Sicherheitsempfehlungen für Cloud Computing Anbieter

Empfehlungen

Info

CLOUD COMPUTING | ANFORDERUNGEN AN DAS PERSONAL 11 Anforderungen an das Personal Informationssicherheit wird unmittelbar von den Personen getragen, die mit den jeweiligen Informationen umgehen. Daher ist es essentiell, dass das bei CSPs tätige Personal ausreichend eingearbeitet und zu allen eingesetzten Techniken ebenso geschult wird wie zu Informationssicherheit und Datenschutz. Personen, die sicherheitsrelevante Aufgaben ausüben wieAdministratorenundMitarbeitermitZugangzufinanzwirksamenoder vertraulichen Informationen, müssen vertrauenswürdig und zuverlässig sein. Vertrauenswürdiges Personal Die Möglichkeiten, die Vertrauenswürdigkeit von neuem oder fremdem Personal überprüfen zu lassen, sind in Deutschland, aber auch in vielen anderen Ländern, rechtlich sehr eingeschränkt. Dazu kommt, dass die Ergebnissemeistwenigaussagekräftigsind,wiez. B.beipolizeilichenFührungszeugnissen. Grundsätzlich sollte aber vor der Übernahme von neuen oder externen Mitarbeitern beim CSP überprüft werden, ob » diesehinreichendeReferenzenhaben,z. B.ausanderen,ähnlichen Arbeitsbereichen, und » der vorgelegte Lebenslauf des Bewerbers aussagekräftig und vollständig ist. Darüberhinauskannessinnvollsein,sichakademischeundberufliche Qualifikationenbestätigenzulassen,beispielsweisedurchNachfragenan der Universität oder früheren Arbeitgebern oder Kunden. Die Datenschutzgesetze sind bei der Überprüfung der Person aber in jedem Fall einzuhalten. Wenn ein CSP externes Personal einsetzt, das auf interne Anwendungen und Daten zugreifen kann, sollten vergleichbare Überprüfungen wie für eigene Mitarbeiter durchgeführt werden. Bei der Vertragsgestaltung mit externen Dienstleistern sollte vertraglich festgehalten werden, welche Seite solche Überprüfungen durchzuführen hat und in welcher Tiefe diese erfolgen. 63
CLOUD COMPUTING | ANFORDERUNGEN AN DAS PERSONAL Die Aufgabenverteilung und die hierfür erforderlichen Rollen sind so zu strukturieren, dass operative und kontrollierende Funktionen auf verschie denePersonenverteiltwerden,umInteressenkonfliktebeidenhandelnden Personen zu minimieren oder ganz auszuschalten. Zu achten ist auch auf Interessenkonflikte,dieauftretenkönnen,wenneinMitarbeitergleichzeitig verschiedene Rollen inne hat, die ihm zu weitreichende Rechte geben oder sich ausschließen. Zudem sollten die Aufgaben von Mitarbeitern nicht vonInteressenkonfliktenaußerhalbderBehördeoderdesUnternehmensbeeinträchtigt werden, beispielsweise durch frühere Stellen oder durch anderweitigeVerpflichtungen.EinrollenbasiertesRechtemanagement,dasnur Zugriff auf diejenigen Daten und Systeme zulässt, die zur Erfüllung der jeweiligen Aufgaben notwendig sind, bietet hier die notwendige organisatorische und technische Unterstützung. Alle Personen, die Zugang zu Kundendaten haben, sind in besonderem MaßeüberihrePflichtenimUmgangmitdiesenhinzuweisen.Auchbei Subunternehmen sollte auf die Auswahl und den Wissensstand des Personals geachtet werden. Das Personal ist über die bestehenden Regelungen und Handlungsanweisungen zur Informationssicherheit, zum Datenschutz sowie zum Umgang mit KundendatenzuunterrichtenundaufderenEinhaltungzuverpflichten. Schulungen Beim Cloud Computing werden viele neue Techniken und IT-Komponenten eingesetzt. Die Innovations- und Updatezyklen sind daher in diesem Bereich sehr kurz. Deshalb müssen CSPs ihre Mitarbeiter regelmäßig so schulen, dass sie alle eingesetzten Techniken, Komponenten und Funktionalitäten beherrschen. Die Mitarbeiter müssen aber auch alle Sicherheitsimplikationen rund um diese Techniken kennen und im Griff haben. Dies gilt insbesondere für den Personenkreis, der mit der Entwicklung und dem Betrieb von Cloud Services befasst ist. 64
Seite 1 und 2:
Eckpunktepapier Sicherheitsempfehlu
Seite 3 und 4:
CLOUD COMPUTING | INHALT 6 Kontroll
Seite 5 und 6:
CLOUD COMPUTING | VORWORT einerseit
Seite 7 und 8:
CLOUD COMPUTING | DAS BSI IM DIENST
Seite 9 und 10:
CLOUD COMPUTING | EINLEITUNG 1 Einl
Seite 11 und 12:
CLOUD COMPUTING | EINLEITUNG sowohl
Seite 13 und 14: CLOUD COMPUTING | EINLEITUNG Bei de
Seite 15 und 16: CLOUD COMPUTING | CLOUD COMPUTING G
Seite 23 und 24: 22 3 Sicherheitsmanagement beim Anb
Seite 25 und 26: CLOUD COMPUTING | SICHERHEITSMANAGE
Seite 27 und 28: CLOUD COMPUTING | SICHERHEITSMANAGE
Seite 29 und 30: CLOUD COMPUTING | SICHERHEITSARCHIT
Seite 43 und 44: 42 5 ID- und Rechtemanagement
Seite 45 und 46: CLOUD COMPUTING | ID- UND RECHTEMAN
Seite 47 und 48: 46 6 Kontrollmöglichkeiten für Nu
Seite 49 und 50: 48 7 Monitoring und Security Incide
Seite 51 und 52: CLOUD COMPUTING | MONITORING UND SE
Seite 53 und 54: 52 8 Notfallmanagement
Seite 55 und 56: CLOUD COMPUTING | NOTFALLMANAGEMENT
Seite 57 und 58: 56 9 Portabilität und Interoperabi
Seite 59 und 60: CLOUD COMPUTING | PORTABILITÄT UND
Seite 61 und 62: CLOUD COMPUTING | SICHERHEITSPRÜFU
Seite 63: 62 11 Anforderungen an das Personal
Seite 67 und 68: 66 12 Vertragsgestaltung
Seite 69 und 70: CLOUD COMPUTING | VERTRAGSGESTALTUN
Seite 71 und 72: CLOUD COMPUTING | VERTRAGSGESTALTUN
Seite 73 und 74: 72 13 Datenschutz und Compliance
Seite 75 und 76: CLOUD COMPUTING | DATENSCHUTZ UND C
Seite 77 und 78: CLOUD COMPUTING | DATENSCHUTZ UND C
Seite 79 und 80: 78 14 Ausblick
Seite 81 und 82: CLOUD COMPUTING | AUSBLICK Beeintr
Seite 83 und 84: CLOUD COMPUTING | GLOSSAR 15 Glossa
Seite 85 und 86: CLOUD COMPUTING | GLOSSAR SaaS SAML
Seite 87 und 88: CLOUD COMPUTING | REFERENZEN 16 Ref
Seite 89 und 90: 88 17 Dankesworte
Seite 91 und 92: CLOUD COMPUTING | DANKESWORT » Pir
Seite 93: www.bsi.bund.de
Alle anzeigen

Sicherheitsempfehlungen für Cloud Computing Anbieter

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?