Risikoanalyse der Sicherheitskonzeption in der TI

Größe: px
Ab Seite anzeigen:

Download "Risikoanalyse der Sicherheitskonzeption in der TI"

Transkript

1 Einheitliche Methoden der Informationssicherheit Risikoanalyse der Sicherheitskonzeption in der Version: Revision: \main\rel_online\20 Stand: Status: freigegeben Klassifizierung: öffentlich Referenzierung: [gemmeth_risk] gematik_einheitl_methode_risikoanalyse V1.1.0.doc Seite 1 von 34

2 Dokumentinformationen Änderungen zur Vorversion Einarbeitung Kommentare LA Dokumentenhistorie Version Stand Kap./ Grund der Änderung, besondere Hinweise Bearbeitung Seite freigegeben gematik Einarbeitung Kommentare LA P RC zur Freigabe empfohlen PL P freigegeben gematik gematik_einheitl_methode_risikoanalyse V1.1.0.doc Seite 2 von 34

3 Inhaltsverzeichnis Dokumentinformationen...2 Inhaltsverzeichnis Einordnung des Dokuments Zielsetzung Zielgruppe Geltungsbereich Abgrenzungen Methodik Methodenbeschreibung Risikoidentifikation Assets Bedrohungen Schwachstellen Erfassung von realisierten Maßnahmen Beschreibung des Risikos Risikobewertung Risikobehandlung Restrisikoakzeptanz Unterstützung der Methode Beispiel zur Anwendung der Methode in der Spezifikationsphase Beschreibung Risikoidentifikation Risikobewertung Risikobehandlung Restrisikoakzeptanz Beispiel zur Anwendung der Methode im Wirkbetrieb Risikoidentifikation Risikobewertung Risikobehandlung Verbleibendes Restrisiko nach Maßnahmenumsetzung...28 gematik_einheitl_methode_risikoanalyse V1.1.0.doc Seite 3 von 34

4 4.5 Risikoübernahme Zusatzinformationen Aufwand zur Durchführung Qualitätssicherung Lernmittel Häufig gestellte Fragen (FAQs)...32 Anhang A...33 A1 Abkürzungen...33 A2 Glossar...33 A3 Abbildungsverzeichnis...33 A4 Tabellenverzeichnis...33 A5- Referenzierte Dokumente...34 A5.1 Dokumente der gematik...34 A5.2 Weitere Dokumente...34 gematik_einheitl_methode_risikoanalyse V1.1.0.doc Seite 4 von 34

5 1 Einordnung des Dokuments 1.1 Zielsetzung Das vorliegende Dokument beschreibt die Methodik zur Risikoanalyse in der Sicherheitskonzeption. Die Risikoanalyse der Sicherheitskonzeption in der kurz Risikoanalyse ist eine Teilmethode der Methodik der Sicherheitskonzeption. Die Risikoanalyse wird immer dann angewendet, wenn sich die Notwendigkeit aus der Durchführung der Sicherheitsanalyse der Sicherheitskonzeption ergibt. Die Risikoanalyse gilt für alle Entwicklungsphasen, in denen die Methodik zur Sicherheitskonzeption angewendet wird. Das vorliegende Dokument beschreibt die Risikoanalyse, die im Kern beinhaltet, wie aus einer Schwachstelle und einer Bedrohung ein Risiko abgeleitet und bewertet wird. Das Ergebnis der Risikoanalyse fließt wieder in die Sicherheitsanalyse ein. Methodik der Sicherheitskonzeption Bedrohungs- und Schwachstellenanalyse Übergreifende Festlegungen Sicherheitsanalyse Risikoanalyse Schutzbedarfsfeststellung Umgebungsannahmen Sicherheitsfunktionen Abbildung 1: Methodik der Sicherheitskonzeption Bei Anwendung der Methode werden als Ergebnisse eine Risikobewertung, Maßnahmen zur Behandlung des Risikos und eine Restrisikobewertung geliefert. Als Ergebnisse werden für jedes Risiko die folgenden Ergebnistypen erarbeitet: Beschreibung des Risikos Bewertung des Risikos (Schadensschwere, Eintrittshäufigkeit, Risikolevel) gematik_einheitl_methode_risikoanalyse V1.1.0.doc Seite 5 von 34

6 Entscheidung, wie mit dem Risiko verfahren werden soll Maßnahmen zur Behandlung des Risikos mit Verantwortungen und Umsetzungszeitpunkt 1.2 Zielgruppe Das Dokument richtet sich an Verfasser von Spezifikationen und Sicherheitskonzepten für Fachanwendungen der oder Produkte der. 1.3 Geltungsbereich Dieses Dokument enthält normative Festlegungen zur Telematikinfrastruktur des Deutschen Gesundheitswesens. Der Gültigkeitszeitraum der vorliegenden Version und deren Anwendung in Zulassungsverfahren werden durch die gematik GmbH in gesonderten Dokumenten (z.b. Dokumentenlandkarte, Produkttypsteckbrief, Leistungsbeschreibung) festgelegt und bekannt gegeben. 1.4 Abgrenzungen In diesem Dokument wird nur die Durchführung der Risikoanalyse beschrieben. Die Durchführung und Anwendung der Methoden zur Schutzbedarfsfeststellung [gemmeth_schutzbed], Bedrohungs- und Schwachstellenanalyse [gemmeth_bedr] und Sicherheitsanalyse [gemmeth_sichanalyse] werden in gesonderten Dokumenten beschrieben. 1.5 Methodik Die Risikoanalyse basiert auf ISO Die ISO Norm beschreibt die Bewertung von Informationssicherheits (IS) Risiken. Ein Risiko besteht somit immer dann, wenn eine Schwachstelle durch eine Bedrohung ausgenutzt werden kann. gematik_einheitl_methode_risikoanalyse V1.1.0.doc Seite 6 von 34

7 2 Methodenbeschreibung Die Risikoanalyse wird für die Erstellung der Sicherheitskonzepte, aufbauend auf den Ergebnissen der Sicherheitsanalyse, verwendet. Sollte sich bspw. während der Sicherheitsanalyse herausstellen, dass eine Sicherheitsfunktion in Kombination mit einer Umgebungsannahme nicht geeignet ist, um ein Angriffsszenario mit einem bestimmten Angriffspotential abzuwehren, so muss mit Hilfe der Risikoanalyse der Risikobereich bestimmt und entschieden werden, wie mit dem bestehenden Risiko verfahren werden soll. Abbildung 2: Schematische Darstellung des Ablaufs einer Risikoanalyse Die Risikoanalyse besteht, wie in Abbildung 2 dargestellt, aus vier wesentlichen Prozessschritten: Risikoidentifikation: In diesem Prozessschritt muss das Risiko eindeutig beschrieben werden. Zur Risikobeschreibung gehört die Dokumentation aller Eingangsparameter, wie bspw. von Schwachstellen und Bedrohungen, die für die Risikobewertung notwendig sind. Die genaue Beschreibung der Eingangsparameter erleichtert die Risikobewertung und ist die Grundlage gematik_einheitl_methode_risikoanalyse V1.1.0.doc Seite 7 von 34

8 für eine vergleichbare Risikoanalyse. Abschließend muss das Risiko eindeutig und nachvollziehbar formuliert werden. Risikobewertung: Im Prozessschritt der Risikobewertung wird, basierend auf der Risikoidentifikation, die Bewertung des Risikos vorgenommen. Hierbei werden mit Hilfe von Fachexperten die Schadensschwere und die Eintrittshäufigkeit geschätzt. Aus der Kombination von Schadensschwere und Eintrittshäufigkeit ergibt sich der Risikobereich (blau, grün, gelb, rot) des Risikos. Risikobehandlung: Basierend auf der Risikobewertung muss in diesem Prozessschritt festgelegt werden, wie mit dem bestehenden Risiko verfahren werden soll. Risiken können grundsätzlich akzeptiert oder vermieden, reduziert bzw. transferiert werden. Wird das Risiko als nicht akzeptabel eingeschätzt, so müssen Maßnahmen vorgeschlagen werden, wie mit dem Risiko verfahren werden soll. Für jede Maßnahme muss erneut das verbleibende Risiko (Restrisiko) bewertet werden. Restrisikoakzeptanz: In diesem Prozessschritt werden die Behandlung des Risikos und das verbleibende Restrisiko formal dokumentiert. Die Ergebnisse der Risikoanalyse und somit die Entscheidung, wie mit dem Risiko verfahren werden soll, wird wieder an die Sicherheitsanalyse übergeben. Sollte das Restrisiko von den Entscheidungsträgern als nicht tragbar eingeschätzt werden, so muss der Prozessschritt der Risikobehandlung erneut durchlaufen werden. gematik_einheitl_methode_risikoanalyse V1.1.0.doc Seite 8 von 34

9 2.1 Risikoidentifikation Abbildung 3: Risikoanalyse, Prozessschritt 1 die Risikoidentifikation Wann besteht eigentlich ein Risiko? Woraus besteht ein Risiko und wie wird ein Risiko identifiziert? Die folgende Abbildung 4 veranschaulicht die Bestandteile zur Identifikation von Risiken im Bereich der Informationssicherheit. gematik_einheitl_methode_risikoanalyse V1.1.0.doc Seite 9 von 34

