Sicherheit und Compliance in der Cloud: Regulatorische Anforderungen und Good-Practice Frameworks

Transkript

1 Sicherheit und Compliance in der Cloud: Regulatorische Anforderungen und Good-Practice Frameworks Birgit Eschinger, EY Österreich Mai 2019

2 Widerstand gegenüber Cloud Computing nimmt ab 2 von 3 Unternehmen setzen auf Cloud Computing Sicherheitsbedenken nehmen zu 1. Unberechtigter Zugriff 2. Verlust von Daten 3. Unklarheit hinsichtlich der Rechtslage DSGVO Konformität als Top-Kriterium bei Anbieterauswahl [Cloud-Monitor 2018, Bitkom Research GmbH] Page 2

3 1 Regulatorische Anforderungen 2 Frameworks und Good-Practice Standards 3 Fazit Page 3

4 DSGVO und Cloud Computing DSGVO sämtliche personenbezogene Daten von EU-Bürgern Nutzer = Auftraggeber Anbieter = Auftragsverarbeiter Auftragsverarbeitungsvereinbarung! Key-Points: Doing kann ausgelagert werden, Risiko nicht Compliance-Regeln mit dem Dienstleister abstimmen Dokumentations- und Informationspflichten geeignete technische und organisatorische Maßnahmen (TOMs) physischer Speicherort Page 4

5 NISG und Cloud Computing NIS-RL (EU) zu NISG (Netz- und Informationssystemsicherheitsgesetz) NISG Betreiber wesentlicher Dienste Anbieter digitaler Dienste und Einrichtungen des Bundes Online Marktplatz Online Suchmaschine Cloud Computing-Dienst! Key-Points: Sicherheitsvorfälle müssen an das nationale CERT gemeldet werden geeignete technische und organisatorische Sicherheitsvorkehrungen Page 5

6 EBA Leitlinien und Cloud Computing EBA Leitlinien Cloud Computing Kreditinstitute, Zahlungsinstitute und E-Geldinstitute 25 Bankwesengesetz (BWG)! Key-Points: Meldung der Auslagerung an Aufsichtsbehörde und Register aller Auslagerungen Risikomanagement und Reporting Anbieter muss sich bestimmten Maßnahmen (Zugangsrecht, Prüfrecht, Vertraulichkeit) verpflichten Notfallplan und klar geregelte Ausstiegsstrategie Page 6

7 1 Regulatorische Anforderungen 2 Frameworks und Good-Practice Standards 3 Fazit Page 7

8 Auszug gängiger Frameworks Allgemein IAASB ISAE 3402, 3000 AICPA SOC1, SOC2, SOC3 IDW PS 951 ISO/IEC COBIT 5 Cloud-spezifisch BSI C5 ANSSI SecNumCloud CSA STAR EuroCloud Star IDW RS FAIT 5 SaaS-EcoSystem Trust in Cloud ISO und viele mehr Page 8

9 BSI: Cloud Computing Compliance Controls Catalogue (C5) Bundesamt für Sicherheit der Informationstechnik Mindestniveau der Informationssicherheit für Cloud-Dienste Sicherheitsanforderungen Transparenzkriterien basiert auf gängigen Standards ISO/IEC 27001:2013 CSA STAR CCM ANSSI SecNumCloud AICPA Trust Service Principles IDW ERS FAIT 5 BSI Grundschutz Anforderungsbereiche Application & Interface Security Audit Assurance & Compliance Business Continuity Management & Operational Resilience Change Control & Configuration Management Data Security & Information Lifecycle Management Datacenter Security Encryption & Key Management Governance and Risk Management Human Resources Identity & Access Management Infrastructure & Virtualization Security Interoperability & Portability Mobile Security Security Incident Management, E-Discovery, & Cloud Forensics Supply Chain Management, Transparency, and Accountability Threat and Vulnerability Management Anti-Virus / Malicious Software Page 9

10 CSA: Security, Trust and Assurance Registry (STAR) Cloud Security Alliance verschiedene Levels, z.b.: Level 1: Self-Assessment Level 2: Attestation (SOC2/ISAE 3000) Certification (ISO 27001) CSA Cloud Controls Matrix STAR Registry Page 10 Organisation of information security Security policies and work instructions Personnel Asset Management Physical security Safeguards for regular operations Identity and Access Management Cryptography and Key Management Communications Security Portability and interoperability Procurement, Development and Maintenance of Information Systems Control and Monitoring of Service Providers and Suppliers Security Incident Management Business Continuity Management Security Check and Verification Compliance and Data Protection Mobile Device Management Anforderungsbereiche

11 1 Regulatorische Anforderungen 2 Frameworks und Good-Practice Standards 3 Fazit Page 11

12 Fazit Was gilt es zu beachten für Nutzer Cloud Strategie erstellen (auch Exit und möglichen Lock-In Effekt mitbetrachten) Vertragsgestaltung (Right-to-Audit) Schutzbedarf bestimmt Schutzmaßnahmen entsprechenden Anbieter wählen Regulatorische Anforderungen in Auge behalten für Anbieter Bedürfnisse der Kunden beachten Effiziente Audits Synergien zwischen den einzelnen Frameworks nutzen Regulatorische Anforderungen im Auge behalten Page 12

13 Kontaktinformationen Birgit Eschinger Manager, Advisory Services Birgit Eschinger ist Manager im Bereich Advisory Services bei Ernst & Young Management Consulting GmbH mit Fokus auf Informationssicherheit, Compliance und Datenschutz. Neben nationalen und internationalen Erfahrungen im Security-, und Datenschutzbereich verfügt sie über mehrjährige Erfahrung in den Bereichen Compliance, IKS und IT-Audit. Page 13