Der Staatsminister SÄCHSISCHES STAATSMINISTERIUM DES INNERN 01095 Dresden Präsidenten des Sächsischen Landtages Herrn Dr. Matthias Rößler Bernhard-von-Lindenau-Platz 1 01067 Dresden Kleine Anfrage des Abgeordneten Valentin Lippmann, Fraktion BÜNDNIS 90/DIE GRÜNEN Drs.-Nr.: 6/11303 Thema: Einhaltung der Standards und Kataloge des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zur Erreichung und Aufrechterhaltung des Informationssicherheitsniveaus Sehr geehrter Herr Präsident, namens und im Auftrag der Sächsischen Staatsregierung beantworte ich die Kleine Anfrage wie folgt: Frage 1: Welche Maßnahmen zum Aufbau eines Informationssicherheitsmanagements (ISMS) und Umsetzung der IT-Grundschutzmaßnahmen wurden in Sachsen seit Inkrafttreten des E-Government-Gesetzes für welche informationstechnischen Systeme getroffen? Das Sächsische E-Government-Gesetz verpflichtet die staatlichen Behörden Sachsens zu angemessenen organisatorischen und technischen Vorkehrungen und sonstigen Maßnahmen zur Einhaltung der in § 9 Abs. 2 Sächsisches Datenschutzgesetz definierten Schutzziele für die in ihren informationstechnischen Systemen verarbeiteten Daten. Als zentrale strategische Instanz der Informationssicherheit in der sächsischen Landesverwaltung hat der Beauftragte für Informationssicherheit des Landes (BfIS Land) in Absprache mit den Beauftragten für Informationssicherheit der Ressorts ein Konzept für die Implementierung eines landesweiten ISMS nach Top- Down-Ansatz des BSI Grundschutzes erarbeitet. Dabei wurde in einem ersten Schritt der Ist-Stand des ISMS in der Landesverwaltung eruiert. Im Rahmen des Konzepts entstand weiterhin ein Umsetzungsplan, der beschreibt , welche konkreten Maßnahmen in welcher Reihenfolge umzusetzen sind, um den Reifegrad des ISMS in der Landesverwaltung wirkungsvoll unter Beachtung der gegebenen Ressourcen zu erhöhen. Damit wurde seit Inkrafttreten des Sächsischen E-Government-Gesetzes eine wichtige Grundlage geschaffen, um die verschiedenen Maßnahmen der einzelnen Landesbehörden zentral zusammenzufassen und zu steuern. Aktenzeichen (bitte bei Antwort angeben) 6-1053/19 Dresden, 15. Dezember 2017 Hausanschrift: Sächsisches Staatsministerium des Innern Wilhelm-Buck-Str. 2 01097 Dresden Telefon +49 351 564-0 Telefax +49 351 564-3199 www.smi.sachsen.de Verkehrsanbindung: Zu erreichen mit den Straßenbahnlinien 3, 6, 7, 8, 13 Besucherparkplätze: Bitte beim Empfang Wilhelm- Buck-Str. 2 oder 4 melden. STAATSMINISTERIUM DES INNERN Freistaat SACHSEN Frage 2: Inwieweit wurden dabei welche Schutzbedarfsstufen festgelegt? In dem erstellten Konzept für die Implementierung eines ISMS auf Landesebene wird auch ein Rahmen für alle Schutzbedarfsfeststellungen in den Ressorts beschrieben. Fokus sind dabei übergreifende Schadensszenarien, die den Freistaat Sachsen beeinträchtigen . Diese müssen entsprechend identifiziert, laut BSI eingeordnet sowie aus Landessicht bewertet werden. Ziel ist die Integration der zentralen Schutzbedarfsstufen in die der Ressorts und die Formulierung einer übergreifenden Richtlinie zu Mindestanforderungen an die Schutzbedarfsfeststellung. Frage 3: Welche konkreten Maßnahmen betrafen die Einführung der elektronischen Vorgangsbearbeitung und Aktenführung? Die bei