Home | Suche | Inhaltsübersicht | Kontakt | Impressum
INSTITUT FÜR MEDIZINISCHE INFORMATIK, STATISTIK UND EPIDEMIOLOGIE English Website

Umsetzung und Zertifizierung eines Sicherheitskonzeptes für den IT-Verbund IMISE/KKS

Motivation

Die für medizinische Forschungsverbünde typische rechnergestützte Verarbeitung und Speicherung personenbezogener Daten erfordert eine Vielzahl von Vorkehrungen, um die hohen Anforderungen an den Datenschutz und die Datensicherheit zu erfüllen. Um die Qualität der getroffenen Maßnahmen für die Auftraggeber sowie die Partner und Auftragnehmer (z.B. Patienten, Ärzte, Industrie) transparent und nachvollziehbar zu machen, ist das Erstellen geeigneter Datenschutz- und Datensicherheitskonzepte mit entsprechender Prüfung notwendig.

Ziel

Das Ziel dieses Projektes war die Erstellung und die Umsetzung eines umfassenden Sicherheitskonzeptes für den IT-Verbund IMISE/KKS. In einer abschließenden Auditierung sollten die erreichten Sicherheitsziele zertifiziert werden.

Vorgehen

Ausgangslage für ein funktionierendes Risikomanagement in der Informationstechnologie ist zunächst eine Risikoanalyse unter Einbeziehung aller von der IT unterstützten Prozesse. Aus dieser globalen Risikoanalyse lassen sich dann für den Ist-Zustand notwendige Maßnahmen ableiten. Die Risikoanalyse ist die Grundlage für eine IT-Sicherheitsorganisation, die wiederum für die Erfassung und Beurteilung der aktuellen Risiken verantwortlich ist und darauf reagieren muss.

Durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) wurde ein sehr umfassendes Handbuch für die Erstellung von Sicherheitskonzepten entwickelt. Dieses IT-Grundschutzhandbuch bildete mit seinen sehr detaillierten Handlungsanweisungen eine ideale Grundlage für das Rahmenkonzept. Es bietet aufgrund seiner offenen Definition bei der Modellierung des IT-Verbundes große Freiheiten.

Im IT-Verbund IMISE/KKS erfolgte eine umfassende Strukturanalyse und Schutzbedarfsfeststellung aller IT-Komponenten (Infrastruktur, Netzwerk, IT-Systeme, Anwendungen), die Erkennung der Gefährdungen, die Umsetzung der Sicherheits-Maßnahmen, die Überwachung des Umsetzungsgrades, die Dokumentation des IT-Sicherheitsstatus und die Zuordnung der Verantwortlichkeiten. Zur Qualitätssicherung und Unterstützung dieses Dokumentationsprozesses wird ein vom BSI empfohlenes Softwarewerkzeug eingesetzt, das die gemeinsame Arbeit des Sicherheitsmanagement-Teams an allen Modulen ermöglicht.

Für die Sicherung des hohen Schutzbedarfes wurden zusätzliche Regelungen für besonders sensible Komponenten (Firewall, Datensicherheitskonzept, Konfigurationskonzept u.a.) durch gesonderte Einzelkonzepte berücksichtigt. Bei diesen Regelungen handelt es sich unter anderem um Konzepte für die Datensicherung, den Virenschutz und den Datenaustausch. Weiterhin wurden Regelungen für Notfälle und die Wartung der Systeme erarbeitet.

Die dauerhafte Einhaltung des erreichten Sicherheitsniveaus wird durch regelmäßige Revisionen und Aktualisierungsprüfungen gewährleistet.

Abschließend erfolgte eine Überprüfung durch einen externen Auditor mit dem Ergebnis des Zertifikats über die Erreichung der Einstiegsstufe nach dem IT-Grundschutzhandbuch.

Projektleiter

Ronald Speer
Tel.: +49 341 97 16105
Fax: +49 341 97 16130
E-Mail: E-Mail-Adresse
Postanschrift: Ronald Speer
Universität Leipzig
Institut für Medizinische Informatik, Statistik und Epidemiologie
Härtelstraße 16-18
04107 Leipzig

Kooperation

  • René Meinhold (AG Systemadministration)
  • Dr. Wolfgang Dolak (AG Systemadministration)

Publikationen

  • Speer, R., Dolak, W., Heller,B., Meineke, F., Ramsch, J.
    Sicherheitskonzepte in medizinischen Forschungsverbünden.
    Tagungsband Telemed 2003. Berlin 2003.
Zurück zur Vorstellung der Arbeitsgruppe "Telematik und Datenschutz"
Letzte Änderung: 17.12.2009Redakteur:
Ronald Speer