datacenter.de ist eine Marke der noris network AG Compliance und Datenschutz Im Rechenzentrum Joachim Astel

Größe: px

Ab Seite anzeigen:

Download "datacenter.de ist eine Marke der noris network AG Compliance und Datenschutz Im Rechenzentrum Joachim Astel 09.10.2013"

Matilde Kruse
vor 8 Jahren
Abrufe

1 datacenter.de ist eine Marke der noris network AG Compliance und Datenschutz Im Rechenzentrum Joachim Astel

2 Die Gefahr von innen Ihre geschäftskritischen Daten sind in Gefahr Spionage Mitarbeiter reicht seine Kündigung ein Unbrauchbarkeit der Produktivumgebung (vgl. Stuxnet) Abfluss von Daten Sabotage Blaupausen auf kleinsten Speichermedien USB-Stick SmartPhone Notebook versteckte Online- Verbindung mutwilliges Löschen der Daten Zerstörung der Backup- Systeme und Daten Totalverlust

Stuxnet) Abfluss von Daten Sabotage Blaupausen auf kleinsten Speichermedien USB-Stick

3 Auswahl des Dienstleisters Grundsätzliche Governance- und Compliance-Anforderungen: - 93 Abs. 2 S. 2 AktG, 43 GmbH-Gesetz - KontraG - Gesetz zur Kontrolle und Transparenz im Unternehmensbereich Berücksichtigung aller Stakeholders: Identifikation aller Complianceanforderungen - Unternehmens-Richtlinien - (z. B. IT-Compliance-Framework nach COBIT5) - Governance von staatlicher Seite (einschlägige Gesetze) - von Dritten, sogenannten Third Parties (z. B. Kreditkartenorganisationen PCI DSS Konformität) Notwendigkeit der Auswahl des passenden Frameworks zur Wahl des passenden externen Dienstleisters bzw. Lieferanten

Complianceanforderungen - Unternehmens-Richtlinien - (z. B.

4 Rechenzentrums-Anbieter Was wird vom Rechenzentrums-Betreiber gefordert: - Zertifizierungen - Verfügbarkeit (BCM) - Security, Datenschutz Im Bild: Rechenzentrum NBG6, noris network AG Compliance-Anforderungen von: - IT-Sicherheit (CISO/ISMB) - BDSG / EU-Datenschutzrecht (DSB) - Innenrevision - Aufsichtsbehörden (z. B. BaFin im Finanzwesen) - Wirtschaftsprüfer - SOX / J-SOX / PS951 - Sicherheitsbeauftragter, Brandschutzbeauftragter etc.

5 Auswahl des Frameworks Zertifizierungen: - ISO/IEC (SMS) Service-Managementsystem - ISO/IEC (ISMS) Informationssicherheits-Managementsystem - ISO/IEC auf Basis BSI Grundschutz (BSI ff) - eco Datacenter Star Audit Weitere Frameworks: - COBIT5 (Control Objectives for Information and Related Technolgy) - IT IL v3 - ISO/IEC bzw. BSI Grundschutzkataloge - DIN SPEC 1041 Outsourcing technologieorientierter wissensintensiver Dienstleistungen - BITKOM Leitfaden Betriebssichere Rechenzentren

Weitere Frameworks: - COBIT5 (Control Objectives for Information and Related Technolgy) - IT IL v3 - ISO/IEC 27002 bzw.

Retained Organisation Die Retained Organisation bezeichnet Personen oder Einheiten in einem Unternehmen, die nach einem Outsourcing die steuernde Schnittstelle zu den externen Dienstleistern bilden.

6 Retained Organisation Die Retained Organisation bezeichnet Personen oder Einheiten in einem Unternehmen, die nach einem Outsourcing die steuernde Schnittstelle zu den externen Dienstleistern bilden. Folgendes Dienstleistungsdreieck: Zulieferer des Outsourcing-Gebers, z. B. Software-Entwicklungs-Unternehmen Dienstleistungsdreieck Retained Organisation (Outsourcing-Geber) Rechenzentrum (Outsourcing-Nehmer)

bilden. Folgendes Dienstleistungsdreieck: Zulieferer des Outsourcing-Gebers, z. B.

