Inhaltsverzeichnis. 1 Vorbemerkung. 2 Geltungsbereich { Zielgruppe. 3 Ziele und Prinzipien der IT- Sicherheit

Transkript

1 IT Sicherheitsteitlinie für die Vollzugspolizol des Saarlandos Inhaltsverzeichnis 1 Vorbemerkung 2 Geltungsbereich { Zielgruppe 3 Ziele und Prinzipien der IT- Sicherheit 3.1 Ziele der IT- Sicherheit 3.2 Prinzipien der IT- Sicherheit 4 Organisation der IT Sicherheit und Zuständigkeiten 5 Umsetzung der IT- SIcherheitsleitlinie 6 Inkrafttreten Glossar ' 1 Stand: Jun 2005

2 IT SicherheitsleitlInie für die Vollzugspolizei des Saarlandes 1 Vorbemerkung Die Infonnation ist die zentrale Basis der polizeilichen Arbeit. Sie erfordert zur Bewältigung eine zunehmende Nutzung vernetzler IT- Systeme. Die gleichzeitig immer komplexer werdenden IT- Prozessinhalle mit völlig neuen Risiken sowohl in qualitativer als auch quantitativer Hfnslcht sind zu gestalten.. Mit der Entwicklung von Bund-länder übergreifenden IT Verfahren und deren Einführung wurde für die Polizeien in Bund und Ländern vom Arbeitskreis 11 der Ständigen Konferenz der Innenminister und -senatoren der Länder (AK 11) ein einheitlicher Sicherheitsstandard nach Bundesamt tür Sicherheit in der Informationstechnik (BSI) Grundschutzhandbuch festgeschrieben. Verbindliche Vereinbarungen und Transparenz bei der Umsetzung von gemeinsam beschlossenen Maßnahmen bilden dabei die Grundlage für eine vertrauensvolle Zusammenarbeit der Polizeibehörden und für ein vertrauenswürdiges Verhältnis zum Bürger. Diese Leitlinie schreibt die hierfür erforderlichen Rahmenbedingungen fest.. 2 Geltungsbereich I Zielgruppe Die IT - Sicherheitsleitlinie gilt tur die Behörden der Vollzugspolizei des Saariandes. Betroffen sind somit alle IT- AnwenderinnenlAnwender sowie alle Geschäftspartner (sowohl aus anderen Behörden als auch aus der Privatwirtschaft). Geschäftspartner sind auf die Einhaltung der Sicherheitsbestimmungen zu verpflichten (gegebenenfalls mittels vertraglicher Regelungen).. Verantwortlich für die Einhallung von Maßnahmen und Aufgaben zur IT- Sicherheit sind das Ministerium tur Inneres Familie Frauen und Sport sowie die Leiterinnen/Leiter der Behörden der Vollzugspolizei des Saarlandes (Landeskriminalamt und Landespolizeidirektion). 3 Ziele und Prim:ipien der 11- Sicherheit Die Ziele und Prinzipien der IT- Sicherheit orientieren sich an den Vorgaben und Ausführungen des Grundschutzhandbuches des Bundesamtes für Sicherheit in der lnformationstechnik (8SI). Das IT Grundschutzhandbuch gibt die Standards für die IT - Sicherheit in der Datenverarbeitung der Vollzugspolizei des Saariandes vor.

