verinice B3S Krankenhaus V1.2
Die Sicherheit der informationstechnischen Systeme in den Krankenhäusern muss dauerhaft gewährleistet werden, sie dient in letzter Konsequenz auch der Patientensicherheit. Die Deutsche Krankenhausgesellschaft unterstützt diesen Prozess durch die Bereitstellung eines Branchenspezifischen Sicherheitsstandards (B3S) im Sinne des § 8a BSI-Gesetz.
Der B3S wird in Abstimmung mit dem Branchenarbeitskreis „Medizinische Versorgung“ des UP KRITIS sowie der hierfür zuständigen Gremien der Deutschen Krankenhausgesellschaft erstellt und vom Bundesamt für Sicherheit in der Informationstechnik geprüft, ob er für die Einhaltung der gesetzlich geforderten Maßnahmen geeignet ist.
Für die aktuelle Version 1.2 (Stand 8.12.2022) wurde am 10.1.2023 die Eignung nach § 8a Abs. 1 und Abs. 1a BSIG festgestellt. An dieser Stelle wird neben der aktuell gültigen Fassung des B3S die Vorversion sowie eine Mappingtabelle der Anforderungen bereitgestellt.
Um Krankenhäuser bei der Umsetzung der gesetzlichen Anforderungen zu unterstützen, hat die Deutsche Krankenhausgesellschaft den Branchenspezifischen Sicherheitsstandard für die Gesundheitsversorgung im Krankenhaus entworfen.
WICHTIG: Die Eignung des B3S für die Gesundheitsversorgung im Krankenhaus in der Version 1.2 vom 8.12.2022 wurde vom BSI festgestellt und ist bis Januar 2025 gültig.
Für Anwenderinnen und Anwender, die auf die Version 1.2 migrieren möchten, erarbeitete das verinice-Team eine erweiterte Migrationstabelle für einen leichteren Umstieg innerhalb von verinice. Die Änderungen bei den Anforderungen wurden einzeln im Detail analysiert, kategorisiert und tabellarisch aufgelistet, als Hilfestellung für einen effizienteren Umstieg auf die Version 1.2.
Wir wünschen Ihnen ein gutes Gelingen beim Umsetzen der neuen Anforderungen des B3S für die Gesundheitsversorgung im Krankenhaus.
Herausgeber
Deutsche Krankenhausgesellschaft e.V. (DKG) Herr Markus Holzbrecher-Morys (Ansprechpartner) Wegelystraße 3 10632 Berlin
Urheberrecht
© 2022 Deutsche Krankenhausgesellschaft e.V. (DKG) Wegelystraße 3 10632 Berlin
Einsatz in verinice
Entpacken Sie den heruntergeladenen ZIP-komprimierte Branchenstandard in ein Verzeichnis Ihrer Wahl. Im entpackten Ordner finden Sie:
die Beispielorganisationen (.vna)
zum Einsatz in der ISM/ISO-Perspektive
zum Einsatz in der Perspektive des modernisierten IT-Grundschutzes
Änderungsübersicht der Anforderungen gruppiert nach Änderungstyp in einer Excel-Tabelle
diese Anleitung im PDF-Format
Für die konkrete Arbeit mit dem Branchenstandard beachten Sie bitte auch das verinice Handbuch und insbesondere den Original-Standard, den Sie:
als Dateianhang im Wurzelobjekt über das Menü Ansicht >Zeige View… >Dateien öffnen können oder
von der Webseite der DKG im PDF-Format herunterladen können.
Für die Umsetzung des Sicherheitsstandards in verinice, können Sie sich entscheiden, ob Sie den Stanadard in der ISM/ISO-Perspektive oder in der Perspektive des modernisierten IT-Grundschutzes umsetzen wollen.
