TL3: Eigenerklärung zur Sicherstellung von Informationssicherheit (Mit dem Teilnahmeantrag; Mittels Eigenerklärung): Die Eigenerklärung ist als zusammenfassende Eigenerklärung in Textform vorzulegen. Gesonderte Einzelnachweise sind nicht erforderlich; vorhandene Zertifikate oder sonstige einschlägige Nachweise können ergänzend beigefügt werden, ersetzen die Eigenerklärung jedoch nicht. Der Bewerber hat nachvollziehbar darzustellen, in welcher Weise die nachfolgenden Mindestanforderungen im Hinblick auf die für die Auftragsdurchführung eingesetzten Organisationseinheiten, Beschäftigten, IT-Systeme, Prozesse und Räumlichkeiten erfüllt werden. Jede Anforderung ist, soweit anwendbar, einzeln zu adressieren; nicht anwendbare Anforderungen sind kenntlich zu machen und kurz zu begründen. Eine abstrahierte oder zusammengefasste Darstellung ist zulässig.
- Physische Sicherheit:
Es muss ein Verfahren etabliert sein, welches die Betreuung von Besuchern regelt, um unberechtigten Zugang zu Gebäuden/Informationen/Systemen zu verhindern. Räume mit zentralem IT-Equipment müssen gegen unbefugten Zutritt und physikalische Eingriffe geschützt sein. Der Zutritt zu den Rechenzentren- bzw. Serverräumen muss auf einen autorisierten Personenkreis beschränkt sein.
- Informationssicherheitsprozesse:
Alle Mitarbeiter müssen mit den Prozessen und ggf. bestehenden Richtlinien zur Informationssicherheit des Auftragnehmers hinreichend vertraut sein. Es muss sichergestellt werden, dass kommunizierte Informationssicherheitsanforderungen der AquaDuctus Pipeline GmbH allen relevanten Mitarbeitern bekannt gemacht und eingehalten werden. Prozesse zur Reaktion auf Sicherheitsvorfälle müssen definiert und etabliert sein.
- Betriebsprozesse:
Werden Betriebs- und Geschäftsprozesse durch den Bewerber an ein anderes Unternehmen ausgelagert, muss der Bewerber regelmäßig prüfen, dass diese dritte Partei die definierten Sicherheitsanforderungen des Bewerbers einhält.
- Systemhärtung und Zugriffsschutz:
Eine Sicherheitshärtung für eingesetzte Systeme muss stattfinden (u.a. Installation nach Minimalprinzip, Zugriff auf administrative Schnittstellen nur für Administratoren, Deaktivierung nicht benötigter Ports, Ändern von Initial- und Standardpasswörtern). Kennwortrichtlinien müssen in Kraft sein, die die Komplexität, ggf. die Änderungsintervalle und das Zurücksetzen von Kennwörtern vorgeben. Eine sichere Verwaltung von Zugangsdaten muss umgesetzt werden, sodass kein unberechtigter Zugriff auf diese erfolgen kann.
- Antivirus, Patch- und Schwachstellenmanagement:
Eine Antiviren-Software muss auf den Systemen vorhanden sein und automatisiert aktualisiert werden, sodass bei Abweichungen oder bei Verdachtsfällen alarmiert wird. Ein ausbleibender Einsatz kann nur aufgrund einer begründbaren technischen Inkompatibilität akzeptiert werden. Systeme bzw. Softwarekomponenten müssen regelmäßig und möglichst zeitnah aktualisiert werden (Patch Management). Die eingesetzten Produkte und Systeme müssen einer kontinuierlichen Prüfung auf Schwachstellen und einer Behebung dieser unterzogen werden (Vulnerability Management). Prozesse für eine zügige Behebung von Fehlern und/oder Sicherheitslücken müssen implementiert sein (z.B. Bug-fix, Emergency Change Prozesse).
- Kommunikationssicherheit:
Ein definiertes Sicherheitskonzept inkl. technischer Schutzmaßnahmen für die Netzwerksicherheit müssen vorhanden sein (Netzwerksegmentierung, Schutz erreichbarer Schnittstellen, Einsatz von Verschlüsselung, Firewallsysteme). Es muss sichergestellt sein, dass aus dem Internet erreichbare administrative Zugänge zu IT-Systemen oder XaaS-Diensten angemessen abgesichert werden (min. sichere Authentifizierung mit Multi-Faktor Authentifizierung). Vertrauliche Authentisierungsmerkmale und -daten müssen bei der Übertragung durch Kommunikations- und Verschlüsselungsmethoden geschützt werden, die nach dem aktuellen Stand der Technik als sicher gelten. Alle Verbindungen zwischen der AquaDuctus Pipeline GmbH und dem Dienstleister müssen mindestens transportverschlüsselt erfolgen. Vorgaben der AquaDuctus Pipeline GmbH für zusätzliche Inhaltsverschlüsselung für die Übertragung von vertraulichen Informationen müssen umgesetzt werden.
- Datensicherheit und operationelle Sicherheit:
Es muss sichergestellt sein, dass mittels eines Zugriffskontrollkonzepts inkl. technischem Enforcement nur autorisierte Personen Zugriff auf AquaDuctus-Daten erhalten. Es muss sichergestellt werden, dass AquaDuctus-Daten von anderen Kundendaten getrennt werden. Daten oder die diese speichernden Datenträger oder Sicherungsmedien müssen verschlüsselt und angemessen vor unberechtigtem Zugriff geschützt sein, wenn sie die Räumlichkeiten oder das Rechenzentrum verlassen. Es müssen Regelungen zur sicheren Löschung der Kundendaten existieren. Regelungen zur Entsorgung und Zerstörung von Datenträgern müssen etabliert sein, um eine Wiederherstellung von Informationswerten der AquaDuctus Pipeline GmbH durch unberechtigte Dritte zu verhindern. Diese müssen sich an etablierten Standards wie dem BSI-Baustein "CON.6" in aktueller Fassung orientieren. Es muss sichergestellt werden, dass die AquaDuctus Pipeline GmbH unverzüglich informiert wird, wenn es zu Datenpannen oder zum Abfluss jeglicher AquaDuctus-Informationen kommen sollte.