Informationssicherheitskonzept “Arbeitshilfe”
a.s.k. Datenschutz wurde 2016 von der Innovationsstiftung Bayerische Kommune wiederum im Auftrag der Bayerischen Kommunalen Spitzenverbände mit der Erstellung des Informationssicherheitskonzept “Arbeitshilfe” beauftragt. Seither steht dieses Informationssicherheitskonzept für kommunale Einrichtungen, aber auch Unternehmen kostenfrei zum Download zur Verfügung. Im Mai 2018 erfolgte die Veröffentlichung der Arbeitshilfe 2.0, welche neben Updates und Ergänzungen auch notwendige Anpassungen des Kapitels 2 Datenschutz im Hinblick auf die Anforderungen und Schnittmengen der DSGVO enthält. Im Zuge der Entwicklung des Siegels “Kommunale IT-Sicherheit” des Bayerischen Landesamts für Sicherheit in der Informationsstechnik (kurz LSI) wurde 2019 in enger Abstimmung mit dem LSI die Version 3.0 der Arbeitshilfe herausgebracht. Aktuell ist derzeit die Version 4.0.
Arbeitshilfe nur für Kommunen?
Entgegen der weitläufigen Meinung wendet sich die “Arbeitshilfe” nicht ausschließlich an kommunale Einrichtungen. Da Informationssicherheit ein universales Thema ist, kann die “Arbeitshilfe” auch von Unternehmen zur Einführung und zum Betrieb eines Informationssicherheitskonzepts genutzt werden. Aus diesem Grund sind die Umsetzungsanforderungen aus der Arbeitshilfe jederzeit auch für kleinere Unternehmen anwendbar. Aber auch größere Unternehmen können sich dem Thema Informationssicherheit nähern, in dem sie über die 9 Kapitel der Arbeitshilfe einen ersten Überblick über den Status Quo zur Informationssicherheit in der eigenen Organisation erhalten.
Informationssicherheitskonzepte von der Stange?
Informationssicherheitskonzepte (kurz ISK) gibt es nicht von der Stange. Im Gegenteil bestehen ISK / ISMS aus Verfahrensweisen und Regeln, die organisationsindividuell langfristig Informationssicherheit sicherstellen sollen. Auch wenn sich für bayerische Kommunen die rechtliche Verpflichtung aus Art. 11 BayEGovG im engeren Sinn primär auf den Schutz informationstechnischer Systeme beschränkt, macht es in der Praxis mehr als Sinn, Informationssicherheit nicht hierauf einzugrenzen, sondern unter Einbeziehung der sogenannten technischen UND organisatorischen Maßnahmen im Sinne der Art. 32 DSGVO und 32 BayDSG den Schutz aller analogen und digitalen Informationen einer Organisation in den Blick zu nehmen. Das beginnt beim Thema Gebäudesicherheit, setzt sich über Themen wie Datenschutz, Schulungen, Richtlinien, externe Dienstleister fort und endet nicht zwingend beim Thema IT-Sicherheit.
Plan — Do — Check — Act
Die hier vorliegende Arbeitshilfe zur Erstellung bzw. Einführung und Betrieb eines Informationssicherheitskonzepts (nach Artikel 11 BayEGovG) stellt eine Hilfe zur Selbsthilfe für (kommunale) Einrichtungen dar, die nicht über ausreichende Möglichkeiten zur Einführung und Umsetzung von anderen Standards zur Informationssicherheit wie CISIS12, dem BSI IT-Grundschutz oder der ISO 27001. verfügen. In 4 angeleiteten Schritten wird damit ein minimales Informationssicherheitskonzept eingeführt und betrieben:
Was etabliert die Arbeitshilfe als Informationssicherheitskonzept in einer Organisation?
- Vorgehensweisen zur Identifikation von (neuen und bestehenden) Risiken,
- Vorgehensweisen zur Planung von Maßnahmen zur Beseitigung oder Minimierung dieser Risiken,
- Vorgehensweisen zur kontinuierlichen Beschäftigung mit dem Thema in der Organisation („Sicherheitskultur“),
- Verantwortliche Personen mit ausreichend Zeit und Mitteln zum Betrieb des Sicherheitskonzepts,
- Regeln, Richtlinien und Anweisungen für die Organisation und die Mitarbeiter zur Umsetzung und zum Betrieb des Konzepts,
- Maßnahmen zur kontinuierlichen Schulung und Sensibilisierung für Informationssicherheit.
In 9 Schritten zur Informationssicherheit mittels “Arbeitshilfe”
- Informationssicherheit – Grundlagen zur Einführung und zur Aufrechterhaltung von Informationssicherheit
- Datenschutz – Grundlegende Umsetzungen im Datenschutz (auf Basis der DSGVO) als elementarer Bestandteil der Informationssicherheit
- Gebäudesicherheit
- IT-Systeme
- Berechtigungskonzepte und Protokollierung
- Notfallmanagement (Vorsorge und Notfallplan)
- Richtlinien und Dienstanweisungen
- Schulungen und Sensibilisierung – Mitarbeiter als elementarer Bestandteil der Informationssicherheit
- Externe Dienstleister – Anforderungen an externe Dienstleister, nicht nur im Rahmen einer Auftragsdatenverarbeitung
Für jedes Thema stehen ausführliche Checklisten zur Selbstüberprüfung, Mustervorlagen sowie Verweise auf weiterführende Informationen und Dokumente zur Verfügung. Ein Fragen-und-Anworten-Katalog führt durch die Anwendung der Arbeitshilfe und erklärt ausführlich die Hintergründe.
Durchweg positives Feedback der Organisationen, die sich mittels der Arbeitshilfe ein Informationssicherheitskonzept eingeführt haben und nun betreiben
„Geeignetes Mittel für kleinere Kommunen, um ein Informationssicherheitskonzept einzuführen.“
„Klare und strukturierte Gliederung“
„Verständlich formuliert, auch für Nicht-IT-Profis“
„Übersichtliche Darstellung der Schwachstellen und Bewertung“
„Gelungener Einstieg über Leitlinie Informationssicherheit in Verbindung mit IuK- Richtlinie“
„Bearbeitung / Umsetzung im Team hilft ungemein“
„Bei Bedarf externe Dienstleister z.B. bei IT-Themen hinzuziehen“
„Vertretbarer Aufwand“
„Klare Weiterempfehlung“
Mit der Arbeitshilfe Artikel 32 Absatz 1 DSGVO erfüllen
Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein:
a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
Unter b) sind die Grundwerte der Informationssicherheit Vertraulichkeit, Verfügbarkeit und Integrität genannt. Betrachten wir die Kurzdefinitionen aus der Informationssicherheit hierzu.
Vertraulichkeit: Keine unberechtigte Kenntnisnahme (bis hin zum Mißbrauch) der Informationen, weder durch Mitarbeiter noch durch Externe.
Integrität: Die Informationen sind korrekt, vollständig und unverfälscht. Änderungen sind nachvollziehbar und rückgängig zu machen.
Verfügbarkeit: Die Informationen stehen zur richtigen Zeit am richtigen Ort zur Verfügung (nicht beschränkt auf IT-Verfügbarkeit). [Verfügbarkeit ist in der Tat erst an dritter Stelle, auch wenn in der Praxis um das Thema Ausfallzeiten gerne der Tanz um das goldene Kalb stattfindet.]
Diese Grundwerte der Informationssicherheit sicherzustellen, ist das Ziel eines jeden Informationssicherheitskonzepts, auch des Standards “Arbeitshilfe”.
Unterpunkt d) verlangt von Ihrer Organisation, die Wirksamkeit der im Hinblick auf Vertraulichkeit, Integrität und Verfügbarkeit ergriffenen technischen und organisatorischen Maßnahmen regelmäßig zu prüfen und bei Bedarf nachzujustieren oder geeignete zusätzliche bzw. ergänzende Schutzmaßnahmen einzuführen. Auch dies ist eine der Kernfunktionen eines funktionierenden Informationssicherheitskonzepts.
Salopp gesagt, verlangt die DSGVO von Organisationen in diesem Fall nicht weniger als die Einführung eines Informationssicherheitskonzepts und dessen kontinuierlichen Betrieb. Klar kann man versuchen, sich auch selbst ein Konzept zu “basteln”, bleibt nur die Frage “Wieso sollte man das tun?”
Das Informationssicherheitskonzept Arbeitshilfe zum Herunterladen
Die jeweils aktuelle Version der Arbeitshilfe steht Kommunen und Unternehmen kostenfrei auf der Webseite der Innovationsstiftung Bayerische Kommune im Bereich “Projekte” zur Verfügung. Ob Sie die Einführung ausschließlich intern oder mit externer Unterstützung wie z.B. von a.s.k. Datenschutz betreiben, steht jeder Organisation frei. Wenn es um den unversperrten Blick auf die eigene Organisation zur Vermeidung der Betriebsblindheit geht, empfiehlt sich die Hinzunahme eines qualifizierten externen Beraters auf jeden Fall. Dieser kann durch seinen Erfahrungsschatz ebenfalls bei der Entwicklung geeigneter technischer und organisatorischer Maßnahmen zur Vermeidung von Risiken durch Sicherheitslücken und Schwachstellen helfen.
Neu seit 03/2022: Fördermittel für bayerische Kommunen zur Einführung des Informationssicherheitskonzepts Arbeitshilfe
Im Zuge der Neufassung der ISMS-Fördermittelrichtlinie (ISMR) vom 7. März 2022, Az. E5-1681–7‑10 können bayerische Kommunen nun endlich auch für die Einführung eines Informationssicherheitskonzepts auf Basis der sog. Arbeitshilfe der Innovationsstiftung Bayerische Kommune Fördermittel erhalten.