Sichere Daten in der Cloud

CSA

Cloud Security Alliance Controls

ISO 9001

Global Quality Standard

ISO 27001

Security Management Standard

ISO 27017

Cloud Specific Controls

ISO 27018

Personal Data Protection

PCI DSS Level 1

Payment Card Standards

SOC 1

Audit Controls Report

SOC 2

Security, Availability, & Confidentiality Report

SOC 3

General Controls Report

C5 [Germany]

Operational Security Attestation

IT - Grundschutz [Germany]

Baseline Protection Methodology

C5 Standard

C5 Standard

Cloud Computing Compliance Controls Catalog (C5)

Cloud Computing Compliance Controls Catalog (C5) ist ein Prüfschema des Bundesamtes für Sicherheit in der Informationstechnik (BSI) das Unternehmen und Behörden hilft einen Nachweis für operative Sicherheit gegen Cyber-Angriffe entsprechend des Eckpunktepapiers: „Sicherheitsempfehlungen für Cloud Computing Anbieter“ zu erbringen.

Die C5-Testierung dient den Teamleaderkunden sowie deren Compliance-Beratern, das durch Teamleader angebotene Sicherheitsversprechen einordnen zu können, während sie ihre Workloads in die Cloud bringen. C5 liefert den regulatorisch definierten IT-Security-Level, der vergleichbar mit dem um die Cloud Controls erweiterten IT-Grundschutz ist.

Ein Vorteil von C5 im Vergleich zu anderen Sicherheitsstandards sind die so genannten Umfeldparameter, die besonders in Deutschland für Cloud Kunden Relevanz haben. Sie liefern Auskunft über Datenlokation, Diensterbringung, Gerichtsstandort, Zertifizierungen und Ermittlungs- und Offenbarungspflichten gegenüber staatlichen Stellen und enthalten eine Systembeschreibung.

Die so geschaffene Transparenz erlaubt es Kunden zu entscheiden, ob gesetzliche Vorschriften (wie z. B. Datenschutz), die eigenen Richtlinien oder auch die Gefährdungslage, die Nutzung des jeweiligen Cloud-Dienstes als geeignet erscheinen lassen.

 

C5 in Bezug zu anderen IT-Security Standards

Entwickelt durch das BSI und im Februar 2016 veröffentlicht, liefern die C5 Kontroll-Kataloge Kunden zusätzliche Handlungssicherheit in Deutschland bei der Auslagerung komplexer und regulierter Workloads zu Cloud Computing Service Providern.

Die folgenden Standards sind vom BSI berücksichtigt worden:

    •   ISO/IEC 27001:2013 (ISO - International Organization for Standardization)

    •   CSA Cloud Controls Matrix 3.01 (CSA - Cloud Security Alliance)

    •   AICPA Trust Service Principles Criteria 2014 (AICPA - American Institute of Certified Public Accountants)

    •   ANSSI Référentiel Secure Cloud 2.0 (Draft) (ANSSI - Agence nationale de la sécurité des systèmes d'information)

    •   IDW ERS FAIT 5 04.11.201 (Entwurf einer Stellungnahme zur Rechnungslegung: "Grundsätze ordnungsmäßiger Buchführung bei Auslagerung von rechnungslegungsrelevanten Dienstleistungen einschließlich Cloud Computing" Stand 4. November, 2014)

    •   BSI IT-Grundschutz Kataloge, 14. EL 2014

    •   BSI SaaS Sicherheitsprofile 2014


 

IT-Security Standards