Sicherheitsempfehlungen für Cloud Computing Anbieter

Empfehlungen

Info

CLOUD COMPUTING | SICHERHEITSMANAGEMENT BEIM ANBIETER Für ein zuverlässiges und sicheres Cloud Computing ist als Grundlage ein effizientesManagementderInformationssicherheit(InformationSecurity Management System, ISMS) auf Seiten des CSP unerlässlich. Das BSI empfiehlt,sichfürAufbauundBetriebeinesISMSanISO27001/2oderbevorzugt am BSI-Standard 100-2 zur IT-Grundschutz-Vorgehensweise (derISO27001/2abdeckt)zuorientieren. Wesentliche Bestandteile eines ISMS sind eine funktionierende Sicherheitsorganisation und ein Informationssicherheitskonzept als Werkzeuge des Managements zur Umsetzung der Sicherheitsstrategie. Ein CSP sollte die Sicherheitsorganisation nutzen, um hierüber geeignete Ansprechpartner für seine Kunden zu benennen, die Sicherheitsfragen der Kunden beantworten können. Informationssicherheit ist ein Prozess und sollte daher im Sinne eines PDCA-Zyklus (Plan-Do-Check-Act) fortlaufend weiterentwickelt werden. Damit CSPs nachweisen können, dass sie auch bei hohem Schutzbedarf bezüglich Vertraulichkeit und Verfügbarkeit ausreichend Sicherheit gewährleisten,isteineZertifizierungdesInformationssicherheitsmanagementssinnvoll.VorzugsweisesolltenCSPsnachISO 27001aufBasisvonIT-Grundschutz,ISO 27001odereinemanderenetabliertenStandardzertifiziertsein. 25
CLOUD COMPUTING | SICHERHEITSMANAGEMENT BEIM ANBIETER Hinweis: Hier und im Folgenden sind die aufgeführten Sicherheitsempfehlungen danach unterteilt, ob sie sich an Private oder Public Clouds richten und sind jeweils drei Kategorien zugeordnet. Dabei steht: » B für Basisanforderung (richtet sich an jeden Cloud Service Anbieter), » C+(=Vertraulichkeithoch,Confidentialityhigh)umfasstzusätzliche Anforderungen für Bereiche mit hohem Schutzbedarf bei Vertraulichkeit, » A+ (=Verfügbarkeit hoch, Availability high) umfasst zusätzliche Anforderungen für Bereiche mit hohem Verfügbarkeitsbedarf. Ein Pfeil nach rechts () symbolisiert ein durchschnittliches Gefährdungspotential, ein Pfeil nach oben () erhöhtes Gefährdungspotential bei Private oder Public Clouds. Sicherheitsmanagement beim Anbieter DefiniertesVorgehensmodellfüralleIT-Prozesse (z. B.nachITIL,COBIT) Implementation eines anerkannten Informationssicherheits-Managementsystems(z. B.nachBSI Standard100-2(IT-Grundschutz),ISO 27001) Nachhaltige Umsetzung eines Informationssicherheitskonzepts für die Cloud Private B C+ A+ Public B C+ A+ Nachweis einer ausreichenden Informationssicherheit(Zertifizierung) Angemessene Organisationsstruktur für Informationssicherheit beim CSP (inklusive Benennung von Ansprechpartnern für Kunden zu Sicherheitsfragen) 26
Seite 1 und 2: Eckpunktepapier Sicherheitsempfehlu
Seite 3 und 4: CLOUD COMPUTING | INHALT 6 Kontroll
Seite 5 und 6: CLOUD COMPUTING | VORWORT einerseit
Seite 7 und 8: CLOUD COMPUTING | DAS BSI IM DIENST
Seite 9 und 10: CLOUD COMPUTING | EINLEITUNG 1 Einl
Seite 11 und 12: CLOUD COMPUTING | EINLEITUNG sowohl
Seite 13 und 14: CLOUD COMPUTING | EINLEITUNG Bei de
Seite 15 und 16: CLOUD COMPUTING | CLOUD COMPUTING G
Seite 23 und 24: 22 3 Sicherheitsmanagement beim Anb
Seite 25: CLOUD COMPUTING | SICHERHEITSMANAGE
Seite 29 und 30: CLOUD COMPUTING | SICHERHEITSARCHIT
Seite 43 und 44: 42 5 ID- und Rechtemanagement
Seite 45 und 46: CLOUD COMPUTING | ID- UND RECHTEMAN
Seite 47 und 48: 46 6 Kontrollmöglichkeiten für Nu
Seite 49 und 50: 48 7 Monitoring und Security Incide
Seite 51 und 52: CLOUD COMPUTING | MONITORING UND SE
Seite 53 und 54: 52 8 Notfallmanagement
Seite 55 und 56: CLOUD COMPUTING | NOTFALLMANAGEMENT
Seite 57 und 58: 56 9 Portabilität und Interoperabi
Seite 59 und 60: CLOUD COMPUTING | PORTABILITÄT UND
Seite 61 und 62: CLOUD COMPUTING | SICHERHEITSPRÜFU
Seite 63 und 64: 62 11 Anforderungen an das Personal
Seite 65 und 66: CLOUD COMPUTING | ANFORDERUNGEN AN
Seite 67 und 68: 66 12 Vertragsgestaltung
Seite 69 und 70: CLOUD COMPUTING | VERTRAGSGESTALTUN
Seite 71 und 72: CLOUD COMPUTING | VERTRAGSGESTALTUN
Seite 73 und 74: 72 13 Datenschutz und Compliance
Seite 75 und 76: CLOUD COMPUTING | DATENSCHUTZ UND C
Seite 77 und 78:
CLOUD COMPUTING | DATENSCHUTZ UND C
Seite 79 und 80:
78 14 Ausblick
Seite 81 und 82:
CLOUD COMPUTING | AUSBLICK Beeintr
Seite 83 und 84:
CLOUD COMPUTING | GLOSSAR 15 Glossa
Seite 85 und 86:
CLOUD COMPUTING | GLOSSAR SaaS SAML
Seite 87 und 88:
CLOUD COMPUTING | REFERENZEN 16 Ref
Seite 89 und 90:
88 17 Dankesworte
Seite 91 und 92:
CLOUD COMPUTING | DANKESWORT » Pir
Seite 93:
www.bsi.bund.de
Alle anzeigen

Sicherheitsempfehlungen für Cloud Computing Anbieter

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?