sicherheit entsprechend den bsi-standards planungsunterstützung durch open source 54. gmds-...
TRANSCRIPT
![Page 1: Sicherheit entsprechend den BSI-Standards Planungsunterstützung durch Open Source 54. GMDS- Jahrestagung Essen, 2009-09-09 Dr. Bernd Schütze](https://reader036.vdocuments.pub/reader036/viewer/2022062404/55204d7e49795902118cfab3/html5/thumbnails/1.jpg)
Sicherheit entsprechend den BSI-Standards
Planungsunterstützung durch Open Source
54. GMDS-Jahrestagung
Essen, 2009-09-09
Dr. Bernd Schütze
![Page 2: Sicherheit entsprechend den BSI-Standards Planungsunterstützung durch Open Source 54. GMDS- Jahrestagung Essen, 2009-09-09 Dr. Bernd Schütze](https://reader036.vdocuments.pub/reader036/viewer/2022062404/55204d7e49795902118cfab3/html5/thumbnails/2.jpg)
1.1. MotivationMotivation2.2. Material / MethodeMaterial / Methode
a)a) Was ist der BSI- Was ist der BSI- » » StandardStandard««??
3.3. ErgebnisseErgebnissea)a) SoftwareSoftwareb)b) BewertungBewertung
4.4. Diskussion / FazitDiskussion / Fazit5.5. WerbeblockWerbeblock
Agenda54
. GM
DS
-Jah
rest
agu
ng
Ess
en, 2
009-
09-0
9
![Page 3: Sicherheit entsprechend den BSI-Standards Planungsunterstützung durch Open Source 54. GMDS- Jahrestagung Essen, 2009-09-09 Dr. Bernd Schütze](https://reader036.vdocuments.pub/reader036/viewer/2022062404/55204d7e49795902118cfab3/html5/thumbnails/3.jpg)
Motivation
• Datenschutz gesetzlich vorgeschrieben
• BDSG-Änderung 2009Motivation
BSI-Standard
OO-Software
Bewertung SW
Diskussion
Commercial
![Page 4: Sicherheit entsprechend den BSI-Standards Planungsunterstützung durch Open Source 54. GMDS- Jahrestagung Essen, 2009-09-09 Dr. Bernd Schütze](https://reader036.vdocuments.pub/reader036/viewer/2022062404/55204d7e49795902118cfab3/html5/thumbnails/4.jpg)
Motivation
Motivation
BSI-Standard
OO-Software
Bewertung SW
Diskussion
Commercial
![Page 5: Sicherheit entsprechend den BSI-Standards Planungsunterstützung durch Open Source 54. GMDS- Jahrestagung Essen, 2009-09-09 Dr. Bernd Schütze](https://reader036.vdocuments.pub/reader036/viewer/2022062404/55204d7e49795902118cfab3/html5/thumbnails/5.jpg)
Motivation
• Datenschutz gesetzlich vorgeschrieben
• BDSG-Änderung 2009
• Missglücktes Marketing
Motivation
BSI-Standard
OO-Software
Bewertung SW
Diskussion
Commercial
![Page 6: Sicherheit entsprechend den BSI-Standards Planungsunterstützung durch Open Source 54. GMDS- Jahrestagung Essen, 2009-09-09 Dr. Bernd Schütze](https://reader036.vdocuments.pub/reader036/viewer/2022062404/55204d7e49795902118cfab3/html5/thumbnails/6.jpg)
Marketing
Motivation
BSI-Standard
OO-Software
Bewertung SW
Diskussion
Commercial
![Page 7: Sicherheit entsprechend den BSI-Standards Planungsunterstützung durch Open Source 54. GMDS- Jahrestagung Essen, 2009-09-09 Dr. Bernd Schütze](https://reader036.vdocuments.pub/reader036/viewer/2022062404/55204d7e49795902118cfab3/html5/thumbnails/7.jpg)
BSI-Standard: „IT-Grundschutz- Kataloge“
• Standard für IT-Sicherheit in Deutschland
• Kataloge
– BSI-Standard 100-1: Managementsysteme für Informationssicherheit (ISMS)
– BSI-Standard 100-2: IT-Grundschutz-Vorgehensweise
– BSI-Standard 100-3: Risikoanalyse auf der Basis von IT-Grundschutz
– BSI-Standard 100-4 Notfallmanagement
• Katalogelement durch Kürzel klassifiziert
– B steht für Baustein, M für Maßnahme und G für Gefährdung
Motivation
BSI-Standard
OO-Software
Bewertung SW
Diskussion
Commercial
![Page 8: Sicherheit entsprechend den BSI-Standards Planungsunterstützung durch Open Source 54. GMDS- Jahrestagung Essen, 2009-09-09 Dr. Bernd Schütze](https://reader036.vdocuments.pub/reader036/viewer/2022062404/55204d7e49795902118cfab3/html5/thumbnails/8.jpg)
Beispiel: Bausteine
Motivation
BSI-Standard
OO-Software
Bewertung SW
Diskussion
Commercial
![Page 9: Sicherheit entsprechend den BSI-Standards Planungsunterstützung durch Open Source 54. GMDS- Jahrestagung Essen, 2009-09-09 Dr. Bernd Schütze](https://reader036.vdocuments.pub/reader036/viewer/2022062404/55204d7e49795902118cfab3/html5/thumbnails/9.jpg)
Beispiel: Gefährdungskatalog
Motivation
BSI-Standard
OO-Software
Bewertung SW
Diskussion
Commercial
![Page 10: Sicherheit entsprechend den BSI-Standards Planungsunterstützung durch Open Source 54. GMDS- Jahrestagung Essen, 2009-09-09 Dr. Bernd Schütze](https://reader036.vdocuments.pub/reader036/viewer/2022062404/55204d7e49795902118cfab3/html5/thumbnails/10.jpg)
Softwareunterstützung
BSI zertifiziert Software, derzeit sind zertifiziert• Kommerziell
– BSI (GSTool)
– DHC Dr. Herterich & Consultants GmbH AG (DHC Vision SME)
– HiSolutions AG (HiScout SME)
– INFODAS GmbH (SAVe)
– Kronsoft e.K. (opus i – Informationssicherheit)
– SecoNet GmbH (SecoNet Grundschutz Tool)
– Secure IT Consult (Audit Tool 2006)
– Swiss Infosec AG (Baseline-Tool)
• OpenSource
– SerNet GmbH (Verinice Open Source ISMS Tool)
Motivation
BSI-Standard
OO-Software
Bewertung SW
Diskussion
Commercial
![Page 11: Sicherheit entsprechend den BSI-Standards Planungsunterstützung durch Open Source 54. GMDS- Jahrestagung Essen, 2009-09-09 Dr. Bernd Schütze](https://reader036.vdocuments.pub/reader036/viewer/2022062404/55204d7e49795902118cfab3/html5/thumbnails/11.jpg)
Verinice Open Source ISMS Tool
• Lizenz GPLv3
• Aktuelle Version: 0.7.1
• Plattformunabhängig
– Programm selbst Java
– Dokumenterstellung mit OpenOffice
• Integration Datenbaustein des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit
• Integrierte Datenschutzperspektive
• Basis-Sicherheitscheck nach BSI 100-2
Motivation
BSI-Standard
OO-Software
Bewertung SW
Diskussion
Commercial
![Page 12: Sicherheit entsprechend den BSI-Standards Planungsunterstützung durch Open Source 54. GMDS- Jahrestagung Essen, 2009-09-09 Dr. Bernd Schütze](https://reader036.vdocuments.pub/reader036/viewer/2022062404/55204d7e49795902118cfab3/html5/thumbnails/12.jpg)
Programmaufbau
Motivation
BSI-Standard
OO-Software
Bewertung SW
Diskussion
Commercial
![Page 13: Sicherheit entsprechend den BSI-Standards Planungsunterstützung durch Open Source 54. GMDS- Jahrestagung Essen, 2009-09-09 Dr. Bernd Schütze](https://reader036.vdocuments.pub/reader036/viewer/2022062404/55204d7e49795902118cfab3/html5/thumbnails/13.jpg)
Beispiel: Modellierung
Motivation
BSI-Standard
OO-Software
Bewertung SW
Diskussion
Commercial
![Page 14: Sicherheit entsprechend den BSI-Standards Planungsunterstützung durch Open Source 54. GMDS- Jahrestagung Essen, 2009-09-09 Dr. Bernd Schütze](https://reader036.vdocuments.pub/reader036/viewer/2022062404/55204d7e49795902118cfab3/html5/thumbnails/14.jpg)
Beispiel: Definition Schutzbedarf
Motivation
BSI-Standard
OO-Software
Bewertung SW
Diskussion
Commercial
![Page 15: Sicherheit entsprechend den BSI-Standards Planungsunterstützung durch Open Source 54. GMDS- Jahrestagung Essen, 2009-09-09 Dr. Bernd Schütze](https://reader036.vdocuments.pub/reader036/viewer/2022062404/55204d7e49795902118cfab3/html5/thumbnails/15.jpg)
Beispiel: Datenschutzperspektive
Motivation
BSI-Standard
OO-Software
Bewertung SW
Diskussion
Commercial