10 Abbildung 4: Herleitung eines Risikos (Quelle: BSI) Risiken können nur entstehen, wenn eine Bedrohung auf ein Asset (in Abbildung 4 als Schutzobjekt bezeichnet) wirkt und die Bedrohung durch eine Schwachstelle zu einem Schaden führen kann. Eine Bedrohung nutzt somit vorhandene Schwachstellen aus und gefährdet ein Asset. Maßnahmen können eine Schwachstelle vollständig schließen oder den möglichen Schaden begrenzen Assets Grundsätzlich können Assets Hardware, Software, Informationsobjekte oder Prozesse sein. Im Kontext der werden hierunter auch die entsprechenden Produkte gefasst. Bei vorheriger Anwendung der Sicherheitsanalyse lässt sich das Asset aus dieser Methode übernehmen Bedrohungen Eine Bedrohung bedroht ein Asset. Sollte die Bedrohung durch Ausnutzung einer Schwachstelle eintreten, entsteht ein Schaden und das Risiko gilt als eingetreten. Bedrohungen setzen sich aus einer Ursache und einer Aktion zusammen. Sollte bspw. die Schwachstelle bestehen, dass Löschberechtigungen nicht angemessen vergeben sind, so wird diese Schwachstelle durch die Ursache Mensch, mit der Ausprägung schädigendes Handeln und der Aktion Löschen bedroht. Die Bedrohung sollte mit eigenen Worten beschrieben werden. Bei vorheriger Anwendung der Bedrohungs- und Schwachstellenanalyse oder der Sicherheitsanalyse lässt sich die Bedrohung aus dieser Methode übernehmen. gematik_einheitl_methode_risikoanalyse V1.1.0.doc Seite 10 von 34

11 2.1.3 Schwachstellen Eine Schwachstelle ist ein sicherheitsrelevanter Fehler eines IT-Systems. Sollte eine Schwachstelle durch eine Bedrohung ausgenutzt werden, entsteht ein Schaden. Der Ursprung von Schwachstellen kann verschieden sein (Schwachstellentyp). In der folgenden Tabelle sind die Schwachstellentypen Technisch, Verfahrensbezogen, Organisatorisch und Menschliches Fehlverhalten ausgeprägt. Jede Schwachstelle, die durch die Sicherheitsanalyse identifiziert wird, soll eindeutig einem Schwachstellentyp zugeordnet und um eine Ausprägung ergänzt werden. Zum besseren Verständnis soll die Schwachstelle konkretisiert werden. Bei vorheriger Anwendung der Bedrohungs- und Schwachstellenanalyse oder der Sicherheitsanalyse lässt sich die Schwachstelle aus dieser Methode übernehmen. Tabelle 1: Übersicht der Schwachstellentypen und -ausprägungen Schwachstelle - Schwachstellentyp Technisch Verfahrensbezogen Organisatorisch Menschliches Fehlverhalten Ausprägung Konträre fachliche Anforderung Konzeptionsfehler Spezifikationsfehler Programmierfehler Konfigurationsfehler Mangelnde Resistenz der Hardware Mangelnde physische Sicherheit der Umgebung Fehlerhafte bzw. unzureichende Verfahrensmodellierung Fehlerhafte bzw. unzureichende Verfahrensbeschreibung Fehlerhafte bzw. unzureichende Verfahrensumsetzung Fehlerhafte bzw. unzureichende Rollen- oder Rechtezuweisung Unzureichende Koordination und Kooperation Offenheit für Social Engineering Mangelnde Kenntnis Mangelnde Sorgfalt, Fahrlässigkeit Fehlbarkeit Erfassung von realisierten Maßnahmen In der Methode der Sicherheitsanalyse werden Angriffsszenarien gegen Sicherheitsfunktionen gestellt und bewertet, ob die Sicherheitsfunktionen ausreichend sind, um dem potentiellen Angriffspotential der Angriffsszenarien entgegenzuwirken. Die Dokumentation der Sicherheitsfunktion oder eventueller weiterer Maßnahmen ist wichtig, um die Bedrohungen und Schwachstellen vollumfänglich einschätzen zu können. gematik_einheitl_methode_risikoanalyse V1.1.0.doc Seite 11 von 34

12 2.1.5 Beschreibung des Risikos Wenn alle notwendigen Informationen vorliegen und dokumentiert wurden, muss das Risiko beschrieben werden. Für die Beschreibung von Risiken ist der folgende Standardsatz vorgegeben: Weil <die folgende Situation besteht (Asset, Bedrohung, Schwachstelle)> besteht das Risiko, dass <der folgende Schaden eintreten kann> Beispiel (hat keinen Einfluss auf die Ausgestaltung der ): Weil die Berechtigungen zum Löschen von Informationen nicht angemessen vergeben sind und zum Löschen von personenbezogenen Daten genutzt werden könnten, besteht das Risiko, dass der Firma ein hoher Image- und finanzieller Schaden entsteht, der den Fortbestand der Firma bedrohen könnte. Der Schaden wird an dieser Stelle noch nicht quantifiziert oder näher bewertet, aus der Beschreibung des Risikos soll jedoch eindeutig hervorgehen, was bei Eintritt des Risikos geschehen kann. In der Praxis stellt sich schnell heraus, dass jedes Risiko mehrere Facetten haben kann und bei der Betrachtung von unterschiedlichen Schwachstellen und Bedrohungen unterschiedlich formuliert oder bewertet werden kann. Hier muss entschieden werden, ob die unterschiedlichen Möglichkeiten ein und das gleiche Risiko adressieren oder eventuell separat betrachtet werden sollten. Für diese Entscheidung gibt es keine Vorgaben und sie muss je nach Sachlage und Themengebiet getroffen werden. Eine eindeutige und widerspruchsfreie Definition von Risiken vereinfacht die Risikobewertung deutlich. gematik_einheitl_methode_risikoanalyse V1.1.0.doc Seite 12 von 34

13 2.2 Risikobewertung Abbildung 5: Risikoanalyse, Prozessschritt 2 die Risikobewertung Die Bewertung des potentiellen Schadens und die Zuordnung zu einer Schadensklasse sowie die Bewertung der erwarteten Eintrittshäufigkeit ist entsprechend der Vorgaben in [gemrl_ripo_#2.1] bzw. [gemrl_ripo_#2.2] durchzuführen. Die Zuordnung des Risikos zum Risikobereich erfolgt anhand der Vorgaben in [gemrl_ripo_#3]. gematik_einheitl_methode_risikoanalyse V1.1.0.doc Seite 13 von 34

14 2.3 Risikobehandlung Abbildung 6: Risikoanalyse, Prozessschritt 3 die Risikobehandlung Nachdem das Risiko durch Fachexperten bewertet wurde, ist transparent, welche Schäden, mit welcher Eintrittshäufigkeit entstehen können. Daraus leitet sich ab, wie groß die Notwendigkeit ist, Maßnahmen zu ergreifen, um die Einstufung des Risikos (den Risikobereich) ggf. zu mindern. Grundsätzlich sind die folgenden Optionen für die Behandlung von Risiken möglich: Risikovermeidung Risikoverminderung/-mitigierung Risikotransferierung Risikoakzeptanz Abhängig vom Risikolevel (grün, gelb, rot, vgl. [gemrl_ripo_]) und somit der Risikobewertung können die oben genannten Optionen angewendet werden. Sollten Risiken nicht vollständig akzeptiert werden (ohne jegliche Maßnahmen zu treffen), ist die Definition von Maßnahmen notwendig. Durch die Beschreibung und Definition des Risikos ist eine präzise, definierte Ausgangsbasis für die Definition von Maßnahmen vorhanden. Die Fachexperten sind nun angehalten und aufgefordert Maßnahmen zu nennen und zu entwickeln, mit denen das Risiko gematik_einheitl_methode_risikoanalyse V1.1.0.doc Seite 14 von 34

15 vermindert, vermieden oder transferiert werden kann. Der Aufwand für die Definition von Maßnahmen hängt vom Risiko ab und kann im Aufwand stark variieren. Wichtig ist, dass für jede Maßnahme die folgenden Punkte definiert werden: Beschreibung der Maßnahme und der einzelnen Schritte Verantwortliche Organisationseinheit zur Umsetzung der Maßnahme Kostenschätzung (Personentage und Beträge) zur Umsetzung der Maßnahme (falls notwendig) Im Anschluss an die Definition der Maßnahme muss durch die Fachexperten eine Restrisikobetrachtung durchgeführt werden, in der bewertet wird, wie sich die Maßnahme auf das Risiko auswirkt. Aus dieser Betrachtung resultiert das Restrisiko (blau, grün, gelb, rot). Das Restrisiko ist somit eine Indikation für die Wirksamkeit der definierten Maßnahmen. Aus den vorgeschlagenen Maßnahmen sollten die Fachexperten eine Maßnahme auswählen und dem Entscheidungsträger als Handlungsempfehlung vorschlagen. 2.4 Restrisikoakzeptanz Abbildung 7: Risikoanalyse, Prozessschritt 4 Risikoakzeptanz gematik_einheitl_methode_risikoanalyse V1.1.0.doc Seite 15 von 34

16 Risiken können nur adressiert und Maßnahmen umgesetzt werden, wenn diese von einem Entscheidungsträger übernommen und die Umsetzung beschlossen wird. In der Methode wird diese Rolle als Risikoverantwortlicher definiert. Der Risikoverantwortliche muss das Risiko verstehen, die von den Fachexperten vorgeschlagenen Maßnahmen sondieren und eine Entscheidung treffen, mit welcher Maßnahme das Risiko abschließend adressiert werden soll und die Umsetzung anweisen und nachverfolgen. Sollte durch die Maßnahmen nicht die bestehende Schwachstelle komplett vermieden werden, so ergibt sich per Definition ein Restrisiko. Dieses Restrisiko kann sich entweder durch einen geringeren erwarteten Schaden bei Eintritt oder eine verminderte Eintrittshäufigkeit auszeichnen. 2.5 Unterstützung der Methode Aufgrund der abweichenden Zielsetzungen der Spezifikationsphase und der Wirkbetriebsphase sollen die in der jeweiligen Phase betrachteten Risiken unterschiedlich dokumentiert werden. Zur Unterstützung der Risikomethode werden daher zwei Templates von der gematik zur Verfügung gestellt, deren Anwendung verbindlich ist: Template Risikobewertung für die Spezifikation: Template Risiko Spezifikation Template Risikobewertung für den Wirkbetrieb: Template Risiko Wirkbetrieb gematik_einheitl_methode_risikoanalyse V1.1.0.doc Seite 16 von 34

