gms | German Medical Science

54. Jahrestagung der Deutschen Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie e.V. (GMDS)

Deutsche Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie

07. bis 10.09.2009, Essen

Sicherheit entsprechend den BSI-Standards – Planungsunterstützung durch Open Source

Meeting Abstract

Search Medline for

  • Bernd Schütze - HI Consulting, Düsseldorf

Deutsche Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie. 54. Jahrestagung der Deutschen Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie (gmds). Essen, 07.-10.09.2009. Düsseldorf: German Medical Science GMS Publishing House; 2009. Doc09gmds255

doi: 10.3205/09gmds255, urn:nbn:de:0183-09gmds2551

Published: September 2, 2009

© 2009 Schütze.
This is an Open Access article distributed under the terms of the Creative Commons Attribution License (http://creativecommons.org/licenses/by-nc-nd/3.0/deed.en). You are free: to Share – to copy, distribute and transmit the work, provided the original author and source are credited.


Outline

Text

Einleitung: Die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlichten „IT-Grundschutz- Kataloge“ (früher „IT-Grundschutzhandbuch“) sind der Standard für IT-Sicherheit in Deutschland. Auch für die Planung und Umsetzung von Technisch-organisatorischen Datensicherheitsmaßnahmen im medizinische Umfeld werden die BSI-Kataloge empfohlen [1]: Die IT-Grundschutz-Kataloge werden zur Absicherung von niedergelassenen Arztpraxen empfohlen, in Krankenhäusern zur Optimierung der IT-Sicherheit eingesetzt und dienen medizinischen Forschungsnetzen bei der Erstellung und Umsetzung von Sicherheitskonzepten [2], [3], [4], [5].

Material und Methode: Zur Erstellung, Verwaltung und Fortschreibung von IT-Sicherheitskonzepten entsprechend dem IT-Grundschutz gibt es Software von verschiedenen Herstellern, Standard ist vermutlich das GS-Tool des BSI, darunter auch das Open Source Produkt „verinice” [6], [7], [8].

Ergebnisse: verinice ist plattformunabhängig und basiert auf dem Eclipse-Framework. Zur Datenspeicherung unterstützt verinice die Datenbanksysteme Derby, MySQL und Postgres.

verinice unterstützt beliebig viele IT-Verbünde und ist so auch für Klinikskonzerne, welche ein einheitliches IT-Sicherheitsmanagement für die angeschlossenen Kliniken planen, ideal geeignet. verinice erlaubt eine Strukturanalyse nach dem BSI IT Grundschutz, wobei die IT-Grundschutz-Kataloge direkt eingebunden werden und als Hilfedatei zur Verfügung stehen. Such- und Filterfunktionen erlauben ein rasches Navigieren im Grundschutzkatalog. Ein Wizard unterstützt die Risikoanalyse nach BSI 100-3.

Zudem unterstützt verinice den offiziellen Datenschutz-Baustein des Bundesbeauftragten für Datenschutz und Informationsfreiheit, so dass mit verinice auch ein Datenschutzkonzept entwickelt werden kann [9], [10]. So können beispielsweise im Rahmen der Strukturanalyse erfasste Verfahren mit den für das Verfahrensverzeichnis nötigen Angaben versehen werden.

Die Einbindung eigener Formulare und Felder ist durch die Anpassung einer xml-Datei möglich, so dass zusätzliche Daten erfasst werden können.

Diskussion: Beim BSI-Standard handelt es sich um die deutsche Variante des internationalen ISO-Standards 27001 [11]. verinice unterstützt die Erstellung, Verwaltung und Fortschreibung von IT-Sicherheits- und Datenschutzkonzepten, welche diesem Standard entsprechen. Die Symbiose zwischen Datenschutz und IT-Sicherheit erlaubt eine engere Zusammenarbeit zischen Datenschutz- und IT-Sicherheitsbeauftragten. Synergieeffekte zwischen Datenschutz und Datensicherheit können optimal genutzt werden.


Literatur

1.
Wellbrock R. Empfehlungen zur datenschutzrechtlichen Ausgestaltung. Deutsches Ärzteblatt. 2008;105(40):A2094-6.
2.
Bundesärztekammer/ Kassen ärztliche Vereinigung. Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis. Deutsches Ärzteblatt. 2008;105(19):A1026-30, 1-12 .
3.
Kopp H. Sichere IT für die elektronische Patientenakte – BSI zertifiziert das Klinikum Braunschweig. 2008 (zitiert 2009-03-29]. Available from: http://www.datasystems.de/fileadmin/pdf/Artikel/Anwenderbericht_KlinikumBS_27001GS.pdf External link
4.
Lange S. Sicherheitskonzept in einem großen Krankenhaus – ein permanenter Prozess. Krankenhaus-IT Journal. 2007;6:48-9.
5.
Speer R, Dolak W. Erfahrungen bei der Erstellung und Umsetzung von Sicherheitskonzepten in Medizinischen Forschungsnetzen. In: Löffler M, Winter A, editors. GMDS 51 Jahrestagung 2006 – Abstractband. Leipzig; 2006. p. 103-4.
6.
Bundesamt für Sicherheit in der Informationstechnik. GSTOOL – Andere Tools zum IT-Grundschutz. 2008 [zitiert 2009-03-29]. Available from: http://www.e-government-handbuch.de/gstool/hersteller.htm External link
7.
Bundesamt für Sicherheit in der Informationstechnik. GSTOOL – der professionelle Begleiter. 2008 (zitiert 2009-03-29]. Available from: http://www.bsi.bund.de/gshb/ External link
8.
Anonym. verinice. [zitiert 2009-03-29]. Available from: http://www.verinice.org External link
9.
Bundesbeauftragte für den Datenschutz und die Informationsfreiheit. Informationen zu den IT-Grundschutzkatalogen des BSI. 2007 [zitiert 2009-03-29]. Available from: http://www.bfdi.bund.de/cln_027/nn_531952/SharedDocs/Publikationen/Arbeitshilfen/ITGrundschutz.html External link
10.
Bundesamt für Sicherheit in der Informationstechnik. Hilfsmittel - Baustein Datenschutz. 2009 [zitiert 2009-03-29]. Available from: http://www.bsi.de/gshb/baustein-datenschutz/index.htm External link
11.
Bundesamt für Sicherheit in der Informationstechnik. BSI-Standards. 2009 [zitiert 2009-03-29]. Available from: http://www.bsi.bund.de/literat/bsi_standard/index.htm External link