![Page 16: Sicherheit entsprechend den BSI-Standards Planungsunterstützung durch Open Source 54. GMDS- Jahrestagung Essen, 2009-09-09 Dr. Bernd Schütze](https://reader036.vdocuments.pub/reader036/viewer/2022062404/55204d7e49795902118cfab3/html5/thumbnails/16.jpg)
Beispiel: Sicherheitscheck
Motivation
BSI-Standard
OO-Software
Bewertung SW
Diskussion
Commercial
![Page 17: Sicherheit entsprechend den BSI-Standards Planungsunterstützung durch Open Source 54. GMDS- Jahrestagung Essen, 2009-09-09 Dr. Bernd Schütze](https://reader036.vdocuments.pub/reader036/viewer/2022062404/55204d7e49795902118cfab3/html5/thumbnails/17.jpg)
Beispiel: OpenOffice-Dokumente
Motivation
BSI-Standard
OO-Software
Bewertung SW
Diskussion
Commercial
![Page 18: Sicherheit entsprechend den BSI-Standards Planungsunterstützung durch Open Source 54. GMDS- Jahrestagung Essen, 2009-09-09 Dr. Bernd Schütze](https://reader036.vdocuments.pub/reader036/viewer/2022062404/55204d7e49795902118cfab3/html5/thumbnails/18.jpg)
Bewertung
• Installation
– Zip-Datei entpacken
– Pfade zu Open-Office und BSI-Katalog angeben
• Datenbank
– Integrierte Derby-Datenbank
– Jegliche DB mit JDBC-Treiber
• Handhabung
– Bedienung ggf. durch Assistenten unterstützt
– Führung entsprechend BSI-Katalog
– Datenschutz analog zu BSI-Analyse
Motivation
BSI-Standard
OO-Software
Bewertung SW
Diskussion
Commercial
![Page 19: Sicherheit entsprechend den BSI-Standards Planungsunterstützung durch Open Source 54. GMDS- Jahrestagung Essen, 2009-09-09 Dr. Bernd Schütze](https://reader036.vdocuments.pub/reader036/viewer/2022062404/55204d7e49795902118cfab3/html5/thumbnails/19.jpg)
Diskussion
• Risikoanalyse auch anders möglich(z.B. Open Source Security Testing Methodology Manual – OSSTMM)
• Risikoanalyse nach BSI international harmonisiert
• Risikoanalyse wird im Gesundheitswesen immer wichtiger, denn ohne Daten
– Keine Patientenbehandlung
– Keine Qualitätssicherung
– Keine Forschung
– Keine Weiterentwicklung der medizinischen Behandlung
– …
– Kein Geld
Motivation
BSI-Standard
OO-Software
Bewertung SW
Diskussion
Commercial
![Page 20: Sicherheit entsprechend den BSI-Standards Planungsunterstützung durch Open Source 54. GMDS- Jahrestagung Essen, 2009-09-09 Dr. Bernd Schütze](https://reader036.vdocuments.pub/reader036/viewer/2022062404/55204d7e49795902118cfab3/html5/thumbnails/20.jpg)
Fazit
• IT-Sicherheit wird im Gesundheitswesen immer wichtiger
• Vernetzung nimmt immer mehr zu
• Nur autorisierte Partner sollten miteinander kommunizieren
Motivation
BSI-Standard
OO-Software
Bewertung SW
Diskussion
Commercial
![Page 21: Sicherheit entsprechend den BSI-Standards Planungsunterstützung durch Open Source 54. GMDS- Jahrestagung Essen, 2009-09-09 Dr. Bernd Schütze](https://reader036.vdocuments.pub/reader036/viewer/2022062404/55204d7e49795902118cfab3/html5/thumbnails/21.jpg)
Fragen?
Motivation
BSI-Standard
OO-Software
Bewertung SW
Diskussion
Commercial
Gerne auch per Mail:
![Page 22: Sicherheit entsprechend den BSI-Standards Planungsunterstützung durch Open Source 54. GMDS- Jahrestagung Essen, 2009-09-09 Dr. Bernd Schütze](https://reader036.vdocuments.pub/reader036/viewer/2022062404/55204d7e49795902118cfab3/html5/thumbnails/22.jpg)
Werbeblock
• GMDS-Arbeitsgruppe Datenschutz & Datensicherheit
– Mitarbeit erwünscht
– Ansprechpartner: Prof. Pommerening
• 33. Datenschutzfachtagung (DAFTA) der Gesellschaft für Datenschutz und Datensicherheit
– 19. bis 20. November 2009
– In Köln (Maternushaus)
– https://www.gdd.de -> Veranstaltungen
Motivation
BSI-Standard
OO-Software
Bewertung SW
Diskussion
Commercial