Informationssicherheitsverfahren                              A-960/1 5.7        Bestellung von Informationssicherheitsbeauftragten und Informationssicherheitsgehilfen 5.7.1      Allgemeines 581.       Zum     bzw.      zur     ISB    sind    grundsätzlich     Offiziere   oder   vglb.   Beamte      bzw. Beamtinnen / Tarifbeschäftigte zu bestellen. 582.       In DSt oder EinsKtgt / EinsStO ab der Ebene Brigade / Flottille / Bundesoberbehörde oder die eine Kryptoverwaltung betreiben oder die IT nutzen bzw. betreiben, die Informationen verarbeitet oder 91 überträgt, die in mindestens einem Grundwert den Schutzbedarf „sehr hoch“ hat , müssen ein 92 hauptamtlicher         bzw. eine hauptamtliche ISBDSt oder ISB i.E. und ein hauptamtlicher Stellvertreter 93 bzw. eine Stellvertreterin bestellt werden . Dies gilt ebenso für solche DSt, deren IT-Landschaft st en wesentlich durch technisch-wissenschaftliche IT und Anwendungen geprägt ist. In DSt bzw. sd i EinsKtgt / EinsStO        mit      einer   Kryptoverwaltung    sind     grundsätzlich ng            Offiziere    oder   vglb. ru Beamte / Tarifbeschäftigte zu bestellen. Ist in DSt bzw. EinsKtgt / EinsStO mit einer Kryptoverwaltung de die Bestellung von Offizieren oder vergleichbar (siehe Nr. 581) aufgrund der dortigen Än m Dienstpostenbesetzung nicht möglich, kann der bzw. die CISOBw eine Ausnahmegenehmigung für die de Bestellung von Portepee-Unteroffizieren oder vglb. Beamte / Tarifbeschäftigte im Rahmen der NATO- ht ic Vorgaben (siehe Bezug Anlage 11.15 (lfdNr. 33), dort Chapter 3, Section III) erteilen. tn eg 583.       In DSt oder EinsKtgt / EinsStO, die keine Kryptoverwaltung betreiben, bestellt der bzw. die rli te DStLtr oder KtgtFhr / Kdr EinsStO grundsätzlich einen bzw. eine ISB für die Dienststelle (ISBDSt, siehe un Abschnitt 3.2.3) sowie einen stellvertretenden bzw. eine stellvertretende ISBDSt, sofern er bzw. sie die k uc dr Aufgaben nicht selbst übernimmt. Die Bestellung von Portepee-Unteroffizieren oder Beamten bzw. us Beamtinnen / Arbeitnehmern bzw. Arbeitnehmerinnen in vergleichbarer Besoldungs- / Entgeltgruppe rA se (TVöD) ist zulässig, sofern kein Personal nach Nr. 581 zur Verfügung steht. ie D 584.       Eine zusätzliche bzw. parallele Verwendung von InfoSichh-Personal in Bereichen mit Administratortätigkeiten oder mit Veranlassung solcher Tätigkeiten (z.B. als Bestellberechtigter für IT- Services oder Zugriffsrechte), die Rechte beinhalten, die zu einer Selbstkontrolle führen, ist nicht zulässig. Dies ist bei der Festlegung des Umfanges des IT-Personals zu berücksichtigen. 585.       Ist die Position des bzw. der ISBDSt / ISB i.E. und / oder dessen Vertreter bzw. deren Vertreterin in DSt / EinsKtgt / EinsStO mit Verpflichtung zur Bestellung eines bzw. einer hauptamtlichen ISB nicht besetzt und können diese z. B. aufgrund fehlender Voraussetzungen nicht sofort 91   Ist mindestens eines der drei Kriterien erfüllt, ist ein bzw. eine hauptamtliche ISB und ein hauptamtlicher Stellvertreter bzw. eine hauptamtliche Stellvertreterin zu bestellen. 92   Hauptamtlich im Sinne dieser Zentralen Dienstvorschrift bedeutet, dass eine der Hauptaufgaben im ODP / ATK die Wahrnehmung der Aufgabe InfoSichh sein soll. 93   Gilt nicht für die OrgBer Militärseelsorge und Rechtspflege. Seite 79 Stand: März 2019

