Vorgehensweisen und Kriterien zur Inanspruchnahme und Beschaffung von Cloud-Diensten der IT-Wirtschaft Beschluss des IT-Planungsrats.

Ähnliche Dokumente
BSI TR (RESISCAN) Ersetzendes Scannen einfach und sicher

DE 098/2008. IT- Sicherheitsleitlinie

Pragmatischer Umgang mit den wandelnden Anforderungen in KMU

Information ChCC Ergebnis der AG. Rechtliche Checkliste. zum Einsatz von Cloud Computing

Cloud : sicher. Dr. Clemens Doubrava, BSI. it-sa Nürnberg

Ein gemeinsamer erechnung-standard für Europa? - Das Zusammenwirken europäischer Vorgaben und nationaler Standards

Cloud Computing mit IT-Grundschutz

17. ÖV Symposium 2016 Praxisforum 3: Die E-Rechnung im Kontext des E-Government in NRW

Vereinbarung zur Auftragsdatenverarbeitung mit Kunde

Sicherheitsanalyse von Private Clouds

Datenschutz Hilfe oder Hemmnis beim Kinderschutz

Informationssicherheit in der öffentlichen Verwaltung. BfIS-Land Informationssicherheit in der Landesverwaltung

Gewinnabführungsvertrag

Service-Provider unter Compliance-Druck

Neues vom IT-Grundschutz: Ausblick und Modernisierung

Workshop zu Praxisfragen des IT-Sicherheitsrechts

Gesamtversorgungsvertrag. nach 72 Abs. 2 SGB XI

Cloud Computing aus Sicht von Datensicherheit und Datenschutz

Das IT-Sicherheitsgesetz Pflichten und aktueller Stand Rechtsanwalt Dr. Michael Neupert

GEFMA FM-Excellence: Lösungen für Betreiberverantwortung im Facility Management

Der Regierungsentwurf für ein E-Rechnungs-Gesetz

Nutzung der Business Class bei Auslandsdienstreisen Vergleich der Regelungen für Mitarbeiterinnen und Mitarbeiter der Obersten Bundesbehörden

Mitteilung zur Kenntnisnahme

Workshop Perspektiven einer soziale gerechten Beschaffung in Nordrhein-Westfalen 27. Januar 2015, Düsseldorf

Eignungsprüfung (Fachkunde, Leistungsfähigkeit und Zuverlässigkeit)

Butter bei die Fische!

GEHEIMHALTUNGSVERTRAG

Bevorzugte Vergabe an Integrationsprojekte bei Aufträgen der öffentlichen Hand?

III.2.3) Technische und berufliche Leistungsfähigkeit

TÜV NORD Akademie Personenzertifizierung. Zertifizierungsprogramm: Merkblatt Datenschutzbeauftragter (TÜV )

Leitfaden zum sicheren Betrieb von Smart Meter Gateways

I Auslegung des Erlasses

Datenschutz in Schulen

Leistungsbeschreibung. für die Beschaffungsmaßnahme

Risikomanagement - Prozessmodelle im Kontext von Verträgen Nutzen und Standards

Antrag auf Zertifizierung eines Informationssicherheitsmanagementsystems (ISMS) gem. ISO/IEC 27001:2013 und Fragebogen

Rahmenvertrag Einkauf nachfolgend Rahmenvertrag

Weiterentwicklung IT-Sicherheitskonzeption: Entwicklung neuer BSI-Grundschutz in den Kommunen

Fragenkatalog Nr. 1 vom

Gewinnabführungsvertrag

BSI-Modernisierung Grundschutz: Nicht Alt Nicht Neu Aber Anders. 27. September 2016 Simone Hock & Denny Dittrich

Vereinbarung. Sicherstellung des Schutzauftrages nach 72a SGB VIII

Cloud für Verwaltung - Vertrauen braucht Sicherheit

Art. 28 Abs. 1 UAbs. 2 der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995

Bewertungssystem Nachhaltiges Bauen (BNB) Außenanlagen von Bundesliegenschaften

Vereinbarung über den elektronischen Datenaustausch (EDI)

Leitlinie für die Informationssicherheit

ISO Zertifizierung

Mitteilung zur Kenntnisnahme

DATENSCHUTZ UND DATENSICHERHEIT IN ALTERSGERECHTEN ASSISTENZSYSTEMEN

BSI-IGZ zum. Phoenix Videokonferenzsystem. der. Phoenix Software GmbH

Mustervereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG - Rechenzentrum

Juristische Aspekte des Cloud Computing

Deutscher Städtetag 29. Forum Kommunikation und Netze,

Cloud Computing. Oliver Berthold und Katharina Wiatr, Berliner Beauftragter für Datenschutz und Informationsfreiheit. Dozenten

Ihre externen Datenschutzbeauftragten

Der Nationale Normenkontrollrat hat den Regelungsentwurf geprüft.

