Die Sicherheit der informationstechnischen Systeme in den Krankenhäusern muss dauerhaft gewährleistet werden, sie dient in letzter Konsequenz auch der Patientensicherheit. Die Deutsche Krankenhausgesellschaft unterstützt diesen Prozess durch die Bereitstellung eines Branchenspezifischen Sicherheitsstandards (B3S) im Sinne des § 8a BSI-Gesetz. Der B3S wird in Abstimmung mit dem Branchenarbeitskreis „Medizinische Versorgung“ des UP KRITIS sowie der hierfür zuständigen Gremien der Deutschen Krankenhausgesellschaft erstellt und vom Bundesamt für Sicherheit in der Informationstechnik geprüft, ob er für die Einhaltung der gesetzlich geforderten Maßnahmen geeignet ist. Für die aktuelle Version 1.2 (Stand 8.12.2022) wurde am 10.1.2023 die Eignung nach § 8a Abs. 1 und Abs. 1a BSIG festgestellt. An dieser Stelle wird neben der aktuell gültigen Fassung des B3S die Vorversion sowie eine Mappingtabelle der Anforderungen bereitgestellt. Um Krankenhäuser bei der Umsetzung der gesetzlichen Anforderungen zu unterstützen, hat die Deutsche Krankenhausgesellschaft den Branchenspezifischen Sicherheitsstandard für die Gesundheitsversorgung im Krankenhaus entworfen. WICHTIG: Die Eignung des B3S für die Gesundheitsversorgung im Krankenhaus in der Version 1.2 vom 8.12.2022 wurde vom BSI festgestellt und ist bis Januar 2025 gültig. Für Anwenderinnen und Anwender, die auf die Version 1.2 migrieren möchten, erarbeitete das verinice-Team eine erweiterte Migrationstabelle für einen leichteren Umstieg innerhalb von verinice. Die Änderungen bei den Anforderungen wurden einzeln im Detail analysiert, kategorisiert und tabellarisch aufgelistet, als Hilfestellung für einen effizienteren Umstieg auf die Version 1.2. Wir wünschen Ihnen ein gutes Gelingen beim Umsetzen der neuen Anforderungen des B3S für die Gesundheitsversorgung im Krankenhaus. Herausgeber Deutsche Krankenhausgesellschaft e.V. (DKG) Herr Markus Holzbrecher-Morys (Ansprechpartner) Wegelystraße 3 10632 Berlin Urheberrecht © 2022 Deutsche Krankenhausgesellschaft e.V. (DKG) Wegelystraße 3 10632 Berlin Einsatz in verinice Entpacken Sie den heruntergeladenen ZIP-komprimierte Branchenstandard in ein Verzeichnis Ihrer Wahl. Im entpackten Ordner finden Sie: die Beispielorganisationen (.vna) zum Einsatz in der ISM/ISO-Perspektive zum Einsatz in der Perspektive des modernisierten IT-Grundschutzes Änderungsübersicht der Anforderungen gruppiert nach Änderungstyp in einer Excel-Tabelle diese Anleitung im PDF-Format Für die konkrete Arbeit mit dem Branchenstandard beachten Sie bitte auch das verinice Handbuch und insbesondere den Original-Standard, den Sie: als Dateianhang im Wurzelobjekt über das Menü Ansicht >Zeige View…​ >Dateien öffnen können oder von der Webseite der DKG im PDF-Format herunterladen können. Für die Umsetzung des Sicherheitsstandards in verinice, können Sie sich entscheiden, ob Sie den Stanadard in der ISM/ISO-Perspektive oder in der Perspektive des modernisierten IT-Grundschutzes umsetzen wollen. Für die ISM/ISO-Perpsektive steht Ihnen eine .vna-Datei für den Import zur Verfügung. Nach dem Import erhalten Sie eine Beispiel-Organisation mit folgenden Inhalten des Sicherheitsstandards: Assets: Informationstechnik (IT) Kommunikationstechnik (KT) Kritische branchenspezifische Anwendungssysteme (KBA) Medizintechnnik/-produkte (MED) Platzhalter für Dokumente, die vom Sicherheitsstandard verlangt oder erwähnt werden Kern- und Unterstützungsprozesse des Sicherheitsstandards Allgemeine Bedrohungen und IT-spezifische Bedrohungen Schwachstellen Gefährdungen bzw. Szenarien zu: Branchenspezifische Gefährdungen Gefährdungen kritischer branchenspezifischer Technik und Software Mögliche Schadensszenarien - Behandlungseffektivität Mögliche Schadensszenarien - Patientensicherheit Controls bzw. Anforderungen Für die Perspektive des modernisierten IT-Grundschutzes stehen Ihnen zwei .vna-Dateien zur Verfügung. Die erste .vna-Datei ist für den Import und den Einsatz im Katalog-View gedacht und listet alle Anforderungen in Form von Baustein-Anforderungen mit den dazugehörigen Kapiteln abgebildet als Bausteine auf. Zusätzlich finden Sie innerhalb des selben Kompendiums bzw. der selben .vna-Datei die Auflistung von branchenspezifischen Gefährdungen, Gefährdungen kritischer branchenspezifischer Technik und Software, mögliche Schadensszenarien zur Behandlungseffektivität und mögliche Schadensszenarien zur Patientensicherheit des B3S. Alle Bausteine und Anforderungen können mit Standardfunktionen von verinice auf die IT-Verbünde modelliert werden, wie Sie es auch schon aus der Modellierung von Bausteinen des BSI IT-Grundschutz-Kompendiums kennen. Die zweite .vna-Datei beinhaltet das Modell eines Beispiel-Krankenhauses. Nach Import des IT-Verbundes erhalten Sie Beispielstrukturen für: Kern- und Unterstützungsprozesse Anwendungen gemäß des Sicherheitsstandards IT-Systeme gemäß des Sicherheitsstandards Medizintechniksysteme Andere/IoT-Systeme Kommunikationsverbindungen (Netzwerk-Komponenten) Räume, Gebäude, Versorgungstechnik (Infrastruktur) Platzhalter für Dokumente, die vom Sicherheitsstandard verlangt oder erwähnt werden

Der Risikokatalog Plus auf Basis der DIN ISO/IEC 27001:2017, DIN ISO/IEC 27002:2017, ISO/IEC 27005:2018 und DIN EN ISO/IEC 27019:2020 bildet ein Beispielmodel bzw. einen Geltungsbereich für den Einsatz in verinice. Der verinice Risikokatalog Plus (ISO 27001 / ISO 27019) - ISM Edition Der Risikokatalog Plus auf Basis der DIN ISO/IEC 27001:2017, DIN ISO/IEC 27002:2017, ISO/IEC 27005:2018 und DIN EN ISO/IEC 27019:2020 soll Energienetzbetreibern helfen, die Sicherheit bzw. den verpflichtenden IT-Sicherheitskatalog und darin befindliche Forderung nach §11 Abs. 1a EnWG an ein vollumfängliches Informationssicherheitsmanagementsystem umzusetzen. Der Katalog enthält Inhalte aus den Original-Standards DIN ISO/IEC 27001:2017, DIN ISO/IEC 27002:2017, ISO/IEC 27005:2018 und DIN EN ISO/IEC 27019:2020, lizenziert über den Beuth Verlag. Siehe dazu auch den Copyright-Hinweis am Ende dieses Textes. Der Preis der hier im Shop verkauften Lizenz zur Einzelplatzversion berechnet sich nach Laufzeit in Jahren und Anzahl der Benutzer. Für die Mehrplatz-Version "verinice.PRO" erfragen Sie bitte ein Staffel-Angebot beim SerNet-Vertrieb. Bitte beachten Sie, dass auf Grund der Vorgaben des Beuth Verlags die Inhalte der Originalstandards nur im Programm lesbar und nicht exportierbar sind (PDF, Word, Excel, etc.). Wir danken Dirk Brand und allen Kolleginnen und Kollegen der SILA-Consulting, die bei der Erstellung dieses Katalogs Beiträge geleistet haben. Ihr Nutzen auf einen Blick Der neue verinice Risikokatalog Plus (ISO 27001 / ISO 27019) - ISM Edition ist eine direkt in verinice importierbare Datei, die einen umfangreichen Katalog von generischen aber dennoch detaillierten Bedrohungen, Schwachstellen und Risikoszenarien liefert. Zudem erhlaten Sie einen Maßnahmenkatalog nach DIN EN ISO/IEC 27019:2020 mit den zusätzlichen Maßnahmen nach DIN ISO/IEC 27002:2017. Dabei sind bereits alle EVU-Maßnahmen mit passenden Risikoszenarien verknüpft. Somit wird das Erstellen der von der BNetzA in jedem Fall geforderten Risikoanalyse in kürzester Zeit möglich. Die in verinice implementierte Methode zur Risikoanlayse entspricht den lt. IT-Sicherheitskatalog der Bundesnetzagentur gem. §11 Abs. 1a EnWG vorgegebenen zugrundeliegenden Standards. verinice ermöglicht das Erfassen aller für die Zertifizierung und Risikoanalyse zwingend zu berücksichtigenden Informationswerte (Assets). Vorgegeben sind in diesem Katalog schon alle Assets gem. Anhang D, IT-Sicherheitskatalog. Ebenfalls enthalten ist eine Liste von Prozessen, die als Grundlage für die eigene Risikobetrachtung dienen können. Die Anwendung des PDCA-Zyklus für alle Prozesse des ISMS lässt sich mit verinice konsequent umsetzen und nachweisen. verinice ermöglicht auch die Prüfung der eigenen Dienstleister durch geeignete Prüfkataloge, z.B. über das integrierte "IS-Assessment" mit Zuordnung zu allen Controls der DIN ISO/IEC 27002:2017. Die in dieser Software wiedergegebenen technischen Regeln (DIN-, EN-, ISO- und ISO/IEC-Normen) sind urheberrechtlich geschützt und zur Nutzung im Rahmen dieser Software von der Beuth Verlag GmbH, Berlin, lizenziert. Jede Vervielfältigung der technischen Regeln außerhalb dieser Software, zum Beispiel durch Ausdruck oder Abspeichern, ist untersagt. Die technischen Regeln können bei der Beuth Verlag GmbH (www.beuth.de) erworben werden. Lieferumfang Der Risikokatalog PLUS wird als verschlüsseltes, ZIP-komprimiertes verinice-Archiv (.lic.vna) bereitgestellt, das Sie an einen Ort Ihrer Wahl entpacken und anschließend importieren können. Im entpackten Ordner finden Sie die Beispielorganisation (.lic.vna) zum Einsatz in der ISM/ISO-Perspektive eine Anleitung im PDF-Format Für die Umsetzung der Anforderungen in verinice, müssen Sie innerhalb der ISM-Perspektive arbeiten und können somit auch die Standardfunktionen von verinice nutzen. Bitte beachten Sie, dass Sie für die konkrete Arbeit mit dem Modul auch das verinice Handbuch sowie die Original-Standards der DIN ISO/IEC 27001:2017, DIN ISO/IEC 27002:2017, ISO/IEC 27005:2018 und DIN EN ISO/IEC 27019:2020 benötigen könnten. Weiterführende Informationen Diskussion im verinice.FORUM: https://forum.verinice.com/ Videos auf YouTube: https://www.youtube.com/c/verinice/videos Herausgeber Beuth Verlag GmbH Saatwinkler Damm 42/43 13627 Berlin SerNet Service Network GmbH Bahnhofsallee 1b 37081 Göttingen Urheberrecht © 2020 DIN Deutsches Institut für Normung e. V. Saatwinkler Damm 42/43 13627 Berlin © 2020 SerNet Service Network GmbH Bahnhofsallee 1b 37081 Göttingen