V04 - Sicherheit in der Telemedizin Flashcards
Was bedeutet IT-Sicherheit? (V04F19)
○ Ist der Schutz im Interesse der Betreiber der Datenverarbeitung
○ Liegt in der Verantwortung des Unternehmens zum Schutz im eigenen Sinne und Interesse
○ Obwohl Datenschutz überwiegend technikneutral argumentiert, gibt es teilweise direkte Aussagen in Datenschutzgesetzen zur IT-Sicherheit
Was sind Anforderungen an Datenverarbeitungssysteme? (V04F22)
○ 1 Zutrittskontrolle
○ 2 Zugangskontrolle
○ 3 Zugriffskontrolle
○ 4 Weitergabekontrolle
○ 5 Eingabekontrolle
○ 6 Auftragskontrolle
○ 7 Verfügbarkeitskontrolle
○ 8 Trennungsgebot
Was sind Elemente der IT-Sicherheitskonzeption (IT-Grundschutz)? (V04F29)
○ 1. Definition des Geltungsbereichs/des IT-Verbundes
○ 2. Strukturanalyse
○ 3. Schutzbedarfsfeststellung
○ 4. Modellierung
○ 5. Basis-Sicherheitscheck
○ 6. Ergänzende Sicherheitsanalyse/Risikoanalyse
Was wird bei der Definition des Geltungsbereichs/des IT-Verbundes betrachtet? (V04F29)
○ Welcher Teil der IT-Infrastruktur wird in IT-Sicherheitskonzeption einbezogen (z.B. Organisationseinheit im Unternehmen oder abgrenzbare Prozesse)?
○ Sog. “IT-Verbund”
○ wird festgelegt, welcher Bereich der Einrichtung abgedeckt wird (Geltungsbereich)
Was wird bei der Strukturanalyse betrachtet? (V04F30)
○ Analyse des Zusammenspiels der Geschäftsprozesse/Anwendungen und IT
○ Welche relevanten Informationen und IT-Systeme gibt es im IT-Verbund?
○ Auf welchen IT-Systemen laufen die relevanten Prozesse ab?
○ Zusammenstellung aller notwendigen Ressourcen: Fach- und IT-Anwendungen, IT-Systeme, Netze, Räume, Gebäude
○ Bereinigten Netzplan als Blockschaubild für den Gesamtüberblick erstellen
Was muss bei der Strukturanalyse berücksichtigt werden? (V04F27)
○ im Informationsverbund betriebene Anwendungen und die dadurch gestützten Geschäftsprozesse,
○ die organisatorischen und personellen Rahmenbedingungen für den Informationsverbund,
○ im Informationsverbund eingesetzte vernetzte und nicht-vernetzte IT-Systeme,
○ die Kommunikationsverbindungen zwischen den IT-Systemen und nach außen,
○ die vorhandene Infrastruktur.
Was wird bei der Schutzbedarfsfeststellung betrachtet? (V04F31)
○ Welchen Schutzbedarf haben die einzelnen IT-Systeme im IT-Verbund? → Ergeben sich aus DS-Anforderungen und unternehmenskritischen Erwägungen
○ Kategorien: normal, hoch, sehr hoch
○ Hierzu werden für jede Anwendung und die verarbeiteten Informationen die zu erwartenden Schäden betrachtet, die bei einer Beeinträchtigung von Vertraulichkeit, Integrität oder Verfügbarkeit entstehen können.
○ Wichtig ist, die Folgeschäden realistisch einzuschätzen
○ Schutzbedarf nach Stufen (normal, hoch, sehr hoch) und nach Sicherheitszielen (Vertraulichkeit, Integrität, Verfügbarkeit) definieren und begründen (möglich in Tabellenform) für Elemente aus der Strukturanalyse
Was ist der Zweck der Schutzbedarfsfeststellung? (V04F29)
Zweck ist es zu ermitteln, welcher Schutz für die Geschäftsprozesse, die dabei verarbeiteten Informationen und die eingesetzte Informationstechnik ausreichend und angemessen ist.
