DS DATA SYSTEMS GmbH Consulting is our business!

Größe: px

Ab Seite anzeigen:

Download "DS DATA SYSTEMS GmbH Consulting is our business!"

Dörte Burgstaller
vor 8 Jahren
Abrufe

1 DS Anforderungen des IT-Sicherheitsgesetzes Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme" (Referentenentwurf)

2 DS Referent: Dipl.-Ing. Henning Kopp Leiter Information Security 2 Externer IT-Sicherheitsbeauftragter Städtisches Klinikum Braunschweig BSI-GSL BSI-IGL BSI-ZIG BSI-ZIG ISO Lead Auditor Datenschutzauditor CISA hkopp@datasystems.de Copyright und alle Rechte vorbehalten (BSI) (BSI) (BSI) (BSI) (DEKRA) (DEKRA) (ISACA)

Klinikum Braunschweig BSI-GSL-0032-2002 BSI-IGL-0016-2006 BSI-ZIG-0016-2011 BSI-ZIG-0016-2014 ISO

3 IT-Sicherheitsgesetz Zielgruppe: Betreiber kritischer Infrastrukturen Status: 2013 Referentenentwurf 2014 Gesetzentwurf 2015 Verabschiedung im Bundestag 3

4 Anforderungen des IT-Sicherheitsgesetzes (Auszug) Umsetzung und Dokumentation organisatorischer und technischer Vorkehrungen und sonstiger Maßnahmen zum Schutz der maßgeblichen informationstechnischen Systeme, Komponenten und Prozesse Berücksichtigung des "Stands der Technik" Pflicht zur Meldung erheblicher IT-Sicherheitsvorfälle an das BSI 4

maßgeblichen informationstechnischen Systeme, Komponenten und Prozesse

5 Anforderungen des IT-Sicherheitsgesetzes 5 Regelmäßige Überprüfung: Durchführung von Sicherheitsaudits mindestens alle zwei Jahre durch vom BSI anerkannte Auditoren Möglichkeit zu branchenspezifische Sicherheitsstandards: auf Antrag ggf. vom BSI anerkannt Ausgestaltung der Sicherheitsaudits soll nicht im Detail gesetzlich vorgegeben werden

Möglichkeit zu branchenspezifische Sicherheitsstandards: auf Antrag ggf.

6 Anforderungen des IT-Sicherheitsgesetzes Generell soll geprüft werden: Sind geeignete und wirksame Maßnahmen und Empfehlungen umgesetzt? Wird ein Information Security Management (Sicherheitsorganisation, IT- Risikomanagement, etc.) betrieben? Sind kritische Cyber-Assets identifiziert und gemanagt? Sind Maßnahmen zur Angriffsprävention und -erkennung etabliert? Ist ein Business Continuity Management (BCM) implementiert? 6

Wird ein Information Security Management (Sicherheitsorganisation, IT- Risikomanagement, etc.) betrieben?

7 DS Handlungsempfehlung des AKG

8 Handlungsempfehlung AKG (Auszug) Die Identifikation aller unternehmenskritischen Verfahren des Krankenhauses (über ein von der Klinikleitung bestimmtes Gremium) Er- bzw. Überarbeitung und zentrale Dokumentation der organisatorischen und manuellen Ausfallkonzepte für die als unternehmenskritisch identifizierten IT-Verfahren Die Anwendung z.b. des IT-Grundschutzes auf besonders kritische Verfahren, ggf. mit dem Ziel einer Zertifizierung nach ISO auf der Basis von IT-Grundschutz. 8 Es empfiehlt sich die Priorisierung nach Kritikalität und wirtschaftlichem Risiko vorzunehmen und mit den Verfahren zu beginnen, bei denen im Falle eines Ausfalls der IT, der Nacharbeitungsaufwand und damit das wirtschaftliche Risiko besonders hoch wäre.

mit dem Ziel einer Zertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz.

