IT-Sicherheitsleitlinie der HFD

Inhalt

• Präambel
• §1 GEGENSTAND DER IT-SL
• §2 GELTUNGSBEREICH
• §3 BETEILIGTE AM IT-SICHERHEITSPROZESS
• §4 EINSETZUNG DER SICHERHEITSROLLEN
• §5 IT-SICHERHEITSDOKUMENTE
• §6 AUFGABEN DER BETEILIGTEN
• §7 VERWIRKLICHUNG DES IT-SICHERHEITSPROZESSES
• §8 UMGANG mit SICHERHEITSVORFÄLLEN
• §9 INKRAFTTRETEN

PRÄAMBEL

Die Hochschule Fulda (HFD) erkennt die zentrale Rolle, die Informationstechnologie (IT) in der akademischen und administrativen Umgebung spielt. Die Sicherheit dieser technologischen Ressourcen ist von größter Bedeutung, um die Integrität,Vertraulichkeit und Verfügbarkeit von Daten und IT-Dienstleistungen zu gewährleisten und nachhaltig sicherzustellen. Diese IT-Sicherheitsleitlinie (IT-SL) dient als Rahmenwerk, um einen umfassenden Schutz der IT-Systeme und Daten der Hochschule in einem kontinuierlichen Sicherheitsprozess zu gewährleisten. Sie basiert im Wesentlichen auf den Best-Practice-Empfehlungen zur IT-Sicherheit an Hochschulen, die durch den ZKI-Arbeitskreis IT-Sicherheit als Vorlage erstellt wurden. Die Notwendigkeit der Definition einer IT-SL leitet sich ab aus §3 Absatz (1) des Hessisches IT-Sicherheitsgesetzes (HITSiG).

Ziel dieser IT-SL ist es, einheitliche Sicherheitsstandards zur Gewährleistung eines ordnungsgemäßenIT-Betriebs zu schaffen, welche ein Gleichgewicht zwischen akademischer Freiheit und dem Bedarf an IT-Sicherheit ermöglichen. Um dieses Ziel zu erreichen, müssen sämtliche Einrichtungen der Hochschule den Schutz von Daten und Informationstechnik als gemeinsame Herausforderung begreifen.

Seitenanfang

§1 GEGENSTAND DER IT-SL

Die IT-Sicherheitsleitlinie bestimmt die für den IT-Sicherheitsprozess der HFD erforderliche Organisationsstruktur (Aufbau- und Ablauforganisation) und definiert Aufgaben und Verantwortlichkeiten.

Seitenanfang

§2 GELTUNGSBEREICH

Die IT-SL gilt für die gesamte Informationstechnik der HFD in ihren wissenschaftlichen und nichtwissenschaftlichen Einrichtungen. Sie gilt für sämtliche Nutzerinnen, die diese einsetzen oder bereitstellen. Sie ist verbindlich für das Präsidium, alle Fachbereiche, Stabsstellen, die zentrale Verwaltung, alle zentralen oder sonstigen Einrichtungen und alle angeschlossenen Einrichtungen der Hochschule sowie sonstige Unternehmen und Personen, die für und im Auftrag der HFD mit IT-sicherheitsrelevanten Tätigkeiten beauftragt sind. Gleiches gilt für alle in vorstehender Aufzählung nicht genannten Partnerinnen der HFD, deren Handeln IT-Sicherheitsinteressen der HFD berührt.

Seitenanfang

§3 BETEILIGTE AM IT-SICHERHEITSPROZESS

Die Hauptverantwortung für den IT-Sicherheitsprozess liegt bei der Hochschulleitung. Sie setzt daher folgende Gremien und Funktionsträger*innen ein und bindet bestehende Einrichtungen in den IT-Sicherheitsprozess ein:

(1)  Präsidium

(2)  Stabsstelle Informationssicherheit (SIS)

(3)  IT-Sicherheitsmanagement-Team (SMT)

(4)  Computer Emergency Response Team (HFD-CERT)

(5)  Dezentrale IT-Sicherheitsbeauftragte* (dIT-SB)

(6)  Rechenzentrum (RZ)

(7)  Datenschutzbeauftragte* der Hochschule (DSB)

(8)  Fachbereiche, Stabsstellen, zentrale Verwaltung, Hochschullandesbibliothek,

zentrale und sonstige Einrichtungen der Hochschule und deren Nutzer*innen

Die am IT-Sicherheitsprozess Beteiligten arbeiten in allen Belangen der IT-Sicherheit zusammen, stellen die dazu erforderlichen Informationen bereit und regeln die Kommunikations- und Entscheidungswege sowohl untereinander, wie auch in Beziehung zu Dritten. Hierbei ist insbesondere der Aspekt der in Krisensituationen gebotenen Eile zu berücksichtigen.

