Informationssicherheitsleitlinie der Vollzugspolizei des Saarlandes

Transkript

1 1 Informationssicherheitsleitlinie der Vollzugspolizei des Saarlandes Informationssicherheitsleitlinie der Vollzugspolizei des Saarlandes Version 2.0

2 2 Informationssicherheitsleitlinie der Vollzugspolizei des Saarlandes Inhalt 1 Vorbemerkung Geltungsbereich / Zielgruppe Ziele und Prinzipien der Informationssicherheit Ziele der Informationssicherheit Prinzipien der Informationssicherheit Organisation der Informationssicherheit und Zuständigkeiten Umsetzung der Informationssicherheitsleitlinie Inkrafttreten Glossar... 6

3 3 Informationssicherheitsleitlinie der Vollzugspolizei des Saarlandes 1 Vorbemerkung Information ist die zentrale Basis der polizeilichen Arbeit. Sie erfordert zur Bewältigung eine zunehmende Nutzung vernetzter IT-Systeme. Die gleichzeitig immer komplexer werdenden IT- Prozessinhalte mit völlig neuen Risiken sowohl in qualitativer als auch quantitativer Hinsicht sind zu gestalten. Mit der Entwicklung von Bund-Länder übergreifenden IT-Verfahren und deren Einführung wurde für die Polizeien in Bund und Ländern vom Arbeitskreis II (AK II) der Ständigen Konferenz der Innenminister und -senatoren der Länder (IMK) ein einheitlicher Sicherheitsstandard gemäß den Vorgaben des Bundesamtes für Sicherheit in der Informationstechnik (BSI), Grundschutz, festgeschrieben. Bei den Regelungen zur Informationssicherheit der Vollzugspolizei des Saarlandes werden die aus der Gremienstruktur der IMK entstandenen Beschlüsse beachtet und entsprechend den Möglichkeiten des Landeshaushaltes umgesetzt. Verbindliche Vereinbarungen und Transparenz bei der Umsetzung von gemeinsam beschlossenen Maßnahmen bilden dabei die Grundlage für eine vertrauensvolle Zusammenarbeit der Polizeibehörden und für ein vertrauenswürdiges Verhältnis zum Bürger. Diese Leitlinie schreibt die hierfür erforderlichen Rahmenbedingungen fest. 2 Geltungsbereich / Zielgruppe Die Informationssicherheitsleitlinie gilt für die Behörden der Vollzugspolizei des Saarlandes. Betroffen sind somit alle IT- Anwenderinnen/Anwender sowie alle Geschäftspartner (sowohl aus anderen Behörden als auch aus der Privatwirtschaft). Geschäftspartner sind auf die Einhaltung der Sicherheitsbestimmungen zu verpflichten (gegebenenfalls durch vertragliche Regelungen). Verantwortlich für die Einhaltung von Maßnahmen und Aufgaben zur Informationssicherheit sind das Ministerium für Inneres und Europaangelegenheiten sowie die Leiterinnen/Leiter der Behörden der Vollzugspolizei des Saarlandes. 3 Ziele und Prinzipien der Informationssicherheit Die Ziele und Prinzipien der Informationssicherheit orientieren sich an den Vorgaben und Ausführungen des Grundschutzes des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Der IT- Grundschutz gibt die Standards für die Informationssicherheit in der Datenverarbeitung der Vollzugspolizei des Saarlandes vor.

4 4 Informationssicherheitsleitlinie der Vollzugspolizei des Saarlandes 3.1 Ziele der Informationssicherheit Für die Vollzugspolizei des Saarlandes werden folgende Informationssicherheitsziele vorgegeben: Erstellung eines Informationssicherheitskonzeptes für jede IT- Anwendung bzw. Aufnahme in ein Gesamtkonzept Gewährleistung der Verfügbarkeit, Vertraulichkeit und Integrität von IT-Anwendungen zur Sicherstellung der Aufgabenerfüllung der Vollzugspolizei des Saarlandes Festlegung von technischen und organisatorischen Maßnahmen in den Behörden der Vollzugspolizei des Saarlandes ( 11 SDSG) Gewährleistung der Anwendersicherheit auf einem dem festgestellten Schutzbedarf von IT-Anwendungen entsprechendem Niveau Adäquater Umgang mit der anvertrauten Technik zur Vermeidung von physikalischen Schäden Schaffung einer strategischen Vorsorge- und Ausfallplanung zur Minimierung von Risiken sowie zur Gewährleistung eines angemessenen und effektiven Krisenund Notfallmanagements bei IT- Anwendungen/IT- Systemen/IT- Netzen. 3.2 Prinzipien der Informationssicherheit Zur Erreichung der Informationssicherheitsziele gelten folgende Prinzipien: Sicherheit vor Verfügbarkeit Im Falle erkannter Schadensrisiken für die IT der Polizei des Saarlandes wird dem Schutz der Daten Vorrang mit dem Ziel der Erhaltung der Funktionsfähigkeit der Vollzugspolizei eingeräumt. Zeitweilige Einschränkungen bei der IT- Nutzung müssen hingenommen werden. Insbesondere kann es zu Verbindungsunterbrechungen zu anderen Netzen kommen. Maximalprinzip Der Schutzbedarf polizeilicher IT (Anwendungen, Systeme und Netze) orientiert sich an den verarbeiteten Daten mit dem höchsten Schutzbedarf. Minimalprinzip Je höher der Schutzbedarf gespeicherter Daten ist, je stärker ist der Zugriff auf diese zu beschränken. Es ist alles das verboten, was nicht ausdrücklich erlaubt ist. Eine Zuteilung von Zugriffsrechten auf IT- Anwendungen, IT- Systeme, IT -Netze und Daten erfolgt nur in dem Umfang, wie es zur Erfüllung der jeweiligen Aufgabe (SDSG) erforderlich ist.

5 5 Informationssicherheitsleitlinie der Vollzugspolizei des Saarlandes 4 Organisation der Informationssicherheit und Zuständigkeiten Die Dienst- und Fachaufsicht für die Informationssicherheit liegt beim Ministerium für Inneres und Europaangelegenheiten, Abteilung D (Polizeiangelegenheiten und Bevölkerungsschutz), das zur Aufgabenwahrnehmung einen IT-Sicherheitsbeauftragten für die Vollzugspolizei des Saarlandes beruft. Die Planung, die Lenkung und die Kontrolle der Informationssicherheit erfolgen in einem behördenübergreifenden Prozess. Sie werden vom Informations- Sicherheitsmanagement-Team initiiert und begleitet. Ihm gehören die/der IT- Sicherheitsbeauftragte der Vollzugspolizei des Saarlandes und Vertreterinnen und Vertreter der Landespolizeidirektion und des Landeskriminalamtes an. Die/Der IT- Sicherheitsbeauftragte der Vollzugspolizei des Saarlandes führt den Vorsitz im Informations-Sicherheitsmanagement-Team. 5 Umsetzung der Informationssicherheitsleitlinie Beim IT- Einsatz in der Vollzugspolizei des Saarlandes ist der Gedanke dieser Leitlinie zu beachten. Die Leitlinie ist den Mitarbeiterinnen und Mitarbeitern der Vollzugspolizei des Saarlandes zur Kenntnis zu geben, über darauf basierende Polizeidienstvorschriften, Richtlinien und Dienstanweisungen sind alle Mitarbeiterinnen und Mitarbeiter jährlich zu belehren. Die Belehrung ist aktenkundig zu machen. 6 Inkrafttreten Die Informationssicherheitsleitlinie der Vollzugspolizei des Saarlandes tritt mit Datum vom in Kraft. Saarbrücken,

6 6 Informationssicherheitsleitlinie der Vollzugspolizei des Saarlandes 7 Glossar Integrität Eigenschaft einer Information, wenn sie bei der Übertragung von der Quelle ohne unerwünschte Veränderungen an ihrem Ziel ankommt. Informationssicherheit Der Zustand eines IT-Systems, in dem die Risiken, die beim Einsatz dieses Systems aufgrund von Gefährdungen vorhanden sind, durch angemessene Maßnahmen auf ein tolerierbares Maß beschränkt sind. IT-Sicherheitsbeauftragte/r Person mit eigener Fachkompetenz zur Informationssicherheit in einer Stabsstelle eines Unternehmens oder einer Behörde, die für alle Informationssicherheitsfragen, Mitwirkung im Informationssicherheitsprozess und Informationssicherheitsmanagement-Team zuständig ist. Die/Der IT-Sicherheitsbeauftragte koordiniert, erstellt oder beauftragt die Informationssicherheitsleitlinie, das Informationssicherheitskonzept und andere Konzepte (z.b. für Notfallvorsorge) und plant und überprüft deren Umsetzung. Informationssicherheitskonzept Nach Vorgaben der Informationssicherheitsleitlinie werden gemäß Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik (BSI) in einem Informationssicherheitskonzept nach Analysen des Ist-Zustands der Informationssicherheit konkrete Sicherheitsmaßnahmen als fehlend identifiziert und geplant, damit sie nach diesem Konzept umgesetzt und später aktualisiert werden können. Informationssicherheitsleitlinie Das Positionspapier der Leitung eines Unternehmens oder einer Behörde zum Stellenwert der Informationssicherheit und zum anzustrebenden Informationssicherheitsniveau der Organisation. Es enthält wichtige Prinzipien für die Informationssicherheit und Aussagen zur Bedeutung der IT, Sollziele zur Informationssicherheit, eine Strategie zur Erreichung der Ziele und erforderliche Organisationsstrukturen, Richtlinien, Regeln und Vorhaben. Informationssicherheitsmanagement Organisatorische Strukturen und Maßnahmen für die Planung, Lenkung und Kontrolle von IT- Grundschutz im Unternehmen oder in einer Behörde. Wesentliche Aufgaben betreffen die zentrale Verantwortung, verteilte Zuständigkeiten, das Aufstellen von Informationssicherheitszielen, Erstellen einer Informationssicherheitsleitlinie und eines Informationssicherheitskonzepts sowie die Organisation ihrer Umsetzung. Informationssicherheitsmanagement-Team Die Initiative zum Informationssicherheitsmanagement muss von der Unternehmensleitung ausgehen. Sie trägt die volle Verantwortung dafür, dass im Unternehmen gesetzliche Anforderungen und Geschäftsbedingungen eingehalten und interne Regelungen beachtet werden. Sie wird dementsprechend ein Interesse daran haben, dass

7 7 Informationssicherheitsleitlinie der Vollzugspolizei des Saarlandes auch die Gewährleistung der Informationssicherheit zur Unternehmenskultur gehört. Und es sollte ihr bewusst sein, dass eigenes vorbildliches Sicherheitsverhalten ein motivierendes Vorbild für die Mitarbeiter ist. Eine wichtige Maßnahme der Unternehmensleitung ist die zentrale Organisation eines für das Unternehmen angemessenen Informationssicherheitsmanagements. Dieses kann an mehrere Verantwortliche in verschiedenen Rollen delegiert werden, z. B. an eine/n IT-Sicherheitsbeauftragte/n und an Verantwortliche für bestimmte IT- Anwendungen, Datenschutz und IT- Administration. Diese Verantwortlichen können z.b. verpflichtet werden, in einem Informationssicherheitsmanagement-Team in Abstimmung miteinander die Entwicklung, Umsetzung, Kontrolle und Weiterentwicklung von Sicherheitsleitlinien und Sicherheitskonzepten zu bearbeiten. Ziel der Teamarbeit und Diskussionen mit der Geschäftsleitung ist ein gemeinsames Verständnis für die Bedeutung der Informationssicherheit. Informationssicherheitsniveau Zielvorstellung (oder -wert) eines Unternehmens oder einer Behörde bezüglich der Informationssicherheit Informationssicherheitsprozess Nach den Grundschutzkatalogen ist es erforderlich, einen Informationssicherheitsprozess zu steuern. Die Leitung des Unternehmens (oder der Behörde) initiiert einen solchen Vorgang durch Übernahme der Verantwortung, Einrichtung einer geeigneten Organisation eines Informations-Sicherheitsmanagements und Delegation von Zuständigkeiten, z. B. Beauftragung eines Informationssicherheitsbeauftragten und Informationssicherheitsmanagement-Teams. Das Ergebnisdokument der ersten Phase ist die Informationssicherheitsleitlinie, die von der Leitung allen Beschäftigten bekannt gegeben wird. Es folgen die Erarbeitung der Informationssicherheitsziele und Analysen zum Ist-Zustand der IT und zur angestrebten Informationssicherheit, die in einem Informationssicherheitskonzept zusammengefasst werden. Fortgesetzt wird der Informationssicherheitsprozess in Phasen der Umsetzung noch fehlender Sicherheitsmaßnahmen und Maßnahmen zur Aufrechterhaltung des IT- Grundschutzes. Verfügbarkeit Eigenschaft eines IT- Systems, wenn es ohne unbeabsichtigte Störung arbeitet. Vertraulichkeit Eigenschaft einer Information, wenn sie nur vom vorgesehenen Empfänger gelesen werden kann.