ERFAHRUNGSBERICHT: PRÜFUNG NACH 8A (3) BSIG AUS PRÜFER- UND KRANKENHAUSSICHT

Ähnliche Dokumente
Das IT-Sicherheitsgesetz Pflichten und aktueller Stand Rechtsanwalt Dr. Michael Neupert

NATIONALES IT-SICHERHEITSGESETZ? UNS ALS KOMMUNE BETRIFFT DAS DOCH NICHT!

KRITISCHE INFRASTRUKTUREN

DAS IT-SICHERHEITSGESETZ

Aktueller Stand der Umsetzung des IT- Sicherheitsgesetz aus Sicht des BSI

IT-Sicherheit im Energie-Sektor

Beschreibung des Prüfungsverfahrens

ISMS-Einführung in Kliniken

Rüdiger Gruetz Klinikum Braunschweig Geschäftsbereich IT und Medizintechnik. GMDS-Satellitenveranstaltung

IT-Sicherheitsaudits bei KRITIS-Betreibern: Zusätzliche Prüfverfahrens-Kompetenz für 8a (3) BSIG

Häufige Fragen und Antworten (FAQ) zu 8a BSIG im Rahmen der Orientierungshilfe B3S V0.9 BSI-Entwurf Version 0.5.2, Stand:

Die Datenschutzgrundverordnung verändert alles

Start-up Session IT-Sicherheitsgesetz: Risikomanagement, Compliance und Governance in einer cloudbasierten Wissensdatenbank umsetzen

Wie beeinflusst das IT-Sicherheitsgesetz perspektivisch die Zertifizierung von Medizinprodukten?

KRITIS: Auswirkungen der BSI Verordnung auf die Patientensicherheit in Krankenhäusern

Blick über den Tellerand Erfahrungen der EVU

Cybersicherheit im Sektor Wasser. Silke Bildhäuser, B.Sc. Bundesamt für Sicherheit in der Informationstechnik

Die Umsetzung des ITSicherheitsgesetzes aus Sicht des BSI

IT-Sicherheitsgesetz Sie müssen handeln! Was bedeutet das für Ihr Unternehmen?

Branchenspezifischer Sicherheitsstandard für die Gesundheitsversorgung im Krankenhaus

Schutz Kritischer Infrastrukturen im Energiesektor: Umsetzung und Zertifizierung des IT-Sicherheitskatalogs für Strom- und Gasnetzbetreiber

Neue Pflicht zu technischorganisatorischen. Vorkehrungen durch 13 Abs. 7 TMG

IT-Sicherheitsgesetz: Wen betrifft es,

Der UP KRITIS und die Umsetzung des IT-Sicherheitsgesetzes

Schutz Kritischer Infrastrukturen. PITS - Public-IT-Security Kongress für IT-Sicherheit bei Behörden Berlin, 13. September 2016

Das neue it-sicherheitsgesetz - segen oder fluch? Jens Marschall Deutsche Telekom AG, Group Security Governance

Compliance mit der DSGVO Stand der Technik - Wie gehen wir mit Artikel 32 der DSGVO um?

Bundesamt für Sicherheit in der Informationstechnik KRITIS-Büro Postfach Bonn

Bundesministerium des Innern. Per an: Berlin, Dortmund, Bayreuth, Stuttgart,

zum Stand der Diskussion

SC124 Kritische Infrastrukturen gem. ISO u. ISO 27019

Die Umsetzung des IT-Sicherheitsgesetzes durch das BSI-Gesetz Auswirkungen auf den Bankenbereich

Workshop 8 Informationssicherheit kritischer Infrastrukturen: Wie schützen wir unsere moderne Gesellschaft?

Zukunftskommission Digitale Agenda Neuss - Kritische Infrastruktur

Umsetzung IT-SiG in den Ländern

IT-Sicherheitsgesetz & IT-Sicherheitskatalog Status Quo und neue Herausforderungen. Referent: Christian Bruns

Auswirkungen des IT-Sicherheitsgesetzes auf den IKT-Sektor

Informationssicherheitsma nagementsystem (ISMS)

IT-Sicherheit für KMUs

Neues deutsches IT-Sicherheitsgesetz Was bedeutet das für die Kunden? Wie können wir helfen?

Genügt ein Schloss am PC? Informationssicherheit bei Übersetzungen

Inhalt. 2. IT-Compliance für Banken und Sparkassen (Überblick) 1. Kurze Vorstellung der Haspa

Aufgaben und erste Ergebnisse des Cyber-Abwehrzentrums

Zertifizierung von Netzbetreibern nach IT-Sicherheitskatalog gemäß 11 Abs. 1a EnWG

IT-Grundschutz Stolpersteine auf dem Weg zur Zertifizierung Vorbereitung ist alles!