Für die ISM/ISO-Perpsektive steht Ihnen eine .vna-Datei für den Import zur Verfügung. Nach dem Import erhalten Sie eine Beispiel-Organisation mit folgenden Inhalten des Sicherheitsstandards:
Assets:
Informationstechnik (IT)
Kommunikationstechnik (KT)
Kritische branchenspezifische Anwendungssysteme (KBA)
Medizintechnnik/-produkte (MED)
Platzhalter für Dokumente, die vom Sicherheitsstandard verlangt oder erwähnt werden
Kern- und Unterstützungsprozesse des Sicherheitsstandards
Allgemeine Bedrohungen und IT-spezifische Bedrohungen
Schwachstellen
Gefährdungen bzw. Szenarien zu:
Branchenspezifische Gefährdungen
Gefährdungen kritischer branchenspezifischer Technik und Software
Mögliche Schadensszenarien - Behandlungseffektivität
Mögliche Schadensszenarien - Patientensicherheit
Controls bzw. Anforderungen
Für die Perspektive des modernisierten IT-Grundschutzes stehen Ihnen zwei .vna-Dateien zur Verfügung. Die erste .vna-Datei ist für den Import und den Einsatz im Katalog-View gedacht und listet alle Anforderungen in Form von Baustein-Anforderungen mit den dazugehörigen Kapiteln abgebildet als Bausteine auf. Zusätzlich finden Sie innerhalb des selben Kompendiums bzw. der selben .vna-Datei die Auflistung von branchenspezifischen Gefährdungen, Gefährdungen kritischer branchenspezifischer Technik und Software, mögliche Schadensszenarien zur Behandlungseffektivität und mögliche Schadensszenarien zur Patientensicherheit des B3S.
Alle Bausteine und Anforderungen können mit Standardfunktionen von verinice auf die IT-Verbünde modelliert werden, wie Sie es auch schon aus der Modellierung von Bausteinen des BSI IT-Grundschutz-Kompendiums kennen. Die zweite .vna-Datei beinhaltet das Modell eines Beispiel-Krankenhauses. Nach Import des IT-Verbundes erhalten Sie Beispielstrukturen für:
Kern- und Unterstützungsprozesse
Anwendungen gemäß des Sicherheitsstandards
IT-Systeme gemäß des Sicherheitsstandards
Medizintechniksysteme
Andere/IoT-Systeme
Kommunikationsverbindungen (Netzwerk-Komponenten)
Räume, Gebäude, Versorgungstechnik (Infrastruktur)
Platzhalter für Dokumente, die vom Sicherheitsstandard verlangt oder erwähnt werden
499,80 €
Netto Preis: 420,00 €
verinice Risikokatalog Plus (ISO 27001 / ISO 27019) - ISM Edition
Der Risikokatalog Plus auf Basis der DIN ISO/IEC 27001:2017, DIN ISO/IEC 27002:2017, ISO/IEC 27005:2018 und DIN EN ISO/IEC 27019:2020 bildet ein Beispielmodel bzw. einen Geltungsbereich für den Einsatz in verinice.
Der verinice Risikokatalog Plus (ISO 27001 / ISO 27019) - ISM Edition
Der Risikokatalog Plus auf Basis der DIN ISO/IEC 27001:2017, DIN ISO/IEC 27002:2017, ISO/IEC 27005:2018 und DIN EN ISO/IEC 27019:2020 soll Energienetzbetreibern helfen, die Sicherheit bzw. den verpflichtenden IT-Sicherheitskatalog und darin befindliche Forderung nach §11 Abs. 1a EnWG an ein vollumfängliches Informationssicherheitsmanagementsystem umzusetzen.
Der Katalog enthält Inhalte aus den Original-Standards DIN ISO/IEC 27001:2017, DIN ISO/IEC 27002:2017, ISO/IEC 27005:2018 und DIN EN ISO/IEC 27019:2020, lizenziert über den Beuth Verlag. Siehe dazu auch den Copyright-Hinweis am Ende dieses Textes.
Der Preis der hier im Shop verkauften Lizenz zur Einzelplatzversion berechnet sich nach Laufzeit in Jahren und Anzahl der Benutzer. Für die Mehrplatz-Version "verinice.PRO" erfragen Sie bitte ein Staffel-Angebot beim SerNet-Vertrieb. Bitte beachten Sie, dass auf Grund der Vorgaben des Beuth Verlags die Inhalte der Originalstandards nur im Programm lesbar und nicht exportierbar sind (PDF, Word, Excel, etc.).
