< c
lick in p
resenta
tion
mode
toupdate
Uwe Rühl
Zertifizierung von Cloud Information Security?ISO/IEC 27017 und ISO/IEC 27018 - was geht und was geht nicht.
Öffentlich | v1.0CEBIT 2017 | RUCON Gruppe
© RUCON Gruppe 2Öffentlich | v1.0
Die RUCON Gruppe
RUCON Management
GmbH
(Projekte)
RUCON Service GmbH
(Services)
RUCON System GmbH
(Systeme)
Unsere Schwerpunkte:
Informationssicherheitsmanagement (ISMS)
Business Continuity Management (BCMS)
Risikomanagement
Krisenmanagement
Integrierte Managementsysteme
Wir sind auch als berufene Auditoren unterwegs.
© RUCON Gruppe 3Öffentlich | v1.0
Agenda
Ab in die Cloud – Was ist die Cloud?
Wolkige Mythen
Was sagt die ISO/IEC 27000-Reihe dazu?
Was sind die Herausforderungen?
Der wolkige Ausblick
< c
lick in p
resenta
tion
mode
toupdate
Ab in die Cloud – Was ist die Cloud?
© RUCON Gruppe 5Öffentlich | v1.0
Vgl.: https://de.wikipedia.org/wiki/Cloud_Computing
Ausführung von Programmen, die nicht auf dem lokalen Rechner installiert sind, sondern auf einem anderen Rechner, der aus der Ferne
aufgerufen wird.
Definition: Cloud Computing
© RUCON Gruppe 6Öffentlich | v1.0
NIST – National Institute of Standards and Technology
IaaS – Infrastructure as a Service
PaaS – Platform as a Service
SaaS – Software as a Service
Definition durch NIST - Servicemodelle
© RUCON Gruppe 7Öffentlich | v1.0
NIST – National Institute of Standards and Technology
Public Cloud
Private Cloud – in einer Organisation
Hybrid Cloud – Mischung a) und b)
Community Cloud – geschlossener Nutzerkreis
Virtual Private Cloud –öffentliche Infrastruktur, aber geeignete Abschottung
Definition durch NIST - Liefermodelle
© RUCON Gruppe 8Öffentlich | v1.0
Selbstzuweisung von Leistungen (self-service provisioning)
Skalierbarkeit (scalability)
Zuverlässigkeit und Ausfalltoleranz (reliability und fault-tolerance)
Optimierung und Konsolidierung
Qualitätssicherung (QoS)
Charakteristika nach NIST
NIST – National Institute of Standards and Technology
© RUCON Gruppe 9Öffentlich | v1.0
Definition in ISO/IEC 27000
© RUCON Gruppe 10Öffentlich | v1.0
3.7 Public Cloud Service ProviderParty which makes cloud service available according to the public cloudmodel.
Definition in ISO/IEC 27018
< c
lick in p
resenta
tion
mode
toupdate
Wolkige Mythen
© RUCON Gruppe 12Öffentlich | v1.0
„Die Anbieter wissen schon, was Sie tun.
Außerdem müssen sie sich ja an das geltende Recht halten und das Recht schützt uns…“
Lassen Sie uns zwei Extreme anschauen…
© RUCON Gruppe 13Öffentlich | v1.0
Quelle: http://www.wiwo.de/technologie/digitale-welt/cloud-wie-sicher-sind-diese-dienste/6288784-4.html; Abruf: 09.03.2017
© RUCON Gruppe 14Öffentlich | v1.0
Quelle: Michael Kroker, „Cloud. Was Sie über die Wolke wissen müssen“ (in Wirtschaftswoche online), http://www.wiwo.de/technologie/digitale-welt/cloud-wie-sicher-sind-diese-dienste/6288784-4.html; Abruf 09.03.2017
„Wie sicher sind diese Dienste?
Technisch sind alle Cloud-Dienste sicher. Das heißt: Die Datenkommunikation zwischen lokalem Rechner und dem Internet-Dienst geschieht verschlüsselt, sodass Unbefugte den Verkehr nicht einfach mitschneiden können.
Zudem ist der Zugriff auf einen Cloud-Dienst passwortgeschützt. Weil Hacker-Angriffe dennoch nie auszuschließen sind, sollten Anwender bei der Nutzung von Cloud-Diensten ähnlich verfahren wie bei sozialen Netzwerken, etwa bei Facebook: Ausschließlich in die Cloud sollten grundsätzlich nur Dateien und Informationen, deren Verlust schlimmstenfalls verschmerzbar ist.“
© RUCON Gruppe 15Öffentlich | v1.0
„Alles wird mitgelesen.
Die Geheimdienste, die Dienstanbieter…
Die einen wollen nur Kohle machen, die anderen uns gnadenlos überwachen…“
Und jetzt das andere Extrem…
© RUCON Gruppe 16Öffentlich | v1.0
Quelle: „Der Geheimdienst liest mit“ (in Badische Zeitung online http://www.badische-zeitung.de/computer-medien-1/der-geheimdienst-liest-mit--128281037.html, Abruf 09.03.2017
© RUCON Gruppe 17Öffentlich | v1.0
Die liegt wahrscheinlich irgendwo dazwischen…
Und die Wahrheit?
© RUCON Gruppe 18Öffentlich | v1.0
Meine Meinung ist:
„Niemand ist eine abgeschottete Insel.
Unternehmen müssen kommunizieren, müssen Informationen austauschen und Informationen bereitstellen.
Eine Abschottungsstrategie wird uns nicht helfen. Ein blindes Vertrauen aber auch nicht.“
< c
lick in p
resenta
tion
mode
toupdate
Was sagt die ISO/IEC 27000-Reihe dazu?
© RUCON Gruppe 20Öffentlich | v1.0
Noch einmal:
In der ISO/IEC 27001 gibt es keine Definition, was Cloud Computing bedeutet.
Also:
Halten wir uns am besten an NIST oder vergleichbare Definitionen!
ISO/IEC 27001 & Cloud Computing
© RUCON Gruppe 21Öffentlich | v1.0
Die ISO/IEC 27001 folgt dem Konzept der „Organisation“.
Darum lassen Sie uns eine Organisation anschauen:
ISO/IEC 27001
© RUCON Gruppe 22Öffentlich | v1.0
Quelle: „Hartmann Schedel, „Weltchronik 1493“, Blatt C
© RUCON Gruppe 23Öffentlich | v1.0
Ebene Aspekte Abgrenzung (Beispiele)
Organizational Scope Geschäftsprozesse Unterstützungsprozesse Aktivitäten
Verträge Aufbau- und
Ablauforganisation OLA`s
ICT Scope Informationsverarbeitende
Einrichtungen IT Systeme
Netzzonen ISO-OSI-Modell
Physischer Scope Räume Racks
Zutrittskontrollierbare Bereiche
ISO/IEC 27003
Empfehlungen auf 3 Ebenen…
© RUCON Gruppe 24Öffentlich | v1.0
Primary Assets (ISO 27005)
• Informationen
• Business Processes
Supporting Assets (ISO/IEC 27005)
• Hardware, Netzwerk, Software…
Technical Services (Hilfsebene)
Information Processing Facilities(ISO/IEC 27000)
(alternativ: Information Systems oder Business Services)
© RUCON Gruppe 29Öffentlich | v1.0
Muss direkt gesteuert werden
8.1
A.15.1.1
A.15.1.2
A.15.2.1
A.15.2.2
Muss den Auftrag gebenden Unternehmen durch Auftrag-nehmer nachgewiesen werden
A.15.1.3
Ausgelagerte Prozesse
© RUCON Gruppe 30Öffentlich | v1.0
Was heißt das nochmal konkret?
1. Kenne Deinen Anwendungsbereich, vor allem seine Grenzen!
2. Kenne die Abhängigkeiten zu externen Dienstleistungserbringern!
3. Erkenne Deine Geschäftsinformationen und bewerte deren Wertigkeit („Klassifizierung“)!
4. Analysiere und behandle Risiken!
5. Behandle Beziehungen zu Dienstleistungserbringern abhängig der Risiken!
< c
lick in p
resenta
tion
mode
toupdate
Was sind die Herausforderungen?
© RUCON Gruppe 36Öffentlich | v1.0
Steigendes Interesse an sektorspezifischen Zertifizierungen
ABER: ISO/IEC 27001 ist eine generelle Basis für ISMSe
Zertifizierungsstellen können z.B. Cloud Service ISMS Zertifizierungen auf Basis ISO/IEC 27001 und ISO/IEC 27017/27018 anbieten
Momentan sehen wir vor allem non-accredited Zertifizierungen wie CSA (Cloud Security Assessment)!
Die Herausforderung
© RUCON Gruppe 37Öffentlich | v1.0
ISO/IEC 27001 – Requirements for Information Secuity Management Systems – Certification Standard
ISO/IEC 27009 – Sector specific ISMS
ISO/IEC 27017 Cloud Service
Provider
ISO/IEC 27018 Cloud Service
PII
ISO/IEC 27002 Implementation
Guidance
Additional guidance
Reference
Implementation guidance
© RUCON Gruppe 38Öffentlich | v1.0
Fazit
Es werden spezifische Zertifizierungen möglich, aber immer auf Basis eines ISMS nach ISO/IEC 27001
Sektorspezifische Normen konkretisieren, interpretieren, ergänzen ISO/IEC 27001, insbesondere Anhang A
© RUCON Gruppe 39Öffentlich | v1.0
Information Security Policy
Kernthemen ISO/IEC 27017 und ISO/IEC 27018
Roles andResponsibilities
Access Control
CryptographicControls
Equipment andAssets
OperationsSecurity
Information Transfer
Information Security Incident
Management
Information Security Reviews
Personally Identifiable Information (PII) Protection
© RUCON Gruppe 50Öffentlich | v1.0
Im Rahmen der Masterarbeit
Informationssicherheit in LieferantenbeziehungenSupplier Management aus Sicht der ISO/IEC 27001:2013
Einfache Zufallsstichproben von Unternehmen D-A-CH
Schriftliche Befragung über Online-Fragebogen
167 Rückläufer
82 % der Rückmeldungen aus Deutschland
Jeweils 9 % aus Österreich und der Schweiz
Unternehmensbefragung
© RUCON Gruppe 51Öffentlich | v1.0
Hypothesen
Informationsklassifizierung wird nur vereinzelt angewendet
Unzureichende Kenntnis über rechtliche, behördliche und vertragliche Informationssicherheit vorhanden
Konkrete Maßnahmen werden in der Minderheit vereinbart
Überwachung erfolgt meist reaktiv
Ein Kriterienkatalog für Maßnahmen wird für sinnvoll gehalten
Eine Zertifizierung von Dienstleistern wird als hilfreich empfunden
< c
lick in p
resenta
tion
mode
toupdate
Der wolkige Ausblick
© RUCON Gruppe 53Öffentlich | v1.0
Alles kann, nichts muss…
Information Security sollte weder Enabler noch Bremser sein, sondern „Prozessbegleiter“.
Wir kommen faktisch um „Cloud Services“ nicht mehr herum.
Informationsklassifizierung spielt eine wesentliche Rolle als Basis für risikoorientierte Maßnahmen.
Zertifizierung von „Cloud Services“ ist möglich und kann ein Element in der Dienstleistersteuerung sein.
Herausforderung: legale, aber doch unerwünschte, Zugriffe auf Informationen und deren Auswertung
Vielen Dank!
Welche Fragen haben Sie noch?
Top Related