Sicherheitssitzung

1. Sicherheitssitzung 2. Halbjahr 2013 Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung,

2. PROGRAMM • Präsentation des Beraters • Summarischer Überblick der Standesregeln der Mitglieder des Sozialhilferats • Richtlinien der ZDSS für die Clouds (noch nicht offiziell zugelassen von der dafür eingerichteten Sicherheitsgruppe). • Windows 365: kurzer Überblick. • Neue Methode zur Ernennung des Sicherheitsberaters Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung,

3. Zu erörternde Fragen oder Themen Sie sind gefragt!

4. PRÄSENTATION DES SICHERHEITSBERATERS 1 DIE MITGLIEDER DES SOZIALHILFERATS WISSEN NICHT • was Informationssicherheit ist; • was ein Sicherheitsberater ist; • was sie beachten müssen, um die Mindestnormen einzuhalten. Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung,

5. PRÄSENTATION DES SICHERHEITSBERATERS 2 Informationssicherheit bedeutet: - die Vorbeugung und die schnelle und effiziente Wiederherstellung der Beschädigungen von sozialen Daten - und der ungerechtfertigten Verletzung der Privatsphäre der Betroffenen. Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung,

6. PRÄSENTATION DES SICHERHEITSBERATERS 3 Der Informationssicherheitsdienst überwacht im öffentlichen Sozialhilfezentrum (ÖSHZ) die Beachtung der Sicherheitsvorschriften, die durch gesetzliche Anordnung auferlegt wurden. Königlicher Beschluss vom 12.08.1993 Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung,

7. PRÄSENTATION DES SICHERHEITSBERATERS 4 • Der Informationssicherheitsdienst hat eine • Begutachtungs-, • Förderungs-, • Dokumentations-, • und Kontrollaufgabe. Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung,

8. PRÄSENTATION DES SICHERHEITSBERATERS 5 Der mit der Informationssicherheit beauftragte Dienst berät den für die tägliche Geschäftsführung Verantwortlichen (Generaldirektor – Sekretär) seines ÖSHZ auf dessen Anfrage hin oder auf eigene Initiative, bei allen Aspekten zum Thema Informationssicherheit. Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung,

9. PRÄSENTATION DES SICHERHEITSBERATERS 6 Außer wenn die Risiken nicht groß genug sind, werden die Begutachtungen schriftlich und begründet abgegeben. Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung,

10. PRÄSENTATION DES SICHERHEITSBERATERS 7 • In der Frist ... von höchstens drei Monaten, entscheidet sich der Beauftragte für die tägliche Geschäftsführung: • die Begutachtungen zu befolgen oder nicht und er unterrichtet den Informationssicherheitsdienst über seine Entscheidung. • Wenn die Entscheidung von einer schriftlichen Begutachtung abweicht, muss sie schriftlich und mit Begründung abgegeben werden. Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung,

11. PRÄSENTATION DES SICHERHEITSBERATERS 8 • Der Informationssicherheitsdienst fördert die Beachtung der … vorschriftsmäßigen Sicherheitsregeln und die Annahme eines sicherheitsfördernden Verhaltens durch die in der Einrichtung angestellten Personen. Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung,

12. PRÄSENTATION DES SICHERHEITSBERATERS 9 • Der Informationssicherheitsdienst sammelt die nützliche Dokumentation diesbezüglich. Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung,

13. PRÄSENTATION DES SICHERHEITSBERATERS 10 • Der Sicherheitsberater überwacht innerhalb der ÖSHZ die Beachtung der gesetzlichen oder vorschriftsmäßigen Sicherheitsregeln ... Alle festgestellten Verletzungen werden schriftlich und ausschließlich dem Beauftragten der täglichen Geschäftsführung der Einrichtung, mit den notwendigen Begutachtungen zur Vorbeugung von zukünftigen Verletzungen, mitgeteilt. Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung,

14. PRÄSENTATION DES SICHERHEITSBERATERS 11 • Die Sicherheitsberater und ihre eventuellen Stellvertreter können aufgrund der geäußerten Meinungen oder der im Rahmen der korrekten Ausführung ihrer Funktion vorgenommenen Handlungen nicht ihrer Funktion enthoben werden. Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung,

15. PRÄSENTATION DES SICHERHEITSBERATERS 12 • Der Informationssicherheitsdienst untersteht den direkten Weisungen der für die tägliche Geschäftsführung des ÖSHZ verantwortlichen Person. Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung,

16. PRÄSENTATION DES SICHERHEITSBERATERS 13 • Er arbeitet eng mit den Diensten zusammen, bei denen seine Mitwirkung erforderlich ist oder erforderlich sein kann, insbesondere: • mit dem Informatikdienst; • mit dem IDGS. Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung,

17. PRÄSENTATION DES SICHERHEITSBERATERS 14 • Der Sicherheitsberater erstellt einen Entwurf eines Sicherheitsplanes für einen Zeitraum von 3 Jahren, zu Händen des Beauftragten für die tägliche Geschäftsführung, in dem er auf Jahresbasis die erforderlichen Mittel zur Realisierung des Plans aufstellt. Dieser Plan wird mindestens ein Mal pro Jahr überprüft und ggf. angepasst. Der Entwurf des Sicherheitsplans gilt als Begutachtung Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung,

18. PRÄSENTATION DES SICHERHEITSBERATERS 15 • Der Informationssicherheitsdienst erstellt einen Jahresbericht zu Händen des Beauftragten für die tägliche Geschäftsführung der Einrichtung. Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung,

19. PRÄSENTATION DES SICHERHEITSBERATERS 16 • Die Aufgaben des Informationssicherheitsdienstes, wie definiert, beziehen sich auch auf die durch Vermittlung Dritter (Softwarehäuser, Gemeindeverwaltung, usw.) im Auftrag von des ÖSHZ gespeicherten, bearbeiteten oder ausgetauschten personenbezogenen Sozialdaten. Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung,

20. PRÄSENTATION DES SICHERHEITSBERATERS 17 Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung,

21. Summarischer Überblick der Standesregeln der Mitglieder des Sozialhilferats • Quelle: http://www.uvcw.be/articles/33,38,38,0,2207.htm • Die Achtung der Privatsphäre • A. Das Geheimnis Innerhalb des ÖSHZ ist die Einhaltung des Berufsgeheimnisses eine zwingende soziale Notwendigkeit. Die Verpflichtung zum Berufsgeheimnis ist zunächst festgelegt durch den Artikel 458 des Strafgesetzbuchs, • Alle während der Ausübung des Berufs oder des Mandats erhaltenen oder festgestellten Informationen fallen unter das Berufsgeheimnis. Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung,

22. Summarischer Überblick der Standesregeln der Mitglieder des Sozialhilferats • Das Grundlagengesetz vom 08.07.1976 zu den ÖSHZ legt außerdem fest, dass: • die Mitglieder des Sozialhilferats sowie jede andere Person, die aufgrund des Gesetzes an Versammlungen des Rats, des Ständigen Büros und der Sonderausschüsse teilnimmt, sind an das Berufsgeheimnis gebunden (Art. 36, Abs. 2); • diese Anordnungen gelten auch für die das Personal des ÖSHZ (Art. 50). Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung,

23. Summarischer Überblick der Standesregeln der Mitglieder des Sozialhilferats • Daher sind innerhalb des ÖSHZ nicht nur die Sozialarbeiter, sondern das gesamte Personal (darunter auch Hilfspersonal) und die Bevollmächtigten, an das Berufsgeheimnis gebunden. Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung,

24. Summarischer Überblick der Standesregeln der Mitglieder des Sozialhilferats • Die Ratsmitglieder und Personen, die an der Versammlung teilnehmen können, dürfen daher weder den Inhalt der Diskussionen, der Beratungen und Beschlüsse, die Statements, Meinungen und Haltungen, noch die Art weitergeben, auf welche die Abstimmung durchgeführt wurde, da dies für Antragsteller erfolgte. Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung,

25. RAT • Zunächst einmal mit Ihrem Sekretär und Ihrem Präsidenten prüfen: • das Interesse, auf die Regeln und Vorschriften hinzuweisen, • den Inhalt, • die Art und Weise (sehr didaktisch wenn möglich und sehr einfach).

26. Sicherheitsrichtlinien, die die Clouds betreffen: Risiken 1 • Der Verlust des Steuerungssystems der Behandlung. • Der Verlust der Überprüfbarkeit des Dienstanbieters aufgrund von Fehlern bei der Verwaltung der Subunternehmer bzw. der Auftragsverarbeiter. • Die technologische Abhängigkeit des ÖSHZ gegenüber dem Lieferanten des Cloud Computing = Unmöglichkeit oder Schwierigkeit bei der Lösungsänderung (für einen anderen Lieferanten oder eine interne Lösung) ohne Datenverlust. Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung,

27. Sicherheitsrichtlinien, die die Clouds betreffen: Risiken 2 Eine Lücke bei der Datenisolierung = d. h. das Risiko, dass die auf einem (virtualisierten) System vorhandenen Daten nicht mehr isoliert sind und verändert oder für unbefugte Dritte zugänglich gemacht werden könnten, infolge eines Fehlers des Dienstanbieters oder infolge einer schlechten Funktion des Hypervisors; Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, 27

28. Sicherheitsrichtlinien, die die Clouds betreffen: Risiken 3 Die Befolgung gesetzlicher Anforderungen auf der Basis von ausländischem Recht ohne Absprache mit den nationalen Behörden (Beispiel: USA). http://www.levif.be/info/actualite/international/google-veut-pouvoir-publier-le-nombre-de-requetes-de-la-nsa/article-4000331420445.htm Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, 28

29. Sicherheitsrichtlinien, die die Clouds betreffen: Risiken 4 Google möchte die Anzahl der Abfragen der NSA veröffentlichen dürfen Der Kern der Sache Mittwoch, 19. Juni 2013 um 06h36 Google hat am Dienstag auf dem Sondergerichtshof für Untersuchungen in Verbindung mit der nationalen Sicherheit einen Antrag auf Genehmigung zur Veröffentlichung der Zahl der Suchanfragen der Nachrichtendienste gestellt, die von ihm Daten anforderten. Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, 29

30. Sicherheitsrichtlinien, die die Clouds betreffen: Risiken 5 Eine Lücke in der Zulieferkette, u. a. in dem Fall, wo der Dienstanbieter selbst bei Dritten die Erbringung der Dienstleistung oder Bereitstellung des Dienstes anforderte. Die Nichteinhaltung von Vorschriften zur Aufbewahrung und Vernichtung seitens der Einrichtung, u. a. durch eine ineffektive oder nicht gesicherte Datenvernichtung oder einer zu langen Aufbewahrungsdauer. Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, 30

31. Sicherheitsrichtlinien, die die Clouds betreffen: Risiken 6 Probleme der Verwaltung der Zugriffs- oder Zugangsrechte. Nichtverfügbarkeit des Dienstanbieters = Nichtverfügbarkeit des Dienstes an sich, aber auch Nichtverfügbarkeit der Zugangsmittel oder -medien zum Dienst (insbesondere Netzwerkprobleme). Die Schließung des Dienstes des Dienstanbieters oder das nicht freiwillige Ändern des Dienstanbieters durch einen Dritten. Die Nichteinhaltung oder Nichtübereinstimmung von bzw. mit Vorschriften, besonders bei internationalen Übertragungen. Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, 31

32. Sicherheitsrichtlinien, die die Clouds betreffen: Risiken 7 Beobachtungen (1) Vor dem Inbetrachtziehen der Verwendung eines Cloud Computing muss das ÖSHZ die Daten, Behandlungen oder Dienstleistungen, die in der Cloud abgelegt oder dort hineingestellt werden, klar und eindeutig identifizieren und die Investitionsrendite bestimmen unter Berücksichtigung vor allem der Anwendung der Sicherheitszwänge und -beschränkungen. Falls für einen Datentyp eine besondere Vorschrift gilt, muss das ÖSHZ die Mindestbedingungen oder die Beschränkungen für dessen Übertragung feststellen. Die Mehrkosten für das Anwenden der vermutlichen und wahrscheinlichen Entwicklungen, vor allem für Sicherheitszwängen müssen ausgewertet und beziffert werden. Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, 32

33. Sicherheitsrichtlinien, die die Clouds betreffen: Risiken 8 Beobachtungen (2) Die Dienstleistungsmodelle sind die folgenden: SaaS : "Software as a Service", d. h. die Online-Lieferung von Software; PaaS : "Platform as a Service", d. h. die Online-Lieferung einer Plattform für Anwendungsentwicklung; IaaS : "Infrastructure as a Service", d. h. die Online-Lieferung von Rechen- und Speicherinfrastrukturen. Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, 33

34. Sicherheitsrichtlinien, die die Clouds betreffen: Risiken 9 Beobachtungen (3) Die Bereitstellungsmodelle sind die folgenden: "Öffentlich", wenn ein Dienst zwischen zahlreichen Kunden geteilt und gemeinsam genutzt wird; "Privat", wenn die Cloud einem Kunden gewidmet ist; "Gemeinschaftlich", wenn die Cloud von Kunden geteilt wird, die dieselben Verpflichtungen haben (gesetzliche, …); "Hybrid", wenn ein Dienst teilweise in einer öffentlichen Cloud und teilweise in einer privaten Cloud ist. Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, 34

35. Sicherheitsrichtlinien, die die Clouds betreffen: Risiken 10 Beobachtungen (4) Weder die öffentliche Cloud, noch die Hybrid-Cloud erfüllen derzeit die geforderten Sicherheitsauflagen. Man muss seine eigenen technischen und rechtlichen Sicherheitsanforderungen festlegen. Wenn es das Ziel der Cloud ist, das ÖSHZ von bestimmten betrieblichen oder arbeitstechnischen Aufgaben zu entlasten, muss sie zunächst überprüfen, ob der Dienstanbieter ein wenigstens genauso hohes Anforderungsniveau verfolgt, wie das vom ÖSHZ geforderte (Beispiel: cloud Adehis). Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, 35

36. Sicherheitsrichtlinien, die die Clouds betreffen: Risiken 9 Je weiter entfernt die Cloud ist, umso höher ist das Risiko. Das ÖSHZ muss sich vergewissern, dass die Daten tatsächlich in einer Cloud aufbewahrt werden und nicht woanders (es gibt Tools, die die Überprüfung des Speicherorts ermöglichen). Eine angemessene Risikoanalyse durchzuführen ist wesentlich dazu, um die geeigneten Sicherheitsmaßnahmen festlegen zu können und vor allem muss dies vom Dienstanbieter gefordert werden. Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, 36

37. Sicherheitsrichtlinien, die die Clouds betreffen: Risiken 10 Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, 37

38. Sicherheitsrichtlinien, die die Clouds betreffen: Risiken 11 Garantien Vertragsklausel bezüglich der Möglichkeit für einen Dienstanbieter des "Cloud"-Services, einen Teil seiner Aktivitäten an Subunternehmer zu vergeben. Der Dienstanbieter bleibt gegenüber ÖSHZ der alleinige Verantwortliche für die Ausführung seiner Verpflichtungen, also auch in dem Fall, wenn er einige seiner Aktivitäten an Subunternehmer weitergibt. Mit Hinblick darauf, dass bestimmte besondere Aufgaben an Subunternehmer vergeben werden könnten, muss der Vertrag vorsehen, dass der "Cloud"-Dienstanbieter das ÖSHZ diesbezüglich informiert und sich dazu verpflichtet, formell alle ihm obliegenden Verpflichtungen gegenüber seinen Sublieferanten zu berichten. Der Dienstanbieter muss sich auch vergewissern, dass diese Verpflichtungen von seinen Sublieferanten durch Ausführen der nötigen Kontrollen eingehalten werden. Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, 38

39. Sicherheitsrichtlinien, die die Clouds betreffen: Risiken 12 Garantien Integritätsklausel, Klausel zur Kontinuität und zur Dienstleistungsqualität Der Dienstanbieter muss alle Maßnahmen anordnen und umsetzen, welche die Bewahrung und die Integrität der behandelten und verarbeiteten Informationen während der Vertragsdauer sicherstellen, wie z. B. Notstromsysteme. Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, 39

40. Sicherheitsrichtlinien, die die Clouds betreffen: Risiken 13 Garantien Es muss eine Dienstleistungsvereinbarung (SLA) formalisiert werden in einem Abkommen im Anhang zum Vertrag zwischen dem ÖSHZ und dem "Cloud"-Dienstanbieter; darin müssen insbesondere während und nach jedem Garantiezeitraum, die Verfügbarkeit des Dienstes, die maximale Bootzeit im Falle einer Unterbrechung nach einem Vorfall und alle anderen Kriterien in Bezug auf die Wiederaufnahme der Aktivitäten angegeben werden (Zeitdauer der Wiederaufnahme und maximal tolerierbarer Datenverlust). Außerdem müssen die Einzelheiten der Maßnahmen, die die Kontinuität des Dienstes ermöglichen, in der Dienstleistungsvereinbarung (SLA) im Anhang des Vertrages stehen. Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, 40

41. Sicherheitsrichtlinien, die die Clouds betreffen: Risiken 14 Garantien Klausel zur Sicherstellung der Datenwiederherstellung. Der Dienstanbieter verpflichtet sich dazu, keine Daten des ÖSHZ aufzubewahren über den Zeitraum hinaus, welcher in Absprache mit der Einrichtung festgelegt wurde hinsichtlich der Zwecke, für welche die Daten erhoben wurden. Im Falle eines vorzeitigen Abbruchs oder Ende der Dienstleistung ist der Dienstanbieter dazu verpflichtet, alle Daten des ÖSHZ wiederherzustellen und zurückzugeben in der vereinbarten Art im vereinbarten Zeitraum und in einem herkömmlichen Format, strukturiert und wie dies für die herkömmliche Verwendung üblich ist, damit das ÖSHZ die Kontinuität seines Dienstes sicherstellen kann. Sobald die Wiederherstellung durchgeführt wurde, verpflichtet sich der Dienstanbieter unter Absprache mit dem ÖSHZ, alle Kopien der Daten in seinem Besitz zu vernichten, darunter auch die Backups und Archive, und dies in einem angemessenen Zeitraum unter Erbringung des Nachweises der Datenvernichtung. Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, 41

42. Sicherheitsrichtlinien, die die Clouds betreffen: Risiken 15 Garantien Klausel über die Garantie der Datenübertragbarkeit und die Kompatibilität der Systeme. Am Ende der Dienstleistung muss der Dienstanbieter unter den im Vertrag vereinbarten Bedingungen die nötige Hilfe leisten zum Übertragen (Migration) der Bearbeitungen, die von seiner "Cloud" durchgeführt wurden, auf eine andere Lösung. Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, 42

43. Sicherheitsrichtlinien, die die Clouds betreffen: Risiken 16 Garantien Klausel über die Prüfungsvorschriften Der Dienstanbieter verpflichtet sich dazu, die durch das ÖSHZ finanzierten Prüfungen zu autorisieren, eng mitzuarbeiten und die festgestellten Mängel möglichst schnell zu beheben. Diese Prüfungen können vom ÖSHZ selbst durchgeführt werden oder durch einen Dritten seines Vertrauens, den das ÖSHZ auswählt. Die Prüfungen müssen die Analyse des Einhaltens des Vertrages und der bei dieser Politik anzuwendenden Sicherheitsvorschriften ermöglichen und auch die Analyse der Konformität insbesondere hinsichtlich der von internationalen Stellen (z. B. ISO) empfohlenen bewährten Verfahrensweisen. Die Prüfung muss es auch ermöglichen, sicherzustellen, dass die eingesetzten Sicherheitsmaßnahmen bezüglich der Vertraulichkeit, der Verfügbarkeit, der Nachverfolgbarkeit und der Integrität der Daten nicht umgangen werden können, ohne dass dies festgestellt und mitgeteilt wird. Im Falle eines vollständigen oder teilweisen Outsourcings müssen die Prüfungsvorschriften auch bei allen Subunternehmern angewendet werden. Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, 43

44. Sicherheitsrichtlinien, die die Clouds betreffen: Risiken 17 Microsoft genehmigt keine Prüfungen in seinen Clouds. ACHTUNG Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, 44

