Datensicherheits- und Datenschutzrichtlinien IBM Cloud-Services

Transkript

1 Datensicherheits- und Datenschutzrichtlinien IBM Cloud-Services

2 2 Datensicherheits- und Datenschutzrichtlinien: IBM Cloud-Services Inhalt 2 Übersicht 3 Governance 3 Sicherheitsrichtlinien 3 Zugangs-, Zugriffs-, Weitergabe- und Trennungskontrolle 4 Kontrollen der Serviceintegrität und Verfügbarkeitskontrolle 4 Protokollierung von Aktivitäten und Eingabekontrolle 5 Physische Sicherheit und Zutrittskontrolle 5 Auftragskontrolle 5 Compliance 5 Unabhängige Unterauftragsverarbeiter Übersicht IBM Cloud-Services umfassen Infrastruktur-, Plattform- und Softwareangebote. Für jeden Cloud- Service werden in Übereinstimmung mit den IBM Richtlinien technische und betriebliche Datensicherheits- und Datenschutzmaßnahmen implementiert, die der Architektur, der beabsichtigten Nutzung und dem bereitgestellten Servicetyp entsprechen. Abbildung 1 enthält eine Darstellung der allgemeinen Aufgabenverteilung in den einzelnen Servicetypen. IBM Cloud-Services IaaS PaaS SaaS Anwendungen Anwendungen Anwendungen Plattform Plattform Plattform Infrastruktur Infrastruktur Infrastruktur Vom Kunden verwaltet Von IBM verwaltet Abbildung 1: Angebotstypen für IBM Cloud-Services IBM Infrastructure-as-a-Service-Angebote (IaaS) stellen IT-Ressourcen zur Verfügung, auf denen Kunden Software, wie z. B. Betriebssysteme, Laufzeiten, Middleware und Anwendungen ihrer Wahl implementieren und ausführen können. IaaS- Kunden sind verantwortlich für die Anwendungen, Inhalte, Laufzeitumgebungen, Middleware und Betriebssysteme, die sie auf der IaaS-Lösung implementieren. Dies umfasst die Implementierung und das Management nicht physischer Datensicherheits- und Datenschutzmaßnahmen. Mit IBM Platform-as-a-Service-Angeboten (PaaS) können Kunden Cloud-Anwendungen unter Verwendung von Systemen, Netzwerken, Speicher, Laufzeitframeworks, Bibliotheken sowie Integrations- und Management-Tools, die Bestandteil des Service sein können, erstellen, implementieren und verwalten. PaaS-Kunden verwalten die Anwendungen und Inhalte, die sie auf der PaaS- Lösung implementieren. Dies umfasst die Implementierung und das Management von Datensicherheits- und Datenschutzmaßnahmen für ihre Anwendungen und Daten. IBM Software-as-a-Service-Angebote (SaaS) stellen standardisierte Anwendungen aus Cloud- Umgebungen bereit, für die IBM das Management der Implementierung, Verwaltung, Ausführung, Wartung und Sicherheit der Anwendungen, einschließlich der zugrunde liegenden Middleware, Plattformen und Infrastruktur übernimmt. SaaS- Kunden sind weiterhin für das Management ihrer Endbenutzer, die ordnungsgemäße Nutzung des IBM SaaS-Angebots und die Daten verantwortlich, die sie in Übereinstimmung mit den in der Vereinbarung für Cloud-Services enthaltenen Bedingungen verarbeiten. Unter Berücksichtigung ihrer eigenen Anforderungen müssen SaaS-Kunden beurteilen, ob die von IBM implementierten Standardmaßnahmen für Datensicherheit und Datenschutz für ihre Zwecke geeignet sind. Die speziellen Verpflichtungen von IBM in Bezug auf das Management der einzelnen Cloud-Services, unabhängig vom jeweiligen Servicetyp, sind in der betreffenden Vereinbarung zum Angebot festgelegt. Die Datensicherheits- und Datenschutzmaßnahmen, die unter anderem dafür konzipiert sind, IBM Cloud- Services vor Risiken wie zufälligem Verlust, unbefugtem Zugriff und unbefugter Verwendung von Kundendaten zu schützen, sind in der jeweils zutreffenden Servicebeschreibung festgelegt. Dies

3 Datensicherheits- und Datenschutzrichtlinien: IBM Cloud-Services 3 schließt alle konfigurierbaren Optionen und Services ein, die möglicherweise verfügbar sind. In diesem Dokument mit Datensicherheits- und Datenschutzrichtlinien sind die übergeordneten Richtlinien und Verfahren von IBM beschrieben, die durch Bezugnahme in jede Servicebeschreibung aufgenommen werden. Governance Die IT-Sicherheitsrichtlinien von IBM, die auf bestimmten unternehmensweiten Anweisungen basieren, werden von der IBM CIO-Organisation festgelegt und verwaltet und sind integraler Bestandteil der Geschäftstätigkeit von IBM. Die Einhaltung interner IT-Richtlinien ist obligatorisch und wird überprüft. Sicherheitsrichtlinien IBM Richtlinien zur Informationssicherheit werden mindestens jährlich überprüft und bei Bedarf optimiert, um mit den neuesten Sicherheitsrisiken Schritt zu halten und Aktualisierungen allgemein anerkannter internationaler Normen wie ISO/IEC und gerecht zu werden. IBM befolgt eine Reihe von verpflichtenden Anforderungen in Bezug auf die Überprüfung aller neu eingestellten Beschäftigten; dies gilt auch für Mitarbeiter mit Zeitvertrag. Diese Vorschriften gelten auch für alle 100 %igen Tochtergesellschaften und gemeinsamen Unternehmen. Die Anforderungen, die jederzeit geändert werden können, umfassen unter anderem die Überprüfung möglicher Vorstrafen und der Identität sowie zusätzliche Prüfungen, falls der Bewerber zuvor für eine staatliche Stelle gearbeitet hat. Jede IBM Gesellschaft ist für die Umsetzung der vorstehend genannten Anforderungen im Rahmen ihres Einstellungsverfahrens verantwortlich, sofern diese anwendbar und unter der jeweils geltenden Rechtsordnung zulässig sind. IBM Mitarbeiter sind verpflichtet, jährlich Schulungen für Sicherheit und Datenschutz abzulegen und jedes Jahr nachzuweisen, dass sie die Anforderungen von IBM in Bezug auf Unternehmensethik, Vertraulichkeit und Sicherheit gemäß den Angaben in den IBM Geschäftsgrundsätzen (Business Conduct Guidelines) einhalten. Sicherheitsvorfälle werden gemäß den IBM Richtlinien für das Management und die Behebung von Sicherheitsvorfällen gehandhabt, wobei die Anforderungen zur Meldung von Datenschutzverletzungen nach der jeweils geltenden Rechtsordnung berücksichtigt werden. Die zentralen Funktionen des globalen Managements von Cyber-Sicherheitsvorfällen bei IBM werden vom IBM Computer Security Incident Response Team (CSIRT) durchgeführt. Das CSIRT untersteht dem Management des IBM Chief Information Security Office und besteht aus Global Incident Managern und forensischen Analysten. Die Richtlinien des National Institute of Standards and Technology des US-Handelsministeriums (NIST) für den Umgang mit IT-Sicherheitsvorfällen liegen der Entwicklung zugrunde und bilden die Grundlage der globalen IBM Prozesse für das Management von Sicherheitsvorfällen. Das CSIRT stimmt sich mit anderen Funktionen bei IBM ab, um verdächtige Vorfälle zu untersuchen und ggf. einen entsprechenden Interventionsplan zu definieren und umzusetzen. Nachdem festgestellt wurde, dass ein Sicherheitsvorfall eingetreten ist, wird IBM umgehend alle betroffenen Cloud- Servicekunden benachrichtigen. Zugangs-, Zugriffs-, Weitergabe- und Trennungskontrolle Die Architektur der IBM Cloud-Services unterstützt die logische Trennung von Kundendaten. Interne Regeln und Maßnahmen trennen die Datenverarbeitung, wie z. B. das Einfügen, Ändern, Löschen und Übertragen von Daten in Übereinstimmung mit den vertraglich vereinbarten Zwecken. Der Zugriff auf Kundendaten (einschließlich personenbezogener Daten) ist nur für autorisierte Mitarbeiter in Übereinstimmung mit Richtlinien für die Aufgabentrennung, unter strikter Einhaltung der Richtlinien für das Identitäts- und Zugriffsmanagement und unter Überwachung

4 4 Datensicherheits- und Datenschutzrichtlinien: IBM Cloud-Services gemäß dem IBM internen Programm für die Überwachung und Prüfung privilegierter Benutzer zulässig. Die Berechtigung für privilegierten Zugriff von IBM ist individuell, rollenbasiert und regelmäßigen Prüfungen unterworfen. Der Zugriff auf Kundendaten wird auf den Umfang begrenzt, der für die Bereitstellung von Services und Support für den Kunden erforderlich ist (d. h. erforderliche Mindestberechtigung). Die Datenübertragung innerhalb des IBM Netzwerks erfolgt in einer festnetzgebundenen Infrastruktur und hinter Firewalls ohne Nutzung von Mobilfunknetzen. Auf Anforderung oder nach Beendigung des Service gemäß den in der Vereinbarung für Cloud-Services enthaltenen Bedingungen werden die Kundendaten in Übereinstimmung mit den NIST-Richtlinien für die Datenbereinigung unwiederbringlich gelöscht. Kontrollen der Serviceintegrität und Verfügbarkeitskontrolle IBM Cloud-Services werden vor der Freigabe für die Produktionsumgebung Penetrationstests und Scans zur Ermittlung von Sicherheitslücken unterzogen. Zudem führen IBM und autorisierte unabhängige Dritte regelmäßig Penetrationstests, Scans zur Ermittlung von Sicherheitslücken und präventives Hacken durch. Änderungen an Betriebssystemressourcen und Anwendungssoftware werden gemäß den Change- Management-Richtlinien von IBM durchgeführt. Änderungen an Netzwerkeinheiten und Firewallregeln unterliegen ebenfalls den Change- Management-Richtlinien und werden vor der Implementierung vom Sicherheitsteam gesondert geprüft. Die Services der IBM Rechenzentren unterstützen eine Vielzahl von Protokollen für die Übertragung von Daten über öffentliche Netze, wie z. B. HTTPS, SFTP und FTPS. Die Ressourcen der Produktionsrechenzentren werden von IBM systematisch rund um die Uhr (24x7) überwacht. Autorisierte Administratoren führen regelmäßig Scans zur Ermittlung interner und externer Schwachstellen durch, um potenzielle Risiken aufzudecken und zu beheben. Jeder IBM Cloud-Service verfügt über Business- Continuity- und Disaster-Recovery-Pläne, die in Übereinstimmung mit den Verhaltensregeln zur Informationssicherheit gemäß ISO (Code of Practice for Information Security Controls) entwickelt, gepflegt, überprüft und getestet werden. Zielvorgaben hinsichtlich Wiederherstellungspunkt und -zeit für die einzelnen Cloud-Services werden der jeweiligen Architektur und beabsichtigten Nutzung entsprechend festgelegt und in der Servicebeschreibung oder einem anderen Auftragsdokument dokumentiert. Sicherungsdaten, die zur Auslagerung an einen anderen Standort vorgesehen sind, werden vor dem Transport verschlüsselt. Maßnahmen bezüglich Sicherheitskonfiguration und Patch-Management werden regelmäßig durchgeführt und überprüft. Die IBM Infrastruktur unterliegt Konzepten für die Notfallplanung, wie z. B. Disaster- Recovery und Festplattenspiegelung. Business- Continuity-Pläne für die IBM Infrastruktur werden dokumentiert und regelmäßig erneut validiert. Protokollierung von Aktivitäten und Eingabekontrolle Die IBM Richtlinie sieht vor, dass Verwaltungszugriff und entsprechende Aktivitäten in den Datenverarbeitungsumgebungen der Cloud- Services protokolliert und überwacht werden, ferner sind die Protokolle in Übereinstimmung mit dem IBM Worldwide Record Management-Plan zu archivieren und aufzubewahren. Änderungen an Cloud-Services, die in der Produktion eingesetzt werden, werden in Übereinstimmung mit der IBM Change-Management-Richtlinie aufgezeichnet und verwaltet.

5 Datensicherheits- und Datenschutzrichtlinien: IBM Cloud-Services 5 Physische Sicherheit und Zutrittskontrolle Die IBM Standards für physische Sicherheit sind dazu ausgelegt, den unbefugten Zutritt zu RZ- Ressourcen zu verhindern. IBM Rechenzentren verfügen nur über eine begrenzte Anzahl von Eingängen, die durch Zutrittsleser kontrolliert und mit Kameras überwacht werden. Der Zutritt ist nur autorisierten Mitarbeitern gestattet. Anlieferungsbereiche und Ladedocks, über die unbefugte Personen in die Rechenzentren gelangen können, werden strikt kontrolliert. Lieferungen werden im Voraus geplant und unterliegen der Genehmigung autorisierter Mitarbeiter. Personen, die nicht dem Betriebs-, Anlagen- oder Sicherheitspersonal angehören, werden beim Betreten der Rechenzentren registriert und während ihres Aufenthalts dort begleitet. unabhängige Dritte nach Branchenstandard durchgeführt. Unabhängige Unterauftragsverarbeiter In Bezug auf IBM Cloud-Services kann es notwendig sein, dass unabhängige Unterauftragsverarbeiter im Rahmen der Erfüllung ihrer vertraglichen Pflichten auf Kundendaten zugreifen. Falls ein solcher unabhängiger Unterauftragsverarbeiter an der Bereitstellung eines Cloud-Service beteiligt ist, werden Informationen über ihn und seine Rolle auf Anforderung bereitgestellt. IBM fordert von allen Unterauftragsverarbeitern die Einhaltung von Standards, Verfahren und Richtlinien, damit das von IBM bereitgestellte Datensicherheits- und Datenschutzniveau beibehalten werden kann. Mitarbeiter, deren Arbeitsverhältnis geendet hat, werden von der Zutrittsliste gestrichen und müssen ihren Ausweis abgeben. Die Nutzung der Ausweise wird protokolliert. Auftragskontrolle Die Datenverarbeitung wird in Übereinstimmung mit der Vereinbarung für Cloud-Services durchgeführt, in der IBM die Bedingungen, Funktionalität, Unterstützung und Instandhaltung eines Cloud-Serviceangebots sowie Maßnahmen beschreibt, die ergriffen werden, um die Vertraulichkeit, Integrität und Verfügbarkeit von Daten in Kundenbesitz aufrechtzuerhalten. Compliance Die IBM Standards und Managementverfahren für Informationssicherheit in Bezug auf Cloud-Services sind auf die Norm ISO/IEC für Informationssicherheitsmanagement abgestimmt und halten die Verhaltensregeln zur Informationssicherheit gemäß ISO ein. IBM führt regelmäßig Prüfungen und Audits hinsichtlich der Einhaltung der Informationssicherheitsstandards durch. Außerdem werden in allen IBM Produktionsrechenzentren jährlich Prüfungen durch

6 6 Datensicherheits- und Datenschutzrichtlinien: IBM Cloud-Services IBM Deutschland GmbH IBM-Allee Ehningen ibm.com/de IBM Österreich Obere Donaustraße Wien ibm.com/at IBM Schweiz Vulkanstrasse Zürich ibm.com/ch IBM, das IBM Logo und ibm.com sind eingetragene Marken der IBM Corporation in den USA und/oder anderen Ländern. Weitere Produkt- und Servicenamen können Marken von IBM oder anderen Unternehmen sein. Eine aktuelle Liste der IBM Marken finden Sie auf der Webseite Copyright and trademark information unter ibm.com/legal/copytrade.shtml. Dieses Dokument ist zum Datum seiner Erstveröffentlichung aktuell und kann jederzeit von IBM geändert werden. Für IBM Produkte gelten die Gewährleistungen, die in den Vereinbarungen vorgesehen sind, unter denen sie erworben werden. Copyright IBM Corporation 2016 Bitte der Wiederverwertung zuführen