Anlage 3

Die Lernerfolge im Bereich Informationssicherheit sollten zielgruppenbezogen gemessen und ausgewertet werden. Die Ergebnisse solltenbei der Verbesserung des Sensibilisierungs- und Schulungsangebots zur Informationssicherheit in geeigneter Weise einfließen.

Bei der Planung des internen Netzwerkes soll eine Netzwerksegmentierung erfolgen, die berücksichtigt, welche Daten in dem jeweiligen Segment verarbeitet und kommuniziert werden. Hierbei soll eine Trennung zwischen Gesundheitsdaten und weniger kritischen Daten erfolgen.

Schützenswerte Informationen müssen über nach dem derzeitigen Stand der Technik sichere Protokolle übertragen werden, falls nicht über vertrauenswürdige dedizierte Netzsegmente kommuniziert wird.

Bevor eine Praxis Smartphones oder Tablets bereitstellt, betreibt oder einsetzt, muss eine generelle Richtlinie im Hinblick auf die Nutzung und Kontrolle der Geräte festgelegt werden.

Apps aus öffentlichen App-Stores sollten vor einer gewünschten Installation durch die Verantwortlichen geprüft und freigegeben werden.

Die Praxis sollte festlegen, welche Informationen auf den mobilen Endgeräten verarbeitet werden dürfen.

Die Verbindung der mobilen Endgeräte zum MDM und das interne Netz der Institution muss angemessen abgesichert werden.

Für das MDM muss ein Berechtigungskonzept erstellt, dokumentiert und angewendet werden.

Zertifikate zur Nutzung von Diensten auf dem mobilen Endgerät sollten zentral über das MDM installiert, deinstalliert und aktualisiert werden.

Das MDM muss sicherstellen, dass sämtliche Daten auf dem mobilen Endgerät aus der Ferne gelöscht werden können.

Nur durch die Verantwortlichen geprüfte und freigegebene Apps dürfen über das MDM zur Installation angeboten werden.

Die Praxis muss festlegen, welche Informationen die mobilen Endgeräte unter welchen Bedingungen verarbeiten dürfen.

Wechseldatenträger sollten vollständig verschlüsselt werden.

Ein Verfahren zum Schutz gegen zufällige oder vorsätzliche Veränderungen sollte eingesetzt werden.

Bei dem Betrieb von E-Mail-Servern muss mindestens Folgendes berücksichtigt werden:

• es muss eine sichere Transportverschlüsselung für das Senden und Empfangen von E-Mails ermöglicht werden
• es sollten Schutzmechanismen gegen Denial-of-Service (DoS)-Attacken ergriffen werden

E-Mail-Server müssen so konfiguriert werden, dass sie nicht als Spam-Relay missbraucht werden können.

Die Daten der E-Mail-Server und -Clients sind regelmäßig und verschlüsselt zu sichern.

Eingehende und ausgehende E-Mails und deren Anhänge sind auf Spam-Merkmale und schädliche Inhalte zu überprüfen. Diese Prüfung sollte zum Schutz des Clients auf dem Mail-Server erfolgen.