Sicherheitsgrundsätze und Leitsätze zur technikunterstützten Informationsverarbeitung in der Stadt Duisburg

Transkript

1 Sicherheitsgrundsätze und Leitsätze zur technikunterstützten Informationsverarbeitung in der Stadt Duisburg Beschlossen vom Rat der Stadt Duisburg am Inhalt Vorwort 1 Einleitung 2 Leitsätze und Handlungsempfehlungen 3 Verantwortlichkeit 3.1 Informationseigentümer 3.2 Nutzer 3.3 Informationstreuhänder 4 Umsetzungsempfehlungen 4.1 Sicherheitsmanagement 4.2 Schutzstufenkonzept 4.3 Unabhängige Prüfung 5 Verletzung der Sicherheit 6 Einbettung und Ausgestaltung Anlage: Leitsätze (Zusammenfassung) Druckversion (Adobe-Acrobat-Datei) Diese Information Security Policy, im folgenden ISP genannt, wurde in einer Arbeitsgruppe unter Beteiligung des Fraunhofer Institutes für Software & Systemtechnik (FISST), vertreten durch Herrn Dr. Walter, und folgenden Beschäftigten der Stadt Duisburg entwickelt: Heinz Günter Saupe II-02 Projektleitung Horst Weber II-02 Achim Siemens 14 Rainer Müller 17 Wolfgang Dabringhausen 18 Egbert Holtschneider 18 Konrad Krätzschmar 18 Manfred Michels 20 Thomas Lauterbach 30 Norbert Bouten 93 Horst Deinert 99 VORWORT Die Landesbeauftragte für den Datenschutz des Landes Nordrhein-Westfalen hat in dem Datenschutzbericht 1995/96 auf die Risiken einer fehlenden IT-Sicherheitskonzeption hingewiesen. Ein fehlendes Sicherheitskonzept kann dazu führen, dass die bei der Benutzung neuer Systeme entstehenden Risiken erst im laufenden Betrieb erkannt und dann nur schwer oder gar nicht gemindert werden können. Im Rahmen des im April begonnenen Projektes IT-Strategiekommission erhielt eine Projektgruppe den Auftrag, einen Leitfaden zur Verbesserung der Informationssicherheit zu erarbeiten. Die Projektgruppe hat im ersten Schritt Grundsätze der IT-Sicherheitspolitik ( Information Security Policy -ISP-) erarbeitet. Vorgelegt werden Grundsätze zur Informationssicherheit, die einen Sicherheitsstandard umschreiben, wie er für die Stadt Duisburg als angemessen betrachtet wird. Datenschutz als wesentlicher Teil der Informationssicherheit ist eine Managementaufgabe des Datenschutzbeauftragten. Sie setzt - wie jede Managementfunktion - eine Auseinandersetzung mit den betrieblichen Gegebenheiten voraus. Auf sie sind die rechtlichen und technischen Entwicklungen zuzuschneiden.

