230 likes | 427 Vues
Sicherheit entsprechend den BSI-Standards. Planungsunterstützung durch Open Source. 54. GMDS-Jahrestagung Essen, 2009-09-09. Dr. Bernd Schütze. Agenda. Motivation Material / Methode Was ist der BSI- » Standard « ? Ergebnisse Software Bewertung Diskussion / Fazit Werbeblock.
E N D
Sicherheit entsprechend den BSI-Standards Planungsunterstützung durch Open Source 54. GMDS-Jahrestagung Essen, 2009-09-09 Dr. Bernd Schütze
Agenda • Motivation • Material / Methode • Was ist der BSI- » Standard«? • Ergebnisse • Software • Bewertung • Diskussion / Fazit • Werbeblock 54. GMDS-Jahrestagung Essen, 2009-09-09
Motivation • Datenschutz gesetzlich vorgeschrieben • BDSG-Änderung 2009 Motivation BSI-Standard OO-Software Bewertung SW Diskussion Commercial
Motivation Motivation BSI-Standard OO-Software Bewertung SW Diskussion Commercial
Motivation • Datenschutz gesetzlich vorgeschrieben • BDSG-Änderung 2009 • Missglücktes Marketing Motivation BSI-Standard OO-Software Bewertung SW Diskussion Commercial
Marketing Motivation BSI-Standard OO-Software Bewertung SW Diskussion Commercial
BSI-Standard: „IT-Grundschutz- Kataloge“ • Standard für IT-Sicherheit in Deutschland • Kataloge • BSI-Standard 100-1: Managementsysteme für Informationssicherheit (ISMS) • BSI-Standard 100-2: IT-Grundschutz-Vorgehensweise • BSI-Standard 100-3: Risikoanalyse auf der Basis von IT-Grundschutz • BSI-Standard 100-4 Notfallmanagement • Katalogelement durch Kürzel klassifiziert • B steht für Baustein, M für Maßnahme und G für Gefährdung Motivation BSI-Standard OO-Software Bewertung SW Diskussion Commercial
Beispiel: Bausteine Motivation BSI-Standard OO-Software Bewertung SW Diskussion Commercial
Beispiel: Gefährdungskatalog Motivation BSI-Standard OO-Software Bewertung SW Diskussion Commercial
Softwareunterstützung BSI zertifiziert Software, derzeit sind zertifiziert • Kommerziell • BSI (GSTool) • DHC Dr. Herterich & Consultants GmbH AG (DHC Vision SME) • HiSolutions AG (HiScout SME) • INFODAS GmbH (SAVe) • Kronsoft e.K. (opus i – Informationssicherheit) • SecoNet GmbH (SecoNet Grundschutz Tool) • Secure IT Consult (Audit Tool 2006) • Swiss Infosec AG (Baseline-Tool) • OpenSource • SerNet GmbH (Verinice Open Source ISMS Tool) Motivation BSI-Standard OO-Software Bewertung SW Diskussion Commercial
Verinice Open Source ISMS Tool • Lizenz GPLv3 • Aktuelle Version: 0.7.1 • Plattformunabhängig • Programm selbst Java • Dokumenterstellung mit OpenOffice • Integration Datenbaustein des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit • Integrierte Datenschutzperspektive • Basis-Sicherheitscheck nach BSI 100-2 Motivation BSI-Standard OO-Software Bewertung SW Diskussion Commercial
Programmaufbau Motivation BSI-Standard OO-Software Bewertung SW Diskussion Commercial
Beispiel: Modellierung Motivation BSI-Standard OO-Software Bewertung SW Diskussion Commercial
Beispiel: Definition Schutzbedarf Motivation BSI-Standard OO-Software Bewertung SW Diskussion Commercial
Beispiel: Datenschutzperspektive Motivation BSI-Standard OO-Software Bewertung SW Diskussion Commercial
Beispiel: Sicherheitscheck Motivation BSI-Standard OO-Software Bewertung SW Diskussion Commercial
Beispiel: OpenOffice-Dokumente Motivation BSI-Standard OO-Software Bewertung SW Diskussion Commercial
Bewertung • Installation • Zip-Datei entpacken • Pfade zu Open-Office und BSI-Katalog angeben • Datenbank • Integrierte Derby-Datenbank • Jegliche DB mit JDBC-Treiber • Handhabung • Bedienung ggf. durch Assistenten unterstützt • Führung entsprechend BSI-Katalog • Datenschutz analog zu BSI-Analyse Motivation BSI-Standard OO-Software Bewertung SW Diskussion Commercial
Diskussion • Risikoanalyse auch anders möglich(z.B. Open Source Security Testing Methodology Manual – OSSTMM) • Risikoanalyse nach BSI international harmonisiert • Risikoanalyse wird im Gesundheitswesen immer wichtiger, denn ohne Daten • Keine Patientenbehandlung • Keine Qualitätssicherung • Keine Forschung • Keine Weiterentwicklung der medizinischen Behandlung • … • Kein Geld Motivation BSI-Standard OO-Software Bewertung SW Diskussion Commercial
Fazit • IT-Sicherheit wird im Gesundheitswesen immer wichtiger • Vernetzung nimmt immer mehr zu • Nur autorisierte Partner sollten miteinander kommunizieren Motivation BSI-Standard OO-Software Bewertung SW Diskussion Commercial
Fragen? Motivation BSI-Standard OO-Software Bewertung SW Diskussion Commercial Gerne auch per Mail: schuetze@medizin-informatik.org
Werbeblock • GMDS-Arbeitsgruppe Datenschutz & Datensicherheit • Mitarbeit erwünscht • Ansprechpartner: Prof. Pommerening • 33. Datenschutzfachtagung (DAFTA) der Gesellschaft für Datenschutz und Datensicherheit • 19. bis 20. November 2009 • In Köln (Maternushaus) • https://www.gdd.de -> Veranstaltungen Motivation BSI-Standard OO-Software Bewertung SW Diskussion Commercial