Sven Thomsen - How to audit, how to certify?
-
Upload
cloudcamp-hamburg -
Category
Documents
-
view
776 -
download
1
description
Transcript of Sven Thomsen - How to audit, how to certify?
Clouds :How to audit, how to certify?
Clouds:Wie prüfen? Wie zertifizieren?
Sven Thomsen
www.datenschutzzentrum.de
Clouds: Wie prüfen? Wie zertifizieren? 2
5-Minuten-Agenda
• Kurz-Vorstellung ULD (entfällt! Infos: http://www.datenschutzzentrum.de/)
• Warum muss ich einen Dienst in der Cloud _vor_ der Nutzung prüfen?
• Wie prüft man einen Dienst in einer Cloud?
• Wie zertifiziert man aktuell einen Cloud-Dienst?
• Wie sollte man einen Cloud-Dienst zertifizieren?
www.datenschutzzentrum.de
Warum prüfen?
• Konzept der Verantwortlichkeit der Daten verarbeitenden Stelle
• Verantwortlichkeit kann nicht per Vertrag auf Anbieter eines cloud-basierten Dienstes übertragen werden
• Angebote vorab auf angemessene Sicherheitsmaßnahmen prüfen
• „Vertrauen“ gibt es im Bereich Datenschutz und Datensicherheit nicht
• an die Stelle von Vertrauen treten Nachweise einer ordnungsgemäßen Datenverarbeitung schon
Clouds: Wie prüfen? Wie zertifizieren? 3
www.datenschutzzentrum.de
Wie prüft man einen Cloud-Dienst?
• orientiert an Schichten Infrastrukturebene:
Räume, Gebäude, Klima, Brandschutz etc. -> klassische Vorgehensweise, vgl. Trusted Site Infrastructure, Uptime Data Center Tiers
Netzwerkebene :Router, Switches, Paketfilter, Proxies etc.-> etablierte Prüfmethoden zur Perimetersicherheit und Trennung interner Datenströme
Basis-Systeme -> Best-Practices und Security-Guides der Hersteller, CommonCriteria-evaluierte Konfigurationen
Clouds: Wie prüfen? Wie zertifizieren? 4
www.datenschutzzentrum.de
Wie prüft man einen Cloud-Dienst?
• Virtualisierungsschicht -> Tja… Hmmm…Hypervisor-Sicherheit ist relativ neu, VMWare und Xen momentan Vorreiter, für AppEngine , Azure etc. keine etablierten Vorgehensweisen
Sicherheitsmanagement-> etablierte StandardsISO27001, BSI-Standards 100-1 bis 100-4
Wir müssen erprobte Prüfvorgehen auf cloud-basierte Dienste anwenden, brauchen aber spezielle Prüfkriterien für die Virtualisierungsschicht. Ideen? Wenn ja: Workshop!
Clouds: Wie prüfen? Wie zertifizieren? 5
www.datenschutzzentrum.de
Wiederverwendung von Prüfergebnissen?
• Prüfungen sind aufwändig erste Erfahrungen des ULD: Prüfung einer
kleinen, private Cloud (IaaS) ~ 10 PT• Wie kann man die Investition in eine Überprüfung
mehrfach nutzen? als Aufsichtsbehörde? unter Aufsichtsbehörden? als Anbieter eines cloud-basierten Dienstes? als potentieller Kunde?
Clouds: Wie prüfen? Wie zertifizieren? 6
www.datenschutzzentrum.de
Bisheriger Ansatz: Zertifizierungen
• ISO27001, BSI Grundschutz, TSI, EuroPriSe, ULD-Siegel,… öffentliches Kurzgutachten, detaillierte
Beschreibung des Target Of Evaluation (ToE) regelmäßige Rezertifizierung, regelmäßige
Prüfung während der Laufzeit des Audits Qualitätsmanagement über vergebene
Zertifikate, interne Fortbildung der Prüfer• Aber immer noch: „aufwändige Prüfung der
Prüfung“ Kenntnis des Prüfstandards Prüfung des ToE
Clouds: Wie prüfen? Wie zertifizieren? 7
www.datenschutzzentrum.de
Idee: „Elektronische Prüfsiegel“
• Maschinenlesbare Prüfkataloge (Was ist zu prüfen?)• Maschinenlesbare Prüfberichte (Was wurde geprüft?)• Maschinenlesbare Bewertungen (Mit welchem
Ergebnis?)• Maschinenlesbare Nachweise (Womit nachgewiesen?)• Maschinenlesbare Zertifikate (Wie lange gültig?, ToE?)Ziele:• Durchgeführte Prüfungen und Zertifizierungen
elektronisch verwertbar machen• Nachweise automatisiert führen• Sicherheitsniveau cloud-basierter Dienste
nachvollziehbar gestaltenClouds: Wie prüfen? Wie zertifizieren? 8
www.datenschutzzentrum.de
Clouds: Wie prüfen? Wie zertifizieren? 9
Vielen Dank für Ihre Aufmerksamkeit!
Kontaktdaten
Unabhängiges Landeszentrum für DatenschutzSven ThomsenHolstenstraße 9824103 Kiel