• Keine Ergebnisse gefunden

Richtlinie zur Informationssicherheit. für die. Technische Universität Dresden

N/A
N/A
Info
Herunterladen
Protected

Academic year: 2022

Aktie "Richtlinie zur Informationssicherheit. für die. Technische Universität Dresden"

Copied!
13
0
0

Wird geladen.... (Jetzt Volltext ansehen)

Jetzt herunterladen ( 13 Seite )

Volltext

(1)

Richtlinie zur Informationssicherheit für die

Technische Universität Dresden

Stand: 10. November 2017

(2)

Inhaltsverzeichnis

Präambel ... 2

1 Zentrale Begriffe ... 3

2 Verantwortlichkeiten ... 5

3 Vorgehensweise ... 8

3.1 Festlegung des Geschäftsprozesses ... 8

3.2 Schutzbedarfsfeststellung ... 8

3.3 Erfassung und Dokumentation von IT-Verfahren ... 9

3.4 IT-Grundschutzprofil ...10

3.5 Risikoanalyse ...10

3.6 Review ...10

4 Steuerung ...11

4.1 Lenkungskreis LIDuR ...11

4.2 Konfliktlösung ...11

4.3 Inkraftsetzung und Aktualisierung ...11

4.4 Information und Kommunikation ...12

4.5 Leitlinienfunktion ...12

5 Anlagen ...12

(3)

Präambel

Die Technische Universität Dresden (nachfolgend TU Dresden) setzt in hohem Maße IT- Infrastruktur in ihren Geschäftsprozessen ein. Sowohl in den Kernprozessen (Forschung, Lehre und Transfer) als auch in den Stützprozessen (z.B. Verwaltung) ist mit steigendem Einsatz von IT zu rechnen. Der zuverlässige und sichere IT-Einsatz ist notwendig auf Grund von

• gesetzlichen Anforderungen: z.B. Datenschutz, Haushaltsrecht und Steuerrecht,

• vertraglichen Anforderungen: z.B. die Revisionspflicht gegenüber Drittmittelgebern und Vertraulichkeitsvereinbarungen mit Geschäftspart- nern,

• Selbstverpflichtung: z.B. die Grundsätze guter wissenschaftlicher Praxis (wissenschaftliche Primärdaten sind nach Möglichkeit 10 Jahre aufzubewahren).

Darüber hinaus ist der zuverlässige und sichere Einsatz von IT erforderlich, um die Reputati- on der TU Dresden, insbesondere in der Außendarstellung, zu wahren. .

Für die Einhaltung dieser Anforderungen sind angemessene organisatorische und techni- sche Maßnahmen zur Informationssicherheit und zum Datenschutz erforderlich, die in dieser Richtlinie definiert und erläutert werden (angemessenes Schutzniveau).

Ausgehend von der Prämisse, dass Datenschutz und Informationssicherheit sich einander gleichberechtigt und wechselseitig ergänzen, sind beide Aspekte integraler Bestandteil der Richtlinie. Es wird ein systematischer und praktikabler Weg aufgezeigt, der zu einem ganzheitlichen und nachweisbaren Ergebnis führt. Voraussetzung hierfür ist die konstruktive Mitwirkung der Beteiligten.

Die Richtlinie stützt sich auf anerkannte Standards zur Informationssicherheit, vor allem auf die Standards des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und die einschlägigen gesetzlichen und rechtlichen Bestimmungen zum Datenschutz. Der Standard

„IT-Grundschutz“ des BSI1 bildet die Grundlage für die in der Richtlinie beschriebene Vorgehensweise. Mit dem IT-Grundschutz stellt das BSI durch die fundierte Zusammenstellung von Gefährdungen und passenden Schutzmaßnahmen eine effiziente Methodik zur Verfügung, um die Risiken beim Einsatz von IT zu minimieren.

In der Richtlinie sind die für die Spezifika der TU Dresden wesentlichen Schutzmaßnahmen aus dem IT-Grundschutz des BSI zusammengestellt, um einen zuverlässigeren und sicheren Einsatz von IT an der TU Dresden unter Berücksichtigung der Anforderungen mit einem vertretbaren Aufwand erreichen zu können.