Inhouse-Verkabelung - Stand der Überlegungen i.r.d. TKG-Novelle

Vertrag für ein ERASMUS-Praktikum Projekt DE-2007-ERA/MOB-KonsZuV01-CO07

Unternehmensvorstellung

I. Art und Umfang der Leistung 1 VOB/B

Datenschutz & IT. Wir unterstützen Sie bei Fragen der IT-Sicherheit und des Datenschutzes. Datenschutz & IT. Lothar Becker

RmCU V 4.0 DIN Rail RmCU V 3.4 DIN Rail / Compact

Jahrestagung E-Akte 19. November 2014 Wege aus der Projektfalle Ein pragmatischer Ansatz zur E-Akte

EuroCloud Deutschland_eco e.v Zertifizierung von Cloud-Diensten Anspruch und Wirklichkeit

Shell Datenschutzrichtlinie

7 Gründe für die AEB-Cloud

Vereinbarung über die Anforderungen an die technischen Verfahren zur Videosprechstunde gemäß 291g Absatz 4 SGB V. zwischen

Bilder jetzt online bestellen - Hochzeit, eine Übersicht unserer Arbeiten.

Hinweise zur Bereitstellung der Referenzdokumente im Rahmen der Zertifizierung nach ISO auf der Basis von IT- Grundschutz. Version 1.

EINLEITUNG... 1 GANG DER UNTERSUCHUNG...3 DATENSCHUTZ IM MULTINATIONALEN KONZERN...5 A. BESTIMMUNG DER WESENTLICHEN BEGRIFFE Datenschutz...

Auftrag gemäß 11 BDSG zur Vernichtung von Datenträgern nach DIN 66399:2012

Cloud-Computing/SaaS und Datenschutz: zwei Gegensätze?

Datenschutz und Cloud

PEFC SCHWEIZ NORMATIVES DOKUMENT ND 003. Anforderungen zur Zertifizierung auf Ebene eines Betriebes

ZTG Zentrum für Telematik und Telemedizin GmbH Dipl.-Soz.Wiss. Lars Treinat. ZTG GmbH. Partner des

Vertrauensbildung durch

Landesfeuerwehrschule BW: Beschaffung von Feuerwehrfahrzeugen. Manfred Hafner: Vergaben nach VOL/A Worauf kommts an, was sollten Sie wissen

Die erheblichen Einflüsse der Datenschutz-Grundverordnung auf die IT

Orientierungshilfe. Datenschutz und Datensicherheit in Projekten: Projekt- und Produktivbetrieb

Das neue it-sicherheitsgesetz - segen oder fluch? Jens Marschall Deutsche Telekom AG, Group Security Governance

Leistungsportfolio Security

Gerichtliche Geld- und Werthinterlegung: modern und. effizient

D-Biberach: Elektrizität 2012/S Auftragsbekanntmachung. Lieferauftrag

Die neue Grundverordnung des europäischen Datenschutzes

Stabsstelle Datenschutz. Mustervereinbarung zur Datenverarbeitung im Auftrag einer nicht öffentlichen Stelle...

Richtlinien der Gemeinde Remshalden über faire Beschaffung

Verpflichtungsgesetz

GPP Projekte gemeinsam zum Erfolg führen

ISMS und Sicherheitskonzepte ISO und IT-Grundschutz

IT Operations Day. Themenschwerpunkt: Cloud Computing. 6. Mai 2010 Ernst-Reuter Haus Berlin. Veranstalter

Ausbildung zum Compliance Officer Mittelstand

Prüfordnung. für die Güteprüfungen bei Dienstleistern für die betriebsärztliche Betreuung

chancen der digitalisierung Überblick Rechtliche Aspekte des cloudcomputing

Erfahrungen der. DQS GmbH. bei der Zertifizierung von Medizinprodukteherstellern

Vereinbarung zur Auftragsdatenverarbeitung nach 11 Bundesdatenschutzgesetz (BDSG)

Verschwiegenheitsvereinbarung. zwischen. Muster VC Aktiengesellschaft vertreten durch den Vorstand Fred Mustermann. und. Firma xy. und.

QM nach DIN EN ISO 9001:2015. copyright managementsysteme Seiler Tel:

Der niedersächsische Weg das Beste aus zwei Welten

Datenschutzgerechtes CloudComputing -Risiken und Empfehlungen -

Transkript:

Vorgehensweisen und Kriterien zur Inanspruchnahme und Beschaffung von Cloud-Diensten der IT-Wirtschaft Beschluss des IT-Planungsrats vom 13. Oktober 2016 Stand: 30. August 2016

I Vorbemerkungen i. Im Zuge der technischen Verfügbarkeit von Cloud-Technologien, der zunehmenden Standardisierung von Prozessen in der öffentlichen Verwaltung und den gestiegenen Anforderungen an die Kosteneffizienz von IT-Dienstleistungen fordert die öffentliche Verwaltung die Bereitstellung von Cloud-Dienstleistungen. ii. Die Nutzung von Cloud Diensten ist strategischer Natur. Der Einsatz von Cloud-Diensten durch die öffentliche Verwaltung erfordert die Prüfung der Schutzbedürftigkeit der Daten und Anwendungen sowie die sorgfältige Abwägung von Risiken unter anderem für die IT -Sicherheit, der wirtschaftlichen und praktischen Folgen sowie die entsprechenden Mehrwerte. iii. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) definiert Cloud Computing wie folgt: Cloud Computing bezeichnet das dynamisch an den Bedarf angepasste Anbieten, Nutzen und Abrechnen von IT-Dienstleistungen über ein Netz. Angebot und Nutzung dieser Dienstleistungen erfolgen dabei ausschließlich über definierte technische Schnittstellen und Protokolle. Die Spannbreite der im Rahmen von Cloud Computing angebotenen Dienstleistungen umfasst das komplette Spektrum der Informationstechnik und beinhaltet unter anderem Infrastruktur (z. B. Rechenleistung, Speicherplatz), Plattformen und Software. Auf dieser Basis sind die Empfehlungen des BSI und des Arbeitskreises der Datenschützer in die nachfolgenden Kriterien eingeflossen. iv. Vor diesem Hintergrund legt der IT-PLR folgende Kriterien zur Nutzung von Cloud- Diensten fest, die auch dazu dienen sollen, Angebote unterschiedlicher Cloud- Dienstleister miteinander hinsichtlich Wirtschaftlichkeit, Leistung und Schutzbedarf besser vergleichen zu können: II Vorgehensweisen und Kriterien 1. Vor Inanspruchnahme und Beschaffung von Cloud-Diensten der IT-Wirtschaft ist zu prüfen, ob vergleichbare und anforderungsgerechte Leistungen bereits durch die Einrichtungen der öffentlichen Verwaltung selbst oder im Auftrag dieser durch Dritte bereitgestellt werden. Dies schließt bundes- und landeseigene sowie kommunale Inhouse-Gesellschaften mit ein. Die Nutzung dieser Cloud-Dienste ist der Beschaffung neuer Cloud-Dienste vorzuziehen soweit dies wirtschaftlich sinnvoll und rechtlich zulässig ist. 2

2. Die Einrichtungen der öffentlichen Verwaltung werden ihre Planungen, Bedarfsbeschreibungen und Vergaben sowie die Nutzung von Cloud-Diensten nach folgenden Grundsätzen ausrichten: a. Von den Einrichtungen der öffentlichen Verwaltung gehaltene schützenswerte Informationen (z. B. Informationen aus Verfahren mit hohem oder sehr hohem Schutzbedarf, Betriebs- und Geschäftsgeheimnisse sowie sensible Daten über IT- Infrastrukturen) dürfen ausschließlich in Deutschland gespeichert und verarbeitet werden. Cloud-Anbieter sollen ein dafür geeignetes Betriebsmodell vorweisen. Sie müssen eine Vertraulichkeitsvereinbarung abschließen, nach der diese Daten nicht in den Bereich fremdstaatlicher Offenbarungspflichten und Zugriffsmöglichkeiten gelangen dürfen, die sich außerhalb der Bundesrepublik Deutschland gegen Cloud-Anbieter richten können. b. Werden von einem Cloud-Anbieter Daten in Deutschland gespeichert und/oder verarbeitet, die Privat- oder Dienstgeheimnisse gemäß 203 und 353b StGB enthalten, ist darüber hinaus durch geeignete technische und organisatorische Regelungen in einem Sicherheitskonzept sicherzustellen, dass diese Daten nicht unbefugt Dritten offenbart werden. Unbefugt ist eine Offenbarung insbesondere, wenn durch sie gegen gesetzliche Anforderungen des Datenschutzrechts sowie der 203 und 353b StGB verstoßen wird. Die IT-Unterstützung für die Verarbeitung von Verschlusssachen (im Allgemeinen nur bis VS-NfD zulässig) unterliegt zudem den Regelungen der Verschlusssachenanweisung (VSA des Bundes oder der Länder). Bei der Verarbeitung personenbezogener Daten sind die gesetzlichen Vorgaben zum Datenschutz sowie die entsprechenden Nachweispflichten des Cloud-Anbieters zur Einhaltung des technischen und organisatorischen Datenschutzes zu beachten. c. Zur Vermeidung von Lock-in-Effekten, wirtschaftlich ausnutzbaren Abhängigkeiten und um den Austausch von Anbietern in wettbewerblicher Vergabe zu ermöglichen, sind in möglichst hohem Maße Cloud-Lösungen auf Basis offener Standards der Vorzug zu geben. Die Planungen zur Nutzung von Cloud-Diensten haben zu berücksichtigen, dass stets mehrere Anbieter am Markt zur Verfügung stehen, die die Aufgaben des ursprünglich beauftragten Anbieters übernehmen können. Das gilt besonders für folgende Fälle: Schlechtleistung, Unzuverlässigkeit oder Insolvenz eines Cloud-Anbieters; Austausch von Subunternehmern, zu Gunsten solcher, die nicht die bei Vergabe geforderte Zuverlässigkeit und Vertrauenswürdigkeit haben; Eingliederung des Cloud-Anbieters in ein anderes Unternehmen oder einen anderen Konzern oder sonstige Fälle des Wechsels des wirtschaftlichen 3

Eigentums an ihm, wenn infolge dessen die geforderte Zuverlässigkeit und Vertrauenswürdigkeit nicht mehr besteht oder nicht mehr in der bei Vertragsschluss geforderten Weise belegt ist; Kündigung des Vertragsverhältnisses aus wichtigem Grund oder regulärem Ende einer Vertragslaufzeit. d. Bei den Planungen zur Inanspruchnahme von Cloud-Diensten der IT-Wirtschaft sind in Wirtschaftlichkeitsbetrachtungen auch angemessene Bewertungen mit Kostenschätzungen und Annahmen zu Risiken hinsichtlich der Wirtschaftlichkeit, Zuverlässigkeit und Sicherheit zu treffen. Hierzu zählen neben den Kosten für die Nutzung des Cloud-Dienstes insbesondere: weitere Kosten auf Seiten des Cloud-Anwenders, hier vor allem o Schulung der Mitarbeiter und Administratoren, o Vorhalten von IT-Know-how zum Cloud-Dienst, o Verwalten und Überwachung des Cloud-Dienstes, Migrationskosten zum Cloud-Dienst, Aufwände für Migrationsszenarien, die ein gegebenenfalls notwendiger Anbieterwechsel gemäß Ziffer 2 c. erzeugen könnte oder die Kosten einer gegebenenfalls notwendigen Wiederaufnahme des Eigenbetriebs durch die Wiederbereitstellung von Personal und Sachmitteln ( Insourcing ). e. Zur Absicherung der Verfügbarkeit als Teil der IT-Sicherheit erfolgt eine Beauftragung von Cloud-Diensten nur unter vertraglicher Vereinbarung von deutschem Recht und Gerichtsstand sowie ohne obligatorisch vorab zu betreibende Schlichtungsverfahren. Es ist zu gewährleisten, dass bei gegebenenfalls notwendigem Rechtsschutz beziehungsweise Eilrechtsschutz keine Zeitverluste eintreten, zum Beispiel durch eine Einarbeitung in fremde Rechtsordnungen oder ein Auftreten vor entfernt gelegenen Gerichten, so dass die jeweilige Behörde handlungsfähig bleibt und ihre Forderungen effektiv durchsetzen kann. In Bezug auf die Nutzung der Cloud-Dienste werden zur Absicherung der Verfügbarkeit außerdem keine kurzfristigen einseitigen Kündigungsrechte oder Zurückbehaltungsrechte an den Leistungen zu Lasten des Auftraggebers akzeptiert. f. Soweit im Zusammenhang mit der Nutzung von Cloud-Diensten Software zu erwerben ist (zum Beispiel auch zum Fremdbetrieb) sind kurzfristig einseitig ausübbare Kündigungs- oder Widerrufsmöglichkeiten seitens des Anbieters auszuschließen g. Vor jeder Beschaffung ist der Schutzbedarf der gespeicherten bzw. verarbeiteten Daten festzustellen. Auf Basis dieser Schutzbedarfsfeststellung ist eine 4

Risikoanalyse zur Nutzung des beabsichtigen Cloud-Dienstes anzufertigen, in der die unter Ziffer 2 c. und 2 d. genannten Gesichtspunkte berücksichtigt werden. Eine Beauftragung kann nur erfolgen, wenn die Umsetzung der Sicherheitsanforderungen sowie angemessene Kontrollmöglichkeiten dargelegt und vertraglich zugesichert werden (vgl. auch Ziffer 5). h. Der Cloud-Anbieter hat für die Bereitstellung der relevanten Dienste (inklusive der dazu notwendigen infrastrukturellen, organisatorischen, personellen und technischen Komponenten) eine ausreichende Informationssicherheit durch ein gültiges Zertifikat ISO 27001 auf der Basis von IT-Grundschutz oder durch ein gleichwertiges BSI-Verfahren bzw. vom BSI anerkanntes Verfahren nachzuweisen. Der Cloud-Anbieter muss einen Ansprechpartner für Informationssicherheit, Datenschutz und Geheimschutz benennen, der vom Auftraggeber direkt erreicht werden kann. Die Verpflichtung zur Erfüllung von Sicherheitsvorgaben muss vom Cloud- Anbieter auch an etwaige Subunternehmer weitergegeben und von diesen vertraglich übernommen und erfüllt werden. Der Cloud-Anbieter muss (gegebenenfalls unter einer Vertraulichkeitsvereinbarung) dem Auftraggeber Einblick in die zum Erlangen des Zertifikats erstellten Audit-Reports gewähren. Der Cloud-Anbieter hat die an der Cloud-Dienstleistung beteiligten Subunternehmer dem Auftraggeber zu offenbaren. Für einen hohen Schutzbedarf richten sich die Maßnahmen der Informationssicherheit nach einer eingehenden Risikoanalyse, wie sie gemäß BSI- Standard 100-2 i.v.m. 100-3 gefordert wird sowie nach den gemäß der Einschätzung des Bedarfsträgers zusätzlich erforderlichen Maßnahmen. Insbesondere kann die Beschaffungsstelle auf Grundlage der Risikoanalyse gemäß Ziffer 3h), auch auf Veranlassung des Bedarfsträgers, im Einzelfall den Nachweis strengerer Anforderungen verlangen. i. Cloud-Anbieter müssen ein Notfall-Management basierend auf dem BSI-Standard 100-4 oder der Norm ISO 22301 nachweisen. Abweichungen von diesen Grundsätzen müssen sich auf besonders begründete Ausnahmen beschränken. 3. Die Grundsätze in Ziffer 2 dieses Beschlusses gelten für die IT-Unterstützung und Aufgabenerfüllung im Inland. Aufgrund der besonderen Anforderungen sind für die Informationstechnik des Auswärtigen Amts, des Bundesministeriums für Verteidigung sowie des Bundesnachrichtendienstes und anderer, im Auftrag der Bundesregierung oder der Landesregierungen im Ausland tätigen Behörden Abweichungen möglich. 5

4. Weitergehende gesetzliche Regelungen, zum Beispiel zum Umgang mit personenbezogenen Daten, oder spezielle Regelungen zum Geheimschutz (zum Beispiel VSA) bleiben von diesem Beschluss unberührt. Zudem bleibt es den Mitgliedern des IT- Planungsrats unbenommen, weitergehende Anforderungen an die Nutzung von Cloud- Diensten festzulegen. 5. Bei der Inanspruchnahme von Cloud-Dienstleistungen und Cloud Service Providern sind die Handlungsempfehlungen für die Ausschreibung, die Vergabe und den Betrieb von öffentlichen Aufträgen in der Cloud und/oder der Anforderungskatalog Cloud Computing - Kriterien zur Beurteilung der Informationssicherheit von Cloud-Diensten des BSI zu verwenden. 6

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback