Leitlinie zur Informationssicherheit

Präambel

Der Betrieb einer Hochschule hängt in hohem Maße von der Qualität seiner IT-Dienstleistungen ab. Das Vertrauen der BenutzerInnen in die Informationstechnik bildet die Grundlage für den erfolgreichen Einsatz. Um dieses Vertrauen zu rechtfertigen, muss die Integrität, Vertraulichkeit und Verfügbarkeit der IT-Dienste und Daten sichergestellt sein.

Damit die Hochschule dieser Verantwortung nachkommen kann, müssen sämtliche Einrichtungen den Schutz der Informationstechnik unterstützen. Diese Aufgaben sollen auf der Basis dieser Leitlinie in einem kontinuierlichen Informationssicherheitsmanagement bewältigt werden.

Dieses methodische Vorgehen basiert auf notwendigen Regeln und verlangt angemessene Maßnahmen, um Informationen und Daten in einer Art und Weise zu schützen, dass

ihre Vertraulichkeit in angemessener Weise gewahrt ist und die Kenntnisnahme nur durch berechtigte Personen erfolgen kann,
ihre Integrität durch ihre Richtigkeit und Vollständigkeit sichergestellt ist,
ihre Verfügbarkeit gewährleistet ist, damit sie von den autorisierten Personen zum gewünschten Zeitpunkt in Anspruch genommen werden können,
gesetzliche Verpflichtungen (z.B. Bayerisches Datenschutzgesetz) erfüllt werden können.

§1 Gegenstand der Ordnung

Dieses Dokument definiert Grundsatzregelungen für folgende Informationssicherheitsziele:

Schutz der Netzwerkinfrastruktur und der IT-Systeme einschließlich der damit verarbeiteten Daten gegen Missbrauch oder Sabotage von innen und außen.
Sicherstellung der Informationssicherheit für einen robusten, verlässlichen und sicheren Lehr-, Forschungs- und Verwaltungsbetrieb.
Realisierung sicherer und vertrauenswürdiger Online-Dienstleistungen für NutzerInnen in und außerhalb der Hochschule.
Gewährleistung der Erfüllung der aus den gesetzlichen Vorgaben resultierenden Anforderungen an den Datenschutz.
Schäden durch Sicherheitsvorfälle soll vorbeugend begegnet bzw. die Vorfälle minimiert werden.

§2 Geltungsbereich

Diese Leitlinie erstreckt sich auf die gesamte Informationstechnik und sämtliche Hochschulmitglieder und externe AnwenderInnen, die diese benutzen oder bereitstellen. Sie ist verbindlich für alle Fakultäten und zentralen Einrichtungen der Hochschule. Sie ist auch von externen Dienstleistern der an der Hochschule Augsburg eingesetzten Informationstechnologien verpflichtend einzuhalten.

§3 IT-Sicherheitsmanagement

Das Informationssicherheitsmanagementsystem umfasst alle erforderlichen organisatorischen und technischen Maßnahmen um einen definierten Grad an Informationssicherheit (Sicherheitsniveau) zu erreichen und langfristig zu erhalten. Um ein adäquates Sicherheitsniveau zu erreichen werden für Informationen, die erhöhten Schutz erfordern, zusätzliche Maßnahmen auf Basis einer Risikoanalyse definiert.

Die notwendigen und spezifischen Regeln zur Erreichung des adäquaten Sicherheitsniveaus und Umsetzung der Prinzipien sind in einem Sicherheitskonzept erfasst. Dort findet eine ausreichende Detaillierung der Anforderungen dieser Leitlinie und des erforderlichen Sicherheitsniveaus in Form von Sicherheitsrichtlinien statt. Diese sind dann Basis für die notwendigen Sicherheitsmaßnahmen. Diese Maßnahmen sind in Umsetzungsanforderungen bzw. dienstspezifischen Sicherheitskonzepten dokumentiert.

Die Sicherheitsrichtlinien umfassen mindestens folgende Bereiche:

Organisation der IT-Sicherheit
Bestimmung der Informationswerte (Klassifikation)
Zugriffssteuerung, Netzwerk- und Betriebssicherheit
IT-Systeme (wie Server, Speichersysteme, Arbeitsplatzrechner)
Erkennung von Schwachstellen und Schutz vor Schadsoftware
Umgang mit Sicherheitsvorfällen
Backup und Notfallplanung
Risikomanagement, Compliance und Datenschutz
Physische Sicherheit
Kommunikation

Der/die zentrale IT-Sicherheitsbeauftragte ist für den Ablauf des Informationssicherheitsmanagementsystems verantwortlich. Er/Sie berät den IT-Ausschuss und die IT-Beauftragten der Fakultäten sowie das Rechenzentrum.

Mit regelmäßigen Prüfungen der Umsetzung des Sicherheitskonzepts und Weiterentwicklung der Maßnahmen sorgt er/sie für adäquate Informationssicherheit.

Er/Sie darf sich Überblick über die IT-Sicherheit in allen Bereichen der Hochschule verschaffen.

Von der Hochschule angebotene Dienste, die von außerhalb des Hochschulnetzes erreichbar sind, bedürfen der Prüfung durch den/die IT-Sicherheits- sowie den/die DatenschutzbeauftragteN.

§4 IT-Sicherheitsverantwortung

Die Lenkungsverantwortung für das Informationssicherheitsmanagementsystem liegt beim IT-Arbeitskreis. Der/Die IT-Sicherheitsbeauftragte handelt im Auftrag des IT-Arbeitskreises und koordiniert methodisch das Informationssicherheitsmanagementsystem.

Die letztgültige Entscheidung über Risikoakzeptanz und Umsetzungsgrad liegt beim Präsidium in dessen Gesamtverantwortung für den ordnungsgemäßen Betrieb und der Informationssicherheit der Hochschule.

Zur kontinuierlichen Weiterentwicklung der Leitlinie und abhängiger Dokumente (z.B. Sicherheitskonzept) ist Informationssicherheit ein fester Bestandteil der Agenda der regelmäßigen IT-Arbeitskreistreffen. Der/Die IT-Sicherheitsbeauftragte berichtet über den aktuellen Stand und erhält seine/ihre Aufgaben basierend auf den Entscheidungen des IT-Arbeitskreises.

Jede/-r Beschäftigte der Hochschule ist in seinem Wirkungsbereich für die Einhaltung des Informationssicherheitsniveaus als Informationseigentümer/-in oder –bearbeiter/-in verantwortlich.

§5 Informationsklassifizierung

Jede Art von Information wird von dem/der Informationseigentümer/-in entsprechend des IT-Sicherheitskonzeptes zur Informationsklassifizierung in eine Vertraulichkeitsklasse eingeordnet. Dies erfolgt entsprechend ihres Wertes und ihrer Sensibilität zur Entwicklung eines angemessenen Sicherheitsniveaus.

§6 Zugriff auf Informationen und Daten

Der Zugriff auf Daten und IT-Systeme wird durch technische Maßnahmen und Prozesse ausreichend, dem Wert und der Bedeutung entsprechend, gesteuert.

Alle Benutzer/-innen von Applikationen/IT-Systemen sind eindeutig identifizierbar und werden entsprechend ihrer Funktion und Aufgabe autorisiert und authentisiert.

Es wird das Prinzip der minimalen Rechte angewendet, d. h. Berechtigungen werden nur in dem Umfang gewährt, wie dies zur Erfüllung der jeweiligen Aufgaben erforderlich ist.

Alle Veränderungen wichtiger Informationen und getroffene Entscheidungen müssen durch angemessene Protokollierung und Dokumentation nachvollziehbar sein. Die Notwendigkeit, Art und Weise der Protokollierung bestimmt der/die Informationseigentümer/-in.

§7 Sicherheitsbewusstsein

Das geforderte Maß an Informationssicherheit kann nur erreicht werden, wenn die beschäftigten Personen auf Informationssicherheitsbedrohungen sensibilisiert sind, die eigenen Kompetenzen und Pflichten kennen und sich verantwortungsbewusst verhalten.

Sicherheitsrelevante Themen und Regeln werden den Hochschulangehörigen durch geeignete Schulungs- oder Informationskanäle zur Kenntnis gebracht.

§8 Gefahrenintervention/Sicherheitsvorfälle

Bei Gefahr der Verletzung der IT-Sicherheit kritischer Systeme der Hochschule können ein/-e Serviceverantwortliche/-r des Rechenzentrums gemeinsam mit dem/der CIO, die sofortige, vorübergehende Stilllegung des betroffenen IT-Systems anordnen, sowie die verantwortlichen Benutzer/-innen vorübergehend von der Nutzung der Informationstechnik ausschließen.

Der Umgang mit Sicherheitsvorfällen erfolgt entsprechend einem dokumentierten Prozess zur Behandlung von IT-Sicherheitsvorfällen.

Der IT-Arbeitskreis bestimmt die IT-Dienste, für die der/die zentrale IT-Sicherheitsbeauftragte Notfallpläne sammelt und koordiniert. Sie enthalten Handlungsanweisungen in Gefahrensituationen und bei Störfällen.

§9 Inkrafttreten

Diese Satzung tritt am Tage nach ihrer Bekanntmachung am 25.11.2017 in Kraft.

Leitlinie-zur-Informationssicherheit-der-HSA.pdf (140,6 KB)

Download der Leitlinie zur Informationssicherheit an der Hochschule Augsburg

Version: 1.1

Informationssicherheitskonzept der HSA mit Dokumenten, Organisations und Prozessen — Informationssicherheitskonzept der HSA / C.S. Fötinger