Branchenspezifischer Sicherheitsstandard

ISMS für Krankenhäuser

Für das ISMS-Tool verinice ist der branchenspezifische Standard B3S Krankenhaus (Branchenspezifischer Sicherheitsstandard für die Gesundheitsversorgung im Krankenhaus) als Zusatzmodul erhältlich. Er unterstützt Krankenhäuser dabei, Anforderungen zum Schutz ihrer Informationsinfrastruktur umzusetzen. Nutzende können den Standard in der IT-Grundschutz- oder in der ISM/ISO-Perspektive in verinice anwenden. Als zusätzliches Modul kann er über den verinice.SHOP erworben oder im verinice.PRO-Repository heruntergeladen werden.

Der Standard ist für verinice in der aktuellen Version 1.2 verfügbar. Herausgeberin ist die Deutsche Krankenhausgesellschaft e.V..

Ein sicheres Team: B3S Krankenhaus und verinice

Krankenhäuser mit jährlich mehr als 30.000 vollstationären Fällen gelten als "Kritische Infrastrukturen". Sie unterliegen besonderen gesetzlichen Anforderungen zum Schutz ihrer Informationsinfrastruktur. Zur Unterstützung hat die Deutsche Krankenhausgesellschaft in Abstimmung mit dem Branchenarbeitskreis "Medizinische Versorgung" des UP KRITIS den Branchenspezifischen Sicherheitsstandard für die Gesundheitsversorgung im Krankenhaus (B3S Krankenhaus) erarbeitet. Das verinice.TEAM der SerNet hat diesen für verinice aufbereitet: Für die Perspektive des modernisierten Grundschutzes sind alle Anforderung in Form von Bausteinen sowie branchenspezifische Gefährdungen gelistet, die in verinice auf die IT-Verbünde modelliert werden können. Außerdem liegt ein Modell eines Beispiel-Krankenhauses vor, das Beispielstrukturen enthält und so den Einstieg erleichtert. Für die ISM/ISO-Perspektive ist eine Beispiel-Organisation angelegt, die alle zentralen Inhalte des Sicherheitsstandards enthält (zu den genauen Inhalten siehe Shop unter https://shop.verinice.com/de/content/).

Umsetzung im modernisierten IT-Grundschutz

Für die Perspektive des modernisierten IT-Grundschutzes beinhaltet der B3S Krankenhaus zwei .vna-Dateien.

Die erste .vna-Datei (Standard-Importformat von verinice) ist für den Import und den Einsatz im Katalog-View gedacht und listet alle Anforderung aus Kapitel 4 und Kapitel 7 des B3S Krankenhaus in Form von Bausteinen auf. Zusätzlich enthält sie eine Auflistung von branchenspezifischen Gefährdungen gemäß Kapitel 6.3 des B3S Krankenhaus. Alle Bausteine und Anforderungen können mit Standardfunktionen von verinice auf die IT-Verbünde modelliert werden, wie Sie es auch schon aus der Modellierung von Bausteinen des BSI IT-Grundschutz-Kompendiums kennen.

Die zweite .vna-Datei beinhaltet das Modell eines Beispiel-Krankenhauses. Nach Import des IT-Verbundes erhalten Sie Beispielstrukturen für:

Kern- und Unterstützungsprozesse
Anwendungen gemäß des Sicherheitsstandards
IT-Systeme gemäß des Sicherheitsstandards
Medizintechniksysteme
Andere/IoT-Systeme
Kommunikationsverbindungen (Netzwerk-Komponenten)
Räume, Gebäude, Versorgungstechnik (Infrastruktur)
Dokumente, die vom Sicherheitsstandard verlangt oder erwähnt werden

Umsetzung in der ISO/ISM-Perspektive

Für die ISM/ISO-Perpsektive erhalten Sie eine Beispiel-Organisation mit folgenden Inhalten des Sicherheitsstandards:

Assets:
- Informationstechnik (IT)
- Kommunikationstechnik (KT)
- Kritische branchenspezifische Anwendungssysteme (KBA)
- Medizintechnnik/-produkte (MED)
Struktur von Dokumenten, die vom Sicherheitsstandard verlangt oder erwähnt werden
Kern- und Unterstützungsprozesse des Sicherheitsstandards
Allgemeine Bedrohungen und IT-spezifische Bedrohungen
Schwachstellen
Gefährdungen bzw. Szenarien zu:
- Branchenspezifische Gefährdungen gemäß Kapitel 6.3 B3S Krankenhaus
- Gefährdungen kritischer branchenspezifischer Technik und Software gemäß Kapitel 6.4 B3S Krankenhaus
- Mögliche Schadensszenarien - Behandlungseffektivität gemäß Kapitel 6 B3S Krankenhaus
- Mögliche Schadensszenarien - Patientensicherheit gemäß Kapitel 6 B3S Krankenhaus
Controls bzw. Anforderungen aus Kapitel 4 und Kapitel 7 B3S Krankenhaus