ds data systems gmbh - gmds.de€¦ · handlungsempfehlung des akg. data systems gmbh...
TRANSCRIPT
DATA
SYSTEMS GmbH
Consulting is our business!
DS DATA SYSTEMS GmbH
FO-
Prä
sen
tati
on
svo
rlag
e 0
8.0
1.2
013
Consulting is our business!
Anforderungen des IT-Sicherheitsgesetzes„Gesetz zur Erhöhung der Sicherheit
informationstechnischer Systeme" (Referentenentwurf)
DATA
SYSTEMS GmbH
FO-
Prä
sen
tati
on
svo
rlag
e 0
8.0
1.2
013
2
Consulting is our business!
DS DATA SYSTEMS GmbH
Referent: Dipl.-Ing. Henning Kopp
Leiter Information Security
Externer IT-Sicherheitsbeauftragter
Städtisches Klinikum Braunschweig
BSI-GSL-0032-2002 (BSI)BSI-IGL-0016-2006 (BSI)BSI-ZIG-0016-2011 (BSI)BSI-ZIG-0016-2014 (BSI)ISO 27001 Lead Auditor (DEKRA)Datenschutzauditor (DEKRA)CISA (ISACA)
Email: [email protected]
© 2014 Copyright und alle Rechte vorbehalten
Consulting is our business!
DATA
SYSTEMS GmbH
FO-
Prä
sen
tati
on
svo
rlag
e 0
8.0
1.2
013
3
Zielgruppe:
� Betreiber kritischer Infrastrukturen
Status:
� 2013 Referentenentwurf
� 2014 Gesetzentwurf
� 2015 Verabschiedung im Bundestag
IT-Sicherheitsgesetz
DATA
SYSTEMS GmbH
FO-
Prä
sen
tati
on
svo
rlag
e 0
8.0
1.2
013
4
(Auszug)
� Umsetzung und Dokumentation organisatorischer und technischer Vorkehrungen und sonstiger Maßnahmen zum Schutz der maßgeblichen informationstechnischen Systeme, Komponenten und Prozesse
� Berücksichtigung des "Stands der Technik"
� Pflicht zur Meldung erheblicher IT-Sicherheitsvorfälle an das BSI
Anforderungen des IT-Sicherheitsgesetzes
DATA
SYSTEMS GmbH
FO-
Prä
sen
tati
on
svo
rlag
e 0
8.0
1.2
013
5
Regelmäßige Überprüfung:
� Durchführung von Sicherheitsaudits
� mindestens alle zwei Jahre
� durch vom BSI anerkannte Auditoren
� Möglichkeit zu branchenspezifische Sicherheitsstandards:
� auf Antrag ggf. vom BSI anerkannt
� Ausgestaltung der Sicherheitsaudits soll nicht im Detail gesetzlich vorgegeben werden
Anforderungen des IT-Sicherheitsgesetzes
DATA
SYSTEMS GmbH
FO-
Prä
sen
tati
on
svo
rlag
e 0
8.0
1.2
013
6
� Generell soll geprüft werden:
� Sind geeignete und wirksame Maßnahmen und Empfehlungen umgesetzt?
� Wird ein Information Security Management (Sicherheitsorganisation, IT-Risikomanagement, etc.) betrieben?
� Sind kritische Cyber-Assets identifiziert und gemanagt?
� Sind Maßnahmen zur Angriffsprävention und -erkennung etabliert?
� Ist ein Business Continuity Management (BCM) implementiert?
Anforderungen des IT-Sicherheitsgesetzes
DATA
SYSTEMS GmbH
Consulting is our business!
DS DATA SYSTEMS GmbH
FO-
Prä
sen
tati
on
svo
rlag
e 0
8.0
1.2
013
Consulting is our business!
Handlungsempfehlung des AKG
DATA
SYSTEMS GmbH
FO-
Prä
sen
tati
on
svo
rlag
e 0
8.0
1.2
013
8
(Auszug)
� Die Identifikation aller unternehmenskritischen Verfahren des Krankenhauses (über ein von der Klinikleitung bestimmtes Gremium)
� Er- bzw. Überarbeitung und zentrale Dokumentation der organisatorischen und manuellen Ausfallkonzepte für die als unternehmenskritisch identifizierten IT-Verfahren
� Die Anwendung z.B. des IT-Grundschutzes auf besonders kritische Verfahren, ggf. mit dem Ziel einer Zertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz.
� Es empfiehlt sich die Priorisierung nach Kritikalität und wirtschaftlichem Risiko vorzunehmen und mit den Verfahren zu beginnen, bei denen im Falle eines Ausfalls der IT, der „Nacharbeitungsaufwand“ und damit das wirtschaftliche Risiko besonders hoch wäre.
Handlungsempfehlung AKG
DATA
SYSTEMS GmbH
Consulting is our business!
DS DATA SYSTEMS GmbH
FO-
Prä
sen
tati
on
svo
rlag
e 0
8.0
1.2
013
Consulting is our business!
Kritische Prozesse und Diensteam Beispiel des Städtischen Klinikums Braunschweig
DATA
SYSTEMS GmbH
FO-
Prä
sen
tati
on
svo
rlag
e 0
8.0
1.2
013
10
� Elektronische Patientenakte EPA
� Patienten Daten Management PDMS
� Zertifiziert nach ISO 27001 auf Basis von IT-Grundschutz
� Das ISMS umfasst: IT-Systeme, Netzwerke, Datensicherung, IT-Abteilung, Infrastrukturen inkl. Rechenzentren, Datenschutz, Schulungen der Mitarbeiter, etc.
Kritische Prozesse und Dienste SKBS I
DATA
SYSTEMS GmbH
FO-
Prä
sen
tati
on
svo
rlag
e 0
8.0
1.2
013
11
Konventionelle Notfallverfahren:
� Belegungskoordination
� Transfusionsmedizin
� Zentrale Notaufnahme
� Unfallchirurgische Notaufnahme
� Intensivstationen
� Labore
� OP-Koordination
� Apotheke
Kritische Prozesse und Dienste SKBS II
� Transportdienst
� Zentralküche
� Elektronische Bildverteilung
� Röntgendiagnostik
� Zentralsterilisation
DATA
SYSTEMS GmbH
Consulting is our business!
DS DATA SYSTEMS GmbH
FO-
Prä
sen
tati
on
svo
rlag
e 0
8.0
1.2
013
Consulting is our business!
Anerkannte Standards für
Informationssicherheitsmanagement
DATA
SYSTEMS GmbH
FO-
Prä
sen
tati
on
svo
rlag
e 0
8.0
1.2
013
13
ISO/IEC 27001:2013
� 14 Managementgebiete
� 35 Maßnahmenziele
� 114 Maßnahmen / Controls
� Norm und Annex, zertifizierbar
-> Aber: Kein Umsetzungsleitfaden, Detaillierung der Anforderungen in der ISO 27002 und ISO 27799
Weitere Informationen: www.27000.org
ISO/IEC 27001 / 27002 / 27799
DATA
SYSTEMS GmbH
FO-
Prä
sen
tati
on
svo
rlag
e 0
8.0
1.2
013
14
Managementgebiete des Annex A (2013):� A.5 Information security policies
� A.6 Organization of information security
� A.7 Human resource security
� A.8 Asset management
� A.9 Access control
� A.10 Cryptography
� A.11 Physical and environmental security
� A.12 Operations security
� A.13 Communications security
� A.14 System acquisition, development and maintenance
� A.15 Supplier relationships
� A.16. Information security incident mgmt.