2 Die Duisburger ISP als erster wichtiger Baustein wird der Strategiekommission vorgelegt. Die Verabschiedung eines Sicherheitskonzepts ist eine Initiative der Verwaltungsführung, die den Beschäftigten und den Kunden der Stadt den erwünschten bzw. den gesetzlich erforderlichen Sicherheitsstandard verdeutlichen soll. Kurzfristig soll zur Umsetzung der Leitsätze ein Konzept entwickelt werden, das aufgaben- oder funktionsbezogene Beschreibungen der IT-Ausstattung und deren Sicherheitsanforderungen ermöglicht. Mittelfristig wird durch die Zusammenführung von diversen Datenbanken bzw. Dateien ein Sicherheitsnetz entstehen, welches die Umsetzung der in dieser Policy festgelegten Grundsätze technisch, organisatorisch und personell optimal unterstützt. Duisburg, den H.G. Saupe Datenschutzbeauftragter der Stadt Duisburg (II-02) 1 Einleitung Bei der Vorbereitung und Umsetzung eines Sicherheitskonzeptes gilt der Grundsatz, dass die Verantwortung für die Gestaltung von Sicherheitsmaßnahmen für ihren Geschäftsbereich bei den Entscheidungsträgern, d.h. den Amts- und Institutsleiterinnen bzw. den Amts- und Institutsleitern liegt. Derartige Verantwortlichkeiten sind Konsequenzen der im Folgenden dargelegten Grundsätze, wenn diese als Information Security Policy (ISP) für die Stadtverwaltung eine verbindliche Wirkung erhalten haben. Als Verpflichtung gegenüber Bürgerinnen und Bürgern, Behörden sowie Unternehmen und Vertragspartnern sind diese Grundsätze eine verbindliche Erklärung zur Informationssicherheit für alle, die bei der Stadt Duisburg elektronisch bzw. digital verarbeitete Informationen nutzen. Die im Folgenden dargelegten Leitsätze umfassen Sicherheitsanforderungen zur Planung, zum Betrieb von IT- Anwendungen und zur Gestaltung der gesamten IT-Infrastruktur. Darüber hinaus werden auch die baulichen Gegebenheiten, die der Informationssicherheit zugrunde liegenden Verfahren und die dadurch möglich werdenden Informationsflüsse in die Betrachtungen mit einbezogen. Auf der Grundlage der ISP müssen anschließend Risiken ermittelt und bewertet werden. In Form von Dienstanweisungen können die Konsequenzen aus der ISP zu einer verpflichtenden Grundlage jeder Entscheidung werden, die mit Informationsverarbeitung verbunden ist. Interne Kontrollen müssen zulässig sein, um die Einhaltung der Leitsätze stichprobenartig zu überwachen. Der Datenschutz im Sinne der gesetzlichen Vorschriften umfasst jedes Handeln von Beschäftigten, Dritten oder sonstigen Personen, durch welches eine Verarbeitung von personenbezogenen Daten im Sinne des Datenschutzgesetzes des Landes NW (Nutzen, Übermitteln o.a.) erfolgen soll oder kann. Der Begriff der Datensicherheit umfasst alle technischen und organisatorischen Maßnahmen im Sinne des 10 DSG NW oder vergleichbarer Vorschriften des Bundesdatenschutzrechtes (BDSG). Bei der Informationssicherheit geht es um den Schutz der Anwendungen vor möglichen Bedrohungen, die die Verfügbarkeit der IT-Systeme, die Integrität, die Vertraulichkeit sowie die Urheberschaft der zu verarbeitenden Informationen gefährden. Der Sicherheitsbegriff, der sich zur Zeit der Verabschiedung des Bundesdatenschutzgesetzes nur für ausgesprochene Fachleute auf mehr als den personenbezogenen Datenschutz erstreckte, umfasst heute für alle Gebiete der IT-Nutzung die Gewährleistung der folgenden Anforderungen: Verfügbarkeit: Integrität: Ein hohes Maß an Verfügbarkeit wird gewährleistet durch die leistungsoptimale Erbringung von erwünschten IT-Dienstleistungen eines Systems in der dafür vorgesehenen Zeit. Die Hard- und Software einschließlich der Daten stehen dann zur Verfügung, wenn sie tatsächlich gebraucht werden. Der Nutzer kann sicher sein, dass die Daten richtig, d.h. inhaltlich korrekt und vollständig sind. Informationen werden nur durch Befugte und in der dafür vorgesehenen Weise be- und verarbeitet. Die Bearbeitung ist für die Aufgabenerfüllung notwendig und muss korrekt durchgeführt werden.

