IT-Sicherheitsrichtlinie Extranet-/Dienstleister-VPN - Landkreis Passau
IT-Sicherheitsrichtlinie Extranet-/Dienstleister-VPN - Landkreis Passau
IT-Sicherheitsrichtlinie Extranet-/Dienstleister-VPN - Landkreis Passau
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
<strong>IT</strong>-<strong>Sicherheitsrichtlinie</strong>n für BayKom-Daten<br />
<strong>Extranet</strong>-/<strong>Dienstleister</strong>-<strong>VPN</strong><br />
<strong>IT</strong>-<strong>Sicherheitsrichtlinie</strong><br />
<strong>Extranet</strong>-/<strong>Dienstleister</strong>-<strong>VPN</strong><br />
Bay<strong>IT</strong>SRL-09<br />
Stand: 19.11.2003<br />
Seite 1 von 7
<strong>IT</strong>-<strong>Sicherheitsrichtlinie</strong>n für BayKom-Daten<br />
<strong>Extranet</strong>-/<strong>Dienstleister</strong>-<strong>VPN</strong><br />
Inhaltsverzeichnis<br />
Bay<strong>IT</strong>SRL-09<br />
Stand: 19.11.2003<br />
1 Einleitung.....................................................................................................................3<br />
2 Erläuterungen ..............................................................................................................3<br />
2.1 Begriffsdefinitionen..............................................................................................3<br />
2.2 Schutzbedarf .......................................................................................................4<br />
3 Regelungen .................................................................................................................4<br />
3.1 Verfahren ............................................................................................................4<br />
3.1.1 Zulassung eines <strong>Dienstleister</strong>s - Vereinbarung 1......................................4<br />
3.1.2 Änderungsmitteilung .................................................................................5<br />
3.1.3 Vereinbarung zwischen <strong>Dienstleister</strong> und Behörde - Vereinbarung 2.......5<br />
3.1.4 Vertrag zwischen <strong>Dienstleister</strong> und Behördennetzprovider.......................5<br />
3.1.5 Dienstleistungen für Gemeinden, Verwaltungsgemeinschaften und<br />
Zweckverbände ........................................................................................5<br />
3.1.6 Struktur der Beziehungen (beteiligte Stellen)............................................6<br />
3.1.7 Zentrale Übergänge..................................................................................6<br />
3.2 Einzuhaltende Vorschriften .................................................................................6<br />
3.3 Umfang der Zugangsberechtigung......................................................................7<br />
Seite 2 von 7
1 Einleitung<br />
<strong>IT</strong>-<strong>Sicherheitsrichtlinie</strong>n für BayKom-Daten<br />
<strong>Extranet</strong>-/<strong>Dienstleister</strong>-<strong>VPN</strong><br />
Bay<strong>IT</strong>SRL-09<br />
Stand: 19.11.2003<br />
Grundlage dieser <strong>IT</strong>-<strong>Sicherheitsrichtlinie</strong> für das <strong>Extranet</strong>-/<strong>Dienstleister</strong>-<strong>VPN</strong> ist die <strong>IT</strong>-<br />
Sicherheitsleitlinie (BAY<strong>IT</strong>SLL) sowie die <strong>IT</strong>-Sicherheitsrahmenrichtlinie für BayKom-<br />
Daten (Bay<strong>IT</strong>SRL-GL).<br />
Die vorliegende <strong>IT</strong>-<strong>Sicherheitsrichtlinie</strong> regelt den Zugang von Dritten (<strong>Dienstleister</strong>n)<br />
zum Bayerischen Behördennetz, soweit sie nicht den Teilnehmergruppen 1 oder 2 (vgl.<br />
Bay<strong>IT</strong>SRL-GL) zugeordnet werden können. Die Dienstleistung muss für Teilnehmer aus<br />
den Teilnehmergruppen 1 oder 2 erbracht werden.<br />
Ziel ist es, die Zugangswege für das Tätigwerden von <strong>Dienstleister</strong>n im Bayerischen Behördennetz<br />
zu konsolidieren (vor allem in den <strong>IT</strong>-administrativen Bereichen wie z. B.<br />
Fernwartung, proaktives Management und Überwachung der Systeme) und dadurch<br />
auch diese Dienste den Behörden über deren Behördennetzanschluss zur Verfügung zu<br />
stellen. Eigene Einrichtungen zur Absicherung derartiger externer Zugänge werden ent-<br />
behrlich (zentrale Sicherheitsinstanz). Außerdem sollen zentrale Übergänge zu anderen<br />
Netzen oder Anwendungen – soweit möglich und sinnvoll – ebenfalls über dieses <strong>VPN</strong><br />
realisiert werden.<br />
2 Erläuterungen<br />
2.1 Begriffsdefinitionen<br />
<strong>Dienstleister</strong> im Sinne dieser Richtlinie sind Institutionen und Unternehmen, die für Stellen<br />
aus den Teilnehmergruppen 1 oder 2 (vgl. Bay<strong>IT</strong>SRL-GL) auf deren Veranlassung<br />
Dienstleistungen erbringen. Die zu erbringenden Leistungen dürfen nicht nur vorübergehender<br />
Art sein.<br />
Als Dienstleistungen werden dabei definiert:<br />
<strong>IT</strong>-Dienstleistungen im weitesten Sinne, auch soweit sie die Bereitstellung von Anwendungen<br />
mit Bezug zum Bayerischen Behördennetz umfassen.<br />
Sonstige Dienstleistungen, zu deren Erbringung der Anschluss am Bayerischen Behördennetz<br />
zwingende Voraussetzung ist. Bei der Einzelfallprüfung wird ein strenger<br />
Maßstab angelegt.<br />
Seite 3 von 7
2.2 Schutzbedarf<br />
<strong>IT</strong>-<strong>Sicherheitsrichtlinie</strong>n für BayKom-Daten<br />
<strong>Extranet</strong>-/<strong>Dienstleister</strong>-<strong>VPN</strong><br />
Bay<strong>IT</strong>SRL-09<br />
Stand: 19.11.2003<br />
Auf die <strong>IT</strong>-Sicherheitspolitik der Teilnehmer am <strong>Extranet</strong>-/<strong>Dienstleister</strong>-<strong>VPN</strong> kann nicht<br />
oder nur bedingt Einfluss genommen werden. Dies mindert das Sicherheitsniveau im<br />
<strong>Extranet</strong>-/<strong>Dienstleister</strong>-<strong>VPN</strong> aus Sicht des Bayerischen Behördennetzes.<br />
3 Regelungen<br />
3.1 Verfahren<br />
3.1.1 Zulassung eines <strong>Dienstleister</strong>s - Vereinbarung 1<br />
Für die Teilnahme eines <strong>Dienstleister</strong>s am <strong>Extranet</strong>-/<strong>Dienstleister</strong>-<strong>VPN</strong> ist eine Zulassung<br />
durch das Bayerische Staatsministerium des Innern (StMI) bzw. durch eine von ihm be-<br />
auftragte Stelle erforderlich. Die Initiative für die Zulassung kann nur von Behörden ausgehen,<br />
die den Teilnehmergruppen 1 oder 2 (vgl. Bay<strong>IT</strong>SRL-GL) angehören und über<br />
einen Anschluss an das Bayerische Behördennetz verfügen. Abweichend hiervon kann<br />
die genehmigende Stelle auch ohne Meldung einer Behörde zentral eine Zulassung von<br />
<strong>Dienstleister</strong>n ermöglichen (Bestandsfälle, Massendienstleister).<br />
Der <strong>Dienstleister</strong> muss im Rahmen eines bestehenden oder neu zu schließenden Vertra-<br />
ges oder aufgrund ihm übertragener hoheitlicher Aufgaben für die meldende Behörde<br />
tätig werden. Für die Zulassung sind der genehmigenden Stelle folgende Unterlagen vorzulegen:<br />
eine vom <strong>Dienstleister</strong> unterschriebene Erklärung zur Einhaltung der unter Ziffer 3.2<br />
genannten Vorschriften (Vereinbarung 1, siehe Graphik unter Nr. 3.1.6)<br />
eine vom <strong>Dienstleister</strong> und der Behörde unterschriebene Erklärung über die benötigten<br />
technischen Freigaben (technisches Formblatt)<br />
einen vom <strong>Dienstleister</strong> unterschriebenen Anschlussauftrag für den Netzprovider.<br />
Hat der <strong>Dienstleister</strong> bereits über das <strong>Extranet</strong>-/<strong>Dienstleister</strong>-<strong>VPN</strong> Zugang zum Bayerischen<br />
Behördennetz, ist der für die Genehmigung zuständigen Stelle lediglich die vom<br />
<strong>Dienstleister</strong> und der Behörde unterschriebene Erklärung über die benötigten technischen<br />
Freigaben (technisches Formblatt) vorzulegen.<br />
Seite 4 von 7
<strong>IT</strong>-<strong>Sicherheitsrichtlinie</strong>n für BayKom-Daten<br />
<strong>Extranet</strong>-/<strong>Dienstleister</strong>-<strong>VPN</strong><br />
Bay<strong>IT</strong>SRL-09<br />
Stand: 19.11.2003<br />
Die für die Genehmigung zuständige Stelle informiert den <strong>Dienstleister</strong> und die betroffene<br />
Behörde über das Prüfungsergebnis.<br />
3.1.2 Änderungsmitteilung<br />
Die Stelle, für die die Dienstleistung erbracht werden soll, zeigt Änderungen der Dienstleistung<br />
(Art und Umfang) bei der für die Genehmigung zuständigen Stelle an.<br />
Wird eine Dienstleistung eingestellt, so ist dies der für die Genehmigung zuständigen<br />
Stelle ebenfalls von der Behörde, für die die Dienstleistung erbracht wurde, anzuzeigen.<br />
3.1.3 Vereinbarung zwischen <strong>Dienstleister</strong> und Behörde - Vereinbarung 2<br />
Es wird empfohlen, zwischen der Behörde und dem <strong>Dienstleister</strong> eine Dienstleistungs-<br />
vereinbarung abzuschließen.<br />
3.1.4 Vertrag zwischen <strong>Dienstleister</strong> und Behördennetzprovider<br />
Nach Zulassung wird der Anschlussauftrag von der genehmigenden Stelle an den Be-<br />
hördennetzprovider weitergeleitet.<br />
3.1.5 Dienstleistungen für Gemeinden, Verwaltungsgemeinschaften und Zweckverbände<br />
Sollen <strong>Dienstleister</strong> für nicht anschlussberechtigte Teilnehmer der Teilnehmergruppe 2<br />
(Gemeinden, Verwaltungsgemeinschaften, Zweckverbände) im Rahmen kommunaler<br />
Behördennetze (KommBN) tätig werden, so bleibt es für die Zulassung eines <strong>Dienstleister</strong>s<br />
beim beschriebenen Verfahren mit folgender Maßgabe:<br />
Die Meldung erfolgt ebenfalls durch die zuständige Kreisverwaltungsbehörde, die insoweit<br />
für ihre Teilnehmer am KommBN tätig wird.<br />
Seite 5 von 7
<strong>IT</strong>-<strong>Sicherheitsrichtlinie</strong>n für BayKom-Daten<br />
<strong>Extranet</strong>-/<strong>Dienstleister</strong>-<strong>VPN</strong><br />
3.1.6 Struktur der Beziehungen (beteiligte Stellen)<br />
Freistaat Bayern<br />
3.1.7 Zentrale Übergänge<br />
Meldung mit Unterlagen<br />
Vereinbarung 1<br />
Bay<strong>IT</strong>SRL-09<br />
Stand: 19.11.2003<br />
Werden zentrale Übergänge zu anderen Netzen über das <strong>Extranet</strong>-/<strong>Dienstleister</strong>-<strong>VPN</strong><br />
realisiert, so entfällt das Zulassungsverfahren. Die Beauftragung eines zentralen Übergangs<br />
erfolgt unter Beteiligung des Bayern-CERT direkt durch die zuständige Dienststelle<br />
eines Teilnehmers aus der Teilnehmergruppe 1.<br />
3.2 Einzuhaltende Vorschriften<br />
Staatliche Ressorts,<br />
Kreisverwaltungsbehörden,<br />
Bezirke<br />
<strong>Dienstleister</strong><br />
Vereinbarung 2<br />
Vertrag<br />
Behördennetzprovider<br />
Der <strong>Dienstleister</strong> hat sich in der Vereinbarung gegenüber dem Freistaat Bayern zur Einhaltung<br />
der Inhalte<br />
dieser Richtlinie (Bay<strong>IT</strong>SRL-09)<br />
der <strong>IT</strong>-Sicherheitsleitlinie für Fernwartung und externe Anwendungen (Bay<strong>IT</strong>SRL-06)<br />
der <strong>IT</strong>-Sicherheitsrahmenrichtlinie für BayKom-Daten (Bay<strong>IT</strong>SRL-GL)<br />
der <strong>IT</strong>-Sicherheitsleitlinie für die Bayer. Staatsverwaltung (Bay<strong>IT</strong>SLL)<br />
zu verpflichten. Die Pflicht zur Einhaltung weiterer gesetzlicher Vorschriften (z. B. datenschutzrechtliche<br />
Regelungen), bleibt hiervon unberührt.<br />
Seite 6 von 7
<strong>IT</strong>-<strong>Sicherheitsrichtlinie</strong>n für BayKom-Daten<br />
<strong>Extranet</strong>-/<strong>Dienstleister</strong>-<strong>VPN</strong><br />
Bay<strong>IT</strong>SRL-09<br />
Stand: 19.11.2003<br />
Verstöße können zum Ausschluss des <strong>Dienstleister</strong>s aus dem <strong>Extranet</strong>-/<strong>Dienstleister</strong>-<br />
<strong>VPN</strong> führen.<br />
3.3 Umfang der Zugangsberechtigung<br />
In jedem Falle werden für <strong>Dienstleister</strong> die Nutzungsmöglichkeiten im Bayerischen Behördennetz<br />
auf das unbedingt erforderliche Ausmaß beschränkt.<br />
Seite 7 von 7