IT-Sicherheit in der Landesverwaltung 7



Ähnliche Dokumente
Der externe IT-SB; Informationssicherheit durch das krz

DE 098/2008. IT- Sicherheitsleitlinie

Die IT-Sicherheitsverordnung der EKD

IT-Sicherheitsleitlinie der Universität Bayreuth

60 Dringender Regelungsbedarf bei der IT-Sicherheit der Bundeswehr Kat. B

Grundsätze zur Ausübung der Fachaufsicht der Bundesministerien über den Geschäftsbereich

Landesrechnungshof Mecklenburg-Vorpommern

Informationssicherheit in der öffentlichen Verwaltung. BfIS-Land Informationssicherheit in der Landesverwaltung

Für ein zielgerichtetes und effektives Projektcontrolling fehlen die Rahmenbedingungen.

krz - Forum 2012 Fachforum Datensicherheit 10.00h Begrüßung / Einführung Reinhard Blome, krz

Hinweise zur Bereitstellung der Referenzdokumente im Rahmen der Zertifizierung nach ISO auf der Basis von IT- Grundschutz. Version 1.

Die Ressorts organisieren das Gesundheitsmanagement in ihren Geschäftsbereichen unterschiedlich. Nur etwa jede zweite Behörde geht systematisch vor.

Datenschutz und IT-Sicherheit an der UniBi

Cybersicherheits-Architektur - ein Beispiel aus Hessen 5. Bürgermeisterkongress Behörden Spiegel / BSI

Gewährung von Leistungsprämien und Leistungsstufen 8

3.2. Änderungen oder Abweichungen einzelner Leistungen von dem vereinbarten Inhalt

S SACHsEN. Präsidenten des Sächsischen Landtages Herrn Dr. Matthias Rößler Bernhard-von-Lindenau-Platz Dresden. Sehr geehrter Herr Präsident,

Unbefugten den Zutritt zu Datenverarbeitungsanlagen zu verwehren (Zutrittskontrolle),

Schaffung einer landesgesetzlichen Grundlage, Überwachungs- und Prüfungsaufgaben

Amtliche Bekanntmachung der Universität Konstanz

IT Sicherheitsbeauftragte in der öffentlichen Verwaltung

- Presseinformationen -

Erfahrungen bei der Erstellung und Umsetzung von Sicherheitskonzepten im IT-Verbund IMISE/KKSL

Der Prüfer nach neuem Recht Definition, Aufgaben und Qualifikation

IT-Sicherheit im Unternehmen

MW-Unternehmens-Audit

Die elektronische Aktenführung im Freistaat Sachsen vor dem Hintergrund der Strategie des SID

Security. Voice +41 (0) Fax +41 (0) Mobile +41 (0) Web

Vorschlag der Bundesregierung

Ministerpräsident/Staatskanzlei

Sicherheitshinweise für IT-Benutzer. - Beispiel -

Antrag. Sächsischer Landtag 6. Wahlperiode DRUCKSACHE 6/3220. AfD-Fraktion. Pilotprojekt Rückführung / Landkreis Meißen. Der Landtag möge beschließen:

Informationssicherheitsmanagementsystem (ISMS) KO-Kriterien zum Erfolg: Koordination, Kooperation, Kommunikation

Informationssicherheit der Landkreisverwaltungen 9

8 Zusammenlegung der Familienkassen kommt nicht voran (Kapitel 6001 Titel )

Vorabkontrolle nach LDSG - rechtliche und technische Prüfschritte. Dr. Thomas Probst

