BBL 2013 Band 34 S. 6713

Weisungen des Bundesrates über die IKT-Sicherheit in der Bundesverwaltung vom 14. August 2013

Der Schweizerische Bundesrat erlässt folgende Weisungen:

1 1.1

Allgemeine Bestimmungen Gegenstand

Diese Weisungen regeln in Ausführung von Artikel 14 Buchstabe d der Bundesinformatikverordnung vom 9. Dezember 20111 (BinfV) die organisatorischen, personellen, technischen und baulichen Anforderungen und Massnahmen, um für die Schutzobjekte der Informations- und Kommunikationstechnik (IKT) der Bundesverwaltung den angemessenen Schutz der Vertraulichkeit, Verfügbarkeit, Integrität und Nachvollziehbarkeit zu gewährleisten.

1.2

Geltungsbereich

Der Geltungsbereich dieser Weisungen richtet sich nach Artikel 2 BinfV.

1.3

Begriffe

In diesen Weisungen bedeuten:

1

a.

IKT-Schutzobjekte: Anwendungen, Services, Systeme, Netzwerke, Datensammlungen, Infrastrukturen und Produkte der IKT;

b.

Sicherheitsverfahren: Prozesse und Massnahmen zur Gewährleistung einer angemessenen IKT-Sicherheit im gesamten Lebenszyklus eines IKT-Schutzobjektes;

c.

Schutzbedarfsanalyse: Erhebung der Anforderungen an die Sicherheit der IKT-Schutzobjekte;

d.

Informationssicherheits- und Datenschutz-Konzept (ISDS-Konzept): Beschreibung der Schutzmassnahmen und ihrer Umsetzung für die IKTSchutzobjekte sowie der Restrisiken;

e.

Netzwerk: Einrichtung, welche die Kommunikation verschiedener IKTSysteme untereinander ermöglicht;

SR 172.010.58

2013-1829

6713

IKT-Sicherheit in der Bundesverwaltung

f.

(Netz-)Domäne: logischer Verbund aller Verbindungen und Komponenten eines Netzwerkes;

g.

Netzdomänenpolicy: Regelwerk der Voraussetzungen für den Anschluss und die Anforderungen für die Kommunikation von verschiedenen Netzwerken und Systemen.

2 2.1

Zuständigkeiten Informatiksicherheitsbeauftragte

1 Die Departemente und die Bundeskanzlei bestimmen je eine Informatiksicherheitsbeauftragte oder einen Informatiksicherheitsbeauftragten (ISBD).

2

Die ISBD haben namentlich die folgenden Aufgaben: a.

Sie koordinieren die IKT-Sicherheitsaspekte innerhalb des Departements sowie mit den überdepartementalen Stellen und sind im Rahmen der IKTSicherheit die primären Ansprechpartnerinnen und -partner des Informatiksteuerungsorgans des Bundes (ISB).

b.

Sie erarbeiten die notwendigen Grundlagen für die Umsetzung der IKTSicherheitsvorgaben und für die Organisation auf Stufe Departement.

Die Verwaltungseinheiten bestimmen je eine Informatiksicherheitsbeauftragte oder einen Informatiksicherheitsbeauftragten (ISBO).

3

4

Die ISBO haben namentlich die folgenden Aufgaben: a.

Sie koordinieren die IKT-Sicherheitsaspekte innerhalb der Verwaltungseinheit sowie mit den departementalen Stellen und sind die primären Ansprechpartnerinnen und -partner der oder des ISBD.

b.

Sie erarbeiten die notwendigen Grundlagen für die Umsetzung der IKTSicherheitsvorgaben und für die Organisation auf Stufe Verwaltungseinheit.

Die Departemente, die Bundeskanzlei und die Verwaltungseinheiten sorgen dafür, dass die Informatiksicherheitsbeauftragten ihre Aufgaben ohne Interessenkonflikte wahrnehmen.