A-960/1                                 Informationssicherheitsverfahren wiederbesetzt werden, so ist durch den bzw. die DStLtr oder KtgtFhr / Kdr EinsStO bei dem bzw. der CISOBw auf dem Dienstweg ein Antrag auf Ausnahmegenehmigung zu stellen und der bzw. die DStLtr oder KtgtFhr / Kdr EinsStO hat die Aufgaben bis zur Bestellung eines bzw. einer ISB selbst wahrzunehmen. Ausnahmegenehmigungen für DSt oder EinsKtgt / EinsStO, die eine Kryptoverwaltung 94 betreiben, sind unzulässig . 586.       Zur Gewährleistung einer unabhängigen Überwachung ist Nr. 301 zu beachten. Die ISB haben in der Wahrnehmung ihrer Aufgaben ein direktes Vortragsrecht bei dem bzw. der für die InfoSichh verantwortlichen Vorgesetzten (siehe Abschnitt 5.7.4). 5.7.2      Voraussetzungen (F, W, P, V, O, D, E, Ü) 587.       Aufgaben der InfoSichh dürfen nur von qualifiziertem Personal wahrgenommen werden. st ISBOrgBer, ISBEinsatz, ISBDSt, ISBBtrb, ISBProj, ISBFW, ISB i.E., ISBÜb und ISBGBW sowie deren en Vertreterin bzw. Vertreter und Gehilfen (siehe Nr. 450) dürfen erst bestellt werden, wenn sd i ng • sie an der entsprechenden Ausbildung gemäß Abschnitt 10.1 zum / zur ISB bzw. InfoSichhGeh mit ru de Erfolg teilgenommen haben,                                      Än • die Ermächtigung zum Zugang zu VS (soweit erforderlich) nach Zentraler Dienstvorschrift A-1130/2 m de VS-NfD „Militärische Sicherheit in der Bundeswehr – Verschlusssachen“, Abschnitt 16.1 ht ic „Ermächtigungen“ (siehe Bezug Anlage 11.15 (lfdNr. 15)) erteilt wurde, tn • eine Verpflichtungserklärung gemäß Anlage 11.8.6 unterzeichnet ist und eg rli • eine Kryptobescheinigung gemäß Zentraler Dienstvorschrift A-1130/2 VS-NfD „Militärische te un Sicherheit in der Bundeswehr - Verschlusssachen“, Abschnitt 16.3, Nr. 1607 (siehe Bezug k uc Anlage 11.15, lfdNr. 15) soweit erforderlich   95 vorliegt. dr us                                                                          96 588.       War der bzw. die vorgesehene ISB länger als fünf Jahre nicht als InfoSichh-Personal rA se eingesetzt, hat er bzw. sie vor einer erneuten Bestellung wieder an einem Lehrgang für ISB (siehe ie Abschnitt 10.1) erfolgreich teilzunehmen. D 94   Abweichend dazu kann auf dem Dienstweg für schwimmende Einheiten und Einsatzkontingente i.E. eine Ausnahmegenehmigung beim CISOBw beantragt werden. 95   Erforderlich ist diese auch, wenn der bzw. die ISB im unmittelbaren Bereich zwar keine Kryptomittelverwaltung zu kontrollieren, diese Kontrollen aber im unterstellten Bereich durchzuführen hat. 96   Oder bisher: IT-Sicherheitspersonal Seite 80 Stand: März 2019

Informationssicherheitsverfahren                               A-960/1 5.7.3        Ausnahmen für Informationssicherheitsbeauftragte Organisationsbereich / Einsatz / Dienststelle / Betrieb / Projekt / Forschung und Wissenschaft / Geheimschutzbetreute Wirtschaft, Übung und Informationssicherheitsgehilfen (F, W, P, V, O, D, E, Ü) 589.         Sind für den Zeitpunkt der Aufgabenübernahme noch nicht alle Bestellungsvoraussetzungen 97 gegeben, ist für ISB vorab eine Ausnahmegenehmigung für die Wahrnehmung der Aufgaben bei dem bzw. der CISOBw auf dem Dienstweg einzuholen. Ausnahmegenehmigungen für InfoSichhGeh erteilen die ISBOrgBer. 590.         Ausnahmegenehmigungen sind befristet zu erteilen und dürfen nur erteilt werden, wenn • entsprechende Grundkenntnisse der InfoSichh bei dem betreffenden Personal vorliegen, st • die Voraussetzungen gemäß Nr. 587, mit Ausnahme der Ausbildung zum bzw. zur ISB, vorliegen, en sd • eine Unterstützung durch den bzw. der ISB der vorgesetzten DSt möglich isti       98 und ng • mindestens eine Lehrgangsanforderung / -beantragung für den fehlenden Lehrgang nachgewiesen ru de wird.                                                   Än 591.                                                       m Genehmigte Ausnahmen sind durch die Bestellenden mit dem entsprechend ausgefüllten de Bestellungsvordruck gemäß Anlage 11.8.4 zu dokumentieren. ht ic 592.                                             tn CISOBw führt aktuelle Übersichten über Ausnahmegenehmigungen für ISB. eg rli 5.7.4                                      te Zuständigkeiten für Bestellungen (F, W, P, V, O, D, E, Ü) un k 593.         Die Zuständigkeiten für die Bestellung von ISB sind zusammenfassend folgender Abb. 10 zu uc dr entnehmen:                     us rA                                                                       92 Funktion             se Bestellung durch                                       hauptamtlich ie CISO Ressort     D      Staatssekretär / Staatssekretärin für Planung,         Nein Ausrüstung, Informationstechnik und Nutzung CISOBw                  Staatssekretär / Staatssekretärin für Planung,         Nein Ausrüstung, Informationstechnik und Nutzung ISBBMVg                 Staatssekretär / Staatssekretärin für Administration   Ja ISBOrgBer               Regelung durch die OrgBer                              Ja ISBMAD                  Präsident / Präsidentin / Amtschef / Amts-chefin des Ja BAMAD 97   Ausgenommen ist die Entlastung des Kryptoverwalters bzw. der Kryptoverwalterin – diese Aufgabe hat der bzw. die ISB der vorgesetzten DSt durchzuführen. 98   Dies gilt nur für ISBDSt und ISB i.E. Seite 81 Stand: März 2019

A-960/1                                    Informationssicherheitsverfahren 92 Funktion               Bestellung durch                                        hauptamtlich CISO Rüstung           Präsident / Präsidentin BAAINBw                         Ja CISO Infrastruktur     Präsident / Präsidentin BAIUDBw                         Ja 99 ISBDSt                 DStLtr                                                  fallbezogen gemäß Abschnitt 5.7.1 ISBGBW                 Kdr ZCSBw                                               Ja ISBProj                Ltr IPT / ProjLtr                                       projektbezogen ISBFW                  Ltr des Vorhabens                                       vorhabenbezogen ISBEinsatz             Befehlshaber / Befehlshaberin EinsFüKdoBw             stJa en ISB i.E.               KtgtFhr / Kdr EinsStO                            sd i   einsatzbezogen     100 ng ru                             101 ISBÜb                  DStLtr übungsleitende DSt                               übungsbezogen de ISBBtrb                                                       Än DStLtr bzw. Ltr der jeweiligen IT-Betr(Fü)Einr          Ja   102 m Abb. 10: Bestellung von CISO und ISB de ht ic 5.7.5       Dokumentation (F, W, P, V, D, E, Ü)         tn eg 594.        Die Bestellung zum bzw. zur ISB oder InfoSichhGeh erfolgt schriftlich mit den Formularen rli te un gemäß Anlage 11.8.4 und für ISBDSt / ISB i.E. zusätzlich in Verbindung mit der Dienstanweisung gemäß Anlage 11.8.5. k uc dr 595.                              us Eine Ausfertigung der Bestellung des bzw. der ISB oder InfoSichhGeh erhalten rA • der bzw. die CISOBw,       se ie • das ZCSBw,               D • der bzw. die zuständige ISBOrgBer, • der bzw. die ISB der vorgesetzten DSt / ISBEinsatz für ISB i.E. (InfoSichhDok), • der bzw. die Sicherheitsbeauftragte der DSt / des EinsFüKdoBw (Absicherungshandakte), • der bzw. die ISBDSt / ISB i.E. (InfoSichhDok), • von DSt mit einer Kryptoverwaltung die Kryptobereichsleitstelle der Teilstreitkraft und • der Kryptoverwalter bzw. die Kryptoverwalterin (Handakte). 99    Dies kann bei Bestellung eines bzw. einer ISBDSt für mehrere DSt gemäß Abschnitt 4.8, Nr. 449 auch der bzw. die DStLtr der nächsten gemeinsamen DSt sein. 100   kann in Personalunion mit dem bzw. der ISBDSt der kontingentführenden DSt bestellt werden 101   kann in Personalunion mit dem bzw. der ISBDSt der übungsleitenden DSt bestellt werden 102   In IT-BtrbEinr kann der bzw. die ISBBtrb in Personalunion mit dem bzw. der ISBDSt der betreibenden DSt bestellt werden. Seite 82 Stand: März 2019

Informationssicherheitsverfahren                         A-960/1 596.    Die Unterlagen über die Bestellung des bzw. der ISB und deren Stellvertreter oder InfoSichhGeh sind vom bzw. von der ISB der vorgesetzten DSt und vom bzw. von der Sicherheitsbeauftragten der     DSt   nach   deren   Aufhebung fünf     Jahre   aufzubewahren.   Die Bestellungsunterlagen für ISB i.E. sind nach Auflösung der EinsKtgt im EinsFüKdoBw für die Dauer von fünf Jahren nachzuweisen. Die Frist beginnt mit der Aufhebung der Bestellung. Die Bestellungsunterlagen sind nach Ablauf der Aufbewahrungsfrist gemäß Zentraler Dienstvorschrift A- 1130/2 VS-NfD „Militärische Sicherheit in der Bundeswehr – Verschlusssachen“ (siehe Bezug Anlage 11.15 (lfdNr. 15)) zu vernichten. st en sd i ng ru de Än m de ht ic tn eg rli te un k uc dr us rA se ie D Seite 83 Stand: März 2019

A-960/1                                        Dokumentation 6           Dokumentation 6.1         Informationssicherheitsdokumentation 6.1.1       Dienststellen- / einsatzbezogene Informationssicherheitsdokumentation (D, E) 601.        Der bzw. die ISBDSt / ISB i.E. führt eine aktuelle Informationssicherheitsdokumentation (InfoSichhDok) für die DSt bzw. das EinsKtgt bzw. den EinsStO. Diese enthält: • die für die DSt / das EinsKtgt / den EinsStO relevanten Auszüge der InfoSichhKProj            103 und der InfoSichhKFW (in der Regel die durch die DSt / das EinsKtgt / den EinsStO umzusetzenden InfoSichh-Maßnahmen der InfoSichhK),                                         st • das InfoSichhK der DSt / des EinsKtgt / des EinsStO, en sd i • die InfoSichhBef für Übungen der DSt für noch nicht abgeschlossene InfoSichhVork, die während ng der Übung auftraten, ru de • die InfoSichhIn-Berichte mindestens der letzten beiden InfoSichhIn sowie die Kontroll- / Prüfberichte Än sowie ggf. die Dokumentation der Mängelbeseitigung,      m de • sonstige für die DSt / das EinsKtgt / den EinsStO relevante Berichte und Vorgänge zur InfoSichh, ht ic • die für die DSt / das EinsKtgt / den EinsStO relevanten zentralen und dezentralen Vorgaben und tn eg Hinweise zur InfoSichh (vgl. Nr. 315), z. B. InfoSichh-Weisungen des bzw. der CISOBw oder Vorgaben, rli Hinweise    und    Handlungsanweisungen te     des   bzw.    der       zuständigen   ISBOrgBer     bzw. un Weisungen / Hinweise des bzw. der ISBEinsatz, k uc • alle für die DSt / das EinsKtgt / den EinsStO relevanten aktuellen Freigaben zur Nutzung (siehe dr us Abschnitt 5.6) mit den erforderlichen Akkreditierungsbescheinigungen gemäß Anlage 11.8.7, rA • Bestellungen des InfoSichh-Personals für den eigenen Zuständigkeitsbereich, se ie • Verpflichtungserklärungen für den eigenen Zuständigkeitsbereich, D • Kryptoermächtigungen für den eigenen Zuständigkeitsbereich, • Ausnahmegenehmigungen für + Bestellungen, + Netzübergänge (siehe Anlage 11.2.11) sowie + Nutzung privater IT zu dienstlichen Zwecken (siehe Anlage 11.2.1, Nr. 3) und • eine Übersicht über die gemeldeten InfoSichhVork der letzten drei Jahre. 602.        Ein Muster für die InfoSichhDok ist Anlage 11.8.2 zu entnehmen. 103   Soweit vorhanden als importierbare Datei für das Grundschutzwerkzeug Seite 84 Stand: März 2019

Dokumentation                                       A-960/1 603.    Die InfoSichhDok ist bei Auflösung / Umstrukturierung an die im Organisationsbefehl zur Auflösung / Umstrukturierung vorgesehene Dienststelle zu übergeben. Sofern keine Regelung getroffen wurde, ist die Entscheidung CISOBw einzuholen. 6.1.2   Projekt- / vorhabenbezogene Informationssicherheitsdokumentation (F, W, P, V, O, S) 604.    Der bzw. die ISB in den Anwendungsbereichen (F, W, P, V, O und S gemäß Nr. 402) führt eine aktuelle InfoSichhDok für sein Projekt bzw. Vorhaben. Diese enthält: • das InfoSichhK mit den umzusetzenden Maßnahmen, • die InfoSichhIn-Berichte mindestens der letzten beiden InfoSichhIn sowie die Kontroll- / Prüfberichte sowie ggf. die Dokumentation der Mängelbeseitigung, st • Abnahmeprotokolle der technischen InfoSichh-Maßnahmen,               en sd • sonstige für das Projekt bzw. Vorhaben relevante Berichte und Vorgänge zur InfoSichh, i ng • für die InfoSichh relevante Konfigurationsunterlagen,        ru de • die für das Projekt bzw. Vorhaben relevanten zentralen und dezentralen Vorgaben und Hinweise zur Än InfoSichh (vgl. Nr. 315), z. B. InfoSichh-Weisungen des bzw. der CISOBw oder Vorgaben, Hinweise und m de Handlungsanweisungen des bzw. der zuständigen ISBBtrb, ht • alle für das Projekt bzw. Vorhaben relevanten aktuellen Freigaben; für Projekte nach CPM in tn ic eg Verbindung mit der GeNu (siehe Abschnitt 5.6), rli • erforderliche Akkreditierungsbescheinigungen gemäß Anlage 11.8.7, te un • für eingesetzte InfoSichh-Produkte die relevanten aktuellen Zulassungen bzw. Anerkennungen, k uc • Bestellung des InfoSichh-Personals für den eigenen Zuständigkeitsbereich, dr us • Verpflichtungserklärungen für den eigenen Zuständigkeitsbereich, rA • Kryptoermächtigungen für den eigenen Zuständigkeitsbereich, se ie • eine Übersicht über die gemeldeten InfoSichhVork, D • Bei IT-Betrieb oder Aufgabenübernahme durch Dritte (Anwendungsbereich O) die für die InfoSichh relevanten Anteile des Vertrages sowie eine Liste der relevanten Ansprechpartner für InfoSichh beim Auftragnehmer (AN), das Dokument mit der Zusicherung zur Überprüfung von InfoSichh- Maßnahmen beim AN und die Dokumentation der durchgeführten Überprüfungen. 6.2     Risikoanalyse – Dokumentation des verbliebenen Risikos 605.    Die Durchführung einer Ergänzenden Sicherheitsanalyse mit folgender Risikoanalyse (vgl. Anlage 11.1.10) im Rahmen der Erstellung oder Fortschreibung der InfoSichhK (z.B. Projekt, DSt / EinsKtgt) bzw. der Umsetzung der InfoSichh-Maßnahmen ist in Anlehnung an den IT- Grundschutz des BSI immer dann erforderlich, wenn Seite 85 Stand: März 2019

A-960/1                                       Dokumentation • hoher oder sehr hoher Schutzbedarf für mindestens einen der Grundwerte (Nr. 111) festgestellt wurde (siehe Nr. 207) und die in dieser Zentralen Dienstvorschrift hierfür festgelegten InfoSichh- Anforderungen und -Maßnahmen (siehe Anlage 11.3.2) im IT-Grundschutzkatalog der Bw (siehe Anlage 11.1.2) nicht ausreichen bzw. für den entsprechenden Grundwert in dieser Vorschrift keine InfoSichh-Anforderungen bzw. -Maßnahmen festgelegt sind, • bei Relevanz der Gewährleistungsziele (siehe Nr. 112) in dieser Zentralen Dienstvorschrift keine InfoSichh-Anforderungen bzw. -Maßnahmen festgelegt sind, • die betrachtete IT erkennbare bzw. bekannte Schwachstellen enthält, die das Wirksamwerden einer Gefährdung besonders begünstigen bzw. die weitere Gefährdungen beinhalten, die im Baustein gemäß IT-Grundschutz nicht berücksichtigt sind, • mit den existierenden Bausteinen des IT-Grundschutzes des BSI und den ergänzenden InfoSichh- Anforderungen und -Maßnahmen dieser Zentralen Dienstvorschrift (siehe Anlagen 11.2 und 11.3) st en im IT-Grundschutzkatalog der Bw (siehe Anlage 11.1.2) die betrachtete IT nicht hinreichend sd i abgebildet (modelliert) werden kann,                                  ng ru • IT in Einsatzszenarien betrieben wird, die im Rahmen des IT-Grundschutzes nicht vorgesehen sind, de • gemäß der Schutzbedarfskategorie in der Informationsstruktur (siehe Abschnitt 2.1) geforderte Än m InfoSichh-Anforderungen (siehe Anlage 11.3.2) durch eingesetzte Produkte oder umzusetzende de InfoSichh-Maßnahmen nicht vollständig erfüllt werden können. In diesem Fall ist die Ergänzende ht ic tn Sicherheitsanalyse mit folgender Risikoanalyse (vgl. Anlage 11.1.10) nur bezogen auf nicht eg vollständig erfüllbare InfoSichh-Anforderungen und damit verbundene Risiken durchzuführen, siehe rli auch Abschnitt 2.2.2, te un • gemäß der Schutzbedarfskategorie in der Informationsstruktur (siehe Abschnitt 2.1) umzusetzende k uc dr InfoSichh-Maßnahmen des IT-Grundschutz des BSI und gemäß Anlage 11.3.2 nicht angewendet us bzw. umgesetzt werden können. In diesem Fall ist die Ergänzende Sicherheitsanalyse mit folgender rA se Risikoanalyse (vgl. Anlage 11.1.10) nur bezogen auf nicht anwend- / umsetzbare InfoSichh- ie Maßnahmen und damit verbundene Risiken durchzuführen, siehe auch Abschnitt 2.2.2. D (Anmerkung: Die Durchführung einer Risikoanalyse für diesen Fall ist jedoch nicht erforderlich, wenn eine InfoSichh-Maßnahme nicht zutrifft. Nicht zutreffend ist z. B. eine InfoSichh-Maßnahme, die sich konkret auf ortsfeste Gebäudeinfrastruktur bezieht und nur dort umsetzbar ist, der Betrachtungsgegenstand jedoch z. B. ein Fahrzeug ist) oder • InfoSichh-Maßnahmen noch nicht vollständig umgesetzt sind. 606.       Nach der Risikoanalyse festgestellte Risiken sind hinsichtlich ihrer Tolerierbarkeit zu bewerten und zu dokumentieren. Die Ergebnisse der Risikoanalyse sind den Schutzbedarfsverantwortlichen (siehe Nr. 301) zur Stellungnahme zuzuleiten. Die Entscheidung, ob ein Risiko tolerierbar ist, treffen die jeweils zuständigen Verantwortlichen (z. B. Ltr IPT / ProjLtr / DStLtr / KtgtFhr / Kdr EinsStO). Die DEUmilSAA bzw. das zuständige Regionalzentrum im ZCSBw können beratend hinzugezogen werden. Seite 86 Stand: März 2019

Dokumentation                                        A-960/1 607.        Nicht tolerierbare Risiken sind mit zusätzlichen bzw. alternativen InfoSichh-Maßnahmen (siehe Abschnitt 2.2.2) durch die jeweils Verantwortlichen (z. B. Ltr IPT / ProjLtr / DStLtr) zu beseitigen (siehe auch Anlage 11.1.10.5). In besonders dringenden Fällen entscheidet der bzw. die zuständige Verantwortliche in Abstimmung mit dem bzw. der CISOBw und dem Supply Manager bzw. der Supply Managerin bzw. bei einsatzwichtiger IT der bzw. die KtgtFhr / Kdr EinsStO in Abstimmung mit dem bzw. der CISOBw und nach Rücksprache mit dem bzw. der Ltr NOC i.E. und dem Risikomanager bzw. der Risikomanagerin im EinsFüKdoBw über eine befristete Inbetriebnahme bzw. einen befristeten Weiterbetrieb der IT. 608.        Es ist zu prüfen, ob die Dokumentation zur Ergänzenden Sicherheitsanalyse mit folgender Risikoanalyse (vgl. Anlage 11.1.10) als VS gemäß Zentraler Dienstvorschrift A-1130/2 VS-NfD „Militärische Sicherheit in der Bundeswehr – Verschlusssachen“ (siehe Bezug Anlage 11.15 (lfdNr. 15)) einzustufen ist.                                                               st en 609.                                                                      sd Bei akkreditierten Systemen (siehe Abschnitt 5.5) ist die DEUmilSAA zu beteiligen. Bei hohen i ng Risiken für die InfoSichh sind die Vorgaben gemäß Nr. 801ff. zu beachten. ru de 610.        Eine Methodik zur Durchführung von Risikoanalysen ist in der Anlage 11.1.10 beschrieben. Än 611. m Bei Verarbeitung von PersDat ist ggf. eine Datenschutz-Folgenabschätzung in Verantwortung de des bzw. der zuständigen ADSB durchzuführen (siehe Bezug Anlage 11.15 (lfdNr. 10)). ht ic tn 6.3                                             eg Informationssicherheitskonzepte / -befehle – Geltungsbereiche und rli Zuständigkeiten te un k uc 6.3.1       Allgemeines           dr us 612.                          rA InfoSichhK sind nach ihrem Geltungsbereich in se • InfoSichhKProj, (siehe Abschnitt 6.3.2), D ie • InfoSichhKDSt, (siehe Abschnitt 6.3.3) und • InfoSichhK für Wehrtechnische Forschung & Technologie sowie sonstige Forschungsvorhaben, Erprobungen, Truppenversuche und Wehrtechnische Aufträge, WissUstg NT (InfoSichhKFW, siehe Abschnitt 6.3.4) 104 zu unterscheiden         . Darüber hinaus gibt es – in militärischen DSt als Dokumentation der InfoSichh während Übungen – Informationssicherheitsbefehle (InfoSichhBef, siehe Abschnitt 6.3.5). 613.        InfoSichhK müssen insbesondere 104   Für die Anwendungsbereiche P, V, O und S (siehe Nr. 402) sind InfoSichhKProj, für D und E InfoSichhKDSt, für F und W InfoSichhKFW und für Ü InfoSichhBef zu erstellen. Seite 87 Stand: März 2019

A-960/1                                            Dokumentation • die jeweilige IT, • die Informationsstruktur (siehe Abschnitt 2.1) unter Beachtung der Vorgaben und Hilfestellungen in der Anlage 11.4), • das Einsatzspektrum, • Q • den Umfang der zu protokollierenden Ereignisse und deren Sicherheitsauditing (Auditingkonzept, siehe auch Anlage 11.6), • die      zu     erfüllenden       InfoSichh-Anforderungen    bzw.    umzusetzenden      -Maßnahmen       unter Berücksichtigung der Anlagen 11.1.2, 11.2 und 11.3 sowie • bei Bedarf eine Risikoanalyse (siehe Abschnitt 6.2) einschließlich der Bewertung verbleibender Risiken st dokumentieren. Sie sind vor Inkraftsetzung fallbezogen abzustimmen bzw. mitzeichnen zu lassen. en sd Näheres hierzu regeln die folgenden Abschnitte. Inhalte und Mitzeichnung von InfoSichhBef regelt i Abschnitt 6.3.5. ng ru de 614.         InfoSichhK sind mindestens einmal jährlich auf ihre Aktualität zu prüfen. Dabei ist auch die Än Angemessenheit und Wirksamkeit der InfoSichh-Maßnahmen zu bewerten. Bei Bedarf ist das m de InfoSichhK fortzuschreiben (siehe hierzu Abschnitte 6.3.2.3 und 6.3.3.3). ht ic 615.                                                     tn InfoSichhK / InfoSichhBef sind durch den Verantwortlichen bzw. die Verantwortliche für die Erstellung in Kraft zu setzen. eg rli te 616.                                            un Die Vorgaben zur InfoSichh von relevanten Projekten in der Bw, anderer Ressorts, der NATO, k der EU, anderer Nationen oder von sonstigen überstaatlichen Organisationen, die in der Bw genutzt uc dr werden sollen oder zu denen es Berührungspunkte zu eigenen Projekten gibt, sind im Rahmen der us rA InfoSichhKProj zu bewerten und geeignet zu berücksichtigen (siehe auch Abschnitt 4.4.4.2). se ie 6.3.2        Projektbezogenes Informationssicherheitskonzept (P, V, O, S) D 617.         Für die Anwendungsbereiche Infrastruktur- / Baumaßnahmen bzw. sonstige Vorhaben mit IT- Anteil (V), IT-Betrieb und Aufgabenübernahme durch Dritte (O) und Sofortinitiativen für den Einsatz (S) ist dieser Abschnitt 6.3.2 sinngemäß anzuwenden. Allgemeines 618.         Das InfoSichhKProj beschreibt die technischen, personellen, infrastrukturellen und organisatorischen InfoSichh-Maßnahmen (einschl. Maßnahmen zur IT-Notfallvorsorge) zum Schutz der mit    der      jeweiligen    IT    zu   verarbeitenden / übertragenden   Informationen    vor   Verlust   oder Beeinträchtigung        der        Grundwerte   (siehe   Nr.    111)   bzw.   bzgl.    Einhaltung   relevanter Gewährleistungsziele (siehe Nr. 112). Seite 88 Stand: März 2019