Post on 06-Apr-2015
Sicherheit entsprechend den BSI-Standards
Planungsunterstützung durch Open Source
54. GMDS-Jahrestagung
Essen, 2009-09-09
Dr. Bernd Schütze
1.1. MotivationMotivation2.2. Material / MethodeMaterial / Methode
a)a) Was ist der BSI- Was ist der BSI- » » StandardStandard««??
3.3. ErgebnisseErgebnissea)a) SoftwareSoftwareb)b) BewertungBewertung
4.4. Diskussion / FazitDiskussion / Fazit5.5. WerbeblockWerbeblock
Agenda54
. GM
DS
-Jah
rest
agu
ng
Ess
en, 2
009-
09-0
9
Motivation
• Datenschutz gesetzlich vorgeschrieben
• BDSG-Änderung 2009Motivation
BSI-Standard
OO-Software
Bewertung SW
Diskussion
Commercial
Motivation
Motivation
BSI-Standard
OO-Software
Bewertung SW
Diskussion
Commercial
Motivation
• Datenschutz gesetzlich vorgeschrieben
• BDSG-Änderung 2009
• Missglücktes Marketing
Motivation
BSI-Standard
OO-Software
Bewertung SW
Diskussion
Commercial
Marketing
Motivation
BSI-Standard
OO-Software
Bewertung SW
Diskussion
Commercial
BSI-Standard: „IT-Grundschutz- Kataloge“
• Standard für IT-Sicherheit in Deutschland
• Kataloge
– BSI-Standard 100-1: Managementsysteme für Informationssicherheit (ISMS)
– BSI-Standard 100-2: IT-Grundschutz-Vorgehensweise
– BSI-Standard 100-3: Risikoanalyse auf der Basis von IT-Grundschutz
– BSI-Standard 100-4 Notfallmanagement
• Katalogelement durch Kürzel klassifiziert
– B steht für Baustein, M für Maßnahme und G für Gefährdung
Motivation
BSI-Standard
OO-Software
Bewertung SW
Diskussion
Commercial
Beispiel: Bausteine
Motivation
BSI-Standard
OO-Software
Bewertung SW
Diskussion
Commercial
Beispiel: Gefährdungskatalog
Motivation
BSI-Standard
OO-Software
Bewertung SW
Diskussion
Commercial
Softwareunterstützung
BSI zertifiziert Software, derzeit sind zertifiziert• Kommerziell
– BSI (GSTool)
– DHC Dr. Herterich & Consultants GmbH AG (DHC Vision SME)
– HiSolutions AG (HiScout SME)
– INFODAS GmbH (SAVe)
– Kronsoft e.K. (opus i – Informationssicherheit)
– SecoNet GmbH (SecoNet Grundschutz Tool)
– Secure IT Consult (Audit Tool 2006)
– Swiss Infosec AG (Baseline-Tool)
• OpenSource
– SerNet GmbH (Verinice Open Source ISMS Tool)
Motivation
BSI-Standard
OO-Software
Bewertung SW
Diskussion
Commercial
Verinice Open Source ISMS Tool
• Lizenz GPLv3
• Aktuelle Version: 0.7.1
• Plattformunabhängig
– Programm selbst Java
– Dokumenterstellung mit OpenOffice
• Integration Datenbaustein des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit
• Integrierte Datenschutzperspektive
• Basis-Sicherheitscheck nach BSI 100-2
Motivation
BSI-Standard
OO-Software
Bewertung SW
Diskussion
Commercial
Programmaufbau
Motivation
BSI-Standard
OO-Software
Bewertung SW
Diskussion
Commercial
Beispiel: Modellierung
Motivation
BSI-Standard
OO-Software
Bewertung SW
Diskussion
Commercial
Beispiel: Definition Schutzbedarf
Motivation
BSI-Standard
OO-Software
Bewertung SW
Diskussion
Commercial
Beispiel: Datenschutzperspektive
Motivation
BSI-Standard
OO-Software
Bewertung SW
Diskussion
Commercial
Beispiel: Sicherheitscheck
Motivation
BSI-Standard
OO-Software
Bewertung SW
Diskussion
Commercial
Beispiel: OpenOffice-Dokumente
Motivation
BSI-Standard
OO-Software
Bewertung SW
Diskussion
Commercial
Bewertung
• Installation
– Zip-Datei entpacken
– Pfade zu Open-Office und BSI-Katalog angeben
• Datenbank
– Integrierte Derby-Datenbank
– Jegliche DB mit JDBC-Treiber
• Handhabung
– Bedienung ggf. durch Assistenten unterstützt
– Führung entsprechend BSI-Katalog
– Datenschutz analog zu BSI-Analyse
Motivation
BSI-Standard
OO-Software
Bewertung SW
Diskussion
Commercial
Diskussion
• Risikoanalyse auch anders möglich(z.B. Open Source Security Testing Methodology Manual – OSSTMM)
• Risikoanalyse nach BSI international harmonisiert
• Risikoanalyse wird im Gesundheitswesen immer wichtiger, denn ohne Daten
– Keine Patientenbehandlung
– Keine Qualitätssicherung
– Keine Forschung
– Keine Weiterentwicklung der medizinischen Behandlung
– …
– Kein Geld
Motivation
BSI-Standard
OO-Software
Bewertung SW
Diskussion
Commercial
Fazit
• IT-Sicherheit wird im Gesundheitswesen immer wichtiger
• Vernetzung nimmt immer mehr zu
• Nur autorisierte Partner sollten miteinander kommunizieren
Motivation
BSI-Standard
OO-Software
Bewertung SW
Diskussion
Commercial
Fragen?
schuetze@medizin-informatik.org
Motivation
BSI-Standard
OO-Software
Bewertung SW
Diskussion
Commercial
Gerne auch per Mail:
Werbeblock
• GMDS-Arbeitsgruppe Datenschutz & Datensicherheit
– Mitarbeit erwünscht
– Ansprechpartner: Prof. Pommerening
• 33. Datenschutzfachtagung (DAFTA) der Gesellschaft für Datenschutz und Datensicherheit
– 19. bis 20. November 2009
– In Köln (Maternushaus)
– https://www.gdd.de -> Veranstaltungen
Motivation
BSI-Standard
OO-Software
Bewertung SW
Diskussion
Commercial