5

2.2

Leistungsbezüger

Als Leistungsbezüger sorgen die Verwaltungseinheiten für die Anwendung des Sicherheitsverfahrens.

1

Die Personen, die in der Verwaltungseinheit für eine Anwendung, für einen Geschäftsprozess oder für eine Datensammlung verantwortlich sind, legen zusammen mit der oder dem ISBO die Sicherheitsanforderungen für ihre IKT-Schutzobjekte fest. Die Verwaltungseinheiten führen das IKT-Portfolio mit den sicherheitsrelevanten Angaben. Die Sicherheitsanforderungen sind mit den Leistungserbringern sowohl für die Entwicklung und den Betrieb als auch für die Ausserbetriebnahme von IKT-Mitteln schriftlich zu vereinbaren. Die Verwaltungseinheiten dokumentie-

2

6714

IKT-Sicherheit in der Bundesverwaltung

ren und überprüfen die Umsetzung der Sicherheitsmassnahmen sowie deren Wirksamkeit.

Die Verwaltungseinheiten überprüfen laufend den Schutzbedarf und passen die Sicherheitsmassnahmen entsprechend an.

3

Die Verwaltungseinheiten sorgen dafür, dass die Mitarbeiterinnen und Mitarbeiter die Zuständigkeiten sowie die Abläufe der IKT-Sicherheit in ihrem Arbeitsumfeld stufengerecht kennen.

4

Die Mitarbeiterinnen und Mitarbeiter der Bundesverwaltung, die IKT-Mittel nutzen oder betreiben lassen, sind für deren sichere Handhabung verantwortlich. Die Verwaltungseinheiten haben sie bei Stellenantritt sowie periodisch für Themen der IKT-Sicherheit zu sensibilisieren und zu schulen.

5

Die Verwaltungseinheiten sorgen dafür, dass Personen, auf die die Bundesinformatikverordnung nicht anwendbar ist, nur dann Zugriff auf die IKT-Infrastruktur des Bundes erhalten, wenn sie sich verpflichten, die IKT-Sicherheitsvorgaben einzuhalten.

6

2.3

Leistungserbringer

Die Vorgaben für Leistungsbezüger nach Ziffer 2.2 gelten für Leistungserbringer sinngemäss.

1

Die Leistungserbringer setzen die erforderlichen Sicherheitsmassnahmen beim Betrieb von IKT-Mitteln um, dokumentieren und überprüfen sie. Sie bringen die Ergebnisse den betroffenen Leistungsbezüger in geeigneter Form zur Kenntnis.

2

Die Verantwortlichkeiten und der Schutzbedarf auf der betrieblichen Ebene werden in den Projekt- und Leistungsvereinbarungen zwischen den Leistungserbringern und den Leistungsbezügern festgehalten.

3

3 3.1 1

Sicherheitsverfahren Schutzbedarfsanalyse, ISDS-Konzept und Risikobeurteilung

Bei IKT-Vorhaben ist vorab eine Schutzbedarfsanalyse durchzuführen.

Bestehende IKT-Schutzobjekte müssen über eine gültige Schutzbedarfsanalyse verfügen.

2

Die minimalen Sicherheitsvorgaben (Grundschutz) sind für alle Schutzobjekte umzusetzen; die Umsetzung ist zu dokumentieren.

3

Ergibt die Schutzbedarfsanalyse einen erhöhten Schutzbedarf, so ist zusätzlich zu der dokumentierten Umsetzung der minimalen Sicherheitsvorgaben ein ISDSKonzept zu erstellen. Bei dessen Erstellung darf auf bestehende themenspezifische Sicherheitskonzepte verwiesen werden.

4

6715

IKT-Sicherheit in der Bundesverwaltung

Schutzbedarfsanalysen, weitergehende Sicherheitsvorgaben und ISDS-Konzepte sind mindestens von der oder dem ISBO zu prüfen und von der Auftraggeberin oder dem Auftraggeber und dem oder der Geschäftsprozessverantwortlichen zu genehmigen.

