ASL
1 Einleitung
Die automatisierte Verarbeitung von Daten, das Bereitstellen von virtualisierten Systemen in einem Rechenzentrum und Dienstleistungen bei Kunden spielen eine Schlüsselrolle bei der Aufgabenerfüllung der cionix Systemhaus GmbH. Alle wesentlichen Prozesse werden durch Anlagen zur elektronischen Datenverarbeitung (EDV) maßgeblich unterstützt.
Durch die verstärkte Abhängigkeit von moderner EDV-Technik hat sich das Risiko der Beeinträchtigung von Informationsinfrastrukturen und deren Komponenten (IT-Infrastruktur) durch vorsätzliche Angriffe von innen und außen, durch fahrlässiges Handeln, Unkenntnis oder potenzielles Versagen der Technik sowohl qualitativ als auch quantitativ deutlich erhöht.
Mangelnde Informationssicherheit kann zu Störungen bei der Aufgabenerfüllung führen, die die Leistungsfähigkeit des Unternehmens mindern und im Extremfall dessen Geschäftsprozesse zum Erliegen bringen.
Vor diesem Hintergrund ist ein angemessenes Niveau der Informationssicherheit in den Geschäftsprozessen der cionix Systemhaus GmbH zu organisieren. Dabei sollen sich Sicherheitsmaßnahmen an der ISO 27002 orientieren.
Die Verantwortung für die ordnungsgemäße und sichere Aufgabenerledigung und damit für die Informationssicherheit trägt die Geschäftsführung der cionix Systemhaus GmbH.
Sie ist insbesondere verantwortlich für
– die Schaffung organisatorischer Rahmenbedingungen zur nachhaltigen Gewährleistung von Informationssicherheit,
– die Definition und Festlegung der erforderlichen Verantwortlichkeiten und Befugnisse,
– die Einrichtung eines Informationssicherheits-Managements,
– die Umsetzung der vereinbarten Sicherheitsmaßnahmen einschließlich der Bereitstellung der erforderlichen Haushaltsmittel,
– eine hinreichende und geeignete Dokumentation der IT-Infrastruktur sowie aller Sicherheitsvorkehrungen und Sicherheitsmaßnahmen,
Die vorliegende Leitlinie beschreibt die allgemeinen Ziele, Strategien und Organisationsstrukturen, welche für die Initiierung und Etablierung eines ganzheitlichen Informationssicherheitsprozesses erforderlich sind.
2 Geltungsbereich
Diese Leitlinie gilt für die gesamte cionix Systemhaus GmbH.
Die Leitlinie und die daraus resultierenden Vorschriften und Maßnahmen sind von allen Mitarbeitern der cionix Systemhaus GmbH oder Personen die in ihrem Auftrag tätig sind zu beachten und einzuhalten.
Weiterführende Regelungen sind im Informationssicherheitshandbuch getroffen.
3 Grundsätze und Ziele der Informationssicherheit
3.1 Grundsätze
3.1.1 Begriffseinführung
Informationssicherheit bezeichnet einen Zustand, in dem die Risiken für die Sicherheitsziele Vertraulichkeit, Integrität und Verfügbarkeit von Informationen und Informationstechnik durch angemessene Maßnahmen auf ein akzeptierbares Maß reduziert sind. Die Informationssicherheit umfasst neben der Sicherheit der IT-Systeme und der darin gespeicherten Daten auch die Sicherheit von nicht elektronisch verarbeiteten und gespeicherten Daten und Informationen.
Dabei bedeuten:
– Vertraulichkeit: Vertraulichkeit ist der Schutz vor unbefugter Preisgabe von Informationen. Vertrauliche Daten und Informationen dürfen ausschließlich Befugten in der zulässigen Weise zugänglich sein
– Integrität: Integrität bezeichnet die Sicherstellung der Korrektheit (Unversehrtheit) von Daten und der korrekten Funktionsweise von Systemen. Wenn der Begriff Integrität auf “Daten” angewendet wird, drückt er aus, dass die Daten vollständig und unverändert sind. In der Informationstechnik wird er in der Regel aber weiter gefasst und auf “Informationen” angewendet. Der Begriff “Information” wird dabei für “Daten” verwendet, denen je nach Zusammenhang bestimmte Attribute wie z. B. Autor oder Zeitpunkt der Erstellung zugeordnet werden können. Der Verlust der Integrität von Informationen kann daher bedeuten, dass diese unerlaubt verändert, Angaben zum Autor verfälscht oder Zeitangaben zur Erstellung manipuliert wurden.
– Verfügbarkeit: Die Verfügbarkeit von Dienstleistungen, Funktionen eines IT-Systems, IT-Anwendungen oder IT-Netzen oder auch von Informationen ist vorhanden, wenn diese von den Anwendern stets wie vorgesehen genutzt werden können.
3.1.2 Bedeutung der Informationssicherheit
Erklärtes Ziel der cionix GmbH ist es, dass alle Einrichtungen, die der Erstellung, Speicherung und Übertragung von Daten dienen, so ausgewählt, integriert und konfiguriert sind, dass für die auf ihnen verarbeiteten Daten zu jeder Zeit und unter allen Umständen das angemessene Maß an Vertraulichkeit, Integrität und Verfügbarkeit sichergestellt ist.
Die Einhaltung dieser Anforderungen ist unabdingbarer Bestandteil jedes Einsatzes von EDV-Technik im Bereich der cionix Systemhaus GmbH und ist mit technischen und organisatorischen Maßnahmen verbindlich sicherzustellen.
3.1.3 Informationssicherheit als Leistungsmerkmal von IT-Verfahren
Die Informationssicherheit ist ein zu bewertendes und herbeizuführendes Leistungsmerkmal von IT-Verfahren. Bleiben im Einzelfall trotz der Sicherheitsvorkehrungen Risiken untragbar, ist auf den IT-Einsatz zu verzichten. Belange der Informationssicherheit sind zu berücksichtigen bei
– der Entwicklung und Einführung von IT-Verfahren,
– dem Betrieb und der Pflege von IT-Verfahren,
– der Beschaffung und Beseitigung / Entsorgung von IT-Produkten,
– der Nutzung von Diensten Dritter.
3.1.4 Informationssicherheit als Leistungsmerkmal der Organisation
Technische und organisatorische Sicherheitsmaßnahmen sind so zu gestalten, dass diese stets integraler Bestandteil aller Geschäftsprozesse sind und nicht Erweiterungen, die über das vermeintlich Notwendige hinausgehen. Belange der Informationssicherheit sind zu berücksichtigen bei
– der Gestaltung der Organisation,
– der Schaffung und Besetzung von Funktionen und Rollen,
– der Führung von Mitarbeitern,
– der Aus- und Weiterbildung,
– der Gestaltung von Arbeitsabläufen,
– der Zusammenarbeit mit anderen Unternehmen, Behörden und Externen,
– der Auswahl und dem Einsatz von Hilfsmitteln.
3.1.5 Wirtschaftlichkeit
Die Sicherheitsmaßnahmen müssen in einem wirtschaftlich vertretbaren Verhältnis zum Schaden stehen, der durch Sicherheitsvorfälle verursacht werden kann. Dieser wird durch den Wert der zu schützenden Informationen und der IT-Systeme definiert. Zu bewerten sind dabei in der Regel die Auswirkungen auf die körperliche und seelische Unversehrtheit von Menschen, das Recht auf informationelle Selbstbestimmung, finanzielle Schäden, Beeinträchtigungen des Ansehens der cionix Systemhaus GmbH und die Folgen von Gesetzesverstößen.
Für die Umsetzung der erforderlichen und angemessenen Sicherheitsmaßnahmen sind durch das Unternehmen die notwendigen Ressourcen (Personal, Sach- und Investitionsmittel) bereit zu stellen.
3.1.6 Sicherheit vor Verfügbarkeit
Wenn Angriffe auf die Sicherheit der IT-Infrastruktur der cionix Systemhaus GmbH drohen oder bekannt werden oder sonstige Sicherheitsrisiken auftreten, kann die Verfügbarkeit von EDV-Technik, IT-Anwendungen, Daten und Netzwerken entsprechend dem Bedrohungs- und Schadensrisiko vorübergehend eingeschränkt werden. Im Interesse der Funktionsfähigkeit des gesamten Unternehmens ist der Schutz vor Schäden vorrangig. Vertretbare Einschränkungen in Bedienung und Komfort sind hinzunehmen. Dies gilt in besonderem Maße für die Übergänge zu anderen Netzwerken, vor allem zum Internet.
3.1.7 Prinzip des informierten Mitarbeiters
Die Mitarbeiter sind im erforderlichen Umfang bezüglich der Informationssicherheit zu sensibilisieren und zu qualifizieren.
3.2 Informationssicherheitsziele
3.2.1 Verfügbarkeit
Für alle IT-Verfahren sind die Zeiten, in denen sie verfügbar sein sollen, festzulegen.
Betriebsunterbrechungen sind in diesen Zeiten weitgehend zu vermeiden, d. h. nach Zahl und Dauer zu begrenzen. Die Beschreibung der notwendigen Verfügbarkeit umfasst
– die regelmäßigen Betriebszeiten,
– die Zeiten mit erhöhter Verfügbarkeitsanforderung,
– die maximal tolerierbare Dauer einzelner Ausfälle.
Ebenfalls festzulegen sind regelmäßig geplante Auszeiten, insbesondere zu Wartungszwecken.
3.2.2 Vertraulichkeit
Die in IT-Verfahren erhobenen, gespeicherten, verarbeiteten und weiter gegebenen Daten sind vertraulich zu behandeln und jederzeit vor unbefugtem Zugriff zu schützen. Zu diesem Zweck ist für alle Daten der Personenkreis, dem der Zugriff gestattet werden soll, zu bestimmen. Der Zugriff auf IT-Systeme, IT-Anwendungen und Daten sowie Informationen ist auf den unbedingt erforderlichen Personenkreis zu beschränken. Jeder Mitarbeiter erhält eine Zugriffsberechtigung nur auf die Daten, die er zur Erfüllung seiner dienstlichen Aufgaben benötigt.
3.2.3 Integrität
Informationen sind gegen unbeabsichtigte Veränderung und vorsätzliche Verfälschung zu schützen. Alle IT-Verfahren sollen stets aktuelle und vollständige Informationen liefern, eventuelle verfahrens- oder informationsverarbeitungsbedingte Einschränkungen sind zu dokumentieren.
4 Verantwortlichkeiten
4.1 Verantwortung der Geschäftsführung
Die Geschäftsführung erlässt verbindliche Regeln zur Informationssicherheit für die cionix Systemhaus GmbH und gibt sie den Mitarbeitern bekannt. Sie stellt jederzeit eine Möglichkeit zur Kenntnisnahme der aktuellen Regeln sicher.
4.2 Verantwortung der Mitarbeiter
Alle Mitarbeiter gewährleisten die Informationssicherheit durch verantwortungsbewusstes Handeln und halten die für die Informationssicherheit relevanten Gesetze, Vorschriften, Richtlinien, Anweisungen und vertraglichen Verpflichtungen ein. Sie gehen korrekt und verantwortungsvoll mit den von ihnen genutzten IT-Systemen, Daten und Informationen um.
Verhalten, das die Sicherheit von Daten, Informationen, IT-Systemen oder der Netze gefährdet, kann disziplinar- oder arbeitsrechtlich geahndet werden. Unter Umständen kann das Verhalten als Ordnungswidrigkeit oder Straftat verfolgt werden.
Mitarbeiter, die die Sicherheit von Daten, Informationen, IT-Systemen oder des Netzes gefährden und einen Schaden für das Unternehmen oder einen Dritten verursachen, können darüber hinaus nach den gesetzlichen Regelungen zum Schadenersatz herangezogen werden oder einem Rückgriffsanspruch ausgesetzt sein.
Als Straftaten kommen insbesondere in Betracht
– das unbefugte Verschaffen von Daten anderer, die nicht für den Mitarbeiter bestimmt und die gegen den unberechtigten Zugang besonders gesichert sind,
– das Schädigen fremden Vermögens durch unrichtiges Gestalten eines Programms, durch Verwendung unrichtiger oder unvollständiger Daten, durch unbefugtes Verwenden von Daten oder durch unbefugtes Einwirken auf den Ablauf eines Programms,
– das rechtswidrige Löschen, Verändern, Unterdrücken und Unbrauchbarmachen von Daten,
– das unbefugte Zerstören, Beschädigen, Unbrauchbarmachen, Beseitigen oder Verändern einer Datenverarbeitungsanlage oder eines Datenträgers oder
– strafbewehrte Verstöße gegen das Brandenburgische Datenschutzgesetz oder das Bundesdatenschutzgesetz.
Verstöße gegen die Informationssicherheit sind unverzüglich dem zuständigen Beauftragten für Informationssicherheit (s. Pkt. 5.1) zu melden.
Als Verstöße gelten insbesondere Handlungen, die aufgrund einer Abweichung von dieser Leitlinie oder weiteren Richtlinien zur Informationssicherheit
– der cionix Systemhaus GmbH materielle oder immaterielle Schäden zufügen,
– den unberechtigten Zugriff auf Informationen, deren Preisgabe und / oder Änderung zulassen,
– die Nutzung von Verwaltungsinformationen für illegale Zwecke beinhalten oder
– eine Kompromittierung des Ansehens der cionix Systemhaus GmbH zur Folge hat.
4.3 Fachverantwortliche
Für Geschäftsprozesse sind Verantwortliche zu benennen, die in dem ihnen zugewiesenen Verantwortungsbereich zuständig sind für
– die Festlegung der geschäftlichen Relevanz der verarbeiteten Informationen und deren Schutzbedarf,
– die Sicherstellung, dass Verantwortlichkeiten explizit definiert und Sicherheits- und Kontrollmaßnahmen zur Verwaltung und zum Schutz der im Verantwortungsbereich befindlichen Informationen implementiert werden.