Seitenanfang

§4 EINSETZUNG DER SICHERHEITSROLLEN

1. STABSSTELLE INFORMATIONSSICHERHEIT (SIS)

(1)  Die Hochschulleitung setzt eine Stabstelle Informationssicherheit (SIS) ein, die dem Präsidium unmittelbar berichtet.

(2)  Die SIS besteht aus einer Informationssicherheitsbeauftragten* (ISB) und einer zentralen IT-Sicherheitsbeauftragten* (zISB).

(3)  Die ISB* und die zISB* vertreten sich gegenseitig.

(4)  Organisatorisch ist die SIS im Vizepräsidium für Lehre und Digitalisierung verortet.

2. IT-SICHERHEITSMANAGEMENT-TEAM (SMT)

(1)  Das Präsidium richtet ein IT-Sicherheitsmanagement-Team (SMT) ein. Das SMT bildet für die Hochschule das zentrale Kontrollorgan in Sachen IT-Sicherheit.

(2)  Die Zusammensetzung des SMT sollte – unter Beschränkung der Anzahl der Mitglieder auf das notwendige Maß – sowohl die unterschiedlichen Aufgabenbereiche der Hochschule widerspiegeln, als auch die unterschiedlichen, für die Hochschule relevanten Aspekte der IT-Sicherheit berücksichtigen.

(3)  Das SMT ist besteht aus folgenden ständigen Mitgliedern:

i)   Vertretung des Präsidiums (VPLD)

ii)  Vertretung der Stabsstelle Informationssicherheit (SIS)

iii) Informationssicherheitsbeauftragte* der HLSB (ISB HLSB)

iv)  Vertretung der Leitung des HFD-CERT

v)   Vertretung der Leitung des Rechenzentrums

vi)  Beratend: die Datenschutzbeauftragte* der HFD

(4)  Auf Beschluss des SMT kann es bei Bedarf um beratende Expert*innen erweitert werden.

3. COMPUTER EMERGENCY RESPONSE TEAM (HFD-CERT)

(1)  Die Mitglieder des Computer Emergency Response Teams der Hochschule Fulda werden vom SMT vorgeschlagen und vom Präsidium benannt. Die Benennung der HFD-CERT-Mitglieder erfolgt ausschließlich aus dem hauptamtlichen Personal der Hochschule.

(2)  Das HFD-CERT ist organisatorisch dem Rechenzentrum zugeordnet.

(3)  Das HFD-CERT setzt sich aus folgenden entscheidungsberechtigten Mitgliedern zusammen:

• Leiter*in des HFD-CERT (Qualifikation für die im Rahmen des HFD-CERT anfallenden operativ-technischen Aufgaben erforderlich).

- Mitarbeiterinnen des HFD-CERT: Mindestens drei weitere IT-Sicherheitsexpertinnen aus z.B. den Bereichen: Netz, Identity-Management, E-Mail-Server und Gateway, kritische Infrastruktur oder Einrichtungen mit ausgeprägter IT-Infrastruktur.

- Auf Beschluss des HFD-CERT kann es bei Bedarf um Expert*innen erweitert werden, unter Beschränkung der Anzahl der Mitglieder auf das notwendige Maß.

(4)  Die Vertretung der Leitung des HFD-CERT übernimmt ein Mitglied des HFD-CERT.

(5) Das HFD-CERT arbeitet vertraulich und unmittelbar mit der SIS zusammen, stimmt sich bei zentralen Fragen ab und berichtet dem SMT in regelmäßigen Abständen, mindestens zwei mal jährlich, über seine Tätigkeit.

4. DEZENTRALE IT-SICHERHEITSBEAUFTRAGTE (dIT-SB)

(1)  Jeder Fachbereich, wissenschaftliche, zentrale und sonstige Einrichtung der Hochschule Fulda, die IT-Systeme betreiben, benennen eine dezentrale IT-Sicherheitsbeauftragte* (dIT-SB).

(2)  Eine dIT-SB* kann für mehrere Einrichtungen zuständig sein.

(3)  Die Berufungen müssen den gesamten Geltungsbereich abdecken, d.h. jedem IT-System und jeder Nutzerin ist eine dIT-SB zugeordnet.

(4)  Bei der Berufung ist auf personelle Kontinuität zu achten, d.h. die Beteiligten sollten zum hauptamtlichen Personal der Hochschule gehören.

