Deutsch

OCLCs Engagement für sichere Bibliotheksdienstleistungen

Datenschutz trotz Freigabe der Sammlungen

Bild: Zertifikat ISO/IEC 27001:2013

OCLC versteht, dass Vertraulichkeit, Integrität und Verfügbarkeit der Informationen unserer Mitglieder für ihre Geschäftstätigkeit und unseren Erfolg von entscheidender Bedeutung sind. Zum Schutz wichtiger Informationen verwenden wir einen mehrschichtigen Ansatz. Dieser Ansatz umfasst die kontinuierliche Überwachung und weitere Verbesserung unserer Anwendungen, Systeme und Prozesse, um den wachsenden Anforderungen und Herausforderungen gerecht werden zu können. Für seine Sicherheitsbemühungen hat OCLC eine Registrierung gemäß den ISO 27001-Sicherheitsstandards erhalten.

Informationssicherheit und Enterprise Risk Management

  • Implementierung eines Managementsystems für Informationssicherheit gemäß ISO/IEC 27001:2013
  • Belegschaft bestehend aus zertifizierten Informationssicherheits- und Informationstechnologieexperten sowie einem Vollzeit-Spezialisten für Notfallwiederherstellung
Image: ISO 27001 Zertifikat

OCLC ist sich der Tatsache bewusst, dass die Vertraulichkeit, Integrität und Verfügbarkeit der Daten unserer Mitglieder für ihre Betriebsprozesse und ihren eigenen Erfolg unerlässlich sind. Wir verwenden einen mehrschichtigen Ansatz zum Schutz wichtiger Informationen, der eine konstante Überwachung und Optimierung unserer Anwendungen, Systeme und Prozesse umfasst, um den wachsenden Anforderungen und Herausforderungen dynamischer Sicherheitsbedrohungen zu begegnen. Die Sicherheitsmaßnahmen von OCLC entsprechen den Standards nach ISO 27001, und OCLC hat die entsprechenden Registrierungen erhalten.

Informationssicherheit und Enterprise Risk Management

  • Implementierung eines Managementsystems für die Informationssicherheit nach ISO/IEC 27001:2013
  • Zertifizierte Experten für Informationssicherheit und IT-Audit und ein dedizierter Vollzeit-Spezialist für die Business-Continuity-Planung und Disaster-Recovery

Physische und ökologische Kontrollmechanismen

  • Rund um die Uhr besetzter Sicherheitsdienst
  • Eingeschränkter Zugriff über Transponderkarten
  • Computersysteme in Bereichen mit Zugangskontrolle
  • Videoüberwachung von Einrichtung und Umgebung
  • Kontrolle von Luftfeuchtigkeit und Temperatur
  • Doppelböden zur Erleichterung der kontinuierlichen Luftzirkulation
  • Unterirdische Stromversorgung
  • Unterbrechungsfreie Stromversorgung (USV)
  • Redundante Stromverteilereinheiten (PDUs)
  • Dieselgeneratoren mit Vor-Ort-Diesellagerung
  • Rauch- und Feuermelder in allen Rechenzentren
  • Das Dublin Service Delivery Center (DSDC) ist durch ein Halon-System mit genügend Reserven für mehrfache Entladungen geschützt.
  • Das Columbus Service Delivery Center (CSDC) ist durch eine DuPont FM-200-Brandunterdrückungsanlage geschützt.
  • Die Rechenzentren sind außerdem durch Sprinkleranlagen geschützt.
  • Im gesamten Bereich des DSDC und des CSDC sind Feuerlöscher verteilt.

Logische Zugriffskontrollen

  • Benutzeridentifikation und Zugangsverwaltung

    * Verbindungen zu Benutzerdaten über TLS 1.1 und 1.2 unter Verwendung von Step-up-Zertifikaten von Thawte sorgen dafür, dass die Benutzer über den Browser eine sichere Verbindung zu unserem Dienst herstellen können.

    * Einzelne Benutzersitzungen werden mit XML-verschlüsselten Assertions über SAML 2.0 identifiziert und für jede Transaktion erneut verifiziert.

    * Abhängig von den genutzten Diensten

Betriebliche Sicherheitskontrollen

  • Verbindung zum Internet über verschiedene Internetdienstleister und Präsenzpunkte mehrerer Telekommunikationsanbieter
  • Perimeter-Firewalls und Edge-Router blockieren nicht verwendete Protokolle.
  • Interne Firewalls trennen den Datenverkehr zwischen Anwendungs- und Datenbankebene.
  • Load Balancer stellen Proxies für den internen Datenverkehr zur Verfügung.
  • Nutzung verschiedener Methoden zur Erkennung und Beseitigung von Malware
  • Regelmäßige Durchführung unabhängiger Sicherheitsbewertungen durch Drittanbieter
  • Sicherung aller Daten auf Band in allen Rechenzentren
  • Clonen der Backups über sichere Verbindungen in ein sicheres Bandarchiv
  • Nicht mehr benötigte Bänder werden aus dem Bandarchiv entfernt und sicher vernichtet.
  • Die Mitarbeiter der Informationssicherheit von OCLC überwachen Benachrichtigungen aus verschiedenen Quellen und Warnmeldungen von internen Systemen, um Bedrohungen erkennen und entsprechende Gegenmaßnahmen einleiten zu können.

Systementwicklung und -wartung

  • Codes werden von OCLC vor der Veröffentlichung auf Sicherheitslücken überprüft und das Netzwerk und die Systeme werden regelmäßig auf Schwachstellen gescannt.
  • Bewertung der Netzwerksicherheit
  • Ausgewählte Penetrationstests und Codeprüfung
  • Überprüfung und Test der Sicherheitskontrollen

Business Continuity und Notfallwiederherstellung

  • Im Rahmen des OCLC-Dienstes werden in jedem Rechenzentrum eine Echtzeit-Replikation auf Festplatte sowie annähernd in Echtzeit eine Datenreplikation zwischen dem Produktionsrechenzentrum und dem Standort zur Notfallwiederherstellung durchgeführt.
  • Vertrauliche Daten werden über dedizierte Verbindungen übertragen.
  • Im Rahmen von Notfallwiederherstellungstests werden unsere prognostizierten Wiederherstellungszeiten und die Integrität der Kundendaten überprüft.

Vorfallsreaktion, Benachrichtigung und Behebung

  • Vorfallsmanagment für Sicherheitsereignisse, die sich auf Vertraulichkeit, Integrität oder Verfügbarkeit von Systemen oder Daten auswirken könnten
  • Das für die Informationssicherheit zuständige Team wird zur Vorbereitung auf Sicherheitsereignisse in Forensik und der Handhabung von Beweisen geschult. Diese Schulungen beinhalten die Nutzung von Drittanbieter- und proprietären Tools.

Compliance

  • Informationen können durch Dritte ausschließlich im Rahmen rechtlicher Verfahren wie Durchsuchungsbefehlen, Gerichtsbeschlüssen, Vorladungen, gesetzlichen Ausnahmeregelungen oder mit Zustimmung des Benutzers eingeholt werden.
  • OCLC verfügt über eine strikte Datenschutzrichtlinie, um die Daten sämtlicher Kunden und Benutzer zu schützen.

Die Dienste von OCLC erfüllen bzw. übertreffen die Empfehlungen der Gartner Group 1 (Tabelle 1.) sowie die Empfehlungen gemäß der „Security Guidance for Critical Areas of Focus in Cloud Computing“ der Cloud Security Alliance.

Tabelle 1. Gartner: Sieben Sicherheitsrisiken beim Cloud-Computing

Empfehlungen seitens Gartner OCLC Microsoft

Cloud (BPOS)
Google Apps

Enterprise
Zugriffskontrolle für privilegierte Benutzer X X X
Einhaltung gesetzlicher Bestimmungen X X X
Speicherort der Daten X X X (keine Offenlegung)
Trennung der Daten X X X
Wiederherstellung X X X
Investigative Unterstützung X X X
Langfristige Rentabilität X X X

1 Jay Heiser und Mark Nicolett. „Assessing the Security Risks of Cloud Computing.“ Gartner Group. 3. Juni 2008