Anforderungskatalog Cloud Computing C5. Cloud Computing Compliance Controls Catalogue (C5)

Transkript

1 Anforderungskatalog Cloud Computing C5 Cloud Computing Compliance Controls Catalogue (C5)

2 Cloud Security aus verschiedenen Blickwinkeln Cloud-Anbieter Bestätigung der Sicherheit wenige, effiziente Audits Keine individuelle Anforderungen Return-on-Invest auf Audits Cloud-Kunde Compliance-Nachweis Vertrauenswürdigkeit einfache Überprüfung des CSP Ggf. eigene Anforderungen BSI BSI-Anforderungen Transparente Auditierung Cloud-Nutzer nicht aus Pflicht nehmen Behörden Gesetzl. Vorgaben einhalten Einfache Beschaffung Sicherheits-Standards von nationalen Stellen Dr. C. Doubrava BSI Cloud Computing C Seite 2

3 Anforderungskatalog Cloud Computing (C5) Aufbau und Inhalte ISO CSA BSI ISAE SOC BSI UP-01 UP-02 UP-03 UP-04 Sicherheitsanforderungen Audit Transparenz Dr. C. Doubrava BSI Cloud Computing C Seite 3

4 Anforderungskatalog Cloud Computing (C5) Für Clouds gemacht Cloud ist dynamisch elastisch grenzenlos standardisiert effizient C5 ist ist erweiterbar und anpassbar skaliert auch mit der Größe der Cloud ist international einsetzbar nutzt vorhandene Standards und kombiniert sie effiziente Einbindung und effiziente Audits Genutzte Standards BSI IT-Grundschutz, BSI SaaS Sicherheitsprofile, CSA Cloud Controls Matrix, ISO/IEC 27001, ANSSI SecNumCloud, AICPA Trust Service Principles Criteria, IDW ERS FAIT5 Dr. C. Doubrava BSI Cloud Computing C Seite 4

5 C5 im Vergleich zu anderen Standards Sicherheitsniveau und Transparenz Sicherheitsniveau ISO CSA CCM SOC 2 ISAE3402 C5 Mindestniveau Transparenz Dr. C. Doubrava BSI Cloud Computing C Seite 5

6 Sicherheitsnachweis Zertifizierung Zertifizierungs -stelle Testierung Kunde Report Anbieter Auditor Anbieter Wirtschaftsprüfer Vertrauenswürdigkeit durch 3 unabhängige Parteien Vertrauenswürdigkeit durch Haftung des WP Kunde kann selbst Report überprüfen Dr. C. Doubrava BSI Cloud Computing C Seite 6

7 Anforderungskatalog Cloud Computing (C5) aus verschiedenen Blickwinkeln Cloud-Anbieter Bestätigung der Sicherheit wenige, effiziente Audits o Keine individuelle Anforderungen o Return-on-Invest auf Audits Cloud-Kunde o Compliance-Nachweis Vertrauenswürdigkeit einfache Überprüfung des CSP Ggf. eigene Anforderungen BSI BSI-Anforderungen Transparente Auditierung Cloud-Nutzer nicht aus Pflicht nehmen Behörden o Gesetzl. Vorgaben einhalten Einfache Beschaffung Sicherheits-Standards von nationalen Stellen Dr. C. Doubrava BSI Cloud Computing C Seite 7

8 C5 Zusammenfassung Angebote für Anwender C5 besteht aus Vorgaben zum Audit Umfeldparameter zur Schaffung von Transparenz 114 Anforderungen, gegliedert in 17 Kontrollbereiche Zusätzlich Mapping auf andere Standards Alles auf deutsch und englisch Weitere BSI-Angebote für Anwender Publikation Sichere Nutzung von Cloud-Diensten Mindeststandard Nutzung externer Cloud-Dienste Dr. C. Doubrava BSI Cloud Computing C Seite 8

9 ESCloud European Secure Cloud Label

10 ESCloud-Label European Secure Cloud Label ist eine Initiative von ANSSI und BSI ANSSI und BSI stellen so gemeinsame Sicherheitsanforderungen auf (core principles) Arbeitsgruppe offen für weitere Länder mit anderen Nachweisen ESCloud-Label erhalten CSP, die SecNumCloud (ANSSI) oder C5 (mit Randbed.) einhalten Ziel: gleiches Sicherheitsniveau sichtbar machen, europäischen Cloud-Markt stärken Dr. C. Doubrava BSI Cloud Computing C Seite 10

11 Vielen Dank für Ihre Aufmerksamkeit! BSI-Stand hier in Halle 10 Kontakt Dr.-Ing. Clemens Doubrava Referatsleiter Tel. +49 (0) Bundesamt für Sicherheit in der Informationstechnik Referat B34 Informationssicherheit in der Cloud und in Anwendungen Godesberger Allee Bonn Dr. C. Doubrava BSI Cloud Computing C Seite 11