Gesellschaft für Anlagenund Reaktorsicherheit (GRS) mbH Die GRS IT-Sicherheitsleitlinie Präambel Die GRS - Gesellschaft für Anlagen- und Reaktorsicherheit (GRS) mbH - ist eine technischwissenschaftliche Forschungs- und Sachverständigenorganisation. Sie ist bei der Erbringung ihrer Leistungen in Forschung und Entwicklung zur Bewertung und Verbesserung der Sicherheit technischer Anlagen in entscheidendem Maße auf das Vorhandensein und die Verfügbarkeit von Informations- und Kommunikationstechnik (IT) angewiesen. Darüber hinaus bestehen Verpflichtungen zur Gewährleistung der IT-Sicherheit aufgrund gesetzlicher Bestimmungen und vertraglicher Verpflichtungen der GRS gegenüber Auftraggebern und Projektpartnern. 1 Definition der IT-Sicherheit IT-Sicherheit ist der Schutz der IT-Einrichtungen vor Missbrauch, Manipulation und Störung. 2 Stellenwert der IT-Sicherheit Die IT-Sicherheit hat einen hohen unternehmerischen Stellenwert. Aus diesem Grund hat die Geschäftsführung der GRS beschlossen, in Zusammenarbeit mit dem ITSicherheitsbeauftragten und dem IT-Dienstleister der GRS einen IT-Sicherheitsprozess für den Umgang mit den IT-Einrichtungen einzuführen. Die IT-Sicherheitsleitlinie (IT-Sicherheitspolicy) soll Aufforderung und Verpflichtung zu gesetzeskonformem Verhalten und verantwortungsbewusstem Umgang mit der IT-Infrastruktur der GRS für alle Mitarbeiter und alle externen Nutzer sein. Allen Nutzern der IT-Einrichtungen der GRS ist die IT-Sicherheitsleitlinie in geeigneter Form zur Kenntnis zu geben, und jeder Nutzer ist schriftlich auf deren Einhaltung zu verpflichten. Gesellschaft für Anlagenund Reaktorsicherheit (GRS) mbH 3 IT-Sicherheitsziele Die GRS schützt ihre Interessen und ihr Ansehen in der Öffentlichkeit sowie ihre Vertrauenswürdigkeit für Auftraggeber und Partner durch die Sicherung ihrer Arbeitsfähigkeit in Bezug auf ihre IT-basierten Systeme, Programme und Daten. Die Gewährleistung der allgemeinen IT-Sicherheitsanforderungen Verfügbarkeit, Vertraulichkeit und Integrität ist Bestandteil der Unternehmensphilosophie. Zu den IT-Sicherheitszielen der GRS zählen: • • • • • • • 4 Die GRS gewährleistet die Verfügbarkeit ihrer Daten und IT-Einrichtungen und unterstützt damit die Kontinuität der Arbeitsabläufe: Bereitstellung von IT-Diensten in der geforderten Qualität und Zeit ohne Beeinträchtigungen durch Störungen, verursacht durch Sicherheitsvorfälle. Daten werden vor Verlust geschützt. Die GRS stellt die Vertraulichkeit sicher: Schutz von Projektdaten und Arbeitsergebnissen vor unberechtigter Kenntnisnahme. Besonders schützenswerte Daten (personenbezogene Daten, Geheimschutz) werden besonders geschützt Die GRS schützt die Integrität ihrer IT-Einrichtungen: Schutz der Daten und Einrichtungen vor Verfälschung bzw. unberechtigter Veränderung Die GRS schützt ihre IT-Einrichtungen vor Manipulation und Missbrauch (zweckwidrige Nutzung, Nutzung durch Unbefugte) Die GRS schützt ihr IT-Netzwerk gegen unbefugten Zugriff (Angriff, Datenmanipulation) von außen Die GRS und ihre Mitarbeiter halten die einschlägigen Gesetze und sonstigen rechtlichen Bestimmungen zur IT ein. Die GRS wahrt die Persönlichkeitsrechte ihrer Mitarbeiter Verantwortlichkeit Die Verantwortung für die IT-Sicherheit der GRS liegt bei der Geschäftsführung der GRS. Die Geschäftsführung überträgt die Umsetzung der IT-Sicherheitsleitlinie und die Kontrolle über deren Einhaltung an den IT-Sicherheitsbeauftragten der GRS. Die Einhaltung der ITSicherheitsmaßnahmen durch Mitarbeiter wird im Rahmen des Disziplinarprozesses kontrolliert. Der IT-Sicherheitsbeauftragte der GRS nimmt seine Aufgaben in enger Zusammenarbeit mit dem IT-Dienstleister der GRS wahr. Gesellschaft für Anlagenund Reaktorsicherheit (GRS) mbH 5 IT-Sicherheitsprozess Der IT-Sicherheitsprozess ist Gegenstand eines eigenen IT-Sicherheitskonzeptes. Dieser ITSicherheitsprozess orientiert sich an dem Grundschutzstandard des Bundesamtes für Informationssicherheit (BSI). Prozessverantwortlicher ist der IT-Sicherheitsbeauftragte der GRS. 6 Strategie, Umsetzung und Maßnahmen Zur Gewährleistung der IT-Sicherheit in der GRS im Sinne der oben aufgelisteten ITSicherheitsziele werden folgende Maßnahmen umgesetzt: • • • • • • • • Bereitstellung der technischen und personellen Ressourcen für die IT-Sicherheit Betreuung der Nutzer der IT-Einrichtungen im Umgang mit diesen in sicherheitsrelevanten Aspekten Abstimmung zwischen Projektleitern und IT-Sicherheitsbeauftragtem über Sicherheitsaspekte bereits bei Projektinitialisierung Berücksichtigung der IT-Sicherheitsanforderungen in der Zusammenarbeit mit Partnern und externen Dienstleistern Festlegung von Konsequenzen bei Verstößen gegen IT-Sicherheitsregelungen Planung und Überwachung der Realisierung von IT-Sicherheitsmaßnahmen im technischen, organisatorischen, personellen und infrastrukturellen Bereich durch den ITSicherheitsbeauftragten Verabschiedung einer Informationsschutzrichtlinie als flankierende Maßnahme zum ITSicherheitsprozess Schulung der Mitarbeiter in IT-Sicherheit