zum Stand der Diskussion

Transkript

1 Erarbeitung des Branchenstandards für das Gesundheitswesen durch den Branchenarbeitskreis Gesundheitsversorgung im UP KRITIS zum Stand der Diskussion

2 Der Umsetzungsplan KRITIS Der UP KRITIS ist eine öffentlich private Kooperation zwischen Betreibern Kritischer Infrastrukturen (KRITIS), deren Verbänden und den zuständigen staatlichen Stellen. 2

3 Struktur des UP KRITIS Die strategisch konzeptionelle Mitarbeit obliegt den Partnern im UP KRITIS. 3

4 Kurzportrait BAK Gesundheitsversorgung Der Branchenarbeitskreis Gesundheitsversorgung hat sich am gegründet. Der Gründung gingen mehr als 15 Monate intensive Vorbereitung (fachlichinhaltlich, auch Vorbereitung einer eigene Geschäftsordnung) voraus. Derzeit 32 Mitglieder, neben Betreiber Vertretern (Krankenhäuser) auch Branchenverbände (Deutsche Krankenhausgesellschaft DKG e.v., Verband der Krankenhaus IT Leiter KH IT ) sowie das Bundesamt für Bevölkerungs und Katastrophenschutz (BBK) und BSI Erarbeitung des Branchenstandards für das Gesundheitswesen

5 Ziele und Aufgaben des BAK Gesundheitsversorgung a. Bestandsaufnahme des Standes der Informationstechnik in der Branche Gesundheitsversorgung b. Entwicklung eines branchenspezifischen Sicherheitsstandards gem. 8a BSIG c. Verfassen von Handlungsempfehlungen zur Steigerung des Sicherheitsniveaus d. Entwicklung eines Verfahrens zu Identifizierung der informationstechnischen Prozesse, die für die Funktionsfähigkeit der betriebenen Kritischen Infrastruktur maßgeblich sind. ( 8a BSIG) e. Einwirkung auf den Gesetzgeber zur Schaffung geeigneter Rahmenbedingungen für die Erreichung der vorgeschriebenen Sicherheitsziele. f. Identifikation geeigneter Prüf /Zertifizierungs /Audit Verfahren zur Erfüllung des 8a BSIG 5

6 Auch Kommentierung ist Arbeit Am Anforderungskatalog zum B3S An der Sektorstudie Gesundheit

7 Vorbemerkung zum Branchenstandard Auch wenn ein B3S existiert, ist es für die Betreiber einer Kritischen Infrastruktur im Sinne des BSIG nicht verpflichtend diesen umzusetzen. Sie können die Anforderungen gemäß 8a(1) BSIG auch auf andere Weise erfüllen. Ein B3S hilft dabei und gibt Rechtssicherheit. B3S = Branchenspezifischer Sicherheitsstandard (Orientierungshilfe.pdf) Kritische Dienstleistung.. eine Dienstleistung zur Versorgung der Allgemeinheit in den Sektoren nach den 2 bis 6, deren Ausfall oder Beeinträchtigung zu erheblichen Versorgungsengpässen oder zu Gefährdungen der öffentlichen Sicherheit oder zu vergleichbaren Folgen führen würde. (Entwurf BSI KRITISV) 7

8 Elemente des Branchenstandards Beispiele für Erstmaßnahmen für alle Betreiber von Gesundheitseinrichtungen anhand der Orientierungshilfe zu Inhalten und Anforderungen an branchenspezifische Sicherheitsstandards (B3S) gemäß 8a(2) BSIG v ( ) 8

9 Elemente des Branchenstandards Informations Sicherheitsmanagement System (ISMS) (5.1) Der B3S beschreibt, wie mithilfe eines ISMS ein geeigneter Rahmen für die nachhaltige und angemessene Behandlung aller relevanten Themenfelder zur Umsetzung der Anforderungen nach 8a (1) gesetzt wird. Dies kann beispielsweise durch die Einführung und den Betrieb eines ISMS auf Grundlage des BSI IT Grundschutz oder ISO/IEC erfolgen. Informationssicherheit ist dabei als kontinuierlicher Prozess zu etablieren. Die Etablierung eines Informations Sicherheitsmanagements ist eine vordringliche Aufgabe für alle Betreiber. 9

10 Elemente des Branchenstandards Informations Sicherheitsmanagement System (ISMS) (5.1) Die Wirksamkeit eines ISMs wird u.a. geprüft durch folgende Prüfaspekte: Übernahme der Verantwortung durch die Leitung Regelmäßige Schulung und Sensibilisierung Datensicherungskonzept Unabhängiger IT Sicherheitsbeauftragter Verfahren zur Behandlung von Sicherheitsvorfällen 10

11 Elemente des Branchenstandards Geltungsbereich: umfasst auch extern erbrachte Leistungen (1.2) Der B3S berücksichtigt in geeigneter Weise, wie das notwendige informationstechnische Sicherheitsniveau auch dort sichergestellt werden kann, wo für die Aufrechterhaltung der kritischen Dienstleistung relevante Teile im Auftrag des Betreibers durch Dritte betrieben werden. Die Abhängigkeiten zu extern erbrachten Leistungen wie Labor, Radiologie, Sterilgutaufbereitung usw. sind zu klären Welche Handhabe bieten die Verträge? 11

12 Elemente des Branchenstandards Beschränkung der Behandlungsalternativen für Risiken (3.2) Der B3S stellt klar, dass bzgl. relevanter Risiken für die kdl eine eigenständige dauerhafte Risikoakzeptanz durch den Betreiber in der Regel keine zulässige Option im Sinne des BSIG ist. Ähnliches gilt für die Versicherung gegen solche Risiken. Risiken müssen nachvollziehbar behandelt werden. (Ziele, Zeiten, ) Die IT Risiken sind in das Risikomanagement des Hauses zumindest zu kommunizieren. 12

13 Elemente des Branchenstandards Überprüfbarkeit (7.1) Im B3S soll ein Verweis auf Beschreibungen aufgenommen werden, wie die Erfüllung der Anforderungen nach 8a (1) geprüft werden können (s. auch die vorläufig aufgenommenen Folgepunkte 7.2 bis 7.5, die in den nächsten Monaten weiter ausgearbeitet werden). Die Überprüfbarkeit muss hergestellt werden! Die Erfassung aller zu betrachtenden Elemente und deren Status ist eine umfangreiche Arbeit 13

14 Exkurs Auditaufwand Externe Unterstützung Erstzertifizierung 2008 am Klinikum Braunschweig (Archivsystem) Vorbereitender Workshop 3 MT Audit Durchführung 23 MT Unterstützung bei der Vorbereitung 27 MT Coaching bei Maßnahmenbetrachtung und Risikoanalyse Erstellung ausgewählter Konzepte ( Sicherheitsleitlinie, Notfallvorsorge usw. ) Beantragung des Zertifikates BSI Software GS Tool (3 Plätze )

15 Elemente des Branchenstandards Technische Informationssicherheit (5.12) Der B3S fordert, dass Konzepte zur Umsetzung der technischen Informationssicherheit erstellt werden, wo dies für die Gewährleistung der kritischen Dienstleistung notwendig ist. Sicherheitsrelevante Funktionen in Vergabeverfahren aufnehmen Frühe Einbindung des IT Sicherheitsbeauftragten bei Projekten mit IT Bezug Eindeutige Vereinbarung von SLAs in Dienstleistungverträgen Erstellung von nicht IT Gestützten Notfallverfahren 15

16 Elemente des Branchenstandards Asset Management (5.3) Der B3S sollte einen geeigneten Rahmen für die Identifikation, Klassifizierung und Inventarisierung der für die kdl maßgeblichen informationstechnischen Prozesse, Systeme und Komponenten setzen. Auswahl und Einführung eines geeigneten Tools samt Finanzierung vorbereiten. Die Erfassung aller zu betrachtenden Elemente und deren Status ggf. als Projekt aufsetzen. 16

17 Elemente des Branchenstandards Vorfallserkennung und bearbeitung (5.8) Der B3S setzt einen geeigneten Rahmen für die Vorfallserkennung und Bearbeitung in seinem Geltungsbereich zum Beispiel zu Detektion von Angriffen Detektion von sonstigen IT Vorfällen/Störungen Einsatz von IDS und IPS (wo notwendig bzw. sinnvoll) Reaktion auf Angriffe... Meldepflicht gem. BSIG 8b für Betreiber Kritischer Infrastrukturen Einrichten der Kontaktstelle ( jederzeit erreichbar) Wichtig für das Funktionieren des Informations Sicherheitsmanagements 17

18 Fußnote: Der finanzielle Erfüllungsaufwand für die Wirtschaft (Betreiber) wird weiterhin standhaft negiert. Podiumsdiskussion Halle :00 Networking Area 18

19 Chancen erkennen Auch das IT (und MT) Risikomanagement zählt ohnehin zu den Verpflichtungen eines Geschäftsführers. Verstärkung des risikobasierten Ansatzes durch die Novellierung der DIN 9001:2015 Die aus dem IT Sicherheitsgesetz abgeleiteten Maßnahmen werden über kurz oder lang auch in die Fragenkataloge der Wirtschaftsprüfer Eingang finden. Unabhängig von der Einordnung als Betreiber einer kritischen Infrastruktur 19