Article
Sicherheit entsprechend den BSI-Standards – Planungsunterstützung durch Open Source
Search Medline for
Authors
Published: | September 2, 2009 |
---|
Outline
Text
Einleitung: Die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlichten „IT-Grundschutz- Kataloge“ (früher „IT-Grundschutzhandbuch“) sind der Standard für IT-Sicherheit in Deutschland. Auch für die Planung und Umsetzung von Technisch-organisatorischen Datensicherheitsmaßnahmen im medizinische Umfeld werden die BSI-Kataloge empfohlen [1]: Die IT-Grundschutz-Kataloge werden zur Absicherung von niedergelassenen Arztpraxen empfohlen, in Krankenhäusern zur Optimierung der IT-Sicherheit eingesetzt und dienen medizinischen Forschungsnetzen bei der Erstellung und Umsetzung von Sicherheitskonzepten [2], [3], [4], [5].
Material und Methode: Zur Erstellung, Verwaltung und Fortschreibung von IT-Sicherheitskonzepten entsprechend dem IT-Grundschutz gibt es Software von verschiedenen Herstellern, Standard ist vermutlich das GS-Tool des BSI, darunter auch das Open Source Produkt „verinice” [6], [7], [8].
Ergebnisse: verinice ist plattformunabhängig und basiert auf dem Eclipse-Framework. Zur Datenspeicherung unterstützt verinice die Datenbanksysteme Derby, MySQL und Postgres.
verinice unterstützt beliebig viele IT-Verbünde und ist so auch für Klinikskonzerne, welche ein einheitliches IT-Sicherheitsmanagement für die angeschlossenen Kliniken planen, ideal geeignet. verinice erlaubt eine Strukturanalyse nach dem BSI IT Grundschutz, wobei die IT-Grundschutz-Kataloge direkt eingebunden werden und als Hilfedatei zur Verfügung stehen. Such- und Filterfunktionen erlauben ein rasches Navigieren im Grundschutzkatalog. Ein Wizard unterstützt die Risikoanalyse nach BSI 100-3.
Zudem unterstützt verinice den offiziellen Datenschutz-Baustein des Bundesbeauftragten für Datenschutz und Informationsfreiheit, so dass mit verinice auch ein Datenschutzkonzept entwickelt werden kann [9], [10]. So können beispielsweise im Rahmen der Strukturanalyse erfasste Verfahren mit den für das Verfahrensverzeichnis nötigen Angaben versehen werden.
Die Einbindung eigener Formulare und Felder ist durch die Anpassung einer xml-Datei möglich, so dass zusätzliche Daten erfasst werden können.
Diskussion: Beim BSI-Standard handelt es sich um die deutsche Variante des internationalen ISO-Standards 27001 [11]. verinice unterstützt die Erstellung, Verwaltung und Fortschreibung von IT-Sicherheits- und Datenschutzkonzepten, welche diesem Standard entsprechen. Die Symbiose zwischen Datenschutz und IT-Sicherheit erlaubt eine engere Zusammenarbeit zischen Datenschutz- und IT-Sicherheitsbeauftragten. Synergieeffekte zwischen Datenschutz und Datensicherheit können optimal genutzt werden.
Literatur
- 1.
- Wellbrock R. Empfehlungen zur datenschutzrechtlichen Ausgestaltung. Deutsches Ärzteblatt. 2008;105(40):A2094-6.
- 2.
- Bundesärztekammer/ Kassen ärztliche Vereinigung. Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis. Deutsches Ärzteblatt. 2008;105(19):A1026-30, 1-12 .
- 3.
- Kopp H. Sichere IT für die elektronische Patientenakte – BSI zertifiziert das Klinikum Braunschweig. 2008 (zitiert 2009-03-29]. Available from: http://www.datasystems.de/fileadmin/pdf/Artikel/Anwenderbericht_KlinikumBS_27001GS.pdf
- 4.
- Lange S. Sicherheitskonzept in einem großen Krankenhaus – ein permanenter Prozess. Krankenhaus-IT Journal. 2007;6:48-9.
- 5.
- Speer R, Dolak W. Erfahrungen bei der Erstellung und Umsetzung von Sicherheitskonzepten in Medizinischen Forschungsnetzen. In: Löffler M, Winter A, editors. GMDS 51 Jahrestagung 2006 – Abstractband. Leipzig; 2006. p. 103-4.
- 6.
- Bundesamt für Sicherheit in der Informationstechnik. GSTOOL – Andere Tools zum IT-Grundschutz. 2008 [zitiert 2009-03-29]. Available from: http://www.e-government-handbuch.de/gstool/hersteller.htm
- 7.
- Bundesamt für Sicherheit in der Informationstechnik. GSTOOL – der professionelle Begleiter. 2008 (zitiert 2009-03-29]. Available from: http://www.bsi.bund.de/gshb/
- 8.
- Anonym. verinice. [zitiert 2009-03-29]. Available from: http://www.verinice.org
- 9.
- Bundesbeauftragte für den Datenschutz und die Informationsfreiheit. Informationen zu den IT-Grundschutzkatalogen des BSI. 2007 [zitiert 2009-03-29]. Available from: http://www.bfdi.bund.de/cln_027/nn_531952/SharedDocs/Publikationen/Arbeitshilfen/ITGrundschutz.html
- 10.
- Bundesamt für Sicherheit in der Informationstechnik. Hilfsmittel - Baustein Datenschutz. 2009 [zitiert 2009-03-29]. Available from: http://www.bsi.de/gshb/baustein-datenschutz/index.htm
- 11.
- Bundesamt für Sicherheit in der Informationstechnik. BSI-Standards. 2009 [zitiert 2009-03-29]. Available from: http://www.bsi.bund.de/literat/bsi_standard/index.htm