der Informationssicherheit

Transkript

1 Alexander Wagner Prozessorientierte Gestaltung der Informationssicherheit im Krankenhaus Konzeptionierung und Implementierung einer prozessorientierten Methode zur Unterstützung der Risikoanalyse Verlag Dr. Kovac Hamburg 2014

2 IX INHALTSVERZEICHNIS Abbildungsverzeichnis T abellenverzeichnis Beispielverzeichnis Anhangsverzeichnis Abkürzungsverzeichnis XV XIX XX XXII XXIII 1 EINLEITUNG Problemstellung und Motivation Ziele der Arbeit Vorgehen und Aufbau der Arbeit 2 2 THEORETISCHE ASPEKTE DER INFORMATIONSSICHERHEIT IM KRANKENHAUS Datenschutz und Datensicherheit im deutschen Krankenhaus Historische Entwicklung des Datenschutzes Schutzwerte Gesundheitsinformationen Einwilligung des Patienten Rechtliche Regelungen des Datenschutzes für deutsche Krankenhäuser Datenschutzrechtliche Regelungen Regelungen zur ärztlichen Schweigepflicht Datenschutzprinzipien Datenschutzrechtliche Vorgaben bei elektronischer Dokumentation Datenschutz und Datensicherheit - Ziele, Schwachstellen und Maßnahmen Begriffsdefinition Datenschutz Begriffsdefinition Datensicherheit Begriffsdefinition Informationssicherheit Sicherheitsziele 29

3 X Bedrohungen, Schwachstellen und Maßnahmen im Gesundheitswesen Bedrohungen Schwachstellen Maßnahmen Standards der Informationssicherheit im Krankenhaus Normen der ISO 27x-Reihe E 1SO/1EC 27000: : Informationstechnik IT- Sicherheitsverfahren Informationssicherheits- Managementsysteme -Überblick und Terminologie DIN ISO/IEC 27001: : Informationstechnik - IT- Sicherheitsverfahren - Informationssicherheits- Managementsysteme - Anforderungen DIN ISO/IEC 27002: : Informationstechnik - IT- Sicherheitsverfahren - Leitfaden für das Informationssicherheits-Management ISO/IEC 27003: (E): Information technology - Security technique Information security management system Implementation guide ISO/IEC 27004: (E): Information technology - Security techniques - Information security management - Measurements ISO/IEC 27005: (E): Information technology - Security techniques - Information security risk management DIN EN ISO 27799: : Medizinische Informatik - Sicherheitsmanagement im Gesundheitswesen bei Verwendung der ISO/IEC BSI-Standards SMS nach IT-Grundschutz IT-Sicherheitskonzept nach IT-Grundschutz Normen des Risikomanagements Risikomanagement nach DIN ISO Risikomanagement nach ISO/IEC DIN EN

4 2.5 Zusammenfassung und Auswahl relevanter Normen und Standards 55 3 ENTWICKLUNG EINER GANZHEITLICHEN METHODE ZUR PROZESSORIENTIERTEN RISIKOANALYSE IM KRANKENHAUS Aufbau eines Informationssicherheits-Managementsystems (ISMS) im Krankenhaus Einführung eines ISMS Umsetzung und Nutzung eines ISMS Überwachung und Überprüfung eines ISMS Pflege und Verbesserung eines ISMS Risikomanagement als Kernprozess eines Informationssicherheits-Managementsystems Begriff Risiko im Gesundheitswesen Begründungsansätze für das Risikomanagement ISO-konformes Risikomanagement Top Down-Ansatz Bottom Up-Ansatz Top Down- und Bottom Up-Ansatz als Konzept für das Informationssicherheitsmanagement im Krankenhaus Potenziale einer prozessorientierten Vorgehensweise im Krankenhaus Sicherheitsmanagement als Geschäftsprozess Geschäftsprozesse als interpersonales Kommunikationsmedium Erweiterung des Analyse- und Gestaltungsbereichs Ableitung und Konkretisierung von Sicherheitszielen Geschäftsprozesse als Untersuchungsobjekte Geschäftsprozesse als Gestaltungsobjekte Risikoidentifikation im Rahmen der Geschäftsprozessmodellierung ARIS-Software ARIS-Konzept und Erweiterungen Das ARIS-Phasenmodell 95 XI

5 XII Identifikation von Informationswerten Identifikation und Dokumentation von Bedrohungen und Schwachstellen Zusammenfassung SOFTWARE-WERKZEUGE UND -SYSTEME ZUR UNTERSTÜTZUNG DES RISIKOMANAGEMENTS IM RAHMEN DES ISMS GSTOOL Stammdatenpflege Schutzbedarfsfeststellung IT-Grundschutzanalyse Ergänzende Sicherheitsanalyse 1'0 4.2 GRAMM Tool Aktivpostenbewertung und Einschätzung Bedrohungs- und Schadensanfalligkeitsbewertung Auswahl von Gegenmaßnahmen und Empfehlungen Verinice-System Abschließende Bewertung der analysierten Tools und Systeme Zusammenfassung ENTWICKLUNG EINER SOFTWAREGESTÜTZTEN RISIKOIDENTIFIKATION FÜR DAS KRANKENHAUS Mögliche Import-Alternativen für Verinice Erstellung von benutzerdefinierten Reports mit ARIS Umfang des Reports Programmierung des CSV-Reports Aufbau des Quelltextes Import eines CSV-Reports in Verinice-System Programmierung des XML-Reports Grundlegende Überlegungen und vorbereitende Tätigkeiten Aufbau des Quelltextes eines XML-Reports in ARIS Anlegen unterschiedlicher Asset-Typen Auslesen der ARIS-Attribute 148

6 XIII Auslesen und Anlegen von Verknüpfungen zwischen Objekten Synchronisation von Attributen Überprüfung des Ergebnisses Einsatz im Rahmen einer Middleware-Lösung Zusammenfassung ANWENDUNG DES ENTWICKELTEN COMPUTERBASIERTEN SYSTEMS IM KRANKENHAUS Problemstellung im Krankenhaus Zielsetzung im Projekt e-med ppp" Erhebung der Versorgungsprozesse Auswahl der Analysebereiche Auswahl eines Modellierungswerkzeuges und Erarbeitung der Modellierungskonventionen Analyse des Sachlogischen Prozessablaufes Modellierung des Prozessablaufes Erhebung von Zeit- und Kostengrößen Bewertung der Ist-Situation Soll-Konzept Rolle von Standards in einer effizienten Supply Chain Informationssicherheit im Soll-Konzept Modulare Zusammensetzung des Soll-Konzeptes Zusammenfassung EVALUIERUNG DES RISIKOIDENTIFIKATIONSSYSTEMS ANHAND AUSGEWÄHLTER PROZESSE IM KRANKENHAUS Prozesse im Anwendungsbereich der Informationssicherheit Medikalproduktentnahme Patientenarmband umlegen Gabe an Patienten Netzplan des e-med ppp"-netzwerkes Anpassung des XML-Reports 190

7 XIV Anpassung der Organisation- und der Gruppen-IDs Ausprägung der Sicherheitsziele Aufnahme von zusätzlichen Informationswerten in den XML- Report Durchführung der Extraktion von relevanten Informationen und Überprüfung der Ergebnisse Durchführung einer Risikobewertung Kritische Bewertung des Risikoidentifikationssystems FAZIT UND AUSBLICK 203 Literaturverzeichnis Anhang XXVII XXXVII