OCLCs Engagement für sichere Bibliotheksdienstleistungen
Datenschutz trotz Freigabe der Sammlungen
OCLC ist bewußt, dass Vertraulichkeit, Integrität und Verfügbarkeit der Daten unserer Mitglieder für ihre Geschäftstätigkeit und unseren Erfolg von entscheidender Bedeutung sind. Zum Schutz wichtiger Daten verwenden wir einen mehrschichtigen Ansatz. Dieser Ansatz umfasst die kontinuierliche Überwachung und weitere Verbesserung unserer Anwendungen, Systeme und Prozesse, um den wachsenden Anforderungen und Herausforderungen gerecht werden zu können. Für seine Sicherheitsbemühungen hat OCLC eine Registrierung gemäß den ISO 27001-Sicherheitsstandards, eine Zertifizierung des Cyber Essentials Programms der britischen Regierung sowie eine CSA STAR-Zertifizierung erhalten.
Informationssicherheit und Enterprise Risk Management
- Implementierung eines Managementsystems für Informationssicherheit gemäß ISO/IEC 27001:2013
- Belegschaft bestehend aus zertifizierten Informationssicherheits- und Informationstechnologieexperten sowie einem Vollzeit-Spezialisten für Notfallwiederherstellung
Physische und ökologische Kontrollmechanismen
- Rund um die Uhr besetzter Sicherheitsdienst
- Eingeschränkter Zugriff über Transponderkarten
- Computersysteme in Bereichen mit Zugangskontrolle
- Videoüberwachung von Einrichtung und Umgebung
- Kontrolle von Luftfeuchtigkeit und Temperatur
- Doppelböden zur Erleichterung der kontinuierlichen Luftzirkulation
- Unterirdische Stromversorgung
- Unterbrechungsfreie Stromversorgung (USV)
- Redundante Stromverteilereinheiten (PDUs)
- Dieselgeneratoren mit Vor-Ort-Diesellagerung
- Rauch- und Feuermelder in allen Rechenzentren
- Das Dublin Service Delivery Center (DSDC) ist durch ein Halon-System mit genügend Reserven für mehrfache Entladungen geschützt.
- Das Columbus Service Delivery Center (CSDC) ist durch eine DuPont FM-200-Brandunterdrückungsanlage geschützt.
- Die Rechenzentren sind außerdem durch Sprinkleranlagen geschützt.
- Im gesamten Bereich des DSDC und des CSDC sind Feuerlöscher verteilt.
Logische Zugriffskontrollen
- Benutzeridentifikation und Zugangsverwaltung
- Verbindungen zu Benutzerdaten über TLS 1.1 und 1.2 unter Verwendung von Step-up-Zertifikaten von Thawte sorgen dafür, dass die Benutzer über den Browser eine sichere Verbindung zu unserem Dienst herstellen können.
- Einzelne Benutzersitzungen werden mit XML-verschlüsselten Assertions über SAML 2.0 identifiziert und für jede Transaktion erneut verifiziert.
- Abhängig von den genutzten Diensten
Betriebliche Sicherheitskontrollen
- Verbindung zum Internet über verschiedene Internetdienstleister und Präsenzpunkte mehrerer Telekommunikationsanbieter
- Perimeter-Firewalls und Edge-Router blockieren nicht verwendete Protokolle.
- Interne Firewalls trennen den Datenverkehr zwischen Anwendungs- und Datenbankebene.
- Load Balancer stellen Proxies für den internen Datenverkehr zur Verfügung.
- Nutzung verschiedener Methoden zur Erkennung und Beseitigung von Malware
- Regelmäßige Durchführung unabhängiger Sicherheitsbewertungen durch Drittanbieter
- Sicherung aller Daten auf Band in allen Rechenzentren
- Clonen der Backups über sichere Verbindungen in ein sicheres Bandarchiv
- Nicht mehr benötigte Bänder werden aus dem Bandarchiv entfernt und sicher vernichtet.
- Die Mitarbeiter der Informationssicherheit von OCLC überwachen Benachrichtigungen aus verschiedenen Quellen und Warnmeldungen von internen Systemen, um Bedrohungen erkennen und entsprechende Gegenmaßnahmen einleiten zu können.
Systementwicklung und -wartung
- Codes werden von OCLC vor der Veröffentlichung auf Sicherheitslücken überprüft und das Netzwerk und die Systeme werden regelmäßig auf Schwachstellen gescannt.
- Bewertung der Netzwerksicherheit
- Ausgewählte Penetrationstests und Codeprüfung
- Überprüfung und Test der Sicherheitskontrollen
Business Continuity und Notfallwiederherstellung
- Im Rahmen des OCLC-Dienstes werden in jedem Rechenzentrum eine Echtzeit-Replikation auf Festplatte sowie annähernd in Echtzeit eine Datenreplikation zwischen dem Produktionsrechenzentrum und dem Standort zur Notfallwiederherstellung durchgeführt.
- Vertrauliche Daten werden über dedizierte Verbindungen übertragen.
- Im Rahmen von Notfallwiederherstellungstests werden unsere prognostizierten Wiederherstellungszeiten und die Integrität der Kundendaten überprüft.
Vorfallsreaktion, Benachrichtigung und Behebung
- Vorfallsmanagment für Sicherheitsereignisse, die sich auf Vertraulichkeit, Integrität oder Verfügbarkeit von Systemen oder Daten auswirken könnten
- Das für die Informationssicherheit zuständige Team wird zur Vorbereitung auf Sicherheitsereignisse in Forensik und der Handhabung von Beweisen geschult. Diese Schulungen beinhalten die Nutzung von Drittanbieter- und proprietären Tools.
Compliance
- Informationen können durch Dritte ausschließlich im Rahmen rechtlicher Verfahren wie Durchsuchungsbefehlen, Gerichtsbeschlüssen, Vorladungen, gesetzlichen Ausnahmeregelungen oder mit Zustimmung des Benutzers eingeholt werden.
- OCLC verfügt über eine strikte Datenschutzerklärung, um die Daten sämtlicher Kunden und Benutzer zu schützen.
Die Dienste von OCLC erfüllen bzw. übertreffen die Empfehlungen der Gartner Group 1 (Tabelle 1.) sowie die Empfehlungen gemäß der „Security Guidance for Critical Areas of Focus in Cloud Computing“ der Cloud Security Alliance.
Tabelle 1. Gartner: Sieben Sicherheitsrisiken beim Cloud-Computing
| Empfehlungen seitens Gartner | OCLC | Microsoft Cloud (BPOS) |
Google Apps Enterprise |
|---|---|---|---|
| Zugriffskontrolle für privilegierte Benutzer | X | X | X |
| Einhaltung gesetzlicher Bestimmungen | X | X | X |
| Speicherort der Daten | X | X | X (keine Offenlegung) |
| Trennung der Daten | X | X | X |
| Wiederherstellung | X | X | X |
| Investigative Unterstützung | X | X | X |
| Langfristige Rentabilität | X | X | X |
1 Jay Heiser und Mark Nicolett. „Assessing the Security Risks of Cloud Computing.“ Gartner Group. 3. Juni 2008