Was wird bei der Modellierung betrachtet? (V04F32)
○ Mit Hilfe des BSI-Grundschutz-Katalogs werden die zutreffenden Bausteine für den IT-Verbund und seine Bestandteile identifiziert: mögliche Gefährdungen, empfohlene Maßnahmen
○ Voraussetzung für die Anwendung der IT-Grundschutz-Kataloge auf einen Informationsverbund sind detaillierte Unterlagen über seine Struktur und den Schutzbedarf der darin enthaltenen Zielobjekte.
○ Bausteine der BSI IT-Grundschutzkataloge den Ressourcen der Strukturanalyse zuordnen
○ In Tabellenform möglich: Baustein (Bsp. Sicherheitsmanagement, Notfallmanagement, Personal, Serverraum) - Relevanz (Pflicht, Ja, Nein) - Zielobjekt (Bsp. Informationsverbund, bestimmter Raum /Gebäude/Server) - Begründung
Was wird bei dem Basis-Sicherheitscheck betrachtet? (V04F33)
○ Abgleich der vorgenommenen Modellierung mit dem IST-Zustand: Sind die vom BSI empfohlenen Maßnahmen getroffen worden?
○ Verbleiben Maßnahmen?
○ Als Ergebnis liegt ein Katalog vor, in dem für jede relevante Maßnahme der Umsetzungsstatus “entbehrlich”, “ja”, “teilweise” oder “nein” erfasst ist.
○ Überblick über das vorhandene Sicherheitsniveau wird erarbeitet. Mit Hilfe von Interviews wird der Status quo des bestehenden Informationsverbunds in Bezug auf den Umsetzungsstatus für jede relevante Maßnahme bewertet.
○ Als Tabelle: Baustein - Maßnahme - Bemerkung (mit Umsetzungsgrad wie Teilweise und Nein)
Was wird bei der ergänzenden Sicherheitsanalyse/Risikoanalyse betrachtet? (V04F34)
○ Sollten bei der Schutzbedarf-Ermittlung ein hoher oder sehr hoher Schutzbedarf festgestellt sein, ist eine ergänzende Sicherheitsanalyse durchzuführen und zu dokumentieren.
○ Die ergänzende Sicherheitsanalyse stellt sicher, dass die nicht vollständig abgedeckten Risiken (z. B. bei höherem Schutzbedarf) ermittelt werden.
○ Ziel der Risikoanalyse ist, die vorhandenen Risiken durch eine Risikobehandlung auf ein verträgliches bzw. akzeptables Maß (Restrisiko) zu reduzieren.
○ Risikomatrix bewertet nach: Eintrittswahrscheinlichkeit (niedrig, mittel, hoch) und Schadenshöhe (niedrig, mittel, hoch)
Was sind weitere Sicherheitsmaßnahmen bzw. was passiert in der ergänzenden Sicherheitsanalyse? (V04F36)
○ Bei hohem oder sehr hohem Schutzbedarf kann es sinnvoll sein, zu prüfen, ob zusätzlich oder ersatzweise höherwertige Sicherheitsmaßnahmen erforderlich sind.
○ Dies gilt auch, wenn besondere Einsatzbedingungen vorliegen oder wenn Komponenten verwendet werden, die nicht mit den existierenden Bausteinen der IT-Grundschutz-Kataloge abgebildet werden können.
○ Hierzu ist zunächst im Rahmen einer ergänzenden Sicherheitsanalyse zu entscheiden, ob für die jeweils betroffenen Bereiche eine Risikoanalyse durchgeführt werden muss.
○ Eine Methode für Risikoanalysen ist die im BSI-Standard 100-3 “Risikoanalyse auf der Basis von IT-Grundschutz” beschriebene Vorgehensweise.
○ Die erfolgreiche Durchführung einer Risikoanalyse hängt entscheidend von den Fachkenntnissen des Projektteams ab.
Was ist Telemedizin? (V04F04)
○ Telemedizin ist ein Teilbereich der Telematik im Gesundheitswesen
○ Wird genutzt um über technische Hilfsmittel Diagnosen oder ähnliches zu stellen
