www.naris.eu

Start-up Session „IT-Sicherheitsgesetz: Risikomanagement, Compliance und Governance in einer cloudbasierten Wissensdatenbank umsetzen “

Holger Bertok

www.naris.eu

Agenda § § § § § §

Herausforderungen / Problemstellungen Aufgabenstellung / Ziele Lösungsszenarien Lösung Zusammenfassung und Fazit Ausblick

www.naris.eu

Herausforderungen / Problemstellungen Bedrohung: Cyberattacken

www.naris.eu

Herausforderungen / Problemstellungen Gesetz: IT-Sicherheitsgesetz § 8a (1) Satz 1 & 2 BSIG vom 21.12.2015: Betreiber Kritischer Infrastrukturen sind verpflichtet, […] angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind. Dabei soll der Stand der Technik eingehalten werden. §§ 2-5 BSI-Kritisverordnung vom 22.04.2016: • Regelungen für die Bereiche Energie, Wasser, Ernährung, Technik, Information und Kommunikation • Anfang 2017 Regelegungen für die Bereiche Finanzen, Transport und Verkehr sowie Gesundheit www.naris.eu

Herausforderungen / Problemstellungen Normative Vorgabe: BSI-Basisschutz

www.naris.eu

Herausforderungen / Problemstellungen Normative Vorgabe: BSI-Basisschutz Orientierung an Schadensszenarien: • Verstöße gegen Gesetze, Vorschriften, Verträge • Beeinträchtigung der informellen Selbstbestimmungsrechts • Beeinträchtigung der personellen Unversehrtheit • Beeinträchtigung der Aufgabenerfüllung • Negative Imagewirkung • Finanzielle Auswirkungen

Klassifizierung von Schäden; Definition von Schutzbedarf: • Normaler Schutzbedarf: die Auswirkungen sind begrenzt und überschaubar • Auswirkungen können beträchtlich sein • Auswirkungen können ein existentiell bedrohliches, katastrophales Ausmaß erreichen

www.naris.eu

Herausforderungen / Problemstellungen Normative Vorgabe: BSI-Basisschutz Allgemein

Speziell

• Übergreifende Aspekte: Leitlinie zur Informationssicherheit, Datensicherung und Virenschutz, Notfallhandbuch, Outsourcing, Personal, Patch- und Änderungsmanagement • Sicherheit der Infrastruktur: Gebäude, Serverräume, Infrastrukturräume, jeweils mit Spannungsversorgung und Klimatisierung, Brandschutz, wasserführende Leitungen • Sicherheit der IT-Systeme: Allgemeine Server, UNIX®- bzw. Windows®-Systeme, PCs und ihre Betriebssysteme, Drucker und Kopierer, Mobiltelefone • Sicherheit im Netz: Betriebskonzept für das Netzwerk, Modem, Wireless LAN, Voice Over IP, Fernzugriffe • Sicherheit in Anwendungen: Webserver, Datenbanken. Groupwaresysteme wie MS Exchange®, Backupsoftware

www.naris.eu

Herausforderungen / Problemstellungen BSI-Basisschutz

www.naris.eu

Herausforderungen / Problemstellungen ISO-Normen 2700x

www.naris.eu

Herausforderungen / Problemstellungen ISO-Normen 2700x • • • • • •

ISO/IEC 27000 – Information security management systems – Overview and vocabulary ISO/IEC 27001 – Information security management systems – Requirements; aus Teil 2 des BS 7799 ISO/IEC 27002 – Code of practice for information security management; aus Teil 1 des BS 7799 und ISO/IEC 17799; ISO/IEC 27003 – Information security management systems – Implementation Guidelines ISO/IEC 27004 – Information security management measurements ISO/IEC 27005 – Information security risk management

• DIN EN ISO 27799 – Informationssicherheitsmanagement im Gesundheitswesen gemäß ISO/IEC 27002 IT-Sicherheitsverfahren • DIN EN 80001 – Anwendung des Risikomanagements für IT-Netzwerke, die Medizinprodukte beinhalten – Teil 1: Aufgaben, Verantwortlichkeiten und Aktivitäten • […und andere branchenspezifische Normen…] www.naris.eu

Herausforderungen / Problemstellungen ISO-Normen 27799: 2008-10 • • • •

Inhalt, Vorwort, Einleitung 1 Anwendungsbereich 2 Normative Verweisungen 3 Begriffe • 3.1 Begriffe aus dem Gesundheitswesen • 3.2 Begriffe aus dem Bereich der Informationssicherheit • 5 Sicherheit von Gesundheitsinformationen • 5.5 Bedrohungen und Schwachstellen der Sicherheit von Gesundheitsinformationen • 6. Organisation der Informationssicherheit • 6.1 Systematik der Normen ISO/IEC 27002und ISO/IEC27001 • 6.2 Engagement des Managements bei der Umsetzung der ISO/IEC 27002 • 6.3 Einrichten, betreiben, pflegen und verbessern des ISMS • 6.7 Handeln: Pflegen und Verbessern des ISMS

• 7.1 Allgemeines • 7.2 Leitlinie zur Informationssicherheit • 7.3 Organisation der Informationssicherheit • 7.4 Management organisationseigener Werte • 7.5 Personalsicherheit • 7.6 Physische und umgebungsbezogene Sicherheit • 7.7 Betriebs- und Kommunikationsmanagement • 7.8 Zugriffskontrolle • 7.9 Beschaffung, Entwicklung und Wartung von Informationssystemen • 7.12 Einhaltung von Vorgaben • Anhang A(informativ) Bedrohungen der Sicherheit von Gesundheitsinformationen

www.naris.eu

Agenda § § § § § §

Herausforderungen / Problemstellungen Aufgabenstellung / Ziele Lösungsszenarien Lösung Zusammenfassung und Fazit Ausblick

www.naris.eu

Aufgabenstellung / Ziele § § § § § § §

Gemeinsame Anstrengungen der Krankenhäuser Benchmarking ermöglichen Von einander lernen Vertrauen schaffen Status quo erheben Soll-Vorstellung definieren Maßnahmen dahin festlegen

www.naris.eu

Agenda § § § § § §

Herausforderungen / Problemstellungen Aufgabenstellung / Ziele Lösungsszenarien Lösung Zusammenfassung und Fazit Ausblick

www.naris.eu

Lösungsszenarien NARIS - gemeinsame Plattform für: Risikomanagement

Compliance

www.naris.eu

Audit

Lösungsszenarien NARIS - Compliance

www.naris.eu

Lösungsszenarien NARIS - Risiko

www.naris.eu

Lösungsszenarien NARIS - Audit

www.naris.eu

Agenda § § § § § §

Herausforderungen / Problemstellungen Aufgabenstellung / Ziele Lösungsszenarien Lösung Zusammenfassung und Fazit Ausblick

www.naris.eu

Lösung NARIS: Benchmarking IT-Sicherheit Schritt 1: • Selbsteinschätzung im Modul Compliance in Bezug auf BSIGrundschutz und ISO 2700x • Darstellung der eigenen Ergebnisse im Vergleich zur Benchmarkgruppe Schritt 2: • Bereiche mit Verbesserungsbedarf werden im Modul Risiko erfasst (oder aus Muster-Risiko-Katalog übernommen), bewertet und mit Maßnahmen belegt Schritt 3: • Es werden Audits geplant um die Risiken und Maßnahmen zu prüfen (Modul Audit) www.naris.eu

Lösung NARIS: Wissensmanagement ü

Standard Modellrisiken

ü

Modellmaßnahmen

ü

Aktuelle Risiken

KH 1

IT-Sicherheitsgesetz

KH 2

KH 6

BSI Grundschutz

Teilnehmer

KH 5

KH 3

ISO 2700x Familie

KH 4

www.naris.eu

Agenda § § § § § §

Herausforderungen / Problemstellungen Aufgabenstellung / Ziele Lösungsszenarien Lösung Zusammenfassung und Fazit Ausblick

www.naris.eu

Zusammenfassung und Fazit IT-Sicherheit: Vorgehen nach BSI, ISO 27001 & 27799 4 Dimensionen Physikalisch (Redundanzen…)

Logisch (Verschlüsselungen)

IT-Sicherheit Administrativ (Berechtigungen)

Organisatorisch (Aufklärung)

5 Aspekte: • • • • •

Gemeinsam handeln auf 1 Plattform: www.naris.eu

Übergreifende Aspekte Sicherheit der Infrastruktur Sicherheit der IT-Systeme Sicherheit im Netz Sicherheit in Anwendungen

Agenda § § § § § §

Herausforderungen / Problemstellungen Aufgabenstellung / Ziele Lösungsszenarien Lösung Zusammenfassung und Fazit Ausblick

www.naris.eu

Ausblick Wir suchen Krankenhäuser und Verbände § die thematischen Bedarf haben und § das Thema mit uns kompetent und nachhaltig voran treiben wollen. Wir bieten § Kostenlose Plattform für ein Benchmark in Bezug auf die Compliance für den Bereich IT-Sicherheit § Eine praxisnahe stetig wachsende Wissensdatenbank zu Risiken und Maßnahmen in Bezug auf IT-Sicherheit § Cloudbasierte Plattform die Ressourcen im Krankenhaus spart (Hardware, Pflege, Updates, etc.)

www.naris.eu

Vielen Dank! Holger Bertok NARIS GmbH Hohenzollernring 5 50667 Köln Tel: +49(0)221-8306373 Mobil: +49(0)163-8673900 Email: [email protected] Web: www.naris.com

www.naris.eu