Rolle der Körperschaften und Aktivitäten der KBV

Transkript

1 TeleTrusT-Informationstag "IT-Sicherheit in der ärztlichen Praxis" Berlin, Rolle der Körperschaften und Aktivitäten der KBV Heinz-Theo Rey, KBV Berlin, H.-Theo Rey, KBV

2 Informationssicherheit in der Arztpraxis Seite 2 von 30 Agenda 1. IT-SICHERHEIT VS. INFORMATIONSSICHERHEIT 2. INFORMATIONSSICHERHEIT BEI DER KBV 3. INFORMATIONSSICHERHEIT BEI KASSENÄRZTLICHEN VEREINIGUNGEN 4. INFORMATIONSSICHERHEIT FÜR DIE ARZTPRAXIS AUS SICHT DER KBV / KVEN 5. NÄCHSTE SCHRITTE

3 Informationssicherheit in der Arztpraxis Seite 3 von 30 IT-Sicherheit vs. Informationssicherheit

4 Informationssicherheit in der Arztpraxis Seite 4 von 30 IT-Sicherheit vs. Informationssicherheit IT-Sicherheit Geräte und Betriebsmittel, Systeme Informationssicherheit IT-Sicherheit Firewall, Virenscanner, sichere Anwendungen Gebäudesicherheit, Sicherheitsbereiche, Personalsicherheit Backup-Konzept, Archivierung Informationsklassifizierung, - kennzeichnung (Papier) Zugriffssteuerung, Zugangssteuerung Sicherheitsorganisation, - überwachung Netzwerkmanagement, Redundanzen Lieferantensteuerung IT-Prozesse und Organisation Meldewege, Compliance, Audits, Business Continuity Management

5 Informationssicherheit in der Arztpraxis Seite 5 von 30

6 Controls der ISO 27001, Anhang A Informationssicherheit in der Arztpraxis Seite 6 von 30 Zugang Kryptographie Gebäude Betrieb Richtlinien A.5 Lieferanten A.15 Kommunikation Organisation A.6 System Helpdesk A.16 Personal A.7 A.14 Notfall A.17 Werte A.8 A.13 A.12 Compliance A.18 A.11 A.10 A.9

7 Informationssicherheit in der Arztpraxis Seite 7 von 30 Status KBV

8 Informationssicherheit in der Arztpraxis Seite 8 von 30

9 Informationssicherheit in der Arztpraxis Seite 9 von 30 Status Kassenärztliche Vereinigungen

10 Informationssicherheit in der Arztpraxis Seite 10 von 30 ISMS bei den Kassenärztlichen Vereinigungen KBV ISMS Zertifikat oder kurz davor ISMS-Projekt Unbekannt Stand

11 Informationssicherheit in der Arztpraxis Seite 11 von 30 Arztpraxen

12 Arztpraxis: Maßnahmen der KBV Informationssicherheit in der Arztpraxis Seite 12 von 30

13 Informationssicherheit in der Arztpraxis Seite 14 von 30 Empfehlungen zur ärztl. Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis Allgemeine Organisatorische Regelungen Technische Anlage Passwörter Schutz gegen Schadsoftware Begrenzung von Privilegien Nutzung von Intranet und Internet LAN, WLAN Verschlüsselung, Backup, Entsorgung von Geräten und Datenträgern Einspielen von Sicherheitsupdates Fernwartung Elektronische Dokumentation und Archivierung Addendum: Elektronische Kommunikation, Backup, digitale Signatur, ersetzendes Scannen Powerline, Kryptograie, VoIP, DECT-Telefonie, externe Dienstleister zur Archivierung von ärztl. Dokumentation