3 Vertraulichkeit: Authentizität: Verbindlichkeit: Nur Berechtigte haben innerhalb ihrer Aufgabenerfüllung den Zugang zu den Informationen, kein Unbefugter erhält Kenntnis. Der Empfänger kann zweifelsfrei sicher sein, dass eine Nachricht tatsächlich von dem genannten Verfasser geschaffen und nicht gefälscht oder anderweitig durch Dritte verändert wurde. Die an einer Transaktion Beteiligten sind tatsächlich autorisiert und verfügen über keinerlei Mittel, ihre Beteiligung zu bestreiten. Die Beteiligten waren berechtigt, die Aussagen zu treffen, die getätigt wurden. 2 Leitsätze und Handlungsempfehlungen Die Grundsätze der IT-Sicherheitspolitik umfassen sechs Leitsätze sowie eine Reihe daraus abgeleiteter Handlungsempfehlungen. In dem folgenden Abschnitt werden die Leitsätze vorangestellt und erläutert, im Anschluss werden die abgeleiteten Handlungsempfehlungen präzisiert, die den verbindlichen Inhalt der ISP ausmachen. Leitsatz 1: Wir schützen die Daten unserer Bürger/innen, Mitarbeiter/innen sowie sonstige vertraulich zu behandelnden Daten. Mit diesem Leitsatz wird deutlich, dass sich die Konsequenzen dieses Sicherheitskonzeptes auf alle Ämter und Institute gleichermaßen auswirken. Jedes Sicherheitskonzept geht in erster Linie von einem Schutz der personenbezogenen Daten im Sinne der Datenschutzgesetze aus. In der Praxis muss dieses Konzept jedoch auf weitere sensible Bereiche erweitert werden. So besteht auch für Finanz- und Planungsdaten der Stadtverwaltung und für die sonstigen Geschäftsdaten ein erheblicher Geheimhaltungs- bzw. Schutzbedarf. Welche Daten personenbezogen sind und wie mit diesen Daten umzugehen ist, wird im Bundesdatenschutzgesetz, in den Landesdatenschutzgesetzen und in diversen Fachgesetzen und Ausführungsbestimmungen geregelt. Während beispielsweise Steuerdaten einem gesetzlichen Schutz des Steuergeheimnisses unterliegen, gelten für sonstige Daten die Regeln dieses Sicherheitskonzeptes. Dies erfordert z.b. die Beschreibung der Risikolage und der notwendigen Schutzanforderungen an jede Klasse von vertraulich zu behandelnden Daten. Die Frage, welche sonstigen Daten als vertraulich einzustufen sind, müssen die verantwortlichen Amts- und Institutsleitungen entscheiden. Beispiele für Fragestellungen hierzu sind: Welche Daten einer Stadtverwaltung unterliegen besonderen Schutzbedürfnissen, obwohl es sich nicht um personenbezogene Daten (im Sinne der Datenschutzgesetze) handelt? Welche Finanzdaten können oder müssen zu welchem Zeitpunkt wem offengelegt werden? Welche Planungsdaten sind vertraulich zu behandeln? Welche internen Personal- und Organisationsplanungen sind wie zu schützen? Handlungsempfehlungen Maschinelle und manuelle Verarbeitungen von personenbezogenen Informationen sind ohne gesetzliche Erlaubnis oder die Einwilligung des Betroffenen verboten. Daten dürfen nur verarbeitet werden, wenn der Zweck der Verarbeitung durch den Informationseigentümer begründet ist. Leitsatz 2: Informationssicherheit ist ein integraler Bestandteil des Verwaltungshandelns.

