A-960/1                      Informationssicherheit in den Anwendungsbereichen • erteilt die Freigabe zur Nutzung für die in der DSt genutzte bzw. betriebene IT in Form der operationellen Freigabe gemäß Abschnitt 5.6.3 (vor Beginn der ersten Nutzung) oder als Freigabe in der Nutzung gemäß Abschnitt 5.6.4 ( wenn IT in der Nutzung durch den bzw. die Ltr IPT / ProjLtr erneut freigegeben wurde) oder als vorläufige Freigabe gemäß Abschnitt 5.6.5 (in dringenden Fällen nach einer Risikobewertung), • beantragt ggf. notwendige Akkreditierungen (siehe Nrn. 520 und 530) bzw. Re-Akkreditierungen (siehe Abschnitt 5.5.8), • unterstützt das ZCSBw bei der Durchführung von InfoSichhIn (siehe Abschnitt 7.2), InfoSichhPrfg (siehe Abschnitt 7.4) und bei der Einbringung von Sensoren zur Erfassung der InfoSichh-Lage sowie • veranlasst InfoSichhKtr (siehe Abschnitt 7.3) zur Überwachung der InfoSichh in der eigenen bzw. in nachgeordneten DSt. Weiterhin ist der bzw. die DStLtr verantwortlich für die                            st en • Erstellung und Fortschreibung des InfoSichhKDSt (siehe Abschnitt 6.3.3), sd i ng • Herstellung, Gewährleistung und ggf. Wiederherstellung der InfoSichh durch Umsetzung bzw. ru de Gewährleistung aller personellen, infrastrukturellen und organisatorischen InfoSichh-Maßnahmen Än aus den InfoSichhKProj für die DSt (sind zur Umsetzung Baumaßnahmen erforderlich, so ist nach m de der Bereichsvorschrift C1-1810/0-6000 VS-NfD (siehe Bezug Anlage 11.15 (lfdNr. 24)) und der ht Bereichsdienstvorschrift       C-1800/121                ic „Infrastrukturbearbeitung“   (siehe   Bezug   Anlage 11.15 tn (lfdNr. 25)), zu verfahren),                    eg rli • Meldung technischer Mängel der InfoSichh auf dem Dienstweg an den bzw. die Ltr IPT / ProjLtr, te un • Maßnahmen zur IT-Notfallvorsorge in seiner bzw. ihrer DSt gem. Notfallmanagementkonzept bzw. k uc Notfallhandbuch der Liegenschaft (siehe Nr. 128) und nach den Vorgaben des BtrbZ IT-SysBw, dr us • Sensibilisierung und Ausbildung im Rahmen der InfoSichh (siehe Abschnitt 10) für das IT-Personal rA und die IT-Anwender der DSt und se ie • Meldung von InfoSichhVork der DSt nach den Vorgaben des Abschnitts 8. D Im Falle unterschiedlicher Sichtweisen von InfoSich und Datenschutz liegt die abschließende Entscheidung bei dem bzw. der DStLtr. 74 448.       Der bzw. die bestellte ISBDSt muss dem bzw. der bestellenden DStLtr unterstellt            sein. 449.       Unter     Berücksichtigung        von     übergreifenden      wirtschaftlichen,   örtlichen        oder einsatzspezifischen Aspekten und im Einvernehmen mit den betroffenen DStLtr kann ein bzw. eine ISBDSt bestellt werden, der bzw. die für die Wahrnehmung der Aufgaben in mehreren DSt zuständig ist. Die Bestellung des bzw. der ISBDSt erfolgt in diesem Fall vom bzw. von der DStLtr der nächsten gemeinsam vorgesetzten DSt. Einzelheiten hierzu regeln die OrgBer. 74   In militärischen DSt truppendienstliche Unterstellung. Seite 58 Stand: März 2019

Informationssicherheit in den Anwendungsbereichen                     A-960/1 450.       In DSt mit umfangreicher oder komplexer fachspezifischer IT-Ausstattung oder DSt, die stark disloziert sind, können für Organisationseinheiten (z. B. Abteilung, Referat, Dezernat, Sachgebiet, Team) Informationssicherheitsgehilfen (InfoSichhGeh) des bzw. der ISBDSt bestellt werden. Sie arbeiten dem bzw. der ISBDSt in allen Belangen der InfoSichh zu und nehmen ihre Aufgaben (siehe Abschnitt 9.10) nebenamtlich wahr. Einzelheiten hierzu regeln die ISBOrgBer. 451.       Für IT, • die aus einem Projekt zur Beschaffung querschnittlicher IT stammt (siehe Nr. 414), • die keinem CPM-Projekt (siehe Abschnitt 4.4) bzw. Vorhaben gemäß der Abschnitte 4.2, 4.3 und 4.5 oder einer Sofortinitiative für den Einsatz (siehe Abschnitt 4.7) zuzuordnen ist oder • für die kein InfoSichhK vorliegt, aber in der DSt betrieben wird, sind die Informationsstruktur (siehe Abschnitt 2.1) und alle daraus resultierenden InfoSichh- st en Maßnahmen (ggf. auch InfoSichh-Anforderungen gemäß Anlage 11.2 und Anlage 11.3) im sd i InfoSichhKDSt zu dokumentieren (siehe Nr. 628) und umzusetzen. Umfang und Inhalt der zu ng ru erstellenden Anteile sind im Vorfeld und ggf. während der Erstellung mit dem zuständigen de Regionalzentrum des ZCSBw, bei IT gemäß Abschnitt 4.5 zudem mit CISO Infrastruktur, abzustimmen. Än m In diesen Fällen ist der bzw. die DStLtr auch für die Umsetzung und Gewährleistung der technischen de InfoSichh-Maßnahmen verantwortlich.                          ht ic Die IT ist gemäß Nr. 520 zu akkreditieren.                tn eg 452. rli Der bzw. die ADSB ist bei der Erstellung / Fortschreibung des InfoSichhKDSt zu beteiligen. te un 453.       Das IT-Personal ist durch den jeweils zuständigen bzw. die jeweils zuständige ISBDSt zur k uc 75 InfoSichh gemäß Anlage 11.2.8        dr      zu belehren und zu verpflichten. us Die IT-Anwender sowie das IT-Personal sind über die für die DSt geltenden InfoSichh-Bestimmungen rA se 75 gemäß Anlage 11.2.8 durch den bzw. die ISBDSt zu belehren. ie D 454.       Betreibt eine DSt IT, ist die DSt auch eine IT-BtrbEinr und der bzw. die DStLtr für die Durchführung des IT-Betriebes verantwortlich. Zu seiner bzw. ihrer Unterstützung bestellt der bzw. die 76 DStLtr einen ISBBtrb . Der bzw. die ISBBtrb arbeitet diesbezüglich mit dem bzw. der ISBDSt und den zuständigen ISBProj unter Beteiligung der betroffenen ISBBtrb anderer IT- Btrb(Fü)Einr zusammen. In diesem Fall ist der bzw. die DStLtr verantwortlich für die • Gewährleistung der betrieblichen InfoSichh in der DSt nach Freigabe der IT durch den jeweiligen bzw. die jeweilige Ltr IPT / ProjLtr (siehe Abschnitt 5.6.2), • Umsetzung          der    für   den        IT-Betrieb   relevanten   technischen   InfoSichh-Maßnahmen   der InfoSichhKProj, 75   Insbesondere die Anlage 11.2.8 lfdNr. 26 (z.B. Cyber Hygiene Check Up) ist zu beachten. 76   In IT-BtrbEinr kann der bzw. die ISBBtrb in Personalunion mit dem bzw. der ISBDSt der betreibenden DSt bestellt werden. Seite 59 Stand: März 2019

A-960/1                    Informationssicherheit in den Anwendungsbereichen • Festlegung ggf. abweichender oder zusätzlicher und konkretisierender technischer InfoSichh- Anforderungen und -Maßnahmen, die dem bzw. der Ltr IPT / ProjLtr mitzuteilen und mit der Fortschreibung des InfoSichhKProj zu bestätigen sind, • Unterstützung aller mit Inspektions-, Kontroll- und Prüfaufgaben beauftragten Stellen und für Bereitstellung der ggf. erforderlichen Zugangs- / Zugriffsberechtigungen sowie • Durchführung von Notfallübungen für IT in seiner bzw. ihrer Zuständigkeit (Richtwert: alle 2 Jahre). 4.9        Einsatzkontingente und Einsatzstandorte (E) 455.       EinsKtgt umfassen auch Kontingente im Einsatzgebiet, Schiffe und Boote sowie vergleichbare Organisationseinheiten der Bw. Weitere Detaillierungen legt das EinsFüKdoBw fest. 456.       Zur Herstellung, Überwachung, Gewährleistung und Wiederherstellung der InfoSichh bei st Einsätzen gelten grundsätzlich die Vorgaben dieser Zentralen Dienstvorschrift. Besonderheiten können en sich ergeben aufgrund                                                      sd i ng • unterschiedlicher Verfahren und Mittel zur Informationsverarbeitung und -übertragung in der NATO, ru de in der EU, in anderen Nationen und in sonstigen überstaatlichen Organisationen sowie aufgrund Än organisationsbereichsspezifischer Anwendungen,           m de • der geografischen sowie klimatischen Bedingungen im Einsatzgebiet, ht ic • der Mitnutzung von angemieteten kommerziellen Übertragungswegen zwischen Inland und tn eg Einsatzgebiet sowie innerhalb des Einsatzgebietes, rli • der Mitnutzung von offenen Übertragungswegen zum Zwecke der Truppenbetreuung (z. B. te un Übergänge in öffentliche Netze der Bundesrepublik Deutschland bzw. in das öffentliche Netz im k uc Einsatzgebiet) und             dr us • der spezifischen Gefährdungssituation des jeweiligen Einsatzes, z. B. durch gegnerische rA Informationsoperationen. se ie 457. D Im Einsatzgebiet kommen IT und IT in Waffensystemen zum Einsatz, für die bereits gültige InfoSichhKProj (siehe Abschnitt 6.3.2) vorliegen. Eine Anpassung der InfoSichhKDSt (siehe Abschnitt 6.3.3) an die örtlichen Gegebenheiten ist in der Regel erforderlich. Bereits im Vorfeld von 77 Einsätzen müssen daher nach Möglichkeit die InfoSichhKDSt einsatzbezogen adaptiert werden . Bei Kontingentwechsel ist das vorhandene (standort- bzw. einsatzbezogene) InfoSichhK zu prüfen und ggf. fortzuschreiben. 458.       Bei   Abweichungen     gegenüber     den   InfoSichhKProj    für   die   im   EinsStO / EinsKtgt genutzte / betriebene IT in Bezug auf die Umsetzung von Vorgaben bzw. das Einsatzszenario ist die DEUmilSAA zu unterrichten. Eine Entscheidung der DEUmilSAA zur Akkreditierung dieser IT erfolgt im Einzelfall auf Basis einer Risikobewertung (siehe Nr. 462). 77   In Abhängigkeit von den örtlichen Gegebenheiten zu einem standortbezogenen InfoSichhk. Seite 60 Stand: März 2019

Informationssicherheit in den Anwendungsbereichen                           A-960/1 459.        Beim EinsFüKdoBw sind durch dessen Befehlshaber bzw. Befehlshaberin ein bzw. eine ISBEinsatz und ein Stellvertreter bzw. eine Stellvertreterin (stv. ISBEinsatz) gemäß Abschnitt 5.7 zu 78 bestellen . Die Aufgaben des bzw. der ISBEinsatz sind im Abschnitt 9.3 beschrieben. 79 460.        Änderungen der InfoSichh-Maßnahmen            sind im Einzelfall, aufgrund der Besonderheiten des Einsatzes, durch den Kontingentführer bzw. die Kontingentführerin (KtgtFhr) bzw. den Kommandeur bzw. die Kommandeurin (Kdr) EinsStO zu bewerten und in Abstimmung mit dem EinsFüKdoBw (ISBEinsatz) festzulegen und in den entsprechend adaptierten InfoSichhKDSt zu dokumentieren. Gleiches gilt für die Kommunikation zwischen der Bundesrepublik Deutschland und dem Einsatzgebiet. Entsprechende Regelungen trifft das EinsFüKdoBw. 461.        Der bzw. die KtgtFhr oder Kdr EinsStO • ist verantwortlich für die InfoSichh inkl. IT-RM im EinsKtgt / EinsStO. Diese Verantwortung verbleibt st en auch mit der Bestellung eines bzw. einer ISB i.E. (ISB DEUEinsKtgt bzw. ISB EinsStO) bei ihm bzw. sd i ihr,                                                               ng • bestellt einen bzw. eine ISB i.E. (ISB DEUEinsKtgt bzw. ISB EinsStO) zur Unterstützung (siehe dazu ru de Abschnitt 5.7 „Bestellung“ und Abschnitt 9.7 „Aufgabenbeschreibung“), der dem bzw. der ISBEinsatz Än m fachlich unterstellt ist und ihn bzw. sie in allen Belangen der InfoSichh im Einsatz berät, de • setzt das bzgl. einsatzspezifischer Belange fortgeschriebene InfoSichhKDSt (siehe Abschnitt 6.3.3) ht in Kraft, ic tn eg • erteilt die Freigabe zur Nutzung für die in seinem bzw. ihrem EinsKtgt / EinsStO genutzte bzw. rli te betriebene IT in Form der operationellen Freigabe gemäß Abschnitt 5.6.3 (vor Beginn der ersten un Nutzung) oder als Freigabe in der Nutzung gemäß Abschnitt 5.6.4 (wenn IT in der Nutzung durch k uc den bzw. die Ltr IPT / ProjLtr erneut freigegeben wurde) oder als vorläufige Freigabe gemäß dr us Abschnitt 5.6.5 (in dringenden Fällen nach einer Risikobewertung), rA • unterstützt das ZCSBw bei der Durchführung von InfoSichhIn (siehe Abschnitt 7.2), InfoSichhPrfg se ie (siehe Abschnitt 7.4) und bei der Einbringung von Sensoren zur Erfassung der InfoSichh-Lage sowie D • veranlasst InfoSichhKtr (siehe Abschnitt 7.3) im eigenen bzw. nachgeordneten Bereich. 462.        Weiterhin ist der bzw. die KtgtFhr / Kdr EinsStO verantwortlich für die • Fortschreibung des InfoSichhKDSt (siehe Abschnitt 6.3.3.3) bzgl. der Einsatzbelange, • Herstellung bzw. Wiederherstellung der InfoSichh durch Umsetzung bzw. Gewährleistung aller personellen, infrastrukturellen, organisatorischen und der für den IT-Betrieb relevanten technischen InfoSichh-Maßnahmen aus den InfoSichhKProj für die in seinem bzw. ihrem EinsStO / EinsKtgt 78   Siehe Fußnote 47. 79   Gilt für organisatorische, personelle, infrastrukturelle sowie die für den IT-Betrieb relevanten technischen InfoSichh-Maßnahmen, sofern die Betriebsverantwortung nicht bei einem Dritten liegt. Liegt die Betriebsverantwortung bei einem Dritten gemäß Abschnitt 4 (z. B. BWI), ist eine Abstimmung herbeizuführen. Sind technische InfoSichh-Maßnahmen betroffen, ist eine Abstimmung mit dem bzw. der jeweils verantwortlichen Ltr IPT / ProjLtr herbeizuführen. Seite 61 Stand: März 2019

A-960/1                     Informationssicherheit in den Anwendungsbereichen genutzte / betriebene IT (sind zur Umsetzung Baumaßnahmen erforderlich, so ist nach der Bereichsvorschrift C1-1810/0-6000 VS-NfD (siehe Bezug Anlage 11.15 (lfdNr. 24)) und der Bereichsdienstvorschrift      C-1800/121      „Infrastrukturbearbeitung“    (siehe   Bezug   Anlage 11.15 (lfdNr. 25)) zu verfahren), • Festlegung ggf. zusätzlicher und konkretisierender technischer InfoSichh-Anforderungen und - Maßnahmen, die vom bzw. von der Ltr IPT / ProjLtr bei der Fortschreibung des betroffenen InfoSichhKProj zu bestätigen sind, • Erstellung einer Risikobewertung, sofern bei den Maßnahmen Abweichungen gegenüber dem InfoSichhKProj     erforderlich   sind    oder    die    in   seinem   bzw.    ihrem    EinsStO / EinsKtgt genutzte / betriebene IT außerhalb des im InfoSichhKProj beschriebenen Einsatzszenarios betrieben wird. Diese Risikobewertung ist über die bzw. den Ltr IPT / ProjLtr an die DEUmilSAA zwecks Entscheidung bzgl. der Akkreditierung dieser IT weiterzuleiten,          st en • Maßnahmen zur IT-Notfallvorsorge am EinsStO nach den Vorgaben des Risikomanagers bzw. der sd i Risikomanagerin im EinsFüKdoBw bzw. nach operationellen Vorgaben,      ng ru • Sensibilisierung im Rahmen der InfoSichh (siehe Abschnitt 10.2) für das IT-Personal und die IT- de Anwender seines bzw. ihres EinsKtgt / EinsStO und               Än m • Meldung von InfoSichhVork des EinsKtgt / EinsStO nach den Vorgaben des Abschnitts 8. de 463. ht Das IT-Personal ist durch den jeweils zuständigen bzw. die jeweils zuständige ISB i.E. zur ic tn InfoSichh gemäß Anlage 11.2.8 zu belehren und zu verpflichten. eg rli Die IT-Anwender sowie das IT-Personal sind über die für das EinsKtgt / den EinsStO geltenden te un InfoSichh-Bestimmungen gemäß Anlage 11.2.8 durch den bzw. die ISB i.E. zu belehren. k uc 464.       Sofern der EinsStO bzw. das EinsKtgt über ein NOC i.E. verfügt, beauftragt der bzw. die dr us KtgtFhr / Kdr EinsStO einen Leiter bzw. eine Leiterin NOC i.E. (Ltr NOC i.E.) mit der Durchführung von rA IT-Betriebsaufgaben. Zu seiner bzw. ihrer Unterstützung bestellt der bzw. die KtgtFhr / Kdr EinsStO se ie                 80 einen bzw. eine ISBBtrb für die NOC i.E. D 465.       Der bzw. die Ltr NOC i.E. • ist – nach Freigabe der IT durch den jeweiligen bzw. die jeweilige Ltr IPT / ProjLtr und KtgtFhr / Kdr EinsStO (siehe Abschnitt 5.6.2 und 5.6.3) – für die Gewährleistung der für den IT-Betrieb relevanten technischen InfoSichh aller nutzenden EinsStO verantwortlich, • arbeitet mit dem oder den zuständigen ISBProj unter Beteiligung der betroffenen ISBBtrb zusammen, • meldet technische Mängel der InfoSichh auf dem Dienstweg an den bzw. die ISBEinsatz sowie dem bzw. der zuständigen Ltr IPT / ProjLtr, 80   Der bzw. die ISBBtrb kann in Personalunion mit dem bzw. der ISB i.E. bestellt werden. Seite 62 Stand: März 2019

Informationssicherheit in den Anwendungsbereichen                     A-960/1 • unterstützt alle mit Inspektions-, Kontroll- und Prüfaufgaben beauftragten Stellen und sorgt für die Bereitstellung der ggf. erforderlichen Zugangs- / Zugriffsberechtigungen und • trifft Maßnahmen zur IT-Notfallvorsorge im NOC i.E., macht Vorgaben zur IT-Notfallvorsorge auf Basis der Vorgaben des Risikomanagers bzw. der Risikomanagerin im EinsFüKdoBw oder des bzw. der KtgtFhr / Kdr EinsStO für die nutzenden EinsStO sowie operationeller Vorgaben und führt Notfallübungen für IT in seiner bzw. ihrer Zuständigkeit durch (Richtwert: einmal pro Kontingent). 466.       Unter Berücksichtigung von übergreifenden, wirtschaftlichen und örtlichen Aspekten und im Einvernehmen mit den betroffenen DStLtr kann ein bzw. eine ISB i.E. bestellt werden, der bzw. die für die Wahrnehmung der Aufgaben in mehreren EinsStO zuständig ist. Die Bestellung des bzw. der ISB i. E. erfolgt in diesem Fall vom bzw. von der KtgtFhr des EinsKtgt. Eine mögliche Personalunion des bzw. der ISB i.E. mit dem bzw. der ISBBtrb (siehe Nr. 464) ist hierbei zu beachten. Einzelheiten regelt ISBEinsatz.                                                                  st en sd i 4.10       Übungen (Ü)                                               ng ru 467.                                                            de Voraussetzung für die Teilnahme einer DSt an nationalen oder internationalen Übungen     81 mit Än ihrer IT ist ein Informationssicherheitsbefehl (InfoSichhBef, siehe Abschnitt 6.3.5). Das nationale m de übungskoordinierende Kommando regelt die Zuständigkeit für die Bestellung des ISB Übung (ISBÜb) ht und die Erstellung des InfoSichhBef. Der InfoSichhBef muss die Bestellung eines bzw. einer ISBÜb ic tn (dieser bzw. diese kann in Personalunion mit dem bzw. der ISBDSt der übungsleitenden DSt bestellt eg rli werden) berücksichtigen. Der InfoSichhBef ist gemäß Nr. 645 durch die DEUmilSAA mitzeichnen zu te lassen.                                un k 468. uc Sollen während der Übung PersDat verarbeitet werden, ist der bzw. die ADSB der für die dr us Übung verantwortlichen DSt bei der Erstellung des InfoSichhBef zu beteiligen. Die Regelungen zur rA Akkreditierung (siehe Abschnitt 5.5) finden auch bei Übungen Anwendung (siehe Nr. 530). se ie D 81   Vergleiche A-229/2 VS-NfD „Übungswesen der Bundeswehr“ (siehe Anlage 11.15 (lfdNr. 62)). Seite 63 Stand: März 2019

A-960/1                             Informationssicherheitsverfahren 5          Informationssicherheitsverfahren 5.1        Evaluierung von Informationssicherheits-Produkten 501.       Eine Evaluierung ist eine formale Prüfung mit Bewertung eines InfoSichh-Produktes durch eine vom Bundesamt für Sicherheit in der Informationstechnik (BSI) anerkannte Prüfstelle. Ziel der Evaluierung ist die Feststellung, ob das Produkt die in den „Sicherheitszielen“ (sogenannten Security Targets) vorgegebenen Sicherheitseigenschaften und damit das erwartete Vertrauen in die Wirksamkeit der implementierten InfoSichh-Funktionen erfüllt. Die Evaluierung von InfoSichh-Produkten erfolgt nach international anerkannten Kriterien (z. B. nach den „Common Criteria“ (CC, siehe http://www.commoncriteriaportal.org) oder in bestimmten Ausnahmefällen den „Information Technology Security Evaluation Criteria“ (ITSEC)). st en Nach erfolgreicher Evaluierung wird dem Produkt die entsprechende Sicherheitseigenschaft sd i ng bescheinigt. Eine darüber hinaus gehende formelle Bestätigung von Sicherheitseigenschaften wird im ru Rahmen einer Zertifizierung (siehe Abschnitt 5.2) oder einer Zulassung (siehe Abschnitt 5.3) erteilt. de Än 502.       Das Prüfzentrum für IT-Sicherheit in der Bundeswehr (PZITSichhBw bei der Wehrtechnischen m de Dienststelle 81 (WTD 81)) ist eine vom BSI anerkannte Prüfstelle und kann neben weiteren, vom BSI ht anerkannten kommerziellen Prüfstellen Evaluierungen für den GB BMVg durchführen. ic tn eg 5.2        Zertifizierung von Informationssicherheits-Produkten rli te 503. un Die Zertifizierung von InfoSichh-Produkten ist ein international harmonisiertes Verfahren für k uc die formelle Bestätigung von Evaluierungsergebnissen (Zertifikat; zur Evaluierung siehe Abschnitt 5.1). dr us Zur Evaluierung mit dem Ziel einer Zertifizierung (z. B. nach „Common Criteria“ (CC)), siehe rA Abschnitt 5.1.             se ie 504.                    D Für die Bundesrepublik Deutschland erteilt ausschließlich das BSI entsprechende Zertifikate. Die Bundesrepublik Deutschland hat sich aber im Rahmen des sogenannten „Common Criteria Mutual Recognition Agreement (CC-MRA)“ verpflichtet, Zertifikate anderer Nationen / Länder in Deutschland (Ausnahmebereich: nationale Sicherheit, z. B. Schutz von VS) anzuerkennen. Dadurch wird die Mehrfach-Zertifizierung des gleichen Produktes in verschiedenen Staaten vermieden, wenn die Zertifikate auf ITSEC oder CC beruhen. 5.3        Zulassung von Informationssicherheits-Produkten 5.3.1      Allgemeines 505.       Die Zulassung ist eine formale Genehmigung für die Verwendung von InfoSichh-Produkten zur Verarbeitung und Übertragung von staatlich geschützten Verschlusssachen (VS, siehe Nr. 202). Seite 64 Stand: März 2019

Informationssicherheitsverfahren                                A-960/1 506.     Für die Verarbeitung und / oder Übertragung von VS ist die Verwendung zugelassener InfoSichh-Produkte im GB BMVg verbindlich (siehe auch Abschnitt 5.3.4). 5.3.2    Zuständigkeiten 507.     Die nationale Zulassungsbehörde für InfoSichh-Produkte in Deutschland ist das BSI. Zulassungsbehörde für InfoSichh-Produkte der NATO ist das „NATO Military Committee (NAMILCOM)“ mit der „Military Committee Communication and Information Systems Security and Evaluation Agency (SECAN)“ als zuständige Evaluierungsstelle. Die Zulassungsbehörde für InfoSichh-Produkte der EU ist das „EU Infosec Office“. Die Evaluierungen werden von den Sicherheitsbehörden bestimmter hierfür durch das EU Infosec Office autorisierter EU-Mitgliedstaaten durchgeführt bzw. veranlasst. 508.     Zulassungen von InfoSichh-Produkten, mit denen amtlich als Verschlusssache eingestufte st bzw. geheim zu haltende Informationen verarbeitet oder übertragen werden können, werden in en Deutschland durch das BSI erteilt. Dies kann z.B. in Form einer allgemeinen Zulassung oder einer sd i ng Freigabeempfehlung geschehen (zu den Begriffsbestimmungen siehe Anlage 11.11). Dem BMVg bleibt ru de es gemäß Begründung zum BSI-Gesetz (siehe Bezug Anlage 11.15 (lfdNr. 7)) unbenommen, für seinen Än GB für die Verarbeitung und Übertragung von Informationen eigene informationstechnische m Sicherheitsvorkehrungen zu ergreifen bzw. Systeme oder Komponenten zu entwickeln, zu prüfen, zu de bewerten und zuzulassen.                             ht ic tn 509.     Zulassungen von InfoSichh-Produkten für die Verarbeitung und Übertragung von VS werden eg rli durch den bzw. die CISO Ressort auf Basis von Sicherheitsnachweisungen durch Evaluierungen (siehe te un Abschnitt 5.1) ausschließlich für die Verwendung im GB BMVg erteilt. k uc 510.     Zulassungen von InfoSichh-Produkten, mit denen eingestufte NATO-Informationen verarbeitet dr us oder übertragen werden können, dürfen nur durch das BSI (bis NATO CONFIDENTIAL) oder rA NAMILCOM (alle NATO-Einstufungen) erteilt werden. se ie 511.                D Zulassungen von InfoSichh-Produkten, mit denen eingestufte EU-Informationen verarbeitet oder übertragen werden können, dürfen nur durch das BSI (bis EU CONFIDENTIAL in nationalen Systemen) oder dem Rat der Europäischen Union (alle EU-Einstufungen) oder dessen Generalsekretär (bis EU-CONFIDENTIAL) erteilt werden. 5.3.3    Antragstellung (P, V, S) 512.     Anträge auf Zulassung oder Verlängerung einer Zulassung eines InfoSichh-Produktes sind durch den bzw. die Ltr IPT / ProjLtr oder den Verantwortlichen bzw. die Verantwortliche für die Infra- Maßnahme       an     die    DEUmilSAA       zu    richten.    Der     Antrag    ist   im     Intranetauftritt http://infosichh.bundeswehr.org im Bereich „Produkte / Zulassungen“ eingestellt. 513.     Der finanzielle und zeitliche Aufwand für Evaluierungen ist in den Projekten bzw. Vorhaben rechtzeitig und ggf. unter Beteiligung fachlich geeigneter Stellen (z. B. Prüfstellen) durch den bzw. die Ltr Seite 65 Stand: März 2019

A-960/1                               Informationssicherheitsverfahren IPT / ProjLtr oder den Verantwortlichen bzw. die Verantwortliche für die Infra-Maßnahme zu berücksichtigen. Eine nachträgliche Berücksichtigung kann zu erheblichen Kostensteigerungen, Verzögerungen oder zum Scheitern des Projektes bzw. Vorhabens führen. 5.3.4      Zulassungspflichtige Informationssicherheits-Produkte (P, V, S) 514.       Zulassungspflichtig sind Produkte mit InfoSichh-Funktionen zur Verwendung für VS zur 1.    Herstellung von Schlüsselmitteln, 2.    Verschlüsselung (Kryptierung) bzw. zur kryptographischen Unterstützung, 3.    Löschung oder Vernichtung von VS-Datenträgern, 4.    Abstrahlsicherheit, 5.    Sicherung von Übertragungsleitungen und 6.                                                                            st Trennung von Netzen mit unterschiedlichen maximalen Einstufungen der verarbeiteten VS. en Die Nummern 3 bis 6 gelten nicht für VS-NfD eingestufte VS. sd i ng Nummer 6 gilt jedoch sowohl                                         ru de Än • bei einem Sicherheitsgefälle, d.h. wenn in beiden Netzen unterschiedlich hoch eingestufte m Informationen (z.B. GEHEIM bzw. VS-NfD) verarbeitet werden, als auch de ht • bei der Informationsraumtrennung, d.h. wenn ein Netz im deutschen Informationsraum mit einem ic tn Netz eines anderen Informationsraums (z.B. NATO, EU bzw. anderer Nationen, sonstiger eg überstaatlicher Organisationen oder von Missionen) verbunden wird, und nicht sämtliche deutsch rli te                             82 eingestuften Informationen für den anderen Informationsraum bestimmt sind . un k uc 5.4        Anerkennung von Zulassungen, die durch NATO- oder EU- dr us Mitgliedstaaten ausgesprochen wurden (P, V, S) rA se 515.                        ie Eine Anerkennung ist die formale Genehmigung für die Verwendung von InfoSichh- D Produkten für die Verarbeitung / Übertragung nationaler Informationen der Einstufung VS-NfD. 516.       Eine Anerkennung kann ein InfoSichh-Produkt im Einzelfall dann erhalten, wenn dieses in Deutschland mangels ausreichend vorliegender oder bereitgestellter Dokumentation weder evaluierbar noch zulassungsfähig ist, jedoch eine Zulassung durch die National Communication Security Authority (NCSA) des NATO- bzw. EU-Mitgliedstaates hat, in dem das Produkt entwickelt und evaluiert wurde. Eine Anerkennung wird durch CISOBw auf Basis der Dokumente analog zum Zulassungsantrag (siehe Nr. 512) im Benehmen mit dem BSI ausgesprochen. 517.       Eine Anerkennung für ein Produkt bezieht sich immer auf • das festgelegte Einsatzspektrum (d. h. die Verwendungsart) und 82   Sonderform eines Sicherheitsgefälles. Seite 66 Stand: März 2019

Informationssicherheitsverfahren                                  A-960/1 • einen aktuell zugelassenen Konfigurationsstand. Die Anerkennung erlischt bei Änderung des Einsatzspektrums, des Konfigurationsstandes bzw. bei Ablauf oder Aufhebung der zugrunde liegenden Zulassung des NATO- bzw. EU-Mitgliedstaates (siehe Nummer 516). 518.       Rahmenbedingungen für die Verwendung anerkannter InfoSichh-Produkte für den Schutz von deutschen VS sind den durch CISOBw zu erstellenden Behandlungshinweisen zu entnehmen und in den jeweiligen produktspezifischen Anerkennungsdokumenten auf Basis einer Risikobetrachtung zu beschreiben. 5.5        Akkreditierung 5.5.1      Allgemeines                                                            st en 519. sd Unter Akkreditierung wird ein Prüfungs- und Genehmigungsverfahren von IT unter Leitung der i ng zuständigen Akkreditierungsstelle verstanden.                          ru de 520.       Eine Akkreditierung im GB BMVg ist grundsätzlich für sämtliche IT durchzuführen, mindestens Än jedoch für jede IT, die                                       m de • Informationen der Einstufung „VS-NUR FÜR DEN DIENSTGEBRAUCH“ oder höher sowie ic ht tn vergleichbare NATO- / EU-Einstufungen bzw. Einstufungen anderer Nationen, sonstiger eg      83 überstaatlicher Organisationen oder „MISSION“ , rli te • PersDat SB 3      84 und / oder        un • SSI mit einem sehr hohen Schutzbedarf der Vertraulichkeit k uc dr verarbeitet und / oder überträgt.us rA 521.       Die Akkreditierung betrifft die folgenden Anwendungsbereiche gemäß Abschnitt 4: se ie • Wehrtechnische Forschung & Technologie sowie sonstige Forschungsvorhaben, Erprobungen, D Truppenversuche und Wehrtechnische Aufträge (siehe Nr. 409), • Projekte nach CPM gemäß Nr. 424 und 429, • Infrastruktur- / Baumaßnahmen bzw. sonstige Vorhaben mit IT-Anteil gemäß Nr. 435 i.V.m. Nrn. 424 und 429, • IT-Betrieb und Aufgabenübernahme durch Dritte gemäß Nr. 438 bzw. 444, • Sofortinitiativen für den Einsatz (FFF(S)) gemäß Nr. 444 ausschließlich im Rahmen der nachträglichen Erstellung des endgültigen InfoSichhKProj, 83   „MISSION“ ist der Platzhalter für eine spätere konkrete Benennung und setzt eine sog. Security Policy für den beabsichtigten Einsatz voraus. Insofern ist z.B. MISSION SECRET keine gültige Einstufung, sondern z. B. NATO / ISAF SECRET oder NATO SECRET Releasable to ISAF. 84   Für Medizinprodukte, die nach Erlass dieser Vorschrift beschafft und installiert werden. Seite 67 Stand: März 2019