Informationssicherheit in den Anwendungsbereichen                   A-960/1 421.       Nach erfolgtem Vergabeverfahren sind die technischen InfoSichh-Maßnahmen umzusetzen. Das InfoSichhKProj muss die abschließend realisierten technischen InfoSichh-Maßnahmen dokumentieren. Abhängigkeiten bzgl. der InfoSichh von anderen Projekten und Auswirkungen auf andere Projekte sind mit den jeweils zuständigen Ltr IPT / ProjLtr abzustimmen und zu berücksichtigen. 422.       Die im Projektverlauf erkannten InfoSichh-Risiken sind im InfoSichhKProj zu dokumentieren und zu bearbeiten. Sofern zugelassene Produkte eingesetzt und in den Zulassungsdokumenten des BSI Risiken benannt werden, sind diese Risiken ebenfalls in das Risikomanagement aufzunehmen. 423.       Im Rahmen der Integrierten Nachweisführung ist die vollständige und korrekte Umsetzung der technischen InfoSichh-Maßnahmen zu prüfen. Die Durchführung der Prüfung ist durch den bzw. die Ltr IPT / ProjLtr zu bestätigen. Der Nachweis der Prüfung ist dem InfoSichhKProj als Anlage anzufügen. 424.       Die ProjLtr beantragen frühzeitig vor Beginn der Nutzung eine ggf. erforderliche st Akkreditierung (vgl. Nr. 520) der IT bei der DEUmilSAA (siehe Nr. 530).  en sd i 425.                                                              ng Nach Abstimmung und Berücksichtigung der Mitzeichnung (siehe Nr. 620) setzt der bzw. die ru ProjLtr das finalisierte InfoSichhKProj in Kraft und übermittelt es an die Stellen gemäß Nr. 622. de Än 426.       Mit der Genehmigung zur Nutzung (GeNu) ist das Projekt durch den bzw. die ProjLtr m de freizugeben (verfahrensbezogene Freigabe gemäß Abschnitt 5.6.2). ht 427.                                              ic Die Vorgaben für andere Projekte und für DSt / IT-Btrb(Fü)Einr und EinsKtgt sind den tn eg entsprechenden Rollenträgerinnen und Rollenträgern (DStLtr, Ltr IT-Btrb(Fü)Einr, KtgtFhr) rechtzeitig rli vor Nutzungs- bzw. Betriebsbeginn zu übergeben (siehe Nr. 622). Hierzu zählen auch ggf. notwendige te un Arbeitshilfen. Vor Beginn des Wirkbetriebes übergibt der bzw. die ProjLtr neben dem fertigen k uc InfoSichhKProj die für den Betrieb und die Nutzung erforderliche technische Dokumentation an die o.g. dr us Rollenträgerinnen und Rollenträger. rA 428.                      se Die technische Kopplung von Komponenten, Systemen und Produkten bzw. die Nutzung von ie                                          70 IT-Services hat immer unter Beachtung der InfoSichh zu erfolgen . Die technische Kopplung hat in D enger Abstimmung zwischen den jeweils zuständigen ISBProj unter Beteiligung der betroffenen ISBBtrb zu erfolgen, um die Aufnahme in bestehende Betriebsprozesse, vor allem aber die Konformität der InfoSichh mit anderen existierenden zentralen Vorgaben und Anforderungen zu gewährleisten, um die Robustheit, Verfügbarkeit und Stabilität der gekoppelten Komponenten, Systeme und Produkte nicht zu gefährden. 70   Siehe Anlage 11.15 lfd-Nr. 61 Seite 53 Stand: März 2019

A-960/1                     Informationssicherheit in den Anwendungsbereichen 4.4.4      Nutzungsphase Allgemeines 429.       Der bzw. die ProjLtr ist in der Nutzungsphase für die Gewährleistung, d. h. Herstellung, Aufrechterhaltung und Wiederherstellung der projektbezogenen und damit insbesondere der technischen InfoSichh verantwortlich. Er bzw. sie hat • bei identifizierten Mängeln der technischen InfoSichh unter Abwägung der Schwere der Mängel die Freigabe (siehe Abschnitt 5.6) aufzuheben oder zeitlich zu befristen (siehe Abschnitt 5.6.5) und die Wiederherstellung der InfoSichh zu veranlassen, • die Konfigurationskontrolle der durch ihn bzw. sie ausgelieferten IT zu übernehmen, • im Rahmen des Obsoleszenzmanagements die