Sicherheitsempfehlungen für Cloud Computing Anbieter

Empfehlungen

Info

CLOUD COMPUTING | VERTRAGSGESTALTUNG Transparenz Offenlegung der Standorte des Cloud Service Anbieters (Land, Region), an denen die Kundendaten gespeichert und verarbeitet werden Offenlegung der Subunternehmer des Cloud Service Anbieters, die für die Erbringung der Cloud Services wesentlich sind Transparenz, welche Eingriffe der Cloud Service Anbieter oder Dritte in Daten und Verfahren der Kunden vornehmen dürfen Regelmäßige Unterrichtung über Änderungen (z. B.neueoderabgekündigteFunktionen,neue Subunternehmer, andere Punkte, die für das SLA relevant sind) Transparenz, welche Software durch den Cloud Service Anbieter aufseiten des Kunden installiert wird sowie über die daraus resultierenden Sicherheitserfordernisse/-risiken Private B C+ A+ Public B C+ A+ Transparenz bezüglich staatlicher Eingriffs- und Einsichtrechte, über gerichtlich festlegbare EinsichtrechteDritterundüberPrüfpflichtenzugespeicherten Daten durch den Cloud Service Anbieter an allen potenziellen Standorten Darlegung der Rechts- und Besitzverhältnisse des Cloud Service Anbieters sowie der Entscheidungsbefugnisse n/a n/a 12.2 Service Level Agreement (SLA) In einem SLA (Service Level Agreement) werden die Leistungen, die der CSP erbringt, vertraglich festgehalten. Im Fokus stehen in der Regel funktionale und juristische Gesichtspunkte. SLAs bestehen meistens aus allgemeinen sowie quantitativen Leistungsbeschreibungen. Der CSP muss nur die Funktionalitäten liefern, die in den SLAs vereinbart sind. Wer 69
CLOUD COMPUTING | VERTRAGSGESTALTUNG den zu einzelnen Punkten konkrete Werte angegeben, so müssen diese auch messbar sein, beispielsweise bei den Verfügbarkeitsanforderungen. Der CSP muss seinen Kunden die Möglichkeit geben, die Einhaltung der vereinbarten Werte zu überprüfen oder überprüfen zu lassen. Dazu kann der CSP diese Leistungsparameter seinen Kunden beispielsweise über spezielle Schnittstellen zugänglich machen. Wichtig sind auch Regelungen zum Gerichtsstandort, dem anwendbaren Recht sowie die Vertragssprache. Die Eigentums- und Urheberrechte an Daten, Systemen, Software und Schnittstellen sind festzulegen. Es sollten im SLA jedoch auch sicherheitsrelevante Inhalte festgehalten sein. SokannsichderCSPzubestimmtenSicherheitsmaßnahmenverpflichten (z. B.NutzungeinesIntrusionPreventionSystems).AuchwennderNutzerdies nicht sofort überprüfen kann, schafft eine Nennung von Sicherheitsmaßnahmen Vertrauen gegenüber dem CSP. Ebenso sollten Vertraulichkeitsvereinbarungen (Non-Disclosure-Agreements) vertraglich vereinbart werden. Dies kann auch in einem zusätzlichen Security-SLA geschehen. Setzt ein CSP Subunternehmer zur Erbringung der von ihm angebotenen Servicesein(z. B.wenneinSaaS-AnbieterIaaSvoneinemDrittennutzt), so kann vom CSP aus Vertrauen geschaffen werden, indem den Cloud- Nutzern die