4 Die Gewährleistung der Informationssicherheit ist ein zunehmend wichtiger Faktor für unsere Dienstleistungen geworden. Nach Maßgabe eines Sicherheitskonzeptes zeichnet jede Organisationseinheit der Stadt Duisburg für die Informationssicherheit in ihrem Aufgabenbereich verantwortlich. Der risiko- und wertorientierte Schutz der zur Aufgabenerledigung genutzten Daten ist sowohl in organisatorischer als auch in technischer Hinsicht sicherzustellen. Die Gewährleistung von Verfügbarkeit, Vertraulichkeit und Integrität sowie die Rechenschaftspflicht hinsichtlich der Nutzung der Informationen sind wesentliche Bestandteile dieser Anforderung. Im Rahmen des Verwaltungshandelns müssen alle Ebenen der Informationssicherheit betrachtet werden: Ebene Prozessebene: Inhalt Die Prozessebene umfasst das Verwaltungshandeln selbst, d.h. die Arbeitsabläufe im Innenverhältnis und die Kontakte mit Bürgern, Unternehmen und Institutionen. Objektebene: In dieser Ebene werden Orte und Techniken (Infrastrukturkomponenten) betrachtet, an denen bzw. mit denen Prozesse der Informationsverarbeitung stattfinden. Informationsebene: Die gespeicherten Informationen (Daten) sind nicht nur personenbezogene Daten, sondern auch in erheblichem Umfang auch Sachinformation in allen Fachbereichen Eine Sicherheits- bzw. Risikoanalyse muss fester Bestandteil bei der Entwicklung oder bei der Einführung von Informationssystemen werden. Sie erstreckt sich aber auch über den gesamten Lebenszyklus des Informationssystems. Neue Hard- und Software muss den geltenden Informationssicherheitsstandards entsprechen. Handlungsempfehlungen Für Informationen und Objekte werden namentlich Informationseigentümer/innen benannt, die für die Festlegung des erforderlichen Kontrollumfangs verantwortlich sind. Die einzelnen Nutzer/innen sind für eine die Sicherheit gewährleistende Nutzung der Informationen verantwortlich. Die einzelnen Nutzer/innen sind hinreichend qualifiziert und fortgebildet, um Fehlverhalten durch mangelnde Kenntnisse zu vermeiden. Die Nachvollziehbarkeit sämtlicher Informationstransaktionen muss durch Erzeugung zusätzlicher Informationen, d.h. technische und/oder organisatorische Maßnahmen oder zusätzliche Verfahren (Log in, Dokumentationen), gewährleistet sein. Eine unabhängige Überprüfung der Verwaltung und Nutzung von Informationen muss vorgesehen sein (vergleiche hierzu Abschnitt 4.3). Leitsatz 3: Die Gewährleistung von Datenschutz und Datensicherheit ist eine selbstverständliche Aufgabe und Pflicht (im Rahmen eines rechtmäßigen und ordnungsgemäßen Handelns) für alle Beschäftigten. Dieser Leitsatz betont die Verantwortlichkeit der Beschäftigten für die Aufrechterhaltung des gewünschten Sicherheitsstandards und ist Handlungsmaxime. Bei der Vielfalt der in der Stadtverwaltung Duisburg benutzten IT-Anwendungen (über 120 Programme) ist eine umfassende IT-Sicherheit nur zu erreichen, wenn alle Beschäftigten sich für die Gewährleistung der Informationssicherheit verantwortlich fühlen. Die Ämter und Institute speichern Informationen mit Technikunterstützung, alle Beschäftigten sind im Rahmen ihrer Geschäftsverteilung berechtigt, auf elektronisch gespeicherte Informationen zuzugreifen. Dritte sind andere Beschäftigte im Amt, in anderen Ämtern/Instituten anderen Behörden oder Unternehmen.

5 Handlungsempfehlungen Alle Beschäftigten verzichten soweit als möglich darauf, dass personenbezogene und andere vertrauliche Daten entstehen und genutzt werden können, d.h. Begrenzung der Speicherung und Nutzung von Informationen auf das unverzichtbare Maß. Alle Beschäftigten achten darauf, dass nur Berechtigte auf die von ihnen verwalteten personenbezogenen oder andere vertrauliche Daten Zugang und Zugriff haben. Alle Beschäftigten sind verpflichtet, sich die notwendigen Kenntnisse der gesetzlichen Grundlagen und innerbehördlichen Anordnungen zu Datenschutz und Datensicherheit anzueignen. Die notwendigen Voraussetzungen werden geschaffen, Schulungen werden angeboten. Alle Beschäftigten nutzen ihnen zugängliche technische Anlagen und Dateien mit personenbezogenen Daten oder Geschäftsgeheimnissen nur im Rahmen der ihnen übertragenen Aufgaben. Beschäftigten melden erkannte Gefahren oder begründeten Verdacht auf Verstöße gegen Datenschutz und Datensicherheit an Vorgesetzte. Alle Beschäftigten sorgen dafür, dass beim Umgang mit personenbezogenen Daten die Rechte der Betroffenen auf informationelle Selbstbestimmung nur in dem zulässigen Umfang beeinträchtigt werden. Leitsatz 4: Führungskräfte sind verantwortlich für die Sicherung eines angemessenen Standards des Datenschutzes und der Datensicherheit. Dieser Leitsatz betont die Verantwortlichkeit der Führungskräfte für die Aufrechterhaltung des notwendigen Sicherheitsstandards. Da mit der allgemeinen Verantwortung für das zielgerichtete und ordnungsgemäße Funktionieren einer Verwaltung auch die Gewährleistung der Informationssicherheit dem Management obliegt, muss die Leitungsebene die durch die Befolgung des ISP entstehenden Aufgaben und Pflichten initiieren, akzeptieren und kontrollieren. Handlungsempfehlungen Die Initiative für Informationssicherheit geht vom Management aus. Die Verantwortung für die Organisation der Informationssicherheit liegt beim Management. Nur wenn sich das Management um Informationssicherheit bemüht, wird die Aufgabe wahrgenommen. Leitsatz 5: Nicht nur Daten, auch Objekte müssen geschützt werden. Die Sicherheit des gesamten IT-Systems ist die Sicherheit eines komplexen, integralen Netzwerkes. Sie wird nicht allein durch einzelne Sicherheitsmaßnahmen, z.b. einem Ressourcen-Zugriffs-Kontrollsystem für Großrechnersysteme oder einem Schnittstellen-Kontrollsystem für das Internet, gewährleistet. Vielmehr gehören dazu auch z.b.: die Verknüpfung und Abstimmung der einzelnen Komponenten des Zugriffsschutzes sowie deren Überprüfbarkeit, besonders bei der Veränderung dieses Netzwerkes, der Aufbau eines Zugriffsschutzes entsprechend seiner erforderlichen Funktionalität und der Einsatz von Standardsoftware, die einem festgelegten Sicherheitsstandard nicht entgegensteht. Handlungsempfehlungen Bei einer umfassenden Sicherheitsbetrachtung muss festgelegt werden, welche Daten und Ressourcen geschützt werden sollen, welche Benutzer/innen welche Zugriffsberechtigung für Daten und Ressourcen enthalten, welche Dienste, die einen Zugriff auf die Daten und Ressourcen erforderlich machen, notwendig sind, welche Ereignisse des Zugriffes auf Daten und Ressourcen protokolliert werden und wer diese Protokolle auswertet,

6 wer die Zugriffsberechtigungen definiert; dabei ist einerseits zu berücksichtigen, dass die jeweiligen Eigentümer der Daten und der Ressourcen unterschiedliches Wissen über technische Möglichkeiten besitzen, andererseits eine Kontrolle der unbeabsichtigten Übertragung des erlaubten Zugriffs auf die Daten und Ressourcen erfolgen muss, welche Sicherungsmaßnahmen den geforderten und festgelegten Zugriffsschutz garantieren, welche Veränderungen im IT-System auf Auswirkungen des Zugriffsschutz untersucht werden müssen und welche logische und physische Zugangskontrollen eingesetzt werden bzw. wie ein abgesichertes Logging für sämtliche betriebene Informationssysteme und Verfahren realisiert werden kann. wirtschaftlichen Aspekte bei der Durchsetzung eines IT-Sicherheitskonzeptes dürfen nicht nur unter dem Gesichtspunkt des Aufwandes und des Ressourcenverbrauches (Anschaffung von Soft- und Hardware, organisatorische Umstrukturierung, bauliche Maßnahmen u.a.) stehen, sondern auch auf der Grundlage einer Was wäre Wenn-Analyse. Die Höhe eines möglichen Schadens oder denkbaren Regressanspruchs kann Maßstab für den Einsatz der Finanzmittel zur Vermeidung eines Schadenseintritts sein. Leitsatz 6: Informationsverarbeitungsprozesse müssen für alle Beteiligten nachvollziehbar sein. Die Gewährleistung der Nachvollziehbarkeit hilft, Sicherheitsrisiken zu erkennen und zu mindern. Sie ist Bestandteil für die Festlegung von Verantwortlichkeiten und dient der Bewusstseins- und Verhaltensänderung der Beteiligten. Handlungsempfehlungen Entstehung, Verarbeitung und Speicherung der Datenzugriffsmöglichkeiten und Sicherungsmaßnahmen sowie Verfahrensabläufe und Informationsbeziehungen mit Dritten sind zu dokumentieren. Verständliche und nachvollziehbare Beschreibungen der Informationsprozesse sind für interne und externe Beteiligte zu erstellen. 3 Verantwortlichkeit Wesentliche Verpflichtung ist, dass für alle Informationen ein namentlich benannter Eigentümer bekannt ist, insbesondere für: Informationen in Datenbanken, Infrastrukturen (abteilungs- oder firmenweite Infrastruktur, z.b. Netzwerke) und Arbeitsprozesse. 3.1 Informationseigentümer Der Informationseigentümer ist eindeutig zu bestimmen. Er muss sicherstellen, dass geeignete Sicherheitsgrundsätze, Standards und entsprechende Richtlinien für die Informationen, die er direkt oder durch Ernennung zum Treuhänder besitzt, eingehalten werden, der für den Schutz spezifischer Informationen oder Verfahren insgesamt geltende Sicherheits- und Kontrollumfang der Sensitivität, dem Wert und der Bedeutung der Informationen (z.b. Vertraulichkeit, Integrität, Verfügbarkeit, Authentizität, Verantwortlichkeit und Verbindlichkeit) und der Maßgabe eines festgelegten Klassifizierungsverfahrens entspricht, die Verantwortlichkeit und Rechenschaftspflicht für die Festlegung von Zugriffsrechten bei den Informationseigentümern liegt, der Zugriff auf Informationen Nutzern nur für den definierten Arbeitsbedarf gewährt werden darf, Verantwortlichkeiten explizit definiert und Sicherheits- und Kontrollmaßnahmen zur Verwaltung und zum Schutz seiner Informationen implementiert werden, die Systeme, mit denen seine Informationen bearbeitet werden, regelmäßig hinsichtlich der Einhaltung der Information Security Policy und Standards geprüft werden und die Sicherheitsanforderungen der Bedeutung der gespeicherten oder zu verarbeitenden Informationen gerecht werden.

7 Die Informationseigentümer sind für den vergebenen Zugriff auf ihre Informationen verantwortlich und müssen ihre Zugänglichkeiten sowie den Umfang und die Art der Autorisierung definieren lassen. Bei diesen Entscheidungen sind zu berücksichtigen: die Notwendigkeit, Informationen entsprechend ihrer geschäftlichen Relevanz zu schützen, der Umfang der für die jeweiligen Geschäftsanforderungen erforderlichen Informationen, die Aufbewahrungsvorschriften und die mit den Informationen verbundenen rechtlichen und aufsichtsrechtlichen Anforderungen. 3.2 Nutzer Nutzer (Mitarbeiter/innen, Vertragspartner/innen, Berater/innen) sind bei der Erstellung, Nutzung und Verwaltung von Informationen verpflichtet, die Grundsätze und die damit verbundenen Informationssicherheitsstandards und die Leitsätze und Handlungsempfehlungen der Stadt Duisburg einzuhalten. Die einzelnen Nutzer sind für sämtliche Maßnahmen verantwortlich, die sie bei der Nutzung von Informationen und der damit verbundenen Systeme ergreifen. Nutzer, die eine Verletzung der Sicherheitsgrundsätze und der damit verbundenen Informationssicherheitsstandards vermuten oder Kenntnis davon erlangt haben bzw. annehmen, dass Informationen nicht in geeigneter Weise geschützt sind, müssen dies unverzüglich ihren Vorgesetzten oder einer lokal bzw. global zuständigen Sicherheitskontaktstelle melden. 3.3 Informationstreuhänder Der Informationstreuhänder, der z.b. per Servicevertrag oder Vollmacht verpflichtet wurde, ist für die Wahrung der Vertraulichkeit, Integrität, Verfügbarkeit, Authentizität, Rechenschaftspflicht, Verbindlichkeit der Informationen in dem vom Informationseigentümer festgelegten Umfang und nach Maßgabe der Bestimmungen dieser Policy verantwortlich. Der Informationstreuhänder ist verpflichtet, den Informationseigentümer bei erkennbaren Mängeln der Sicherheitsvorgaben zu informieren. 4 Umsetzungsempfehlungen 4.1 Sicherheitsmanagement Es ist erforderlich, ein Sicherheitsmanagement aufzubauen und zu institutionalisieren. Das Sicherheitsmanagement (Sicherheitsexperten-Team, Sicherheitsbeauftragte o.a.) ist für eine sichere und solide Bearbeitung sämtlicher IT-Prozesse der Stadt Duisburg nach Maßgabe der festgelegten Standards sowie für die Sicherstellung des Schutzes der Informationen und der Daten verantwortlich. Das Sicherheitsmanagement stellt die Fortschreibung der ISP ( Information Security Policy ) und der damit verbundenen Standards, ihre ständige Fortschreibung und Veröffentlichung sicher. Es ist sowohl für die Einführung von Sicherheitsprogrammen entsprechend den geschäftlichen Bedürfnissen sowie für die Bereitstellung umfassender verwaltungsweiter Sicherheitsdienstleistungen zum Schutz der Stadt Duisburg verantwortlich. Dazu zählen auch der Umgang der Beschäftigten mit Sicherheitsregeln (Sicherheitsbewusstsein), die Sicherheitsanalyse und - wenn erforderlich - die technische Überwachung. Das Sicherheitsmanagement versichert sich ständig über die Einhaltung dieser Policy. Das Sicherheitsmanagement initiiert notwendige Personal- oder Organisationsentwicklungen. 4.2 Schutzstufenkonzept

8 Das Grundschutz-Handbuch des BSI geht von differenzierten Schutzanforderungen aus und klassifiziert Informationssysteme nach Schutzbedarfsstufen. Im Folgenden werden exemplarisch einigen Dateien i. S. 23 DSG NW den Schutzstufen zugeordnet. Schutzstufen Stufe I niedriger,geringer Schutzbedarf (Stufe A) mittlerer Schutzbedarf (Stufe B) Stufe II hoher Schutzbedarf (Stufe C) sehr hoher Schutzbedarf (Stufe D) Umfang der Beeinträchtigung Personenbezogene Daten, deren Missbrauch keine besondere Beeinträchtigung des informationellen Selbstbestimmungsrechts / schutzwürdiger Belange erwarten lässt. Personenbezogene Daten, deren Missbrauch eine Beeinträchtigung des informationellen Selbstbestimmungsrechts insofern erwarten lässt, als der Betroffene in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen beeinträchtigt werden kann. Personenbezogene Daten, deren Missbrauch eine besondere Beeinträchtigung des informationellen Selbstbestimmungsrechts insofern erwarten lässt, als der Betroffene in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen erheblich beeinträchtigt werden kann oder die Daten aufgrund ihrer besonderen Sensibilität bzw. ihres Verwendungszusammenhangs einen höheren Schutzbedarf als Stufe I erfordern. Personenbezogene Daten, deren Verarbeitung eine sehr hohe Gefährdung des informationellen Selbstbestimmungsrechts insofern erwarten lässt, als