BES.1.5 — Autorisierung des Bereitstellungsmodells

SOLLTE Security level: normal-SdT Effort 3 BSI-Stand-der-Technik-Kernel

Statement (Anforderung)

Beschaffungsmanagement für Cloud-Dienste SOLLTE für jeden Cloud-Dienst das Bereitstellungsmodell durch eine zuständige Person oder Rolle autorisieren.

Guidance (Erläuterung)

Hiermit ist die bewusste Entscheidung für ein Modell und die konzeptionelle Umsetzung ("Shared Responsibility") dieser Entscheidung gemeint. Bereitstellungsmodelle sind z.B.: Public Cloud, Private Cloud, Community Cloud, Hybrid Cloud. Es kann in der Praxis aber zu dadurch nicht abgedeckten Varianten, wie z. B. "Virtual Private Cloud" kommen. Die Anforderung ist erst dann umgesetzt, wenn auch zwischen den Vertragspartnern das Bereitstellungsmodell explizit vereinbart ist, so dass die Verteilung der Verantwortlichkeiten (Shared Responsibility) für Schutzmaßnahmen zwischen Institution und Dienstleister klar geregelt ist.

Tags: Lieferketten Shared Responsibility Model

Statement properties

Name	Value
target_object_categories	Cloud-Dienste
documentation	Beschaffungskriterien
result	für jeden Cloud-Dienst das Bereitstellungsmodell
result_specification	durch {{eine zuständige Person oder Rolle}}
action_word	autorisieren
modal_verb	SOLLTE

Control properties

Name	Value
alt-identifier	6d50b322-84b8-4c9b-bd2a-0b48d6b61847
sec_level	normal-SdT
effort_level	3
tags	Lieferketten, Shared Responsibility Model

Parameters

ID	Label	Values
bes.1.5-prm1	eine zuständige Person oder Rolle

Raw OSCAL JSON (complete control)

{
  "class": "BSI-Stand-der-Technik-Kernel",
  "id": "BES.1.5",
  "params": [
    {
      "id": "bes.1.5-prm1",
      "label": "eine zuständige Person oder Rolle",
      "props": [
        {
          "name": "alt-identifier",
          "value": "6d50b322-84b8-4c9b-bd2a-0b48d6b61847"
        }
      ]
    }
  ],
  "parts": [
    {
      "id": "BES.1.5_stm",
      "name": "statement",
      "props": [
        {
          "name": "target_object_categories",
          "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv",
          "value": "Cloud-Dienste"
        },
        {
          "name": "documentation",
          "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv",
          "value": "Beschaffungskriterien"
        },
        {
          "name": "result",
          "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv",
          "value": "für jeden Cloud-Dienst das Bereitstellungsmodell"
        },
        {
          "name": "result_specification",
          "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv",
          "value": "durch {{eine zuständige Person oder Rolle}}"
        },
        {
          "name": "action_word",
          "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv",
          "value": "autorisieren"
        },
        {
          "name": "modal_verb",
          "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv",
          "value": "SOLLTE"
        }
      ],
      "prose": "Beschaffungsmanagement für Cloud-Dienste SOLLTE für jeden Cloud-Dienst das Bereitstellungsmodell durch {{ insert: param, bes.1.5-prm1 }} autorisieren."
    },
    {
      "id": "BES.1.5_gdn",
      "name": "guidance",
      "prose": "Hiermit ist die bewusste Entscheidung für ein Modell und die konzeptionelle Umsetzung (\"Shared Responsibility\") dieser Entscheidung gemeint. Bereitstellungsmodelle sind z.B.: Public Cloud, Private Cloud, Community Cloud, Hybrid Cloud. Es kann in der Praxis aber zu dadurch nicht abgedeckten Varianten, wie z. B. \"Virtual Private Cloud\" kommen. Die Anforderung ist erst dann umgesetzt, wenn auch zwischen den Vertragspartnern das Bereitstellungsmodell explizit vereinbart ist, so dass die Verteilung der Verantwortlichkeiten (Shared Responsibility) für Schutzmaßnahmen zwischen Institution und Dienstleister klar geregelt ist."
    }
  ],
  "props": [
    {
      "name": "alt-identifier",
      "value": "6d50b322-84b8-4c9b-bd2a-0b48d6b61847"
    },
    {
      "name": "sec_level",
      "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv",
      "value": "normal-SdT"
    },
    {
      "name": "effort_level",
      "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv",
      "value": "3"
    },
    {
      "name": "tags",
      "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv",
      "value": "Lieferketten, Shared Responsibility Model"
    }
  ],
  "title": "Autorisierung des Bereitstellungsmodells"
}

View JSON API Download JSON