In einer sich ständig verändernden digitalen Landschaft, in der die Datensicherheit zu einem wichtigen Thema geworden ist, stellt sich die Frage, nach welchen Kriterien man die zuverlässigsten Anbieter von Cloud-Diensten auswählen sollte. Zoom auf 4 wesentliche Labels, um die Sicherheit der in die Cloud ausgelagerten Informationssysteme zu gewährleisten.
Die SecNumCloud-Qualifikation
Die Nationale Agentur für die Sicherheit von Informationssystemen (ANSSI) vergibt die prestigeträchtige SecNumCloud-Qualifikation nur an Anbieter von Cloud-Diensten, die die strengsten Sicherheitskriterien erfüllen. Ob technologisch, organisatorisch oder rechtlich, es gibt über 700 Anforderungen, die im Referenzsystem der ANSSI aufgelistet sind. Mit der Erteilung des Sicherheitsvisums bestätigt die ANSSI, dass die Cloud-Dienste so konzipiert und betrieben werden, dass sie die Informationssysteme wirksam vor Cyberbedrohungen und ausländischen Eingriffen schützen. Die Qualifizierung eines Cloud-Dienstes durch die ANSSI ist ein langer und verbindlicher Prozess, der in der Regel zwischen 18 und 24 Monaten in Anspruch nimmt. SecNumCloud wird dann für eine Dauer von drei Jahren gewährt und führt zu einem jährlichen Überwachungsaudit.
Sowohl für private als auch für öffentliche Organisationen ist die Wahl eines qualifizierte Cloud SecNumCloud garantiert die besten Praktiken in Bezug auf :
- die Unterbringung sensibler Daten
- die Sicherheit des Datenaustauschs
- das Management von Sicherheitsrisiken
- Immunität gegenüber ausländischen extraterritorialen Gesetzen
ℹ️ Obwohl andere europäische Länder ihre eigenen nationalen Zertifizierungen für Cloud-Sicherheit haben (C5 in Deutschland oder auch ENS in Spanien), gilt die SecNumCloud-Qualifizierung als die anspruchsvollste in Bezug auf die Isolierung von Betriebsabläufen. Das SecNumCloud-Rahmenwerk könnte somit der höchsten Zertifizierungsstufe von EUCS, dem zukünftigen europäischen Zertifizierungsschema für Cloud-Dienste, entsprechen.
Die HDS-Zertifizierung (Health Data Hosting)
Die HDS-Zertifizierung soll den Schutz der Gesundheitsdaten der Franzosen stärken und ein vertrauenswürdiges Umfeld für eHealth und Patientenüberwachung schaffen. Die Zertifizierung wurde von der Agence du numérique en santé (ANS) eingeführt und richtet sich an alle öffentlichen oder privaten Einrichtungen, die Gesundheitsdaten beherbergen, betreiben oder sichern. Diese Zertifizierung bescheinigt, dass der Dienstleister in der Lage ist, die Sicherheit und Vertraulichkeit von Gesundheitsdaten gemäß der Norm ISO 27001 (siehe unten) und den geltenden Vorschriften, insbesondere der Europäischen Datenschutzverordnung (DSGVO) und dem französischen Gesetz über den Schutz von Gesundheitsdaten (Loi Informatique et Libertés), zu gewährleisten.
Je nach ihrem Tätigkeitsbereich können Organisationen und/oder ihre Hosts ein Zertifikat für einen der beiden Perimeter erhalten:
- "Hosting-Anbieter für physische Infrastruktur" für Tätigkeiten, bei denen sie physischen Raum und Ausrüstung zur Verfügung stellen, um die Server und die Hardware-Infrastruktur ihrer Kunden zu hosten.
- "Hosting- und Managed Service Provider" für die Verwaltung der virtuellen und softwarebasierten Infrastruktur, die Verwaltung und den Betrieb der Daten sowie die ausgelagerte Datensicherung.
ℹ️ Eine derzeit laufende Neufassung des HDS-Standards wird die Anforderungen an die Souveränität in Bezug auf den Standort der Daten und die Transparenz über mögliche Übertragungen außerhalb der Europäischen Union erhöhen.
Die ISO 27001-Zertifizierung
Diese internationale Norm legt die Anforderungen für die Einrichtung, Umsetzung, Aufrechterhaltung und fortlaufende Verbesserung eines Managementsystems für Informationssicherheit (ISMS) fest, das die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen gewährleisten kann. Sie führt zu einem Audit, das von einem unabhängigen Dritten durchgeführt wird. In Phase 1 des Audits wird bewertet, ob die Organisation die Voraussetzungen wie die ISMS-Dokumentation, die Informationssicherheitspolitik und die Risikobewertung eingeführt hat. Es hilft, Lücken oder Bereiche zu identifizieren, in denen Verbesserungen erforderlich sind. Das Audit der Phase 2 ist umfassender und bewertet die Wirksamkeit des ISMS, insbesondere die Umsetzung der Sicherheitskontrollen, das Risikomanagement und die Prozesse für das Informationssicherheitsmanagement. Die Norm ISO 27001 sieht somit 114 Sicherheitsprüfungen vor.
Die Zertifizierung nach ISO 27001 wird für drei Jahre vergeben und durch jährliche Überwachungsaudits bestätigt.
ℹ️ Die Einhaltung der ISO 27001 wird als Basis betrachtet, die als Grundlage für andere Referenzen dient, z. B. SecNumCloud oder HDS.
Der ISAE 3402-Bericht
ISAE 3402 wurde vom International Auditing and Assurance Standards Board (IAASB) ins Leben gerufen und ist ein internationaler Assurance-Standard für Dienstleister (z. B. Anbieter von Cloud-Diensten oder Rechenzentren), die ihren Kunden die Zuverlässigkeit der von ihnen eingerichteten internen Sicherheitskontrollen nachweisen möchten. Das Ergebnis dieses Standards ist ein von einem externen Prüfer erstellter Zuverlässigkeitsbericht, in dem die internen Kontrollen der Organisation auf spezifische Weise bewertet werden, je nachdem, welche Dienstleistungen das Unternehmen anbietet.
ℹ️ Es gibt zwei Arten von Kontrollebenen:
- Ein Bericht des Typs I, der die Implementierung einer angemessenen internen Kontrolle belegt.
- Ein Bericht des Typs II, der die operative Wirksamkeit der internen Kontrolle belegt, mit einer Bewertung, die über einen Beobachtungszeitraum von 12 Monaten durchgeführt wird.
- Eine Norm liefert Spezifikationen und Kriterien, die eingehalten werden müssen, um die Qualität, Sicherheit, Interoperabilität oder andere Aspekte eines Produkts, einer Dienstleistung oder eines Systems zu gewährleisten. Normen werden von nationalen oder internationalen Normungsorganisationen festgelegt.
- Die Zertifizierung basiert auf einer Analyse der Konformität mit einem Referenzsystem und auf Penetrationstests, die von einem Drittgutachter zum Zeitpunkt T durchgeführt werden.
- Die Qualifikation ist noch anspruchsvoller. Durch ein gründliches Audit bestätigt sie, dass die Produkte langfristig den regulatorischen, technischen und sicherheitsrelevanten Anforderungen entsprechen. Mit dem SecNumCloud-Visum bietet die ANSSI den Cloud-Nutzern Garantien.