Diese Präsentation wurde erfolgreich gemeldet.
Wir verwenden Ihre LinkedIn Profilangaben und Informationen zu Ihren Aktivitäten, um Anzeigen zu personalisieren und Ihnen relevantere Inhalte anzuzeigen. Sie können Ihre Anzeigeneinstellungen jederzeit ändern.
Clouds : How to audit, how to certify? Clouds: Wie prüfen? Wie zertifizieren? Sven Thomsen
5-Minuten-Agenda <ul><li>Kurz-Vorstellung ULD  (entfällt! Infos: http:// www.datenschutzzentrum.de /) </li></ul><ul><li>Wa...
Warum prüfen? <ul><li>Konzept der  Verantwortlichkeit  der Daten verarbeitenden Stelle </li></ul><ul><li>Verantwortlichkei...
Wie prüft man einen Cloud-Dienst? <ul><li>orientiert an Schichten </li></ul><ul><ul><li>Infrastrukturebene:  Räume, Gebäud...
Wie prüft man einen Cloud-Dienst? <ul><ul><ul><li>Virtualisierungsschicht  ->  Tja…  Hmmm… Hypervisor-Sicherheit ist relat...
Wiederverwendung von Prüfergebnissen? <ul><li>Prüfungen sind aufwändig </li></ul><ul><ul><li>erste Erfahrungen des ULD: Pr...
Bisheriger Ansatz: Zertifizierungen <ul><li>ISO27001, BSI Grundschutz, TSI, EuroPriSe, ULD-Siegel ,… </li></ul><ul><ul><li...
Idee: „Elektronische Prüfsiegel“ <ul><li>Maschinenlesbare Prüfkataloge (Was ist zu prüfen?) </li></ul><ul><li>Maschinenles...
Vielen Dank für Ihre Aufmerksamkeit! <ul><li>Kontaktdaten </li></ul><ul><li>Unabhängiges Landeszentrum für Datenschutz </l...
Nächste SlideShare
Wird geladen in …5
×

Sven Thomsen - How to audit, how to certify?

1.158 Aufrufe

Veröffentlicht am

How to audit, how to certify?

  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

Sven Thomsen - How to audit, how to certify?

  1. 1. Clouds : How to audit, how to certify? Clouds: Wie prüfen? Wie zertifizieren? Sven Thomsen
  2. 2. 5-Minuten-Agenda <ul><li>Kurz-Vorstellung ULD (entfällt! Infos: http:// www.datenschutzzentrum.de /) </li></ul><ul><li>Warum muss ich einen Dienst in der Cloud _vor_ der Nutzung prüfen? </li></ul><ul><li>Wie prüft man einen Dienst in einer Cloud? </li></ul><ul><li>Wie zertifiziert man aktuell einen Cloud-Dienst? </li></ul><ul><li>Wie sollte man einen Cloud-Dienst zertifizieren? </li></ul>Clouds: Wie prüfen? Wie zertifizieren?
  3. 3. Warum prüfen? <ul><li>Konzept der Verantwortlichkeit der Daten verarbeitenden Stelle </li></ul><ul><li>Verantwortlichkeit kann nicht per Vertrag auf Anbieter eines cloud-basierten Dienstes übertragen werden </li></ul><ul><li>Angebote vorab auf angemessene Sicherheitsmaßnahmen prüfen </li></ul><ul><li>„ Vertrauen “ gibt es im Bereich Datenschutz und Datensicherheit nicht </li></ul><ul><li>an die Stelle von Vertrauen treten Nachweise einer ordnungsgemäßen Datenverarbeitung schon </li></ul>Clouds: Wie prüfen? Wie zertifizieren?
  4. 4. Wie prüft man einen Cloud-Dienst? <ul><li>orientiert an Schichten </li></ul><ul><ul><li>Infrastrukturebene: Räume, Gebäude, Klima, Brandschutz etc. -> klassische Vorgehensweise , vgl. Trusted Site Infrastructure, Uptime Data Center Tiers </li></ul></ul><ul><ul><li>Netzwerkebene : Router, Switches, Paketfilter, Proxies etc. -> etablierte Prüfmethoden zur Perimetersicherheit und Trennung interner Datenströme </li></ul></ul><ul><ul><li>Basis-Systeme -> Best-Practices und Security-Guides der Hersteller , CommonCriteria-evaluierte Konfigurationen </li></ul></ul>Clouds: Wie prüfen? Wie zertifizieren?
  5. 5. Wie prüft man einen Cloud-Dienst? <ul><ul><ul><li>Virtualisierungsschicht -> Tja… Hmmm… Hypervisor-Sicherheit ist relativ neu, VMWare und Xen momentan Vorreiter, für AppEngine , Azure etc. keine etablierten Vorgehensweisen </li></ul></ul></ul><ul><ul><li>Sicherheitsmanagement -> etablierte Standards ISO27001, BSI-Standards 100-1 bis 100-4 </li></ul></ul><ul><li>Wir müssen erprobte Prüfvorgehen auf cloud-basierte Dienste anwenden, brauchen aber spezielle Prüfkriterien für die Virtualisierungsschicht. Ideen? Wenn ja: Workshop! </li></ul>Clouds: Wie prüfen? Wie zertifizieren?
  6. 6. Wiederverwendung von Prüfergebnissen? <ul><li>Prüfungen sind aufwändig </li></ul><ul><ul><li>erste Erfahrungen des ULD: Prüfung einer kleinen, private Cloud (IaaS) ~ 10 PT </li></ul></ul><ul><li>Wie kann man die Investition in eine Überprüfung mehrfach nutzen? </li></ul><ul><ul><li>als Aufsichtsbehörde? unter Aufsichtsbehörden? </li></ul></ul><ul><ul><li>als Anbieter eines cloud-basierten Dienstes? </li></ul></ul><ul><ul><li>als potentieller Kunde? </li></ul></ul>Clouds: Wie prüfen? Wie zertifizieren?
  7. 7. Bisheriger Ansatz: Zertifizierungen <ul><li>ISO27001, BSI Grundschutz, TSI, EuroPriSe, ULD-Siegel ,… </li></ul><ul><ul><li>öffentliches Kurzgutachten, detaillierte Beschreibung des Target Of Evaluation (ToE) </li></ul></ul><ul><ul><li>regelmäßige Rezertifizierung, regelmäßige Prüfung während der Laufzeit des Audits </li></ul></ul><ul><ul><li>Qualitätsmanagement über vergebene Zertifikate, interne Fortbildung der Prüfer </li></ul></ul><ul><li>Aber immer noch: „ aufwändige Prüfung der Prüfung “ </li></ul><ul><ul><li>Kenntnis des Prüfstandards </li></ul></ul><ul><ul><li>Prüfung des ToE </li></ul></ul>Clouds: Wie prüfen? Wie zertifizieren?
  8. 8. Idee: „Elektronische Prüfsiegel“ <ul><li>Maschinenlesbare Prüfkataloge (Was ist zu prüfen?) </li></ul><ul><li>Maschinenlesbare Prüfberichte (Was wurde geprüft?) </li></ul><ul><li>Maschinenlesbare Bewertungen (Mit welchem Ergebnis?) </li></ul><ul><li>Maschinenlesbare Nachweise (Womit nachgewiesen?) </li></ul><ul><li>Maschinenlesbare Zertifikate (Wie lange gültig?, ToE?) </li></ul><ul><li>Ziele: </li></ul><ul><li>Durchgeführte Prüfungen und Zertifizierungen elektronisch verwertbar machen </li></ul><ul><li>Nachweise automatisiert führen </li></ul><ul><li>Sicherheitsniveau cloud-basierter Dienste nachvollziehbar gestalten </li></ul>Clouds: Wie prüfen? Wie zertifizieren?
  9. 9. Vielen Dank für Ihre Aufmerksamkeit! <ul><li>Kontaktdaten </li></ul><ul><li>Unabhängiges Landeszentrum für Datenschutz </li></ul><ul><li>Sven Thomsen </li></ul><ul><li>Holstenstraße 98 </li></ul><ul><li>24103 Kiel </li></ul><ul><li>0431-988-1211 </li></ul><ul><li>[email_address] </li></ul>Clouds: Wie prüfen? Wie zertifizieren?

×