Branchenstandard KRITIS

PrintMailRate-it

veröffentlicht am 28. März 2019

 

Betreiber kritischer Infrastrukturen (z.B. Krankenhäuser) müssen ab einer gewissen Mindestgröße gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) angemessene organisatorische und technische Vorkehrungen zur Sicherstellung der Verfügbarkeit Ihrer Dienstleistungen nachweisen. Der Deutsche Krankenhausgesellschaft e.V. hat nun einen Entwurf eines branchenspezifischen Sicherheitsstandards (B3S) eingereicht, welcher Grundlage für die Beurteilung sein soll.

 

Der Vorteil der Anwendung eines etablierten Branchenstandards ist, dass für alle Häuser die gleichen Kriterien in der Beurteilung zugrunde gelegt werden. Der aktuelle Entwurf des B3S definiert 209 Anforderungen aus verschiedenen Bereichen der Informationssicherheit, welche verschieden stark gewichtet werden („Muss”, „Soll/Sollte” oder „Kann”). Auch wenn die Freigabe durch das BSI noch nicht vorliegt, ist davon auszugehen, dass aufgrund der geringen verbleibenden Zeit bis zum 29. Juni 2019 (als Abgabefrist des Nachweises beim BSI) keine wesentlichen Änderungen am B3S mehr vorgenommen werden.

 

Von KRITIS betroffene Krankenhäuser, d.h. Häuser mit mehr als 30.000 vollstationären Fällen pro Jahr, sollten sich daher auf Basis des B3S auf den Prüfnachweis vorbereiten. Der B3S umfasst Anforderungen aus den folgenden Bereichen:

  • Management-Anforderungen für die Implementierung eines Informations-Risikomanagements (ca. 35% der Prüfung)
  • Maßnahmen zur Umsetzung (ca. 65% der Prüfung)

 

Rund 1/3 der Prüfung ist für das Informations-Risikomanagement vorgesehen. Wichtige Voraussetzung ist hier, dass ein Informationssicherheitsbeauftragter bestellt ist und eine entsprechende Ablauforganisation etabliert wurde. Sämtliche Maßnahmen sollen auf Basis einer Risikoanalyse beurteilt und durchgeführt werden. Es muss somit ein Informationssicherheitsmanagementsystem (ISMS) etabliert sein. Eine Zertifizierung des ISMS ist dagegen nicht zwingend erforderlich.

 

Die verbleibenden 2/3 der Prüfung richten sich sehr stark auf die konkrete Umsetzung von Maßnahmen zur Sicherstellung der Informationssicherheit. Hierzu gehören u.a. 

  • Einbindung der Prozess- /Anwendungsverantwortlichen
  • Betriebliches Kontinuitätsmanagement
  • Asset Management
  • Robuste/resiliente Architektur
  • Vorfallerkennung und Behandlung
  • Netz- und Systemmanagement (Netztrennung und Segmentierung)
  • Schutz vor Schadsoftware
  • Identitäts- und Rechtemanagement

 

Damit eine Prüfung möglichst reibungslos verlaufen kann, sollte zu jeder Anforderung dokumentiert werden, wie die Umsetzung im Haus erfolgte. Daneben sollte auf vorhandene Unterlagen (z.B. Ablaufbeschreibungen, Arbeitsanweisungen) verwiesen werden. Aufgrund der späten Verfügbarkeit des B3S und der damit begrenzten verfügbaren Zeit sollte zunächst mit der Umsetzung der Muss-Anforderungen begonnen werden und anschließend in der Kritikalität nach unten weitergearbeitet werden.

 

Sollten Sie Fragen zur pragmatischen Umsetzung haben, sprechen Sie uns an. Als prüfende Stelle nach §8a BSIG unterstützen wir Sie gerne.


Mitarbeiterschulung Datenschutz Banner

Aus dem Newsletter

Kontakt

Contact Person Picture

Jürgen Schwestka

Diplom-Kaufmann, CISA, Zertifizierter IT-Sicherheitsbeauftragter, Zertifizierter IT-Security-Auditor, IT-Auditor IDW, Zertifizierter Business Continuity Manager

Partner

+49 911 9193 3508

Anfrage senden

Wir beraten Sie gern!

Befehle des Menübands überspringen
Zum Hauptinhalt wechseln
Deutschland Weltweit Search Menu