Vertrauen ist gut, Gewissheit ist besser (Teil 2 von 2) - Cloud - Heise Partnerzones Cloud . Dell, Cloud, Mobile, Security, Enterprise, Business, Software . Cloud, Mobile und Security: Erfahren Sie alles über die Lösungen von Dell /styles/zones/basis.css

Vertrauen ist gut, Gewissheit ist besser (Teil 2 von 2)

Mit ISO/IEC 27018:2014 steht ein internationaler Leitfaden zur Verfügung, der sich mit der sicheren Verarbeitung personenbezogener Daten in der Cloud beschäftigt und so das wichtige Thema der Compliance adressiert – sowohl auf Provider- wie auch auf Kunden-Seite.

Autor: Eric Tierling

Gedacht ist ISO/IEC 27018:2014 speziell für Cloud-Service-Provider, die Public Cloud Computing-Dienstleistungen anbieten und im Rahmen dessen personenbezogene Daten als Processor verarbeiten. Im Gegensatz zu vielen anderen Mitgliedern der ISO/IEC 27000-Familie handelt es sich hierbei also explizit um eine branchenspezifische Empfehlung. Dabei beginnt ISO/IEC 27018:2014 nicht bei null, sondern bezieht sich auf die in ISO/IEC 17788:2014 zu findenden Cloud-Begriffsdefinitionen sowie die im Framework ISO/IEC 29100:2011 spezifizierten Privacy-Grundsätze, -Rollen und -Schutzmaßnahmen zum Umgang mit personenbezogenen Daten.

Abgestimmt auf ISO/IEC 27002:2013

Der Leitfaden ISO/IEC 27018:2014 ist als spezifische Erweiterung für ISO/IEC 27002:2013 gedacht, das seinerseits einen allgemein gehaltenen Leitfaden für die Informationssicherheit darstellt. Zu diesem Zweck erweitert ISO/IEC 27018:2014 die in ISO/IEC 27002:2013 genannten Controls um Sicherheitsmaßnahmen und Implementierungsempfehlungen zum Schutz von personenbezogenen Daten bei der Verarbeitung in der Cloud. Beispielsweise sollten Cloud-Service-Provider gemäß Abschnitt 12.4.2 Schutzmaßnahmen ergreifen, die den Zugriff auf Protokolle regeln, die möglicherweise personenbezogenen Daten beinhalten. Ziel ist es sicherzustellen, dass diese aufgezeichneten Informationen nur zur Sicherheitsüberwachung und zu Diagnosezwecken verwendet werden.

Des Weiteren liefert ISO/IEC 27018:2014 in seinem Anhang A eine Reihe von normativen Controls für Bereiche, die ISO/IEC 27002:2013 nicht abdeckt. Diese müssen Cloud-Service-Provider mit entsprechenden Maßnahmen adressieren, um spezifische Risiken bei der Verarbeitung personenbezogener Daten zu minimieren. Dazu orientiert sich ISO/IEC 27018:2014 an den in ISO/IEC 29100:2011 aufgeführten Privacy-Prinzipien:

  • Einverständnis und Wahlmöglichkeit (Consent and choice)
  • Zweckzulässigkeit und Zweckbindung (Purpose legitimacy and specification)
  • Einschränkung der Datenerhebung (Collection limitation)
  • Datenminimierung (Data minimization)
  • Einschränkung der Verwendung, Aufbewahrung und Weitergabe (Use, retention and disclosure limitation)
  • Sorgfalt und Qualität (Accuracy and quality)
  • Offenheit, Transparenz und Mitteilung (Openness, transparency and notice)
  • Teilnahme und Zugriff von Personen (Individual participation and access)
  • Verantwortlichkeit (Accountability)
  • Informationssicherheit (Information security)
  • Einhaltung von Datenschutzvorschriften (Privacy compliance)

Auf diese Weise haben die Schöpfer des Leitfadens für begrüßenswerte Stringenz gesorgt. Allerdings sieht Anhang A von ISO/IEC 27018:2014 nur für solche Kategorien entsprechende Controls vor, bei denen das für den gegebenen Kontext auch wirklich relevant ist. Keine Controls gibt es demzufolge für die Privacy-Prinzipien der Bereiche 3 (Einschränkung der Datenerhebung), 6 (Qualität und Sorgfalt) und 8 (Teilnahme und Zugriff von Personen).

1 | 2 ... | 5