5

Will eine Verwaltungseinheit neue Informations- und Kommunikationstechnologien (Hard- und Software) oder bestehende Technologien in einem neuen Einsatzgebiet einsetzen, so muss sie sie vor dem Einsatz einer Risikobeurteilung unterziehen. Das Ergebnis der Risikobeurteilung ist der oder dem zuständigen Informatiksicherheitsbeauftragten und dem ISB vorzulegen.

6

3.2

Sicherheitsvorgaben

Das ISB erlässt die weiteren Vorgaben zum Sicherheitsverfahren und zu den dazugehörenden Hilfsmitteln auf Stufe Bund, namentlich für die Schutzbedarfsanalyse, für den Grundschutz und für das ISDS-Konzept.

3.3

Internationale Standards

Die Sicherheitsmassnahmen orientieren sich an den aktuellen ISO-Standards betreffend die IKT-Sicherheitsverfahren.

3.4

Restrisiken

Risiken, die nicht vollständig beseitigt werden können (Restrisiken), sind auszuweisen und den Auftraggeberinnen und Auftraggebern und den Geschäftsprozessverantwortlichen schriftlich zur Kenntnis zu bringen.

1

Der Entscheid darüber, ob bekannte Restrisiken in Kauf genommen werden, obliegt der Leiterin oder dem Leiter der zuständigen Verwaltungseinheit.

2

3.5

Kosten

Die Kosten für die IKT-Sicherheit sind Teil der Projekt- und Betriebskosten und sind bei der Planung ausreichend zu berücksichtigen.

4 4.1

Netzwerksicherheit Zuständigkeiten und Sicherheitsvorgaben

Das ISB führt ein Verzeichnis aller Netzdomänen, welche für die Verwaltungseinheiten betrieben werden. Die Liste enthält namentlich:

1

a.

Netzdomänenname;

b.

Netzdomäneninhaberin oder -inhaber;

6716

IKT-Sicherheit in der Bundesverwaltung

c.

Verweis auf die anwendbare Netzdomänenpolicy;

d.

Vereinbarungen der Netzdomäne mit anderen Netzdomänen.

Alle Netzdomänen haben über eine Netzdomänenpolicy zu verfügen. Die Netzdomänenpolicy bedarf der Genehmigung durch das ISB.

2

Vereinbarungen über Netzdomänen, die zwischen Bundesverwaltungseinheiten oder zwischen Bundesverwaltungseinheiten und Dritten abgeschlossen werden, bedürfen der Genehmigung durch das ISB.

3

Werden Dritte direkt an eine Bundesnetzdomäne angeschlossen, so hat die zuständige Verwaltungseinheit die Einhaltung der IKT-Sicherheitsvorgaben nach diesen Weisungen durch eine Vereinbarung zu regeln sowie deren Einhaltung regelmässig zu überprüfen. Die Vereinbarungen bedürfen der Genehmigung durch das ISB.

4

5

Das ISB erlässt die weiteren Vorgaben zur Netzwerksicherheit.

5 5.1

Schlussbestimmungen Aufhebung bisheriger Weisungen

Die Weisungen des Informatikrats des Bundes (IRB) vom 27. September 2004 über die Informatiksicherheit in der Bundesverwaltung werden aufgehoben.

5.2

Übergangsbestimmungen

Schutzbedarfsanalysen und ISDS-Konzepte, die bei Inkrafttreten dieser Weisungen bestehen, gelten weiter und sind im Rahmen von Überprüfungen und Revisionen zu aktualisieren.

5.3

Inkrafttreten

Diese Weisungen treten am 1. Januar 2014 in Kraft.

14. August 2013

Im Namen des Schweizerischen Bundesrates Der Bundespräsident: Ueli Maurer Die Bundeskanzlerin: Corina Casanova

6717

IKT-Sicherheit in der Bundesverwaltung

6718