Zertifizierung von Cloud Information Security?

Transkript

1 Blog: Newsletter: Uwe Rühl Zertifizierung von Cloud Information Security? ISO/IEC und ISO/IEC was geht und was geht nicht. SECMGT-Workshop am RUCON Gruppe

2 Die RUCON Gruppe Schwerpunkt: Organizational Resilience Informationssicherheitsmanagement (ISMS) Business Continuity Management (BCMS) Risikomanagement Krisenmanagement Integrierte Managementsysteme RUCON Service GmbH (Services) RUCON Management GmbH (Projekte) RUCON System GmbH (Systeme) RUCON Gruppe 2

3 Agenda Ab in die Cloud Was ist die Cloud? Was sagt die ISO/IEC Reihe dazu? Ansätze in der ISO-Welt zur Zertifizierung Nutzen anderer Ansätze Der wolkige Ausblick RUCON Gruppe 3

4 Ab in die Cloud Was ist die Cloud?

5 Definition durch NIST SaaS PaaS Servicemodelle IaaS NIST National Institute of Standards and Technology RUCON Gruppe 5

6 Definition durch NIST - Liefermodelle Public Cloud Community Cloud Hybrid Cloud Virtual Priv. Cl. Private Cloud NIST National Institute of Standards and Technology RUCON Gruppe 6

7 Definition in ISO/IEC RUCON Gruppe 7

8 Definition in ISO/IEC Public Cloud Service Provider Party which makes cloud service available according to the public cloud model. RUCON Gruppe 8

9 Was sagt die ISO/IEC Reihe dazu?

10 ISO/IEC & Cloud Computing Noch einmal: In der ISO/IEC 27000/1 gibt es keine Definition, was Cloud Computing bedeutet Cloud wird nicht erwähnt! Also: Halten wir uns am besten an NIST oder vergleichbare Definitionen! RUCON Gruppe 10

11 Quelle: Hartmann Schedel, Weltchronik 1493, Blatt C RUCON Gruppe 11

12 ISO/IEC Empfehlungen auf 3 Ebenen Ebene Aspekte Abgrenzung (Beispiele) Organizational Scope ICT Scope Physischer Scope Geschäftsprozesse Unterstützungsprozesse Aktivitäten Informationsverarbeitende Einrichtungen IT Systeme Räume Racks Verträge Aufbau- und Ablauforganisation OLA`s Netzzonen ISO-OSI-Modell Zutrittskontrollierbare Bereiche RUCON Gruppe 12

13 Herausforderung: schneiden des Anwendungsbereichs Burg vs. Burger Quelle: Hartmann Schedel, Weltchronik 1493, Blatt C und Fotolia RUCON Gruppe 13

14 Primary Assets (ISO/IEC 27005) Informationen Business Processes Information Processing Facilities (ISO/IEC 27000) (alternativ: Information Systems oder Business Services) Technical Services (Hilfsebene) Supporting Assets (ISO/IEC 27005) Hardware, Netzwerk, Software Quelle: Fotolia RUCON Gruppe 14

15 Ausgelagerte Prozesse Muss direkt gesteuert werden 8.1 A A A A Muss den Auftraggebern durch Auftragnehmer nachgewiesen werden A Quelle: eigenes Bild RUCON Gruppe 15

16 Was heißt das nochmal konkret? 1. Kenne Deinen Anwendungsbereich, vor allem seine Grenzen! Burg vs. Burger! 2. Kenne die Abhängigkeiten zu externen Dienstleistungserbringern! 3. Erkenne Deine Geschäftsinformationen und bewerte deren Wertigkeit ( Klassifizierung )! 4. Behandle Beziehungen zu Dienstleistungserbringern abhängig der Risiken! RUCON Gruppe 16

17 Ansätze in der ISO-Welt zur Zertifizierung Cloud

18 Adressiert die Nutzung und Bereitstellung von Cloud Services Sie nutzt den selben Aufbau wie ISO/IEC Annex A Es werden zusätzliche Empfehlungen zur ISO/IEC gegeben Quelle: International Organization for Standardization, Genf. RUCON Gruppe 18

19 Selbe Struktur wie ISO/IEC Annex A Adressat: Cloud Service Provider Hat nur Schutz von PII im Fokus Baut auf ISO/IEC Prinzipien auf Spricht direkt den PII Processor an Es werden zusätzliche Controls definiert International Organization for Standardization, Genf. Quelle: International Organization for Standardization, Genf. RUCON Gruppe 19

20 Sektorspezifische Anwendung der ISO/IEC ISO/IEC folgt diesen Ansatz RUCON Gruppe 20

21 Die Herausforderung Steigendes Interesse an Zertifizierungen für Cloud-Services ABER: ISO/IEC ist eine generelle Basis für ISMSe Zertifizierungsstellen können z.b. Cloud Service ISMS Zertifizierungen auf Basis ISO/IEC und ISO/IEC & anbieten Momentan sehen wir vor allem non-accredited Zertifizierungen! RUCON Gruppe 21

22 ISO/IEC Implementation Guidance Additional guidance Reference ISO/IEC Cloud Service Provider ISO/IEC Cloud Service PII Implementation guidance ISO/IEC Sector specific ISMS ISO/IEC Requirements for Information Secuity Management Systems Certification Standard RUCON Gruppe 22

23 Fazit Es werden spezifische Zertifizierungen möglich, aber immer auf Basis eines ISMS nach ISO/IEC Sektorspezifische Normen konkretisieren, interpretieren, ergänzen ISO/IEC 27001, insbesondere Anhang A Derzeit Akkreditierungsprojekt in Japan für ISO/IEC RUCON Gruppe 23

24 Kernthemen ISO/IEC und ISO/IEC Information Security Policy Roles and Responsibilities Access Control Cryptographic Controls Equipment and Assets Operations Security Information Transfer Information Security Incident Management Information Security Reviews Personally Identifiable Information (PII) Protection RUCON Gruppe 24

25 Unternehmensbefragung Im Rahmen einer Masterarbeit Informationssicherheit in Lieferantenbeziehungen Supplier Management aus Sicht der ISO/IEC 27001:2013 Einfache Zufallsstichproben von Unternehmen D-A-CH Schriftliche Befragung über Online-Fragebogen 167 Rückläufer 82 % der Rückmeldungen aus Deutschland Jeweils 9 % aus Österreich und der Schweiz RUCON Gruppe 35

26 Hypothesen Informationsklassifizierung wird nur vereinzelt angewendet Unzureichende Kenntnis über rechtliche, behördliche und vertragliche Informationssicherheit vorhanden Konkrete Maßnahmen werden in der Minderheit vereinbart Überwachung erfolgt meist reaktiv Ein Kriterienkatalog für Maßnahmen wird für sinnvoll gehalten Eine Zertifizierung von Dienstleistern wird als hilfreich empfunden RUCON Gruppe 36

27 Nutzen anderer Ansätze

28 ISO/IEC 27001: b Note Organizations can design controls as required, or identify them from any source. RUCON Gruppe 38

29 Was könnten solche Quellen sein? BSI Anforderungskatalog Cloud Computing (C5) Trusted Cloud Datenschutzprofil CSA Cloud Security Alliance Und viele mehr RUCON Gruppe 39

30 Anwendung in ISO/IEC Kontext Controls auswählen begründet über Risikobehandlungsoption Vergleichen mit Controls aus ISO/IEC Anhang A Ab in das Statement of Applicability Umsetzen und freuen RUCON Gruppe 40

31 Der wolkige Ausblick

32 Alles kann, nichts muss Information Security sollte weder Enabler noch Bremser sein, sondern Prozessbegleiter. Wir kommen faktisch um Cloud Services nicht mehr herum. Informationsklassifizierung spielt eine wesentliche Rolle als Basis für risikoorientierte Maßnahmen. Zertifizierung von Cloud Services ist möglich und kann ein Element in der Dienstleistersteuerung sein. RUCON Gruppe 42

33 Ein Bild aus der angewandten Praxis Quelle: RUCON Gruppe 43

34 CLOUD Act Clarifying Lawful Overseas Use of Data Act: legale, aber doch unerwünschte, Zugriffe auf Informationen und deren Auswertung RUCON Gruppe 44

35 Blog: Newsletter: rucon-group.com/newsletter ISO/IEC und ISO/IEC wertvolle Ergänzung eines bestehenden ISMS! Uwe Rühl Danke für Ihre Aufmerksamkeit! SECMGT-Workshop am RUCON Gruppe