17 3 Beispiel zur Anwendung der Methode in der Spezifikationsphase Beispiel: sicherer -Versand 3.1 Beschreibung Für die Versendung von s in der Telematikinfrastruktur () wurde in der Spezifikation eine Transportverschlüsselung der s vorgesehen. s werden somit auf dem Transport zwischen dem Sender zum -Dienst-Anbieter, zwischen - Dienst-Anbietern und vom -Dienst-Anbieter zum Empfänger verschlüsselt, sind jedoch auf den Servern der -Dienst-Anbieter unverschlüsselt. Die Sicherheitsanalyse hat die bestehenden Sicherheitsfunktionen und Umgebungsannahmen für die Versendung von s potentiellen Angriffszenarien gegenübergestellt. Als Resultat dieser Gegenüberstellung wurde identifiziert, dass die Transportverschlüsselung nicht ausreichend ist, um alle Angriffsszenarien adäquat abzuwehren. In einer Risikoanalyse soll nun analysiert werden, wie hoch das bestehende Risiko ist und ob Maßnahmen ergriffen werden müssen. Anhand eines Beispiels wird die Anwendung der Methode aufgezeigt. Das verwendete Beispiel hat keinen Einfluss auf die Ausgestaltung der. 3.2 Risikoidentifikation Die Risikoidentifikation wird durch die Fachexperten durchgeführt und dokumentiert. Es müssen alle relevanten Informationen für die Risikobeschreibung aus der Sicherheitsanalyse übernommen oder falls nicht vorhanden, ergänzt werden. Die vorhandenen Informationen sind in der folgenden Tabelle dargestellt. Tabelle 2: Beispiel 1, Risikoidentifikation Thema Mitwirkende Informationsobjekt Sicherheitsfunktion Umgebungsannahme Risikoidentifikation sicherer -Versand Mitarbeiter A, Mitarbeiter B, Mitarbeiter C Als Informationsobjekt werden -Nachrichten betrachtet die innerhalb der versendet werden und medizinische Daten der Versicherten enthalten. Die E- Mails setzen sich aus dem Header (bspw. Absender und Empfänger) und dem Body (bspw. der Nachricht und der Anhänge) zusammen. Transportverschlüsselung der Nachrichten Die Server der Betreiber sind durch geeignete Maßnahmen vor unberechtigtem physischem und logischem Zugriff geschützt. gematik_einheitl_methode_risikoanalyse V1.1.0.doc Seite 17 von 34

18 Schwachstelle deskriptiv Schwachstellentyp Ausprägung Schwachstellentyp Bedrohung deskriptiv Bedrohungsursache Bedrohungsursache Ausprägung Bedrohungsaktion Bedrohungsaktion Ausprägung Geschädigte Akteure: s sind während der Speicherung auf Servern der -Dienst-Betreiber nicht verschlüsselt. Technisch Designfehler Ein Angreifer könnte sich Zugriff auf -Server der Betreiber verschaffen (schädigendes Handeln) und E- Mails der lesen oder kopieren. Die Vertraulichkeit der s wäre nicht mehr gewährleistet. Mensch Schädigendes Handeln Information Kenntnisnahme Sehr viele / alle Akteure Aus den einzelnen Informationen muss das Risiko zusammenfassend in einem Satz beschrieben werden. Diese Beschreibung gilt als abgestimmte Risikobeschreibung und muss bei der Bewertung des Risikos beachtet werden. Für das Beispiel ergibt sich die folgende Risikobeschreibung: Weil die s der Telematikinfrastruktur auf den -Servern der Betreiber unverschlüsselt abgelegt sind, besteht das Risiko, dass unberechtigte Dritte Zugriff auf die s erlangen und die Vertraulichkeit der s nicht mehr sichergestellt ist. 3.3 Risikobewertung Die Risikobewertung wird durch die Fachexperten vorgenommen. Zur Bewertung werden die Vorgaben für die Schadenskategorien, Schadensklassen und Eintrittshäufigkeitsklassen auf die Risikoinformationen angewendet. Die Reihenfolge der Bewertung ist nicht entscheidend, es hat sich jedoch gezeigt, dass es vorteilhaft ist zuerst die mögliche Schadensschwere zu bestimmen. Schadensschwere: 1.) Zur Bewertung der Schadensschwere müssen die Fachexperten in einem ersten Schritt die vorgegebenen Schadenskategorien durchgehen und die Kategorien auswählen, in denen sie den höchsten Schaden vermuten (Maximumprinzip). Die Schadenskategorien sind in [gemrl_ripo_] definiert. Sollte bereits eine Schutzbedarfsfeststellung für die bedrohten Informationsobjekte vorliegen, so kann diese übernommen werden. In diesem Beispiel wird davon ausgegangen, dass noch keine Schutzbedarfsfeststellung vorliegt. 2.) Nach Auswahl der Schadenkategorien müssen die Fachexperten die möglichen Schadensszenarien diskutieren und sich auf eine Schadensbewertung pro ausgewählter Schadenskategorie verständigen. Bei der Festlegung der Schadensschwere muss die Einhaltung des Maximumprinzips beachtet werden. gematik_einheitl_methode_risikoanalyse V1.1.0.doc Seite 18 von 34

19 Des Weiteren muss die Bestimmung der Schadensschwere nachvollziehbar dokumentiert werden. Zu jeder Schadenseinschätzung muss somit eine kurze Erläuterung verfasst werden. Für dieses Beispiel wurden die folgenden Schadenskategorien/Schadensklassen ausgewählt: Tabelle 3: Beispiel 1, Bewertung der Schadensschwere Schadensklasse / Schadenskategorie Verstoß gegen allgemeine Gesetze und Vorschriften Verstoß gegen das Bundesdatenschutzgesetz Verstoß gegen spezielle, die egk betreffende Gesetze ([GMG], [SGB V]) und Rechtsverordnungen Kein Schaden Niedrig Mittel Hoch Sehr Hoch Verstoß gegen Verträge n/a n/a n/a n/a n/a Beeinträchtigung der Aufgabenerfüllung Negative Innen- bzw. Außenwirkung Finanzielle/Wirtschaftliche Schäden n/a n/a n/a n/a n/a Für die Schadenseinschätzung Sehr Hoch wurde die folgende Begründung verfasst: X X X X X Tabelle 4: Beispiel 1, Risikobewertung Begründung Schadensschwere Bei den Daten handelt es sich um medizinische Daten von Patienten mit einem sehr hohen Schutzbedarf. Ein Verlust der Vertraulichkeit würde daher zu sehr hohen Schäden für den Betroffenen und letztlich der führen. Eintrittshäufigkeit: Analog zur Schadensschwere müssen die Fachexperten die Eintrittshäufigkeit für das Risiko bestimmen. Das Maximalprinzip ist wieder anzuwenden. Als Leitfaden für die Bewertung muss die folgende Tabelle verwendet werden: Tabelle 5: Beispiel 1, Übersicht Eintrittshäufigkeiten Eintrittshäufigkeit Definition Mögliche Auslegungen Sehr häufig ca. 1x/Woche Der Schaden wird unmittelbar erwartet. Häufig ca. 1x/Monat Der Schaden kann jederzeit auftreten und sich jederzeit wiederholen. gematik_einheitl_methode_risikoanalyse V1.1.0.doc Seite 19 von 34

20 Eintrittshäufigkeit Definition Mögliche Auslegungen Gelegentlich ca. 1x/Jahr Der Schaden wird nur mit erheblichem Aufwand und Wissen des Angreifers erwartet. Selten ca. 1x/10 Jahre Der Schaden wird nur erwartet, wenn ein Innentäter unterstützt oder hohe kriminelle Energie vorliegt. Sehr selten ca. 1x/100 Jahre Der Schaden wird nur mit erheblichem technischen Aufwand und hoher krimineller Energie erwartet. Die Eintrittshäufigkeit selten wird durch die Fachexperten wie folgt begründet: Begründung Eintrittshäufigkeit Auf Grund von Sicherheitsmaßnahmen bei den Betreibern ist ein Angriff von außen oder innen auf die -Server nur mit hoher krimineller Energie und mit Hilfe von Innentätern möglich. Die Eintrittshäufigkeit wird daher mit selten bewertet. Risikobereich: Aus der Kombination der Schadensschwere und der Eintrittshäufigkeit ergibt sich der Risikolevel. In diesem Beispiel wurde die Schadensschwere als Sehr Hoch und die Eintrittshäufigkeit als Selten eingeschätzt. Aus dieser Einschätzung ergibt sich ein gelbes Risiko vor Maßnahmen. Gemäß den Vorgaben der Risikobereiche bedeutet diese Einordnung, dass das Risiko akzeptiert werden kann oder es können risikoreduzierende Maßnahmen ergriffen werden. Tabelle 6: Beispiel 1, Risikomatrix Eintrittshäufigkeit (EHK-Klasse) Risikobereich Sehr Häufig (5) Häufig (4) Gelegentlich (3) Selten (2) Sehr Selten (1) 0, nicht möglich (0) 0 kein Schaden (0) Niedrig (1) Mittel (2) Hoch (3) Sehr Hoch (4) Schadensschwere (Schadensklasse) gematik_einheitl_methode_risikoanalyse V1.1.0.doc Seite 20 von 34

21 3.4 Risikobehandlung Die Fachexperten haben das Risiko eingeschätzt (gelbes Risiko). Für die Definition von Maßnahmen und somit Handlungsoptionen zur Reduzierung des Risikos ist die Kreativität und das Fachwissen der Fachexperten gefragt. Ideal typisch werden mehrere Maßnahmen und Handlungsoptionen definiert und bewertet. Tabelle 7: Beispiel Risikobehandlung / Handlungsoptionen Handlungsoptionen Option 1: Risikoreduzierung (Handlungsempfehlung) Den Fachanwendungen soll die Möglichkeit gegeben werden, s vollständig und auf dem gesamten Transportweg (Ende-zu-Ende) zu verschlüsseln. Die Nutzung dieser Option Nachrichtenverschlüsselung soll für die Anwender optional zu oder abschaltbar sein. Empfohlen wird die Nachrichtenverschlüsselung zu verwenden. Entwerfen der technischen Lösung Anpassen der Spezifikationen Schaden: Die Bewertung des Schadens ist unverändert, da bei Eintritt des Risikos (trotz möglicher Verschlüsselung) vertrauliche Daten unberechtigten Dritten zugänglich sein würden. Eintrittshäufigkeit: Die Eintrittshäufigkeit verringert sich auf sehr selten, da davon ausgegangen wird, dass Fachanwender für Daten mit sehr hohem Schutzbedarf die Ende-zu- Ende-Verschlüsselung einsetzen. Kosten: 50 PT Spezifikation Umsetzung: Projekt Restrisikobereich: grün Option 2: Risikovermeidung Den Fachanwendungen wird vorgeschrieben, jede vollständig und auf dem gesamten Transportweg (Ende-zu-Ende) zu verschlüsseln. Der Aufwand entspricht im Wesentlichen der Option 1. Entwerfen der technischen Lösung Anpassen der Spezifikationen Eintrittshäufigkeit: Das beschriebene Risiko kann nicht mehr eintreten, da alle Daten verschlüsselt werden. Kosten: 50 PT Spezifikation Umsetzung: Projekt Restrisikobereich: blau Option 3: Risikoakzeptanz Das Risiko wird akzeptiert und es werden keine zusätzlichen Maßnahmen umgesetzt. Kosten: keine Umsetzung: n/a Restrisikobereich: gelb Das Restrisiko für jede Handlungsoption kann, wie das Risiko, aus der Matrix abgelesen werden. Durch die Umsetzung von Maßnahmen ergeben sich in der Regel Veränderungen in den Einschätzungen zur Schadensschwere und zur Eintrittshäufigkeit. Aus diesen Veränderungen leitet sich das Restrisiko ab. gematik_einheitl_methode_risikoanalyse V1.1.0.doc Seite 21 von 34

22 3.5 Restrisikoakzeptanz Durch die Fachexperten wurde nun: das Risiko identifiziert und beschrieben, eine Risikobewertung vorgenommen, Maßnahmen zur Behebung des Risiko definiert, Restrisiken für die einzelnen Maßnahmen bewertet. Zur finalen Entscheidung, wie mit dem Risiko umgegangen werden soll, muss der Risikoverantwortliche eine Maßnahme oder Handlungsoption auswählen und die Umsetzung dieser Option anweisen und verantworten. Im vorliegenden Beispiel wurde durch den Risikoverantwortlichen entschieden, der Einschätzung der Fachexperten zu folgen und Option 1 umzusetzen. Tabelle 8: Beispiel 1, Fachliche Freigabe Fachliche Freigabe - Die fachliche Korrektheit der Risikobewertung wird bestätigt, die Risiken sind im IS-Risikomanagement aufgenommen und die beschriebenen risikoeinschränkenden Maßnahmen sind, wie oben aufgeführt, geplant und werden durchgeführt. Name Datum Unterschrift Fachexperte 1 <xx.xx.xxxx> <Fachexperte 1> Fachexperte 2 <xx.xx.xxxx> <Fachexperte 2> Fachexperte 2 <xx.xx.xxxx> <Fachexperte 2> Tabelle 9: Beispiel 1, Risikoübernahme Beschluss/Ergebnis Entscheidung Durchführen von Option 1 Risikoübernahme - Das Risiko wird übernommen unter der Maßgabe, dass die festgelegten Maßnahmen umgesetzt werden und das Restrisiko akzeptiert wird. Name Datum Unterschrift Risikoverantwortlicher 1 <xx.xx.xxxx> <Risikoverantwortlicher 1> Durch die Entscheidung, Option 1 umzusetzen, wird automatisch das verbleibende Restrisiko akzeptiert. Einordnung Risiken und Handlungsoptionen: Tabelle 10: Beispiel 1, Risikomatrix und Handlungsoptionen gematik_einheitl_methode_risikoanalyse V1.1.0.doc Seite 22 von 34

23 Eintrittshäufigkeit Risikoeinordnung Sehr häufig gelb rot rot rot Häufig gelb gelb rot rot Gelegentlich grün gelb gelb rot Selten grün grün gelb gelb Sehr selten grün grün grün Option 1 gelb Nicht möglich blau kein Schaden Option 2 Niedrig / einzelne Akteure Mittel / einzelne Akteure oder Niedrig / sehr viele Akteure Hoch / einzelne Akteure oder Mittel / sehr viele Akteure Risiko u. Option 3 Sehr hoch / einzelne Akteure oder Hoch / sehr viele Akteure Schadensklasse (Schadensschwere pro Akteur / Anzahl der Geschädigten) Auf Grund der Risikoanalyse wurde entschieden, eine weitere Sicherheitsfunktion zu implementieren und bereitzustellen. Diese Rückmeldung (Umsetzung von Option 1) wird aus der Risikoanalyse zur Sicherheitskonzeption gegeben. Danach sollte die Sicherheitsfunktion verbessert (Umsetzung der Maßnahmen) und die Methodik der Sicherheitskonzeption erneut durchlaufen werden. Die Risikoanalyse wird an dieser Stelle beendet. gematik_einheitl_methode_risikoanalyse V1.1.0.doc Seite 23 von 34

24 4 Beispiel zur Anwendung der Methode im Wirkbetrieb Beispiel: sicherer -Versand Das verwendete Beispiel hat keinen Einfluss auf die Ausgestaltung der. 4.1 Risikoidentifikation Die Risikoidentifikation wird durch die Fachexperten durchgeführt und dokumentiert. Hierzu dient der erste Teil des Templates zur Risikobewertung. Die zur Beschreibung der Situation notwendigen Informationen müssen aus der Bedrohungs- und Sicherheitsanalyse sowie der Schutzbedarfsfeststellung übernommen und sinnvoll ergänzt werden. Tabelle 11: Template Risikobewertung: Situationsbeschreibung Beschreibung der Situation Allgemeine Beschreibung: Betroffenes Asset (idr. Produkt): Bedrohung: Schwachstelle: Schutzbedarf des Assets: Für die Versendung von s in der Telematikinfrastruktur () wurde in der Spezifikation eine Transportverschlüsselung der s vorgesehen. s werden somit auf dem Transport zwischen dem Sender zum -Dienst-Anbieter, zwischen -Dienst-Anbietern und vom -Dienst-Anbieter zum Empfänger verschlüsselt, sind jedoch auf den Servern der -Dienst-Anbieter unverschlüsselt. Die Sicherheitsanalyse hat die bestehenden Sicherheitsfunktionen und Umgebungsannahmen für die Versendung von s potentiellen Angriffszenarien gegenübergestellt. Als Resultat dieser Gegenüberstellung wurde identifiziert, dass die Transportverschlüsselung nicht ausreichend ist, um alle Angriffsszenarien adäquat abzuwehren. In einer Risikoanalyse soll nun analysiert werden, wie hoch das bestehende Risiko ist und ob Maßnahmen ergriffen werden müssen. Als Informationsobjekt werden -Nachrichten betrachtet, die innerhalb der versendet werden und medizinische Daten der Versicherten enthalten. Die s setzen sich aus dem Header (bspw. Absender und Empfänger) und dem Body (bspw. der Nachricht und der Anhänge) zusammen. Ein Außentäter oder ein Innentäter könnte sich Zugriff auf -Server der Betreiber verschaffen (schädigendes Handeln) und s der lesen oder kopieren. Die Vertraulichkeit der s wäre damit nicht mehr gewährleistet. Unverschlüsselte Speicherung der s auf dem Server des - Dienst-Anbieters. Es handelt sich um medizinische personenbezogene Daten. Laut [gemmeth_schutzbed] ist der Schutzbedarf dieser Datenklasse hinsichtlich des Schutzziels Vertraulichkeit als "sehr hoch" eingestuft. gematik_einheitl_methode_risikoanalyse V1.1.0.doc Seite 24 von 34

Bedrohungs- und Schwachstellenanalyse in der Telematikinfrastruktur

Bedrohungs- und Schwachstellenanalyse in der Telematikinfrastruktur Einheitliche Methoden der Informationssicherheit Bedrohungs- und Schwachstellenanalyse in der Telematikinfrastruktur Version: 1.1.0 Revision: \main\rel_online\16 Stand: 30.05.2013 Status: freigegeben Klassifizierung:

Mehr

ISMS Teil 3 Der Startschuss

ISMS Teil 3 Der Startschuss ISMS Teil 3 Der Startschuss Nachdem das TOP-Managenment die grundsätzliche Entscheidung getroffen hat ein ISMS einzuführen, kann es nun endlich losgehen. Zu Beginn sollte Sie noch die Grundlagen des ISMS

Mehr

Methode zur Dokumentation der Berechtigungen in der Telematikinfrastruktur

Methode zur Dokumentation der Berechtigungen in der Telematikinfrastruktur Einheitliche Methoden der Informationssicherheit Methode zur Dokumentation der Berechtigungen in der Telematikinfrastruktur Version: 1.1.0 Revision: \main\rel_online\17 Stand: 30.05.2013 Status: freigegeben

Mehr

Schutzbedarfsfeststellung in der Telematikinfrastruktur

Schutzbedarfsfeststellung in der Telematikinfrastruktur Einheitliche Methoden der Informationssicherheit Schutzbedarfsfeststellung in der Telematikinfrastruktur Version: 1.1.0 Revision: \main\rel_online\21 Stand: 30.05.2013 Status: freigegeben Klassifizierung:

Mehr

MM-2-111-403-00. IT-Sicherheit

MM-2-111-403-00. IT-Sicherheit MM-2-111-403-00 Rev. Nr.: 01 Rev. Datum: 26.03.2014 Nächste Rev.: 26.03.2017 MM-2-111-403-00 IT-Sicherheit Seite: 1 / 8 MM-2-111-403-00 Rev. Nr.: 01 Rev. Datum: 26.03.2014 Nächste Rev.: 26.03.2017 Ziel

Mehr

IT-Sicherheitsmanagement bei der Landeshauptstadt München

IT-Sicherheitsmanagement bei der Landeshauptstadt München IT-Sicherheitsmanagement bei der Landeshauptstadt München 7. Bayerisches Anwenderforum egovernment Schloss Nymphenburg, München 9. Juni 2015 Dr. Michael Bungert Landeshauptstadt München Direktorium Hauptabteilung

Mehr

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller Agenda ISO 27001+BSI IT Grundschutz ISO 27001 nativ Eignung Fazit http://www.bsi.bund.de Grundsätzlicher Analyseansatz Prozess benötigt Anwendungen

Mehr

Vertrag zur Integrierten Versorgung in der Rheumatologie gemäß 140 a SGB V Anlage 17

Vertrag zur Integrierten Versorgung in der Rheumatologie gemäß 140 a SGB V Anlage 17 Diese Anlage 17 regelt die Anforderungen an die Erstellung und Nutzung der Vertragssoftware und ihre Zulassung gemäß 15 des Vertrages. Sie wird durch fortlaufende nach Maßgabe von 4 dieser Anlage 17 aktualisierte

Mehr

Risikoanalyse mit der OCTAVE-Methode

Risikoanalyse mit der OCTAVE-Methode Risikoanalyse mit der OCTAVE-Methode 07.05.2013 Dr. Christian Paulsen DFN-CERT Services GmbH Bedrohungslage Trends der Informationssicherheit: Hauptmotivation der Angreifer: Geld, Informationen Automatisierte

Mehr

......... http://www.r-tec.net

......... http://www.r-tec.net Digital unterschrieben von Marek Stiefenhofer Date: 2014.09.09 09:18:41 MESZ Reason: (c) 2014, r-tec IT Systeme GmbH.......... r-tec IT Systeme GmbH 09.09.2014 Bedrohungslage 2014 SEITE 3 2010: Stuxnet

Mehr

IT-Riskmanagement Strategie und Umsetzung. Inhalte. Begriffe. Armin Furter TKH Informationmangement Bern

IT-Riskmanagement Strategie und Umsetzung. Inhalte. Begriffe. Armin Furter TKH Informationmangement Bern IT-Riskmanagement Strategie und Umsetzung Armin Furter TKH Informationmangement Bern Inhalte Einführung Allgemeines Risikomangement IT-Risikomanagement Mögliche Methoden Begriffe Bedrohung Schaden Schadensausmass

Mehr

Muster Nachweisdokumentation und Sicherheitsbewertungsbericht

Muster Nachweisdokumentation und Sicherheitsbewertungsbericht Muster Nachweisdokumentation und Sicherheitsbewertungsbericht auf Basis der "Verordnung (EG) Nr. 352/2009 der Kommission vom 24. April 2009 über die Festlegung einer gemeinsamen Sicherheitsmethode für

Mehr

27001 im Kundendialog. ISO Wertschätzungsmanagement. Wie Wertschätzung profitabel macht und den Kunden glücklich

27001 im Kundendialog. ISO Wertschätzungsmanagement. Wie Wertschätzung profitabel macht und den Kunden glücklich ISO 27001 im Kundendialog Informationssicherheit intern und extern organisieren Juni 2014 Was steckt hinter der ISO/IEC 27001:2005? Die internationale Norm ISO/IEC 27001:2005 beschreibt ein Modell für

Mehr

Ergänzung zum BSI-Standard 100-3, Version 2.5

Ergänzung zum BSI-Standard 100-3, Version 2.5 Ergänzung zum BSI-Standard 100-3, Version 2.5 Verwendung der elementaren Gefährdungen aus den IT-Grundschutz-Katalogen zur Durchführung von Risikoanalysen Stand: 03. August 2011 Bundesamt für Sicherheit

Mehr

Containerformat Spezifikation

Containerformat Spezifikation Containerformat Spezifikation Version 1.0-09.05.2011 Inhaltsverzeichnis 0 Einführung... 4 0.1 Referenzierte Dokumente... 4 0.2 Abkürzungen... 4 1 Containerformat... 5 1.1 Aufbau des Container-Headers...

Mehr

MailSealer Light. Stand 10.04.2013 WWW.REDDOXX.COM

MailSealer Light. Stand 10.04.2013 WWW.REDDOXX.COM MailSealer Light Stand 10.04.2013 WWW.REDDOXX.COM Copyright 2012 by REDDOXX GmbH REDDOXX GmbH Neue Weilheimer Str. 14 D-73230 Kirchheim Fon: +49 (0)7021 92846-0 Fax: +49 (0)7021 92846-99 E-Mail: sales@reddoxx.com

Mehr

Vereinbarung über den elektronischen Datenaustausch (EDI)

Vereinbarung über den elektronischen Datenaustausch (EDI) Vereinbarung über den elektronischen Datenaustausch (EDI) RECHTLICHE BESTIMMUNGEN Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen von und zwischen: EVI Energieversorgung Hildesheim

Mehr

Informationsrisikomanagement und Auslagerungsmanagement, Erfahrungen aus 44 KWG Prüfungen

Informationsrisikomanagement und Auslagerungsmanagement, Erfahrungen aus 44 KWG Prüfungen Informationsveranstaltung IT-Aufsicht bei Banken Informationsrisikomanagement und Auslagerungsmanagement, Erfahrungen aus 44 KWG Prüfungen Axel Leckner - Informationsveranstaltung IT-Aufsicht bei 1 Banken

Mehr

Kapitel 2: Grundlagen. Wolfgang Hommel, Helmut Reiser, LRZ, WS 2015/16 IT-Sicherheit 1

Kapitel 2: Grundlagen. Wolfgang Hommel, Helmut Reiser, LRZ, WS 2015/16 IT-Sicherheit 1 Kapitel 2: Grundlagen 1 Kapitel 2: Inhalt 1. Ziele der Informationssicherheit 2. Systematik zur Einordnung von Sicherheitsmaßnahmen 3. Technik & Organisation - ISO/IEC 27000 4. Abgrenzung: Security vs.

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 9.0

Sicherheitstechnische Qualifizierung (SQ), Version 9.0 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Freistuhl 7 44137 Dortmund für den Webshop RWE SmartHome Shop die Erfüllung aller Anforderungen

Mehr

Maintenance & Re-Zertifizierung

Maintenance & Re-Zertifizierung Zertifizierung nach Technischen Richtlinien Maintenance & Re-Zertifizierung Version 1.2 vom 15.06.2009 Bundesamt für Sicherheit in der Informationstechnik Postfach 20 03 63 53133 Bonn Tel.: +49 22899 9582-0

Mehr

IT-Grundschutz-Novellierung 2015. Security Forum 2015. Hagenberger Kreis. Joern Maier, Director Information Security Management

IT-Grundschutz-Novellierung 2015. Security Forum 2015. Hagenberger Kreis. Joern Maier, Director Information Security Management IT-Grundschutz-Novellierung 2015 Security Forum 2015 Hagenberger Kreis Joern Maier, Director Information Security Management 1 AGENDA 1 Ausgangslage 2 unbekannte Neuerungen 3 mögliche geplante Überarbeitungen

Mehr

Sicherheitsbewertungsbericht

Sicherheitsbewertungsbericht Sicherheitsbewertungsbericht auf Basis der "Verordnung (EG) Nr. 352/2009 der Kommission vom 24. April 2009 über die Festlegung einer gemeinsamen Sicherheitsmethode für die Evaluierung und Bewertung von

Mehr

E i n f ü h r u n g u n d Ü b e r s i c h t

E i n f ü h r u n g u n d Ü b e r s i c h t E i n f ü h r u n g u n d Ü b e r s i c h t Informationssicherheit in Gemeinden mit einer Bevölkerungszahl < 4 000 und in privaten Organisationen mit einem Leistungsauftrag wie Alters- und Pflegeheime

Mehr

T.I.S.P. Community Meeting 2013 Berlin, 04. - 05.11.2013. Werte- und prozessorientierte Risikoanalyse mit OCTAVE

T.I.S.P. Community Meeting 2013 Berlin, 04. - 05.11.2013. Werte- und prozessorientierte Risikoanalyse mit OCTAVE T.I.S.P. Community Meeting 2013 Berlin, 04. - 05.11.2013 Werte- und prozessorientierte Risikoanalyse mit OCTAVE Christian Aust.consecco Dr. Christian Paulsen DFN-CERT Was Sie erwartet Vorstellung von OCTAVE:

Mehr

Vereinbarung über den elektronischen Datenaustausch (EDI)

Vereinbarung über den elektronischen Datenaustausch (EDI) Vereinbarung über den elektronischen Datenaustausch (EDI) RECHTLICHE BESTIMMUNGEN Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen von und zwischen: Energieversorgung Marienberg

Mehr

Vertragsmanagement im Mittelstand - Strategien zur wirtschaftlichen Behandlung von Risiken

Vertragsmanagement im Mittelstand - Strategien zur wirtschaftlichen Behandlung von Risiken Vertragsmanagement im Mittelstand - Strategien zur wirtschaftlichen Behandlung von Risiken VDE Südbayern AK Unternehmensmanagement Innung für Elektro- und Informationstechnik Haus II, Seminarraum 3 / 5.

Mehr

Vereinbarung über den elektronischen Datenaustausch (EDI)

Vereinbarung über den elektronischen Datenaustausch (EDI) Vereinbarung über den elektronischen Datenaustausch (EDI) RECHTLICHE BESTIMMUNGEN Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen von und zwischen: und Stadtwerke Bad Salzuflen

Mehr

Vereinbarung über den elektronischen Datenaustausch (EDI)

Vereinbarung über den elektronischen Datenaustausch (EDI) Vereinbarung über den elektronischen Datenaustausch (EDI) RECHTLICHE BESTIMMUNGEN Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen von und zwischen: ew-schmid gmbh Untere Ringstr.

Mehr

Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen -

Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen - Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen - Agenda Die BDGmbH Gründe für eine ISO 27001 Zertifizierung Was ist die ISO 27001? Projektablauf Welcher Nutzen konnte erzielt werden? Seite 2

Mehr

Dirk Loomans, Micha-Klaus Müller. Bedrohungs- und Schwachstellenanalysen

Dirk Loomans, Micha-Klaus Müller. Bedrohungs- und Schwachstellenanalysen Dirk Loomans, Micha-Klaus Müller Bedrohungs- und Schwachstellenanalysen Übersicht über die Arbeitshilfen risikoanalyse.doc Das Klammersymbol Checkliste zur Durchführung einer Risikoanalyse im Text verweist

Mehr

Arbeitshilfe zur Vertraulichkeits-/Integritätsanalyse und Kryptobedarfsanalyse

Arbeitshilfe zur Vertraulichkeits-/Integritätsanalyse und Kryptobedarfsanalyse Arbeitshilfe zur Vertraulichkeits-/Integritätsanalyse und Kryptobedarfsanalyse Verfasser: BSI Ref. 113 Version: 1.0 Stand: 26. Januar 2009 Bundesamt für Sicherheit in der Informationstechnik Postfach 20

Mehr

Handreichung zum datenschutzgerechten Umgang mit besonders schützenswerten Daten beim Versand mittels De-Mail

Handreichung zum datenschutzgerechten Umgang mit besonders schützenswerten Daten beim Versand mittels De-Mail . E Bonn, 1. März 2013 Handreichung zum datenschutzgerechten Umgang mit besonders schützenswerten Daten beim Versand mittels De-Mail Die Handreichung soll die Nutzer von De-Mail für die datenschutzrechtlichen

Mehr

Vereinbarung über den elektronischen Datenaustausch(EDI)

Vereinbarung über den elektronischen Datenaustausch(EDI) Vereinbarung über den elektronischen Datenaustausch(EDI) zwischen und - nachfolgend die Vertragspartner genannt Seite 1von6 1 Zielsetzung und Geltungsbereich 1.1 Die"EDI-Vereinbarung", nachfolgend"die

Mehr

Mustervereinbarung über den elektronischen Datenaustausch (EDI)

Mustervereinbarung über den elektronischen Datenaustausch (EDI) Mustervereinbarung über den elektronischen Datenaustausch (EDI) RECHTLICHE BESTIMMUNGEN Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen von und zwischen: Stadtwerke Waldkirch

Mehr

Vereinbarung über den elektronischen Datenaustausch (EDI)

Vereinbarung über den elektronischen Datenaustausch (EDI) Vereinbarung über den elektronischen Datenaustausch (EDI) RECHTLICHE BESTIMMUNGEN Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen von und zwischen: und Stadtwerke Marburg GmbH,

Mehr

Vereinbarung über den elektronischen Datenaustausch (EDI)

Vereinbarung über den elektronischen Datenaustausch (EDI) Vereinbarung über den elektronischen Datenaustausch (EDI) RECHTLICHE BESTIMMUNGEN Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen von und zwischen: Transportkunde und Energieversorgung

Mehr

Containerformat Spezifikation

Containerformat Spezifikation Containerformat Spezifikation Version 1.1-21.02.2014 Inhaltsverzeichnis 0 Einführung... 4 0.1 Referenzierte Dokumente... 4 0.2 Abkürzungen... 4 1 Containerformat... 5 1.1 Aufbau des Container-Headers...

Mehr

Vereinbarung über den elektronischen Datenaustausch (EDI)

Vereinbarung über den elektronischen Datenaustausch (EDI) Vereinbarung über den elektronischen Datenaustausch (EDI) RECHTLICHE BESTIMMUNGEN Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen von und zwischen: Stadtwerke Kaltenkirchen

Mehr

Verfahrensanweisung Umgang mit Beschwerden.doc INHALT

Verfahrensanweisung Umgang mit Beschwerden.doc INHALT INHALT 1 Zweck und Anwendungsbereich 2 2 Begriffe / Definitionen 2 2.1 Definitionen 2 3 Zuständigkeiten 2 4 Verfahrensbeschreibung 3 4.1 Schematische Darstellung Fehler! Textmarke nicht definiert. 4.2

Mehr

Vereinbarung über den elektronischen Datenaustausch

Vereinbarung über den elektronischen Datenaustausch Vereinbarung über den elektronischen Datenaustausch RECHTLICHE BESTIMMUNGEN Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen von und zwischen: Stadtwerke Heidelberg Netze GmbH

Mehr

Lieferantenrahmenvertrag Gas Anlage 3 Mustervereinbarung über den elektronischen Datenaustausch (EDI) RECHTLICHE BESTIMMUNGEN

Lieferantenrahmenvertrag Gas Anlage 3 Mustervereinbarung über den elektronischen Datenaustausch (EDI) RECHTLICHE BESTIMMUNGEN RECHTLICHE BESTIMMUNGEN Die Vereinbarung über den elektronischen wird getroffen von und zwischen: NEW Schwalm-Nette Netz GmbH Rektoratstraße 18 41747 Viersen 9870115400002 und «Lieferant» «Straße» «PLZ»

Mehr

Die Vereinbarung besteht aus den nachfolgenden Rechtlichen Bestimmungen und wird durch einen Technischen Anhang ergänzt.

Die Vereinbarung besteht aus den nachfolgenden Rechtlichen Bestimmungen und wird durch einen Technischen Anhang ergänzt. EDI-Vereinbarung zum elektronischen Datenaustausch für die Abrechnung der Netznutzung RECHTLICHE BESTIMMUNGEN Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen von und zwischen:

Mehr

Vereinbarung über den elektronischen Datenaustausch (EDI) Gas

Vereinbarung über den elektronischen Datenaustausch (EDI) Gas Vereinbarung über den elektronischen Datenaustausch (EDI) Gas RECHTLICHE BESTIMMUNGEN Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen von und zwischen: Netzbetreiber Stadtwerke

Mehr

Mustervereinbarung über den elektronischen Datenaustausch (EDI)

Mustervereinbarung über den elektronischen Datenaustausch (EDI) Mustervereinbarung über den elektronischen Datenaustausch (EDI) RECHTLICHE BESTIMMUNGEN Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen von und zwischen: Energie Calw GmbH

Mehr

Vereinbarung über den elektronischen Datenaustausch (EDI)

Vereinbarung über den elektronischen Datenaustausch (EDI) Anlage c zum Netznutzungsvertrag Vereinbarung über den elektronischen Datenaustausch (EDI) zwischen Stadtwerke Heilbad Heiligenstadt GmbH Schlachthofstraße 8 37308 Heilbad Heiligenstadt und nachfolgend

Mehr

Willkommen bei DATEV. it-sa 2013: Forum Rot. PRISM - Gerade deswegen ist Datenschutz noch wichtiger!

Willkommen bei DATEV. it-sa 2013: Forum Rot. PRISM - Gerade deswegen ist Datenschutz noch wichtiger! Willkommen bei DATEV it-sa 2013: Forum Rot PRISM - Gerade deswegen ist Datenschutz noch wichtiger! Wer ist DATEV? Softwarehaus und IT-Dienstleister mit über 40 Jahren Erfahrung mit Software, Services und

Mehr

Leitfaden zum sicheren Betrieb von Smart Meter Gateways

Leitfaden zum sicheren Betrieb von Smart Meter Gateways Leitfaden zum sicheren Betrieb von Smart Meter Gateways Wer Smart Meter Gateways verwaltet, muss die IT-Sicherheit seiner dafür eingesetzten Infrastruktur nachweisen. Diesen Nachweis erbringt ein Gateway-

Mehr

Vereinbarung über den elektronischen Datenaustausch (EDI)

Vereinbarung über den elektronischen Datenaustausch (EDI) Vereinbarung über den elektronischen Datenaustausch (EDI) RECHTLICHE BESTIMMUNGEN Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen von: GEO Gesellschaft für Energieversorgung

Mehr

Vereinbarung über den elektronischen Datenaustausch (EDI)

Vereinbarung über den elektronischen Datenaustausch (EDI) Vereinbarung über den elektronischen Datenaustausch (EDI) zwischen Kraftwerk Köhlgartenwiese GmbH Tegernauer Ortsstraße 9 79692 Kleines Wiesental und - nachfolgend die Vertragspartner genannt Seite 1 von

Mehr

Vereinbarung über den elektronischen Datenaustausch (EDI)

Vereinbarung über den elektronischen Datenaustausch (EDI) Vereinbarung über den elektronischen Datenaustausch (EDI) zwischen Elektrizitätswerke Schönau Netze GmbH Friedrichstr. 53/55 79677 Schönau und - nachfolgend die Vertragspartner genannt Seite 1 von 5 1

Mehr

Vereinbarung über den elektronischen Datenaustausch. EDI-Rahmenvertrag

Vereinbarung über den elektronischen Datenaustausch. EDI-Rahmenvertrag Vereinbarung über den elektronischen Datenaustausch EDI-Rahmenvertrag zwischen den Stadtwerken Esslingen am Neckar GmbH & Co. KG in 73728 Esslingen am Neckar, Fleischmannstraße 50 - im Folgenden "Netzbetreiber"

Mehr

IT-Grundschutz-Zertifizierung von ausgelagerten Komponenten

IT-Grundschutz-Zertifizierung von ausgelagerten Komponenten Ergänzung zum Zertifizierungsschema Nr. 1 Titel ITGrundschutzZertifizierung von ausgelagerten Komponenten Status Version 1.0 Datum Diese Ergänzung zum Zertifizierungsschema gibt verbindliche Hinweise,

Mehr

Risikobasierte Bewertung von Hilfsstoffen

Risikobasierte Bewertung von Hilfsstoffen Risikobasierte Bewertung von Hilfsstoffen Systematische Vorgehensweise beim Risikomanagement-Prozess (in Anlehnung an ICH Q9): Systematische Vorgehensweise beim Risikomanagement-Prozess (in Anlehnung an

Mehr

Richtlinie für Verfahren für interne Datenschutz-Audits

Richtlinie für Verfahren für interne Datenschutz-Audits Richtlinie für Verfahren für interne Datenschutz-Audits Freigabedatum: Freigebender: Version: Referenz: Klassifikation: [Freigabedatum] Leitung 1.0 DSMS 01-01-R-05 Inhaltsverzeichnis 1 Ziel... 2 2 Anwendungsbereich...

