Anforderungskatalog für KRITIS-Betreiber und Prüfer
Der vorliegende Anforderungskatalog bietet Betreibern Kritischer Infrastrukturen (KRITIS-Betreibern) und prüfenden Stellen eine Konkretisierung der Anforderungen des § 8a Absatz 1 BSIG. Zudem stellt der Anforderungskatalog den prüfenden Stellen geeignete Kriterien für eine sachgerechte Prüfung der eingesetzten Sicherheitsvorkehrungen vor, um die geforderten Nachweise gemäß § 8a Absatz 3 BSIG erbringen zu können.
Dieser Anforderungskatalog wurde in Zusammenarbeit mit dem Fachausschuss für Informationstechnologie (FAIT) des Instituts der Wirtschaftsprüfer in Deutschland e.V. (IDW) auf Basis des C5 2016 entwickelt. Das BSI bedankt sich für die angenehme und gelungene Zusammenarbeit mit den Mitgliedern der Arbeitsgruppe „IT-Sicherheitsgesetz“ des FAIT.
Weiterführende Informationen und beispielhafte Prüfungshandlungen für eine sachgerechte Prüfung auf Grundlage dieses Anforderungskatalogs enthält der IDW-Prüfungshinweis: Die Prüfung der von Betreibern Kritischer Infrastrukturen gemäß § 8a Absatz 1 BSIG umzusetzenden Maßnahmen (IDW PH 9.860.2).
Link: www.bsi.bund.de
Mittwoch, 22. Januar 2020
Seit seiner Veröffentlichung 2016 hat sich der „Cloud Computing Compliance Criteria Catalogue“ (C5) des BSI zum etablierten und vielfach national und international umgesetzten Standard der Cloud-Sicherheit entwickelt. Da Cloud-Techniken schnellen Innovationen unterworfen sind, hat das BSI den C5 nun einer umfassenden Revision unterzogen. Der überarbeitete und aktualisierte C5 wurde heute im Rahmen einer Veranstaltung in Frankfurt am Main vorgestellt.
Link: www.bsi.bund.de
Dienstag, 14. Januar 2020
Neunte Umfrage der Allianz Global Corporate & Specialty zu den wichtigsten Unternehmensrisiken unter mehr als 2.700 Risikoexperten aus über 100 Ländern
– Cybervorfälle sind erstmals das wichtigste Geschäftsrisiko für Unternehmen weltweit
– Betriebsunterbrechungen bleiben eine zentrale Herausforderung für Unternehmen: weltweit auf Platz zwei und in Deutschland weiterhin an der Spitze
– Risiken aus dem Klimawandel sind der größte Aufsteiger im Ranking
Link: www.agcs.allianz.com
Der erfolgreiche Leitfaden zum „Cyber-Sicherheits-Check“ liegt jetzt in einer überarbeiteten Version 2 vor. Diese ermöglicht es Organisationen noch besser, das Bewusstsein für Risiken aus dem Cyberraum zu schärfen, bereits vorhandene Schutzmaßnahmen zu bewerten und einen Weg zur Verbesserung der Cyber-Sicherheit aufzuzeigen. Die Änderungen umfassen eine auf Basis von Praxiserfahrungen überarbeitete Methodik zur Risikoeinschätzung, Erweiterungen des Maßnahmenkatalogs, unter anderem zur sicheren Nutzung von Cloud Computing sowie aktualisierte Referenzen zu relevanten Standards und Frameworks, wie z. B. IT-Grundschutz-Kompendium, COBIT 2019 oder PCI-DSS V3.2.1.
Der „Cyber-Sicherheits-Check“ bietet somit weiterhin eine aktuelle und in der Praxis bewährte Vorgehensweise, wie Informations- und IT-Sicherheitsverantwortliche, Datenschutzbeauftragte, Revisoren und Berater oder auch IT-Mitarbeiter einen Cyber-Sicherheits-Check von der Vorbereitung über die Risikoeinschätzung und Analyse bis hin zur Berichtserstellung durchführen können.
Die Nutzung dieses Checks zur Überprüfung der Cybersicherheit begrüßen und unterstützen neben dem BSI explizit auch viele weitere Verbände und Mitglieder der Allianz für Cyber-Sicherheit, wie z. B. VDMA, ZVEI und die IDSA.
Link: www.isaca.de
Samstag, 30. November 2019
Im Rahmen des vom Bundesministerium für Bildung und Forschung geförderten Projekts „KIRMin: Kritische Infrastrukturen – Resilienz als Mindestversorgungskonzept“ wurde in Zusammenarbeit mit DIN e.V. sowie mit Betreibern Kritischer Infrastrukturen, Vertretern des Bevölkerungsschutzes und der Forschung die DIN SPEC 91390 „Integriertes Risikomanagement für den Schutz der Bevölkerung“ erarbeitet.
Das Integrierte Risikomanagement hat zum Ziel, das Risikomanagement von Betreibern Kritischer Infrastrukturen mit dem Risikomanagement von staatlichen Stellen zu verknüpfen. Hierbei werden Schnittstellen und Möglichkeiten zum Austausch von Informationen, Erkenntnissen und Ergebnissen zwischen den Akteuren aufgezeigt.
Die DIN SPEC 91390 wurde am 25.11.2019 im Beuth Verlag veröffentlicht und kann kostenlos unter folgendem Link heruntergeladen werden:
Link: www.beuth.de
Dienstag, 19. November 2019
Im Kontext der sicheren Digitalisierung im Gesundheitswesen hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) im Rahmen der Messe „Medica“ in Düsseldorf einen neuen Leitfaden „Sicherheit von Medizinprodukten – Leitfaden zur Nutzung des MDS2 aus 2019“ (Manufacturer Disclosure Statement for Medical Device Security) veröffentlicht. Herstellern und Betreibern von Medizinprodukten dient der Leitfaden als Anleitung und Unterstützung bei der Anwendung des MDS2, das im Rahmen von Beschaffungsvorgängen als Grundlage für eine Risikoanalyse des anzuschaffenden Systems herangezogen werden kann. Anhand des MDS2 lassen sich die Sicherheitseigenschaften verschiedener Produkte unterschiedlicher Hersteller vergleichen und Schwachstellen und Risiken bereits im Vorfeld des eigentlichen Beschaffungsprozesses beurteilen. Mit vermehrter Nutzung des MDS2-Formulars bei Beschaffungen würde die Cyber-Sicherheit von Medizinprodukten und der Schutz sensibler Patientendaten langfristig verbessert werden.
Link: www.bsi.bund.de
Mittwoch, 6. November 2019
Das Dokument dient zum einen den Betreibern Kritischer Infrastrukturen als Empfehlung, welche Sicherheitsanforderungen sie mit ihren Lieferanten, Herstellern und Dienstleistern vereinbaren sollten. Zum anderen gibt es Lieferanten Herstellern und Dienstleistern einen Überblick, was sie Betreibern Kritischer Infrastrukturen anbieten bzw. in ihren Angeboten berücksichtigen sollten, um deren Bedarfe zu erfüllen. Bei dem Dokument handelt es sich lediglich um eine Empfehlung, die beide Vertragspartner für ihre Zwecke nutzen können.
Link: www.kritis.bund.de
Mittwoch, 23. Oktober 2019
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat den im Juni von der Deutschen Krankenhausgesellschaft (DKG) vorgelegten „Branchenspezifischen Sicherheitsstandard für Krankenhäuser“ („B3S“) geprüft und die Eignung festgestellt. Die „Feststellungsurkunde“ wurde am gestrigen Nachmittag von BSI-Präsident Arne Schönbohm an DKG-Hauptgeschäftsführer Georg Baum überreicht. Betreiber sogenannter „Kritischer Infrastrukturen“ aus dem Kliniksektor, die den Anforderungen des IT-Sicherheitsgesetzes unterliegen, müssen ihre Informationstechnologie nach dem Stand der Technik absichern und können dies nun anhand des B3S umsetzen.
Link: www.dkgev.de
Donnerstag, 26. September 2019
Eine Notfallkarte zum Aushängen und ein neuer Maßnahmenkatalog für Sicherheitsverantwortliche sollen KMU helfen, mit Cyber-Bedrohungen besser umzugehen.
Link: www.heise.de
The International Organization for Standardization has published the first International Standards for privacy information management. ISO/IEC 27701 specifies requirements “for establishing, implementing, maintaining and continually improving a privacy-specific information security management system,” ISO said in the announcement. “In other words, a management system for protecting personal data (PIMS).”
Link: www.iso.org
