Mindeststandard zur Nutzung externer Cloud-Dienste
Der Mindeststandard betrachtet die Phasen Beschaffung, Einsatz und Beendigung von Cloud-Diensten. Für jeden Prozess werden entsprechende Anforderungen zur Erhöhung der Informationssicherheit aufgestellt.
Relevante Sicherheitsanforderungen wurden dabei auch anhand bereits existierender Standards, Normen und Regelungen identifiziert. Relevante Quellen nach Auffassung des BSI:
- IT-Grundschutz-Kataloge
- Beschluss Nr. 05/2015 des Rates der IT-Beauftragten der Ressorts
- Anforderungskatalogs Cloud Computing des BSI (C5)
- So sind die IT-Grundschutzkataloge für die Stellen des Bundes zur Risikoanalyse und -bewertung im Bereich der Informationssicherheit maßgeblich.
- Der Beschluss Nr. 05/2015 regelt Bereiche der Informationssicherheit, des Datenschutzes und der Wirtschaftlichkeit von Cloud-Diensten.
- Der C5 adressiert vorrangig Cloud-Anbieter und definiert Basisanforderungen für die Informationssicherheit, die aus Sicht des BSI nicht unterschritten werden sollten.
Verpflichtung für Bundesbehörden
Stellen des Bundes haben bei einer Nutzung von externen Cloud-Diensten zu berücksichtigen, dass mindestens die Basisanforderungen des C5 vom Cloud-Anbieter erfüllt werden.
Richtungsweisender Mindeststandard
Dieser Mindeststandard greift die Themenkomplexe
- Informationssicherheit,
- Transparenz der Cloud-Diensterbringung und
- Nachweis über diese Aspekte durch geeignete Prüfungen auf.
- Rahmenbedingungen für die Cloud-Diensterbringung werden konkretisiert.
Zudem wird vorgegeben, wie die Prüfnachweise des Cloud-Anbieters für das Informationssicherheitsmanagement der jeweiligen Stelle des Bundes genutzt werden sollen. Daneben bleibt die Verantwortung für die IT-Objekte, die die Stelle des Bundes im Rahmen ihrer IT-Grundschutzkonzeption innehat, unberührt und wird durch die Nutzung externer Cloud-Dienste lediglich angepasst.