3 IT- Sicherheitsleitlinie für die VollzugspolIzei des SaarJandes 3.1 Ziele der IT Sicherheit Für die Vollzugspolizei des Saarlandes werden folgende IT- Sicherheitsziele vorgegeben: Ersteflung eines IT- Sicherheitskonzeples für jede IT- Anwendung bzw. Aufnahme in ein Gesamtkonzept Gewährleistung der Verfügbarkeit Vertraulichkeit und Integrität von IT- Anwendungen für die Aufgabenerfüllung der Vollzugspolizei des Saarlandes '. ' Festlegung von technischen und organisatorischen Maßnahmen in den Behörden der VOllzugspolizei des Saartandes ( 11 SDSG) Gewährleistung der Anwendersicherheit auf einem dem Schutzbedarf entsprechenden Niveau Adäquater Umgang mit der anvertrauten Technik zur Vermeidung von physikalischen Schäden Schaffung einer strategischen Vorsorge- und Ausfallplanung zur Minimierung von Risiken sowie zur Gewährleistung eines angemessenen und effektiven Krisenund Notfallmanagements bei IT- AnwendungenllT- Systamen/IT - Netzen. ' '. 3.2 Prinzipien der IT. Sicherheit Zur Erreichung der IT- Sicherheitsziele gelten folgende Prinzipien: :.. i' t.'... ' ' : Im Falle erkannter Schadensrisiken für die IT der Vollzugspolizei des Saarlandes gilt dem Schutz der Daten zur Erhaltung ihrer Funktionsfähigkeit der Vorrang. Zeitweilige Einschrän kungen bei der IT- Nutzung müssen hingenommen werden. Insbesondere kann es zu Verbindungsunierbrechungen zu anderen Netzen kommen. Sicherheit vor Verfügbarkeit Der Schutzbedarf polizeilicher IT (Anwendungen Systeme und Netze) orientiert sich an den verarbeiteten Daten mit dem höchsten Schutzbedarf. Maximalprinzip Je höher der Schutzbedarf gespeicherter Daten ist je stärker ist der Zugriff auf diese zu beschränken. Es ist alles das verboten was nicht ausdrücklich ertaubt ist. Eine Zuteilung von ZugriffS rechten auf IT- Anwendungen IT- Systeme IT Netze und Daten erfolgt nur in dem Umfang wie es zur ErfÜllung der jeweiligen Aufgabe (SDSG) erforderlich ist. MInImalprInzip '. '. 3

4 IT- SIcherheitsleitlinie für die Voilzugspolizei des Saarlandes. 4 Organisation der IT Sicherheit und Zuständigkeiten. '1. Die Dienst- und Fachaufsicht für die IT- Sicherheit liegt beim Ministerium für Inneres Familie Frauen und Sport Abteilung 0 (Polizeiangelegenheiten) das zur Aufgabenwahrnehmung den IT- Sicherheitsbeauflragten für die Vollzugspolizei des Saarlandes beruft. Die Planung die Lenkung und die Kontrolle der IT- Sicherheit erfolgen in einem behördenübergreifenden Prozess. Sie werden vom IT- Sicherheitsmanagement-Team initiiert und begleitet. Ihm gehören Vertreterinnen und Vertreter der Landespolizeidireklion des Landeskriminalamtes des Referates 01 im MfiFFS und der IT - Sicherheilsbeaultragte der Vollzugspolizei an der den Vorsitz führt. 5 Umsetzung der IT Sicherheitsleitlinie (: 1 Beim IT- Einsatz in der Vollzugspolizei des Saar1andes ist der Gedanke dieser LeItlinie zu beachten. Die Leitlinie ist den Mitarbeilerinnen und Mitarbeitern der Vollzugspolizei des Saarland es zur Kenntnis zu geben über darauf basierende Polizeidienstvorschriften Richtlinien und Dienstanweisungen sind alle Mitarbeiterinnen und Mitarbeiter jährlich zu belehren. Die Belehrung ist aktenkundig zu machen. 6 In krafttreten l-.' Die IT SicherheilsleitlInie dar Vollzugspolizai das Saarlandas tritt mit Wirkung vom 01. August 2005 In Kraft.. ' '.' t. 4

