CL130: Cloud Information Security gemäß ISO/IEC 27017/27018, BSI™ C5 und C3A

Agenda:

• Motivation und Grundlagen
  • Grundbegriffe des Cloud Computing
    • Konzepte
    • Referenzarchitektur
    • Shared Responsibility Model
  • Cloud Security
    • Bedrohungen und Angriffsvektoren
    • Sicherheitskonzepte
  • Cloud Security Services im Überblick (Hyperscaler und europäische Angebote)
    
    
• Wichtige Normen/Standards, Zertifikate und Best-Practices
  • Normen und Standards
    • ISO/IEC 27001
    • ISO/IEC 27017/18
    • BSI™ C5
    • BSI™ C3A
    • Mapping ISO/IEC 27017 ↔ C5 ↔ C3A
    • NIST SP 800-xx
    • NIST Cyber Security Framework
    • CIS
    • …
  • Personenzertifikate
    • CSA CCSK
    • ISC2™ CCSP
  • Zertifikate zu Produkten
    • Azure Security Engineer
    • Google™ Cloud Security Engineer
    • AWS™ Certified Security
      
      
• Organisatorische Anforderungen und Empfehlungen der Cloud Security
  • PDCA-Zyklus für Cloud Security (Plan, Do, Check, Act im Cloud-Kontext)
  • Management und Analyse der Risiken (Cloud-spezifisch)
  • Cloud Onboarding Prozess
  • Operationalisierung der C5-Kundenpflichten im ISMS
  • Umsetzung der C3A-Anforderungen in bestehenden Cloud-Implementierungen
  • Integration des C5-Testats in eigene Risikobewertung und IKS
  • Auditierung und Compliance
  • Nutzung von Tools aus strategischer Sicht (Compliance- und Security-Konsolen der großen Anbieter)
    
    
• Technische Anforderungen und operationeller Betrieb der Cloud Security
  • Typische Architektur einer Cloud bzw. Multi-Cloud
  • Datensicherheit und -architektur
  • Zero Trust
  • Aufbau und Betrieb von sicheren Cloud-Anwendungen
  • Identity and Access Management
  • Technische Umsetzung der C3A-Anforderungen: BYOK/HYOK, Schlüsselverwaltung, Confidential Computing, Datenlokalisierung, Logging-Hoheit
  • Konfigurationshärtung gemäß C5-Kontrollen (OPS, IDM, KRY, BCM, RB, KOS)
  • Überwachen der Cloud Security (Monitoring, Vorfälle, Forensik)
  • Nachweisführung gegenüber Auditoren – kombinierte Evidenzen für 27017, C5 und C3A
  • Nutzung von Tools aus taktischer und operativer Sicht
    
    
    
• Diskussion und Zusammenfassung

Ziele:

Wir vermitteln Ihnen das umfassende Wissen für die Planung, Implementierung, Überwachung und Verbesserung von Cloud Information Security im Kontext von anerkannten Cloud Security Frameworks. In diesem Intensivtraining erwerben die Teilnehmer fundiertes Wissen über die notwendigen Schritte für einen konformen und sicheren Cloud-Betrieb.

Für die sichere und konforme Einführung von Cloud-Services werden folgende Themen behandelt:

• Geeignete Frameworks, Normen und Standards.
• Sicherheitsarchitektur, Zero Trust, IAM und Datensicherheit für Cloud-Infrastrukturen und ihre Servicemodelle.
• Das Shared Responsibility Modell in Bezug auf die Sicherheit.
• Umsetzung der Kundenanteile aus BSI™™ C5 und der Anforderungen aus BSI™™ C3A im ISMS – von Control-Auswahl über technische Konfiguration bis zur Nachweisführung.
• Mapping der Controls aus ISO/IEC 27017/27018, C5 und C3A auf konkrete Implementierungsmaßnahmen.
• Verschlüsselungskonzepte und Absicherung der verschiedenen Servicemodelle.
• Ein pragmatischer Überblick über mögliche Lösungsansätze bei Hyperscalern und europäischen Cloud-Angeboten.

Folgende Normen und Kriterienwerke sind für diesen Kurs zentral:

• ISO/IEC 27017 – Nutzung und Anbieten von Cloud-Lösungen
• ISO/IEC 27018 – Schutz personenbezogener Daten in öffentlichen Cloud-Lösungen
• BSI™ C5 – prüfbare Anforderungen an Cloud-Anbieter und Pflichten der Kunden
• BSI™ C3A – ergänzende Anforderungen für souveräne Cloud-Nutzung

Leitfragen:

• Welche Möglichkeiten bieten die Security Frameworks und Konzepte, sowohl für Unternehmen die Cloud Services nutzen wollen als auch für Unternehmen die Cloud-Services anbieten?
• Wie kann im Rahmen eines ISMS die Cloud Security mit ISO/IEC 27017/18 erweitert bzw. behandelt werden?
• Welche Implementierungsmöglichkeiten (Design Principles) können im Kontext einer Security-Architektur eingesetzt werden?
• Wie werden die Anforderungen aus ISO/IEC 27017/27018, BSI™ C5 und BSI™ C3A im ISMS gemeinsam operationalisiert – mit welchen Prozessen, Maßnahmen und Nachweisen?

Darüber hinaus bildet der Kurs CL130 eine gute Basis für weitere Aufbaukurse, z.B.:

1. SC135 Interner Auditor
2. SC150 ISMS Auditor/Lead Auditor ISO/IEC 27001:2022 (IRCA™™ 2575)

Zielgruppe:

• Informationssicherheitsbeauftragte
• CISOs
• Compliance-Beauftragte
• Cyber Security Architekten
• Cloud Competence Center
• Datenschutzbeauftragte

Voraussetzungen:

Um Kursinhalten und Lerntempo im Kurs CL130 Cloud Information Security gemäß ISO/IEC 27017/27018, BSI™ C5 und C3A gut zu verstehen, sind folgende Kenntnisse nötig bzw. von Vorteil:

• Funktion und Aufbaus eines ISMS nach ISO/IEC 27001.

Alternativ besuchen Sie vorher die Workshops SC120 ISMS-Implementierung gemäß ISO 27001:2022 und CL120 Cloud Compliance – Normen, Sicherheitsanforderungen, Lösungswege.

Beschreibung:

Die Digitalisierung schreitet unaufhaltsam voran, sowohl in der freien Wirtschaft als auch in Behörden. Um das volle Potenzial der Digitalisierung zu erschließen, führt kein Weg an der Cloud vorbei. Doch wie kann bei der Cloudnutzung ein angemessenes Sicherheitsniveau realisiert werden?

Während sich der Kurs CL120 Cloud Compliance – Normen, Sicherheitsanforderungen, Lösungswege auf Aspekte konzentriert, die vor der Nutzung von Cloud-Diensten berücksichtigt werden müssen (wie Regulatorik und gesetzliche Anforderungen hinsichtlich Vertragsgestaltung, Informationssicherheit und Datenschutz), baut der Workshop CL130 Cloud Information Security gemäß ISO/IEC 27017/27018, BSI™ C5 und C3A darauf auf und widmet sich der sicheren Einführung und Nutzung von Cloud-Services, also der konkreten Umsetzung dieser Anforderungen. Dabei werden Anforderungen aus BSI™ C5 und C3A vertieft und auf konkrete Implementierungsmaßnahmen heruntergebrochen.

Die Teilnehmer erhalten in diesem dreitägigen Workshop einen soliden Überblick über die Möglichkeiten Cloud Services in einem ISMS zu behandeln und Anleitungen zu einer sicheren Cloud-Architektur und Implementierung.