Aktualität der eingesetzten Hardware und Software st sicherzustellen,                                                         en • bei allen relevanten Änderungen (siehe Nr. 625) an der IT             sd i ng + das InfoSichhKProj fortzuschreiben (siehe Abschnitt 6.3.2.3),  ru de + das InfoSichhKProj durch die DEUmilSAA mitzeichnen zu lassen, spätestens im Rahmen der Re- Än Akkreditierung,                                     m de + die IT für die weitere Nutzung erneut freizugeben (siehe Abschnitt 5.6.4) und ht + die DEUmilSAA hierüber zu unterrichten,         ic tn • die      erforderlichen   regelmäßig         eg wiederkehrenden   Maßnahmen      zur   Aufrechterhaltung   der rli Zulassung(en) rechtzeitig einzuplanen und umzusetzen sowie te un • eine ggf. erforderliche Re-Akkreditierung (siehe Abschnitt 5.5.8) der IT rechtzeitig bei der k DEUmilSAA zu beantragen. uc dr us 430.       Existieren auf Basis des fortgeschriebenen InfoSichhKProj neue Vorgaben für andere Projekte rA se und daraus resultierend für DSt / IT-Btrb(Fü)Einr und EinsKtgt, so sind diese sowie das ie fortgeschriebene InfoSichhKProj den entsprechenden Rollenträgerinnen und Rollenträgern (ProjLtr, D DStLtr, Ltr IT-Btrb(Fü)Einr, KtgtFhr) rechtzeitig vor Nutzungs- bzw. Betriebsbeginn der Änderungen zu übergeben (vgl. Nr. 624). 431.       Liegt für in der Nutzung befindliche IT kein InfoSichhKProj (siehe Abschnitt 6.3.2) vor, ist dieses nachträglich in Verantwortung des bzw. der ProjLtr zu erstellen. Soll auf die nachträgliche Erstellung ausnahmsweise verzichtet werden, ist die Zustimmung der DEUmilSAA einzuholen. 432.       Bei Beendigung der Nutzung von IT sind die hierzu im InfoSichhKProj beschriebenen Maßnahmen (siehe Anlage 11.7.1) umzusetzen. 433.       Dienststellen- und einsatzbezogene Aufgaben in der Nutzungsphase sind in den Anwendungsbereichen DSt (D) (siehe Abschnitt 4.8) und EinsKtgt und EinsStO (E) (siehe Abschnitt 4.9) beschrieben. Seite 54 Stand: März 2019

Informationssicherheit in den Anwendungsbereichen                       A-960/1 Übernahme von IT anderer Nationen / Streitkräfte 434.       Soll IT anderer Nationen / Streitkräfte unverändert in die nationale Nutzung übernommen werden, so ist durch den bzw. die Ltr IPT die Informationssicherheitsdokumentation (InfoSichhDok) 71 dieser IT auf Abweichungen zu den Vorgaben dieser Zentralen Dienstvorschrift zu prüfen . Das Resultat der Prüfung sowie die InfoSichhDok ist der DEUmilSAA zur Bewertung vorzulegen. Sofern sich ergebende Abweichungen nicht beseitigen lassen, ist das daraus resultierende Risiko zu beschreiben und eine Entscheidung zur weiteren Vorgehensweise über die DEUmilSAA bei CISOBw herbeizuführen. 4.5        Infrastruktur- / Baumaßnahmen bzw. sonstige Vorhaben mit IT- Anteil (V) st 435.                                                                       en Für IT, die aus Infrastruktur- / Baumaßnahmen finanziert wird oder sonstige Vorhaben, in sd i denen IT-Anteile beschafft bzw. eingerüstet werden (z. B. Gebäudeverkabelung, Gebäudeautomation), ng ru ist der Abschnitt 4.4 durch die hierfür Verantwortlichen (im folgenden „Verantwortlicher für die Infra- de Maßnahme“ genannt) sinngemäß anzuwenden. Durch den Bedarfsträger ist mindestens eine Än Informationsstruktur gemäß Abschnitt 2.1 zu erstellen und zu begründen. Daraus abgeleitet ist durch m de den Verantwortlichen für die Infra-Maßnahme ein InfoSichhK in Anlehnung an ein InfoSichhKProj (vgl. ht ic Abschnitt 6.3.2) zu erstellen und an die nutzenden DSt zu übergeben. Notwendige Abweichungen zu tn eg Struktur und Inhalt des InfoSichhK sind mit der DEUmilSAA frühzeitig abzustimmen. Sofern IT aus rli Infrastrukturmitteln beschafft wird, sind notwendige Abweichungen und Regelungen mit dem CISO te un Infrastruktur abzustimmen. Dieser führt eine Abstimmung mit CISOBw und der DEUmilSAA herbei. k uc dr 4.6        IT-Betrieb und Aufgabenübernahme durch Dritte (O) us rA 4.6.1 se Übernahme von IT-Betriebsverantwortung ie D 436.       Bei der Übernahme der IT-Betriebsverantwortung durch einen Dritten und der Nutzung dieser IT durch den GB BMVg sind grundsätzlich die Bestimmungen dieser Zentralen Dienstvorschrift einschließlich weiterer Zentraler Dienstvorschriften zur InfoSichh sowie weiterer konkretisierender zentraler und dezentraler Durchführungsbestimmungen und Hinweise zur InfoSichh anzuwenden. Diese Regelungen, datenschutzrechtliche Aspekte gemäß EU-DSGVO (siehe Bezug Anlage 11.15 (lfdNr. 65)) und BDSG (siehe Bezug Anlage 11.15 (lfdNr. 2)) sowie die Aufgabenabgrenzung zu den für InfoSichh Verantwortlichen in der Bw (siehe Nr. 311f. sowie Abschnitt 9) sind daher bei der Vertragsgestaltung zu berücksichtigen. Der Auftragnehmer benennt hierzu einen bzw. eine ISBAN gemäß Nr. 308. 71   Zu Vorgaben zur Anbindung an das IT-SysBw vgl. B1-960/0-7000 (siehe Bezug Anlage 11.15 (lfdNr. 61)) Seite 55 Stand: März 2019

A-960/1                        Informationssicherheit in den Anwendungsbereichen 437.       Auf Seiten der Bw ist ein bzw. eine ProjLtr zu benennen. Der bzw. die ProjLtr übernimmt damit die Rolle des bzw. der ISBProj, sofern er bzw. sie keinen bzw. keine ISBProj zur Unterstützung gemäß Abschnitt 5.7 bestellt hat. Die Aufgaben des bzw. der ISBProj sind im Abschnitt 9.6 beschrieben. 438.       Die InfoSichh-Maßnahmen sind in einem InfoSichhK zu dokumentieren, das in Anlehnung an die Struktur eines InfoSichhKProj zu erstellen ist (siehe Abschnitt 6.3.2). Der Baustein "Outsourcing" aus dem IT-Grundschutzkatalog der Bw ist dabei zu berücksichtigen. Dieses InfoSichhK ist durch die DEUmilSAA gemäß Nr. 621 mitzeichnen zu lassen. 439.       Der Vertrag muss dem Auftraggeber das Recht zusichern, die Wirksamkeit der InfoSichh- Maßnahmen und die InfoSichh-Maßnahmen für das unmittelbare Einsatzumfeld der IT auch während der Nutzung kurzfristig und ggf. mit geeigneter Unterstützung des Auftragnehmers zu überprüfen. Vor st Beginn der Nutzung ist die IT gemäß Abschnitt 5.5 durch die DEUmilSAA zu akkreditieren und durch en den bzw. die ProjLtr gemäß Abschnitt 5.6.2 freizugeben.                           sd i ng Bereits bestehende Verträge sollen diesbezüglich angepasst werden.          ru de Än 4.6.2      Übernahme von Aufgabenbereichen                         m de 72 440.       Übernimmt ein Dritter            (z. B. ein Auftragnehmer) – mit von ihm selbst betriebener IT – ht Aufgabenbereiche         für     die        Bw,   müssen icnotwendige    Zugriffe    von    dieser   IT     auf tn Datenbestände / Informationen                im        eg IT-SysBw       über     ein    Sicherheitsgateway         (siehe rli Begriffsbestimmungen in           Anlage 11.11)       te geführt   werden.   Eine   notwendige    Zulassung      des un Sicherheitsgateways regelt Abschnitt 5.3.4.       k uc 441.                                        dr Für den ggf. in der Verantwortung des Dritten liegenden Anteil des Sicherheitsgateways sind us die Bestimmungen zur InfoSichh der Bw, des BSI und ggf. der NATO / EU anzuwenden und bei der rA Vertragsgestaltung       zu    se berücksichtigen.       Darüber    hinaus   sind   bei   der   Vertragsgestaltung ie D datenschutzrechtliche Aspekte der Auftragsdatenverarbeitung gemäß Art. 28 EU-DSGVO (siehe Bezug Anlage 15 (lfdNr. 65)) zu berücksichtigen. 442.       Die zur Anbindung (u.a. am Sicherheitsgateway) erforderlichen InfoSichh-Maßnahmen sind in einem InfoSichhK zu dokumentieren. Das Konzept ist gemäß Nr. 621 mitzeichnen zu lassen. Sofern Daten der Bw auf der durch den Dritten betriebenen IT verarbeitet werden, ist in den Fällen gemäß Nr. 520 eine Akkreditierung durch die DEUmilSAA ggf. in Zusammenarbeit mit anderen Akkreditierungsstellen (z.B. BMWi) erforderlich. Dem Auftraggeber muss vertraglich das Recht eingeräumt werden, die Wirksamkeit der InfoSichh- Maßnahmen kurzfristig und sofern notwendig mit geeigneter Unterstützung des Dritten zu prüfen. 72   Andere Bundesressorts, die IT-Dienstleistungen für die Bundeswehr erbringen, gelten nicht als Dritte. Seite 56 Stand: März 2019

Informationssicherheit in den Anwendungsbereichen                        A-960/1 Vor Beginn der Nutzung ist eine Registrierung und Freigabe zur Inbetriebnahme des Sicherheitsgateways gemäß Anlage 11.2.11 erforderlich. Bereits bestehende Verträge sollen diesbezüglich angepasst werden. 4.7         Sofortinitiativen für den Einsatz (Phasendokument „Fähigkeitslücke und Funktionale Forderung“) (S) 443.        Bei unvorhersehbar dringendem Einsatzbedarf sind im CPM-Dokument „Fähigkeitslücke und Funktionale Forderung (Sofortinitiative) (FFF(S))“ durch den bzw. die Ltr IPT die Informationsstruktur (siehe Abschnitt 2.1) mit dem Schutzbedarf (siehe Abschnitt 2.1.3) zu dokumentieren. Ist in der Informationsstruktur PersDat vorgesehen, beteiligt der bzw. die Ltr IPT bei der Festlegung der 73 Informationsstruktur den zuständigen bzw. die zuständige ADSB . st 444. en Der bzw. die Ltr IPT ist für die InfoSichh verantwortlich und muss sicherstellen, dass vor sd i Nutzung der IT auf Basis des identifizierten Schutzbedarfes mindestens die grundlegenden InfoSichh- ng ru Maßnahmen im Rahmen eines vorläufigen InfoSichhKProj (siehe Abschnitt 6.3.2) dokumentiert und de Än umgesetzt sind. Dieses ist gemäß Nr. 621 durch die DEUmilSAA mitzeichnen zu lassen. Für die m nachträgliche Erstellung des InfoSichhKProj und der Nachsteuerung von InfoSichh-Maßnahmen ist der de bzw. die Ltr IPT verantwortlich. Zu seiner Unterstützung kann der bzw. die Ltr IPT einen bzw. eine ISB ht ic bestellen. Für die im Einsatz genutzte IT ist im Rahmen der nachträglichen Erstellung des endgültigen tn eg InfoSichhKProj in den Fällen gemäß Nr. 520 eine Akkreditierung erforderlich. rli te 445.        Vor Beginn der Nutzung ist mindestens eine vorläufige Freigabe gemäß Abschnitt 5.6.5 zu un erteilen. k uc dr us 4.8         Dienststellen (D)rA se 446.        DSt umfassen auch Schiffe und Boote sowie vergleichbare zivile und militärische ie D Organisationseinheiten der Bw. Weitere Detaillierungen legen die OrgBer fest. 447.        Der bzw. die DStLtr • ist verantwortlich für die InfoSichh inkl. IT-RM in der DSt. Diese Verantwortung verbleibt auch mit der Bestellung eines bzw. einer ISBDSt bei ihm bzw. ihr, • bestellt einen bzw. eine ISBDSt und einen stellvertretenden / eine stellvertretende ISBDSt zu seiner bzw.     ihrer    Unterstützung       (siehe     Abschnitt 5.7     „Bestellung“      und   Abschnitt 9.7 „Aufgabenbeschreibung“), sofern die Aufgaben nicht selbst übernommen werden, • setzt das InfoSichhK der DSt (InfoSichhKDSt, siehe Abschnitt 6.3.3) in Kraft, 73   Dies sollte ein bzw. eine ADSB des Hauptnutzers sein. Dies ist im IPT festzulegen. Seite 57 Stand: März 2019

A-960/1                      Informationssicherheit in den Anwendungsbereichen • erteilt die Freigabe zur Nutzung für die in der DSt genutzte bzw. betriebene IT in Form der operationellen Freigabe gemäß Abschnitt 5.6.3 (vor Beginn der ersten Nutzung) oder als Freigabe in der Nutzung gemäß Abschnitt 5.6.4 ( wenn IT in der Nutzung durch den bzw. die Ltr IPT / ProjLtr erneut freigegeben wurde) oder als vorläufige Freigabe gemäß Abschnitt 5.6.5 (in dringenden Fällen nach einer Risikobewertung), • beantragt ggf. notwendige Akkreditierungen (siehe Nrn. 520 und 530) bzw. Re-Akkreditierungen (siehe Abschnitt 5.5.8), • unterstützt das ZCSBw bei der Durchführung von InfoSichhIn (siehe Abschnitt 7.2), InfoSichhPrfg (siehe Abschnitt 7.4) und bei der Einbringung von Sensoren zur Erfassung der InfoSichh-Lage sowie • veranlasst InfoSichhKtr (siehe Abschnitt 7.3) zur Überwachung der InfoSichh in der eigenen bzw. in nachgeordneten DSt. Weiterhin ist der bzw. die DStLtr verantwortlich für die                            st en • Erstellung und Fortschreibung des InfoSichhKDSt (siehe Abschnitt 6.3.3), sd i ng • Herstellung, Gewährleistung und ggf. Wiederherstellung der InfoSichh durch Umsetzung bzw. ru de Gewährleistung aller personellen, infrastrukturellen und organisatorischen InfoSichh-Maßnahmen Än aus den InfoSichhKProj für die DSt (sind zur Umsetzung Baumaßnahmen erforderlich, so ist nach m de der Bereichsvorschrift C1-1810/0-6000 VS-NfD (siehe Bezug Anlage 11.15 (lfdNr. 24)) und der ht Bereichsdienstvorschrift       C-1800/121                ic „Infrastrukturbearbeitung“   (siehe   Bezug   Anlage 11.15 tn (lfdNr. 25)), zu verfahren),                    eg rli • Meldung technischer Mängel der InfoSichh auf dem Dienstweg an den bzw. die Ltr IPT / ProjLtr, te un • Maßnahmen zur IT-Notfallvorsorge in seiner bzw. ihrer DSt gem. Notfallmanagementkonzept bzw. k uc Notfallhandbuch der Liegenschaft (siehe Nr. 128) und nach den Vorgaben des BtrbZ IT-SysBw, dr us • Sensibilisierung und Ausbildung im Rahmen der InfoSichh (siehe Abschnitt 10) für das IT-Personal rA und die IT-Anwender der DSt und se ie • Meldung von InfoSichhVork der DSt nach den Vorgaben des Abschnitts 8. D Im Falle unterschiedlicher Sichtweisen von InfoSich und Datenschutz liegt die abschließende Entscheidung bei dem bzw. der DStLtr. 74 448.       Der bzw. die bestellte ISBDSt muss dem bzw. der bestellenden DStLtr unterstellt            sein. 449.       Unter     Berücksichtigung        von     übergreifenden      wirtschaftlichen,   örtlichen        oder einsatzspezifischen Aspekten und im Einvernehmen mit den betroffenen DStLtr kann ein bzw. eine ISBDSt bestellt werden, der bzw. die für die Wahrnehmung der Aufgaben in mehreren DSt zuständig ist. Die Bestellung des bzw. der ISBDSt erfolgt in diesem Fall vom bzw. von der DStLtr der nächsten gemeinsam vorgesetzten DSt. Einzelheiten hierzu regeln die OrgBer. 74   In militärischen DSt truppendienstliche Unterstellung. Seite 58 Stand: März 2019

Informationssicherheit in den Anwendungsbereichen                     A-960/1 450.       In DSt mit umfangreicher oder komplexer fachspezifischer IT-Ausstattung oder DSt, die stark disloziert sind, können für Organisationseinheiten (z. B. Abteilung, Referat, Dezernat, Sachgebiet, Team) Informationssicherheitsgehilfen (InfoSichhGeh) des bzw. der ISBDSt bestellt werden. Sie arbeiten dem bzw. der ISBDSt in allen Belangen der InfoSichh zu und nehmen ihre Aufgaben (siehe Abschnitt 9.10) nebenamtlich wahr. Einzelheiten hierzu regeln die ISBOrgBer. 451.       Für IT, • die aus einem Projekt zur Beschaffung querschnittlicher IT stammt (siehe Nr. 414), • die keinem CPM-Projekt (siehe Abschnitt 4.4) bzw. Vorhaben gemäß der Abschnitte 4.2, 4.3 und 4.5 oder einer Sofortinitiative für den Einsatz (siehe Abschnitt 4.7) zuzuordnen ist oder • für die kein InfoSichhK vorliegt, aber in der DSt betrieben wird, sind die Informationsstruktur (siehe Abschnitt 2.1) und alle daraus resultierenden InfoSichh- st en Maßnahmen (ggf. auch InfoSichh-Anforderungen gemäß Anlage 11.2 und Anlage 11.3) im sd i InfoSichhKDSt zu dokumentieren (siehe Nr. 628) und umzusetzen. Umfang und Inhalt der zu ng ru erstellenden Anteile sind im Vorfeld und ggf. während der Erstellung mit dem zuständigen de Regionalzentrum des ZCSBw, bei IT gemäß Abschnitt 4.5 zudem mit CISO Infrastruktur, abzustimmen. Än m In diesen Fällen ist der bzw. die DStLtr auch für die Umsetzung und Gewährleistung der technischen de InfoSichh-Maßnahmen verantwortlich.                          ht ic Die IT ist gemäß Nr. 520 zu akkreditieren.                tn eg 452. rli Der bzw. die ADSB ist bei der Erstellung / Fortschreibung des InfoSichhKDSt zu beteiligen. te un 453.       Das IT-Personal ist durch den jeweils zuständigen bzw. die jeweils zuständige ISBDSt zur k uc 75 InfoSichh gemäß Anlage 11.2.8        dr      zu belehren und zu verpflichten. us Die IT-Anwender sowie das IT-Personal sind über die für die DSt geltenden InfoSichh-Bestimmungen rA se 75 gemäß Anlage 11.2.8 durch den bzw. die ISBDSt zu belehren. ie D 454.       Betreibt eine DSt IT, ist die DSt auch eine IT-BtrbEinr und der bzw. die DStLtr für die Durchführung des IT-Betriebes verantwortlich. Zu seiner bzw. ihrer Unterstützung bestellt der bzw. die 76 DStLtr einen ISBBtrb . Der bzw. die ISBBtrb arbeitet diesbezüglich mit dem bzw. der ISBDSt und den zuständigen ISBProj unter Beteiligung der betroffenen ISBBtrb anderer IT- Btrb(Fü)Einr zusammen. In diesem Fall ist der bzw. die DStLtr verantwortlich für die • Gewährleistung der betrieblichen InfoSichh in der DSt nach Freigabe der IT durch den jeweiligen bzw. die jeweilige Ltr IPT / ProjLtr (siehe Abschnitt 5.6.2), • Umsetzung          der    für   den        IT-Betrieb   relevanten   technischen   InfoSichh-Maßnahmen   der InfoSichhKProj, 75   Insbesondere die Anlage 11.2.8 lfdNr. 26 (z.B. Cyber Hygiene Check Up) ist zu beachten. 76   In IT-BtrbEinr kann der bzw. die ISBBtrb in Personalunion mit dem bzw. der ISBDSt der betreibenden DSt bestellt werden. Seite 59 Stand: März 2019

A-960/1                    Informationssicherheit in den Anwendungsbereichen • Festlegung ggf. abweichender oder zusätzlicher und konkretisierender technischer InfoSichh- Anforderungen und -Maßnahmen, die dem bzw. der Ltr IPT / ProjLtr mitzuteilen und mit der Fortschreibung des InfoSichhKProj zu bestätigen sind, • Unterstützung aller mit Inspektions-, Kontroll- und Prüfaufgaben beauftragten Stellen und für Bereitstellung der ggf. erforderlichen Zugangs- / Zugriffsberechtigungen sowie • Durchführung von Notfallübungen für IT in seiner bzw. ihrer Zuständigkeit (Richtwert: alle 2 Jahre). 4.9        Einsatzkontingente und Einsatzstandorte (E) 455.       EinsKtgt umfassen auch Kontingente im Einsatzgebiet, Schiffe und Boote sowie vergleichbare Organisationseinheiten der Bw. Weitere Detaillierungen legt das EinsFüKdoBw fest. 456.       Zur Herstellung, Überwachung, Gewährleistung und Wiederherstellung der InfoSichh bei st Einsätzen gelten grundsätzlich die Vorgaben dieser Zentralen Dienstvorschrift. Besonderheiten können en sich ergeben aufgrund                                                      sd i ng • unterschiedlicher Verfahren und Mittel zur Informationsverarbeitung und -übertragung in der NATO, ru de in der EU, in anderen Nationen und in sonstigen überstaatlichen Organisationen sowie aufgrund Än organisationsbereichsspezifischer Anwendungen,           m de • der geografischen sowie klimatischen Bedingungen im Einsatzgebiet, ht ic • der Mitnutzung von angemieteten kommerziellen Übertragungswegen zwischen Inland und tn eg Einsatzgebiet sowie innerhalb des Einsatzgebietes, rli • der Mitnutzung von offenen Übertragungswegen zum Zwecke der Truppenbetreuung (z. B. te un Übergänge in öffentliche Netze der Bundesrepublik Deutschland bzw. in das öffentliche Netz im k uc Einsatzgebiet) und             dr us • der spezifischen Gefährdungssituation des jeweiligen Einsatzes, z. B. durch gegnerische rA Informationsoperationen. se ie 457. D Im Einsatzgebiet kommen IT und IT in Waffensystemen zum Einsatz, für die bereits gültige InfoSichhKProj (siehe Abschnitt 6.3.2) vorliegen. Eine Anpassung der InfoSichhKDSt (siehe Abschnitt 6.3.3) an die örtlichen Gegebenheiten ist in der Regel erforderlich. Bereits im Vorfeld von 77 Einsätzen müssen daher nach Möglichkeit die InfoSichhKDSt einsatzbezogen adaptiert werden . Bei Kontingentwechsel ist das vorhandene (standort- bzw. einsatzbezogene) InfoSichhK zu prüfen und ggf. fortzuschreiben. 458.       Bei   Abweichungen     gegenüber     den   InfoSichhKProj    für   die   im   EinsStO / EinsKtgt genutzte / betriebene IT in Bezug auf die Umsetzung von Vorgaben bzw. das Einsatzszenario ist die DEUmilSAA zu unterrichten. Eine Entscheidung der DEUmilSAA zur Akkreditierung dieser IT erfolgt im Einzelfall auf Basis einer Risikobewertung (siehe Nr. 462). 77   In Abhängigkeit von den örtlichen Gegebenheiten zu einem standortbezogenen InfoSichhk. Seite 60 Stand: März 2019

Informationssicherheit in den Anwendungsbereichen                           A-960/1 459.        Beim EinsFüKdoBw sind durch dessen Befehlshaber bzw. Befehlshaberin ein bzw. eine ISBEinsatz und ein Stellvertreter bzw. eine Stellvertreterin (stv. ISBEinsatz) gemäß Abschnitt 5.7 zu 78 bestellen . Die Aufgaben des bzw. der ISBEinsatz sind im Abschnitt 9.3 beschrieben. 79 460.        Änderungen der InfoSichh-Maßnahmen            sind im Einzelfall, aufgrund der Besonderheiten des Einsatzes, durch den Kontingentführer bzw. die Kontingentführerin (KtgtFhr) bzw. den Kommandeur bzw. die Kommandeurin (Kdr) EinsStO zu bewerten und in Abstimmung mit dem EinsFüKdoBw (ISBEinsatz) festzulegen und in den entsprechend adaptierten InfoSichhKDSt zu dokumentieren. Gleiches gilt für die Kommunikation zwischen der Bundesrepublik Deutschland und dem Einsatzgebiet. Entsprechende Regelungen trifft das EinsFüKdoBw. 461.        Der bzw. die KtgtFhr oder Kdr EinsStO • ist verantwortlich für die InfoSichh inkl. IT-RM im EinsKtgt / EinsStO. Diese Verantwortung verbleibt st en auch mit der Bestellung eines bzw. einer ISB i.E. (ISB DEUEinsKtgt bzw. ISB EinsStO) bei ihm bzw. sd i ihr,                                                               ng • bestellt einen bzw. eine ISB i.E. (ISB DEUEinsKtgt bzw. ISB EinsStO) zur Unterstützung (siehe dazu ru de Abschnitt 5.7 „Bestellung“ und Abschnitt 9.7 „Aufgabenbeschreibung“), der dem bzw. der ISBEinsatz Än m fachlich unterstellt ist und ihn bzw. sie in allen Belangen der InfoSichh im Einsatz berät, de • setzt das bzgl. einsatzspezifischer Belange fortgeschriebene InfoSichhKDSt (siehe Abschnitt 6.3.3) ht in Kraft, ic tn eg • erteilt die Freigabe zur Nutzung für die in seinem bzw. ihrem EinsKtgt / EinsStO genutzte bzw. rli te betriebene IT in Form der operationellen Freigabe gemäß Abschnitt 5.6.3 (vor Beginn der ersten un Nutzung) oder als Freigabe in der Nutzung gemäß Abschnitt 5.6.4 (wenn IT in der Nutzung durch k uc den bzw. die Ltr IPT / ProjLtr erneut freigegeben wurde) oder als vorläufige Freigabe gemäß dr us Abschnitt 5.6.5 (in dringenden Fällen nach einer Risikobewertung), rA • unterstützt das ZCSBw bei der Durchführung von InfoSichhIn (siehe Abschnitt 7.2), InfoSichhPrfg se ie (siehe Abschnitt 7.4) und bei der Einbringung von Sensoren zur Erfassung der InfoSichh-Lage sowie D • veranlasst InfoSichhKtr (siehe Abschnitt 7.3) im eigenen bzw. nachgeordneten Bereich. 462.        Weiterhin ist der bzw. die KtgtFhr / Kdr EinsStO verantwortlich für die • Fortschreibung des InfoSichhKDSt (siehe Abschnitt 6.3.3.3) bzgl. der Einsatzbelange, • Herstellung bzw. Wiederherstellung der InfoSichh durch Umsetzung bzw. Gewährleistung aller personellen, infrastrukturellen, organisatorischen und der für den IT-Betrieb relevanten technischen InfoSichh-Maßnahmen aus den InfoSichhKProj für die in seinem bzw. ihrem EinsStO / EinsKtgt 78   Siehe Fußnote 47. 79   Gilt für organisatorische, personelle, infrastrukturelle sowie die für den IT-Betrieb relevanten technischen InfoSichh-Maßnahmen, sofern die Betriebsverantwortung nicht bei einem Dritten liegt. Liegt die Betriebsverantwortung bei einem Dritten gemäß Abschnitt 4 (z. B. BWI), ist eine Abstimmung herbeizuführen. Sind technische InfoSichh-Maßnahmen betroffen, ist eine Abstimmung mit dem bzw. der jeweils verantwortlichen Ltr IPT / ProjLtr herbeizuführen. Seite 61 Stand: März 2019

A-960/1                     Informationssicherheit in den Anwendungsbereichen genutzte / betriebene IT (sind zur Umsetzung Baumaßnahmen erforderlich, so ist nach der Bereichsvorschrift C1-1810/0-6000 VS-NfD (siehe Bezug Anlage 11.15 (lfdNr. 24)) und der Bereichsdienstvorschrift      C-1800/121      „Infrastrukturbearbeitung“    (siehe   Bezug   Anlage 11.15 (lfdNr. 25)) zu verfahren), • Festlegung ggf. zusätzlicher und konkretisierender technischer InfoSichh-Anforderungen und - Maßnahmen, die vom bzw. von der Ltr IPT / ProjLtr bei der Fortschreibung des betroffenen InfoSichhKProj zu bestätigen sind, • Erstellung einer Risikobewertung, sofern bei den Maßnahmen Abweichungen gegenüber dem InfoSichhKProj     erforderlich   sind    oder    die    in   seinem   bzw.    ihrem    EinsStO / EinsKtgt genutzte / betriebene IT außerhalb des im InfoSichhKProj beschriebenen Einsatzszenarios betrieben wird. Diese Risikobewertung ist über die bzw. den Ltr IPT / ProjLtr an die DEUmilSAA zwecks Entscheidung bzgl. der Akkreditierung dieser IT weiterzuleiten,          st en • Maßnahmen zur IT-Notfallvorsorge am EinsStO nach den Vorgaben des Risikomanagers bzw. der sd i Risikomanagerin im EinsFüKdoBw bzw. nach operationellen Vorgaben,      ng ru • Sensibilisierung im Rahmen der InfoSichh (siehe Abschnitt 10.2) für das IT-Personal und die IT- de Anwender seines bzw. ihres EinsKtgt / EinsStO und               Än m • Meldung von InfoSichhVork des EinsKtgt / EinsStO nach den Vorgaben des Abschnitts 8. de 463. ht Das IT-Personal ist durch den jeweils zuständigen bzw. die jeweils zuständige ISB i.E. zur ic tn InfoSichh gemäß Anlage 11.2.8 zu belehren und zu verpflichten. eg rli Die IT-Anwender sowie das IT-Personal sind über die für das EinsKtgt / den EinsStO geltenden te un InfoSichh-Bestimmungen gemäß Anlage 11.2.8 durch den bzw. die ISB i.E. zu belehren. k uc 464.       Sofern der EinsStO bzw. das EinsKtgt über ein NOC i.E. verfügt, beauftragt der bzw. die dr us KtgtFhr / Kdr EinsStO einen Leiter bzw. eine Leiterin NOC i.E. (Ltr NOC i.E.) mit der Durchführung von rA IT-Betriebsaufgaben. Zu seiner bzw. ihrer Unterstützung bestellt der bzw. die KtgtFhr / Kdr EinsStO se ie                 80 einen bzw. eine ISBBtrb für die NOC i.E. D 465.       Der bzw. die Ltr NOC i.E. • ist – nach Freigabe der IT durch den jeweiligen bzw. die jeweilige Ltr IPT / ProjLtr und KtgtFhr / Kdr EinsStO (siehe Abschnitt 5.6.2 und 5.6.3) – für die Gewährleistung der für den IT-Betrieb relevanten technischen InfoSichh aller nutzenden EinsStO verantwortlich, • arbeitet mit dem oder den zuständigen ISBProj unter Beteiligung der betroffenen ISBBtrb zusammen, • meldet technische Mängel der InfoSichh auf dem Dienstweg an den bzw. die ISBEinsatz sowie dem bzw. der zuständigen Ltr IPT / ProjLtr, 80   Der bzw. die ISBBtrb kann in Personalunion mit dem bzw. der ISB i.E. bestellt werden. Seite 62 Stand: März 2019