45. Sicherheitsrichtlinien, die die Clouds betreffen: Risiken 18 Garantien Klausel über die Verpflichtung des Dienstanbieters hinsichtlich der Vertraulichkeit der Daten: der Dienstanbieter muss sich, seine Subunternehmer und eventuelle Ankäufer dazu verpflichten, weder für seinen Bedarf oder in seinem Namen, noch dem, bzw. den eines Dritten, die Daten zu verwenden oder weiter zu geben. er muss sich dazu verpflichten, alle Zugangsspuren, -pfade oder -logs zu den Daten (nötig, um festzustellen, wer was und wann getätigt hat), Verwaltungs-Tools und Anwendungen zu schützen und für den Kunden zur Verfügung zu halten, und dies über den vertraglich festgelegten Zeitraum hinweg. er muss das ÖSHZ über jede festgestellte Anomalie bei den Anschluss- oder Verbindungs-Spuren, -pfaden oder -logs informieren, wie z. B.: Zugangsversuche von nicht-autorisierten Personen. der Dienstanbieter muss das ÖSHZ unverzüglich über jede Anfrage oder Suchanfrage informieren, die von einer belgischen oder ausländischen Verwaltungs- oder Justizbehörde stammt. Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, 45

46. Sicherheitsrichtlinien, die die Clouds betreffen: Risiken 19 Garantien Souveränitätsklausel Dem ÖSHZ versichern, dass der Dienstanbieter und seine eventuellen Subunternehmer keinen Forderungen oder Anfragen von ausländischen Behörden an Belgien oder anderen Mitgliedsstaaten der Europäischen Union unterliegen oder verpflichtet sind. Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, 46

47. Sicherheitsrichtlinien, die die Clouds betreffen: Risiken 20 Garantien Klausel über die Verpflichtungen des Dienstanbieters hinsichtlich der Datensicherheit. Dem Kunden die Sicherheitspolitik der Informationssysteme liefern, die er eingesetzt hat und ihn über die Entwicklungen dieser Politik informieren. Der Lieferant des "Cloud Computing"-Dienstes ist verpflichtet zur Einhaltung der geltenden und einschlägigen guten Praktiken, die von und für die Einrichtung gefordert werden, besonders solche, die in der ISO 27002 angegeben sind oder solche, die in den Mindestnormen für die soziale Sicherheit angegeben sind. Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, 47

48. Sicherheitsrichtlinien, die die Clouds betreffen: Risiken 21 Einhaltung der guten Praktiken vom Dienstanbieter Die hier erwähnten guten Praktiken sind eine minimale und unvollständige Liste mit Sicherheitsmaßnahmen, die der Anbieter des "Cloud Computing"-Dienstes einhalten und anwenden muss unter Berücksichtigung der Tatsache, dass die durch das ÖSHZ durchgeführte Risikoanalyse der Anlass zu zusätzlichen Sicherheitsmaßnahmen sein kann. Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, 48

49. Sicherheitsrichtlinien, die die Clouds betreffen: Risiken 22 Einhaltung der guten Praktiken durch den Dienstanbieter 5 Bereiche sind zu beachten. Die empfindlichen Daten: der Dienstanbieter muss in kohärenter Weise die Prozesse in Sachen Sicherheit, Personalverwaltung, Inventar, Qualifikation und Rückverfolgbarkeit der Daten umsetzen, die Rechenzentren: der Dienstanbieter muss über ein Sicherheitsmanagement des physikalischen Zugangs zu den Rechenzentren verfügen sowie über technische Einrichtungen, welche den Schutz gegen Bedrohungen von außen und durch die Umwelt gewährleisten (Brand, Überschwemmung, Stromausfall, usw.). Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, 49

50. Sicherheitsrichtlinien, die die Clouds betreffen: Risiken 23 Einhaltung der guten Praktiken durch den Dienstanbieter 5 Bereiche sind zu beachten. die Sicherheit der logischen Zugriffe: der Dienstanbieter muss über Kontrollen des logischen Zugriffs verfügen, welche einen angemessenen Schutz der empfindlichen und nicht-empfindlichen Daten gewährleisten, die Sicherheit der Systeme: der Dienstanbieter muss über konfigurierte Systeme verfügen, die geschützt sind gegen Sicherheitslücken, insbesondere für die gespeicherten Daten, Netzwerksicherheit: der Dienstanbieter muss über ein gesichertes und geschütztes Netzwerk verfügen mit einer geeigneten Abschirmung bzw. Isolierung gegen Dritte. Föderaler Öffentlicher Programmierungsdienst Sozialeingliederung, 50