7. KRITIScher Stammtisch zum IT-SiGSektor Gesundheit – Branche Medizinische Versorgung
Aktuelles aus den KRITIS-Arbeitskreisen
Dresden, 11.09.2019, Mike Zimmermann
www.uniklinikum-dresden.de2
7. KRITIScher Stammtisch
1. Aktuelles aus dem UP KRITIS Branchenarbeitskreis (BAK)
2. Status Nachweisverfahren §8a BSIG am UK Dresden
www.uniklinikum-dresden.de3
Aktuelles aus dem UP KRITIS Branchenarbeitskreis (BAK)Teil 1
I letztes Treffen: 03.-04.09.
I Status Branchenspezifischer Sicherheitsstandard (B3S)
― Eignungsfeststellung des B3S (Version 1.0 - 02.04.2019)
― noch keine Freigabe durch das BSI
― B3S Entwurf wird als Prüfgrundlage für das Nachweisverfahren nach §8a BSIG
anerkannt
I Finanzierung
― DKG versuchen weiterhin zusätzliche Mittel zu akquirieren!
― Positiv wurde Sachsen erwähnt, da es hier im Gegensatz zu den meisten anderen
Ländern ein paar Sondertöpfe (z.B. Strukturfond, Förderprogramm digitale
Ertüchtigung) gibt!
www.uniklinikum-dresden.de4
Aktuelles aus dem UP KRITIS Branchenarbeitskreis (BAK)Teil 2
I Sichtweise zum Stand der Nachweisverfahren §8a BSIG vom BSI
― noch keine detaillierten Zahlen (Wieviel haben abgegeben usw.)
― Mahnschreiben an säumige Betreiber sind versendet worden
― Prüfunterlagen werden bisher nur auf Vollständigkeit geprüft, keine inhaltliche
― Status Kommunikation lief nicht optimal (z.B. keine Eingangsbestätigung)
― Bisherige Erkenntnisse:
• Geltungsbereich oft zu eng gefasst
• Geltungsbereich als Beschreibung und als Grafik-Netzplan (digital) gewünscht
• Expertise der prüfenden Stellen war teilweise mangelhaft bzw. qualitativ mit
hoher Bandbreite
www.uniklinikum-dresden.de5
Aktuelles aus dem UP KRITIS Branchenarbeitskreis (BAK)Teil 3
I Sichtweise zum Stand der Nachweisverfahren §8a BSIG von den prüfende Stellen
― Erfahrungsberichte vom TüV Süd, Rödl & Partner und Cetus-Consulting / Dekra
-> WUNSCH: nicht alle erst wieder zum 30.06.2021!
Positiv Negativ Verbesserungswürdig
• durch Prüfplaner einfache
Kalkulation
• Unterstützung der Betreiber
• einige wollen nicht nur B3S
erfüllen, sondern auch die
ISO27k oder BSI IT GS
• RZ teilweise bauliche
Katastrophen
• Stand der Technik für
Systeme der kritischen
Dienstleistung nicht definiert
• Thema wird auf die IT
abgewälzt
• B3S Anforderungen sollten
vom Betreiber vorab
beantwortet werden
• IT-Risikomanagement sollte
besser mit dem
betriebswirtsch. & klinischen
RM verzahnt werden
• Formulare KI, PD, PE, PS
www.uniklinikum-dresden.de6
Aktuelles aus dem UP KRITIS Branchenarbeitskreis (BAK)Teil 4
I Sichtweise zum Stand der Nachweisverfahren §8a BSIG von den BAK Teilnehmern
-> WUNSCH: Auswertung der Ergebnisse!
Positiv Negativ Verbesserungswürdig
• Ablauf der Prüfung
• Nutzung des Prüfplaner
• Prüfergebnis wie erwartet
• Steigerung der internen
Awareness
• noch kein freigegebener B3S
• Unklarheit durch fehlenden
Prüfleitfaden
• Was ist Stand der Technik?
• Probleme mit dem
Maßnahmenplan
• Schulung prüfende Stellen &
KRITIS Betreiber
• Branchenkompetenz der
prüfenden Stellen
• Übertragung der Dokumente
zu den prüfenden Stellen &
dem BSI
• Entscheidung
schwerwiegende oder
erhebliche Abweichung
www.uniklinikum-dresden.de7
Aktuelles aus dem UP KRITIS Branchenarbeitskreis (BAK)Teil 5
I Wie geht’s weiter:
― Weiterentwicklung Prüfnachweisplaner
― Idee der Möglichkeit einer eigenen Prüfstelle für das Gesundheitswesen soll
wieder aufgenommen werden!
― Arbeitskreis Lagebild wird gebildet (Leitung Klinikum Cottbus F.Engelking)
• Erstellung eines regelm. Risikolagebildes
• Angebot an BSI zur (anonymisierten) Auswertung der Prüfnachweise
www.uniklinikum-dresden.de8
Status Nachweisverfahren §8a BSIG am UK DresdenTeil 1
I Informationssicherheit ist kein Projekt, sondern ein fortlaufender Prozess!
I Stellenwert der Informationstechnik neu definieren
― Zunehmende Abhängigkeit von der IT (Digitalisierung, KH-Alarmplanung)
― Ausreichend & gut ausgebildetes Personal
― Förderung des Sicherheitsbewusstsein
I Informationssicherheitsmanagementteam
― Etablierung eines IT-Sicherheitsbeauftragten und IT-Sicherheitskoordinatoren
― nur GEMEINSAM kann das Ziel erreicht werden (KH-Leitung + IT + IT-Sicherheit)
― enge Zusammenarbeit mit IT, DS, QM, RM, MT, GLT, Beschaffung, Personal…
I Einführung & Etablierung technischer Maßnahmen, u.a.:
― Netzwerksegmentierung, SIEM, Web Reputation, Compliance- und
Schwachstellenüberwachung, Identity Management usw.
www.uniklinikum-dresden.de9
Status Nachweisverfahren §8a BSIG am UK DresdenTeil 2
I Einführung & Etablierung organisatorischer Maßnahmen, u.a.:
― Richtlinie „Mindestanforderung an IT-Systeme im Krankenhausnetzwerk“
― Verfahrensbeschreibung „Umgang mit Sammelkonten“
I Aufbau und Etablierung eines Informationssicherheitsmanagementsystems (ISMS)
― Einführung eines Standardführungsprozess Informationssicherheit (Leitlinie)
― Verknüpfung IT-Assets (CMDB) + Krankenhausprozesse
― Aufbau standardisierte Dokumentenlenkung / -klassifizierung
― Aufbau IT-Vorfallsmanagement (IT-SiG, DSGVO, Medizinprodukte-Sicherheitsplanverordnung)
― Aufbau IT-Risikomanagement und Integration in das vorhandene Krankenhaus RM
― Aufbau Business Continuity Management / Notfallmanagement
― Aufbau IT-Revision (inkl. Integration in das zentrale Audit- und Begehungsmanagement)
www.uniklinikum-dresden.de10
Status Nachweisverfahren §8a BSIG am UK DresdenTeil 3
I User Awareness
― Ziel: geschulte und sensibilisierte Mitarbeiter und Vermittlung von IT-
Medienkompetenz
― Schulungsbausteine:
• Grundlagen IT-Sicherheit (Was passiert denn schon, Wert der Information, Identität,
Schad-E-Mails)
• Spezialsensibilisierung zu aktuellen Themen (z.B. Phishing, Verschlüsselungstrojaner)
• Themenveranstaltung (z.B. Umgang mit digitalen Medien, Internet der Dinge, Google
Datensammler)
• Awareness Kampagnen (z.B. Phishing Aktion, Social Engineering)
www.uniklinikum-dresden.de11
Status Nachweisverfahren §8a BSIG am UK DresdenTeil 4
2018: Vorbereitende GAP Analyse Informationssicherheit (Entwurf B3S) und Datenschutz (EU-DSGVo)
05/2019: Beauftragung Prüfende Stelle
06/2019: Durchführung einer Prüfung nach §8a BSI-Gesetz auf B3S Basis
[Prüfung des Scopes, der Dokumente, Befragungen und Vor-Ort Begehung]
07/2019: Bearbeitung der Abweichungsliste
[Maßnahmen, Verantwortlichkeit und Fälligkeit]
07/2019: Abgabe der Nachweisdokumente an das BSI
Vorbereitung auf die nächste Prüfung in 05/2021
Vielen Dank für Ihre Aufmerksamkeit.
Adresse:
Universitätsklinikum Carl Gustav Carus
an der TU Dresden AöR
Fetscherstraße 74, 01307 Dresden
Kontakt:
Mike Zimmermann
Telefon: 0351-458 15434, 0162-255 0892
E-Mail: [email protected]
Internet: www.uniklinikum-dresden.de
Top Related