BIO Thema Clouddiensten - Inleiding

ID: CLD_INL Hoofdstuk normenkader Status: Actueel Publicatiedatum: 29-10-2021 Redactionele wijzigingsdatum: 6-1-2022 Alle hoofdstukken bij BIO Thema-uitwerking Clouddiensten: BIO Thema Clouddiensten - Inleiding BIO Thema Clouddiensten - Risico's in relatie tot clouddiensten BIO Thema Clouddiensten - Bronverwijzing BIO Thema Clouddiensten - Beslisboom voor risicobeoordeling IV-diensten BIO Thema Clouddiensten - Toelichting objecten in het beleidsdomein BIO Thema Clouddiensten - Toelichting objecten in het uitvoeringsdomein BIO Thema Clouddiensten - Samenvatting AIVD-standpunt en beleidsverkenning BZK BIO Thema Clouddiensten - Toelichting SIVA-basiselementen BIO Thema Clouddiensten - Verantwoording BIO Thema Clouddiensten - Cloudbeveiligingsobjecten binnen het control-domein BIO Thema Clouddiensten - Voorwoord

De toepassing van cloudcomputing-diensten, kortweg clouddiensten, is een methode voor het leveren van ICT.

Cloudcomputing is een term die staat voor de omgeving waarbinnen leveranciers functionaliteit of diensten in de vorm van een technologische black-box aanbieden. Dit betekent dat clouddiensten gekozen worden op basis van een vooraf vastgestelde ‘dienstenmenukaart’. De CSC kan als aanvullende eis stellen dat het effectieve beveiligingsniveau voor de betrokken CSC geen invloed ondervindt van onderhoud- en releasewerkzaamheden voor andere CSC's. ‘Cloud computing is een model voor het snel beschikbaar stellen van on-demand (op verzoek) netwerktoegang tot een gedeelde pool van configureerbare IT-middelen (zoals netwerken, servers, opslag, applicaties en diensten), met een minimum aan management inspanning of interactie met de aanbieder.’ (Nist, https://csrc.nist.gov/publications/detail/sp/800-145/final).

In het algemeen onderscheid men drie soorten IT-clouds:

1. Private Cloud (met een dedicated infrastructuur), De IT-voorzieningen zijn ingericht voor één klant en opgezet conform de standaarden van de CSP.
2. Private/Shared Cloud (met een geheel of gedeeltelijk gedeelde infrastructuur, De IT-voorzieningen zijn toegankelijk voor één klant en delen om kosten te besparen de onderliggende infrastructuur met andere klanten (bijvoorbeeld de opslag en het netwerk).
3. Public Clouds, De IT-voorzieningen zijn toegankelijk via het Internet. De voorzieningen worden meestal gedeeld met andere klanten.

De meest bekende clouddiensten zijn:

• Software as a Service (SaaS), Bij SaaS staat de applicatie volledig onder controle van de dienstverlener.
• Platform as a Service (PaaS), Bij PaaS worden de platformen en de infrastructuur beheerd door de CSP en niet de applicaties.
• Infrastructure as a Service (IaaS), Bij IaaS wordt alleen de infrastructuur beheerd door de CSP en niet de applicaties en de platformen.

De toepassing van clouddiensten past in de verschuiving van maatwerkoplossingen naar standaardoplossingen. Sommige overheidsorganisatie maken al gebruik van bepaalde type clouddiensten, andere organisaties overwegen om gebruik te maken van clouddiensten. Ook hebben sommigen hiervoor een eigen cloudbeleid ontwikkeld. Bij veel overheidsorganisatie heerst er echter onzekerheid over:

• het verwerven van clouddiensten, omdat heel veel activiteiten buiten hun zicht plaatsvinden;
• het opslaan van data bij een derde partij.

Een ander belangrijk aandachtspunt bij de overheidsorganisatie is dat bij een toename van het aantal diensten en dienstverleners (CSP’s), de regie-inspanning voor de afnemer (CSC), verder kan toenemen. Vooral wanneer de CSP’s andere CSP’s inschakelen voor de te leveren diensten.

Ondanks het feit dat er met betrekking tot clouddiensten verschillende baselines bestaan, vragen organisaties zich af op welke onderwerpen zij zich dienen te focussen. De uitwerkingen van de relevante onderwerpen wordt verder aangeduid als beveiligingsprincipes

Overheden die IT-diensten willen aanbesteden, dienen zich vanuit hun bijzondere verantwoordelijkheid de vraag te stellen, welke data van medewerkers, burgers en bedrijven, opgeslagen kan worden in de (public) cloud en welke data binnen de bescherming van de rekencentra van de overheid moet blijven. Leidend daarbij zijn de antwoorden van minister Plasterk op vragen vanuit de 2e kamer, mei 2014 (zie https://www.openkamer.org/kamervraag/2014Z09632/). De standpunten van de AIVD en de verkenning Cloudbeleid Rijksdienst alsmede de IBD-handreikingen voor clouddiensten zijn tevens richtinggevend bij de risicoanalyse, zoals in dit thema is uitgewerkt.

Doelstelling

Het doel van dit thema is overheidsorganisaties een systematisch beeld te geven over de voornaamste principes van de clouddiensten waarmee zij ondersteund worden bij een goed afgewogen inzet van clouddiensten en het onderkennen van de aspecten die van belang zijn bij het aangaan van een clouddienst. De focus van het thema ligt op beschikbaarheid, integriteit en vertrouwelijkheid en controleerbaarheid van de data en de betrouwbaarheid van de bedrijfsprocessen.

De uitwerking van het thema Clouddiensten dient als handreiking bij inkoop van clouddiensten. De keuze van de principes dient plaats te vinden op basis van de context van de organisatie en risicoanalyse.

Opzet van het thema

Het thema Clouddiensten wordt uitgewerkt langs twee lijnen: Structuur en Principes. De structuur van het BIO Thema Clouddiensten bestaat uit een indeling op basis van: Beleid, Uitvoering en Control (BUC). De beveiligingsprincipes vormen de inhoudelijke onderwerpen die, vanuit de optiek van de CSC, van belang zijn. Door eerst op de principes te focussen, wordt inzicht verkrijgen in en de relatie tussen de noodzakelijke principes. Na verkregen inzicht zullen per principes hoofdbeheersmaatregelen (in ISO-terminologie ‘Control’) en onderliggende criteria voor maatregelen gedefinieerd worden. De principes en de bijbehorende criteria voor maatregelen worden gestructureerd door middel van een lagenstructuur.

In principe wordt een standaardopzet gevolgd voor de BIO-thema’s. Echter, vanwege het bijzondere karakter van dit thema, zijn er voor een betere begripsvorming enkele onderwerpen toegevoegd. Dit thema volgt de volgende opzet:

• Context van de relatie tussen de CSC en de CSP
• Context en globale structuur van het thema
• Scope en begrenzing clouddiensten
• Aanleiding om gebruik te maken van clouddiensten
• Dreigingen en kwetsbaarheden (Dreigingen en kwetsbaarheden cloudbeleidsprincipes, Dreigingen en kwetsbaarheden cloud-uitvoeringsprincipes en Dreigingen en/of kwetsbaarheden cloudcontrolprincipes)
• CSC-georiënteerde aandachtspunten
• Presentatie en uitwerking van beveiligingsprincipes voor clouddiensten op de BUC-lagen
• Beveiligingsprincipes binnen BUC gerelateerd aan basiselementen

Context van de relatie tussen de CSC en de CSP

In de verhouding tussen de CSC en de CSP zijn drie issues waar organisaties steeds op focussen. Vanuit de CSC beredeneerd zijn dit:

1. On-going, Krijgt de CSC, qua prestaties, op dagelijkse basis de juiste diensten geleverd? Met andere woorden voldoen de geleverde diensten aan prijs, kwaliteit, veiligheid- en continuïteitseisen? Dus hoe is het gesteld met de performance?
2. Continuous monitoring (near real time), Krijgt de CSC de zekerheid dat hij regulier, conform contracten, bedrijfseisen en beveiligingseisen, de juiste diensten ontvangt? Dus hoe is het gesteld met de beoogde conformance?
3. Compliancy (periodieke metingen en evaluaties), Krijgt de CSC de zekerheid dat hij in de afgelopen periode, conform wet- en regelgeving, contracten, bedrijfseisen en beveiligingseisen de juiste diensten heeft ontvangen? Dus hoe is het gesteld met de beoogde de compliance?

Twee deliverables van een CSP

Bij inkoop van clouddiensten levert de CSP niet alleen de gecontracteerde clouddiensten (ICT-service levering), maar ook de noodzakelijke continuous monitoring-, compliancy- en assurance-rapportages, zoals dit in afbeelding 'Twee deliverables van een CSP' wordt geschetst.

ICT-service levering Dit betreft de daadwerkelijk door de CSC gevraagde publieke of private clouddiensten, die aan bepaalde functionele en beveiligingseisen moeten voldoen. De levering gaat vergezeld met prestatiemetingen over de geleverde diensten en de noodzakelijke verbeteringsmaatregelen met betrekking tot leveringen en beveiliging.

Assurance Dit betreft een jaarlijkse rapportage op basis van een onderzoek uitgevoerd door een derde partij. Met de assurance-rapportage geeft de CSP zekerheid aan de CSC dat de geleverde diensten aan de contractuele eisen hebben voldaan. De assurance-rapportage komt tot stand op basis van een onderzoekstraject waarin een referentiekader als toetsingsmiddel wordt gehanteerd.

Trust De inkoop van clouddiensten gaat gepaard met een gedragen en haalbaar ICT-servicecontract. Echter, er zullen altijd aspecten zijn die bij de contractvorming over het hoofd worden gezien. Voor een duurzame relatie is daarom een vertrouwensrelatie tussen CSC en CSP vereist, anders lopen zij steeds het risico in een juridische strijd verwikkeld te raken. Zowel aan de CSC-kant als aan de kant van de CSP spelen verschillende aspecten een rol. In de CSC-CSP relatie heeft iedere partij haar eigen rol. De relevante aspecten zullen hieronder worden beschreven.

CSC (vraagzijde) Initieel stelt de CSC een programma van eisen en/of wensen PvE(W) vast voor de te verwerven clouddiensten en communiceert dit met de potentiële CSP’s. Wanneer de CSC en de gekozen CSP overeenstemming bereiken, worden de clouddiensten geleverd. Een belangrijke vraag voor overheidsdienstverlening is hierbij: ‘Is de toepassing van de clouddienst, gelet op de, door de Tweede Kamer geaccepteerde risico’s toegestaan?’

Zie hiervoor:

• Mail: J.L.M. Kuijpers (AIVD): Betreft: Publieke clouddiensten en gerubriceerde gegevens, 9 sept 2019
• Concept voor afstemming: Verkenning cloudbeleid voor de Nederlandse Rijksdienst, versie 0.96, 12 aug 2019, https://www.earonline.nl/images/earpub/8/86/Quickscan_BIR2017_versie_1.pdf
• Beleidskader: Privacy en informatiebescherming 2019, versie 1.0, 20 jan 2019
• Brief: Ferd Grapperhaus (Min. JenV), Onderwerp: CLOUD act, okt 2018

In BIO Thema Clouddiensten - Beslisboom voor risicobeoordeling IV-diensten zijn instrumenten, in de vorm van beslisbomen, beslisbomen, opgenomen waarmee organisaties kunnen besluiten al dan niet gebruik te maken van clouddiensten.

Twee deliverables van een CSP en de eisen en wensen aan de vraag en levering kant

CSP (leveringszijde) De CSP maakt op basis van het PvE(W) een functioneel en technisch ontwerp. Vervolgens wordt de dienst gebouwd, getest en in productie genomen.

Geleverde diensten Deze diensten dienen altijd te voldoen aan de, in de vorm van wettelijke en business eisen, gestelde condities. Hiernaast komen de partijen overeen dat de geleverde diensten:

• meetbaar en voorspelbaar moeten zijn;
• compliant moeten zijn aan wet- en regelgeving, business- en beveiligingseisen van de CSC;
• beveiligd en beheerst moeten zijn.

Context en globale structuur van clouddiensten

Afbeelding 'Twee deliverables van een CSP en de eisen en wensen aan de vraag/levering kant' kan samengevat worden door middel van de domeinen: Beleid, Uitvoering en Control (BUC). Dit wordt in afbeelding 'Context CSC- en CSP-relatie bij verwerven van clouddiensten' geïllustreerd.

Beleidsdomein

De CSC stelt een PvE(W) op, dat als randvoorwaarde zal gelden. Voor zowel de CSC als de CSP is het PvE(W) een toetsinstrument. De vragen die vanuit CSC en CSP gesteld kunnen worden, zijn:

• CSC: heb ik de juiste dienst(en) geleverd gekregen?
• CSP: hoe kan ik aantonen dat ik de juiste diensten heb geleverd?

Uitvoeringsdomein

Binnen dit domein gaat het om de operationele levering van de clouddiensten. Beide zijden moeten transparantie zijn over de gevraagde en daadwerkelijke leveringen.

Controldomein

Binnen dit domein zijn de beheersingsprocessen ingericht. Voor de beoogde dienstverlening moeten de beheersingsprocessen aan CSC en CSP-zijden op elkaar zijn afgestemd.

Context CSC en CSP relatie bij verwerven van clouddiensten

Scope en begrenzing van clouddiensten

De scope van het BIO Thema Clouddiensten is de set van ‘specifieke onderwerpen’ (principes) waar organisaties aandacht aan zouden moeten besteden bij het inkopen van clouddiensten. Met andere woorden dit thema richt zich hoofdzakelijk op het ‘Wat’-aspect. Het is ook van belang om te weten langs welke route organisaties naar de cloud kunnen. Hieraan liggen migratie-strategieën aan ten grondslag. De migratie-strategieën zullen niet worden beschreven; het zogeheten ‘Hoe’-aspect wordt in dit document niet uitgewerkt.

In de praktijk zijn daarvoor verschillende baselines beschikbaar. De algemene eisen uit de BIO (Baseline Informatiebeveiliging Overheid) en NEN-ISO/IEC 27001 of NEN-ISO/IEC 27002 zullen onverminderd van kracht blijven. Het gaat in dit thema om specifieke additionele principes die gerelateerd zijn aan clouddiensten. De maatregelen die gerelateerd zijn aan deze principes moeten realistisch en implementeerbaar zijn voor een CSP.

Privacy-aspecten: DPIA’s (Data Protection Impact Assessments) worden niet expliciet opgenomen, omdat DPIA’s vanuit de AVG (Algemene Verordening Gegevensbescherming) generiek bij elk project uitgevoerd dienen te worden.

Aanleiding om gebruik te maken van clouddiensten

Enkele belangrijke argumenten van overheden om gebruik te maken van clouddiensten zijn:

• de focus op kerntaken;
• een efficiënte bedrijfsvoering en het verlagen van de totale kosten;
• het binnen een kort tijdsbestek kunnen beschikken over nieuwe IT-functionaliteit en daarmee de dienstverlening aan burger en bedrijf sneller aan kunnen passen aan de (veranderende) behoefte;
• de zekerheid over gekwalificeerd personeel;
• het verlagen van IT-complexiteit in specifieke situaties;
• het verbetering van de beveiliging/beschikbaarheid;
• een herziene bedrijfsstrategie en vereiste specifieke beveiligingseisen voor processen en data.

Hiernaast kunnen organisaties op basis van externe factoren overwegen om gebruik te maken van clouddiensten, zoals:

• vigerende wet- en regelgeving ten aanzien van:
  • een betrouwbare dienstverlening en het veilig omgaan met data van burgers en bedrijven;
  • het overheidsbeleid inzake data in de cloud en de invloed van internationale verdragen;
  • de noodzaak voor een weerbare overheid tegen cybercriminaliteit en statelijke actoren;
• technologische ontwikkelingen. Hierbij wil de CSC kunnen inspelen op innovaties, die kunnen leiden tot een efficiëntere bedrijfsvoering en verlaging van de totale kosten.

Toepassing van het thema

Dit thema is een hulpmiddel bij het kiezen van een aantal te adresseren cloud-principes bij het verwerven van clouddiensten. Bij de opzet van dit thema is het onderwerp ‘cloud’ functioneel benaderd en niet uitgewerkt op de technische gelaagdheid van SaaS, PaaS en IaaS. Bij het verwerven van clouddiensten kan de ISOR (Information Security Object Repository) als hulpmiddel dienen. Dit impliceert de volgende stappen:

• Bepaal als eerste de context van de case en het type dienst dat verworven moet worden.
• Identificeer vervolgens de operationele beveiligingsprincipes. Raadpleeg hierbij de principes in het uitvoeringsdomein.
• Identificeer daarna de conditionele principes. Raadpleeg hierbij de principes in het beleidsdomein.
• Identificeer tenslotte de beheersingsprincipes. Raadpleeg hierbij de principes in het control-domein.
• Neem de beveiligingsprincipes op in het PvE(W) voor de clouddienst, zodat deze principes door de provider kunnen worden gerelateerd aan de specificaties van bestaande ‘standaard diensten’ of worden vertaald in maatregelen voor de aangeboden specifieke dienstverlening.