Sicherheit entsprechend den BSI-Standards Planungsunterstützung durch Open Source 54. GMDS- Jahrestagung Essen, Dr. Bernd Schütze
1.Motivation 2.Material / Methode a)Was ist der BSI- » Standard«? 3.Ergebnisse a)Software b)Bewertung 4.Diskussion / Fazit 5.Werbeblock Agenda 54. GMDS-Jahrestagung Essen,
Motivation Datenschutz gesetzlich vorgeschrieben BDSG-Änderung 2009 Motivation BSI-Standard OO-Software Bewertung SW Diskussion Commercial
Motivation BSI-Standard OO-Software Bewertung SW Diskussion Commercial
Motivation Datenschutz gesetzlich vorgeschrieben BDSG-Änderung 2009 Missglücktes Marketing Motivation BSI-Standard OO-Software Bewertung SW Diskussion Commercial
Marketing Motivation BSI-Standard OO-Software Bewertung SW Diskussion Commercial
BSI-Standard: IT-Grundschutz- Kataloge Standard für IT-Sicherheit in Deutschland Kataloge –BSI-Standard 100-1: Managementsysteme für Informationssicherheit (ISMS) –BSI-Standard 100-2: IT-Grundschutz-Vorgehensweise –BSI-Standard 100-3: Risikoanalyse auf der Basis von IT-Grundschutz –BSI-Standard Notfallmanagement Katalogelement durch Kürzel klassifiziert –B steht für Baustein, M für Maßnahme und G für Gefährdung Motivation BSI-Standard OO-Software Bewertung SW Diskussion Commercial
Beispiel: Bausteine Motivation BSI-Standard OO-Software Bewertung SW Diskussion Commercial
Beispiel: Gefährdungskatalog Motivation BSI-Standard OO-Software Bewertung SW Diskussion Commercial
Softwareunterstützung BSI zertifiziert Software, derzeit sind zertifiziert Kommerziell –BSI (GSTool) –DHC Dr. Herterich & Consultants GmbH AG (DHC Vision SME) –HiSolutions AG (HiScout SME) –INFODAS GmbH (SAVe) –Kronsoft e.K. (opus i – Informationssicherheit) –SecoNet GmbH (SecoNet Grundschutz Tool) –Secure IT Consult (Audit Tool 2006) –Swiss Infosec AG (Baseline-Tool) OpenSource –SerNet GmbH (Verinice Open Source ISMS Tool) Motivation BSI-Standard OO-Software Bewertung SW Diskussion Commercial
Verinice Open Source ISMS Tool Lizenz GPLv3 Aktuelle Version: Plattformunabhängig –Programm selbst Java –Dokumenterstellung mit OpenOffice Integration Datenbaustein des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit Integrierte Datenschutzperspektive Basis-Sicherheitscheck nach BSI Motivation BSI-Standard OO-Software Bewertung SW Diskussion Commercial
Programmaufbau Motivation BSI-Standard OO-Software Bewertung SW Diskussion Commercial
Beispiel: Modellierung Motivation BSI-Standard OO-Software Bewertung SW Diskussion Commercial
Beispiel: Definition Schutzbedarf Motivation BSI-Standard OO-Software Bewertung SW Diskussion Commercial
Beispiel: Datenschutzperspektive Motivation BSI-Standard OO-Software Bewertung SW Diskussion Commercial
Beispiel: Sicherheitscheck Motivation BSI-Standard OO-Software Bewertung SW Diskussion Commercial
Beispiel: OpenOffice-Dokumente Motivation BSI-Standard OO-Software Bewertung SW Diskussion Commercial
Bewertung Installation –Zip-Datei entpacken –Pfade zu Open-Office und BSI-Katalog angeben Datenbank –Integrierte Derby-Datenbank –Jegliche DB mit JDBC-Treiber Handhabung –Bedienung ggf. durch Assistenten unterstützt –Führung entsprechend BSI-Katalog –Datenschutz analog zu BSI-Analyse Motivation BSI-Standard OO-Software Bewertung SW Diskussion Commercial
Diskussion Risikoanalyse auch anders möglich (z.B. Open Source Security Testing Methodology Manual – OSSTMM) Risikoanalyse nach BSI international harmonisiert Risikoanalyse wird im Gesundheitswesen immer wichtiger, denn ohne Daten –Keine Patientenbehandlung –Keine Qualitätssicherung –Keine Forschung –Keine Weiterentwicklung der medizinischen Behandlung –… –Kein Geld Motivation BSI-Standard OO-Software Bewertung SW Diskussion Commercial
Fazit IT-Sicherheit wird im Gesundheitswesen immer wichtiger Vernetzung nimmt immer mehr zu Nur autorisierte Partner sollten miteinander kommunizieren Motivation BSI-Standard OO-Software Bewertung SW Diskussion Commercial
Fragen? Motivation BSI-Standard OO-Software Bewertung SW Diskussion Commercial Gerne auch per Mail:
Werbeblock GMDS-Arbeitsgruppe Datenschutz & Datensicherheit –Mitarbeit erwünscht –Ansprechpartner: Prof. Pommerening 33. Datenschutzfachtagung (DAFTA) der Gesellschaft für Datenschutz und Datensicherheit –19. bis 20. November 2009 –In Köln (Maternushaus) – -> Veranstaltungen Motivation BSI-Standard OO-Software Bewertung SW Diskussion Commercial