Datenschutz und IT-Grundschutz für Museen

Vorbemerkung / Ermächtigungsgrundlage für Verfahrensvereinfachungen

IT-Sicherheit beim Landkreis Goslar

Sicherheitstechnische Qualifizierung (SQ), Version 9.0

Titel der Präsentation Folie 2

Penetrationstests Risiko Sicherheitslücken in IT-Netzwerken

ZF Eskalationsmodell - Lieferant / Kaufteile

Corporate Governance

IT-Grundschutz. IT-Grundschutz. Dipl.-Inf. (FH) Thorsten Gerlach

Seminar Notfallmanagement. Teil 5: Risikoanalyse

Kooperationsgruppe Informationssicherheit des IT-PLR. Leitlinie für die Informationssicherheit. in der öffentlichen Verwaltung

Landauer Kunststiftung

Workshop zu Praxisfragen des IT-Sicherheitsrechts

Prüfungsordnung Fachkraft für Arbeitssicherheit

Die (neue) Arbeitsstättenverordnung. Peter Bork Gewerbeaufsicht des Landes Bremen

hier: Mitwirkung von Ärztinnen und Ärzten bei Rückführungsmaßnahmen

Fragen und Antworten zum Verzögerungsgeld nach 146 Abs. 2b AO

2.1 Sachkundiger Planer gemäß Instandsetzungsrichtlinie dafstb

ISO Zertifizierung auf der Basis von IT-Grundschutz

559 Mieterhöhung nach Modernisierungsmaßnahmen

Bekanntmachung Veröffentlicht am Dienstag, 26. Januar 2016 BAnz AT B4 Seite 1 von 8

Mitteilung zur Kenntnisnahme

Referentenentwurf. Verordnung der Sächsischen Staatsregierung zur Durchführung der Energieeinsparverordnung

Mitteilung zur Kenntnisnahme

Leitlinie für die Informationssicherheit

Das IT-Verfahren TOOTSI

Aufstellungsverfahren zum Personalhaushalt 09

ISMS und Sicherheitskonzepte ISO und IT-Grundschutz

Thüringer Landtag 6. Wahlperiode

DGUV Information Leitfaden zur Ermittlung der Anzahl der Sicherheitsbeauftragten im öffentlichen Dienst

Bonn, 01. Oktober Sicherstellung, dass Ihr Unternehmen weiterläuft, wenn Sie als UnternehmerIn ausfallen.

Zertifizierung der EU-Zahlstelle nach dem Audit ist vor dem Audit

Zertifizierung IT-Sicherheitsbeauftragter

Gesetz über die Vergabe öffentlicher Aufträge im Freistaat Sachsen (Sächsisches Vergabegesetz - SächsVergabeG) Vom 8. Juli 2002

SACHSEN. Jahr 2015 wurden in Relation zu den Zahlen der vergangenen Jahre gesetzt

IT-NOTFALL ÜBEN MACHT STARK! 15. Oktober 2015

Regierungsentwurf zum Doppelhaushalt 2019/2020. Kabinettspressekonferenz am 22. Juni 2018

Infoveranstaltung IT-Sicherheit für KMU

Raimund Putzinger. IT-Management. Was Sie über wirksames IT-Management wissen müssen. facultas.wuv

Kommunales E-Government

S a t z u n g. der Gemeinde Ralbitz Rosenthal über die Entschädigung für ehrenamtliche Tätigkeit

1. Definition Netzwerkorganisation. 2. Verständnis von Zusammenarbeit. 3. Handlungsansatz. 4. Kooperationsnetzwerk. 5.

ISIS12 Tipps und Tricks

Jan ÖKOTEC-GRUPPE Bilfinger & Berger Teil A ÖKOTEC-GRUPPE Brandschutz-Forum München RJ Vortrag 06 1

Datenschutz bei der Registrierung von Ausländervereinen

Interne Revision. Bericht gemäß 49 SGB II. Horizontale Revision. Revision SGB II. Kundenreaktionsmanagement

dass die Explosionsgefährdungen ermittelt und einer Bewertung unterzogen worden sind,

Fachdienst Soziale Sicherung Datum:

2. Arbeitstreffen Stellungnahmen der wissenschaftlichen Fachgesellschaften Zwischenbilanz und weitere Schritte

Neues vom IT-Grundschutz: Ausblick und Modernisierung

BSI-Modernisierung Grundschutz: Nicht Alt Nicht Neu Aber Anders. 27. September 2016 Simone Hock & Denny Dittrich

nicht alles, was technisch möglich ist, ist auch rechtlich erlaubt oder sollte gar erlaubt werden.

GESCHÄFTSORDNUNG FÜR DIE INNENREVISION DER UNIVERSITÄT SIEGEN. 2. Rechtliche Stellung und organisatorische Zuordnung der Innenrevision

3. Ergänzungsvereinbarung zur Grundlagenvereinbarung über die Einführung und Nutzung des integrierten HR IT Personalmanagementverfahrens - "KoPers"

Band AH, Kapitel 3: Hilfsmittel zum HV-Kompendium. AH 3.2: Kriterienkatalog für die Beurteilung des Restrisikos

An besserer Arbeit arbeiten Betriebsräte und Vertrauensleute werden zu FAIRbesserern

Prüfungsergebnisse Empfehlungen Vorgehen der geprüften Organisationseinheit

Kostenübernahme für Leistungen nach dem Asylbewerberleistungsgesetz

Dateiverweis: P:\Qualitätsmanagement\QMS_TUI\Vorschrift_Interne Audits\Vorschrift_Interne_Audits_ doc Erstellt/Geprüft

ORH-Bericht 2009 TNr. 23

Inhaltsverzeichnis. 1 Vorbemerkung. 2 Geltungsbereich { Zielgruppe. 3 Ziele und Prinzipien der IT- Sicherheit

Arbeitshilfe zur Vertraulichkeits-/Integritätsanalyse und Kryptobedarfsanalyse

SÄCHSISCHER LANDKREISTAG

Transkript:

IT-Sicherheit in der Landesverwaltung 7 Die Bedeutung der IT-Sicherheit wird unterschätzt. Es fehlen verbindliche Vorgaben, die ein einheitliches Handeln gewährleisten. Für die Notfallvorsorge des Rechenzentrums der Steuerverwaltung ist nicht ausreichend Vorkehrung getroffen. 1 Prüfungsgegenstand IT-Sicherheit ist der Schutz elektronisch gespeicherter Informationen. Sie sollen vor unberechtigter Kenntnisnahme (Verlust der Vertraulichkeit), vor unberechtigter Veränderung (Verlust der Integrität) sowie vor Verlust oder Beeinträchtigung der Verfügbarkeit, z. B. infolge von Feuer oder Wasser geschützt werden. Mit der Prüfung sollten u. a. Erkenntnisse darüber gewonnen werden, wie sich die Behördenleitungen dem Thema IT-Sicherheit stellen. Es wurden deshalb insbesondere der Status und die Organisation der IT-Sicherheit in den Ministerien und den Behörden der nachgeordneten Bereiche untersucht. In die Prüfung sind 9 oberste Staatsbehörden sowie 124 nachgeordnete Behörden einbezogen worden. Bei seiner Bewertung hat sich der SRH an den Standards und Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) orientiert. 2 Prüfungsergebnisse 2.1 Ausgangslage Der Arbeitskreis IT (AK-IT) hatte 1997 einstimmig beschlossen, für die Erstellung von Sicherheitskonzepten bei IT-Anwendungen bis zu einem mittleren Schutzbedarf in den Behörden der Landesverwaltung das IT-Grundschutzhandbuch des BSI anzuwenden. Mehrere Ressorts, u. a. das SMJus und das SMUL, haben dem AK-IT-Beschluss nur einen empfehlenden und keinen verbindlichen Charakter beigemessen. Sie fühlten sich nicht dadurch an die BSI-Standards und -Empfehlungen zu IT-Sicherheit gebunden. Andere Ressorts, wie das SMF, SMK oder das SMWK, orientierten sich bei der Einrichtung von IT-Sicherheitsprozessen in ihren Geschäftsbereichen, zumindest teilweise, an den BSI-Empfehlungen. Für ein einheitliches Vorgehen bei der Einrichtung von Sicherheitsprozessen in der Landesverwaltung ist eine allgemein als verbindlich anerkannte Grundlage zu schaffen. 2.2 Einrichtung von IT-Sicherheitsprozessen Die Behördenleitung ist verantwortlich für das zielgerichtete und ordnungsgemäße Funktionieren ihrer Behörde. Ohne eine funktionierende IT ist die Arbeitsfähigkeit der meisten Behörden gefährdet. Es ist deshalb Aufgabe jeder Behördenleitung, einen 143

angemessenen IT-Sicherheitsprozess einzuleiten, zu steuern und zu kontrollieren. IT-Sicherheit sollte Chefsache sein. IT-Sicherheit ist nicht automatisch mit aufwendigen Investitionen verbunden. Die Aufwendungen dafür erbringen keinen sofort erkennbaren Nutzen und werden deshalb zugunsten anderer partikularer IT-Projekte häufig aufgeschoben. Die Behördenleitung, als die für die Gesamtstrategie verantwortliche Instanz, muss die IT-Sicherheit als strategisches Ziel vorgeben. Nur wenn die Behördenleitung sich der Aufgabe IT-Sicherheit annimmt, kann eine angemessene IT-Sicherheit erreicht werden. Ein wichtiges Hilfsmittel hierfür ist eine IT-Sicherheitsleitlinie. Sie ist das zentrale Strategiepapier der Amtsleitung für die IT-Sicherheit. In ihr werden die Sicherheitsziele und die Strategie für deren Umsetzung dokumentiert. Bei seiner Prüfung hat der SRH in keiner obersten Staatsbehörde eine IT-Sicherheitsleitlinie vorgefunden. Im SMUL lag nur ein Entwurf vor, der zwischenzeitlich in Kraft gesetzt wurde. Dass eine IT-Sicherheitsleitlinie erforderlich ist, haben die meisten Ressorts erst im Zuge der Prüfung anerkannt. Nur das SMWK sieht derzeit keinen Bedarf dafür. Das SMS wollte die künftige Entwicklung abwarten. Einige Ressorts, wie das SMI oder das SMJus, wiesen darauf hin, dass sich die IT-Strukturen des Freistaates Sachsen im Umbruch befänden. Mit der Einrichtung des zentralen IT-Dienstleisters würden sich Zuständigkeiten für die IT-Sicherheit verändern. Dies ist ein Trugschluss. Auch nach der Einrichtung eines zentralen IT-Dienstleisters verbleibt die Verantwortung für die IT-Sicherheit grundsätzlich im jeweiligen Ressort. Die Fachbereiche sind weiterhin verantwortlich für den Schutz ihrer Daten. Nur die Verantwortung für den Betrieb der Verfahren geht auf den zentralen Dienstleister über. Die beabsichtigte Einrichtung eines zentralen IT-Dienstleisters in der Landesverwaltung entlastet die Amtsleitungen nicht von ihrer Zuständigkeit, die Sicherheitsziele und die Strategie ihrer Umsetzung für ihren Geschäftsbereich mittels IT-Sicherheitsleitlinie durchzusetzen. 2.3 Organisation der IT-Sicherheit Zum Zeitpunkt der örtlichen Erhebungen hatten 11 der 133 geprüften Behörden einen IT-Sicherheitsbeauftragten benannt. Größtenteils sind die Aufgaben Steuerung und Koordination der IT-Sicherheit von den IT-Referaten mit wahrgenommen worden. Nur teilweise erklärten sich die Behördenleiter für diese Aufgaben zuständig. Das SMS gab an, dass alle Mitarbeiter, die IT-Aufgaben bearbeiten, dafür zuständig seien. Von den obersten Staatsbehörden hatte das SMF eine Stelle für den IT-Sicherheitsbeauftragten im Geschäftsverteilungsplan vorgesehen. Sie war aber zum Zeitpunkt der Prüfung nicht besetzt. Das SMJus benannte zum 01.02.2007 einen IT-Sicherheitsbeauftragten. Auch im Polizeibereich sind zwischenzeitlich IT-Sicherheitsbeauftragte benannt worden. 144

Mitunter beklagten Behörden, u. a. das SMWA, dass die personelle Situation keine weitere Aufgabenaufstockung zulasse und verwiesen dabei auf die Forderung der Staatsregierung zum nachhaltigen Stellenabbau. Die konkrete Aufbauorganisation für das Management der IT-Sicherheit einer Behörde und der dazu erforderliche Ressourceneinsatz sind in Abhängigkeit von Behördengröße und deren Besonderheiten festzulegen. Es empfiehlt sich unabhängig davon, in jeder Behörde einen IT-Sicherheitsbeauftragten zu benennen. Um seiner besonderen Rolle in der Behörde gerecht zu werden, ist dem IT-Sicherheitsbeauftragten das unmittelbare Vortragsrecht bei der Amtsleitung einzuräumen. Die Behörden können von dieser Aufgabe nicht entlastet werden. Durch die Aufgabenbündelung auf eine Person muss mit der Berufung eines IT-Sicherheitsbeauftragten nicht zwangsläufig ein Mehraufwand verbunden sein. Im BSI-Standard 100-2 wird z. B. nicht ausgeschlossen, dass die Aufgaben des IT-Sicherheitsbeauftragten in Personalunion mit anderen Aufgaben wahrgenommen werden können. Der SRH geht nicht davon aus, dass dafür eine ganze Planstelle/Stelle notwendig ist. Der Stellenabbau ist kein Argument dafür, die IT-Sicherheit zu vernachlässigen. 2.4 IT-Sicherheitskonzepte Nach BSI-Standard 100-2 besteht ein IT-Sicherheitskonzept aus den dokumentierten Phasen Strukturanalyse (Erfassung der IT-Systeme und der Anwendungen), Schutzbedarfsfeststellung, IT-Grundschutzanalyse, Realisierungsplanung und bei hohem und sehr hohem Schutzbedarf aus einer ergänzenden Sicherheitsanalyse. Inhalt und Aktualität In sechs der neun geprüften obersten Staatsbehörden (außer SMF, SMK, SMWK) war zum Zeitpunkt der Prüfung kein IT-Sicherheitskonzept nach BSI-Standard vorhanden. Alle vorgelegten Konzepte waren unvollständig oder veraltet. So war z. B. das Konzept des SMF seit dem Jahr 2000 und das des SMWA seit 2002 nicht fortgeschrieben worden. Lückenhafte oder veraltete Konzepte bieten keine Sicherheit. 109 von 124 Behörden und Einrichtungen des nachgeordneten Bereiches hatten kein IT-Sicherheitskonzept. Es gab nur Einzeldokumente bzw. -regelungen zur IT-Sicherheit. Von nur 15 Behörden konnte zumindest formal ein IT-Sicherheitskonzept vorgelegt werden. Diese entsprachen aber nicht den Anforderungen des BSI. So startete z. B. im Statistischen Landesamt im März 2004 ein Pilotprojekt zur Evaluation des IT-Grundschutzes nach BSI. Im Februar 2007 - und damit rd. drei Jahre später - war ein IT-Sicherheitskonzept erst in Teilen fertig gestellt. Im Statistischen Landesamt werden u. a. für die Landesverwaltung und für das SMI- Ressorts wichtige IT-Verfahren, wie die Fördermitteldatenbank betrieben. Im Rechenzentrum des Statistischen Landesamtes ist das Fehlen des IT-Sicherheitskonzeptes nicht hinnehmbar. 145

Schutzbedarf Mit der Feststellung des Schutzbedarfs wird ermittelt, welcher Schutz für Informationen und die eingesetzte IT ausreichend und angemessen ist. Nach BSI-Klassifikation kann der Schutzbedarf in die Kategorien normal, hoch oder sehr hoch eingeteilt werden. Der SRH hat in den Ressorts widersprüchliche Feststellungen des Schutzbedarfs für vergleichbare IT-Anwendungen vorgefunden. Dazu einige Beispiele: Die Polizei hat ihre IT-Verfahren, die auch personenbezogene Daten u. a. zu Ordnungswidrigkeiten oder Straftaten beinhalten, mit einem normalen Schutzbedarf eingestuft. Alle Staatsanwaltschaften haben den Schutzbedarf ihrer IT- Verfahren mit hoch bewertet. Die unterschiedliche Einstufung überrascht, da Daten zu Beschuldigten auch elektronisch von der Polizei an die Staatsanwaltschaften weitergegeben werden. Im Rechenzentrum des FA Dresden I wird ein gleichgerichtetes IT-Verfahren betrieben, in dem ebenfalls Daten zu Beschuldigten - aus anhängigen Ermittlungs- und Steuerstrafverfahren - gespeichert werden. Für dieses IT-Verfahren ist der Schutzbedarf sehr hoch festgelegt worden. Für vergleichbare personenbezogene Daten sollten die Behörden den gleichen Schutzbedarf erkennen und festlegen. Die Feststellung des Schutzbedarfs ist überwiegend von den IT-Referaten ohne Beteiligung der Fachabteilungen vorgenommen worden. Dies ist nicht sachgerecht. Nur die Fachabteilungen können die möglichen materiellen oder ideellen Schäden realistisch vorausschauend einschätzen. Die Höhe der Schäden bestimmt den Schutzbedarf einer IT-Anwendung. Der Schutzbedarf für IT-Anwendungen ist von den zuständigen Fachabteilungen gewissenhaft vorzugeben. 2.5 Notfallvorsorge Die IT-Sicherheit verlangt auch den unversehrten Erhalt der gespeicherten Daten. Gemäß BSI umfasst die Notfallvorsorge Maßnahmen, die die Wiederherstellung der Betriebsfähigkeit nach - technisch bedingtem oder durch fahrlässige oder vorsätzliche Handlungen herbeigeführtem - Ausfall eines IT-Systems zum Ziel haben. Im LfF sind zentrale IT-Komponenten für das Landesamt und den Geschäftsbereich des SMF (u. a. 70 Servereinheiten mit 200 Datenbanken) in Kellerräumen untergebracht. Über den Servern verlaufen wasserführende Heizungsrohre. Im Schadensfall würde der Betrieb aller wichtigen IT-Verfahren des LfF, u. a. das Kassenverfahren und das Bezügeverfahren sowie die zentralen IT-Dienste des Ressorts, u. a. der Datenaustausch zwischen SMF und LfF zum Haushalt, beeinträchtigt oder unmöglich werden. Die Serverräume des LfF entsprechen nicht den Minimalanforderungen an Serverräume gemäß BSI-Standard. In 133 der 134 geprüften Behörden und Einrichtungen hat der SRH zum Zeitpunkt der Prüfung keine angemessenen IT-Notfallkonzepte vorgefunden. 146

Selbst für große IT-Betriebsstätten mit Rechenzentrumsbetrieb, wie das Statistische Landesamt oder das Rechenzentrum im FA Dresden I, lag kein IT-Notfallkonzept vor. Das Landeskriminalamt hatte sich 2003, damals noch zuständig für den Betrieb der zentralen IT-Verfahren der sächsischen Polizei, ein Notfallkonzept erarbeiten lassen. Der Betrieb der IT-Verfahren ging später auf eine andere Behörde über, das Notfallkonzept wurde aber nicht fortgeschrieben. Das SMUL teilte im Juni 2007 mit, zwischenzeitlich u. a. ein Notfallvorsorgekonzept erarbeitet und verabschiedet zu haben. Das Rechenzentrum der sächsischen Steuerverwaltung im FA Dresden I hat die Datensicherung für den Katastrophenfall, wie Brand, Zerstörung des Gebäudes oder Stromausfall, untersucht. Ergebnis war, dass trotz mehrfach durchgeführter Testläufe mit den erstellten Datensicherungskassetten die Wiederaufnahme des Produktionsbetriebes nicht möglich gewesen wäre. Eine vollständige Notfallvorsorge sei nur über die Datenspiegelung vom Rechenzentrum im FA Dresden I zu einem auswärtigen Rechenzentrum möglich. SMF und OFD hatten sich zu diesem grundlegenden Mangel bei der Notfallvorsorge im Rechenzentrum im FA Dresden I zum Zeitpunkt der örtlichen Erhebungen noch nicht für eine wirksame Notfallvorsorge entschieden. Der Wiederaufnahme des Produktionsbetriebes im Rechenzentrum im FA Dresden I ist bei den dargestellten Schadensszenarien nicht möglich. Dies gefährdet nicht nur die Arbeitsfähigkeit der sächsischen Finanzverwaltung, sondern nimmt im Notfall, wegen der notwendigen Datenrekonstruktion, eine zusätzliche Inanspruchnahme der Steuerbürger in Kauf. 3 Folgerungen Das Thema IT-Sicherheit hat bis jetzt in der Landesverwaltung noch nicht den Stellenwert, der ihm zukommt. Die IT-Sicherheit muss stärker in das Blickfeld der Amtsleitungen rücken. Für den Mindeststandard bei der IT-Sicherheit sind Vorgaben der Staatsregierung erforderlich. Die BSI-Standards sollten dafür die Grundlage bilden. 4 Stellungnahmen Die SK und das SMI haben in Abstimmung mit den anderen Ressorts zum Sachverhalt Stellung genommen. Sie erklärten, eine weiterführende ressortübergreifende Koordinierung der IT-Sicherheit werde von der Koordinierungs- und Beratungsstelle für Informationstechnik in der SK und dem Aufbaustab zur Optimierung der IT-Organisation im SMI als notwendig erachtet. Wichtigster Schritt in diese Richtung sei die Optimierung der IT-Organisation in der Landesverwaltung. Mit der Einsatzbereitschaft des Stabes IT und E-Government und 147

des zentralen IT-Dienstleisters zum 01.01.2008 werde dort eine IT-Sicherheitsorganisation aufgebaut. In den Landesbehörden soll ein am BSI-Grundschutzhandbuch orientierter Prozess zur IT-Sicherheit initiiert werden. Der Prozess werde die fachliche Leitungsebene einbeziehen und nutze bereits vorliegende Konzepte der Ressorts. Die Anforderungen der Ressorts - insbesondere bezüglich Datensicherheit, Verfügbarkeit und Notfallvorsorge - sollten in den Leistungsvereinbarungen mit dem zentralen IT-Dienstleister festgeschrieben werden. Als weiterer Schritt werde eine IT-Sicherheitsrichtlinie, geltend für alle Landesbehörden, unter Beteiligung der Ressorts erarbeitet und in Kraft gesetzt. Ergänzend zur Stellungnahme der SK und des SMI teilte das SMF mit, es beabsichtige bis Ende 2007 eine IT-Sicherheitsrichtlinie sowie aktuell ein IT-Sicherheitsrahmenkonzept für seinen Geschäftsbereich zu erarbeiten. Die vakante Stelle des IT-Sicherheitsbeauftragten sei zwischenzeitlich besetzt worden. Für die Steuerverwaltung genieße der Aufbau eines leistungsfähigen Ausweichrechenzentrums oberste Priorität und sei ein strategisches Handlungsziel für das Jahr 2007. Eine Prüfung der baulichen Mängel in den Serverräumen des LfF hätte es veranlasst. 148

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback