tiero - Fotolia
Mit Standards für Data-Storage-Security Compliance erreichen
Die professionelle und Audit-konforme Absicherung von Datenspeichern gehört zu den unverzichtbaren Compliance-Anforderungen an Unternehmen und Organisationen.
Standards helfen, Compliance-Anforderungen einzuhalten. Außerdem bereitet ihre Einhaltung Unternehmen umfassend auf Auditierungen vor. Standards für die Data Storage Security können das Schutzniveau insgesamt erhöhen.
Kritisch ist das aus der Perspektive der rechtlichen Compliance. Daten, die Organisationen in gerichtlichen Verhandlungen brauchen, müssen sicher und verfügbar sein. Das gilt auch für die Daten aus dem Geschäftsbetrieb.
Vertraulichkeit, Integrität und Verfügbarkeit sind unverzichtbar, wenn es um den Schutz und die Sicherheit von Daten geht. Admins müssen die physische Sicherheit garantieren. Das betrifft die Speichermedien, das Storage-System, den Zugang dazu und die Infrastruktur, die es unterstützt. Sie müssen sich aber auch um die nicht physischen Elemente kümmern, zum Beispiel Zugangskontrollen, Datensicherung und Storage-Anwendungen, Authentisierung und Verschlüsselung. Das optimiert insgesamt die Storage-Umgebung.
Es folgen einige wichtige Standards für sichere Datenspeicher. Diese Liste ist nicht umfassend, enthält aber die sechs wichtigsten Standards und Compliance-Regulierungen, die die Sicherheit des Daten-Storage heute beeinflussen.
ISO/IEC 27040/2015, Informationstechnologie – Sicherheitstechniken – Storage-Security.
Dieser internationale ISO-Standard beschreibt die nötigen physischen, technischen und administrativen Mittel und Methoden, um Storage-Systeme und die damit zusammenhängenden Infrastrukturen sowie die auf ihnen gespeicherten Daten zu schützen. Sie können präventiv, detektivisch, korrigierend, abwehrend, wiederherstellend oder kompensierend sein oder mehrere diese Qualitäten verbinden. Der Standard liefert technische Leitlinien dazu, wie man alle Aspekte der Storage-Sicherheit handhabt – von der anfänglichen Planung über das Design bis zur Implementierung, Dokumentation und dem laufenden Management, Tests und Überprüfungen.
Risikoabschwächung hinsichtlich des Datenspeichers ist ein Schlüsselelement dieser Norm. Dazu werden die Risiken Datendiebstahl und Datenkorruption betrachtet. Außerdem befasst sich der Standard mit neuen Technologien und Vernetzungsthemen. Er entspricht den Anforderungen eines Informations-Sicherheits-Managements-Systems (ISMS) nach ISO/IEC 27001:2013, Informationstechnik – Sicherheitstechniken – ISMS-Anforderungen.
Neben dem Risikofokus versucht der Standard Organisationen auch dabei zu unterstützen, die bestmögliche Sicherheit für ihre Daten zu erreichen. Er dient als Basis für das Design, die Überprüfung und Auditierung von Sicherheitsmaßnahmen.
Payment Card Industry Data Security Standard (PCI DSS)
Dieser Standard befindet sich im Moment in Version 3.2.1, 2018. Er wird global angewandt und hilft Unternehmen, Betrug zu verhindern. Dafür schreibt er die Umsetzung starker Sicherheits- und Zugangskontrollmaßnahmen für Kreditkartendaten vor. Organisationen, die Kredit- oder Debitkarten der fünf wichtigsten Marken Visa, MasterCard, American Express, Discover und Japan Credit Bureau akzeptieren, müssen die Anforderungen von PCI DSS erfüllen.
Das ist verpflichtend für Organisationen, die Daten zu Kreditkarten und ihren Besitzern speichern, verarbeiten oder übertragen. Anforderung 6 des Standards befasst sich besonders mit der Notwendigkeit, dass Organisationen „sichere Systeme und Applikationen entwickeln und warten müssen“, beispielsweise Systeme zur Datenspeicherung.
DSGVO
Seit 2018 gilt in Europa die General Data Protection Regulation (GDPR), die in Deutschland als DSGVO (Datenschutz-Grundverordnung) umgesetzt wurde und das bisher geltende Datenschutzrecht modifiziert hat. Die Norm legt fest, wie personenbezogene Daten von EU-Bürgern durch die Organisation, in deren Besitz sich die Daten befinden, behandelt werden müssen, und zwar unabhängig davon, wo sich die Daten physisch befinden. Sie reguliert, wie Unternehmen Daten sammeln, speichern, verarbeiten und löschen sollen. Die Sicherheit des Storage ist hier eine wichtige Komponente. Die Einhaltung der DSGVO-Regeln ist inzwischen zu einer prominenten Anforderung für IT-Abteilungen weltweit geworden.
Storage Networking Industry Association Transport Layer Security Specification (SNIA TLS)
Die SNIA ist eine weltweite Non-Profit-Organisation. Inzwischen gehören ihr die meisten Storage-Unternehmen an. Ihr Zweck besteht darin, Standards und Bildungsprogramme im Bereich Storage und Informationstechnologie zu entwickeln. Die Organisation hat beispielsweise ihre Auffassungen zum ISO-Standard für Datensicherheit, seiner Rolle und den beschriebenen bewährten Vorgehensweisen für eine gute Data Storage Security publiziert.
SNIA TLS gilt derzeit in Version 2.0, 2021. Der Standard liefert Anforderungen und Leitlinien für das TLS-Protokoll und seinen Einsatz mit Storage-Technologien. Die Anforderungen sollen die sichere Zusammenarbeit zwischen Storage Clients und Servern sowie Non-Storage-Technologien mit speziellen Interoperabilitätsanforderungen erleichtern.
NIST SP 800-209 (2020) Sicherheitsrichtlinien für Storage-Infrastruktur
Diese Spezialpublikation (SP) des National Institute of Standards and Technology (NIST) bietet einen Überblick über Entwicklung und Weiterentwicklung von Storage-Technologien, bewertet aktuelle Bedrohungen der Data Storage Security und liefert detaillierte Sicherheitsempfehlungen und Leitlinien, um derartige Bedrohungen abzuwehren oder abzuschwächen.
NIST SP 800-209 geht über die traditionellen Elemente einer IT-Infrastruktur wie physische und logische Sicherheit, Zugangskontrolle und Authentisierung, Veränderungs- und Konfigurationsmanagement, Incident Response und Wiederherstellung hinaus. Die Norm befasst sich mit Fragen der Storage-Infrastruktur einschließlich Datenschutz, Netzwerke, Verschlüsselung und der Sicherheit von Storage Devices.
HIPAA Security Rule
Der Health Insurance Portability and Accountability Act (HIPAA) aus dem Jahr 1996 umfasst ein breites Spektrum von bei Audits überprüfbaren Anforderungen zum Schutz elektronisch gespeicherter Gesundheitsinformationen. Die Norm hat mehrere Teile, die Data-Security-Themen berühren.
Beispielsweise verlangt sie einen Backup-Plan mit Prozessen, die lesbare exakte Kopien elektronisch gespeicherter Gesundheitsinformationen erstellen und bereithalten. Für die Sicherung des Datenzugangs fordert sie Ver- und Entschlüsselungsmechanismen.