Der Fachverantwortliche muss den Zugang auf Informationen sowie den Umfang und die Art der Autorisierung definieren, die im jeweiligen Verfahren erforderlich sind. Bei diesen Entscheidungen ist zu berücksichtigen
– die Notwendigkeit, die Informationen entsprechend ihrer geschäftlichen Relevanz zu schützen,
– die Aufbewahrungsvorschriften und die mit den Informationen verbundenen rechtlichen Anforderungen,
– die notwendige Zugänglichkeit der für die jeweiligen Geschäftsanforderungen erforderlichen Informationen.
4.4 Verantwortung externer Leistungserbringer
Personen, Behörden und Unternehmen, die nicht zur cionix Systemhaus GmbH gehören, für diese aber Leistungen erbringen (Auftragnehmer), haben die Vorgaben des Auftraggebers zur Einhaltung der Informationssicherheitsziele gemäß dieser Leitlinie einzuhalten. Der Auftraggeber informiert den Auftragnehmer über diese Regeln und verpflichtet ihn in geeigneter Weise zur Einhaltung. Dazu gehört auch, dass der Auftragnehmer bei erkennbaren Mängeln und Risiken eingesetzter Sicherheitsmaßnahmen den Auftraggeber zu informieren hat.
5 Informationssicherheitsorganisation
5.1 Beauftragter für Informationssicherheit
Als zentrale Sicherheitsinstanz der cionix Systemhaus GmbH ernennt die Geschäftsführung einen Beauftragten für Informationssicherheit (ISMS-Verantwortlicher), der für alle operativen Belange und Fragen der Informationssicherheit zuständig ist.
Es ist sicher zu stellen, dass diesem Beschäftigten ein angemessener Teil seiner Arbeitszeit für die Erledigung seiner Aufgaben als ISMS-Verantwortlicher zur Verfügung steht.
Der ISMS-Verantwortliche hat folgende Aufgaben:
- Aufbau und Betrieb des ISMS
- Beratung/Berichtserstattung der Geschäftsführung zu ISMS relevanten Themen und zur Erreichung der ISMS-Ziele
- Kontrollieren und Prüfen der Einhaltung der ISMS-Ziele
- Zentraler Ansprechpartner zu ISMS relevanten Themen für alle Parteien (intern, extern)
- Überwachen der Umsetzung und Wirksamkeit der definierten Maßnahmen
- Steuerung der Handhabung von informationssicherheitsrelevanten Vorfällen
- Koordination des ISMS-Teams
- Kommunikation von informationssicherheitsrelevanten Vorgaben
- Organisation und Durchführung von Schulungs- und Sensibilisierungsmaßnahmen
- Koordination von Informationssicherheitsrisikoanalysen und -behandlung
- Ersteller und Eigentümer von ISMS-Dokumenten
- Beurteilung von relevanten internen Änderungen bzw. Projekte, um schon in der Planungsphase informationssicherheitsrelevante Aspekte zu berücksichtigen
- verantwortlich für die Organisation der regelmäßigen Überprüfung (interne Audits)
- Initiierung und Überwachung der Behandlung möglicher Abweichungen
- Berichtserstattung direkt an die Geschäftsführung
- Teilnahme an externen Audits.
5.2 Informationssicherheitsmanagement-Teams
Zur Unterstützung des ISMS-Verantwortlichen bei der Erfüllung seiner Aufgaben können temporär Informationssicherheitsmanagement-Teams gebildet werden, um bei strategischen Entscheidungen oder Einzelmaßnahmen (z. B. bei Projekten entsprechender Größenordnung) die Belange der Informationssicherheit der cionix Systemhaus GmbH sicherzustellen.
6 Umsetzung
Diese Leitlinie bildet die Grundlage für die Erstellung weiterer, auch fachspezifischer Richtlinien, Informationssicherheitskonzepte und detaillierter Regelungen und Dienstanweisungen zur Informationssicherheit.
7 Sicherung und Verbesserung der Informationssicherheit
Der Informationssicherheitsprozess ist regelmäßig auf seine Aktualität und Wirksamkeit zu überprüfen. Insbesondere sind die Maßnahmen regelmäßig daraufhin zu untersuchen, ob sie den betroffenen Mitarbeitern bekannt, umsetzbar und in den Betriebsablauf integrierbar sind.
Die Leitungsebenen unterstützen die ständige Verbesserung des Sicherheitsniveaus.
Die Mitarbeiter sind angehalten, mögliche Verbesserungen oder Schwachstellen an die entsprechenden Stellen weiterzugeben.
Durch eine kontinuierliche Revision der Regelungen und deren Einhaltung wird das angestrebte Sicherheits- und Datenschutzniveau sichergestellt. Abweichungen werden mit dem Ziel analysiert, die Informationssicherheit zu verbessern und ständig auf dem aktuellen Stand zu halten.