Mehr

Vereinbarung über den elektronischen Datenaustausch (EDI)

Vereinbarung über den elektronischen Datenaustausch (EDI) Vereinbarung über den elektronischen Datenaustausch (EDI) RECHTLICHE BESTIMMUNGEN Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen von und zwischen: Stadtwerke Bamberg Energie-

Mehr

Vereinbarung über den elektronischen Datenaustausch (EDI)

Vereinbarung über den elektronischen Datenaustausch (EDI) Anlage c zum Netznutzungsvertrag(Entnahme) gemäß BK6-13-042 Vereinbarung über den elektronischen Datenaustausch (EDI) zwischen Stadtwerke Bamberg Energie- und Wasserversorgung GmbH, Margaretendamm 28,

Mehr

(IT-) Notfallmanagement. gemäß BSI-Standard 100-4. Wirtschaftsinformatiker Krzysztof Paschke GRC Partner GmbH

(IT-) Notfallmanagement. gemäß BSI-Standard 100-4. Wirtschaftsinformatiker Krzysztof Paschke GRC Partner GmbH Kammer-Workshop 2014 (IT-) Notfallmanagement gemäß BSI-Standard 100-4 Vorschlag: Screenshot-Folie (auch unter den Masterfolien angelegt) Wirtschaftsinformatiker Krzysztof Paschke GRC Partner GmbH Agenda

Mehr

ReConf 2008 Methoden des Anforderungsmanagements der gematik

ReConf 2008 Methoden des Anforderungsmanagements der gematik Mit Sicherheit Sicherheit! Moving Targets, Time Boxing, Anforderungszerrung und Sicherheit gewährleistet. Methodisches Anforderungsmanagement unter restriktiven Randbedingungen. ReConf 2008 Methoden des

Mehr

Vertrag zur Hausarztzentrierten Versorgung gemäß 73 b Abs. 4 Satz 1 SGB V Anlage 1

Vertrag zur Hausarztzentrierten Versorgung gemäß 73 b Abs. 4 Satz 1 SGB V Anlage 1 Diese Anlage 1 regelt die Anforderungen an die Erstellung, Nutzung und Zulassung der Vertragssoftware gemäß 8 des HzV-Vertrages. Sie wird durch fortlaufend nach Maßgabe von 4 dieser Anlage 1 aktualisierte

Mehr

Vereinbarung über den elektronischen Datenaustausch (EDI)

Vereinbarung über den elektronischen Datenaustausch (EDI) Vereinbarung über den elektronischen Datenaustausch (EDI) Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen zwischen: Greizer Energienetze GmbH Mollbergstr. 20 07973 Greiz (Verteilnetzbetreiber)

Mehr

Vereinbarung über den elektronischen Datenaustausch (EDI)

Vereinbarung über den elektronischen Datenaustausch (EDI) Vereinbarung über den elektronischen Datenaustausch (EDI) Zwischen dem Netzbetreiber Strom und Gas Netze BW GmbH Schelmenwasenstr. 15, 70567 Stuttgart und dem Lieferanten / dem Transportkunden: Name:.

Mehr

Vertrag zur Hausarztzentrierten Versorgung gemäß 73b Abs. 4 Satz 1 SGB V Anlage 1 zwischen BHÄV und AOK Bayern

Vertrag zur Hausarztzentrierten Versorgung gemäß 73b Abs. 4 Satz 1 SGB V Anlage 1 zwischen BHÄV und AOK Bayern Diese Anlage 1 regelt die Anforderungen an die Erstellung, Nutzung und Zulassung der Vertragssoftware gemäß 8 des HzV-Vertrages. Sie wird durch fortlaufend nach Maßgabe von 4 dieser Anlage 1 aktualisierte

Mehr

Vereinbarung über den elektronischen Datenaustausch (EDI) (Stand: 20110101)

Vereinbarung über den elektronischen Datenaustausch (EDI) (Stand: 20110101) Vereinbarung über den elektronischen Datenaustausch (EDI) (Stand: 20110101) RECHTLICHE BESTIMMUNGEN Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen von und zwischen: und Energie

Mehr

Information Security Policy für Geschäftspartner

Information Security Policy für Geschäftspartner safe data, great business. Information Security Policy für Geschäftspartner Raiffeisen Informatik Center Steiermark Raiffeisen Rechenzentrum Dokument Eigentümer Version 1.3 Versionsdatum 22.08.2013 Status

Mehr

Organisatorische Einbindung eines Risikomanagementsystems in mittelständische Unternehmen

Organisatorische Einbindung eines Risikomanagementsystems in mittelständische Unternehmen Organisatorische Einbindung eines Risikomanagementsystems März 2002 Andreas Henking www.risk-sim.de 1 Einleitung Wichtiger Erfolgsfaktor bei der Einführung von Risikomanagementsystemen ist die richtige

Mehr

Projekt IT-Sicherheitskonzept.DVDV

Projekt IT-Sicherheitskonzept.DVDV Projekt IT-Sicherheitskonzept.DVDV Dokumentation.Sicherheitsrichtlinie.Server DVDV Dienstleister Bundesverwaltungsamt BIT 3 Barbarastr. 1 50735 Köln 10. Mai 2006 Dokumentinformationen Projekt IT-Sicherheitskonzept.DVDV

Mehr

Vereinbarung über den elektronischen Datenaustausch (EDI)

Vereinbarung über den elektronischen Datenaustausch (EDI) Vereinbarung über den elektronischen Datenaustausch (EDI) Zwischen Stadtwerke Merseburg GmbH Große Ritterstraße 9 06217 Merseburg VDEW-Nr.: 9900964000008 (nachfolgend Netzbetreiber genannt) und Name Straße

Mehr

RECHTLICHE BESTIMMUNGEN

RECHTLICHE BESTIMMUNGEN Seite 1 von 5 Anlage 4 zum Netznutzungsvertrag (Erdgas) EDI-Rahmenvereinbarung RECHTLICHE BESTIMMUNGEN Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen zwischen: Alliander Netz

Mehr

Vereinbarung über den elektronischen Datenaustausch (EDI)

Vereinbarung über den elektronischen Datenaustausch (EDI) Vereinbarung über den elektronischen Datenaustausch (EDI) Zwischen Stadtwerke Merseburg GmbH Große Ritterstraße 9 06217 Merseburg DVGW-Nr.: 9870079700001 (nachfolgend Netzbetreiber genannt) und Name Straße

Mehr

Methodik zur Datenschutzkonzeption in der Telematikinfrastruktur

Methodik zur Datenschutzkonzeption in der Telematikinfrastruktur Einführung der Gesundheitskarte Methodik zur Datenschutzkonzeption in der Telematikinfrastruktur Version: 1.1.0 Revision: \main\rel_online\20 Stand: 30.05.2013 Status: freigegeben Klassifizierung: öffentlich

Mehr

Elektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit

Elektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit Elektronische Signatur praktischer Nutzen für Unternehmen Grundlagen der Informationssicherheit Knut Haufe Studium der Wirtschaftsinformatik an der Technischen Universität Ilmenau Vom Bundesamt für Sicherheit

Mehr

RECHTLICHE BESTIMMUNGEN Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen von und zwischen:

RECHTLICHE BESTIMMUNGEN Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen von und zwischen: Anlage 3: Vereinbarung über den elektronischen Datenaustausch (EDI) RECHTLICHE BESTIMMUNGEN Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen von und zwischen: Strom- und Gasversorgung

Mehr

IT-Sicherheitsanalyse: Motivation, Vorgehen und Auswirkungen Am Beispiel von ios

IT-Sicherheitsanalyse: Motivation, Vorgehen und Auswirkungen Am Beispiel von ios IT-Sicherheitsanalyse: Motivation, Vorgehen und Auswirkungen Am Beispiel von ios Beat Meister Leiter Architektur Board, EJPD Aldo Rodenhäuser Senior IT Consultant, AdNovum 19. September 2012 2 Agenda Ausgangslage

Mehr

Vereinbarung über den elektronischen Datenaustausch (EDI)

Vereinbarung über den elektronischen Datenaustausch (EDI) Vereinbarung über den elektronischen Datenaustausch (EDI) Rechtliche Bestimmungen Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen von und zwischen: Stadtwerke Premnitz GmbH

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 7. Übung im SoSe 2014: IT-Risikomanagement

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 7. Übung im SoSe 2014: IT-Risikomanagement und der IT-Sicherheit Musterlösung zur 7. Übung im SoSe 2014: IT-Risikomanagement 7.1 Risikoportfolio Vertraulichkeit Aufgabe: Gegeben seien folgende Werte einer Sicherheitsanalyse eines IT-Systems hinsichtlich

Mehr

Vereinbarung über den elektronischen Datenaustausch (EDI) Strom

Vereinbarung über den elektronischen Datenaustausch (EDI) Strom Ergänzung zum Lieferantenrahmenvertrag Strom Vereinbarung über den elektronischen Datenaustausch (EDI) Strom RECHTLICHE BESTIMMUNGEN Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen

Mehr

SÜC Energie und H 2 O GmbH Anlage 2

SÜC Energie und H 2 O GmbH Anlage 2 Anlage 2 Vereinbarung über den elektronischen Datenaustausch (EDI Vereinbarung) zwischen, vertreten durch,, und SÜC Energie und H 2 O GmbH (SÜC), vertreten durch den Geschäftsführer Götz-Ulrich Luttenberger,

Mehr

Umsetzungsverfahren. Inhalt. KMU-Zertifizierung Informationssicherheit

Umsetzungsverfahren. Inhalt. KMU-Zertifizierung Informationssicherheit Umsetzungsverfahren KMU-Zertifizierung Informationssicherheit Inhalt Umsetzungsverfahren... 1 Umsetzungsverfahren zur KMU-Zertifizierung nach OVVI Summary... 2 1. Information Security Policy / IT-Sicherheitsleitlinie...

Mehr

Vereinbarung über den elektronischen Datenaustausch (EDI)

Vereinbarung über den elektronischen Datenaustausch (EDI) Vereinbarung über den elektronischen Datenaustausch (EDI) RECHTLICHE BESTIMMUNGEN Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen von und zwischen: und Energieversorgung Pirna

Mehr

Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement

Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement (CRM) Dr. Patrick Grete Referat B22 Analyse von Techniktrends in der Informationssicherheit 2. IT-Grundschutz Tag

Mehr

12.08.2015. Risikomanagement in der Altenpflege. Risikomanagement. Aus Risiken können Fehler entstehen, deshalb:

12.08.2015. Risikomanagement in der Altenpflege. Risikomanagement. Aus Risiken können Fehler entstehen, deshalb: Wissen schafft Erfolg und Kompetenz in der Altenpflege 2015 Herbert Müller Orga - Schwerte Qualitätsmanagement Beschwerde / Verbesserungs management Qualitätssicherung Qualitätsmanagement Fehlermanagement

Mehr

XT Bundesrepublik Deutschland, 2004, Alle Rechte vorbehalten

XT Bundesrepublik Deutschland, 2004, Alle Rechte vorbehalten XT Bundesrepublik Deutschland, 2004, Alle Rechte vorbehalten -Planung und Steuerung: Projektfortschrittsentscheidung- Projektfortschrittsentscheidung für InfoMaPa Projekt genehmigt Version: 1.1 Projektbezeichnung

Mehr

Zulassung Produkte der Telematikinfrastruktur hier: gematik Root-CA

Zulassung Produkte der Telematikinfrastruktur hier: gematik Root-CA Einführung der Gesundheitskarte Verfahrensbeschreibung Zulassung Produkte der Version: 1.0.0 Revision: \main\17 Stand: 15.05.2014 Status: freigegeben Klassifizierung: öffentlich Referenzierung: [gemzul_prod_x509root]

Mehr

der Informationssicherheit

der Informationssicherheit Alexander Wagner Prozessorientierte Gestaltung der Informationssicherheit im Krankenhaus Konzeptionierung und Implementierung einer prozessorientierten Methode zur Unterstützung der Risikoanalyse Verlag

Mehr

IT-Sicherheit in der Energiewirtschaft

IT-Sicherheit in der Energiewirtschaft IT-Sicherheit in der Energiewirtschaft Sicherer und gesetzeskonformer IT-Systembetrieb Dr. Joachim Müller Ausgangssituation Sichere Energieversorgung ist Voraussetzung für das Funktionieren unseres Gemeinwesens

Mehr

Version 8.0 Brainloop Secure Dataroom Artikel Serie - Folge 3

Version 8.0 Brainloop Secure Dataroom Artikel Serie - Folge 3 Version 8.0 kommt in Kürze! Was ändert sich? Lesen Sie Folge 3 unserer Serie: Zusammenarbeit im Datenraum Lesen Sie in der dritten Folge unserer Artikel-Serie, wie Sie effizient über den Datenraum mit

Mehr

Kochbuch für eine Business Impact Analyse. von bcm-news.de

Kochbuch für eine Business Impact Analyse. von bcm-news.de Kochbuch für eine Business Impact Analyse von bcm-news.de Phasen zur Durchführung einer Business Impact Analyse Scope und Konzeption Erhebung Analyse und Entscheidung Festlegung des Umfangs der BIA Konzeption

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit und der IT-Sicherheit Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit 5.1 Sicherheitskonzept Aufgabe: Welche Aspekte sollten in einem Sicherheitskonzept, das den laufenden Betrieb der

Mehr

Vertrag zur Hausarztzentrierten Versorgung gemäß 73 b Abs. 4 Satz 1 SGB V mit der GWQ Anlage 1

Vertrag zur Hausarztzentrierten Versorgung gemäß 73 b Abs. 4 Satz 1 SGB V mit der GWQ Anlage 1 Diese Anlage 1 regelt die Anforderungen an die Erstellung und Nutzung der Vertragssoftware gemäß 8 Abs. 1 Satz 1 und ihre Zulassung gemäß 8 Abs. 2 des HzV-Vertrages. Sie wird durch fortlaufende nach Maßgabe

Mehr

IS-Revision in der Verwaltung

IS-Revision in der Verwaltung IS-Revision in der Verwaltung Dr. Gerhard Weck INFODAS GmbH, Köln 27. November 2009 Inhalt Nationaler Plan zur Sicherung der Informationsinfrastrukturen (NPSI) Umsetzungsplan KRITIS Umsetzungsplan Bund

Mehr

S TAND N OVEMBE R 2012 HANDBUCH DUDLE.ELK-WUE.DE T E R M I N A B S P R A C H E N I N D E R L A N D E S K I R C H E

S TAND N OVEMBE R 2012 HANDBUCH DUDLE.ELK-WUE.DE T E R M I N A B S P R A C H E N I N D E R L A N D E S K I R C H E S TAND N OVEMBE R 2012 HANDBUCH T E R M I N A B S P R A C H E N I N D E R L A N D E S K I R C H E Herausgeber Referat Informationstechnologie in der Landeskirche und im Oberkirchenrat Evangelischer Oberkirchenrat

Mehr

Produkttypsteckbrief. Bestätigungsgegenstand Sicherheit für die Herausgabe- und Nutzungsprozesse der egk

Produkttypsteckbrief. Bestätigungsgegenstand Sicherheit für die Herausgabe- und Nutzungsprozesse der egk Einführung der Gesundheitskarte Produkttypsteckbrief Prüfvorschrift Sicherheit für die Herausgabe- und Nutzungsprozesse der egk Produkttypstatus: freigegeben Version: 1.1.0 Revision: \main\rel_ors1\3 Stand:

Mehr

IT-Grundschutz praktisch im Projekt Nationales Waffenregister

IT-Grundschutz praktisch im Projekt Nationales Waffenregister IT-Grundschutz praktisch im Projekt Nationales Waffenregister Günther Ennen Bundesamt für Sicherheit in der Informationstechnik 19. Berliner Anwenderforum E-Government am 19. und 20. Februar 2013 Fachforum

Mehr

I n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000

I n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000 Leitfaden I n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000 Inhalt 1 Einleitung... 2 2 Übersicht Dokumente... 2 3 Umsetzung der Anforderungen an

Mehr

IT-Grundschutzhandbuch: Stand Juli 1999 1

IT-Grundschutzhandbuch: Stand Juli 1999 1 1. Information Security Policy 1.1. Einleitung Die Firma/Behörde ist von Informationen abhängig. Informationen entscheiden über unseren Erfolg und den unserer Kunden. Von größter Wichtigkeit ist neben

Mehr

Grundlagen des Datenschutzes

Grundlagen des Datenschutzes Vorlesung im Sommersemester 2009 an der Universität Ulm von 2. Grundlagen der IT-Sicherheit Grundlagen der IT-Sicherheit Geschichte des Datenschutzes Anforderungen zur IT-Sicherheit Datenschutzrechtliche

Mehr

FORUM Gesellschaft für Informationssicherheit mbh. GenoBankSafe-IT Der IT-Sicherheitsmanager

FORUM Gesellschaft für Informationssicherheit mbh. GenoBankSafe-IT Der IT-Sicherheitsmanager FORUM Gesellschaft für Informationssicherheit mbh GenoBankSafe-IT Der IT-Sicherheitsmanager Was leistet die Software und wozu wird sie benötigt? GenoBankSafe-IT bietet ein vollständiges IT-Sicherheitskonzept

Mehr

Einführung eines ISMS nach ISO 27001:2013

Einführung eines ISMS nach ISO 27001:2013 Einführung eines ISMS nach ISO 27001:2013 VKU-Infotag: Anforderungen an die IT-Sicherheit (c) 2013 SAMA PARTNERS Business Solutions Vorstellung Olaf Bormann Senior-Consultant Informationssicherheit Projekterfahrung:

Mehr

Vereinbarung über den elektronischen Datenaustausch (EDI)

Vereinbarung über den elektronischen Datenaustausch (EDI) Vereinbarung über den elektronischen Datenaustausch (EDI) zwischen Stadtwerke Dinkelsbühl Rudolf-Schmidt-Straße 7 91550 Dinkelsbühl und Hinweis: Vorliegende EDI-Vereinbarung basiert auf der BDEW Mustervereinbarung

Mehr