Mindeststandard BSI: Nutzung externer Cloud-Dienste
0,00 €
Preise inkl. MwSt
Netto Preis: 0,00 €
Versandkostenfrei
Der Bedarf an sicheren Cloud-Diensten nimmt auch in der Bundesverwaltung stetig zu. Dabei können sich in der Praxis die Anwendungsbereiche stark unterscheiden, sodass auch in Abhängigkeit vom Schutzbedarf der zu verarbeitenden Daten die Informationssicherheit eine zunehmend zentrale Rolle einnimmt. Die Einforderung und Umsetzung von Sicherheitsanforderungen ist daher ein wichtiger Bestandteil bei der Inanspruchnahme von Cloud-Diensten. Vor diesem Hintergrund hat das BSI zielgerichtete Sicherheitsanforderungen als Mindeststandard nach § 8 Abs. 1 BSIG erarbeitet.
Dieser Mindeststandard greift die Themenkomplexe Informationssicherheit, Transparenz der Cloud-Diensterbringung und Nachweis über diese Aspekte durch geeignete Prüfungen auf. Rahmenbedingungen für die Cloud-Diensterbringung werden konkretisiert. Zudem wird vorgegeben, wie die Prüfnachweise des Cloud-Anbieters für das Informationssicherheitsmanagement der jeweiligen Einrichtung (Stelle des Bundes im Sinne des § 8 Abs. 1 BSIG) genutzt werden sollen. Unberührt bleibt jedoch die Verantwortung für die IT-Objekte, die die Einrichtung im Rahmen ihrer IT-Grundschutzkonzeption innehat. Letztere wird durch die Nutzung externer Cloud-Dienste angepasst.
Das BSI hat mit der sogenannten Nutzung und Mitnutzung externer Cloud-Dienste zwei wesentliche Anwendungsbereiche identifiziert, die für die Bundesverwaltung von besonderer Bedeutung sind und im Mindeststandard thematisiert werden. Bei der klassischen Cloud-Nutzung hat die Bundesbehörde einen Bedarf an einer IT-Leistung, die nicht durch eigene IT-Ressourcen, sondern über einen externen Cloud-Dienst erbracht werden soll. Hierbei handelt es sich letztendlich um eine sogenannte Make-or-Buy-Entscheidung der Einrichtung. Sofern sich die Einrichtung für die "Buy"-Option entscheidet, schließt diese mit einem Wirtschaftsunternehmen (Cloud-Anbieter) einen Vertrag über die Erbringung der IT-Leistung ab. Die Einrichtung nimmt somit die Rolle des Auftraggebers ein. Nach Einschätzung des BSI handelt es sich hierbei um den Regelfall bei der Inanspruchnahme von externen Cloud-Diensten durch Einrichtungen.
Hinzu kommen jedoch auch Bereiche, die hier als Mitnutzung bezeichnet werden. Dabei nehmen IT-Anwender einer Einrichtung externe Cloud-Dienste in Anspruch, ohne dass zwischen der Einrichtung und dem eigentlichen Cloud-Anbieter ein Vertragsverhältnis besteht. Somit ist die Einrichtung in diesen Fällen nicht Auftraggeber des Cloud-Dienstes. Insbesondere wenn IT-Anwender im Rahmen von (internationalen) Projekten oder Arbeitsgruppen institutionsübergreifend zusammenarbeiten wollen, wird diese Form der Mitnutzung immer häufiger gewählt. Da einige Sicherheitsanforderungen aus dem Mindeststandard zur Nutzung externer Cloud-Dienste - insbesondere zur Beschaffungsphase - regelmäßig zu weit greifen, regelt ein Kapitel zur Mitnutzung diesen Anwendungsbereich und hilft somit bei der Bewertung solcher Dienste.
Der Mindeststandard wurde auf die Version 2.1 aktualisiert. Ebenso wurden die Umsetzungshinweise und die Referenztabelle aktualisiert: Die Umsetzungshinweise erläutern die neue Version des Mindeststandards im Hinblick auf die Umsetzungsaspekte. Die Referenztabelle basiert auf dem aktuellen IT-Grundschutz-Kompendium (Edition 2022) und berücksichtigt nun nur noch die im Mindeststandard explizit erwähnten IT-Grundschutz-Bausteine bzw. -Anforderungen.
Ihr Nutzen auf einen Blick
Mit dem Produkt verinice Mindeststandard zur Nutzung externe Cloud-Dienste erhalten Sie zahlreiche Vorteile:
-
Schnelleres Erreichen eines Mindestsicherheitsniveaus Ihrer Informationssicherheit
-
Zentrales Verwalten Ihrer Informationssicherheit in einem Tool
-
Geringeren Aufwand und komfortableres Arbeiten durch Fusionierung der Anforderungen des Mindeststandards, sowie Verknüpfung mit dazugehörigen Umsetzungshinweisen. Dadurch haben Sie alle wichtigen Anforderungen im Überblick und ersparen sich das ständige hin und her Wechseln von Anwendungen.
-
Unkomplizierte Integration des C5- Kriterienkatalogs, den Sie zur Überprüfung Ihrer Cloud-Anbieter benötigen
-
Intuitives Zusammenführen per Drag & Drop bspw. des Bausteins OPS.2.2 Cloud Nutzung des IT-Grundschutz-Kompendiums
-
Sie können sich voll und ganz auf die Umsetzung der Sicherheitsanforderungen fokussieren
-
Dokumentation des gesamten Mindeststandards möglich
-
Gewinn eines ersten und immer aktuellen Umsetzungsstatus der Anforderungen
-
Ausführen von zahlreichen Reports, entweder mit den Standard-Reportvorlagen oder mit Hilfe des Report-Assistenten
Lieferumfang
Der Download (.ZIP-Format) enthält:
-
eine Anleitung im PDF-Format.
-
den verinice Mindeststandard Nutzung externer Cloud-Dienste als .VNA-Datei zum Import in verinice ab Version 1.26 und höher. Mit folgenden Inhalten:
-
Sicherheitsanforderungen des Mindeststandards des BSI zur Nutzung externer Cloud-Dienste,
-
Umsetzungshinweise zum Mindeststandard des BSI zur Nutzung externer Cloud-Dienste
Weiterführende Informationen
Diskussion im verinice.FORUM: https://forum.verinice.com/
Videos auf YouTube: https://www.youtube.com/c/verinice/videos
Autorenschaft und Urheberrecht
Mindeststandard des BSI zur Nutzung externer Cloud-Diensten nach § 8 Absatz 1 Satz 1 BSIG – Version 2.1 vom 15.12.2022
Umsetzungshinweise zum Mindeststandard des BSI zur Nutzung externer Cloud-Dienste nach § 8 Abs. 1 BSIG, Version 2.1 vom 15.12.2022
© 2022
Bundesamt für Sicherheit in der Informationstechnik
Postfach 20 03 63
53133 Bonn
verinice Mindeststandard Externe Cloud-Dienste V2.1:
© 2023
SerNet Service Network GmbH
Bahnhofsallee 1b
37081 Göttingen