1 IT-Grundschutzkataloge des Bundesamtes für Sicherheit in der Informationstechnik (BSI) / 15. Ergänzungslieferung 2016

(4)

1 Zentrale Begriffe

Die Richtlinie zur Informationssicherheit bezieht sich auf alle Aspekte des Einsatzes von IT und legt fest, wie vorzugehen ist und welche Schutzmaßnahmen für einen zuverlässigen und sicheren Einsatz von IT erforderlich sind. Organisatorische, personelle, technische und bauliche Schutzmaßnahmen müssen dazu aufeinander abgestimmt sein.

Für die effektive Anwendung der Richtlinie ist eine Verständigung über die verwendete Terminologie erforderlich. Deshalb werden zunächst die in der Richtlinie enthaltenen zentra- len Begriffe erläutert.

Informationssicherheit

Informationssicherheit ist als umfassender Begriff für den Schutz von Informationen anzu- sehen und bezieht sich, ungeachtet der Art und Weise der Verarbeitung, auf den Schutz aller relevanten Informationen, einschließlich personenbezogener Daten. Dabei bezeichnet In- formationssicherheit insbesondere einen Zustand, in dem die Risiken für die Schutzziele Vertraulichkeit, Integrität, Verfügbarkeit, Authentizität, Revisionsfähigkeit und Transparenz von Informationen durch angemessene organisatorische und technische Maßnahmen auf ein tragbares Maß reduziert sind2.

IT-Infrastruktur

Unter IT-Infrastruktur werden alle informationstechnischen Einrichtungen, IT-Systeme (Hardware und Software) und Netze sowie die darauf zur Verfügung gestellten Dienste (inkl.

VoIP) verstanden3.

Geschäftsprozess

Ein Geschäftsprozess ist die geplante Durchführung einer Aufgabe, um ein aus der Universi- tätsstrategie abgeleitetes Prozessziel zu erreichen. Es handelt sich dabei um ein strukturein- heitenübergreifendes System aus zusammenhängenden und sich gegenseitig beeinflussen- den Tätigkeiten, Entscheidungen und Ereignissen, die in ihrer Gesamtheit eine nutzenstif- tende Leistung für einen TU-internen oder TU-externen Kunden darstellen.

IT-Prozess

Ein IT-Prozess ist eine zeitliche und logische Verkettung von Einzelaktivitäten mit definierter Eingabe, definiertem Ergebnis sowie definierten Mess- und Steuerungsgrößen.

IT-Verfahren

IT-Verfahren dienen der automatisierten Informationsverarbeitung zur Unterstützung von Geschäftsprozessen. IT-Verfahren betrachten zusammenhängende Arbeitsabläufe und Ge- schäftsprozesse, die Informationen automatisiert verarbeiten (z.B. IT-Verfahren für Studie-

2 § 3 Abs. 11 IT-Ordnung der TU Dresden 3 § 1 Abs. 2 IT-Ordnung der TU Dresden

(5)

renden- oder Prüfungsverwaltung, Enterprise Ressource Management, Backupservice oder Einsatz von Software für Servermanagement).

IT-Verfahrensverantwortliche/r

Die bzw. der IT-Verfahrensverantwortliche ist verantwortlich für die Umsetzung der Anforde- rungen zur Informationssicherheit und zum Datenschutz und dafür, dass die Informationen in der geforderten Qualität für den Geschäftsprozess zur Verfügung stehen.

Prozessverantwortliche/r

Die bzw. der Prozessverantwortliche hat eine Rolle im Prozessmanagement (siehe Quali- tätsmanagement Verwaltung), die für die Erreichung der jeweiligen Prozessziele, die ganz- heitliche Prozessgestaltung sowie die regelkonforme Prozessausführung verantwortlich ist.

Sie bzw. er bewertet darüber hinaus die personelle Ausstattung der prozessausführenden Struktureinheiten sowie die Unterstützung der Prozessausführung durch technische Res- sourcen, Dokumente und Informations- und Kommunikationstechnologien. Insbesondere ist die bzw. der Prozessverantwortliche zuständig für die Schutzbedarfsfeststellung der im Fachprozess verarbeiteten Informationen. Die bzw. der Prozessverantwortliche ist z.B. die Professorin bzw. der Professor.

IT-Grundschutzprofil

Das IT-Grundschutzprofil ist eine auf die Bedürfnisse der TU Dresden angepasste Zusammenstellung der wesentlichen Schutzmaßnahmen aus dem Standard „IT- Grundschutz“ des BSI, um einen zuverlässigen und sicheren Einsatz von IT mit vertretbarem Aufwand zu erreichen.

Schutzbedarfsfeststellung

Zweck der Schutzbedarfsfeststellung ist es zu bestimmen, welche Schäden zu erwarten sind, die bei der Verarbeitung von Informationen in Geschäftsprozessen durch eine Beein- trächtigung der Vertraulichkeit, Integrität oder Verfügbarkeit entstehen können. Die Schäden werden anhand der gesetzlichen, vertraglichen bzw. weiteren inhaltlichen Anforderungen mit Bezug auf die verarbeiteten Informationen bewertet. Anhand der Ergebnisse der Schutzbedarfsfeststellung können die angemessenen Schutzmaßnahmen abgeleitet wer- den.

Zusammenhang: Geschäftsprozess und IT-Einsatz

Die Kern- und Stützprozesse werden zunehmend durch IT-Verfahren unterstützt. Welche IT- Infrastruktur in welchem Umfang für welche Geschäftsprozesse eingesetzt werden, obliegt der Entscheidung der Prozesseignerin bzw. des Prozesseigners (z.B. Verwaltung: Kanzlerin bzw. Kanzler, Forschung: Prorektorin bzw. Prorektor für Forschung, Lehre: Prorektorin bzw.

Prorektor für Bildung und Internationales). Bei der Auswahl der die Geschäftsprozesse un- terstützenden IT-Verfahren ist eine enge Abstimmung zwischen der bzw. dem Prozess- und dem IT-Verfahrensverantwortlichen notwendig.

Ebenso wie die Geschäftsprozesse einer wiederholenden Überarbeitung und Qualitätssiche- rung unterliegen, müssen auch die IT-Verfahren entsprechend angepasst werden. Das gilt im besonderen Maße, wenn Geschäftsprozesse nicht vollständig automatisiert in genau ei-

(6)

nem IT-Verfahren abgebildet werden. In der weiteren Betrachtung findet deshalb eine Kon- zentration auf die IT-gestützten Geschäftsprozesse statt.

2 Verantwortlichkeiten

Die Verantwortlichkeiten und Zuständigkeiten für den IT-Einsatz an der TU Dresden sind grundsätzlich in der IT-Ordnung festgelegt.

Für die Gewährleistung der spezifischen Anforderungen zur Informationssicherheit und die Einhaltung der Bestimmungen zum Datenschutz werden gemäß § 23 Abs. 3 Nr. 4 IT- Ordnung die folgenden Rollen und deren Aufgaben festgelegt4.

Eine Rolle stellt die zielgerichtete Bündelung von Aufgaben, Kompetenzen sowie der not- wendigen Verantwortung dar5. Eine Rolle kann dabei mehreren Stellen zugeordnet werden bzw. kann eine Stelleninhaberin bzw. ein Stelleninhaber mehrere Rollen übernehmen.

Rolle Aufgaben Notwendigkeit

Prozesseigner/in • ist verantwortlich für die strategische Zielplanung des Prozesses und die Ver- einbarung der Leistungsanforderungen für den Prozess mit der bzw. dem Pro- zessverantwortlichen

• ist dasjenige Rektoratsmitglied, in des- sen Ressortverantwortung der betref- fende Geschäftsprozess fällt

obligatorisch

Prozessverant- wortliche/r

• gestaltet die Innensicht eines Ge- schäftsprozesses (die sachlogische und zeitlich-logische Reihenfolge von Teil- prozessen und Aktivitäten)

• ist verantwortlich für die Dokumentation sowie die korrekte Durchführung des Geschäftsprozesses (i.d.R. auch Ergeb- nisverantwortung)

• definiert die fachlichen und rechtlichen Anforderungen an das IT-Verfahren zur effizienten und effektiven Unterstützung des Geschäftsprozesses

• führt Prozessanalysen durch und leitet Maßnahmen zur Prozessverbesserung ein

• ist verantwortlich für die Schutzbedarfs- feststellung

obligatorisch für jeden Geschäftsprozess

4 Die ausführliche Beschreibung der Aufgaben einer Rolle ist im TUD-Rollenmodell beschrieben, hier werden nur die Aufgaben mit IT-Bezug dargestellt.

5 vgl. Bundesministerium des Innern/ Bundesverwaltungsamt 2015, S. 121

(7)

IT-Verfahrens- verantwortliche/r

• organisiert die Einführung und Betrieb

• verantwortlich für die technische Durch- führung bzw. die Erstellung eines Diens- tes

• ist verantwortlich für die korrekte Um- setzung der Vorgaben

• ist verantwortlich für die technische Umsetzung des Datenschutzes und der Informationssicherheit

obligatorisch für jedes IT-Verfahren

IT-Referent/in • ist Ansprechpartner/in für alle Gremien und andere Organisationseinheiten in al- len IT-Fragen im zuständigen Bereich, der Zentralen Wissenschaftlichen Einrichtung bzw. ZUV

• erfasst und dokumentiert den bereichsin- ternen IT-Einsatzes

• koordiniert und kontrolliert die IT- Beschaffung

• überwacht die Umsetzung von zentralen Vorgaben zum IT-Einsatz

• ist verantwortlich für die Entwicklung und Umsetzung von bereichsinternen IT- Strategien und IT-Konzepten

• ist verantwortlich für die Planung und Konzeption von bereichsinternen IT- Infrastrukturen

• obliegt die Leitung des operativen IT- Betriebes des Bereiches

• ist verantwortlich für die Erstellung und Umsetzung von bereichsübergreifenden IT-Konzepten

• ist verantwortlich für die Koordination von sicherheitsrelevanten Projekten

obligatorisch für jeden Bereich und jede zent- rale Einrichtung

IT-Personal • ist zuständig für die Konfiguration und den ordnungsgemäßen Betrieb der IT- Systeme

• ist zuständig für Erstellung eines Be- triebs- und Datensicherungskonzepts

• ist zuständig für die Einhaltung des Be- triebs- und Datensicherungskonzepts

obligatorisch für jede IT-Infrastruktur

(8)

IT-

Ansprechpartner/in

• ist allg. Ansprechpartnerin bzw. An- sprechpartner zu IT-Themen (z.B. Be- darfsfragen bezüglich Hardware)

• ist Multiplikator für relevante Informatio- nen aus dem CIO/CIO-Beirat

• ist erste/ erster, lokale/ lokaler Ansprech- partnerin/ Ansprechpartner bei Sicher- heitsvorfällen

obligatorisch für jede Struktureinheit

Anwender/in • nutzen im Rahmen der ihnen zugewiese- nen Berechtigungen die IT-Ressourcen zur Erfüllung der Fachaufgaben

Tabelle 1: Übersicht der Rollen.

Das Zusammenwirken der Rollen zum IT-Verfahren soll in Abb. 1veranschaulicht werden.

Abbildung 1 IT-Verfahren

(9)

3 Vorgehensweise

Das Ziel der nachfolgend beschriebenen Vorgehensweise ist es, pragmatisch und effektiv ein angemessenes Schutzniveau passfähig zu den Anforderungen des Geschäftsprozesses zu erreichen. Die notwendigen Schritte sind in Abbildung 2 skizziert.

3.1 Festlegung des Geschäftsprozesses

Zunächst ist der Geschäftsprozess festzulegen, für den die Anforderungen zur Informations- sicherheit und zum Datenschutz geprüft und umgesetzt werden sollen. Nur durch diese Festlegung wird es forthin ermöglicht, anhand der für den Geschäftsprozess spezifischen Anforderungen die angemessenen Schutzmaßnahmen bestimmen zu können. Die Festle- gung des Geschäftsprozesses obliegt der bzw. dem Prozessverantwortlichen.

3.2 Schutzbedarfsfeststellung

Im nächsten Schritt sind die Informationen zu spezifizieren, die im Geschäftsprozess verar- beitet werden. Anhand dieser Spezifikation ist eine Schutzbedarfsfeststellung durchzufüh- ren. Zweck der Schutzbedarfsfeststellung ist es zu bestimmen, welche Schäden zu erwar- ten sind, die bei der Verarbeitung der Informationen durch eine Beeinträchtigung der Ver- traulichkeit, Integrität oder Verfügbarkeit für den Geschäftsprozess entstehen können. Das Vorgehen zur Schutzbedarfsfeststellung wird in Anlage [A1] beschrieben. Verantwortlich für die Schutzbedarfsfeststellung ist die bzw. der Prozessverantwortliche.

Abbildung 2 Vorgehensweise

(10)

3.3 Erfassung und Dokumentation von IT-Verfahren

Nachfolgend ist das IT-Verfahren zu erfassen und zu dokumentieren, das zur Unterstützung des Geschäftsprozesses dient. Die IT-Verfahrensdokumentation ist eine wesentliche Vo- raussetzung für die korrekte Durchführung des Geschäftsprozesses und bildet die Grundlage für die Ausgestaltung der notwendigen technischen und organisatorischen Schutzmaßnah- men.

Inhalt und Umfang einer IT-Verfahrensdokumentation sind abhängig von der Art der im IT- Verfahren unterstützten Geschäftsprozesse, der eingesetzten IT-Infrastruktur, der Art der zu verarbeitenden Informationen und das Ergebnis der Schutzbedarfsfeststellung. Zu den un- verzichtbaren Bestandteilen einer IT-Verfahrensdokumentation gehören:

a) Zweck des IT-Verfahrens, welche Geschäftsprozesse bzw. Teilprozesse sollen un- terstützt werden auf Basis welcher gesetzlichen Grundlage

b) Schutzbedarfsfeststellung nach Anlage [A1]

c) Benennung der bzw. des IT-Verfahrensverantwortlichen, Mitzeichnung durch die zuständige IT-Referentin bzw. den zuständigen IT-Referenten

d) Angaben über die Anzahl und Art von technischen Einrichtungen und Geräten (Mengengerüst)

e) Angaben der Schnittstellen zu anderen IT-Verfahren, IT-Systemen und sonstigen Diensten

f) Angaben über die Organisationseinheiten, die das IT-Verfahren nutzen bzw. be- troffenen sind

g) Soweit personenbezogene Daten verarbeitet werden: Angaben über den Umgang mit personenbezogenen Daten (Verfahrensbeschreibung)

Bei Daten mit dem Schutzbedarf „hoch und sehr hoch“ sind zusätzlich (bzw. ansonsten op- tional) folgende Bestandteile in der IT-Verfahrensdokumentation zu führen:

h) Risikoanalyse nach Anlage [A3]

i) Beschreibung der Rollen; ggf. in Form eines Berechtigungskonzepts

j) Aufstellungsort von Anlagen und Geräten, die wesentliche Funktionen innerhalb des Geschäftsprozesses bzw. IT-Verfahrens erfüllen; alle weiteren Anlagen und Geräte müssen lediglich zahlenmäßig erfasst und einer Unterorganisationseinheit zugewiesen werden

k) Zeitplan für die Einführung des Verfahrens sowie ggf. für die Erstellung eines Be- treuungskonzepts

l) Betriebshandbuch mit allen für den Betrieb notwendigen Angaben über die im IT- Verfahren erfassten technischen Systeme

Verantwortlich für die IT-Verfahrensdokumentation ist die bzw. der IT-Verfahrens- verantwortliche in enger Abstimmung mit der bzw. dem Prozessverantwortlichen.

(11)

3.4 IT-Grundschutzprofil

Für Geschäftsprozesse mit dem in der Schutzbedarfsfeststellung definierten Schutzbedarf

„normal“ ist die Umsetzung der Schutzmaßnahmen aus dem IT-Grundschutzprofil in Anlage [A2] notwendig. Zu jeder Schutzmaßnahme ist diesem Profil anhand der in der Richtlinie definierten Rollen beschrieben, wer sie initiiert und wer sie verantwortlich umsetzt.

Das IT-Grundschutzprofil der TU Dresden basiert auf dem Standard „IT-Grundschutz“ des BSI. In diesem Profil wurden die für die Spezifika der TU Dresden wesentlichen Schutzmaß- nahmen aus dem Standard des BSI zusammengestellt, um einen zuverlässigeren und siche- ren Einsatz von IT zur Unterstützung von Geschäftsprozessen mit dem Schutzbedarf „nor- mal“ erreichen zu können.

Die Gesamtverantwortung für die Umsetzung der Schutzmaßnahmen des IT-Grundschutz- profils liegt bei den jeweiligen IT-Verfahrensverantwortlichen. Bei der Anwendung einzelner Schutzmaßnahmen sind die jeweils angegebenen Verantwortlichkeiten über die Initiierung und Umsetzung maßgeblich.

3.5 Risikoanalyse

Für Geschäftsprozesse mit hohem bzw. sehr hohem Schutzbedarf müssen über das IT- Grundschutzprofil hinaus zusätzliche Schutzmaßnahmen umgesetzt werden. Sie sind verfah- rensbezogen, aus Risikoanalysen abgeleitet und müssen sich an den Standards des BSI ori- entieren.

Daher muss für diese Geschäftsprozesse eine Risikoanalyse durchgeführt werden. Das Vor- gehen zur Risikoanalyse ist in Anlage [A3] beschrieben.

Verantwortlich für die Risikoanalyse ist die bzw. der IT-Verfahrensverantwortliche in enger Abstimmung mit der bzw. dem Prozessverantwortlichen.

3.6 Review

Bei wesentlichen Änderungen des Geschäftsprozesses bzw. des zugehörigen IT-Verfahrens ist die vorgenannte Vorgehensweise zu wiederholen. Darüber hinaus ist in einem für den Geschäftsprozess angemessenen Zeitraum ein Review durchzuführen.

(12)

4 Steuerung

4.1 Lenkungskreis LIDuR

Zur Steuerung und Koordinierung des Informationssicherheitsprozesses und des Daten- schutzes an der TU Dresden wird gemäß § 23 Abs. 3 IT-Ordnung und unter Berücksichti- gung der Rollen in dieser Richtlinie ein Lenkungskreis Informationssicherheit, Datenschutz und Recht (LIDuR) vom CIO eingesetzt.

Die Federführung des Lenkungskreises obliegt dem IT-Sicherheits- und dem Datenschutz- beauftragten der TU Dresden. Mitglieder sind das SG Justitiariat, die IT-Referentinnen und IT-Referenten, Vertreterinnen und Vertreter der zentralen IT-Dienstleister, der Studierenden- schaft sowie themenbezogene Fachexperten.

Zu den Aufgaben von LIDuR gehören insbesondere:

• Abstimmung und Fortschreibung der Richtlinie zur Informationssicherheit,

• Beratung und Abstimmung konzeptioneller, operativer und rechtlicher Fragen zur IT- Sicherheit und zum Datenschutz,

• Vorbereitung von Empfehlungen und Entscheidungsvorlagen für den CIO.

4.2 Konfliktlösung

Ist eine einvernehmliche Lösung bei Differenzen über die Umsetzung der Richtlinie zur In- formationssicherheit nicht möglich, kann der CIO über den Dissens informiert werden. Der CIO trifft auf Basis der geltenden Richtlinie eine Entscheidung in der strittigen Sache.

4.3 Inkraftsetzung und Aktualisierung

Der CIO der TU Dresden setzt die Richtlinie zur Informationssicherheit in Kraft. Die Richtlinie bedarf der regelmäßigen Überprüfung und Überarbeitung. Die Gewährleistung der Aktualität wird durch die folgende Vorgehensweise sichergestellt:

1. Beauftragung Der CIO der TU Dresden beauftragt LIDuR mit der Pflege und Fortschreibung der Richtlinie.

2. Entwurf einer neuen Richtlinie

LIDuR überarbeitet die Richtlinie und erstellt einen Entwurf.

3. Finalisierung und Ab- stimmung

Die bzw. der IT-Sicherheitsbeauftragte finalisiert den Entwurf und stimmt diesen mit den erforderlichen Struktureinheiten ab.

4. Vorlage im CIO Die bzw. der IT-Sicherheitsbeauftragte legt dem CIO den ab- gestimmten Richtlinienentwurf vor.

5. Prüfung und In-Kraft- Setzung

Der CIO entscheidet über den Entwurf und setzt ihn in Kraft.

(13)

4.4 Information und Kommunikation

Alle Nutzerinnen und Nutzer von IT-Ressourcen der TU Dresden müssen über die für sie relevanten Teile der Richtlinie zur Informationssicherheit informiert werden. Neue Mitglie- der, Angehörige und Gäste der TU Dresden müssen auf die geltende Richtlinie zur Informa- tionssicherheit beim Eintritt in die Technische Universität Dresden hingewiesen werden.

Insbesondere ist zu gewährleisten, dass

• für Prozessverantwortliche die allgemeinen Grundsätze zur Informationssicher- heit und zum Datenschutz, insbesondere zur Vorgehensweise und zur Schutzbe- darfsfeststellung,

• für die IT-Verfahrensverantwortlichen die zu treffenden Schutzmaßnamen,

• für das IT-Personal und alle Anwender die jeweils zugeordneten Schutzmaßnah- men des IT-Grundschutzprofils

als bekannt vorausgesetzt werden können.

4.5 Leitlinienfunktion

Die in dieser Richtlinie enthaltenen Regelungen müssen bei der Ausarbeitung von speziellen IT-Regelwerken, wie Anleitungen, Benutzungsordnungen u. ä. berücksichtigt werden. Ins- besondere dürfen Regelungen in anderen Dokumenten den Regeln der Richtlinie zur Infor- mationssicherheit nicht zuwiderlaufen.

5 Anlagen

A1 Schutzbedarfsfeststellung A2 IT-Grundschutzprofil A3 Risikoanalyse

Referenzen

Jetzt herunterladen ( PDF - 13 Seite - 295.82 KB )

ÄHNLICHE DOKUMENTE

Technische Spezifikation WD290

 Potentialfreier Ausgang für Signal Störung, Abluftklappe, Vorabsperrventile, Programmende..  Eingang für externes Signal für Spitzenlastabschaltung und

TECHNISCHE UNIVERSITÄT DRESDEN Fakultät Wirtschaftswissenschaften

Die Entwicklung einer PAS als öffentlich verfügbares Ergebnis des Vorhabens soll die Planung, Steuerung und Kontrolle (Controllingprozeß) der Umweltleistung (Environ-

Technische Universität Dresden

Auch im Rahmen der sich verstärkt ausbreitenden Techniken wie Software Defined Networking (SDN) und Network Function Virtualization (NFV) ist abzusehen, dass physische Ports

TECHNISCHE UNIVERSITÄT DRESDEN

In this thesis, based on game theory, mechanism design and pricing framework, efficient power allocation are proposed to guarantee the QoS requirements of all users in the

Technische Universität Dresden. Hochschule für Musik Carl Maria von Weber Dresden

(5) Inhalte und Qualifikationsziele, umfasste Lehr- und Lernformen, Voraussetzungen, Ver- wendbarkeit, Häufigkeit, Arbeitsaufwand sowie Dauer der einzelnen Module der Fächer sind

Technische Universität Dresden

Institut für Hydrologie und Meteorologie Professur für Hydrologie. Professur

Technische Universität Dresden

In-situ H2-plasma pretreatment and amorphous silicon deposition for heterojunction solar cells at very high plasma excitation frequency. In 28th European Photovoltaic Solar

Tourismuswirtschaft TECHNISCHE UNIVERSITÄT DRESDEN. - Studieninformationen -

- An der Fakultät Wirtschaftswissenschaften der TUD kann "Tourismus- wirtschaft" als Spezielle Betriebswirtschaftslehre (SBWL) oder als Freies Fach im Rahmen