(5)  Benennt eine Einrichtung keine dIT-SB*, kann das SMT eine kommissarische dIT-SB* bestellen.

(6)  Die Aufgaben und Befugnisse der dIT-SB werden mit dieser IT-SL bzw. den auf ihr basierenden Folge-Dokumenten beschrieben.

Seitenanfang

§5 IT-SICHERHEITSDOKUMENTE

(1)  Die IT-Sicherheitsleitlinie (IT-SL) gibt den strategisch-organisatorischen Rahmen des IT-Sicherheitsprozesses vor. Sie wird vom Präsidium verabschiedet und spätestens nach sechs Jahren in dessen Auftrag überprüft.

(2)  Der IT-SL nachgeordnet ist das IT-Sicherheitskonzept (IT-SK), welches auf Best-Practice-Empfehlungen (z.B. BSI 200-1) basiert. Das IT-SK ist die Dokumentation des IT-Sicherheitsprozesses. In ihm halten die Stabsstelle Informationssicherheit und das HFD-CERT identifizierte Risiken und die zugehörigen, verbindlichen technischen und organisatorischen Maßnahmen fest. Das Konzept zur Informationssicherheit wird regelmäßig überprüft.

(3)  Die zur Umsetzung des IT-SK notwendigen Rahmenbedingungen und Regelungen werden in der IT-Sicherheitsrichtlinie (IT-SR) dokumentiert, welche von der SIS vorgeschlagen und vom SMT verabschiedet wird. Sie enthält Beschreibungen der Ausgangssituation, der Grundschutzmaßnahmen, der Umsetzung der IT-Sicherheit als Fortschreibungsprozess und der IT-Infrastruktur als Basiskomponente des IT-Einsatzes sowie, falls erforderlich, eine Konkretisierung von Aufgaben oder Rollen der im IT-Sicherheitsprozess Beteiligten. Darüber hinaus können Anleitungen zu besonderen organisatorischen Maßnahmen und Vorgaben zum Umgang mit bestimmten Risiken und Schutzbedarfen enthalten sein. Auch sie sind verbindlich und werden regelmäßig überprüft. Initial kann die IT-SR auch vor der Fertigstellung des IT-SK verabschiedet werden, muss jedoch in enger Abstimmung mit dem IT-SK kontinuierlich weiterentwickelt werden und vom SMT verabschiedet werden.

(4)  Der IT-SR sind weitere themenspezifische Richtlinien und Arbeitsanleitungen, Ordnungen, Empfehlungen sowie Vorgaben zum Umgang mit bestimmten Risiken nachgelagert. Gleiches gilt für Notfallkonzepte und Notfallpläne. Sie werden von der SIS vorgeschlagen und durch das SMT oder, in Abhängigkeit vom Gültigkeitsbereich des jeweiligen Dokuments, durch andere Verfahrensverantwortliche bzw. Bereichsleitungen, d.h. durch die Leitungen der betroffenen Fachbereiche, der Stabsstellen, der zentralen Verwaltung, der zentralen oder sonstigen Einrichtungen sowie der angeschlossenen Einrichtungen der Universität, verabschiedet.

(5)  In jedem der Dokumente ist der jeweilige Geltungsbereich sowie die jeweilige Verbindlichkeit ausdrücklich definiert. Die Revisionsintervalle der dieser Leitlinie nachgelagerten Dokumente werden im jeweiligen Dokument angegeben.

Seitenanfang

§6 AUFGABEN DER BETEILIGTEN

(1)  Das Präsidium der Hochschule wird dem IT-Sicherheitsprozess hinreichend Priorität einräumen, damit die mit dem Prozess verbundenen Aufgaben unverzüglich und umfassend durchgeführt werden können.

(2)  Das SMT verfasst und beschließt die einheitliche Rahmenrichtlinie der IT-Sicherheit der Hochschule Fulda und ist verantwortlich für die Fortschreibung und Überwachung des IT-Sicherheitsprozesses. Unter anderem ist dabei das Erarbeiten von Notfallplänen zu berücksichtigen. Das SMT gibt die hochschulinternen technischen Standards zur IT-Sicherheit vor. Außerdem veranlasst es die Schulung und Weiterbildung der dezentralen IT- Sicherheitsbeauftragten und die Unterstützung bei der Richtlinienumsetzung.

(3)  Die Stabsstelle Informationssicherheit ist für die Umsetzung der Rahmenrichtlinie der IT-Sicherheit an der Hochschule verantwortlich und wird darin vom SMT unterstützt. Sie ist in allen sicherheitsrelevanten Fragen Kontaktpunkt nach Außen und nach Innen. Die SIS dokumentiert sicherheitsrelevante Vorfälle, erstellt einen jährlichen IT-Sicherheitsbericht und entwickelt einen Schulungs- und Weiterbildungsplan zu Cybersicherheitsthemen für alle Mitarbeiter*innen der Hochschule Fulda.

(4)  Die dIT-SB sind für die Durchführung des IT-Sicherheitsprozesses in ihrer Einrichtung zuständig.

(5)  Trotz der Benennung der dIT-SB bleibt die Verantwortung der Leitungen der Fachbereiche, der Stabsstellen, der zentralen Verwaltung, der zentralen und sonstigen Einrichtungen sowie der angeschlossenen Einrichtungen der Hochschule für die IT-Sicherheit in ihren Bereichen unberührt. Sie sind verpflichtet, bei allen relevanten Planungen, Verfahren und Entscheidungen mit Bezug zu IT-Sicherheit die jeweils zuständigen dezentralen IT-Sicherheitsbeauftragten, sowie die SIS zu beteiligen. Die ihnen zugeordneten Nutzer*innen der IT-Infrastruktur sind an die Regelungen und Vorgaben aus den IT-Sicherheitsdokumenten (IT-SL, IT-SK, IT-SR), der Benutzungsordnung der HFD, sowie an Anweisungen durch weisungsbefugte IT-Sicherheitsrollen gebunden.

(6)  Das Hochschulrechenzentrum ist für die system-, netz- und betriebs-technischen Aspekte der IT-Sicherheit verantwortlich. Das RZ unterstützt maßgeblich die Sicherstellung von Informationssicherheit und koordiniert das IT-Notfallmanagement. Zudem unterstützt es alle IT-SB, das HFD-CERT und das SMT in technischen Fragen.

(7)  Das HFD-CERT übernimmt die übergreifende Koordinierung und auf operativer Ebene die zeitnahe Reaktion auf Sicherheitsvorfälle und Computermissbrauch im Umfeld der Nutzung von Informationsinfrastruktur. Das HFD-CERT sorgt für die Konzeption und Einführung von Maßnahmen, um Sicherheitsvorfälle präventiv zu verhindern und eintretende Schäden auf ein Minimum zu begrenzen. Das HFD-CERT unterstützt die dIT-SB und das SMT in technischen Fragen und greift zur Gefahrenabwehr im Notfall selbstständig ein. Es erstellt für das SMT regelmäßig ein Lagebild über die IT-Sicherheitssituation der Hochschule Fulda. Die Leitung des HFD-CERT berichtet regelmäßig im SMT über die operativen Maßnahmen. Ferner berichtet sie in akuten Fällen unverzüglich an die SIS. HFD-CERT-Mitglieder sind gegenüber Nutzerinnen und IT-Betreiberinnen in IT-Notfällen und IT-Stör- und Krisensituationen weisungsbefugt.

(8)  Die Beteiligung des Personalrats der Hochschule erfolgt nach Maßgabe des §69 Hessisches Personalvertretungsgesetz.

(9)  Sofern datenschutzrechtliche Belange betroffen sind, wird die behördliche Datenschutzbeauftragte* der Hochschule hinzugezogen.

Seitenanfang

§7 VERWIRKLICHUNG DES IT-SICHERHEITSPROZESSES

(1)  Die SIS konzipiert ein hochschulweites Informations- und Kommunikations-system, über das alle Beteiligten am IT-Sicherheitsprozess in Kontakt stehen und verwaltet das Informationssicherheitsmanagementsystem (ISMS).

(2)  Die dezentralen IT-Sicherheitsbeauftragten sind verpflichtet sich aktuelle sicherheitsrelevante Informationen zu beschaffen und werden darin von der SIS unterstützt. Darüber hinaus stellen die Systembetreibenden den dIT-SB alle angefragten Informationen zur Verfügung, die zur Meldung an interne und externe übergeordnete Stellen notwendig sind, und stellen diese der SIS sowie dem HFD-CERT vollständig und strukturiert zur Verfügung. Die dIT-SB veranlassen in ihrem Bereich die erforderlichen IT-Sicherheitsmaßnahmen zur Gefahrenabwehr. Hierzu müssen sie von der Leitung ihrer Einrichtung mit den notwendigen Kompetenzen ausgestattet werden.

(3)  Die am IT-Sicherheitsprozess Beteiligten informieren sich gegenseitig unver-züglich, umfassend und vollständig über sicherheitsrelevante Vorfälle. Über jeden Vorfall muss die SIS informiert werden.

(4)  Die Stabsstelle Informationssicherheit darf sämtliche Informationen, die bei der Durchführung des IT-Sicherheitsprozesses in den einzelnen Einrichtungen anfallen, einholen. Erfolgt die Einholung in Form von datenschutzrechtlich geschützten Informationen, ist dies zu dokumentieren. Wenn wiederkehrende Prozesse entstehen, in denen regelmäßig personenbezogene Daten verwendet werden, sind diese Prozesse in einem Verzeichnis von Verarbeitungstätigkeiten zu beschreiben. Ferner ist die betroffene Benutzer*in in den gesetzlich vorgeschriebenen Fällen zu benachrichtigen. Werden arbeitsplatz- und personalbezogene Daten von Hochschulbeschäftigten benötigt, ist der Personalrat darüber in Kenntnis zu setzen. Sollte, etwa im Kontext eines Notfalls, situationsbezogen schnelles Handeln erforderlich sein, ist dies im Nachgang ausreichend.

(5)  Zur kontinuierlichen Weiterentwicklung der Rahmenrichtlinie der IT-Sicherheit soll das SMT regelmäßig, aber mindestens zwei Mal im Jahr tagen. Die Beteiligten am IT-Sicherheitsprozess können hierzu, dem SMT, Vorschläge unterbreiten.

(6)  Diese IT-SL wird vom SMT nach 2 Jahren überprüft und aktualisiert, um sicherzustellen, dass sie weiterhin relevant und effektiv ist. Änderungen werden nach Genehmigung durch die Hochschulleitung wirksam.

Seitenanfang

§8 UMGANG mit SICHERHEITSVORFÄLLEN

(1)  Den Weisungen der HFD-CERT-Mitglieder und/oder der Stabsstelle Informationssicherheit ist im IT-Sicherheitsvorfall oder -notfall unverzüglich Folge zu leisten.

(2)  Bei einem Verstoß gegen die IT-SL oder deren verbindliche Folge-Dokumente (vgl. §5) können die SIS oder die Mitglieder des HFD-CERT die sofortige, vorübergehende Stilllegung des betroffenen IT-Systems anordnen sowie die verantwortlichen Nutzerinnen vorübergehend von der Nutzung der Informationstechnik ausschließen. In diesem Fall muss unverzüglich die zuständige dIT-SB über den Vorgang informiert werden.

(3)  Bei Gefahr in Verzug kann das RZ Netzanschlüsse oder Netzsegmente vorübergehend sperren. Das RZ muss unverzüglich das HFD-CERT, die SIS und die zuständige dIT-SB* über den Vorgang informieren.

(4)  Die Wiederinbetriebnahme vorübergehend stillgelegter IT-Systeme setzt deren eingehende Überprüfung und Freigabe durch die zuständige dIT-SB* voraus.

(5)  Der Ausschluss einer vorübergehend von der Nutzung der Informationstechnik gesperrten Nutzerin wird durch die sperrende Instanz wieder aufgehoben, sobald eine ordnungsgemäße Nutzung wieder gewährleistet erscheint. Eine dauerhafte Nutzungseinschränkung eines IT-Systems kommt nur bei schwerwiegenden oder wiederholten Verstößen in Betracht, wenn trotz vorheriger Mahnungen auch künftig ein ordnungsgemäßer Betrieb nicht mehr zu erwarten ist. Die Entscheidung trifft die Stabsstelle Informationssicherheit nach eingehender Beratung mit dem SMT und der zuständigen dIT-SB. Mögliche Ansprüche der Hochschule sowie des Systembetreibenden aus dem Nutzungsverhältnis bleiben unberührt.

(6)  Das SMT bestimmt die IT-Dienste, für welche die Stabsstelle Informationssicherheit Notfallpläne erstellt. Sie enthalten Handlungs-anweisungen in Gefahrensituationen und bei Störfällen und unterteilen sich in einen allgemein zugänglichen Benachrichtigungsplan, ein Notfallkonzept für den Dienstgebrauch und ein detailliertes Notfallhandbuch, das ausgedruckt bei der SIS und in einem designierten Raum zur Krisenbewältigung hinterlegt wird.

(7)  Das HFD-CERT übernimmt gemeinsam mit der SIS die Untersuchung aller Vorfälle und Ergreifung angemessener Maßnahmen zur Behebung und Vorbeugung.

Seitenanfang

§9 INKRAFTTRETEN

Diese IT-Sicherheitsleitlinie tritt nach Beschlussfassung des Präsidiums mit ihrer Veröffentlichung in Kraft.

Seitenanfang