� A.17 Information security aspects of business continuity management
� A.18 Compliance
ISO/IEC 27001 / 27002 / 27799
DATA
SYSTEMS GmbH
FO-
Prä
sen
tati
on
svo
rlag
e 0
8.0
1.2
013
15
BSI: IT-Grundschutz
� Grundschutzhandbuch seit 1992 (IT-Sicherheitshandbuch)
� Grundschutzhandbuch wird laufend ergänzt
� Heute: BSI-Standards: 278 Seiten und IT-Grundschutz-Kataloge: 4482 Seiten, 91 Bausteine mit ca. 1440 Maßnahmen
� Aktuelle Version: 2013, 13. EL
� Zertifizierung seit Januar 2007: „ISO 27001 auf der Basis von IT-Grundschutz“
Weitere Informationen: www.bsi.bund.de
DATA
SYSTEMS GmbH
FO-
Prä
sen
tati
on
svo
rlag
e 0
8.0
1.2
013
16
BSI: IT-Grundschutz
DATA
SYSTEMS GmbH
FO-
Prä
sen
tati
on
svo
rlag
e 0
8.0
1.2
013
17
BSI: IT-Grundschutz-Vorgehensweise
DATA
SYSTEMS GmbH
Consulting is our business!
DS DATA SYSTEMS GmbH
FO-
Prä
sen
tati
on
svo
rlag
e 0
8.0
1.2
013
Consulting is our business!
Risikoorientierte Einführung von
IT-Grundschutzvor dem Hintergrund der Anforderungen aus dem IT-Sicherheitsgesetz
DATA
SYSTEMS GmbH
FO-
Prä
sen
tati
on
svo
rlag
e 0
8.0
1.2
013
19
Business Impact Analyse
Schadensanalyse
Risikoanalyse
BSI 100-4: Notfallmanagement
IT-Grundschutz nach
BSI 100-2 und
B 1.3 Notfallmanagement
DATA
SYSTEMS GmbH
FO-
Prä
sen
tati
on
svo
rlag
e 0
8.0
1.2
013
20
BSI 100-4: Notfallmanagement / BIA
DATA
SYSTEMS GmbH
Consulting is our business!
DS DATA SYSTEMS GmbH
FO-
Prä
sen
tati
on
svo
rlag
e 0
8.0
1.2
013
Consulting is our business!
ISMS am Beispiel des Städtischen Klinikums
BraunschweigZertifiziert seit 2008 nach ISO 27001 auf Basis von IT-Grundschutz
DATA
SYSTEMS GmbH
FO-
Prä
sen
tati
on
svo
rlag
e 0
8.0
1.2
013
22
� Etablierung einer IT-Sicherheitsorganisation:
� IT-Sicherheitsbeauftragter (ITSB)
� Datenschutzbeauftragter (DSB)
� Informationssicherheitsmanagement-Team (IS-Team):
� ITSB
� DSB
� CIO / Unternehmensentwicklung
� Betriebsrat
� Bereichsleiter IT (RZ, Klinische Systeme, SAP, Endgeräte)
� Zeitweise: Zentrales Risikomanagement
ISMS des SKBS I
DATA
SYSTEMS GmbH
FO-
Prä
sen
tati
on
svo
rlag
e 0
8.0
1.2
013
23
� Abgrenzung zum Datenschutz:
ISMS des SKBS II
DATA
SYSTEMS GmbH
FO-
Prä
sen
tati
on
svo
rlag
e 0
8.0
1.2
013
24
� IS-/IT-Sicherheitskonzept , toolgestützt (GS-Tool):
ISMS des SKBS III
DATA
SYSTEMS GmbH
FO-
Prä
sen
tati
on
svo
rlag
e 0
8.0
1.2
013
25
ISMS-Dokumentation
� 1. Richtlinien für Anwender, z.B.:
� Allgemeine Arbeitsanweisung IT-Abteilung
� Betriebsvereinbarung Email und Internet
� Betriebsvereinbarung IT-Sicherheitsrichtliniefür Anwender
� Remote Access Sicherheitsrichtlinie
� Dienstanweisung zum Umgang mit mobilen Datenträgern
� Social Media Guideline