9 DS Kritische Prozesse und Dienste am Beispiel des Städtischen Klinikums Braunschweig

10 Kritische Prozesse und Dienste SKBS I Elektronische Patientenakte EPA Patienten Daten Management PDMS Zertifiziert nach ISO auf Basis von IT-Grundschutz Das ISMS umfasst: IT-Systeme, Netzwerke, Datensicherung, IT-Abteilung, Infrastrukturen inkl. Rechenzentren, Datenschutz, Schulungen der Mitarbeiter, etc. 10

IT-Grundschutz Das ISMS umfasst: IT-Systeme, Netzwerke, Datensicherung,

11 Kritische Prozesse und Dienste SKBS II Konventionelle Notfallverfahren: 11 Belegungskoordination Transfusionsmedizin Zentrale Notaufnahme Unfallchirurgische Notaufnahme Intensivstationen Labore OP-Koordination Apotheke Transportdienst Zentralküche Elektronische Bildverteilung Röntgendiagnostik Zentralsterilisation

Unfallchirurgische Notaufnahme Intensivstationen Labore OP-Koordination

12 DS Anerkannte Standards für Informationssicherheitsmanagement

13 ISO/IEC / / ISO/IEC 27001: Managementgebiete 35 Maßnahmenziele 114 Maßnahmen / Controls Norm und Annex, zertifizierbar 13 -> Aber: Kein Umsetzungsleitfaden, Detaillierung der Anforderungen in der ISO und ISO Weitere Informationen:

zertifizierbar 13 -> Aber: Kein Umsetzungsleitfaden, Detaillierung der

14 ISO/IEC / / Managementgebiete des Annex A (2013): A.5 Information security policies A.6 Organization of information security A.7 Human resource security A.8 Asset management A.9 Access control A.10 Cryptography A.11 Physical and environmental security A.12 Operations security A.13 Communications security A.14 System acquisition, development and maintenance A.15 Supplier relationships A.16. Information security incident mgmt. A.17 Information security aspects of business continuity management A.18 Compliance

11 Physical and environmental security A.12 Operations security A.13 Communications security A.

15 BSI: IT-Grundschutz 15 Grundschutzhandbuch seit 1992 (IT-Sicherheitshandbuch) Grundschutzhandbuch wird laufend ergänzt Heute: BSI-Standards: 278 Seiten und IT-Grundschutz-Kataloge: 4482 Seiten, 91 Bausteine mit ca Maßnahmen Aktuelle Version: 2013, 13. EL Zertifizierung seit Januar 2007: ISO auf der Basis von IT-Grundschutz Weitere Informationen:

IT-Grundschutz-Kataloge: 4482 Seiten, 91 Bausteine mit ca.

16 16 BSI: IT-Grundschutz

17 17 BSI: IT-Grundschutz-Vorgehensweise

18 DS Risikoorientierte Einführung von IT-Grundschutz vor dem Hintergrund der Anforderungen aus dem IT-Sicherheitsgesetz

19 BSI 100-4: Notfallmanagement Business Impact Analyse Schadensanalyse Risikoanalyse IT-Grundschutz nach BSI und B 1.3 Notfallmanagement 19

20 20 BSI 100-4: Notfallmanagement / BIA

21 DS ISMS am Beispiel des Städtischen Klinikums Braunschweig Zertifiziert seit 2008 nach ISO auf Basis von IT-Grundschutz

22 ISMS des SKBS I 22 Etablierung einer IT-Sicherheitsorganisation: IT-Sicherheitsbeauftragter (ITSB) Datenschutzbeauftragter (DSB) Informationssicherheitsmanagement-Team (IS-Team): ITSB DSB CIO / Unternehmensentwicklung Betriebsrat Bereichsleiter IT (RZ, Klinische Systeme, SAP, Endgeräte) Zeitweise: Zentrales Risikomanagement

23 23 ISMS des SKBS II Abgrenzung zum Datenschutz:

24 ISMS des SKBS III IS-/IT-Sicherheitskonzept, toolgestützt (GS-Tool): 24

25 ISMS des SKBS IV 25 ISMS-Dokumentation 1. Richtlinien für Anwender, z.b.: Allgemeine Arbeitsanweisung IT-Abteilung Betriebsvereinbarung und Internet Betriebsvereinbarung IT-Sicherheitsrichtlinie für Anwender Remote Access Sicherheitsrichtlinie Dienstanweisung zum Umgang mit mobilen Datenträgern Social Media Guideline 2. Notfallmanagement, z.b.: Notfallvorsorgekonzept Notfallhandbuch Konventionelle Notfallverfahren

26 ISMS des SKBS V ISMS-Dokumentation 3. Übergeordnete Dokumente, z.b.: Leitlinie zur Informationssicherheit Krankenhausarchivordnung Meldung und Behandlung von IT-Sicherheitsvorfällen Notfallorganigramm Dienstanweisung Generalschlüssel IT-Rahmenkonzept Informationssicherheitskonzept Datenschutzkonzeption 26

27 ISMS des SKBS VI 27 ISMS-Dokumentation 4. Richtlinien und Konzepte für Betreiber, z.b.: Richtlinie zum Betrieb von IT-Systemen Sicherheitsrichtlinie Speichernetzwerk Brandschutzordnung Installationsvorgaben Neusystem Vernetzungskonzept für Neubau und Umbaumaßnahmen Kryptokonzept Konzept zum Schutz vor Schadsoftware Konzept zur digitalen Archivierung Datensicherungskonzept Netzwerk-Konzept Remote Access Konzept Installationscheckliste Server Sicherheitsgatewaykonzept IT-Pass Verfahrensbeschreibungen und Administrationskonzept Active Directory Rollenverteilung ADS Checkliste für die Installation/Updates der Layer2 Switche Betriebsvereinbarung Fernbetreuung DV Beschreibung des IT Change Managements Softwareverteilungsrichtlinie Netzwerkrealisierungs-Konzept Berechtigungsadministration Checkliste für die Installation des VPN- Routers

28 ISMS des SKBS VII 28 Auditwesen intern / extern u.a.: Interne Audits durch den ITSB und den DSB SAP-, SAN-Audits, Netzwerkscans, etc. Audits durch Auditoren des BSI Überwachungsaudits: jährlich Rezertifizierungsaudit: jeweils nach drei Jahren Berichtwesen, u.a.: Quartalsberichte des ITSB: Direktes Vortragsrecht GF Management Reports zum IT-Risikomanagement Wiedervorlageliste Audit Follow Up

29 ISMS des SKBS VIII Meldewesen für IT-Sicherheitsvorfälle Meldewege (Mail Service Desk) Schulung Fomulare für Meldung, Nachverfolgung und Bewertung 29 Datenaustausch mit extern CAG / Austauschlaufwerk PKI (GPG) Verschlüsselte USB-Sticks

30 DS Vielen Dank für Ihre Aufmerksamkeit! Kontakt: Henning Kopp Leiter Information Security 30 DS GMBH Zuckerberg 26-26A Schwülper +49 (0) 5303 / hkopp@datasystems.de 2014 Copyright und alle Rechte vorbehalten

Ähnliche Dokumente

DATEV eg, 90329 Nürnberg. Betrieb der DATEV Rechenzentren. Anforderungsprofil Business Continuity

DATEV eg, 90329 Nürnberg. Betrieb der DATEV Rechenzentren. Anforderungsprofil Business Continuity Z E R T I F I K A T Die Zertifizierungsstelle der T-Systems bestätigt hiermit der, für den Betrieb der DATEV Rechenzentren (Standorte DATEV I, II und III) die erfolgreiche Umsetzung und Anwendung der Sicherheitsmaßnahmen