Einführung bzw. Nutzung der elektronischen Vorgangsbearbeitung und Aktenführung zu ergreifenden IT-Grundschutzmaßnahmen sind abhängig vom Schutzbedarf des elektronisch verarbeiteten Schriftgutes. Sowohl im Rahmen der Einführung als auch bei Reorganisation von Verwaltungsprozessen oder Übernahme neuer fachlicher Aufgaben wird durch die jeweils zuständige Behörde der Schutzbedarf des zu den Verwaltungsaufgaben zugehörigen Schriftgutes bewertet. Die durch die Behörden zu ergreifenden Maßnahmen lassen sich jedoch nicht eindeutig einem speziellen IT- Verfahren zuordnen. Vielmehr wird im Gesamtblick aller eingesetzten IT-Verfahren und deren ermittelten Schutzbedarfe ein behördenspezifisches Maßnahmenpaket festgelegt und umgesetzt. Hierzu zählen z. B. folgende Maßnahmen: • Regelung der Zutrittsberechtigung zu den Büroräumen, Nutzung von Schließsystemen , Einlasskontrolle, • Aktivierung des Rechners nach Bildschirmsperre nur mit Passworteingabe; automatische Aktivierung der Bildschirmsperre nach längerer Inaktivität, • differenzierte Zugriffsberechtigungen durch Nutzerverwaltung, Authentifizierung durch Passwort erforderlich. Weiterhin ist zu beachten, dass auch vor der Einführung der elektronischen Vorgangsbearbeitung und Aktenführung Schriftgut in den Behörden bereits elektronisch verarbeitet wird. Schreiben und Vermerke werden beispielsweise elektronisch erstellt und gespeichert . Zur Absicherung der festgelegten Schutzbedarfe sind hierfür bereits IT- Grundschutzmaßnahmen festgelegt. Im Rahmen der Einführung der elektronischen Vorgangsbearbeitung und Aktenführung ist eine Erweiterung um zusätzliche Maßnahmen in den Behörden daher im Regelfall nicht notwendig. Frage 4: In Höhe welches (ungefähren) Prozentsatzes kann die elektronische Vorgangsbearbeitung und Aktenführung durch VIS.SAX aufgrund der festgelegten Schutzbedarfsstufen nicht erfolgen und muss deshalb weiterhin in Papierform stattfinden ? In Behörden die bereits die elektronische Vorgangsbearbeitung und Aktenführung eingeführt haben, liegt der Anteil des Behördenschriftgutes, dass nicht elektronisch verarbeitet werden kann, im Bereich zwischen null und fünf Prozent. Dabei ist zu beachten ist, dass die Ursache für die Bearbeitung in Papierform nicht nur im festgelegten Seite 2 von 3 STAATSM1NISTER1UM DES INNERN Freistaat SAC1-I SEN Schutzbedarf liegt. Der überwiegende Teil lässt sich auf besondere datenschutzrechtliche Anforderungen bzw. Formerfordernisse zurückführen. Beispielsweise besteht derzeit keine ausreichende Rechtsgrundlage für die Führung von Personalakten in elektronischer Form. Dieses Hindernis soll im Rahmen der Weiterentwicklung des Dienstrechtes behoben werden, so dass hierfür auch eine elektronische Vorgangsbearbeitung und Ai t enführung möglich sein wird. Eine Bearbeitung in Papierform wird für solches Schrif gut weiterhin notwendig sein, das über sehr hohen Schutzbedarf bzw. hinsichtlich r Vertraulichkeit mit geheim oder streng geheim bewertet ist. Der Anteil dieses Sch( tgufes liegt im unteren Drittel des o. g. Bereichs. Mit fleuhdlichen Grüßen üs Ulbi Seite 3 von 3 6_11303_rs GondroMe_2017-12-18_09-58-37 2017-12-18T15:15:28+0100 GRP: Elektronisches Dokumentations- und Archivsystem Erstellung des Nachweisdokumentes