kurz notiert
Das IT-Grundschutz-Kompendium Edition 2020 wurde am 1. Februar 2020 veröffentlicht. Dabei handelt es sich bereits um die dritte Ausgabe des Kompendiums seit der Modernisierung des IT-Grundschutzes.
Informationssicherheit in der Praxis: Neue Edition des IT-Grundschutz-Kompendiums erschienen
In der neuen Edition 2020 sind insgesamt 96 IT-Grundschutz-Bausteine enthalten, darunter zwei neue Bausteine zu den Themen Software-Entwicklung sowie Raum oder Schrank für technische Infrastruktur. Alle Bausteine wurden strukturell angepasst und sprachlich überarbeitet. Diese Anpassungen ermöglichen es den Anwendern, die Bausteine noch effizienter in der täglichen Auseinandersetzung mit Fragen zur Informationssicherheit anzuwenden.
Das IT-Grundschutz-Kompendium Edition 2020 ist seit dem 1. Februar 2020 zertifizierungsrelevant und löst damit die Edition 2019 ab – diese ist für aktuelle Zertifizierungsprozesse noch bis zum 30. September 2020 gültig.
Weitere Informationen: www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKompendium/itgrundschutzKompendium_node.html
Sichere Cloud: C5-Katalog aktualisiert
Seit seiner Veröffentlichung 2016 hat sich der „Cloud Computing Compliance Criteria Catalogue“ (C5) des BSI zum etablierten und vielfach national und international umgesetzten Standard der Cloud-Sicherheit entwickelt. Da Cloud-Techniken schnellen Innovationen unterworfen sind, hat das BSI den C5 einer umfassenden Revision unterzogen. Die überarbeitete und aktualisierte Version C5:2020 wurde am 21. Januar im Rahmen einer Veranstaltung in Frankfurt am Main vorgestellt.
Der Standard richtet sich an professionelle Cloud-Diensteanbieter, deren Prüfer und Kunden. Der C5 legt fest, welche Kriterien das interne Kontrollsystem der Cloud-Anbieter erfüllen muss beziehungsweise auf welche Anforderungen der Cloud-Anbieter mindestens verpflichtet werden sollte. Der Nachweis, dass ein Cloud-Anbieter die Anforderungen des Katalogs einhält und die Aussagen zur Transparenz korrekt sind, wird durch Bericht nach dem Wirtschaftsprüferstandard ISAE 3402 beziehungsweise IDW PS 951 erbracht. Dieser Bericht basiert auf einer Prüfung nach dem internationalen Wirtschaftsprüferstandard ISAE 3000.
„Mit dem C5-Kriterienkatalog gestalten wir erfolgreich die Informationssicherheit in einem wichtigen Bereich der Digitalisierung. Der C5 wird von Cloud-Anbietern aller Größen zum Nachweis der Sicherheit von Cloud-Diensten verwendet. Diese Erfolgsgeschichte des C5 zeigt, dass Cyber-Sicherheit ‚Made in Germany‘ weltweit ein integrierter Bestandteil innovativer digitaler Angebote sein kann, die uns allen mehr Komfort, Effizienz und Effektivität ermöglichen“, betont BSI-Präsident Arne Schönbohm.
Die Aktualisierungen des C5-Kriterienkatalogs umfassen sowohl die formalen Regelungen als auch die Kriterien des C5, die an den aktuellen Stand der Technik angepasst wurden. Dabei sind die Erfahrungen von Cloud-Nutzern, -Anbietern und -Prüfern in die Revision eingeflossen. Der C5 enthält außerdem eine neue Domäne zur Produktsicherheit und berücksichtigt damit nun auch die Regelungen und Anforderungen des 2019 in Kraft getretenen EU Cybersecurity Acts. Zudem wurde – insbesondere für kleinere Cloud-Anbieter – der Nachweisweg über die direkte Prüfung eröffnet.