IT Sicherheitsleitlinie

Präambel

Diese Leitlinie richtet sich an alle Mitglieder und Gäste der JGU, die Geräte gleich welcher Art und Funktion an Netzwerken der JGU betreiben oder nutzen. Sie legt grundsätzliche Zuständigkeiten und Grundprinzipien im Bereich der IT-Sicherheit fest. Die Leitlinie wird durch zukünftige Betriebsregeln ergänzt, welche Details für den Betrieb von Geräten wie z. B. Druckern, Multimediageräten, Webservern, mobilen Endgeräten und anderen regeln.

Für die Johannes Gutenberg-Universität Mainz ist die Informations- und Kommunikationstechnik von zentraler Bedeutung für die Aufgabenerfüllung in Forschung und Lehre sowie der Verwaltung. Das Spektrum der IT-Anwendungen umfasst den Betrieb von Anlagen, die Durchführung von Versuchen und Experimenten, wissenschaftliche Anwendungen und Simulationen, die Lehre, Onlineprüfungen, die Arbeit in der Verwaltung sowie den Zentralen Einrichtungen und die Kommunikation mit externen Partnern und Auftraggebern.

Die Sicherheit in der Informationstechnik sowie die Einhaltung der datenschutzrechtlichen und weiteren gesetzlichen Bestimmungen sind eine grundlegende Voraussetzung für eine funktionsfähige Universität. Sie zu gewährleisten ist Aufgabe aller Einrichtungen der Universität und der Nutzer der IT-Infrastruktur sowie der IT-Systeme.

Die IT-Sicherheit an der JGU orientiert sich an den jeweils aktuellen Richtlinien zum IT-Grundschutz, veröffentlicht im IT-Grundschutz-Kompendium[1] des Bundesamtes für Sicherheit der Informationstechnik (BSI).

§1 Begriffsbestimmungen

Die vorliegende Leitlinie verwendet folgende Definitionen:

1.     Grundwerte der Informationssicherheit

Die Grundwerte der Informationssicherheit sind die Vertraulichkeit, Integrität und Verfügbarkeit jeder Art von Daten.

Im Rahmen von Forschung, Lehre und Verwaltung, beispielsweise bei der Dokumentation von Forschungsprojekten, beim Umgang mit Forschungsdaten, der Erstellung wissenschaftlicher Arbeiten sowie der Erteilung von qualifizierten Leistungsnachweisen oder Zeugnissen, sind an der JGU weitere Grundwerte zu beachten:

  • Authentizität
  • Verbindlichkeit
  • Zuverlässigkeit
  • Nichtabstreitbarkeit

2.     IT-Sicherheit

IT-Sicherheit beschreibt die Einhaltung der unter 1. definierten Grundwerte auf allen IT-Systemen und bei allen Prozessen der JGU, die Daten verarbeiten. Dazu zählen alle aktiven Komponenten des Netzwerks, alle Systeme auf denen Daten gespeichert und verarbeitet werden, alle Verfahren, welche Daten erfassen, verarbeiten und speichern. Sowie alle Geräte mit denen der Zugriff auf Daten möglich ist und die dazugehörigen organisatorischen und baulichen Rahmenbedingungen.

3.     Vertraulichkeit

Der Zugriff und die Nutzung von Daten jeglicher Art darf ausschließlich durch berechtigte Personen in definierter und zulässiger Weise erfolgen.

4.     Integrität

Die Integrität bezeichnet die Sicherstellung der Korrektheit (Unversehrtheit) von Daten und der korrekten Funktionsweise von Systemen. Wenn der Begriff Integrität auf Daten angewendet wird, drückt er aus, dass die Daten vollständig und unverändert sind. In der Informationstechnik wird er in der Regel aber weiter gefasst und auf Informationen angewendet. Der Begriff Information wird dabei für Daten verwendet, denen je nach Zusammenhang bestimmte Attribute wie z. B. Autor oder Zeitpunkt der Erstellung zugeordnet werden können. Der Verlust der Integrität von Informationen kann daher bedeuten, dass diese unerlaubt verändert, Angaben zum Autor verfälscht oder Zeitangaben zur Erstellung manipuliert wurden.

5.     Verfügbarkeit

Die Verfügbarkeit von Dienstleistungen, Funktionen eines IT-Systems, IT-Anwendungen oder IT-Netzen oder auch von Informationen ist vorhanden, wenn diese von den Anwendern stets wie vorgesehen genutzt werden können.

6.     IT-Infrastruktur

Beim IT-Grundschutz werden unter Infrastruktur die für die Informationsverarbeitung und die IT genutzten Gebäude, Räume, Energieversorgung, Klimatisierung und die Verkabelung verstanden. Die eigentlichen IT-Systeme und Netzwerksysteme gehören nicht dazu.

7.     IT-System

Die funktionelle Einheit aus Hard- und Software, die Daten erhebt, erfasst, aufbereitet, nutzt, speichert, übermittelt, programmgesteuert verarbeitet, intern darstellt, ausgibt und wiedergewinnt.

8.     IT-Sicherheitsprozess

Die Gesamtheit der Verfahren, die das Ziel haben, IT-Sicherheit in alle Abläufe der Universität zu integrieren, um eine konstante Weiterentwicklung und Verbesserung der IT-Sicherheit zu gewährleisten.

§2 Geltungsbereich

Die IT-Sicherheitsleitlinie gilt für alle Personen und Institutionen, die IT-Infrastruktur, Netzwerke und daran angeschlossene IT-Systeme der JGU Mainz an beliebigen Standorten der JGU nutzen oder selbst IT-Systeme in diesem Umfeld betreiben.

§3 Grundprinzipien des Betriebs von IT-Systemen an der JGU

Für den Betrieb von Geräten an der JGU gelten folgende Prinzipien:

  1. Mitglieder sowie Gäste der JGU dürfen eigene IT-Systeme an der JGU betreiben und erhalten für diese Geräte einen, den Sicherheitsanforderungen der JGU entsprechenden, Netzwerkanschluss mit Zugang zum Internet.
  2. Mitglieder sowie Gäste der JGU erhalten Zugriff auf IT-Ressourcen, für die ein begründeter Bedarf besteht, wenn dieser Zugriff angemessen und sicher zu realisieren ist.
  3. Mitglieder der JGU dürfen unter folgenden Bedingungen Netzwerkdienste auf eigenen IT-Systemen anbieten:
    1. Sie müssen über ausreichende, sachgerechte, aktuelle Kenntnisse sowohl über den Betrieb des IT-Systems als auch über IT-Sicherheit verfügen.
    2. Für das Anbieten von Netzwerkdiensten über das eigene Netzwerksegment hinaus muss ein begründeter Bedarf bestehen.
    3. Durch den Betrieb von IT-Systemen darf die Sicherheit der JGU IT-Infrastruktur und anderer IT-Systeme nicht beeinträchtigt werden.
    4. Zentrale Sicherheitsmaßnahmen, z. B. Firewalls oder Zugangs- und Zugriffsbeschränkungen, dürfen nicht umgangen werden.
  4. Die Verantwortlichkeit für IT-Sicherheit folgt grundsätzlich den Zuständigkeiten für IT-Systeme, d. h. jeder der ein IT-System im Netzwerk der JGU betreibt, ist über die gesamte Lebenszeit des Systems für den ordnungsgemäßen und sicheren Betrieb bis zur Stilllegung und fachgerechten Entsorgung verantwortlich.
  5. Ereignisse, die die IT-Sicherheit beeinträchtigen könnten, müssen unverzüglich an das ZDV gemeldet werden. Das ZDV informiert umgehend den IT-Sicherheitsbeauftragten.

§4 Beteiligte am IT-Sicherheitsprozess und deren Aufgaben

1.     Präsidium

Die Gesamtverantwortung für die Gewährleistung der IT-Sicherheit und die Einhaltung des IT-Sicherheitsprozesses an der JGU liegt im Präsidium. Der Chief Information Officer (CIO) nimmt im Namen des Präsidiums die die Universität in ihrer Gesamtheit betreffenden Koordinierungsaufgaben im Bereich IT-Sicherheit nach Rücksprache mit dem IT-Sicherheitsbeauftragten (IT-SB) wahr.

2.     Senatsausschuss für Informationstechnologie und Digitale Prozesse

Der Senatsausschuss erarbeitet für den Bereich Informations- und Kommunikationstechnologien strategische Vorschläge als Entscheidungsgrundlage für den Senat. Ergebnisse werden gegebenenfalls zur Genehmigung bzw. Inkraftsetzung an die Hochschulleitung weitergeleitet.

3.     Krisenmanagement-Team IT-Sicherheit

Das Krisenmanagement-Team steuert und koordiniert alle Maßnahmen im Rahmen von Sicherheitsvorfällen. Das Kernteam besteht aus dem IT-Sicherheitsbeauftragten, dem CIO sowie namentlich benannten Mitarbeitern des ZDV.

4.     IT-Sicherheitsbeauftragter (IT-SB)

Die Aufgaben des IT-SB sind die Analyse und Verbesserung der IT-Sicherheit der JGU, die Beratung von Entscheidungsträgern der JGU, die Untersuchung IT-sicherheitsrelevanter Zwischenfälle und das Erstellen von Berichten zum Stand der IT-Sicherheit. In seinen Aufgaben bezüglich der IT-Sicherheit ist der IT-SB nur an Weisungen des Präsidiums und des CIO gebunden.

Der IT-SB hat ein Vorschlagsrecht. Das Vorschlagsrecht des IT-SB dient dazu, eigene Vorschläge bezüglich der IT-Sicherheit an alle unter §4 genannten Beteiligten und Gremien sowie an Nutzer zu richten. Der IT-SB ist bei allen Projekten, die deutliche Auswirkungen auf die Sicherheitsaspekte der Informationsverarbeitung haben, zu informieren und ggf. zu beteiligen.

5.     Leiter des Zentrums für Datenverarbeitung (ZDV)

Der Leiter des ZDV ist verantwortlich für die Sicherheit der vom ZDV betriebenen IT-Infrastruktur und IT-Systeme und verantwortet die Dokumentation der realisierten Sicherheitsmaßnahmen.

6.     Verantwortliche für IT-Systeme

Verantwortliche Betreiber von IT-Systemen sind innerhalb ihres Bereichs berechtigt, neben den hochschulweiten IT-Sicherheitsmaßnahmen, eigene weiterführende Maßnahmen zu treffen. Bei möglichen Auswirkungen auf die IT-Infrastruktur und IT-Systeme der Universität ist eine Koordination mit dem ZDV notwendig. Die eigenverantwortlich getroffenen Maßnahmen sind zu dokumentieren.

§5 Gefahrenintervention

Das ZDV und der IT-SB sind berechtigt, bei Gefahr im Verzug unmittelbar notwendige Abwehrmaßnahmen vorzunehmen. Bei den zu treffenden Maßnahmen ist der Grundsatz der Verhältnismäßigkeit der Mittel zu wahren. Die Maßnahmen sollten so erfolgen, dass der betroffene Nutzer - wenn irgend möglich - bereits vorher in Kenntnis gesetzt wird. Betroffene Nutzer (soweit ermittelbar), die Leitung der betroffenen Einrichtung und der IT-SB sind unverzüglich über den Vorfall und die getroffenen Maßnahmen zu informieren.

Wird ein Vorfall von einem Verantwortlichen für ein IT-System als potenziell die IT-Sicherheit gefährdendes Ereignis eingestuft, ist dieser verpflichtet, unverzüglich geeignete Abwehrmaßnahmen zu treffen und das ZDV und den IT-SB von dem Ereignis und den getroffenen Maßnahmen in Kenntnis zu setzen.

§6 Vorbeugende Maßnahmen

Für die Sicherstellung der IT-Sicherheit sind vorbeugende Maßnahmen notwendig. Mit geeigneten technischen und organisatorischen Maßnahmen sollen Gefährdungsrisiken erfasst und eingedämmt sowie Angriffe auf die IT-Sicherheit frühzeitig erkannt werden.

Der IT-SB und das ZDV können vorbeugende Maßnahmen vorschlagen. Die Durchführung vorbeugender Maßnahmen obliegt dem jeweils zuständigen IT-Systembetreiber. Die Entscheidung über die Umsetzung bereichsübergreifender Maßnahmen obliegt dem Präsidium.

§7 Aktualisierungsbestimmungen zur Aufrechterhaltung und Weiterentwicklung des IT-Sicherheitsprozesses

Der IT-SB hat die Aufgabe, die IT-Sicherheitsleitlinie, die Betriebsregeln und die Wirksamkeit der bisherigen Organisationsform sowie der Maßnahmen und Prozesse für IT-Sicherheit kontinuierlich zu überprüfen und weiterzuentwickeln. Hierüber berichtet er dem Präsidium und dem CIO mindestens alle zwei Jahre.

§8 Inkrafttreten

Diese IT-Sicherheitsleitlinie für die Johannes Gutenberg-Universität Mainz tritt am Tag der Veröffentlichung in Kraft.

[1] BSI IT-Grundschutz-Kompendium