Leitfaden für den Auftraggeber Standards/Normen: ISMS nach ISO/IEC 27001 ITSM nach ISO/IEC 20000 (IT Infrastructure

7 Leitfaden für den Auftraggeber Standards/Normen: ISMS nach ISO/IEC ITSM nach ISO/IEC (IT Infrastructure Library) Risikomanagement nach ISO/IEC Ziele insbesondere: Business Continuity unternehmensweit abgestimmtes Risikomanagement

Library) Risikomanagement nach ISO/IEC 27005 Ziele

8 Cobit5 COBIT5 for information security Information Security Policy Access Control Policy Personnel Information Security Policy Physical and Environmental Information Security Policy Security Incident Response Policy Business continuity and disaster recovery policy Asset management policy Rules of behaviour (acceptable use) Information systems acquisition, software development and maintenance policy Vendor management policy Communication and operation management policy Compliance Policy Risk Management Policy

recovery policy Asset management policy Rules of behaviour (acceptable use) Information systems acquisition, software

Zertifizierungen ISO/IEC 20000-1 (SMS) Service-Managementsystem ISO/IEC 27001

9 Zertifizierungen ISO/IEC (SMS) Service-Managementsystem ISO/IEC (ISMS) Informationssicherheits-Managementsystem Wichtig: Anwendungsbereich (Scope)

10 IT IL IT Infrastructure Library

Zertifizierungen ITIL IT Infrastructure Library (ITIL ) Der Dienstleister sollte ein durchgängiges Verständnis und Bewusstsein für die aufbauenden Prozessabläufe der IT IL Norm bieten.

ISO 27001 nach BSI Grundschutz Neben der Zertifizierbarkeit in Deutschland nach BSI 100-1 ff gibt es die Maßgaben der IT-Grundschutz-Kataloge des BSI (Bundesamtes für Sicherheit und

11 Zertifizierungen ITIL IT Infrastructure Library (ITIL ) Der Dienstleister sollte ein durchgängiges Verständnis und Bewusstsein für die aufbauenden Prozessabläufe der IT IL Norm bieten. Das ITIL Framework bietet vielfältige Empfehlungen bezüglich der diversen Kernprozesse wie Incident Management, Change Management, uvm. ISO nach BSI Grundschutz Neben der Zertifizierbarkeit in Deutschland nach BSI ff gibt es die Maßgaben der IT-Grundschutz-Kataloge des BSI (Bundesamtes für Sicherheit und Informationstechnik). Diese bieten Ausgestaltung eines normalen bzw. mittleren Schutzbedarfes. Darüberhinaus (Schutzbedarf hoch) ist ggf. eine Risikoanalyse notwendig. eco Datacenter Star Audit Bewertung der technischen, organisatorischen und service-bezogenen Maßgaben eines Rechenzentrums bzw. des Rechenzentrumsverbunds. Vergabe von Sternen, vergleichbar mit den bekannten Hotel-Bewertungen

12 Verantwortungsübergang Klare Aufteilung der Verantwortung -> Maßgaben aus Normen physikalische Sicherheit -> ISO 27001:2005 Kapitel A.9 im Rechenzentrum bzw. ISO 27001:2013 Kapitel A.12 Betriebsführung/Operating der -> ISO A.10, A.11 u. a. Firewalls, Router und Switches Betriebsführung/Operating bis Oberkante Betriebssystem -> Klare Verantwortlichkeiten bzgl. Zugang, Zugriff, Benutzerverwaltung Betriebsführung/Operating der unterstützenden Systeme -> Log-Server, Monitoring-Systeme, Ticket-Systeme, uvm.

Firewalls, Router und Switches Betriebsführung/Operating bis Oberkante Betriebssystem -> Klare Verantwortlichkeiten bzgl.

13 Datenschutz Soll eine Auftragsdatenverarbeitung (ADV) nach BDSG 11 angefertigt werden? Gut ausgereifte Musterversionen für ADV: von GDD bzw. BITKOM. Zu klären zwischen Auftraggeber und Auftragnehmer insbesondere: - Schutzbedarfsfeststellung / Art der Daten / betroffener Personenkreis - Verpflichtung auf BDSG für alle Mitarbeiter, ggf. auch externe Dienstleister - Berücksichtigung aller speziellen Situationen: z. B. Umgang mit defekten Festplatten, fachgerechte Entsorgung ohne Datendiebstahl ISMS/SMS - nach Vertragsende: Löschung der Daten ( Rückgabe der Dokumente ) - Kontroll- und Einsichtnahmemöglichkeit durch den DSB in allen obigen Themenbereichen

alle Mitarbeiter, ggf. auch externe Dienstleister - Be

Systemumgebungen Produktionsumgebung Testumgebung Entwicklungsumgebung Produktionsumgebung, Testumgebung und Entwicklungsumgebung sind voneinander entkoppelt.

14 Systemumgebungen Produktionsumgebung Testumgebung Entwicklungsumgebung Produktionsumgebung, Testumgebung und Entwicklungsumgebung sind voneinander entkoppelt. Die Testumgebung steht idealerweise als komplette Kopie zur Produktionsumgebung zur Verfügung (inkl. Backendanbindungen etc.) und ist definiert als Qualitätssicherungsumgebung. Keine Echtdaten - insbesondere personenbezogene Daten auf der Entwicklungsumgebung

Die Testumgebung steht idealerweise als komplette Kopie zur Produktionsumgebung zur Verfügung (inkl.

15 Ausblick Aktuelle Themen: - Social Engineering + Awareness (regelmäßige Mitarbeiterschulungen) - Social Media, Web 2.0 hier insbesondere auch Social Engineering, fehlendes Bewusstsein - BYOD (Bring in your Own Device) in der neuen ISO 27001:2013 mit berücksichtigt IT-Compliance-/IT-Risk Controlling Integration von Risiko-Management-Systemen ISO / ISO für Geschäftsleitung, Informationssicherheitsmanagement & Datenschutz

0 hier insbesondere auch Social Engineering, fehlendes Bewusstsein - BYOD (Bring in your Own Device) in der

16 IT-Sicherheitsmanagement Wichtig für die Verlagerung von Geschäftsprozessen in das externe Rechenzentrum: Commitment durch die Leitungsebene: die Leitungsebene ist hinsichtlich des notwendigen Sicherheitsmanagements stark sensibilisiert die Verantwortung für die Erweiterung des Sicherheitsmanagements auf den IT-Dienstleister wird mit entsprechenden Ressourcenfreigaben durchgeführt und der IT-Risikomanagementprozess durch die Leitungsebene aktiv unterstützt.

sensibilisiert die Verantwortung für die Erweiterung des Sicherheitsmanagements auf den IT-Dienstleister wird mit

17 Es gibt Lösungsanbieter noris network als Outsourcing-Unternehmen hat sich spezialisiert auf Rechenzentrumsleistungen und Dienstleistungen mit hohem Level an - Integrität - Security - Verfügbarkeit Bei noris network sind technisch sind alle angebotenen Leistungen aus Sicherheitssicht sowohl in Hinblick auf Security (Vertraulichkeit und Schutz der Daten) als auch Verfügbarkeit (Schutz vor Manipulation oder Löschung) abgestimmt Die Organisation von noris network ist abgestimmt auf Ihre Vertraulichkeitsanforderungen: die Mitarbeiter werden verpflichtet auf Geheimhaltung, und organisatorisch werden Maßnahmen getroffen, um Risiken in allen Bereichen zu minimieren, z. B. bei Anderungen an Computersystemen Arbeiten nach dem Vier-Augen-Prinzip, wenn darauf sensitive Daten abgelegt

(Schutz vor Manipulation oder Löschung) abgestimmt Die Organisation von noris network ist abgestimmt auf Ihre Vertraulichkeitsanforderungen: die Mitarbeiter werden verpflichtet auf Geheimhaltung,

18 Resumee Vorteile eines ISO/IEC zertifizierten Dienstleisters: - Zertifizierung durch neutralen Dritten nach ISO/IEC kompatible Sprache in der Ausschreibung wie im Tagesgeschäft - transparente Leistung von den Compliance-Maßgaben bis hin zu den SLAs der Dienstleister wird durch Vereinbarung entsprechender SLAs in die Lage versetzt, Ihr Business besser zu verstehen. - Der Scope Ihrer Business-Anforderung sollte zur angebotenen Leistung im Rahmen des ISO/IEC Frameworks (ITIL) und in Kombination mit ISO/IEC stehen.

der Dienstleister wird durch Vereinbarung entsprechender SLAs in die Lage versetzt, Ihr Business besser zu verstehen.

19 noris network ist der ideale Outsourcing-Partner: fundiertes fachliches und Prozess-Know-How ITIL-Zertifizierung aller Mitarbeiter (auch non-it) persönliches Commitment, keine wechselnden Ansprechpartner modernste und geprüft sichere IT-Infrastruktur noris network garantiert schnellste Umsetzung und reibungslose Migration

persönliches Commitment, keine wechselnden Ansprechpartner modernste und geprüft

20 Besuchen Sie uns! Halle 12, Stand 404

Ähnliche Dokumente

Outgesourcter Applikationsbetrieb nach ISO/IEC 20000 beim Rechenzentrumsdienstleister Joachim Astel 17.10.2012

Outgesourcter Applikationsbetrieb nach ISO/IEC 20000 beim Rechenzentrumsdienstleister Joachim Astel 17.10.2012 datacenter.de ist eine Marke der noris network AG Was ist die ISO/IEC 20000 International