DWA-Regelwerk Merkblatt DWA-M 1060 IT-Sicherheit Branchenstandard Wasser/Abwasser August 2017

ISIS12 als Informationssicherheitsmanagementsystem Wenn weniger manchmal mehr ist! Ralf Wildvang

Dr. Dennis Kenji Kipker Dipl. Ing. Sven Müller. Dipl Ing Sven Müller. Gefördert vom FKZ: 16KIS0213 bis 16KIS0216

Zertifizierung gemäß ISO/IEC 27001

PEFC SCHWEIZ NORMATIVES DOKUMENT ND 003. Anforderungen zur Zertifizierung auf Ebene eines Betriebes

Kritische Infrastruktur in der Wasserwirtschaft Was bedeuten branchenspezifische IT-Sicherheitsstandards für die Wasserversorgungsunternehmen?

2013-nurG.txt nurG.txt [Entwurf von 2014] [Entwurf von 2013] Entwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme

Energiewirtschaft und Digitalisierung

DS-GVO und IT-Grundschutz

Maßnahmenermittlung nach dem Stand der Technik

Zertifizierung gemäß ISO/IEC IT-Sicherheitskatalog nach 11 Abs. 1a EnWG

IT-Sicherheitsgesetz: Welche neuen Pflichten gelten für Unternehmen?

Projekt Risikoanalyse Krankenhaus IT (RiKrIT)

IT-Sicherheitsrechtstag 2017

ConformityZert GmbH. Zertifizierungsprozess ISO 27001

Inhaltsverzeichnis. Informationssicherheits-Management nach ISACA

ISMS und Sicherheitskonzepte ISO und IT-Grundschutz

Integration von Forensik und Meldepflichten in ein effizientes Security Incident Management 2. IT-Grundschutztag

Management von Informationssicherheit und Informationsrisiken Februar 2016

Protokolle, Bericht der Managementbewertung, Übersicht der QM-Dokumente. Durchgeführt von/am: Max Mustermann am Freigegeben durch:

Cybersecurity in der Energiewirtschaft Schlüssel zum Erfolg der Digitalisierung

IT-Sicherheitsgesetz: Haben Sie was zu melden?

Standardisierung und Anforderungen an SMGW Administration

Zertifizierung von elektronischen Dokumentenprozessen und Verfahrensdokumentationen durch VOI CERT und TÜViT

Abwarten ist keine Strategie Umsetzung des IT-Sicherheitsgesetzes

Informationssicherheit-Managementsystems (ISMS) mehr als IT-Sicherheit

Vorstellung, Status & Vision

Informationsrisikomanagement

Vom IT-Sicherheitsgesetz bis zur Informationssicherheit ist es nicht weit

Systemgestütztes Management der IT-Sicherheit mit der GRC-Suite iris

Datenschutz- Grundverordnung (DSGVO / GDPR) 24 welche Datenschutzmanagement -systemansätze können hier unterstützen?

Thomas W. Harich. IT-Sicherheit im Unternehmen

Informationssicherheit an der RWTH

Zertifizierung Auditdauer und Preise

Leitlinie für die Informationssicherheit

Grundlagen des Datenschutzes und der IT-Sicherheit

Unterschätzte Anforderungen der Datenschutz- Grundverordnung an den technischen Datenschutz

IT-Grundschutz nach BSI 100-1/-4

Eidgenössisches Volkswirtschaftsdepartement EVD Schweizerische Akkreditierungsstelle SAS. requirements for proficiency testing. SK Chemie

DWA-Orientierungshilfe

Leitlinie Datenschutz und Informationssicherheit

CS_PORTFOLIO. Informationssicherheits- Managementsystem [ISMS]

15 Jahre IT-Grundschutz

Umsetzung der Anschlussbedingungen Verbindungsnetz in Hessen

Sicherheit für Ihre Geodaten

Information Security Management System Informationssicherheitsrichtlinie

_isms_27001_fnd_de_sample_set01_v2, Gruppe A

_isms_27001_fnd_de_sample_set01_v2, Gruppe A

Hand in Hand: IT- und Facility-Management

IT-Sicherheitsgesetz

Die erkannten Feststellungen werden bei der Vor-Ort-Prüfung dokumentiert. Dies

Transkript:

ERFAHRUNGSBERICHT: PRÜFUNG NACH 8A (3) BSIG AUS PRÜFER- UND KRANKENHAUSSICHT KritisV-Eindrücke eines Betreibers und einer prüfenden Stelle Randolf Skerka & Ralf Plomann

Ralf Plomann IT-Leiter Katholisches Klinikum Lünen/Werne Randolf Skerka Bereichsleiter ISMS SRC, Bonn WIR ÜBER UNS 2

2014 / 2015 erster Kontakt zum Thema UNSERE ENTWICKLUNG 3

8a Sicherheit in der Informationstechnik Kritischer Infrastrukturen (1) Betreiber Kritischer Infrastrukturen sind verpflichtet, spätestens zwei Jahre nach Inkrafttreten der Rechtsverordnung nach 10 Absatz 1 angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind. Dabei soll der Stand der Technik eingehalten werden. Organisatorische und technische Vorkehrungen sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der betroffenen Kritischen Infrastruktur steht. Fachliche Sicht: Emotion: UNSERE ENTWICKLUNG 4

Sicht des Klinikums: Angemessenheit? Stand der Technik? Verpflichtung? Kosten? UNSERE AUSGANGSLAGE(N) Sicht des Prüfers: Die anderen Prüfer sind auch nicht schlauer als wir! Das Nachweisverfahren ist jung und unreif! Wir haben Gestaltungsspielraum! Das BSI wird fachlich solide Arbeit erwarten! Die Prüfungen müssen bezahlbar bleiben! Unsere Kunden möchten möglichst geringe Kosten! 5

Prüfgrundlage Berücksichtigung eines B3S Vorhandene Prüfungen & Zertifizierungen Aufwand der Prüfung Stichprobenauswahl ORIENTIERUNGSHILFEN!? 6

Bedrohungen & Schwachstellen Risikomanagement Technische Informationssicherheit Asset Management Bedrohungskategorien Branchenspezifische Gefährdungslage Notfallmanagement ISMS extern erbrachte Leistungen ORIENTIERUNGSHILFEN!? 7

August 2017 Audit Kick Off Definition des Scope Ausgangspunkt stationäre medizinische Versorgung IT und Risiko Interne Kommunikation zum Thema ITSiG August 2017 Audit Kick Off IT- Vorprüfung Ziel: Ermittlung des Digitalisierungsgrades in den klinischen Prozessem Definition Prüfgegenstand Abstimmung Vorgehen UNSERE ENTWICKLUNG 8

Beantwortung der Fragen: Ist der Stand-der-Technik Umgesetzt? Ist die Versorgungssicherheit gewährleistet? Ansatz Zerlegung der Frage nach dem Stand-der-Technik in Teilfragen Orientierung am Ziel des IT-Sicherheitsgesetzes (Versorgungssicherheit) Herausforderung Wie mit alter Technik umgehen? DARSTELLUNG DER VORGEHENSWEISE PRÜFSTRATEGIE 9

Vorgehensweise Vorbereitung der Prüfung Abstimmung Geltungsbereich Festlegung erforderliche Dokumente Vorprüfung IT Prüfung IT und IT- Managementprozesse Beurteilung technische IT-Sicherheit Bewertung der IT-Managementprozesse Bewertung der räumlichen Gegebenheiten Fachgespräche in klinischen Bereichen IT-Durchdringung in klinischen Bereichen Resilienz der klinischen Prozessen bezüglich IT-Problemen Dokumentation Schwachstellen Dokumentation der Schwachstellen im Prüfbericht ggf. Anpassung der Prüfkriterien Umsetzung Korrekturmaßnahmen Stichwort: Low-Hanging-Fruits Erstellung Maßnahmenplan Freigabe Prüfbericht Finalisierung Bericht Auslieferung an den Betreiber VORGEHENSWEISE 10

DIE SITUATION ZU BEGINN UND WÄHREND DER PRÜFUNG 11

UNSER ERGEBNIS 12

Unsere Erkenntnisse während des Audits Veränderungen im Audit Anmerkung: ca. 20 Tage Vor-Ort 13

23.04.2018 Übermittlung des Prüfberichts an das BSI Aktueller Stand: Anmerkungen des BSI liegen vor Prüfbericht wird angepasst DAS ERGEBNIS 14

aus Sicht des Betreibers Sicherheitsdenken wurde aktiviert BSI Meldungen sind Wertvoll gefühlte Sicherheit (Organisation) Ruhe und Gewissheit Richtiger Zeitpunkt (Digitalisierungsgrad) Wir tragen Verantwortung Es gibt noch viel zu tun und das ist gut so! aus Sicht der Prüfenden Stelle Ohne kompetente Fachexperten ist keine sinnvolle Prüfung möglich! Ein IT-Prüfer kann selten klinische und medizinische Prozesse beurteilen! Das Wesentliche muss im Fokus stehen! Es geht primär um die Verfügbarkeit kritischer Dienstleistungen. Wir definieren die Prüfkriterien individuell! Wir halten Kontakt mit dem BSI! Personalresource für ITSiG Dringlichkeit hoch halten Erwecken nicht drohen wenige Player Keine Alibi Sicherheit FAZIT 15

EINE ANEKDOTE ZUM ABSCHLUSS 16

HÖREN SIE AUFMERKSAM ZU. KOMMUNIZIEREN SIE OFFEN. Ralf Plomann plomann.ralf@klinikum-luenen.de +49 (2306) / 77 2170 Randolf Skerka randolf.skerka@src-gmbh.de +49 (228) 2806-136

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback