CeSeC Certified Secure Cloud



Ähnliche Dokumente
Cloud-Computing. Selina Oertli KBW

Informationssicherheit und Cloud-Computing Was bei Migration und Demigration von Daten und Anwendungen in eine Cloud berücksichtigt werden sollte

Sicherheitsanalyse von Private Clouds

ERP-Evaluation systematisch und sicher zum optimalen ERP-System

ITIL & IT-Sicherheit. Michael Storz CN8

IT-Beauftragter der Bayerischen Staatsregierung IT-Sicherheitsstrukturen in Bayern

Pressekonferenz Cloud Monitor 2015

KURZVORSTELLUNG BAYERISCHES IT-SICHERHEITSCLUSTER

Freifunk Halle. Förderverein Freifunk Halle e.v. IT Sicherheitskonzept. Registernummer bei der Bundesnetzagentur: 14/234

ISIS12 Informations Sicherheitsmanagement System in 12 Schritten Informationssicherheit für den Mittelstand

InfoSEC AWARENESS RESSOURCEN BESTMÖGLICH NUTZEN. RISIKEN PRAKTIKABEL REDUZIEREN. InfoSEC Awareness Ein Workshop von ExpertCircle.

Klopotek goes Cloud computing Peter Karwowski. Frankfurt, 14. Oktober 2015

Kooperationsgruppe Informationssicherheit des IT-PLR. Leitlinie für die Informationssicherheit. in der öffentlichen Verwaltung

Der Support für Windows Server 2003 endet endgültig alles was Ihnen dann noch bleibt ist diese Broschüre.

Modul 3: Service Transition

IT- Wir machen das! Leistungskatalog. M3B Service GmbH Alter Sportplatz Lake Schmallenberg

Arbeitskreis EDV Büro 2.0 Neue Technologien - Möglichkeiten und Risiken

Cloud Computing mit IT-Grundschutz

ech-0199: ech- Beilage zu Hilfsmittel Cloud Referenzarchitektur für Anwender

synergetic AG Open House 2012 Ihr Unternehmen in der Wolke - Cloud Lösungen von synergetic

BCM Schnellcheck. Referent Jürgen Vischer

D i e n s t e D r i t t e r a u f We b s i t e s

Cloud Security geht das?

Verpasst der Mittelstand den Zug?

Software-Validierung im Testsystem

IT-Controlling als notwendiges Instrument für die Leitung eines Krankenhauses. Dr. Bernd Schütze, Gesellschaft für klinische Dienstleistungen

Richtlinie zur Vergabe von Domains im öffentlichen Interesse

Über uns. HostByYou Unternehmergesellschaft (haftungsbeschränkt), Ostrastasse 1, Meerbusch, Tel , Fax.

Agenda: Richard Laqua ISMS Auditor & IT-System-Manager

DATENSCHUTZBERATUNG. vertrauensvoll, qualifiziert, rechtssicher

Datenschutz und Informationssicherheit

ENTDECKEN SIE DIE VORTEILE VON SUBSCRIPTION SUBSCRIPTION-VERTRÄGE VERWALTEN

»d!conomy«die nächste Stufe der Digitalisierung

Cloud Computing Security

Prozessbewertung und -verbesserung nach ITIL im Kontext des betrieblichen Informationsmanagements. von Stephanie Wilke am

Cnlab / CSI Herbsttagung 2014 WAS IST CLOUD UND WAS NICHT?

Verlust von Unternehmensdaten?

Fachtagung Safety in Transportation Leitfaden für die IT Sicherheit auf Grundlage IEC 62443

Leitfaden. zur Einführung neuer Studiengänge

Wir empfehlen Ihnen eine zeitnahe Bewerbung, da in jedem Halbjahr nur eine limitierte Anzahl an Bündnissen bewilligt werden können.

Aktion zur ländlichen Entwicklung. Was ist das?

CeSeC Certified Secure Cloud

Aufgabenheft. Fakultät für Wirtschaftswissenschaft. Modul Business/IT-Alignment , 09:00 11:00 Uhr. Univ.-Prof. Dr. U.

Informationssicherheitsmanagement

Datenschutz und IT-Sicherheit in. Smart Meter Systemen. Unser Angebot für Smart Meter Gateway Administrator und Smart Meter CA

Mobile Endgeräte - Sicherheitsrisiken erkennen und abwehren

Pensionskasse des Bundes Caisse fédérale de pensions Holzikofenweg 36 Cassa pensioni della Confederazione

Delta Audit - Fragenkatalog ISO 9001:2014 DIS

GPP Projekte gemeinsam zum Erfolg führen

TelekomCloud Business Marketplace Easy-to-Partner Programm. Telekom Cloud Services

Richtlinien zur Vergabe von Domains im öffentlichen Interesse

Analyse und Optimierung das A&O des Marktdaten- Managements

Stand vr bank Südthüringen eg 1 von 10. Smart TAN plus Umstellungsanleitung VR-NetWorld Software

Tipps und Tricks zu Netop Vision und Vision Pro

EuroCloud Deutschland Confererence

Information zur Revision der ISO Sehr geehrte Damen und Herren,

Risikoanalyse mit der OCTAVE-Methode

Leichte Sprache Informationen zum Europäischen Sozialfonds (ESF) Was ist der Europäische Sozialfonds?

Einstieg in ein kommunales Informationssicherheits- Managementsystem (ISMS)

Umstieg auf Microsoft Exchange in der Fakultät 02

Risikomanagement in der Praxis Alles Compliance oder was?! 1. IT-Grundschutz-Tag

IDV Assessment- und Migration Factory für Banken und Versicherungen

statuscheck im Unternehmen

Im Spannungsfeld zwischen Fachaufgaben und IT-Betrieb

IT-SICHERHEIT IM UNTERNEHMEN Mehr Sicherheit für Ihre Entscheidung

MANAGED BUSINESS CLOUD. Individuell. Flexibel. Sicher.

Windows Azure Ihre Plattform für professionelles Cloud Computing

IT-Trend-Befragung Xing Community IT Connection

Probleme kann man nie mit derselben Denkweise lösen, durch die sie entstanden sind. Albert Einstein BERATUNG

Managed Services als strategische Lösung. Typische Aufgaben. Wir schaffen Ihnen Freiräume!

27001 im Kundendialog. ISO Wertschätzungsmanagement. Wie Wertschätzung profitabel macht und den Kunden glücklich

Content Management System mit INTREXX 2002.

MOBILE DEVICE MANAGEMENT BERATUNG Mehr Sicherheit für Ihre Entscheidung

Cordula E. Niklaus, Fürsprecherin ll.m. Anwaltskanzlei Niklaus, Zürich - niclaw

BI in der Cloud eine valide Alternative Überblick zum Leistungsspektrum und erste Erfahrungen

Kompaktseminar Mobile IT-Infrastrukturen Anforderungen an IT-Sicherheit, Datenschutz und Compliance

Mitarbeiterbefragung als PE- und OE-Instrument

GSM: Airgap Update. Inhalt. Einleitung

Anleitung zur Online-Schulung

MARKEN SICHER EFFIZIENT FÜHREN. Mit Cheque-B Ihre Markenportfolios überprüfen und an die aktuelle Unternehmensstrategie anpassen.

Öffentliche IT im Wandel

Sicherheit in der Cloud aus Sicht eines Hosting-Providers

Informations-Sicherheit mit ISIS12

Nicht über uns ohne uns

Gründe für fehlende Vorsorgemaßnahmen gegen Krankheit

IT-Sicherheitsmanagement bei der Landeshauptstadt München

WARENWIRT- SCHAFT UND ERP BERATUNG Mehr Sicherheit für Ihre Entscheidung

Treuhand Dialogik Cloud

9001 weitere (kleinere) Änderungen

Wenn Sie das T-Online WebBanking das erste Mal nutzen, müssen Sie sich zunächst für den Dienst Mobiles Banking frei schalten lassen.

Nokia Karten für S40 Bedienungsanleitung

Datendienste und IT-Sicherheit am Cloud Computing und der Datenschutz (k)ein Widerspruch?

How-to: Webserver NAT. Securepoint Security System Version 2007nx

Innovative Weiterbildungen zum Thema Unternehmenssicherheit

Managementbewertung Managementbewertung

EINFÜHRUNG DER erechnung

Identity & Access Management in der Cloud

Sicher ist sicher! itbank Hosting!

IT-Grundschutz praktisch im Projekt Nationales Waffenregister

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5

Transkript:

CeSeC Certified Secure Cloud - Der sichere Weg in die Cloud - 1 Bayerischer IT-Sicherheitscluster e.v. 05.10.2015

Was macht der Bayerische IT-Sicherheitscluster e.v.? Bündelung der IT-Sicherheits-Kompetenz in Bayern. Unterstützung der Zusammenarbeit von Einrichtungen und Initiativen zur Förderung der IT-Sicherheit in Unternehmen und öffentliche Verwaltungen. Förderung der Erforschung, Entwicklung, Anwendung und Vermarktung von IT-Sicherheitsverfahren. und wie? Netzwerke S3GEN - Netzwerk sicheres smart Grid ISIS12: In 12 Schritten zu einem ISMS ISA+: Mit 50 Fragen zur Informationssicherheit CeSeC: Certified Secure Cloud SensIT: Live Health Monitoring and Ambient Assisted Living Produkte und Dienstleistungen ISIS12: In 12 Schritten zu einem ISMS ISA+: Mit 50 Fragen zur Informationssicherheit CeSeC: Certified Secure Cloud - Der sichere Weg in die Cloud Weitere Informationen unter: http://www.it-sicherheit-bayern.de 2 Bayerischer IT-Sicherheitscluster e.v. 05.10.2015

Was sind die Charakteristiken des Cloud Computing? On-Demand Service Nutzer können die IT-Kapazitäten, die sie benötigen, selbstständig ordern und einrichten. Es wird das bezahlt, was benötigt wird. Rapid Elasticity Kapazitäten sind schnell und dynamisch verfügbar und können je nach Bedarf skaliert werden. Zuverlässigkeit und Ausfalltoleranz werden durch die vertragliche Bindung des Cloud-Service-Providers (CSP) garantiert. Die fortlaufende Qualitätskontrolle und -sicherung durch den CSP gewährleistet einen hohen Sicherheitsstandard. Broad Network Access standardbasierter Netzzugriff von verschiedenen Endgeräten (z.b. Smartphones, Tablets, Laptops, PCs) zu jeder Zeit und von jedem Ort aus. 3 Bayerischer IT-Sicherheitscluster e.v. 05.10.2015

Welche Liefermodelle gibt es im Cloud Computing? Hybrid Cloud: Eine Private Cloud, der im Bedarfsfall, beispielsweise bei einer erhöhten Auslastung, Ressourcen aus einer Public Cloud hinzugefügt werden. Community Cloud: Einer geschlossenen Gemeinschaft (z.b. Ämter und Behörden) wird eine Public Cloud zur Verfügung gestellt. Public Cloud: Steht öffentlich zur Verfügung und ist über das Internet zugänglich. Verschiedene Anwender teilen sich den Dienst. Private Cloud: Für eine Institution zur Verfügung gestellte dedizierte Cloud, die ausschließlich von dieser genutzt wird. 4 Bayerischer IT-Sicherheitscluster e.v. 05.10.2015

Was ist CeSeC Certified Secure Cloud? CeSeC ist ein Verfahrensmodell, anhand dessen die Planung und die Umsetzung der Auslagerung sowie der Betrieb von Anwendungen und Daten in eine sichere Private Cloud erfolgen kann. 5 Bayerischer IT-Sicherheitscluster e.v. 05.10.2015

Ganzheitliche Betrachtung nach CeSeC Technische Sicherheit Private Cloud Rechtliche Absicherung Organisatorische Sicherheit 6 Bayerischer IT-Sicherheitscluster e.v. 05.10.2015

Was sind die Bestandteile von CeSeC? Der Leitfaden ist ein Kompendium mit erklärenden Informationen zum Cloud Computing (Private Cloud) und zum Fragenkatalog. Der Fragenkatalog enthält alle relevanten Fragen, die vor dem Gang in die Private Cloud aus technischer, organisatorischer und rechtlicher Sicht geklärt werden müssen. Das Workbook ist ein Praxisleitfaden, der den zertifizierten CeSeC-Beratern zur Verfügung gestellt wird. 7 Bayerischer IT-Sicherheitscluster e.v. 05.10.2015

Was sind Cloud-spezifische Bedrohungen und Risiken? Datenpannen Datenverlust Nicht autorisierter Zugriff auf Benutzerkonten oder Dienste Unsichere Schnittstellen und APIs Angriffe auf die Verfügbarkeit von Diensten Böswillige Innentäter Missbrauch von Cloud-Diensten Mangelhafte Planung des Umstiegs auf Cloud-Dienste Verwundbarkeit aufgrund von Ressourcenteilung CeSeC: Was muss getan werden, um den Bedrohungen entgegenzuwirken und die Risiken zu minimieren? 8 Bayerischer IT-Sicherheitscluster e.v. 05.10.2015

Wie sieht der CeSeC-Weg in die sichere Private Cloud aus? Phasen Beteiligte 9 Bayerischer IT-Sicherheitscluster e.v. 05.10.2015

Wie sieht der CeSeC-Weg in die sichere Private Cloud aus? Phase 1: Initiierung Stufe: Vorbereiten Die Business Cases werden erarbeitet, analysiert und der erwartete Nutzen definiert. Stufe: Konzeptionieren Die auszulagernden Dienste/Anwendungen werden festgelegt. Ein Cloud-Service- Provider (CSP) wird ausgewählt. Phase 2: Steuerung Stufe: Planen Der Zeitplan zur Umsetzung wird bestimmt und die einzelnen Meilensteine und Arbeitspakete werden definiert. Stufe: Umsetzen Die Arbeitspakete werden umgesetzt und Dienste sowie Infrastrukturen in die Cloud ausgelagert. Phase 3: Prüfung Stufe: Betreiben Die Auslagerung ist abgeschlossen und der Betrieb beginnt. Übergabe an den Support. Stufe: Auditieren/Revision Prüfung der Wirksamkeit der umgesetzten Sicherheitsmaßnahmen. 10 Bayerischer IT-Sicherheitscluster e.v. 05.10.2015

Phase 1: Initiierung Stufe: Vorbereiten Business Cases definieren Eine Liste möglicher Anwendungen (entsprechend den ausgewählten Use Cases) für die Nutzung in einer Private Cloud liegt vor. Business Cases analysieren Risiken analysieren und bewerten Sicherheits- und Compliance-Anforderungen definieren Total Cost of Ownership (TCO) ermitteln Auswirkungen auf das Unternehmen/die Kommune evaluieren Rechtliche Rahmenbedingungen klären 11 Bayerischer IT-Sicherheitscluster e.v. 05.10.2015

Phase 1: Initiierung Stufe: Vorbereiten Business Cases definieren Business Cases analysieren Leitfaden Risiken analysieren und bewerten Sicherheits- und Compliance-Anforderungen definieren Total Cost of Ownership (TCO) ermitteln Auswirkungen Phase auf 1: das Initiierung Unternehmen Stufe: evaluieren Vorbereiten Rechtlichen Rahmenbedingungen klären Fragenkatalog Wurden die Risiken bestimmt, die betrachtet werden müssen? Reifegrad 0: Es wurden keine Risiken betrachtet. Reifegrad 2: Risiken wurden betrachtet. Die Risiken wurden nicht gewichtet und dokumentiert. Reifegrad 4: Die Risiken wurden betrachtet. Es wurden finanzielle, qualitative, technische und personelle Risiken identifiziert. Sie wurden gewichtet und dokumentiert. Die Risiken wurden mit den Entscheidern abgestimmt. Die Abstimmung wurde protokolliert. 12 Bayerischer IT-Sicherheitscluster e.v. 05.10.2015

Phase 1: Initiierung Stufe: Konzeptionieren Auszulagernde Use Cases festlegen Prozesse, Rollen und Verantwortlichkeiten sowie die auszulagernden Dienste und SLA sind definiert. Cloud Service Provider auswählen Abschluss eines Cloud-Vertrags Aspekte / Kriterien: Bezahlmodell Organisatorische Sicherheit Technische Sicherheit Rechtliche Rahmenbedingungen 13 Bayerischer IT-Sicherheitscluster e.v. 05.10.2015

CeSeC-Audit Der erste Schritt auf dem Weg in eine Certified Secure Cloud 14 Bayerischer IT-Sicherheitscluster e.v. 05.10.2015

Was ist das Ziel eines CeSeC-Audits? Standortbestimmung für die momentan bezogenen IT- Leistungen hinsichtlich technischer und organisatorischer Sicherheit sowie rechtlicher Absicherung. Aufzeigen von Optimierungspotenzialen. Festlegung von ersten Optimierungsmaßnahmen. 15 Bayerischer IT-Sicherheitscluster e.v. 05.10.2015

Was bekommen Sie vom CeSeC-Audit (1)? Wie sicher ist Ihre IT-Infrastruktur? Welche technischen Sicherheitsrisiken birgt Ihre jetzige IT-Infrastruktur? Welche organisatorischen Sicherheitsrisiken birgt Ihre jetzige IT-Leistungslieferung? Welche rechtlichen Risiken birgt Ihre jetzige IT-Leistungslieferung? Welche Maßnahmen aus technischer, organisatorischer und rechtlicher Sicht müssen Sie definieren und umsetzen, um eine nachhaltige Sicherheit der IT-Infrastruktur und der Leistungslieferung zu gewährleisten? 16 Bayerischer IT-Sicherheitscluster e.v. 05.10.2015

Was bekommen Sie vom CeSeC-Audit (2)? Welche Vorteile aus technischer, organisatorischer, rechtlicher und kostentechnischer Sicht bringt Ihnen eine sichere Private Cloud? Wie sieht ein Vorgehen aus, das Sie in eine sichere Private Cloud führt? 17 Bayerischer IT-Sicherheitscluster e.v. 05.10.2015

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback