Berechtigungsmanagement und IT-Sicherheit im Gesundheitswesen

Größe: px

Ab Seite anzeigen:

Download "Berechtigungsmanagement und IT-Sicherheit im Gesundheitswesen"

Eike Kneller
vor 8 Jahren
Abrufe

Unternehmens- und Informations- Management Consultants Berechtigungsmanagement und IT-Sicherheit im Gesundheitswesen Best Practice und Vorgehensweise mit ISO

1 Unternehmens- und Informations- Management Consultants Berechtigungsmanagement und IT-Sicherheit im Gesundheitswesen Best Practice und Vorgehensweise mit ISO Referent: Tim Hoffmann Internet: Nützenberger Straße Wuppertal Telefon: Telefax:

27799 Referent: Tim Hoffmann Internet: www.uimc.de E-Mail: consultants@uimc.

2 Referent Tim Hoffmann (Dipl.-Kfm.) Wirtschaftswissenschaften an der Universität-GH Essen Studien-Schwerpunkte; u. a.» Organisation» Informationsmanagement Seit 2002 als Berater bei der Schwerpunkte:» Datenschutz» IT-Sicherheit Bestellter Datenschutzbeauftragter 2

3 Agenda IT-Entwicklungen im Gesundheitswesen IT-Entwicklungen im Gesundheitswesen Bedrohungen und Anforderungen Ansatzpunkte zur Lösung» Klassische Lösungswege: ISO vs. IT-Grundschutz des BSI» Neuer Lösungswege im Gesundheitswesen: ISO Fazit/Ausblick 3

Lösung» Klassische Lösungswege: ISO 27001 vs.

4 Entwicklungen Beispiele für Entwicklungen der IT auf Gesundheitssektor: Vollelektronische Abrechnungen Einführung der elektronischen Gesundheitskarte Zunehmende Digitalisierung von Patientenakten Digitale Übermittlung von Diagnosedaten Digitale Archivierung aber auch Vernetzung von bisher allein stehenden Systemen Vernetzung von Systemen in unterschiedlichen Lokationen (Kliniksystemen, Arztpraxen und MVZ etc.) 4

Übermittlung von Diagnosedaten Digitale Archivierung aber auch Vernetzung von bisher allein stehenden

5 Datenschutz im Medizinbereich (Überblick) BDSG, LDSGs, KDO o. ä. ärztliche Berufsordnung Datenschutz Schweigepflicht ( 203 StGB) Länderspezifische Krankenhausgesetze Kirchliche Verordnungen zum Schutz von Patientendaten (in kirchlichen Krankenhäusern) Viele Anforderungen verlangen, eine unbefugte Kenntnisnahme zu verhindern! 5

Krankenhausgesetze Kirchliche Verordnungen zum Schutz von Patientendaten (in

6 Bedrohungen Bedrohungen der Sicherheit von Gesundheitsinformationen (Beispiele): Unbefugter Zugriff durch:» Interne» Dienstleister» Externe Unberechtigte Nutzung von Anwendungen medizinischer Informationen Missbrauch von Systemressourcen Infiltrieren / Abhören der Kommunikation 6

Externe Unberechtigte Nutzung von Anwendungen medizinischer

7 1. Ansatz: PET Privacy Enhancing Technologies Die Erfüllung von Datenschutzanforderungen durch Privacy Enhancing Technologies kann durch sogenannte Protection Profiles (PP) strukturiert werden, wie beispielsweise» Zugangskontrolle» Zugriffskontrolle» Weitergabekontrolle» Datensparsamkeit» Löschung 7

sogenannte Protection Profiles (PP) strukturiert werden, wie

8 ULD-Gütesiegel 12,0% 10,0% Marktanteile 11,3% 8,0% 7,6% 6,0% 4,0% 3,9% 2,0% 0,6% 0,0% Software A mit Gütesiegel Software B mit Gütesiegel Software mit Gütesiegel [Durchschnitt] restliche Software [Durchschnitt] Quelle: UIMCert-Studie 2010: Datenschutz und Ordnungsmäßigkeit von Programmsystemen auf dem Gesundheitssektor 8

[Durchschnitt] restliche Software [Durchschnitt] Quelle: UIMCert-Studie 2010:

9 Traurig, aber wahr...» Ja klar! Wir haben eine Pflichtentrennung bei der Rechtebeantragung: Der Mitarbeiter beantragt und ich pflege dies in die Active Directory ein. (Administrator eines QM-zertifizierten Mittelständlers)» Ich habe keinerlei wichtige Unterlagen; die können durchaus allen zur Einsicht gegeben werden. (Gruppenleitung in einer Behindertenwerkstatt mit Zugriff auf Gesundheitsdaten von Behinderten)» Sicherlich! Die Nutzerrechte sind zeitlich begrenzt vergeben: Bis zum ! (IT-Leiter eines Krankenhauses)» Natürlich haben wir eine Alarmanlage! Wenn jemand eine Scheibe einwirft, dann werden die Nachbarn das schon melden! (EDV-Leitung einer Sparkasse) 9

(Gruppenleitung in einer Behindertenwerkstatt mit Zugriff auf Gesundheitsdaten von Behinderten)» Sicherlich! Die Nutzerrechte sind zeitlich begrenzt vergeben: Bis zum 31.

10 Einsatzumgebung Erfüllung von Anforderungen durch die Einsatzumgebung von Anwendungssystemen Wesentliche Gebiete zur Erfüllung der Datenschutzanforderungen sind: a) Der Erlass von Organisationsregelungen/Richtlinien zum Zweck der Realisierung der in den Kontrollmaßnahmen geforderten Sicherheitsmaßnahmen b) Die Befolgung dieser Organisationsregelungen in der täglichen Arbeit c) Die Kontrolle der Einhaltung der Regeln. 10

Organisationsregelungen/Richtlinien zum Zweck der Realisierung der in den Kontrollmaßnahmen geforderten

11 Typische Fragestellung Wie kann ich systematisch an das Thema herangehen? 11

12 ISO vs. BSI Grundschutz ISO international geprägt und anerkannt Orientierung am allgemeinen Normenaufbau Risiko-Orientierung (inkl. Wahrscheinlichkeit) PDCA für gesamtes Managementsystem Orientierung an kritischen Geschäftsprozessen BSI Grundschutz nationale Prägung und Anerkennung stark von allgemeinen ISO-Normen abweichend einfache Betrachtung der Gefährdungen PDCA nur für das IT-Sicherheitskonzept Basis: GS-Kataloge und Schichtenmodell 12

13 DIN EN ISO 27799: Sicherheitsmanagement im Gesundheitswesen gemäß DIN EN ISO 27799: (D) code of practice in der IT-Sicherheit ISO/IEC ist im Prinzip branchenunabhängig auf das Problemfeld ISMS bei einer Auditierung und Zertifizierung sind aber die spezifischen Eigenheiten des Gesundheitswesens zu berücksichtigen ISO/IEC-Norm ist nunmehr eine Scope-Spezialisierung der ISO

Problemfeld ISMS bei einer Auditierung und Zertifizierung sind aber die spezifischen Eigenheiten des

14 DIN EN ISO 27799: Sicherheit von Gesundheitsinformationen 5.4 Zu schützende Gesundheitsinformationen 5.5 Bedrohungen und Schwachstellen der Sicherheit von Gesundheitsinformationen 6 Praktischer Arbeitsplan für die Umsetzung der ISO/IEC Systematik der Normen ISO/IEC und ISO/IEC Engagement des Managements bei der Umsetzung 6.3 Einrichten, betreiben, pflegen und verbessern des ISMS 6.4 Planen: Einführen des ISMS (plan) 6.5 Ausführen: Umsetzen und Betreiben des ISMS (do) 6.6 Überprüfen: Überwachen und Überprüfen des ISMS (check) 6.7 Handeln: Pflegen und Verbessern des ISMS (act) 14

1 Systematik der Normen ISO/IEC 27002 und ISO/IEC 27001 6.2 Engagement des Managements bei der Umsetzung 6.

15 PDCA-Zyklus Plan Festlegen des ISMS Do Umsetzen & Durchführen Act Erhalten & Verbessern Check Überwachen & Überprüfen Anders als z. B. beim BSI Grundschutz wird nicht jede einzelne Anwendung, jedes einzelne Subsystem oder jede Datei auf das spezifische Risiko untersucht 15

beim BSI Grundschutz wird nicht jede einzelne Anwendung, jedes

16 Systematik (Kapitel 6.1) 16

17 DIN EN ISO 27799: Folgerungen aus ISO/IEC für die Gesundheitsversorgung 7.1 Allgemeines 7.2 Leitlinie zur Informationssicherheit 7.3 Organisation der Informationssicherheit 7.4 Management organisationseigener Werte 7.5 Personalsicherheit 7.6 Physische und umgebungsbezogene Sicherheit 7.7 Betriebs- und Kommunikationsmanagement 7.8 Zugriffskontrolle 7.8 Zugriffskontrolle Beschaffung, Anforderungen Entwicklung an Zugriffskontrolle und Wartung / von Leitlinie IS Umgang Benutzerverwaltung mit Informationssicherheitsvorfällen [ ] Benutzerregistrierung Privilegemanagement [ ] 17

7 Betriebs- und Kommunikationsmanagement 7.8 Zugriffskontrolle 7.8 Zugriffskontrolle 7.97.8.1 Beschaffung, Anforderungen Entwicklung an Zugriffskontrolle und Wartung / von Leitlinie IS 7.

18 Auszüge aus der Norm Leitlinie zur Zugriffskontrolle Privilegemanagement 18

19 ISO/IEC Anhang B 19

20 ISO/IEC Anhang B 20

21 ISO/IEC Anhang B 21

22 ISO/IEC Anhang B 22

23 Best Practice? Mancher ertrinkt lieber, als daß er um Hilfe ruft! (Wilhelm Busch) 23

IT-Sicherheit mit System IT-Sicherheit Aktivitäten der UIMC Risiko-Analyse, Ziel-Workshop und IT-Sicherheitsschwachstellenanalyse Individuelle und standardisierte Beratung in diversen

24 IT-Sicherheit mit System IT-Sicherheit Aktivitäten der UIMC Risiko-Analyse, Ziel-Workshop und IT-Sicherheitsschwachstellenanalyse Individuelle und standardisierte Beratung in diversen Branchen Organisationsmittel: IT-Sicherheitshandbuch und Muster-Konzepte UIMCollege-Seminare, Schulungen, Workshops, E-Learning Analyse-Tool, Multimediale Lern-CD und Organisationsmittel 24

25 Fragen?? 25

26 Vielen Dank! UIMC Dr. Vossbein GmbH & Co. KG Nützenberger Straße Wuppertal Telefon: (0202) Telefax: (0202) URL: UIMCert GmbH Moltkestraße Wuppertal Telefon: (0202) Telefax: (0202) certification@uimcert.de URL: 26

27 27

28 Unternehmensgruppe. UIMCo llege R 28

29 Die UIMC wurde im Jahre 1997 gegründet und hat sich zu einem führenden Beratungshaus im Datenschutz entwickelt... verfügt über ein breites Dienstleistungsangebot und umfassendes Produktportfolio» Datenschutz» IT-Sicherheit, Penetrationstest, Notfallmanagement» Auditierung/Zertifizierungsvorbereitung etc. hat langjährige Erfahrungen und umfassende Referenzen, wie z. B.» Krankhäuser und weitere Institutionen aus dem Gesundheitswesen» Hochschulen etc. 29

30 Interdisziplinär 30

31 In allen Phasen 31

32 Aktivitätenfelder 32

33 Die UIMCert ist führend auf den Gebieten der IT-Sicherheit und des Datenschutzes» Auditierung» Testierung» Zertifizierung... hat seit 1999 Vielzahl an Referenzen aufzuweisen... hat seinen Sitz in Wuppertal... verfügt über ein breites Angebot:» ISO 27001» Datenschutz-Produkt- und Verfahrens-Audit gemäß LDSG SH» IDW-PS 330/331» IDW PS

34 Aktivitätenfelder Schulung/Weiterbildung Tools u. Organisationsmittel Auditierung Zertifizierung IT-Sicherheit Wissenschaftliche Projekte Datenschutz 34

Ähnliche Dokumente

Datenschutz und Ordnungsmäßigkeit von Programm- sowie von Managementsystemen auf dem Gesundheitssektor

Unternehmens- und Informations- Management Certification Datenschutz und Ordnungsmäßigkeit von Programm- sowie von Managementsystemen auf dem Gesundheitssektor Eine Studie der UIMCert GmbH Referent: Tim