Dienstleistungen - Suzana Ulbrich
Was können wir für Sie tun ?

Leitfaden für den Aufbau einer „Anlagenspezifischen Daten-VS-Anweisung (ITGA)“
(Ergänzende Anforderungen des BMWi für die Bearbeitung von Verschlusssachen mit informationstechnischen (IT-) Systemen)

A. Grundsätze

  1. Gegenstand der ITGA sind alle geheimschutzrelevanten Sicherheitsanweisungen, die beim Betrieb eines IT-Systems, das für VS-Bearbeitung (VS-VERTRAULICH und höher) einge- setzt wird, zu beachten sind. Im Regelfall ist die ITGA bei dem IT-System bereitzuhalten bzw. den Nutzern und Verwaltern zu Kenntnis zu geben.
  2. Grundlage für die Erstellung einer ITGA sind die VSITR/U und die allgemeinen amtlichen, sowie die spezifischen Forderungen des BMWi, die projektbezogen festgelegt werden.
  3. In der Regel ist für jedes IT-System, das für VS-Bearbeitung eingesetzt wird, seitens des Un- ternehmens eine ITGA zu erstellen. Ausnahmen gelten z.B. bei geschlossenen Netzen, die in einem räumlichen Zusammenhang stehen und für das gleiche Projekt genutzt werden. Diese ist vor Inbetriebnahme des IT-Systems mit dem BMWi abzustimmen. Die Freigabe der ein- zelnen Komponenten eines IT-Systems (Hardware und Software) für die VS-Bearbeitung er- folgt gesondert und ist Voraussetzung für den VS-Betrieb.
  4. Soll eine übergreifende Sicherheitsanweisung für den Betrieb von IT-Systemen angewendet werden, so kann diese in den einzelnen ITGA’s referenziert werden, ohne die Regelungen im Einzelnen zu wiederholen. In einer ITGA kann ggf. auch der Betrieb mehrerer IT-Systeme zusammengefasst werden, jedoch ersetzt eine übergreifende Sicherheitsanweisung grundsätz- lich nicht die systemspezifische ITGA.
  5. Auszüge aus einer ITGA können bei Bedarf angefertigt und einzelnen Komponenten eines IT- Systems zugeordnet werden. Die ITGA selbst muss vollständig sein, auf Auszüge ist zu ver- weisen. Ebenso ist in den Auszügen die ITGA zu referenzieren. Die ITGA ist VS-NfD einzu- stufen und entsprechend zu behandeln.

B. Inhalt

1. Eine ITGA sollte folgende Punkte berücksichtigen:

  • Deckblatt mit den wichtigsten Angaben (s. Muster)
  • Fortschreibung der VS-Projekte / VS-Aufträge (Referenz), für die das System aktuell ein-gesetzt wird (ggf. Liste anfügen).
  • Beschreibung der Lokalität des Systems bzw. der Komponenten
  • Verweis auf entsprechende Kontroll-/Sperrzonenanweisungen, die für die vorgenanntenÖrtlichkeiten bestehen.
  • Benennung und Fortschreibung der Personen, die für die Nutzung oder Verwaltung desSystems bzw. von Komponenten autorisiert sind (ggf. Liste anfügen).
  • Beschreibung des Systems  Hardware  Software; insbesondere das Betriebssystem   Netzwerkverbindungen  Systemkonfiguration in Bezug auf sicherheitsrelevante Aspekte, z. B.   Benutzeridentifizierung  Benutzerauthentifizierung  Verschlüsselung  Netzwerksicherheit  Zugriffsschutzmechanismen   Virenschutz  etc.Materielle Absicherung des Systems (neben den o. a. Kontroll-/Sperrzonenanweisungen)   Siegelmarken  Verplombung  etc.Maßnahmen gegen kompromittierende Abstrahlung   
  • Sind Maßnahmen vorgeschrieben?  Wenn ja: (zutreffende Alternative ausführen)  Angaben zur Zonenbewertung der Systemkomponenten und der Räumlichkeiten   Angaben einer Zeitmatrix mit Vorschriften zur Erfassung der VS-Rechenzeiten   Angaben zum Einsatz von TEMPEST-Gerät  andere MaßnahmenWeitergehende Vorschriften zum Durchführen, Erfassung und Protokollieren von Aktivi-täten, z. B.  Löschen von VS-Datenbeständen  Trennen / Herstellen von Netzwerkverbindungen  Datenübertragung (nach außerhalb)  Einrichten eines VS-Betriebsmodus / Verlassen des VS-BetriebsmodusHandhabung, Verwaltung und Kennzeichnung von VS-Datenträgern (neben den allge- meinen Vorschriften zur Kennzeichnung und Verwaltung von VS-Material) Bestimmungen für den Betrieb von Verschlüsselungssystemen  Schlüsselverwaltung   sonst.Vorsorge bei Störungen, Systemausfall, Datenverlust  Beschreibung des Back Up / Recovery Verfahrens (Zuständigkeit)   Bestimmungen zum Booten des Systems (Zuständigkeit)  Maßnahmen bei Wartung und Reparatur  Herstellen des Wartungsmodus   Entfernen der VS-Daten  sonst.Benennung der Stellen und Personen die  bei Systemfehlern, Problemen berechtigt sind, Hilfe zu leisten   Meldungen bei besonderen Vorkommnissen entgegennehmen   sonst.Weitergehende Pflichten der Nutzer, Verwalter zu  Anzeige von Veränderungen an der Systemkonfiguration, insbesondere bei Hardware-/Software-Updates  allgemeine Meldepflichten (ggf. turnusmäßig – auch Fehlanzeige)  sonst.

2. Beim Erstellen der ITGA sind insbesondere Vorschriften zu berücksichtigen, die sich aus Vereinbarungen in internationalen Projekten (z. B. Projekt Security Instructions) und Vor- schriften internationaler/übernationaler Organisationen (z. B. NATO) ergeben.