ISMSJan Kahmen7 min Lesezeit

Die BSI-C5-Kriterien

Der BSI C5 umfasst konkrete Kontrollen und Anforderungen, die sich auf nahezu alle relevanten Aspekte eines Cloud Computing Services beziehen.

Inhaltsverzeichnis

BSI - Cloud Computing Compliance Controls Catalog (C5)

Der BSI Cloud Computing Compliance Criteria Catalogue (BSI C5) ist ein Rahmenwerk, das Unternehmen nutzen können, um die Compliance mit nationalen und internationalen Cloud Computing Anforderungen und Empfehlungen sicherzustellen. Der BSI C5 basiert auf den BSI-Grundsätzen für Cyber-Sicherheitskontrolle, die als international anerkanntes Verfahren zur Umsetzung von Cloud Computing in der EU gelten. Der Katalog besteht aus konkreten Kontrollen und Anforderungen, die sich auf Einführung, Betrieb und Beendigung von Cloud Computing Services beziehen. Er bildet die Grundlage für die Prüfung der Compliance mit den Anforderungen der EU-Richtlinie für Cloud Computing Verträge und gibt Unternehmen eine effiziente Möglichkeit, ihre Compliance zu gewährleisten.

Was umfasst die BSI-C5-Kriterien ?

Der BSI C5 umfasst konkrete Kontrollen und Anforderungen, die sich auf nahezu alle relevanten Aspekte eines Cloud Computing Services beziehen, einschließlich:

Organisation der Informationssicherheit (OIS): OIS umfasst den Prozess, Struktur und Prozesse für das Management von Informationssicherheit innerhalb einer Organisation. Eine OIS versucht ein sicheres Umfeld zu schaffen, in dem sensible Daten und unternehmenskritische Informationen geschützt werden.

Sicherheitsrichtlinien und Arbeitsanweisungen (SP): Sicherheitsrichtlinien und Arbeitsanweisungen definieren die Regeln, die die Benutzer über den Umgang mit sensiblen Daten und Informationen informieren. Einige Richtlinien können auch Notfallvorschriften und Anweisungen enthalten.

Personal (HR): HR schafft die Struktur, die für angemessene Personalauswahl, Entschädigung und Arbeitsbedingungen angemessen ist. Darüber hinaus legt HR auch Regeln für die Sicherheit von Arbeitsplätzen fest und bestimmt die Kompetenzstufe eines Mitarbeiters.

Asset Management (AM): AM ist ein Prozess, um die Hardware, Software und andere Assets, die ein Unternehmen besitzt, zu verwalten. Der Zweck des Asset-Managements ist es, zu verstehen, welche Assets ein Unternehmen hat, um die Ressourcen und Kosten effizient und kostengünstig zu verwalten.

Physische Sicherheit (PS): PS bezieht sich auf diesen Prozess, durch den sichergestellt wird, dass das Gebäude und dessen Vermögenswerte geschützt werden. Einige Beispiele für PS-Maßnahmen sind Zugangskontrollen, Wachmänner, Videoüberwachung und elektronische Schlösser.

Regelbetrieb (OPS): Der Regelbetrieb umfasst den Alltagsbetrieb eines Unternehmens und beinhaltet die routinemäßige Überprüfung, Erhaltung und Überwachung der Informationssicherheit.

Identitäts- und Berechtigungsmanagement (IDM): Das Identitäts- und Berechtigungsmanagement ist der Prozess der Überwachung und Verifizierung der Identität einer Person, um Zugang zu geschützten Anwendungen und Daten zu erhalten.

Kryptographie und Schlüsselmanagement (CRY): Kryptographie und Schlüsselmanagement bezieht sich auf die Prozesse, die zur Verschlüsselung und Entschlüsselung von Informationen verwendet werden.

Kommunikationssichwerheit (COS): Kommunikationssichwerheit bezieht sich auf die Sicherheit der Protokolle, Mechanismen und Anwendungen, die für die Kommunikation zwischen verschiedenen Geräten und Computern verwendet werden.

Portabilität und Interoperabilität (PI): PI bezieht sich auf die Fähigkeit eines Systems, Fähigkeiten zwischen verschiedenen Plattformen zu übertragen. Dies ermöglicht es unternehmensinternen und -externen Systemen und Anwendungen, miteinander zu interagieren.

Beschaffung, Entwicklung und Änderung von Informationssystemen (DEV): Dies bezieht sich auf sichere Beschaffungs- und Entwicklungsprozesse, die es Organisationen ermöglichen, Softwareanforderungen sicher und kostengünstig zu implementieren.

Steuerung und Überwachung von Dienstleistern und Lieferanten (SSO): SSO bezieht sich auf Maßnahmen, die Organisationen anwenden können, um sicherzustellen, dass Dienstleister und Lieferanten diese Dienstleistungen vorschriftsmäßig und sicher ausführen.

Umgang mit Sicherheitsvorfällen (SIM): SIM bezieht sich auf Prozesse und Richtlinien, die es einer Organisation ermöglichen, auf potenzielle Sicherheitsvorfälle zu reagieren.

Kontinuität des Geschäftsbetriebs und Notfallmanagement (BCM): BCM umfasst die Planung, die geschaffen wird, um ein Unternehmen vor potenziellen unvorhergesehenen oder unkontrollierbaren Ereignissen zu schützen.

Compliance (COM): COM bezieht sich auf die spezifischen Richtlinien und Gesetze, an die Organisationen sich halten müssen. Vor allem Richtlinien, die Einhaltung von Datenschutzbestimmungen betreffen.

Umgang mit Ermittlungsanfragen staatlicher Stellen (INQ): INQ bezieht sich auf Prozeduren, die Organisationen bereithalten und befolgen müssen, um Anfragen von staatlichen Stellen zu beantworten.

Produktsicherheit (PSS): PSS bezieht sich auf die Sicherheitsvorkehrungen, die bei der Entwicklung eines Produkts einbezogen werden, um Fehler zu vermeiden, die einen potenziellen Sicherheitsvorfall verursachen könnten.

Wer hat den Standard entwickelt?

Der BSI C5 wurde vom Bundesamt für Sicherheit in der Informationstechnik (BSI) der Bundesrepublik Deutschland entwickelt. Der BSI arbeitet mit dem Europäischen Cloud Computing Forum (ECCF) zusammen, um sicherzustellen, dass der BSI C5 mit anderen europäischen Standards konform ist. Der BSI C5 wird auch von der Europäischen Kommission zur Implementierung der Entscheidung Lösungen für Cloud Computing empfohlen.

An wen richtet sich dieser Standard?

Der BSI C5 richtet sich an Unternehmen aller Größen, die einen Cloud Computing Service beauftragen oder bereitstellen, um die Einhaltung der Anforderungen an Datensicherheit, Datenschutz, Rechtmäßigkeit und Datenverfügbarkeit für Cloud Computing Services sicherzustellen. Der BSI C5 ist insbesondere für Drittanbieter relevant, die Cloud Computing Services anbieten oder nutzen.

BSI C5 für internationale Zwecke?

BSI C5 gilt für internationale Aspekte, die die Nutzung und Bereitstellung von Cloud Computing Services betreffen. Dazu gehören beispielsweise die internationale Verfügbarkeit von Services, der Schutz personenbezogener Daten, die Datensicherheit, die Einhaltung internationaler Vorschriften und die Regulierung des öffentlichen Cloud Computing.

Fallstudie vom BSI

C5:2020: SaaS-Fallstudie: Anwendung des Community Draft C5:2020 bei SaaS-Anbietern ohne eigene
Infrastruktur im Vergleich zu C5:2016.

Fazit

Zusammenfassend lässt sich sagen, dass die BSI-C5-Kriterien für den Cloud-Kontext sehr hilfreich sind, jedoch aufgrund der nationalen Begrenzung für international agierende Unternehmen weniger von Vorteil sind. Es bietet daher weiterhin mehr Vorteile, die ISO 27001-Zertifizierung zu erhalten, und dennoch die Vorgaben der ISO 27018 durch einen Auftragsverarbeitungsvertrag abzubilden. Ein zusätzliches BSI-C5-Testat bietet hier keinen weiteren Mehrwert.

Erweitern Sie Ihren Horizont mit einer Reifegradanalyse!

Reifegradanalyse für 1990 € !

Buchen Sie unserer Kennenlernprojekt, um einen groben aber ganzheitlichen Überblick über Ihre Maßnahmen in der Informationssicherheit zu bekommen!

Kontakt

Neugierig? Überzeugt? Interessiert?

Vereinbaren Sie ein unverbindliches Erstgespräch mit einem unserer Vertriebsmitarbeiter. Nutzen Sie den folgenden Link, um einen Termin auszuwählen: