Sven Thomsen - How to audit, how to certify?

Clouds : How to audit, how to certify? Clouds: Wie prüfen? Wie zertifizieren? Sven Thomsen

5-Minuten-Agenda
Kurz-Vorstellung ULD (entfällt! Infos: http:// www.datenschutzzentrum.de /)
Warum muss ich einen Dienst in der Cloud _vor_ der Nutzung prüfen?
Wie prüft man einen Dienst in einer Cloud?
Wie zertifiziert man aktuell einen Cloud-Dienst?
Wie sollte man einen Cloud-Dienst zertifizieren?
Clouds: Wie prüfen? Wie zertifizieren?

Warum prüfen?
Konzept der Verantwortlichkeit der Daten verarbeitenden Stelle
Verantwortlichkeit kann nicht per Vertrag auf Anbieter eines cloud-basierten Dienstes übertragen werden
Angebote vorab auf angemessene Sicherheitsmaßnahmen prüfen
„ Vertrauen “ gibt es im Bereich Datenschutz und Datensicherheit nicht
an die Stelle von Vertrauen treten Nachweise einer ordnungsgemäßen Datenverarbeitung schon

Wie prüft man einen Cloud-Dienst?
orientiert an Schichten
Infrastrukturebene: Räume, Gebäude, Klima, Brandschutz etc. -> klassische Vorgehensweise , vgl. Trusted Site Infrastructure, Uptime Data Center Tiers
Netzwerkebene : Router, Switches, Paketfilter, Proxies etc. -> etablierte Prüfmethoden zur Perimetersicherheit und Trennung interner Datenströme
Basis-Systeme -> Best-Practices und Security-Guides der Hersteller , CommonCriteria-evaluierte Konfigurationen

Wie prüft man einen Cloud-Dienst?
Virtualisierungsschicht -> Tja… Hmmm… Hypervisor-Sicherheit ist relativ neu, VMWare und Xen momentan Vorreiter, für AppEngine , Azure etc. keine etablierten Vorgehensweisen
Sicherheitsmanagement -> etablierte Standards ISO27001, BSI-Standards 100-1 bis 100-4
Wir müssen erprobte Prüfvorgehen auf cloud-basierte Dienste anwenden, brauchen aber spezielle Prüfkriterien für die Virtualisierungsschicht. Ideen? Wenn ja: Workshop!

Wiederverwendung von Prüfergebnissen?
Prüfungen sind aufwändig
erste Erfahrungen des ULD: Prüfung einer kleinen, private Cloud (IaaS) ~ 10 PT
Wie kann man die Investition in eine Überprüfung mehrfach nutzen?
als Aufsichtsbehörde? unter Aufsichtsbehörden?
als Anbieter eines cloud-basierten Dienstes?
als potentieller Kunde?

Bisheriger Ansatz: Zertifizierungen
ISO27001, BSI Grundschutz, TSI, EuroPriSe, ULD-Siegel ,…
öffentliches Kurzgutachten, detaillierte Beschreibung des Target Of Evaluation (ToE)
regelmäßige Rezertifizierung, regelmäßige Prüfung während der Laufzeit des Audits
Qualitätsmanagement über vergebene Zertifikate, interne Fortbildung der Prüfer
Aber immer noch: „ aufwändige Prüfung der Prüfung “
Kenntnis des Prüfstandards
Prüfung des ToE

Idee: „Elektronische Prüfsiegel“
Maschinenlesbare Prüfkataloge (Was ist zu prüfen?)
Maschinenlesbare Prüfberichte (Was wurde geprüft?)
Maschinenlesbare Bewertungen (Mit welchem Ergebnis?)
Maschinenlesbare Nachweise (Womit nachgewiesen?)
Maschinenlesbare Zertifikate (Wie lange gültig?, ToE?)
Ziele:
Durchgeführte Prüfungen und Zertifizierungen elektronisch verwertbar machen
Nachweise automatisiert führen
Sicherheitsniveau cloud-basierter Dienste nachvollziehbar gestalten

Vielen Dank für Ihre Aufmerksamkeit!
Kontaktdaten
Unabhängiges Landeszentrum für Datenschutz
Sven Thomsen
Holstenstraße 98
24103 Kiel
0431-988-1211
[email_address]

Sven Thomsen - How to audit, how to certify?

by CloudCamp Hamburg on Sep 20, 2010

Accessibility

Upload Details

Usage Rights

1 Embed 37

Statistics

Sven Thomsen - How to audit, how to certify? — Presentation Transcript