IT-Sicherheitsrichtlinie - Universität zu Lübeck
IT-Sicherheitsrichtlinie - Universität zu Lübeck
IT-Sicherheitsrichtlinie - Universität zu Lübeck
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
<strong>IT</strong>-<strong>Sicherheitsrichtlinie</strong> – Definition des Grundschutzes<br />
Verfahren mit hohem und sehr hohem Schutzbedarf müssen über diese Grundschutzmaßnahmen<br />
hinaus <strong>zu</strong>sätzliche, aus entsprechenden Risikoanalysen abgeleitete und verfahrensbezogene<br />
Maßnahmen erarbeitet werden (Zur Erarbeitung von <strong>IT</strong>-<br />
Sicherheitskonzepten für einzelne Verfahren siehe Teil 5 „Umset<strong>zu</strong>ng der <strong>IT</strong>-<br />
<strong>Sicherheitsrichtlinie</strong>“.<br />
Die Maßnahmen des Grundschutzes werden gesondert für <strong>IT</strong>-Anwender und für <strong>IT</strong>-<br />
Personal dargestellt. Der Maßnahmenkatalog ist allen Anwendern an den teilnehmenden<br />
Institutionen in geeigneter Weise bekannt <strong>zu</strong> geben. Die Maßnahmen des Grundschutzes<br />
für <strong>IT</strong>-Personal wenden sich unter anderem an <strong>IT</strong>-Betreuer und Systemadministratoren, die<br />
darin Vorgaben für ihre Arbeit finden.<br />
Als Basis für die hier dargestellten <strong>IT</strong>-Grundschutzmaßnahmen dienen die <strong>IT</strong>-<br />
Grundschutzkataloge des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Die<br />
dort beschriebenen Maßnahmen wurden den Besonderheiten der teilnehmenden Institutionen<br />
angepasst. Nähere Erläuterungen <strong>zu</strong> den einzelnen Maßnahmen finden sich in<br />
den detaillierten Ausführungen durch die in Klammern angegebenen BSI-<br />
Maßnahmen (z.B. Mn.nn). Die BSI-Grundschutzkataloge enthalten detaillierte Ausführungen<br />
<strong>zu</strong>r Konfiguration von unterschiedlichen Servertypen. Daher wurde auf die detaillierte<br />
Behandlung der verschiedenen Servertypen verzichtet.<br />
Zum Zweck der Zuordnung von Verantwortlichkeiten sind <strong>zu</strong> jeder Regel und <strong>zu</strong> jeder<br />
Maßnahme die Verantwortlichen für die Initiierung und die Verantwortlichen für die Umset<strong>zu</strong>ng<br />
benannt. Bei der Initiierung muss unterschieden werden zwischen dem <strong>IT</strong>-Verantwortlichen,<br />
dem bereichsspezifischen <strong>IT</strong>-Verantwortlichen und dem Verfahrensverantwortlichen.<br />
„Verantwortlich für die Initiierung“ bezeichnet die Personen (Rolleninhaber), die die Implementierung<br />
einer Maßnahme veranlassen sollen. „Verantwortlich für die Umset<strong>zu</strong>ng“<br />
bezeichnet die Personen (Rolleninhaber), die die Realisierung der Maßnahme in der täglichen<br />
Praxis durchführen sollen.<br />
21 von 75