� 2. Notfallmanagement, z.B.:
� Notfallvorsorgekonzept
� Notfallhandbuch
� Konventionelle Notfallverfahren
ISMS des SKBS IV
DATA
SYSTEMS GmbH
FO-
Prä
sen
tati
on
svo
rlag
e 0
8.0
1.2
013
26
ISMS-Dokumentation
� 3. Übergeordnete Dokumente, z.B.:
� Leitlinie zur Informationssicherheit
� Krankenhausarchivordnung
� Meldung und Behandlung von IT-Sicherheitsvorfällen
� Notfallorganigramm
� Dienstanweisung Generalschlüssel
� IT-Rahmenkonzept
� Informationssicherheitskonzept
� Datenschutzkonzeption
ISMS des SKBS V
DATA
SYSTEMS GmbH
FO-
Prä
sen
tati
on
svo
rlag
e 0
8.0
1.2
013
27
ISMS-Dokumentation
� 4. Richtlinien und Konzepte für Betreiber, z.B.:
� Richtlinie zum Betrieb von IT-Systemen
� Sicherheitsrichtlinie Speichernetzwerk
� Brandschutzordnung
� Installationsvorgaben Neusystem
� Vernetzungskonzept für Neubau und Umbaumaßnahmen
� Kryptokonzept
� Konzept zum Schutz vor Schadsoftware
� Konzept zur digitalen Archivierung
� Datensicherungskonzept
� Netzwerk-Konzept
� Remote Access Konzept
� Installationscheckliste Server
ISMS des SKBS VI
� Sicherheitsgatewaykonzept
� IT-Pass
� Verfahrensbeschreibungen und Administrationskonzept Active Directory
� Rollenverteilung ADS
� Checkliste für die Installation/Updates der Layer2 Switche
� Betriebsvereinbarung Fernbetreuung DV
� Beschreibung des IT Change Managements
� Softwareverteilungsrichtlinie
� Netzwerkrealisierungs-Konzept
� Berechtigungsadministration
� Checkliste für die Installation des VPN-Routers
DATA
SYSTEMS GmbH
FO-
Prä
sen
tati
on
svo
rlag
e 0
8.0
1.2
013
28
� Auditwesen intern / extern u.a.:
� Interne Audits durch den ITSB und den DSB
� SAP-, SAN-Audits, Netzwerkscans, etc.
� Audits durch Auditoren des BSI
� Überwachungsaudits: jährlich
� Rezertifizierungsaudit: jeweils nach drei Jahren
� Berichtwesen, u.a.:
� Quartalsberichte des ITSB: Direktes Vortragsrecht GF
� Management Reports zum IT-Risikomanagement
� Wiedervorlageliste
� Audit Follow Up
ISMS des SKBS VII
DATA
SYSTEMS GmbH
FO-
Prä
sen
tati
on
svo
rlag
e 0
8.0
1.2
013
29
� Meldewesen für IT-Sicherheitsvorfälle
� Meldewege (Mail Service Desk)
� Schulung
� Fomulare für Meldung, Nachverfolgung und Bewertung
� Datenaustausch mit extern
� CAG / Austauschlaufwerk
� PKI (GPG)
� Verschlüsselte USB-Sticks
ISMS des SKBS VIII
DATA
SYSTEMS GmbH
FO-
Prä
sen
tati
on
svo
rlag
e 0
8.0
1.2
013
30
Vielen Dank für Ihre Aufmerksamkeit!
Consulting is our business!
DS DATA SYSTEMS GmbH
Kontakt: Henning Kopp
Leiter Information Security
DS DATA SYSTEMS GMBHZuckerberg 26-26A38179 Schwülper
+49 (0) 5303 / 92335 - [email protected]
© 2014 Copyright und alle Rechte vorbehalten
Consulting is our business!