IT-Sicherheitsrichtlinie - Universität zu Lübeck
IT-Sicherheitsrichtlinie - Universität zu Lübeck
IT-Sicherheitsrichtlinie - Universität zu Lübeck
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
<strong>IT</strong>-<strong>Sicherheitsrichtlinie</strong> – Schutzbedarfsanalyse<br />
3. Schutzbedarfsanalyse<br />
Die eingesetzte Informationstechnik ist nicht<br />
aus sich heraus, sondern vielmehr wegen<br />
ihres Wertes für die Anwender schützenswert.<br />
Der Wert der Daten und Funktionen,<br />
die die <strong>IT</strong> bereitstellt, ist in der Regel um ein<br />
vielfaches höher als der Wert der Technik<br />
selbst. Daher sind <strong>IT</strong>-Sicherheitsmaßnahmen<br />
aus den Sicherheitsanforderungen der <strong>IT</strong>-<br />
Verfahren bzw. <strong>IT</strong>-Arbeitsprozesse ab<strong>zu</strong>leiten.<br />
Die Untersuchung eines <strong>IT</strong>-Verfahrens bzw.<br />
eines <strong>IT</strong>-Arbeitsprozesses hat daher mit der<br />
Analyse seines Schutzbedarfes <strong>zu</strong> beginnen.<br />
Die an der teilnehmenden Institutionen geltenden<br />
Regelungen <strong>zu</strong>r Ermittlung des jeweils<br />
passenden Schutzbedarfes wurden<br />
nach BSI-Standard 100-2 „<strong>IT</strong>-Grundschutz-<br />
Vorgehensweise“ Kapitel 4.3 und an die<br />
einschlägigen Empfehlungen der Koordinierungs-<br />
und Beratungsstelle der Bundesregierung<br />
für Informationstechnik in der Bundesverwaltung<br />
(KBSt) aufgestellt und abgestimmt (Tabelle 1: Bewertungsmaßstab für<br />
den Schutzbedarf von <strong>IT</strong>-Verfahren).<br />
Der Bewertungsmaßstab klassifiziert den Schutzbedarf in drei Werte (Schutzklassen) „normal“,<br />
„hoch“ und „sehr hoch“ und beschreibt die Bedeutung dieser Werte in Hinblick auf 6<br />
Schadensszenarien bezüglich Vertraulichkeit, Integrität und Verfügbarkeit von Daten. Für<br />
jedes <strong>IT</strong>-Verfahren bzw. jeden <strong>IT</strong>-Arbeitsprozess ist ein Mindestmaß an Sicherheit <strong>zu</strong> gewährleisten,<br />
daher sind die Regeln des <strong>IT</strong>-Grundschutzes (Kapitel 2 „Definition des Grundschutzes“)<br />
in allen <strong>IT</strong>-Verfahren/<strong>IT</strong>-Arbeitsprozesse verpflichtend ein<strong>zu</strong>halten. Aufgrund<br />
des Ergebnisses der Schutzbedarfsanalyse können sich weitere Anforderungen ergeben.<br />
Der Schutzbedarf wird über die Abschät<strong>zu</strong>ng der schlimmsten denkbaren Folgen des Verlustes<br />
von Vertraulichkeit, Integrität und Verfügbarkeit ermittelt. Die Abschät<strong>zu</strong>ng hat gesondert<br />
für folgende Schadensszenarien <strong>zu</strong> erfolgen:<br />
1. Beeinträchtigung des informationellen Selbstbestimmungsrechts<br />
2. Verstoß gegen Gesetze, Vorschriften und Verträge,<br />
3. Beeinträchtigung der persönlichen Unversehrtheit<br />
4. Beeinträchtigung der Aufgabenerfüllung<br />
5. Negative Außenwirkung<br />
6. Finanzielle Auswirkungen<br />
53 von 75