Die neuen Cloud-Zertifizierungen nach ISO 27018 und ISO 20000-9

DI Herfried Geyer Fachhochschule St. Pölten, CIS-Auditor

ISO/IEC 27013 Information technology - Security techniques - Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1

ISO/IEC 27017 Information technology -- Security techniques -- Code of practice for information security controls based on ISO/IEC 27002 for cloud services

ISO/IEC 27013 Information technology - Security techniques - Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1

ISO/IEC 27017 Information technology -- Security techniques -- Code of practice for information security controls based on ISO/IEC 27002 for cloud services

ISO 27001 einschließlich der in ISO 27018 referenzierten Maßnahmen

ISO 20000-1 einschließlich der in ISO 20000-9 referenzierten Maßnahmen

Zum Begriff „Cloud“ (- in unserem Kontext) Alle angeführten Normen / Standards beziehen sich begrifflich auf die „ISO 17788:2014 Cloud computing – Overview and vocabulary”, diese kategorisiert „Cloud Services“ aus unterschiedlichen Aspekten etwa der Art der Nutzung:

Infastructure as a Service Platform as a Service Software as a Service Network as a Service Data Storage as a Service

Oder aus der Erbringersicht:

Private Cloud Public Cloud Hybrid Cloud

Ziel /Zweck der ISO 20000-9 Zielgruppe: sind Organisationen, die als

Provider oder im Servicemanagement

mit cloudbasierten Services konfrontiert sind, sowie

Organisationen die mit einer (partiellen) „move to cloud computing“ Anforderung konfrontiert sind.

Szenarien-basierte Darstellung der ISO 20000-9 Anhand von 15 Szenarien, die dem Service Lifecycle entnommen sind, werden Cloud-spezifische Ausprägungen konkretisiert.

Zu jedem Szenario werden auch

Referenzen zu Anforderungen der ISO 20000-1, Empfehlungen zur Anwendung und Beispiele angeführt

Szenarien (Auswahl):

Establish a service relationship with the cloud customer Onboarding the customer Monitor and report cloud services Terminate a cloud service contract

ISO/IEC 27018:2014 verdichtet die IS-Anforderungen an die Zielgruppe durch…

Ergänzende „IS-Controls“ für PII in der Cloud (Wie funktioniert die ISO 27018:2014) 1) Eine Einleitung, …die man tatsächlich lesen sollte!

Wer sind Stakeholder Woraus ergeben sich die Anforderungen Entscheidungsgrundlagen zur Auswahl und Intensität der Maßnahmen

2) Zentraler Teil ist eine Erweiterung der ISO 27002:2013

3) Zusätzlich normativ verankert ist ein Anhang A mit Erweiterungen zu den 11 „privacy principles“ der ISO 29100:2011

Die konkreten Inhalte der ISO 27018… … ergeben sich aus der Forderung europäischer Behörden, einen prüffähigen Rahmen für Cloud-Systeme zu schaffen

Folgende Verpflichtungen für Cloud-Anbieter sind vorgesehen:

Personenbezogene Daten dürfen ausschließlich in Übereinstimmung mit den Vorgaben der Kunden verarbeitet werden. Kunden müssen im Falle der Wahrnehmung von Betroffenenrechten unterstützt werden. Die Herausgabe von Daten an Strafverfolgungsbehörden darf nur bei vorliegender rechtlicher Verpflichtung erfolgen.

Weitere Verpflichtungen für Cloud-Anbieter

Die Offenlegung aller relevanten Unterbeauftragungsverhältnisse sowie der Länder, in denen eine Datenverarbeitung stattfindet, muss vor Vertragsabschluss erfolgen. Cloud-Anbieter müssen jede Art von Sicherheitsverletzung, mit dazugehörigem Datum und den daraus zu erwartenden Konsequenzen sowie die einzelnen Schritte zur Lösung des Problems dokumentieren. Sicherheitsverletzungen müssen unverzüglich gegenüber dem Kunden angezeigt werden.

Weitere Verpflichtungen für Cloud-Anbieter

Die Kunden müssen bei der Wahrnehmung ihrer Anzeigepflichten im Fall von Verstößen gegen die Datensicherheit unterstützt werden. Es müssen verbindliche Regeln für die Übermittlung, Rückgabe und Verwendung personenbezogener Daten implementiert werden. Die Anbieter müssen sich verpflichten, die angebotenen Cloud-Dienstleistungen in regelmäßigen Intervallen oder aber bei größeren Systemumstellungen durch unabhängige Dritte überprüfen zu lassen.

Beispiel: Verpflichtungen aus ISO/IEC 29100

Verpflichtung, alle Staaten, in denen die betreffenden Daten möglicherweise gespeichert sind zu identifizieren und zu dokumentieren. Kopien von Security Policies und Betriebsdokumentationen sind auch nach deren außer Kraft treten zur Nachweisführung zumindest 5 Jahre aufzubewahren. Temporäre Dateien sind nach einer festgelegten Zeitspanne zuverlässig zu löschen. Dokumentierte Richtlinien zum Verfahren bei Rückgabe, Transfer oder Vernichtung der Daten.

Fazit:

Die ISO 27018 harmoniert ausgezeichnet mit den Anforderungen der ISO 20000-9. Das Backbone der ISO 27018 ist die europäische DS-GVO. Mehrwert durch klare Regeln für Auftraggeber und Provider Erweitert die „Controls“ der ISO 27002 um die 11 „privacy principles“ der ISO 29100 Beschreibt fundamentale Aspekte zu „privacy by design“ Ist deutlich mehr als ein technischer Standard im Sinne von Compliance-Anforderungen Die Verpflichtungen bedienen alle Arten von Informationen

Bemerkens- und lesenswertes im Kontext der ISO/IEC 27018 und ISO/IEC 20000-9:

ISO 27013 Integrated implementation of ISO 27001 and ISO 20000-1

ISO 17788 Cloud computing -- Overview and vocabulary ISO 17789 Cloud computing -- Reference architecture ISO 29100 Security techniques -- Privacy framework ISO 29101 Security techniques -- Privacy architecture framework BSI „Sicherheitsempfehlungen für Cloud Computing Anbieter“ NIST SP 800-146 „Cloud Computing Synopsis and Recommendations“