14 Informationssicherheit in der Arztpraxis Seite 15 von 30 Arztpraxis: Maßnahmen der KBV (Mein PraxisCheck)

15 Informationssicherheit in der Arztpraxis Seite 16 von 30 Arztpraxis: Maßnahmen der KBV (Mein PraxisCheck)

16 Informationssicherheit in der Arztpraxis Seite 17 von 30 Arztpraxis: Maßnahmen der KBV (Mein PraxisCheck)

17 Informationssicherheit in der Arztpraxis Seite 18 von 30 Arztpraxis: Maßnahmen der KBV (Mein PraxisCheck)

18 Informationssicherheit in der Arztpraxis Seite 19 von 30 Arztpraxis: Maßnahmen der KBV (Mein PraxisCheck)

19 Informationssicherheit in der Arztpraxis Seite 20 von 30

20 Informationssicherheit in der Arztpraxis Seite 21 von 30 Arztpraxis: Maßnahmen der KBV (KV-SafeNet)

21 Login Informationssicherheit in der Arztpraxis Seite 22 von 30 SSO SSO SSO SSO Arztpraxis: Maßnahmen der KBV (FIM) Service-Provider (IdP) Login als Dr_JC Service 01 Identity- Provider (IdP) KV- Portal Service 02 Service 03 Hallo, Dr. JC! Service 04 SSO: Single sign on

22 Informationssicherheit in der Arztpraxis Seite 23 von 30 Digitale Arzt-Identität bei der KV Zulassung Arztgruppe LANR BSNR Genehmigungen Arzthelferinnen Wechsel BSNR Benutzername Passwort Passwort ändern Ende Zulassung In einem föderierten System ist auch nur eine dezentrale Pflege der Daten möglich! Zentrale Datenhaltung Dezentrale Föderierte Datenhaltung FIM!

23 Informationssicherheit in der Arztpraxis Seite 24 von 30 Digitale Identität föderiert! KV_01 KV_02 KBV Login nutzt Arzt01_1 mit Attributen Arzt01_2 mit Attributen Arzt01_3 mit Attributen Dienst_01_01 Arzt02_1 mit Attributen Arzt02_2 mit Attributen Dienst_02_01 nutzt Dienst_KBV1 Dienst_KBV2

24 Informationssicherheit in der Arztpraxis Seite 25 von 30 Arztpraxis: Maßnahmen der KBV (KV-Connect) KV-SafeNet KVC-RZ KV PVS KV-Connect Client KV-SafeNet Router KV-Connect- Server 1a) Die Nachricht wird im PVS erstellt, geprüft und mit einem Click an den KV-Connect-Server übermittelt. 1b) Zur Übermittlung übergibt das PVS die Nachricht an den KV-Connect-Client (Software). Dieser übernimmt die Adressierung und verschlüsselte Übertragung. 2) Der KV-Connect- Server speichert die verschlüsselte Nachricht. 3) Der Empfänger (hier eine KV) entschlüsselt die Nachricht. Sie wird vom KV-Connect- Server gelöscht.

25 Informationssicherheit in der Arztpraxis Seite 26 von 30 Arztpraxis: Anbindung an die TI, Nutzung des SNK Telematikinfrastruktur Consumer Zone TI Plattform Zone dezentral TI Plattform Zone zentral Provider Zone Zentrale Dienste der TI-Plattform aadg Sicherheitsgateway Bestandsnetze 2.0 SNK-Dienste: Andere Anwendungen des Gesundheitswesens ohne Zugriff auf Dienste der TI in angeschlossenen Netzen des Gesundheitswesens (aadg-netg) NetG aadg-netg-ti aadg- NetG

26 Informationssicherheit in der Arztpraxis Seite 27 von 30 Echo auf die Maßnahmen der KBV "Da machen wir ein Modul draus. Ich liebe Module, die kann man so gut verkaufen "

27 Informationssicherheit in der Arztpraxis Seite 28 von 30 Ausblick

28 Informationssicherheit in der Arztpraxis Seite 29 von 30 Ausblick Anstrengungen zur Erhöhung der Informationssicherheit in der Arztpraxis müssen erhöht werden Aktuelles Set von Maßnahmen ist ein erster Schritt, reicht aber nicht aus Die KBV wird sich hier noch stärker einbringen

29 Informationssicherheit in der Arztpraxis Seite 30 von 30