Sicherheitsempfehlungen für Cloud Computing Anbieter

Empfehlungen

Info

CLOUD COMPUTING | EINLEITUNG Jeder CSP muss daher in einer Risikoanalyse ermitteln, welche Gefährdungen für die von ihm betriebenen Dienste aktuell und relevant sind, welche Auswirkungen diese haben können und wie die erkannten Risiken behandeltwerdensollen,beispielsweisedurchspezifischeSicherheitsmaßnahmen. In abgespeckter Form müssen auch Cloud-Nutzer die Risiken bewerten, die für sie durch eine Verlagerung von Daten oder Anwendungen in die Cloud entstehen können. Die in diesem Eckpunktepapier vorgelegten Sicherheitsempfehlungen bilden ein Rahmenwerk, um die aus Sicht des BSI kritischen Bereiche beim Cloud Computing zu adressieren. Bei der Risikobetrachtung steht ein CSP vor der Herausforderung, dass er den Wert bzw. den Schutzbedarf der Kundendaten meist im Vorfeld nicht kennt. Ein Ausweg wäre, für alle Kunden und ihre Daten ein hohes oder sehr hohes Schutzniveau anzubieten. Dies ist aber erfahrungsgemäß für Daten mit einem normalen Schutzbedarf zu teuer. CSPs sollten das Thema Informationssicherheit frühzeitig gegenüber ihren Kunden ansprechen. Informationssicherheit gehört mit zu den wesentlichen Entscheidungsgründen von Kunden, wenn es um die Auswahl von Cloud Service Anbietern und konkreter Cloud-Dienstleistungen geht. Daher sollten CSPs ihren Kunden darlegen, wie gut sie in puncto Informationssicherheit aufgestellt sind. Dazu gehört, dass sie den Kunden aufzeigen, welche Sicherheitsmaßnahmen bei ihren Angeboten zum Standardumfang gehören und welche optional erhältlich sind, aber sie sollten die Kunden auch darauf hinweisen, welche Sicherheitsmaßnahmen diese selber ergreifen müssen. 1.5 Thematische Abgrenzung der BSI-Sicherheitsempfehlungen In diesem Dokument liegt der Schwerpunkt auf Sicherheitsbetrachtungen der Cloud-basierten Verarbeitung von Informationen, die einen normalen bishohenSchutzbedarfhaben,wiez. B.firmenvertraulicheInformationen, schützenswerte personenbezogene Daten. Die Festlegung des Schutzbedarfs von Informationen, Anwendungen und IT-Systemen orientiert sich an den Schutzbedarfskategorien nach IT-Grundschutz (siehe BSI-Standard 100-2 [1]). Der Schutz von Informationen, die als staatliche Verschlusssache eingestuft wurden, wird in diesem Dokument nicht explizit betrachtet. 11
CLOUD COMPUTING | EINLEITUNG Bei der Erstellung der Eckpunkte standen Vertraulichkeit und Verfügbarkeit als die zu schützenden Grundwerte der Informationssicherheit im Vordergrund. Die Sicherheitsempfehlungen sind daher nach Vertraulichkeit und Verfügbarkeit unterteilt, während eine dezidierte Betrachtung nach dem Grundwert Integrität nicht vorgenommen wurde. Die aufgeführten Sicherheitsempfehlungen sind drei Kategorien zugeordnet: » Die Kategorie B (=Basisanforderung) umfasst die Basisanforderungen, die an jeden Cloud Service Anbieter gestellt werden. » Die Kategorie C+(=Vertraulichkeithoch,Confidentiality)umfasstzusätzliche Anforderungen, wenn Daten mit einem hohen Schutzbedarf bezüglich Vertraulichkeit verarbeitet werden sollen. » Die Kategorie A+ (=Verfügbarkeit hoch, Availability) umfasst zusätzliche Anforderungen, wenn Dienstleistungen mit einem hohen Schutzbedarf bezüglich Verfügbarkeitsbedarf in Anspruch genommen werden sollen. In den Tabellen zur Übersicht über die Sicherheitsempfehlungen in den einzelnen Bereichen wird außerdem noch mit Pfeilen aufgezeigt, wie das BSI das Gefährdungspotential in diesem Bereich für Private bzw. Public Clouds einschätzt. Ein Pfeil nach rechts () symbolisiert ein durchschnittliches Gefährdungspotential, ein Pfeil nach oben () bedeutet erhöhtes Gefährdungspotential. Alle genannten Anforderungen gelten für IaaS, PaaS und SaaS, soweit nicht anders vermerkt. Aufgrund der dynamischen Entwicklungen im Bereich Cloud Computing wird es auch weiterhin erforderlich sein, die nachfolgend dargestellten Sicherheitsempfehlungen regelmäßig zu überprüfen und anzupassen sowie unter Umständen auch zusätzliche Anforderungen hinzuzunehmen. Aktualisierte Versionen dieses Eckpunktepapiers werden auf dem BSI-Webserver www.bsi.bund.de veröffentlicht. 12
Seite 1 und 2: Eckpunktepapier Sicherheitsempfehlu
Seite 3 und 4: CLOUD COMPUTING | INHALT 6 Kontroll
Seite 5 und 6: CLOUD COMPUTING | VORWORT einerseit
Seite 7 und 8: CLOUD COMPUTING | DAS BSI IM DIENST
Seite 9 und 10: CLOUD COMPUTING | EINLEITUNG 1 Einl
Seite 11: CLOUD COMPUTING | EINLEITUNG sowohl
Seite 15 und 16: CLOUD COMPUTING | CLOUD COMPUTING G
Seite 23 und 24: 22 3 Sicherheitsmanagement beim Anb
Seite 25 und 26: CLOUD COMPUTING | SICHERHEITSMANAGE
Seite 27 und 28: CLOUD COMPUTING | SICHERHEITSMANAGE
Seite 29 und 30: CLOUD COMPUTING | SICHERHEITSARCHIT
Seite 43 und 44: 42 5 ID- und Rechtemanagement
Seite 45 und 46: CLOUD COMPUTING | ID- UND RECHTEMAN
Seite 47 und 48: 46 6 Kontrollmöglichkeiten für Nu
Seite 49 und 50: 48 7 Monitoring und Security Incide
Seite 51 und 52: CLOUD COMPUTING | MONITORING UND SE
Seite 53 und 54: 52 8 Notfallmanagement
Seite 55 und 56: CLOUD COMPUTING | NOTFALLMANAGEMENT
Seite 57 und 58: 56 9 Portabilität und Interoperabi
Seite 59 und 60: CLOUD COMPUTING | PORTABILITÄT UND
Seite 61 und 62: CLOUD COMPUTING | SICHERHEITSPRÜFU
Seite 63 und 64:
62 11 Anforderungen an das Personal
Seite 65 und 66:
CLOUD COMPUTING | ANFORDERUNGEN AN
Seite 67 und 68:
66 12 Vertragsgestaltung
Seite 69 und 70:
CLOUD COMPUTING | VERTRAGSGESTALTUN
Seite 71 und 72:
CLOUD COMPUTING | VERTRAGSGESTALTUN
Seite 73 und 74:
72 13 Datenschutz und Compliance
Seite 75 und 76:
CLOUD COMPUTING | DATENSCHUTZ UND C
Seite 77 und 78:
CLOUD COMPUTING | DATENSCHUTZ UND C
Seite 79 und 80:
78 14 Ausblick
Seite 81 und 82:
CLOUD COMPUTING | AUSBLICK Beeintr
Seite 83 und 84:
CLOUD COMPUTING | GLOSSAR 15 Glossa
Seite 85 und 86:
CLOUD COMPUTING | GLOSSAR SaaS SAML
Seite 87 und 88:
CLOUD COMPUTING | REFERENZEN 16 Ref
Seite 89 und 90:
88 17 Dankesworte
Seite 91 und 92:
CLOUD COMPUTING | DANKESWORT » Pir
Seite 93:
www.bsi.bund.de
Alle anzeigen

Sicherheitsempfehlungen für Cloud Computing Anbieter

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?