Wir danken Dirk Brand und allen Kolleginnen und Kollegen der SILA-Consulting, die bei der Erstellung dieses Katalogs Beiträge geleistet haben.
Ihr Nutzen auf einen Blick
Der neue verinice Risikokatalog Plus (ISO 27001 / ISO 27019) - ISM Edition ist eine direkt in verinice importierbare Datei, die einen umfangreichen Katalog von generischen aber dennoch detaillierten Bedrohungen, Schwachstellen und Risikoszenarien liefert.
Zudem erhlaten Sie einen Maßnahmenkatalog nach DIN EN ISO/IEC 27019:2020 mit den zusätzlichen Maßnahmen nach DIN ISO/IEC 27002:2017. Dabei sind bereits alle EVU-Maßnahmen mit passenden Risikoszenarien verknüpft. Somit wird das Erstellen der von der BNetzA in jedem Fall geforderten Risikoanalyse in kürzester Zeit möglich.
Die in verinice implementierte Methode zur Risikoanlayse entspricht den lt. IT-Sicherheitskatalog der Bundesnetzagentur gem. §11 Abs. 1a EnWG vorgegebenen zugrundeliegenden Standards.
verinice ermöglicht das Erfassen aller für die Zertifizierung und Risikoanalyse zwingend zu berücksichtigenden Informationswerte (Assets). Vorgegeben sind in diesem Katalog schon alle Assets gem. Anhang D, IT-Sicherheitskatalog.
Ebenfalls enthalten ist eine Liste von Prozessen, die als Grundlage für die eigene Risikobetrachtung dienen können. Die Anwendung des PDCA-Zyklus für alle Prozesse des ISMS lässt sich mit verinice konsequent umsetzen und nachweisen.
verinice ermöglicht auch die Prüfung der eigenen Dienstleister durch geeignete Prüfkataloge, z.B. über das integrierte "IS-Assessment" mit Zuordnung zu allen Controls der DIN ISO/IEC 27002:2017.
Die in dieser Software wiedergegebenen technischen Regeln (DIN-, EN-, ISO- und ISO/IEC-Normen) sind urheberrechtlich geschützt und zur Nutzung im Rahmen dieser Software von der Beuth Verlag GmbH, Berlin, lizenziert. Jede Vervielfältigung der technischen Regeln außerhalb dieser Software, zum Beispiel durch Ausdruck oder Abspeichern, ist untersagt. Die technischen Regeln können bei der Beuth Verlag GmbH (www.beuth.de) erworben werden.
Lieferumfang
Der Risikokatalog PLUS wird als verschlüsseltes, ZIP-komprimiertes verinice-Archiv (.lic.vna) bereitgestellt, das Sie an einen Ort Ihrer Wahl entpacken und anschließend importieren können. Im entpackten Ordner finden Sie
die Beispielorganisation (.lic.vna) zum Einsatz in der ISM/ISO-Perspektive
eine Anleitung im PDF-Format
Für die Umsetzung der Anforderungen in verinice, müssen Sie innerhalb der ISM-Perspektive arbeiten und können somit auch die Standardfunktionen von verinice nutzen. Bitte beachten Sie, dass Sie für die konkrete Arbeit mit dem Modul auch das verinice Handbuch sowie die Original-Standards der DIN ISO/IEC 27001:2017, DIN ISO/IEC 27002:2017, ISO/IEC 27005:2018 und DIN EN ISO/IEC 27019:2020 benötigen könnten.
Weiterführende Informationen
Diskussion im verinice.FORUM: https://forum.verinice.com/
Videos auf YouTube: https://www.youtube.com/c/verinice/videos
Herausgeber
Beuth Verlag GmbH Saatwinkler Damm 42/43 13627 Berlin
SerNet Service Network GmbH Bahnhofsallee 1b 37081 Göttingen
Urheberrecht
© 2020 DIN Deutsches Institut für Normung e. V. Saatwinkler Damm 42/43 13627 Berlin
© 2020 SerNet Service Network GmbH Bahnhofsallee 1b 37081 Göttingen
1.249,50 €
Netto Preis: 1.050,00 €