

f) Umsetzung (Zeitplan mit Prioritäten und Fortschreibung, Kosten)

(6) Die Sicherheitskonzepte für die zentrale IT-Infrastruktur

- gelten für die Sicherheitsdomäne zentrale IT-Infrastruktur,

- gehen generell von einem hohen Schutzbedarf der Komponenten der zentralen IT-Infrastruktur aus und

- definieren auch den von den Nutzern der zentralen IT-Infrastruktur einzuhaltenden Sicherheitsstandard.

(7) Das Behördenbezogene Sicherheitskonzept

- gilt für die Sicherheitsdomäne Behörde und

- gewährleistet auf Grundlage des IT-GSHB den IT-Grundschutz für alle in der Behörde eingesetzten Verfahren mit niedrigem bis mittlerem Schutzbedarf.

Die Sicherheitsdomäne Behörde kann u. U. aus mehreren Teildomänen mit unterschiedlichen Sicherheitsanforderungen bestehen. Das behördenbezogene Sicherheitskonzept muß die ggf. für diese Teildomänen erforderlichen eigenständigen Sicherheitskonzepte in geeigneter und abgestimmter Weise berücksichtigen bzw. enthalten. Zur vereinfachten und vereinheitlichten Umsetzung des IT-GSHB für behördenübergreifend einheitliche Sicherheitsanforderungen erstellt das zentrale IT-Management ein entsprechendes "Beispielsicherheitskonzept".

(8) Das Verfahrensspezifische Sicherheitskonzept

- gilt für die Sicherheitsdomäne IT-Verfahren,

- stützt sich auf den beim Produktverantwortlichen realisierten IT-Grundschutz ab und

- realisiert bei Bedarf zusätzliche verfahrensspezifische Sicherheitsmaßnahmen.

D UMSETZUNG / BERICHTSWESEN

(1) Der IT-KAB beschließt bis März des laufenden Jahres einen jährlichen "Umsetzungsplan IT-Sicherheit" zu den im nächsten Haushaltsjahr mindestens umzusetzenden Sicherheitsmaßnahmen.

(2) Der Umsetzungsplan beschreibt durchzuführende Maßnahmen einschließlich der Verantwortlichkeiten, Kosten/Ausgaben sowie ggf. einzusetzenden Produkte.

(3) Die Basis für den Umsetzungsplan ist ein jährlicher Sicherheitsbericht. Dieser enthält Aussagen zur Wirksamkeit durchgeführter Sicherheitsmaßnahmen, eine Analyse neuer oder anders zu bewertender Risiken und Vorschläge geeigneter Maßnahmen.

(4) Die IT-Sicherheitsrichtlinie und der Umsetzungsplan IT-Sicherheit sind bei neuen Verfahren sofort anzuwenden. Von neuen Nutzern der zentralen IT-Infrastruktur sind mindestens die für die Nutzung der zentralen Infrastruktur relevanten Regelungen sofort anzuwenden. Für laufende Verfahren bzw. vorhandene Nutzer ist ein Migrationsplan zu erarbeiten. Dies gilt auch, wenn laufende Verfahren aus unabweislichen Gründen erweitert oder ergänzt werden müssen bzw. wenn neue Verfahrensteile parallel zu laufenden Verfahren eingeführt werden.

(5) Umgesetzte Sicherheitskonzepte sind die Voraussetzung für einen neuen IT-Einsatz. Bei laufenden Verfahren sind entsprechende Sicherheitskonzepte - falls noch nicht oder nicht entsprechend den Anforderungen dieser Richtlinie vorhanden - schrittweise in einem möglichst engen Zeitrahmen zu erarbeiten und umzusetzen.

(6) Bei der Entwicklung neuer Verfahren mit Partnern, die nicht zum Geltungsbereich dieser Richtlinie gehören, ist unter Berücksichtigung tatsächlicher oder rechtlicher Bedingungen auf eine weitestgehende Berücksichtigung dieser Richtlinie hinzuwirken.

(7) Der IT-KAB richtet eine ständige Arbeitsgruppe IT-Sicherheit unter der Federführung der Senatsverwaltung für Inneres mit folgenden Aufgaben ein:

- Erarbeitung des jährlichen Sicherheitsberichtes

- Entwurf des jährlichen Umsetzungsplanes IT-Sicherheit

- Regelmäßiger Informations- und Erfahrungsaustausch zu allen relevanten Fragen der IT-Sicherheit.

Weitere Aufgaben können der AG bei Bedarf zugewiesen werden.

Zuletzt geändert:
am 23.02.2000

mail to webmaster