eine Gefahr für Leib und Leben oder die persönliche Freiheit des Betroffenen gegeben ist. Dateien i. S. 23 DSG NW Öffentlich zugängliche Daten u.a. - internes Telefonbuch - Namen der Ratsmitglieder u.a. - Personaldaten (11) - EWO-Daten (Amt 32) u.a. - Patienten-/ Gesundheitsdaten (Amt 53, 81) - Sozialdaten (Amt 50, 51, 64) - Steuerdaten (Amt 21) u.a. - Daten mit Geheim - oder Vertraulich -Zusatz 4.3 Unabhängige Prüfung Die Verwaltung und Nutzung von Informationen und die Sicherheitsstandards müssen von unabhängiger Seite überprüft werden. Bei dieser Prüfung muss die Stichhaltigkeit der Sicherheitsklassifizierung der Informationen begutachtet werden. In Bezug auf diese beiden Faktoren ist die Angemessenheit der nachstehenden Eigenschaften wichtig: Zugriffsmöglichkeit zu den Informationen, Kontrollen im Zusammenhang mit den Informationen, Verwaltung der Informationen einschließlich der unabhängigen Genehmigung bzw. Überprüfung von Transaktionen und Maßnahmen zur Wiederherstellung von Informationen und Verfahren. 5 Verletzung der Sicherheit Beteiligte sind für die Folgen ihrer Handlungen verantwortlich, die zu einer Verletzung der Sicherheit führen könnten oder bereits geführt haben. Als Verstöße gelten beabsichtigte oder grob fahrlässige Handlungen, die der Stadt Duisburg durch Gefährdung der Sicherheit von Daten oder Arbeitsinformationen tatsächlichen oder möglichen finanziellen Verlust einbringen, den unberechtigten Zugriff auf Informationen, deren Übermittlung bzw. Änderung beinhalten, die Nutzung von Unternehmens- bzw. Behördeninformationen für illegale Zwecke umfassen, die Sicherheit der Mitarbeiter/innen, Vertragspartner/innen, Berater/innen und des Vermögens der Stadt Duisburg gefährden oder eine Schädigung des Rufes der Stadt Duisburg verursachen.

9 Die Nichteinhaltung oder bewusste Verletzung der Information Security Policy kann zu einer der nachfolgenden Aktionen führen, ist aber nicht auf diese beschränkt: disziplinarische oder arbeitsrechtliche Folgen, straf- und/oder zivilrechtliche Verfahren oder Haftung und Regressforderungen. 6 Einbettung und Ausgestaltung Detaillierte Zielsetzungen und Anforderungen für Kontrollen zur Einhaltung dieser Leitsätze zur Informationssicherheit werden in einem Sicherheitsrahmenkonzept (Generic Security Standards - GSS -) und in den Produktorientierten Sicherheitsbeschreibungen (Produkt-based Operating Manuals - POM -) dokumentiert. Dienstanweisungen beschreiben zu einzelnen Themen (PC-Schutz, Internetzugang, Elektronische Post) detaillierte Ziele und Anforderungen. Die aktuelle Version des Grundschutzhandbuchs des Bundesamts für Sicherheit in der Informationstechnik (BSI) gilt solange standardmäßig als Rahmenkonzept, bis verwaltungsspezifische Standards vorliegen. Anhang Leitsätze zur IT-Sicherheitspolitik in der Stadt Duisburg Leitsatz 1 Wir schützen die Daten unserer Bürger/innen, Mitarbeiter/innen sowie sonstige vertraulich zu behandelnden Daten. Leitsatz 2 Informationssicherheit ist eine integraler Bestandteil des Verwaltungshandelns. Leitsatz 3 Die Gewährleistung von Datenschutz und Datensicherheit ist eine selbstverständliche Aufgabe und Pflicht (im Rahmen recht- und ordnungsgemäßen Handelns) für alle Beschäftigten. Leitsatz 4

10 Führungskräfte sind verantwortlich für die Sicherung eines angemessenen Standards des Datenschutzes und der Datensicherheit. Leitsatz 5 Nicht nur Daten, auch Objekte müssen geschützt werden. Leitsatz 6 Informationsverarbeitungsprozesse müssen für alle Beteiligten nachvollziehbar sein. Quellen/Literatur: Grundschutzhandbuch des Bundesamtes für Sicherheit in der Informationstechnik (BSI) Schutzstufenkonzept KGSt-Brief Nr. 2/93 (Ergänzt durch eigene Daten) DSG NRW