relevanten Aussagen zur Informationssicherheit und zur Dienstgüte aus den SLAs mit Drittanbietern offen gelegt werden. Im Falle einer Geschäftsverlagerung oder Insolvenz des CSP muss der Kunde noch auf seine Daten zugreifen können und die Vertraulichkeit der Daten sowie Verfügbarkeit der Anwendungen und Daten müssen weiter gewährleistet sein. Das deutsche Insolvenzrecht kennt hier Regelungen, die einzuhalten sind, um dies zu gewährleisten. Sollte der CSP nicht deutschem Recht unterliegen, sind die entsprechenden Vorschriften dem Kunden zu erläutern. CloudComputingAnbietersolltenverpflichtetwerden,nachBeendigungeines Auftrags alle gespeicherten Kundendaten inklusive Datensicherungen dem Kunden zu übergeben und alle gespeicherten Kundendaten zu löschen. 70
Seite 1 und 2:
Eckpunktepapier Sicherheitsempfehlu
Seite 3 und 4:
CLOUD COMPUTING | INHALT 6 Kontroll
Seite 5 und 6:
CLOUD COMPUTING | VORWORT einerseit
Seite 7 und 8:
CLOUD COMPUTING | DAS BSI IM DIENST
Seite 9 und 10:
CLOUD COMPUTING | EINLEITUNG 1 Einl
Seite 11 und 12:
CLOUD COMPUTING | EINLEITUNG sowohl
Seite 13 und 14:
CLOUD COMPUTING | EINLEITUNG Bei de
Seite 15 und 16:
CLOUD COMPUTING | CLOUD COMPUTING G
Seite 17 und 18:
CLOUD COMPUTING | CLOUD COMPUTING G
Seite 19 und 20: CLOUD COMPUTING | CLOUD COMPUTING G
Seite 21 und 22: CLOUD COMPUTING | CLOUD COMPUTING G
Seite 23 und 24: 22 3 Sicherheitsmanagement beim Anb
Seite 25 und 26: CLOUD COMPUTING | SICHERHEITSMANAGE
Seite 27 und 28: CLOUD COMPUTING | SICHERHEITSMANAGE
Seite 29 und 30: CLOUD COMPUTING | SICHERHEITSARCHIT
Seite 43 und 44: 42 5 ID- und Rechtemanagement
Seite 45 und 46: CLOUD COMPUTING | ID- UND RECHTEMAN
Seite 47 und 48: 46 6 Kontrollmöglichkeiten für Nu
Seite 49 und 50: 48 7 Monitoring und Security Incide
Seite 51 und 52: CLOUD COMPUTING | MONITORING UND SE
Seite 53 und 54: 52 8 Notfallmanagement
Seite 55 und 56: CLOUD COMPUTING | NOTFALLMANAGEMENT
Seite 57 und 58: 56 9 Portabilität und Interoperabi
Seite 59 und 60: CLOUD COMPUTING | PORTABILITÄT UND
Seite 61 und 62: CLOUD COMPUTING | SICHERHEITSPRÜFU
Seite 63 und 64: 62 11 Anforderungen an das Personal
Seite 65 und 66: CLOUD COMPUTING | ANFORDERUNGEN AN
Seite 67 und 68: 66 12 Vertragsgestaltung
Seite 69: CLOUD COMPUTING | VERTRAGSGESTALTUN
Seite 73 und 74: 72 13 Datenschutz und Compliance
Seite 75 und 76: CLOUD COMPUTING | DATENSCHUTZ UND C
Seite 77 und 78: CLOUD COMPUTING | DATENSCHUTZ UND C
Seite 79 und 80: 78 14 Ausblick
Seite 81 und 82: CLOUD COMPUTING | AUSBLICK Beeintr
Seite 83 und 84: CLOUD COMPUTING | GLOSSAR 15 Glossa
Seite 85 und 86: CLOUD COMPUTING | GLOSSAR SaaS SAML
Seite 87 und 88: CLOUD COMPUTING | REFERENZEN 16 Ref
Seite 89 und 90: 88 17 Dankesworte
Seite 91 und 92: CLOUD COMPUTING | DANKESWORT » Pir
Seite 93: www.bsi.bund.de
Alle anzeigen

Sicherheitsempfehlungen für Cloud Computing Anbieter

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?