Cloud Security Compliance in der Cloud sicherstellen Managed Hosting Cloud Hosting Managed Services
Cloud Security Andreas Bachmann Chief Information Officer Adacor Group
Adacor Group Enterprise Hosting und Cloud Lösungen für Konzerne und Mittelstand vserver, dedizierte Server und Private Cloud für Mittelstand und Agenturen Consulting und Managed Services für AWS, Azure und Google Cloud
Thema Compliance in der Cloud... und wie man sie erreicht.
Wo starten? Welche Regularien gelten für mich? Welche Maßnahmen muss ich treffen? Wie ist die Abgrenzung zwischen meinem Unternehmen und dem Cloud Provider?
Regularien Datenschutz (EU-DSGVO) Informationssicherheit (KonTraG) Informationssicherheits-Management Internes Kontrollsystem Risikomanagement
Regularien MaRisk, BAIT für Finanzinstitute VDA ISA für Automobilbranche Kritis für wichtige Infrastrukturen Sozialgeheimnis Gesundheitswesen
Regularien Regularien: Definieren Anforderungen an Unternehmen Auflagen und Strafen bei Nichteinhaltung Lassen Spielraum wie die Compliance sichergestellt werden kann
Frameworks Frameworks: Z.B. ISO, BSI, Internes Kontrollsystem, ITIL Unterstützen bei der Compliance Bieten Best Practices Ermöglichen Auditierung und Zertifizierung
Compliance Frameworks und Regulatorien zusammenführen: Datenschutz à ISO 27018 / TOMs Informationssicherheit à ISO 27001 IT Prüfung à ITIL / IDW PS 330 / IDW PS 951
Kontrollziele und Kontrollen Kontrollziele à Vorgaben des Frameworks Kontrollen à Maßnahmen zur Erreichung der Kontrollziele
Kontrollziele und Kontrollen Kontrollziel: Änderungen an IT-Systemen werden dokumentiert. Kontrolle: Eine CMDB ist implementiert und es existieren Richtlinien für Administratoren zur Dokumentation von Änderungen.
Vorgehen Und jetzt...... kommt noch die Cloud dazu.
Vorgehen Schritt 1: Regularien sind bekannt und Kontrollziele und Kontrollen dokumentiert!
Vorgehen Schritt 2: Definieren Sie die Schnittstellen und Abgrenzungen zu Ihren Cloud Providern.
Vorgehen Schritt 3: Prüfen Sie Testate, Maßnahmen und Zertifizierungen bezogen auf die Schnittstellen.
Vorgehen im Detail Schnittstellen und Abgrenzung: Provider Compliance Carve-Out! Verantwortlichkeiten definieren Kontrollen abgleichen
Vorgehen im Detail Provider Compliance Cloud Modell Provider- und Serverstandort Zertifizierungen und Testate Vertragliche Regelungen
Vorgehen im Detail Carve-Out Ihr Unternehmen Cloud Provider Internes Auditprogramm
Vorgehen im Detail Verantwortlichkeiten definieren Private Cloud, Public Cloud, Hybrid Cloud IaaS, PaaS, XaaS à Managed oder Unmanaged OS à Plattform à Application à User Management Sicherheitsmanagement
Sicherheitsmanagement Organisation Betrieb VDA ISA Stufe 3 IDW PS 951 Typ 2 ISMS Security Team Datenschutz- Management Patch Management Plattform ISAE 3402 Systemhärtung Monitoring Type 2 Jährliche Verpflichtungen Incident Response Vulnerability Scanning Jährliche Schulungen 24/7 Bereitschaft Web Application Firewall Interne Revision Fachpersonal Compliance Management Persönlicher Project Lead Hardware Netzwerk ISO 27001 Audit in 2018 24h Hardware Tests VPN Individuelle Server Netz- Segmentierung Sichere Entsorgung DDOS Protection Firewalls Intrusion Detection 2 Faktor Auth. Rechenzentrum ISO 27001 Zutrittskontrollen Brandschutz Tier 3/4 USV Notstrom Standort Frankfurt 24/7 Leitstelle
Vorgehen im Detail Kontrollen abgleichen Datenschutz ISMS IT Prüfung IT-Sicherheit à Provider TOMs à ISO 27001 Zertifikat à IDW PS 951 Typ 2 Testat à z.b. BSI C5 oder SOC2
Vorgehen im Detail Kontrollen auditieren Lieferanten in Risikomanagement einbeziehen Internes Auditprogramm etablieren Lieferantenprüfungen durchführen Optional: Vor-Ort Audits
Vorgehen im Detail Risikomanagement https://blog.adacor.com/leitfaden-betriebliches-risikomanagement_1517.html
Vorgehen im Detail Provider must haves! Datenschutzkonzept Sicherheitskonzept Externe Überprüfung (ISO 27001, PS 951, etc.)
Fazit Compliance in der Cloud ist machbar. Ein guter Provider ist dabei hilfreich.
Fragen?
Kontakt Andreas Bachmann Geschäftsführer / CIO Vielen Dank! Telefon +49 (0)69 900299 22 Telefax +49 (0)69 900299 8 22 Email andreas.bachmann@adacor.com Sales sales@adacor.com ADACOR Hosting GmbH Emmastr. 70a 45130 Essen