Regel 23: Schutzbedarfsfeststellung von IT-Systemen
Zielgruppe: Systembetriebsverantwortliche, IT-Sicherheitsbeauftragte
Verbindliche Anforderungen
Art und Umfang der Schutzmaßnahmen für ein IT-System müssen sich an dem Schutzbedarf der IT-Anwendungen bzw. Daten orientieren, die auf dem betreffenden IT-System verarbeitet werden. Als Richtmaß gilt hier das zu erwartende Schadensszenario, das eintreten kann, sollte auf dem IT-System eingebrochen und dieses missbraucht werden. Die Schäden könnten beispielsweise Verstöße gegen Verträge, Beeinträchtigung der Aufgabenerfüllung, negative Aussenwirkung oder finanzielle Einbußen sein.
Als Kriterien werden an der FAU folgende Szenarien angewendet:
1. Schadensszenario: Verstoß gegen Verträge
Es werden Daten im Rahmen von Drittmittelprojekten erhoben, verarbeitet und gespeichert. In diesem Fall ist davon auszugehen, dass es besondere vertragliche Verpflichtungen vorliegen. Im Falle von Datenverlusten ist von Regressforderungen auszugehen, ausserdem droht der FAU ein Imageschaden.
2. Schadensszenario: Verstoß gegen Gesetze
Es werden Daten verarbeitet, deren Export untersagt oder eingeschränkt ist (Aussenwirtschaftsgesetz oder Kriegswaffenkontrollgesetz). Es handelt sich hierbei insbesondere um Daten oder Know-How, durch die die Entwicklung oder der Bau von ABC-Waffen ermöglicht oder unterstützt werden kann. Die Einrichtungen, die davon betroffen sein können werden vom RRZE direkt angesprochen.
3. Schadensszenario: Finanzielle Einbußen
Es werden Daten verarbeitet, die im Zusammmenhang mit Patenten stehen. Im Falle von Datenverlusten ist von finanziellen Schäden auszugehen.
4. Schadensszenario: Beeinträchtigung des informationellen Selbstbestimmungsrechts
Es werden personenbezogene Daten verarbeitet. Diese Art der Datenverarbeitung ist grundsätzlich genehmigungspflichtig und darf in einem ungeschützten Netz nicht durchgeführt werden.
5. Schadensszenario: Daten/Anwendungen sind nach eigener Einschätzung besonders schützenswert
Die Daten und Anwendungen unterliegen nach eigener Einschätzung besonderen Anforderungen hinsichtlich Vertraulichkeit, Integrität, Verfügbarkeit oder Authentizität, die Einschätzung muß begründet werden.
Weiteres Vorgehen:
Die nach Regel 22 erfassten IT-Anwendungen und Daten werden nun hinsichtlich der Schadenskategorien bewertet. Sofern eine oder mehrere Schadenskategorien zutreffen ist dies in der Spalte Schutzbedarf festzuhalten. Alle IT-Systeme, die in der Spalte IT-Systeme aufgeführt sind, erhalten in der nach Regel 21 erstellten Liste in der Spalte Schutzbedarf eine Markierung. Systeme, die eine Markierung erhalten haben fallen unter Sicherheitsklasse A, alle übrigen unter Sicherheitsklasse B.
Für die Sicherheitsklassen sind folgende Maßnahmen zu treffen:
Sicherheitsklasse A (hohe Risiken):
Die grundlegenden IT-Schutzmaßnahmen reichen für einen angemessen Schutz nicht aus. Es sind genauere Analysen vorzunehmen und weitergehende Schutzmaßnahmen zu treffen. Bitte setzen sie sich mit dem IT-Sicherheitskoordinator in Verbindung!
Sicherheitsklasse B (keine oder ausschließlich tragbare Risiken):
Es sind die im Sicherheitshandbuch beschriebenen grundlegenden Sicherheitsmaßnahmen vorzunehmen.
Alle erfassten Informationen müssen vertraulich behandelt werden !
zum Seitenanfang
Navigation ausblenden