5 IT- SIcherheitsleitlinie für die Vollzugspolizei des Saarlandes I Glossar Integrität Eigenschaft einer Information wenn sie bei der Übertragung von der Quelle ohne unerwünschte Veränderungen an ihrem Ziel ankommt. IT -Sicherheit Der Zustand eines IT-Systems in dem die Risiken die beim Einsatz dieses Systems aufgrund von Gefährdungen vorhanden sind durch angemessene Maßnahmen auf ein tolerierbares Maß beschränkt sind IT-Sicherheltsbeauftragler Person mit eigener Fachkompetenz zur IT- Sicherheit in einer Stabsstelle eines Unternehmens oder einer Behörde die für alle IT- Sicherheitsfragen Mitwirkung im IT Sicherheilsprozess und IT- Sicherheitsmanagement-Team zuständig ist die IT - Sicherheilsleitlinie das IT- Sicherheitskonzept und andere Konzepte z. B. für Notfallvorsorge entweder koordiniert erstellt oder beauftragt und deren Umsetzung plant und überprüft. ; /' IT-Sicherheltskonzept Nach Vorgaben der IT- Sicherheitsleillinie werden gemäß GSHB (Grundschutzhandbuch BSI) in einem IT- Sicherheitskonzept nach Analysen des Ist-Zustands der IT - Sicherheit konkrete Sicherheitsmaßnahmen als fehlend identifiziert und geplant damit sie nach diesem Konzept umgesetzt und später aklualisiert werden können. '.). IT -Sicherheitsleitl inia Das Positionspapier der Leitung eines Untemehmens oder einer Behörde zum Stellenwert der IT- Sicherheit und zum anzustrebenden IT- Sicherheitsniveau der Organisation. Es enthält wichtige Prinzipien für die IT- Sicherheit und Aussagen zur Be deutung der IT Sollziele zur IT- Sicherheit eine Strategie zur Erreichung der Ziele und erforderuche Organlsatfonsstrukturen Richllinien Regeln und Vorhaben. - :.. IT.Sicherheitsmanagement Organisatorische Strukturen und Maßnahmen für die Planung Lenkung und Kontrolle von IT- Grundschutz im Untemehmen oder in einer Behörde. Wesentliche Aufgaben betreffen die zentrale Verantwortung verteilte Zuständigkeiten das Aufstellen von IT- Sicherheitszielen Erstellen einer IT- Sicherheitsleitlinie und eines IT- Sicherheitskonzepts und die Organisation seiner Umsetzung. 5

6 ... - IT- Sicherheitsleitlinie für die Vollzugspolizei des Saarlandes.... t : ;. IT -Sicherheits management-team Die Initiative zum IT- Sicherheitsmanagement muss von der Unternehmensleitung ausgehen. Sie trägt die volle Verantwortung dafür dass im Unternehmen gesetzliche Anfornerungen und Geschäftsbedingungen eingehalten und interne R9gelungen beachtet werden. Sie wird dementsprechend ein Interesse daran haben dass auch die Gewährleistung der IT- Sicherheit zur Untemehmenskultur gehört. Und es sollte ihr bewusst sein dass eigenes vorbildliches Sicherheitsverhalten ein motivierendes Vorbild für die Mitarbeiter isl. Bne wichtige Maßnahme der Unternehmensleitung ist die zentrale Organisation eines tur das Unternehmen angemessenen IT- Sicherheitsmanagements. Dieses kann an mehrere Verantwortliche In verschiedenen Rollen delegiert werden z. B. an einen IT- Sicherheitsbeauftragten und an Verantwortliche für bestimmte IT- Anwendungen Datenschutz und IT - Administration. Sie können z.b. verpflichtet werden in einem IT- Sicherheitsmanagement-Team in Abstimmung miteinander die Entwicklung Umsetzung Kontrolle und Weiterentwicklung von Sicherheilsleitlinien und Sicherheitskonzepten zu bearbeiten. Ziel der Teamarbeit und Diskussionen mit der Geschäftsleitung Ist ein gemeinsames Ver ständnis für die Bedeutung der IT- Sicherheit. IT -Sicherheitsniveau Zielvorstellung (oder -wert) eines Unternehmens oder einer Behörde bezüglich der IT -Sicherheit '. IT -5lcherheitspro ess Nach dem GSHB ist es erfornerlich einen IT- Sicherheitsprozess zu steuern. Die Leitung des Unternehmens (oder der Behörde) initiiert einen solchen Vorgang durch Übernahme der Verantwortung. Einrichtung einer geeigneten Organisation eines IT - Sicherheitsmanagements und Delegation von Zuständigkeiten z. B. Beauftragung eines IT- Sicherheitsbeauftragten und IT- Sichetheitsmanagement-Teams. Das Ergebnisdokument der ersten Phase ist die IT- Sicherheitsleitlinie die von der Leitung allen Beschäftigten bekannt gegeben wird. Es folgen die Erarbeitung der IT Sicherheitsziele und Analysen zum Ist-Zustand der IT und zur angestrebten IT Sicherheit die in einem IT- Sicherheitskonzept zusammengefasst werden. Fortgesetzt wird der IT- Sicherheitsprozess in Phasen der Umsetzung noch fehlender Si cherheilsmaßnahmen und Maßnahmen zur Aufrechterhaltung des IT- Grundschutzes ;0 '.' Verfügbarkeit Eigenschaft eines IT- Systems wenn es ohne unbeabsichtigte Störung arbeitet.. Vertraulichkeit Eigenschaft einer Information wenn sie nur vom vorgesehenen Empfänger gelesen werden kann. 6