Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

1 18.09.2016 CAcert und das Audit. 2 18.09.2016 Was ist das Audit?

Veröffentlicht von:Laura Schäfer Geändert vor über 7 Jahren

Ähnliche Präsentationen

Präsentation zum Thema: "1 18.09.2016 CAcert und das Audit. 2 18.09.2016 Was ist das Audit?"—  Präsentation transkript:

1 1 18.09.2016 CAcert und das Audit

2 2 18.09.2016 Was ist das Audit?

3 3 18.09.2016 CAcert und das Audit ● Unabhängige Prüfung der CA durch einen Auditor ● Systeme ● Verwaltung ● Dokumente – Policies ● Abläufe ● Audit ist unabdingbar ● Aufnahme der Root-Zertifikate in die Browser ● Qualitätssicherung innerhalb der CA

4 4 18.09.2016 Bedeutung für CAcert

5 5 18.09.2016 Aufgabenbereiche von CAcert ● Assurance(RA) ● Policies ● Arbitration ● Systeme(CA) ● Website-Dienste ● Zertifikatserstellung ● Community(HR)

6 6 18.09.2016 Das Audit und Assurances ● Assurance-Policy hat POLICY-Status erreicht ● Dokument ist bindend für alle Assurer ● Das Assurance-Prinzip kann geprüft werden ● Wichtige Punkte für die Prüfung: ● CATS (Assurer-Challenge) ● ATE (Assurer Training Events) ● Co-Audit

7 7 18.09.2016 Wichtige Punkte für die Prüfung

8 8 18.09.2016 CATS ● CAcert Automated Testing System ● Bestehend aus 25 Fragen ● Multiple Choice ● 80% müssen richtig beantwortet werden ● Kann beliebig oft wiederholt werden ● Minimaler Standard zur Qualitätssicherung ● Aneignung des Wissens im Interesse der Community

9 9 18.09.2016 Assurer Training Events ● Vortragsreihe für Assurer ● Idealerweise werden alle Assurer erreicht ● 2009: 20 ATEs in Europa ● 2010: Bisher ein Event in Sydney ● Information über alle aktuellen Themen ● Policies ● Abläufe ● Empfehlungen ● Empfehlung: Jährliche Teilnahme an einem ATE

10 10 18.09.2016 Co-Audit ● Qualitätssicherung der Assurance ● Als definierter Prozess in der Community ● Essentiell für das Audit ● Statistische Erhebung ● Umsetzung der Policies in der Praxis ● Grundlegendes Wissen ● Inhalt nach Absprache im Co-Audit-Team ● Certificate Authority Review Checklist: ● „The CP details how the CA verifies that RAs operate in accord with the CA's policies.„

11 11 18.09.2016 Einfluss auf den Bereich Assurance

12 12 18.09.2016 Änderungen an der Assurance ● Bestätigung des Mitglieds (Assuree) ● Persönliche Daten sind korrekt ● Zustimmung zum CCA (CAcert Community Agreement) ● Bestätigung des Assurers ● Assurance wurde entsprechend der Assurance Policy durchgeführt ● CAcert Assurer Reliable Statement (CARS) ● Verpflichtung der Community gegenüber

13 13 18.09.2016 Prüfung der Assurance ● 2009 ● Februar bis Juni: Erhebung der Assurance-Qualität ● Audit aus anderen Gründen ausgesetzt ● 2010 ● Assurance-Abläufe können nach Ende des Jahres geprüft werden ● Co-Audit ist im März (CeBIT) angelaufen

14 14 18.09.2016 Prüfung der Systeme

15 15 18.09.2016 Prüfung der Systeme ● Sicheres Hosting seit Oktober 2008 ● Teams ● Rechenzentrum ● Server ● Security Policy (seit März 2009) ● Bindende Policy für CAcert-Mitglieder in sicherheitskritischen Positionen ● Software ● CPS (Certification Practice Statement) ● Teams

16 16 18.09.2016 Aktueller Stand der Systeme ● Teams ● Kritische Systemadministration (Critical Sysadmins) ● Physikalischer Zugang (Access Engineers) ● Security Policy im DRAFT-Status ● Bindend für kritische Rollen – Systemadministratoren, Zugangsingenieure, Support, Software ● Systeme in sicherem Rechenzentrum ● BIT, Ede, Niederlande

17 17 18.09.2016 Aktuelle Vorhaben ● Unkritische Systeme ● Reorganisation wird durchgeführt ● Root-Zertifikate ● in Planung ● Notfallpläne / Disaster Recovery ● in Planung ● Aufbau und Erweiterung von Teams ● Software Assessment ●...

18 18 18.09.2016 Software ● Erhebung des aktuellen Stands 2009 in Innsbruck ● Erhebliche Probleme mit Wartung, Weiterentwicklung und Absicherung ● Keine verlässlichen Aussagen möglich ● Ansatz 1 ● Neues Entwicklungsteam ● Neues Design: BirdShack ● Ansatz 2 ● Alte Software im Wartungsmodus – Keine aktive Weiterentwicklung

19 19 18.09.2016 Die Community und das Audit

20 20 18.09.2016 Audit und die Community ● Kriterien des Audits ● DRC (David Ross Criteria) ● David Ross hat das Audit 2005 begonnen ● Gegenstand der Kriterien ● Risiken ● Verantwortung ● Pflichten ● Transparente Darstellung der Außenwelt gegenüber ● Große Herausforderung für die CA

21 21 18.09.2016 Herausforderungen ● Wie sind die Kriterien für CAcert definiert? ● Wer ist daran gebunden? ● Sind die Kriterien vernünftig? ● Wie können wir die Anforderungen umsetzen? ● Ergebnis: ● CAcert Community Agreement (CCA)

22 22 18.09.2016 Anforderungen an das CCA ● Aufbau einer Gemeinschaft, deren Mitglieder sich gegenseitig verpflichtet sind ● Aufzeigen der Risiken, Verantwortungen und Pflichten ● Beschränkung der Haftung ● Aktuell 1000 € materielle Haftung ● Haftung der Mitglieder verdeutlichen

23 23 18.09.2016 Verantwortungen im CCA ● Wie wird die Haftung umgesetzt? ● eigene Plattform zur Streitschlichtung – Arbitration ● Einverständniserklärung der Mitglieder – CAcert Community Agreement 3.2 – „You agree, with CAcert and all of the Community, that all disputes arising out of or in connection to our use of CAcert services shall be referred to and finally resolved by Arbitration [...]“ ● Regelung der Schlichtung durch Policy – Dispute Resolution Policy (DRP)

24 24 18.09.2016 Arbitration

25 25 18.09.2016 Gründe für die Arbitration ● Audit verlangt Offenlegung der Haftung ● Lösungsansätze: ● Limitierung ● Zuweisung ● Sicherer und effizienter Weg zur Umsetzung ● Delegation an eigene Arbitration

26 26 18.09.2016 Entwicklung des Audit

27 27 18.09.2016 Mehr zum Audit ● Audit nahm Anfang 2009 Formen an ● Probleme: ● Zu wenig Resourcen ● Zeitprobleme ● Finanzielle Probleme ● Audit im Juli 2009 ausgesetzt

28 28 18.09.2016 Zukunft des Audits ● Software neu aufbauen ● Übertragung der Audit-Verwantwortung an die Community ● Bessere Nutzung der Resourcen ● Vorbereitung auf die Prüfung der Assurances ● ATE ● Finanzierung ermöglichen

Herunterladen ppt "1 18.09.2016 CAcert und das Audit. 2 18.09.2016 Was ist das Audit?"

Ähnliche Präsentationen

Software Assurance Services – Angebote für klein- und mittelständische Unternehmen, Verfügbar ab März 06.

Software Assurance Services – Angebote für klein- und mittelständische Unternehmen, Verfügbar ab März 06.
Bernd Oberknapp, UB Freiburg

Bernd Oberknapp, UB Freiburg
On a Buzzword: Hierachical Structure David Parnas.

On a Buzzword: Hierachical Structure David Parnas.
Universität Stuttgart Institut für Kernenergetik und Energiesysteme ACM/IEEE Code der Ethik – Die ACM/ IEEE haben gemeinsam einen Code of Ethics erstellt.

Universität Stuttgart Institut für Kernenergetik und Energiesysteme ACM/IEEE Code der Ethik – Die ACM/ IEEE haben gemeinsam einen Code of Ethics erstellt.
Nestor Workshop im Rahmen der GES 2007 Digitale Langzeitarchivierung und Grid: Gemeinsam sind wir stärker? Anforderungen von eScience und Grid-Technologie.

Nestor Workshop im Rahmen der GES 2007 Digitale Langzeitarchivierung und Grid: Gemeinsam sind wir stärker? Anforderungen von eScience und Grid-Technologie.
Don`t make me think! A Common Sense Approach to Web Usability

Don`t make me think! A Common Sense Approach to Web Usability
Wissen By Gannon Blain Home What is Wissen What is Wissen How to use Wissen How to use Wissen Irregular Form Irregular Form Quiz.

Wissen By Gannon Blain Home What is Wissen What is Wissen How to use Wissen How to use Wissen Irregular Form Irregular Form Quiz.
1 von 7 ViS:AT BMUKK, IT – Systeme für Unterrichtszwecke 05/11 EZ, CR Social Networks – Soziale Netzwerke Virtuelle Science Cafes & Diskussionsforen für.

1 von 7 ViS:AT BMUKK, IT – Systeme für Unterrichtszwecke 05/11 EZ, CR Social Networks – Soziale Netzwerke Virtuelle Science Cafes & Diskussionsforen für.
xRM1 Pilot Implementierung

xRM1 Pilot Implementierung
Gregor Graf Oracle Portal (Part of the Oracle Application Server 9i) Gregor Graf (2001,2002)

Gregor Graf Oracle Portal (Part of the Oracle Application Server 9i) Gregor Graf (2001,2002)
Berliner Elektronenspeicherring-Gesellschaft für Synchrotronstrahlung m.b.H., Albert-Einstein-Straße 15, 12489 Berlin frontend control at BESSY R. Fleischhauer.

Berliner Elektronenspeicherring-Gesellschaft für Synchrotronstrahlung m.b.H., Albert-Einstein-Straße 15, Berlin frontend control at BESSY R. Fleischhauer.
Cubido business solutions gmbh Haidfeldstrasse 33 A-4060 Leonding di(fh) Wolfgang Straßer +43 664 8854 5033 360° Rundumblick.

Cubido business solutions gmbh Haidfeldstrasse 33 A-4060 Leonding di(fh) Wolfgang Straßer ° Rundumblick.
25.01.2013 Vorbereitung einer Anforderungsanalyse für ein GUI im Kreditkarten- Processing-Umfeld Yanik Dreiling MatrNr. 847050.

Vorbereitung einer Anforderungsanalyse für ein GUI im Kreditkarten- Processing-Umfeld Yanik Dreiling MatrNr
1 20.09.2016 2.0 Assurance Praxis. 2 20.09.2016 Assurance Praxis 2.1 Assurer Challenge 2.2 Namen a. Strict Rules b. Relaxed Rules 2.3 2-Fach Prüfung 2.4.

Assurance Praxis Assurance Praxis 2.1 Assurer Challenge 2.2 Namen a. Strict Rules b. Relaxed Rules Fach Prüfung 2.4.
© CAcert, 2010 Autor: Bernhard Fröhlich 1 Die CAcert Community - Wer? - Was? - Wo?

© CAcert, 2010 Autor: Bernhard Fröhlich 1 Die CAcert Community - Wer? - Was? - Wo?
© CAcert, 2010 Ulrich Schroeter, Assurer Training Events, Sept 2010 CAcert und das Audit.

© CAcert, 2010 Ulrich Schroeter, Assurer Training Events, Sept 2010 CAcert und das Audit.
Willkommen zur Schulung

Willkommen zur Schulung
Hero Quest Verwaltungstool -Projektmanagement Projektplanung für Softwareprojekte: KLips 2.0 Dozent: Prof. Dr. phil. Manfred Thaller Referent: Alexander.

Hero Quest Verwaltungstool -Projektmanagement Projektplanung für Softwareprojekte: KLips 2.0 Dozent: Prof. Dr. phil. Manfred Thaller Referent: Alexander.
1 21.09.2016 Unterschriften und Dokumente. 2 21.09.2016 Unterschriften.

Unterschriften und Dokumente Unterschriften.
Sichere mit OpenPGP und S/MIME Eine Kurzeinführung von Django

Sichere mit OpenPGP und S/MIME Eine Kurzeinführung von Django

Ähnliche Präsentationen

Google-Anzeigen