(1) Bei der elektronischen Verarbeitung klassifizierter Informationen soll sichergestellt werden, dass die im InfOG und in der Maßnahmenbeschreibung gemäß Abs. 2 beschriebenen Sicherheitsstandards eingehalten werden, damit klassifizierte Informationen nicht an Personen gelangen, die über keine Berechtigung gemäß den §§ 12 bis 16 InfOG verfügen. Dazu dienen entsprechende Belehrungen der berechtigten Personen. Klassifizierte Informationen der Stufe 2 oder höher dürfen – ausgenommen zum Zweck der Erstellung von Protokollen und auszugsweisen Darstellungen sowie zur Anfertigung von Kopien durch die Registratur – nicht elektronisch verarbeitet werden.
(2) Die Sicherungsmaßnahmen sind abhängig vom Ausmaß der Vernetzung, von den Speichermöglichkeiten und den örtlichen Gegebenheiten. Ihre konkrete Festlegung und Aktualisierung erfolgt anhand einer von der Parlamentsdirektion und den Klubs gemeinsam erarbeiteten Maßnahmenbeschreibung, die jedenfalls Folgendes zu beinhalten hat:
1. | Es müssen entsprechende Vorkehrungen zur Erkennung von Schadsoftware getroffen werden. Jedes IKT-System muss geeignete Schutzmaßnahmen vor anderen, möglicherweise unsicheren Netzwerken oder verbundenen Computern treffen. | |||||||||
2. | Die Übermittlung klassifizierter Informationen der Stufe 1 (elektronischer Transport oder Transport auf externen Datenträgern außerhalb geschützter Bereiche) hat grundsätzlich mittels kryptographischer Produkte und Verfahren zu erfolgen. Unverschlüsselte Dateinamen, Überschriften und Beschriftungen etc. dürfen dabei keine Rückschlüsse auf die klassifizierten Inhalte zulassen. | |||||||||
3. | Findet die Übertragung innerhalb geschützter Bereiche statt, kann von einer Verschlüsselung abgesehen werden. | |||||||||
4. | Findet die Übertragung außerhalb geschützter Bereiche statt, ist entweder eine Sicherung des Übertragungsweges mit kryptographischen Maßnahmen oder eine Ende-zu-Ende-Verschlüsselung vorzusehen. Beim Ausdruck klassifizierter Dokumente ist darauf zu achten, dass der Zugang zum Ausdruck nur für berechtigte Personen möglich sein darf und dass die Kennzeichnung gemäß § 4 erfolgt. |
(3) In IKT-Systemen ist sicherzustellen, dass der Zugriff zu nicht-öffentlichen oder klassifizierten Informationen nur unter der Voraussetzung der §§ 12 bis 16 InfOG erfolgt. Für jedes IKT-System, in dem nicht-öffentliche oder klassifizierte Informationen verarbeitet werden, ist ein entsprechender Zugriffsschutz auf das System sicherzustellen. Jeder Benutzer muss eindeutig identifiziert werden.
0 Kommentare zu § 9 InfoV