RiLi-Cloudnutzung

Aus ISMS-Ratgeber WiKi
Zur Navigation springenZur Suche springen

Mustervorlage: "Richtlinie zur Cloud-Nutzung"

Datei:Entwurf.PNG

Einleitung

Cloud-Nutzung bedeutet, Computerressourcen wie Speicherplatz, Rechenleistung und Anwendungen über das Internet von einem Cloud-Anbieter zu beziehen und zu nutzen, anstatt sie lokal auf einem physischen Gerät zu speichern oder auszuführen. Die Cloud ermöglicht es, auf eine Vielzahl von Diensten zuzugreifen und diese je nach Bedarf zu skalieren, ohne dass man sich um die zugrunde liegende Infrastruktur kümmern muss. Typische Beispiele für Cloud-Dienste sind Speicher- und Backup-Lösungen, E-Mail-Dienste, Anwendungen wie Office-Suiten, Datenbanken und virtuelle Maschinen.

Geltungsbereich

Diese Richtlinie gilt für alle Bereiche der Organisation, die Cloud-Dienste nutzen oder nutzen wollen.

Zielsetzung

Ziel dieser Richtlinie ist es die Cloud-Dienste sicher und rechtskonform zu nutzen, insbesondere gilt es:

  • Zu gewährleisten, dass die in der Cloud gespeicherten Daten korrekt und unverändert bleiben und nicht versehentlich oder absichtlich manipuliert werden.
  • Sicherzustellen, dass sensible Daten nur von autorisierten Personen oder Systemen eingesehen und genutzt werden können.
  • Zu Gewährleisten, dass die Cloud-Dienste immer verfügbar sind und keine Ausfallzeiten oder Unterbrechungen auftreten, die zu Datenverlust oder Geschäftsunterbrechungen führen.
  • Sicherzustellen, dass der Zugriff auf Cloud-Dienste und Daten auf eine angemessene Weise kontrolliert wird, indem geeignete Authentifizierungs- und Autorisierungsmethoden sowie ein Logging verwendet werden.
  • Die Einhaltung von Sicherheitsstandards und Vorschriften wie z.B. Datenschutzgesetzen oder branchenspezifischen Bestimmungen, um Sicherheits- und Datenschutzrisiken zu minimieren und die Einhaltung von Compliance-Anforderungen sicherzustellen.

Gesetzliche Rahmenbedingungen

Rechtliche Grundlage für die Nutzung von Cloud-Diensten sind u.a.

  • Grundsätze für die Verarbeitung personenbezogener Daten nach Art. 5 der Datenschutzgrundverordnung (DSGVO).
  • Anforderungen des Bundesdatenschutzgesetzes (BDSG).
  • ggf. weitere organisationsspezifische Rechtsgrundlagen.

Allgemeines zur Cloud Nutzung

Cloud-Dienste dürfen nur im nötigen Umfang dort genutzt werden, wo es Aufgrund von erforderlichen Ressourcen oder Skalierbarkeitsanforderungen unwirtschaftlich wäre, diese selbst zu betrieben.

Die Cloud-Nutzung muss gut geplant und vorbereitet werden. Die Anforderungen an Cloud-Dienstleister und zu nutzende Cloud-Dienste sind im Vorfeld sorgfältig anhand des Schutzbedarfs der Geschäftsprozesse und Anwendungen zu erheben und zu dokumentieren.



Auswahl von Cloud-Dienstleistern

Bei der Auswahl eines Cloud-Dienstleisters müssen verschiedene Faktoren berücksichtigt werden, dazu muss vor der Auswahl ein Anforderungskatalog erstellt werden. Der Anforderungskatalog muss mindestens folgende Sicherheitsanforderungen berücksichtigen:

  • Es dürfen nur Cloud-Anbieter ausgewählt werden, deren Standort sich im Geltungsbereich der DSGVO (Deutschland und EU) befindet (Dies gilt für den Anbieter, das genutzte Rechenzentrum sowie auch für den Standort der Administratoren des Anbieters).
  • Der Cloud-Anbieter muss die Einhaltung einschlägiger Sicherheitsstandards nachweisen (Zertifizierung nach ISO 27001, BSI IT-Grundschutz, C5 oder vergleichbare).
  • Die Datenübertragung zum Cloud-Anbieter erfolgt ausschließlich verschlüsselt nach dem Stand der Technik.
  • Mindestens Administrative Zugänge können über eine Zwei-Faktor-Authentisierung abgesichert werden.
  • Die Verfügbarkeit des Cloud-Dienstleisters muss mindestens der Verfügbarkeitsanforderung der Geschäftsprozesse entsprechen, für die ein Cloud-Dienste genutzt werden soll.
  • Der Cloud-Anbieter muss einen angemessenen Kundensupport bieten und insbesondere bei Sicherheitsvorfällen angemessen informieren und reagieren können.
  • Die Benutzeroberfläche sollte einfach und intuitiv sein, um eine einfache Handhabung der Cloud-Dienste zu ermöglichen. Es sollten Anleitungen für Benutzer und Administratoren vorhanden sein oder entsprechende qualifizierte Schulungen angeboten werden können.
  • Der Cloud-Anbieter muss die sichere Löschung aller Daten bei Beendigung des Vertragsverhältnisses garantieren.
  • Die Kosten für die Nutzung von Cloud-Diensten sollten transparent und angemessen sein, mit klaren Preismodellen und keiner versteckten Kosten.

Konfiguration von Cloud Diensten

Datenverschlüsselung

Schutz vor Fremdzugriffen

Sicherheitskonzept

Für jeden genutzten Cloud-Dienst ist ein eigenes dienstespezifisches Sicherheitskonzept zu erstellen. Das Sicherheitskonzept muss mindestens die folgenden Punkte enthalten:

Vertragspartner

Wer sind die Vertragspartner?

Cloud-Dienstleister und nutzende Organisationseinheit.

Beschreibung des Verfahrens

Beschreibung des Verfahrens und der Geschäftsprozesse die teilweise oder vollständig in die Cloud migriert werden sollen.

Schutzbedarf

Der definierte Schutzbedarf des zu migrierenden Verfahrens mit Verweis auf die Schutzbedarfsfeststellung.

Begründung der Cloud-Nutzung

Welche Erwägungen führten zu der Entscheidung das Verfahren in der Cloud zu betrieben.

Nutzer

Wer sind die betroffenen Nutzer? Unterteilt in:

Administratoren

Wer wird die Cloud-Dienste in der Organisation administrieren und wie werden die Mitarbeitenden vorbereitet / geschult?

Anwender

Wer sind die nutzenden Anwender und wie erfolgt die Nutzung der Cloud-Dienste? Wie werden die Anwender geschult?

Übertragene Daten

Welche Daten werden in der Cloud wie gespeichert oder verarbeitet?

Schnittstellen

Über welche Schnittstellen wird der Cloud-Dienst genutzt?

Welche Schnittstellen gibt es zu anderen Verfahren?

Wie werden die Schnittstellen abgesichert?

Risikoanalyse

Verweis auf die Risikoannalyse zur Cloud-Nutzung.

Sicherheitsmaßnahmen

Welche Sicherheitsmaßnahmen wurden für die Nutzung des Cloud-Dienstes ergriffen?

Migrationsplan

Beschreibung, wie das Verfahren oder die Daten in die Cloud migriert werden.

Beendigung der Cloud-Nutzung

Beschreibung, wie bei einer Beendigung der Cloud-Nutzung das Verfahren/die Daten zurück migriert werden und wie die Daten beim Cloud-Dienstleister sicher gelöscht werden.

Schlussbemerkung

Inkrafttreten

Diese Richtlinie tritt zum 01.01.2222 in Kraft.

Freigegeben durch: Organisationsleitung

Ort, 01.12.2220,

Unterschrift, Name der Leitung

Abgerufen von „https://wiki.isms-ratgeber.info/index.php?title=RiLi-Cloudnutzung&oldid=157