IT-Sicherheitsleitlinie für die Hchschule für angewandte Wissenschaften Fachhchschule München (Hchschule München) vm: 29. Juli 2010 Präambel Die Hchschule München setzt für Arbeits- und Geschäftsprzesse in ihren Kernbereichen, anwendungsbezgener Frschung und Lehre und in ihrer Verwaltung verstärkt Infrmatinstechnlgien (IT) ein. Mit dem vermehrten Einsatz vn IT-Lösungen, steigt auch die Abhängigkeit vn deren Funktinsfähigkeit und die Gefahr ptentieller wirtschaftlicher und szialer Schäden durch IT-Risiken. Es ist daher für die Hchschule München vn erheblichen strategischem Wert die Verfügbarkeit, Integrität und Vertraulichkeit vn Infrmatinen durch entsprechende technische, strukturelle und persnelle Maßnahmen zu schützen. Der Przess rientiert sich an den Vrgaben des Bundesamtes für Sicherheit in der Infrmatinstechnik (BSI). 1. Gegenstand In dieser IT-Sicherheitsleitlinie sll zur Realisierung eines hchschulweiten IT- Sicherheitsprzesses, unter Berücksichtigung der einschlägigen gesetzlichen Bestimmungen die erfrderlichen Verantwrtungsstrukturen für die IT-Sicherheit festgelegt werden. Ferner frmuliert sie Schutzziele und leitende Prinzipien der IT- Sicherheit an der Hchschule München. 2. Geltungsbereich Diese IT-Sicherheitsleitlinie gilt hchschulweit für alle Einrichtungen der Hchschule München (Fakultäten, wissenschaftliche Einrichtungen, Abteilungen und Bereiche der Zentralverwaltung und snstige Einrichtungen) und in technischer Hinsicht für die gesamte IT-Infrastruktur inkl. der daran betriebenen IT-Systeme der Hchschule München. Sie gilt auch für außerhalb des Dienstgebäudes eingerichtete Arbeitsplätze (z. B. Telearbeitsplätze, mbile Arbeitsplätze, PC an Messeständen, etc.) 3. Schutzziele und Definitinen Schutzziele eines IT-Sicherheitsprzesses an der Hchschule München sind die Verfügbarkeit, die Vertraulichkeit, die Integrität und die Authentizität vn Infrmatinen. Seite 1 vn 5
Alle Beschäftigten gewährleisten die IT-Sicherheit durch ihr verantwrtliches Handeln und halten die für die IT-Sicherheit relevanten Gesetze, Vrschriften, Richtlinien, Anweisungen und vertraglichen Verpflichtungen ein. Definitinen: Verfügbarkeit Die Verfügbarkeit vn Dienstleistungen, Funktinen eines IT-Systems, IT- Anwendungen der IT-Netzen der auch vn Infrmatinen ist vrhanden, wenn diese vn den Anwendern stets wie vrgesehen genutzt werden können.* Vertraulichkeit Vertraulichkeit ist der Schutz vr unbefugter Preisgabe vn Infrmatinen. Vertrauliche Daten und Infrmatinen dürfen ausschließlich Befugten in der zulässigen Weise zugänglich sein.* Integrität Integrität bezeichnet die Sicherstellung der Krrektheit (Unversehrtheit) vn Daten und der krrekten Funktinsweise vn Systemen.* Authentizität Mit dem Begriff Authentizität wird die Eigenschaft bezeichnet, die gewährleitstet, dass ein Kmmunikatinspartner tatsächlich derjenige ist, der er vrgibt zu sein. Bei authentischen Infrmatinen ist sichergestellt, dass sie vn der angegebenen Quelle erstellt wurden. * * Definitinsbeschreibung lt. Bundesamt für Sicherheit in der Infrmatinstechnik (BSI), Glssar und Begriffsdefinitinen 4. Verantwrtlichkeiten und IT-Sicherheitsrganisatin Die für den Einsatz und die Planung vn IT-Prjekten zuständigen Akteure der Akteurinnen und deren Zuständigkeiten sind in der IT-Gvernance der Hchschule München vm 04. Juni 2008 swie im Bayerischen Hchschulgesetz (BayHSchG) vm 23. Mai 2006 und der Grundrdnung der Hchschule für angewandte Wissenschaften Fachhchschule München vm 7. Dezember 2007 in ihren jeweils gültigen Fassungen festgelegt. Am IT-Sicherheitsprzess sind verantwrtlich beteiligt: Präsidium Das Präsidium trägt die Gesamtverantwrtung für den IT-Sicherheitsprzess. Erweiterte Hchschulleitung (EHL) Gemäß der IT-Gvernance ist die EHL höchste Entscheidungsinstanz in allen Fragen der IT-Sicherheit. Seite 2 vn 5
IT-Steuerkreis (ITS) Der IT-Steuerkreis ist im Auftrag der EHL für die strategische Ausrichtung in IT-Fragen der gesamten Hchschule München verantwrtlich. Er ist Entscheidungsinstanz für IT-Vrhaben mit bereichsübergreifendem Charakter und IT-Grßprjekte. Er prüft und entscheidet abschließend über alle auf IT- Prjekte gerichteten Ausgaben. Abteilung Zentrale IT Die Zentrale IT erbringt der beauftragt IT-Basisdienste und überwacht deren Qualität. IT-Sicherheitsbeauftragte/r Der der die IT-Sicherheitsbeauftragte wird vm Kanzler der der Kanzlerin der Hchschule München bestellt. Er/Sie ist Mitglied im IT-Arbeitskreis. Zu seinen/ihren Kernaufgaben gehören: Unterstützung des ITS bei der Entwicklung und Frtschreibung des IT- Sicherheitsprzesses; Erstellung der ntwendigen Regelwerke zum IT-Sicherheitsprzess und deren Vrlage beim ITS zur Beschlussfassung; Sicherstellung der Umsetzung des IT-Sicherheit Regelwerkes in den Einrichtungen der Hchschule München; Infrmatin des ITS über den Ablauf und die Integratin des IT- Sicherheitsprzesses; Krdinatin vn Untersuchungen evtl. auftretender sicherheitsrelevanter Ereignisse; Beratung der Fakultäten und snstigen Einrichtungen zu Fragestellungen der IT-Sicherheit; Gestaltung vn Ausbildungs- und Sensibilisierungsmaßnahmen vn Mitarbeitern und Mitarbeiterinnen; Unterstützung des der der Datenschutzbeauftragten bei Verfahrensfreigaben. Zur Wahrnehmung seiner/ihrer Aufgaben hat der der die IT- Sicherheitsbeauftragte ein uneingeschränktes Zugriffsrecht auf alle sicherheitsrelevanten Infrmatinen und Systeme und ein grundsätzliches Zutrittsrecht zu allen Einrichtungen der Hchschule München. Bei Gefahr in Verzug und wenn ein gravierender Schaden für die Hchschule München zu befürchten ist, kann er/sie Weisungen zur vrübergehenden Einstellung vn IT-Anwendungen erteilen. Die getrffenen Weisungen bedürfen einer umgehenden nachträglichen Genehmigung durch den Kanzler der die Kanzlerin der in dessen der deren Abwesenheit durch den Leiter der die Leiterin der Zentralen IT. Bereichsleitung Die Leitung eines Bereiches der Hchschule (Fakultät, Abteilung, Zentralverwaltung etc.) ist für den gemäß IT-Gvernance laufenden IT- Einsatz in ihrem Aufgabenbereich verantwrtlich. Seite 3 vn 5
IT-Verfahrensverantwrtliche Der IT-Einsatz an der Hchschule München wird in IT-Verfahren zusammengefasst, die IT-Verfahren werden dkumentiert und beschrieben und im Hinblick auf ihren Schutzbedarf analysiert. Für alle Verfahren wird vm ITS ein Verfahrensverantwrtlicher der eine Verfahrensverantwrtliche benannt. Der der die Verfahrensverantwrtliche definiert den Schutzbedarf für das Verfahren. IT-Arbeitskreis (ITA) Im ITA erflgt die hchschulweite Abstimmung vn IT-Prjekten. 5. IT-Sicherheitsprinzipien Flgende Prinzipien liegen dem IT-Sicherheitsprzess an der Hchschule München zugrunde: Anwenderinnen und Anwender haben ein Grundverständnis für Belange der IT-Sicherheit; IT-Systeme werden in einer sicheren Umgebung betrieben; Infrmatinen (Systeme, Daten etc.) werden adäquat vr unberechtigten Zugriffen geschützt; Es werden Maßnahmen getrffen, um IT-Systeme vr schädlicher Sftware (sg. Malware ) zu schützen; IT-Systeme werden auf einem adäquaten Versinsstand gehalten; Die administrative Arbeit auf IT-Systemen wird sicher und nachvllziehbar gestaltet; Infrmatinen werden ihrer Kritikalität entsprechend angemessen sicher verarbeitet; IT-Systeme werden durch kmpetentes Persnal langfristig betreut; Die Wirksamkeit der Schutzmaßnahmen wird regelmäßig überprüft und dkumentiert; IT-Sicherheitszwischenfälle werden dkumentiert und geeignet kmmuniziert. 6. Aufbau des Regelwerkes zur IT-Sicherheit Das Regelwerk zur IT-Sicherheit setzt sich aus dieser IT-Sicherheitsleitlinie swie den allgemeinen und den prduktspezifischen IT-Sicherheitsrichtlinien zusammen. Die allgemeinen Sicherheitsrichtlinien beschreiben detailliert dienst-/ zielgruppenbezgene Maßnahmen, die für einen Basisschutz vr Gefährdungen umgesetzt werden müssen. Die prduktspezifischen Sicherheitsrichtlinien legen Sicherheitsmaßnahmen fest die getrffen werden müssen, um definierte Prdukte der Systeme sicher zu machen. Seite 4 vn 5
7. Infrmatin der MitarbeiterInnen und externer DienstleisterInnen Innerhalb der Fakultäten und snstigen Einrichtungen der Hchschule München ist sicherzustellen, dass alle Mitarbeiter und Mitarbeiterinnen diese IT- Sicherheitsleitlinie und alle snstigen Teile des IT-Regelwerkes swie eventuelle Aktualisierungen kennen und im Rahmen Ihres Verantwrtungsbereiches beachten. Externe Dienstleister und Dienstleisterinnen der Auftragsnehmer und Auftragnehmerinnen werden bei Aufnahme der Vertragsbeziehungen auf das Regelwerk zur IT-Sicherheit schriftlich hingewiesen und auf dessen Beachtung pflichtet. 8. Aktualisierung Diese IT-Sicherheitsleitlinie swie die snstigen Richtlinien des Regelwerkes sind alle zwei Jahre swie bei Bedarf durch insbesndere den der die IT- Sicherheitsbeauftragten auf ihre Aktualität zu prüfen und gegebenenfalls frtzuschreiben. 9. Verstöße gegen das Regelwerk der IT-Sicherheit Verstöße gegen das Regelwerk können nach den allgemeinen Regelungen und gesetzlichen Bestimmungen insbesndere denen des Arbeits- und Disziplinarrechts geahndet werden und außerdem zu zivilrechtlichen der strafrechtlichen Knsequenzen führen. Als Verstöße werden insbesndere angesehen: Die Kmprmittierung der Sicherheit vn Infrmatinen; Der unberechtigte Zugriff auf Infrmatinen; Die unberechtigte Änderungen, Nutzung und/der Veröffentlichung vn Infrmatinen. 10. Inkrafttreten Diese Sicherheitsleitlinie tritt am 29.07.2010 in Kraft. Hchschule für angewandte Wissenschaften Fachhchschule München München, den... Prf. Dr. Michael Krtstck Präsident Seite 5 vn 5