Cloud-Sicherheit - ISO 27017 unter ISO 27001

Beginnen wir ungewöhnlich trocken mit dem offiziellen ISO-Wortlaut eines weiteren Familienmitglieds der ISO 27k-Reihe: ISO 27017

‍

ISO/IEC 27017:2015 bietet eine Anleitung zu Informationssicherheitskontrollen für die Bereitstellung und Nutzung von Cloud-Diensten:

- Zusätzliche Implementierungsanleitungen für relevante Kontrollen, die in ISO/IEC 27002 spezifiziert sind

- Zusätzliche Kontrollen mit Implementierungsanleitung speziell für Cloud-Dienste.

‍

Wenn Sie bereits unsere Blogs zu ISO 27002 und ISO 27005 gelesen haben, werden Sie feststellen, dass alle Familienmitglieder in irgendeiner Weise zum Haushaltseinkommen beitragen. ISO 27017 ist da keine Ausnahme. Diese Norm befasst sich auch mit einem Teil, der nur für sie spezifisch ist und in die ISO 27001 einfließt. Moment, aber zuerst in ISO 27002, die wiederum in ISO 27001 einfließt, okay...  

‍

Wird ISO 27001 zur Großmutter, wenn ISO 27002 auch ein Kind bekommt? Nun, ISO 27001 bleibt das Nonplusultra, die Clanchefin! Schauen wir also, wer wo einzahlt und inwieweit ISO 27017 das Lieblingsenkelkind von ISO 27001 sein könnte. Was sie natürlich eindeutig NICHT ist. Wir lieben euch alle gleich. Aber sicher doch... Los geht's. 

‍

Was ist ISO 27017?

Ein wenig mehr Definition: Stichwort CLOUD! ISO 27017 lebt mietfrei in ISO 27002, ist aber für die Informationssicherheitskontrollen zuständig, die sich mit der Bereitstellung und Nutzung von Cloud-Diensten befassen!  

Diese Norm bietet einen Leitfaden für bewährte Verfahren zur Verwaltung der Informationssicherheit. Sie ist von ISO 27002 abgeleitet und schlägt zusätzliche Cloud-Sicherheitskontrollen vor, die in ISO 27002 nicht vollständig definiert wurden.

ISO 27017 ist also ein Rahmen für die Informationssicherheit von Unternehmen, die Cloud-Dienste nutzen. Anbieter von Cloud-Diensten sollten diese Norm befolgen, da sie ihren Kunden durch einen einheitlichen und umfassenden Ansatz für die Informationssicherheit mehr Sicherheit bietet.

An wen genau richtet sich also das Streberkind der ISO 27002 ? 

‍

Für wen ist ISO 27017 gedacht?

ISO 27017 ist für Organisationen, die Dienstleistungen im Cloud Computing Umfeld anbieten und über ein ISMS (Information Security Management System) verfügen. Secfix ist Ihnen dabei übrigens gerne behilflich. 

ISO 27017 wird für bestimmte Groß- und Regierungsprojekte immer mehr zu einer Pflichtanforderung. Denn diese Organisationen werden nur mit Unternehmen zusammenarbeiten, die ein systematisches Engagement für die Risikominderung nachweisen können.

Wenn Sie eine Zertifizierung nach ISO 27001 anstreben, wird die Enkelin (ISO 27017) ohnehin angesprochen, wenn Sie Informationen und Daten in der Cloud verwalten. 

Es ist wichtig, daran zu denken, dass rechtliche, regulatorische oder andere Cloud-spezifische Anforderungen an die Informationssicherheit die Auswahl geeigneter Informationssicherheitskontrollen bei der Implementierung des Rahmens beeinflussen. Das Gleiche gilt für vertragliche Anforderungen!

‍

Die Struktur der ISO 27017 - wie funktioniert sie? 

ISO 27017 ist um die gleichen Klauseln herum aufgebaut wie ISO 27002, wobei jede Klausel einen bestimmten Aspekt der Informationssicherheit behandelt. Wie bereits erwähnt, bietet der Anhang der Norm zusätzliche Kontrollen und Anleitungen für die Umsetzung spezifischer Sicherheitskontrollen, was in ISO 27002 (Schwachstellenmanagement) nicht in spezifizierter Weise deutlich gemacht wird. 

‍

Daher definiert ISO 27017 die Richtung des Sicherheitsmanagements für Cloud Computing, virtuelle und physische Netzwerke. ISO 27017 übernimmt also alle erforderlichen Schutzmaßnahmen und bedrohungsbasierten Analysen für die Online-Sicherheit und wendet sie direkt auf die Cloud-Sicherheit an, wobei die Kontrollen für die Informationssicherheit auf den Rahmen anwendbar sind.

‍

ISO 27017 ergänzt somit das übergeordnete Rahmenwerk ISO 27002 für Cloud Computing-Umgebungen, indem es zusätzliche Informationen, Sicherheitsmaßnahmen und Implementierungsanleitungen bereitstellt. 

‍

Beeindruckend, was ISO 27017 so treibt, vor allem bei der Auswahl eines Weihnachtsgeschenks für das vermeintliche Lieblingsenkelkind von ISO 27001: 

Immerhin bietet dieses Enkelkind eine Implementierungsanleitung für 37 Informationssicherheitskontrollen aus ISO 27001 sowie sieben zusätzliche Anforderungen, die speziell für Cloud-Dienste gelten. Wir werden uns demnächst die kleine Schwester ISO 27018 genauer ansehen, aber ISO 27017 scheint in der Schule schon immer auf der Überholspur gewesen zu sein.

‍

Diese Cloud-Kontrollen betreffen die folgenden bewährten Verfahren: 

‍

• Wer ist in der Beziehung zwischen dem Cloud-Service-Anbieter und dem Cloud-Kunden eigentlich für was verantwortlich?

• Beseitigung/Rückgabe von Vermögenswerten bei Beendigung eines Vertrags. 

• Schutz und Abtrennung der virtuellen Umgebung des Kunden.

• Konfiguration von virtuellen Maschinen.

• Verwaltungsvorgänge und -verfahren im Zusammenhang mit der Cloud-Umgebung, die es dem Kunden ermöglichen, relevante Aktivitäten zu überwachen.

• Überwachung der Aktivitäten des Cloud-Kunden innerhalb der Cloud.

• Anpassung der virtuellen und Cloud-Netzwerkumgebungen.

• Kontrollen der Informationssicherheit auf der Grundlage der Norm ISO 27001 und des Rahmens ISO 27017.

‍

Auf diese Weise können Cloud-Nutzer und -Anbieter jetzt grundlegende Anforderungen an die Informationssicherheit erfüllen, indem sie auf der Grundlage von Risikobewertungen für Cloud-Dienste geeignete Kontrollen und Implementierungsanleitungen auswählen.

‍

Warum ISO 27017 einführen und was sind die Vorteile?

‍

Warum sollten Sie ISO 27017 einführen?

‍

• Schützen Sie Ihre Informationswerte in der Cloud Computing-Umgebung
• Erfüllung rechtlicher und regulatorischer Anforderungen
• Minderung des Risikos von Informationssicherheitsvorfällen
• Kostenreduzierung durch Beseitigung doppelter Kontrollen

‍

Auf diese Weise kann jedes Unternehmen sein Engagement für den Schutz von Kundendaten unter Beweis stellen. Die Zertifizierung hebt Sie von Ihren Mitbewerbern ab und gibt Ihren Kunden ein gutes Gefühl. Sie demonstriert Ihr Wissen und Ihre Kompetenz in diesem wichtigen Bereich.

Es ist wichtig, dass die Kunden Vertrauen in die Sicherheit ihrer Informationen und Daten in der Cloud haben. ISO27017 ist weltweit anerkannt, ebenso wie die gesamte ISO 27k-Familie. Dadurch wird das Risiko von Datenverstößen wirksam verringert. Und es zeigt auch, dass man sich den Techniken der Informationssicherheit verschrieben hat, was das Vertrauen der Kunden stärkt.  

Und es gibt noch weitere Vorteile, die Sie sich nicht entgehen lassen sollten! 

‍

Die Vorteile von ISO 27017

• Schützen Sie Ihre Informationswerte in der Cloud Computing-Umgebung
• Erfüllung rechtlicher und regulatorischer Anforderungen
• Minderung des Risikos von Informationssicherheitsvorfällen
• Kostenreduzierung durch Beseitigung doppelter Kontrollen

‍

Okay, wenn Sie also in der Cloud arbeiten, dann spielt ISO 27017 eine besondere Rolle. Kann man sich eigentlich nur nach ISO 27017 zertifizieren lassen? Gilt das dann nicht für alles, was man in der Cloud macht? Und eigentlich ist man ja sowieso nur mit dem Produkt, den Daten und den Informationen "in der Cloud" .... Warum also noch ISO 27001?  

Da ISO 27017 im Gegensatz zu ISO 27001 keine Norm für ein Informationsmanagementsystem ist, können Sie sich nicht nur nach dieser Norm zertifizieren lassen. Ja, schade, denkt man im ersten Moment. Aber ein hübsches Zertifikat für ISO 27017 an der beliebten Bürowand (meist mit Landschafts- und Haustierschnappschüssen dekoriert) kann es trotzdem geben! 

‍

Sie können sich jedoch nach ISO 27017 als Teil eines ISO 27001-Zertifizierungsprozesses zertifizieren lassen.

Dazu müssen Sie die spezifischen Kontrollen in ISO 27017 in den Umfang des ISO 27001-Zertifizierungsaudits aufnehmen.

Und mit dieser Erweiterung des Geltungsbereichs von ISO 27001, sprich die Kontrollen in ISO 27017, können sie eine unabhängig geprüfte Zertifizierung erhalten. Das lässt nicht nur die Bürowand sofort professioneller aussehen, sondern demonstriert auch die Einhaltung dieser Norm. Das alles überragende ISO 27001-Zertifikat hängt natürlich im Büro der Chefin! Ein bisschen Angeberei ist absolut in Ordnung - denn die ISO 27001-Zertifizierung ist ein Game Changer. 

‍

Zusammenfassung: ISO 27017 basiert auf der Norm ISO 27001 und dem Rahmenwerk ISO 27002, und die Umsetzung von ISO 27017 zeigt, dass Ihre Organisation bewährte Verfahren zum Schutz vor Cloud-bezogenen Bedrohungen sowohl für Cloud-Service-Anbieter als auch für Cloud-Service-Kunden eingeführt hat. ISO 27017 ergänzt daher die Anforderungen des Rahmenwerks ISO 27002, ersetzt sie aber nicht.