Anleitung zur sicheren Konfiguration, Bereitstellung und Nutzung von Cloud Services (Cloud-Sicherheit)
Haben Sie Vertrauen in die Cybersicherheit!
Wenn Sie und Ihre Lieferanten Systeme entwerfen und bauen, werden Sie Mechanismen einbauen, um die Wahrscheinlichkeit von Cyber-Sicherheitsproblemen zu verringern und Massnahmen einführen, die den Schaden im Falle eines Problems minimieren.
Aber wie sicher können Sie sein, dass diese wichtigen Massnahmen vorhanden sind und wie vorgesehen funktionieren? Nachfolgend sind einige der Möglichkeiten aufgeführt, wie Sie das Vertrauen gewinnen können, dass Sicherheitsmassnahmen echt und wirksam sind.
Am unteren Ende der Skala kann dies eine einfache Zusage eines Lieferanten bedeuten, ohne dass ein Versuch zur Überprüfung unternommen wird.
Im oberen Bereich kann es zum Einsatz von unabhängig voneinander gesicherten Komponenten in einer von einem qualifizierten Fachmann genehmigten und möglicherweise unabhängig geprüften Konfiguration kommen.
Es ist zu beachten, dass sich die folgenden Ansätze nicht gegenseitig ausschliessen. Viele von ihnen können kombiniert werden, um ein höheres Mass an Vertrauen zu schaffen.
1. Behauptung oder Verpflichtung eines Lieferanten
Der Lieferant beschreibt, wie sein Dienst Ihre Sicherheitsziele erfüllt, ist aber nicht bereit (oder nicht in der Lage), den Nachweis einer unabhängigen Validierung zu erbringen.
Sie sind in der Tat auf die Ehrlichkeit, Genauigkeit und Vollständigkeit der Aussagen des Lieferanten angewiesen.
Was es zu beachten gilt:
- den Grad der Sicherheitsreife des Dienstleisters
- ob er über ein seriöses internes Sicherheitsteam verfügt
- dessen Ansatz für proaktive Tests
- historische Beweise dafür, wie er auf Sicherheitsprobleme reagiert hat
- ob es Ihnen erlaubt ist, Ihre eigenen Sicherheitstests durchzuführen.
2. Vertragliche Verpflichtung eines Lieferanten
Mit Waren verbundene Dienstleistungen sind oft mit Allgemeinen Geschäftsbedingungen oder Lizenzvereinbarungen verbunden, die Sie nicht ändern können. In Situationen, in denen Sie in der Lage sind, Vertragsbedingungen auszuhandeln, müssen Sie jedoch sicherstellen, dass diese Ihren Bedürfnissen genau entsprechen.
Was es zu beachten gilt:
- Die Sicherheitsanforderungen sollten spezifisch und messbar sein, da Klauseln, die zu allgemein sind, Kosten verursachen können, einen begrenzten Wert haben und möglicherweise nicht durchsetzbar sind.
- u viele Vorschriften machen zu wollen kann zu Spannungen führen.
- Versuchen Sie mit den Lieferanten zusammen einen gemeinsamen Risikoansatz zu erstellen, damit diese versuchen, das Richtige zu tun und nicht nur das, was im Vertrag steht.
- Überlegen Sie, ob und wie Sie überprüfen können, ob die Vertragsklauseln eingehalten werden.
3. Unabhängige Validierung
Ein unabhängiger und sachverständiger Dritter überprüft und bestätigt Ihre eigenen Bemühungen oder die Verpflichtungen, die Ihnen gegenüber von einem Lieferanten eingegangen wurden. Dies kann Ihnen helfen, den Aussagen oder Verpflichtungen des Lieferanten zu vertrauen. Es kann Ihnen auch bestätigen, dass Ihre eigenen Bemühungen gut konzipiert und umgesetzt sind.
3.1 Validierung durch einen unabhängigen Dritten
Ein unabhängiger Dritter hat bestätigt, dass die von einem Lieferanten gemachten oder von Ihnen geltend gemachten Ansprüche oder Verpflichtungen wahr sind. Entscheidend ist, dass in diesem Fall das Vertrauen nicht aus der Einhaltung einer bestimmten Norm resultiert.
Was es zu beachten gilt:
- ob der Dritte über die erforderlichen Fähigkeiten verfügt, um eine solche Überprüfung durchzuführen.
- das Ausmass, in dem der Dritte Ihre Aussagen oder die Verpflichtungen Ihres Lieferanten überprüft hat.
3.2 Einhaltung eines anerkannten und geeigneten Standards
Der Cloud-Service verfügt über ein gültiges Zertifikat über die Einhaltung einer anerkannten Norm.
Was es zu beachten gilt:
- der Umfang der Zertifizierung/Validierung sollte sicherstellen, dass alle dienstleistungsrelevanten Kontrollen durch die Zertifizierung abgedeckt sind.
- ob der Auditor verifiziert hat, dass Kontrollen vorhanden und wirksam sind – er hat möglicherweise nur festgestellt, dass Kontrollen existieren oder dass eine Richtlinie zu ihrer Verwendung existiert.
- die Fähigkeiten und Kompetenzen des Auditors – Überprüfung, ob der Auditor über eine angemessene Qualifikation verfügt.
3.3 Unabhängige Tester validieren die Implementierung von Kontrollen.
Unabhängige Tester, wie z.B. qualifizierte Penetrationstester, haben die Wirksamkeit der Sicherheitskontrollen, die Sie oder Ihr Lieferant geltend gemacht haben, bewertet.
Was es zu beachten gilt:
- Die Tester sollten über geeignete, von der Industrie anerkannte Qualifikationen für die von ihnen durchgeführten Prüfungen verfügen.
- Die Tests werden die Sicherheitskontrollen zu einem bestimmten Zeitpunkt validieren – regelmässige Wiederholungsprüfungen sind notwendig, um das Vertrauen zu erhalten.
3.4 Überprüfung der Sicherheitsarchitektur
Die technische Architektur Ihres Systems oder des Systems Ihres Lieferanten wurde von einem geeigneten Sicherheitsexperten überprüft. Der Experte hat Ihnen eine unabhängige Bewertung des Systemdesigns gegeben. Dadurch erfahren Sie, ob das System ein angemessenes Mass an Abwehrmassnahmen für die Angriffe bietet, die Sie betreffen.
Was es zu beachten gilt:
- die Fähigkeiten der Person oder der Personen, die die Überprüfung durchführen.
- das Bedrohungsmodell, gegen das das System überprüft werden soll.
Beachten Sie, dass eine Überprüfung der Sicherheitsarchitektur nicht bestätigt, dass die Komponenten bei der Bereitstellung ordnungsgemäss konfiguriert wurden oder dass das System in der Praxis gut gewartet wird.
3.5 Prüfsicherheit in einer Komponente
Es gibt eine unabhängige Prüfsicherheit für ein Produkt oder eine Dienstleistung, die innerhalb Ihrer Dienstleistung oder der zugrunde liegenden Komponenten verwendet wird.
Was es zu beachten gilt:
- Ist die Komponente in diesem Zusammenhang eine geeignete Kontrolle? Spiegeln die unabhängigen Prüfsicherheiten wider, wie Sie sie nutzen?
- Ist die Komponente entsprechend konfiguriert und verwendet? Wird sie in der gleichen Weise verwendet, für die sie geprüft wurde?
http://www.nationalarchives.gov.uk/doc/open-government-licence/version/3/
17.11.2018