BIO Thema Clouddiensten - Inleiding

ID: CLD_INL Hoofdstuk normenkader Status: Actueel Publicatiedatum: 29-10-2021 Redactionele wijzigingsdatum: 6-1-2022 Alle hoofdstukken bij BIO Thema-uitwerking Clouddiensten: BIO Thema Clouddiensten - Inleiding BIO Thema Clouddiensten - Risico's in relatie tot clouddiensten BIO Thema Clouddiensten - Bronverwijzing BIO Thema Clouddiensten - Beslisboom voor risicobeoordeling IV-diensten BIO Thema Clouddiensten - Toelichting objecten in het beleidsdomein BIO Thema Clouddiensten - Toelichting objecten in het uitvoeringsdomein BIO Thema Clouddiensten - Samenvatting AIVD-standpunt en beleidsverkenning BZK BIO Thema Clouddiensten - Toelichting SIVA-basiselementen BIO Thema Clouddiensten - Verantwoording BIO Thema Clouddiensten - Cloudbeveiligingsobjecten binnen het control-domein BIO Thema Clouddiensten - Voorwoord

De toepassing van cloud-computing¹-diensten, kortweg clouddiensten, is een methode voor het leveren van de ICT. Cloud-computing is een term die staat voor de omgeving waarbinnen Cloud Service Providers (CSP’s) functionaliteit of diensten in de vorm van een technologische black-box aanbieden. Dit betekent dat clouddiensten gekozen worden met een vooraf vastgestelde ‘dienstenmenukaart’. De Cloud Service Consumer (CSC) kan als aanvullende eis stellen dat het effectieve beveiligingsniveau voor de betrokken CSC geen invloed ondervindt van onderhoud- en releasewerkzaamheden voor andere CSC's.

In het algemeen zijn er 3 soorten IT-clouds te onderscheiden:

1. Private (met een dedicated infrastructuur), De IT-voorzieningen zijn ingericht voor één CSC en opgezet met de standaarden van de CSP.
2. Private/shared (met een geheel of gedeeltelijk gedeelde infrastructuur), De IT-voorzieningen zijn toegankelijk voor één CSC en zij delen, om kosten te besparen, de onderliggende infrastructuur met andere CSC’s (bijvoorbeeld de opslag en het netwerk).
3. Publiek, De IT-voorzieningen zijn toegankelijk via het Internet. De voorzieningen worden meestal gedeeld met andere CSC’s.

De meest bekende clouddiensten zijn:

• Software as a Service (SaaS), Bij SaaS staat de applicatie volledig onder controle van de dienstverlener.
• Platform as a Service (PaaS), Bij PaaS worden de platformen en de infrastructuur beheerd door de CSP en niet de applicaties.
• Infrastructure as a Service (IaaS), Bij IaaS wordt alleen de infrastructuur beheerd door de CSP en niet de applicaties en de platformen.

De toepassing van clouddiensten past in de verschuiving van maatwerkoplossingen naar standaard oplossingen. Sommige overheidsorganisatie maken al gebruik van bepaalde type clouddiensten. Andere organisaties overwegen nog om gebruik te maken van clouddiensten. Ook hebben sommigen hiervoor een eigen cloud-beleid ontwikkeld. Bij veel overheidsorganisatie heerst er echter onzekerheid over:

• het verwerven van clouddiensten, omdat heel veel activiteiten buiten hun zicht plaatsvinden;
• het opslaan van data bij een derde partij.

Een ander belangrijk aandachtspunt bij de overheidsorganisatie is dat bij een toename van het aantal diensten en dienstverleners (CSP’s) de regie-inspanning voor de afnemer (CSC) verder kan toenemen. Vooral wanneer CSP’s andere CSP’s inschakelen voor de te leveren diensten.

Ondanks het feit dat voor clouddiensten verschillende baselines bestaan, vragen organisaties zich af op welke onderwerpen² zij zich dienen te focussen.

Overheden die IT-diensten willen aanbesteden, dienen zich vanuit hun bijzondere verantwoordelijkheid de vraag te stellen, welke data van medewerkers, burgers en bedrijven, opgeslagen kan worden in de (publieke) cloud en welke data binnen de bescherming van de rekencentra van de overheid moet blijven. Leidend daarbij zijn de antwoorden³ van minister Plasterk op vragen vanuit de Tweede Kamer, mei 2014. De standpunten van de AIVD en de verkenning Cloudbeleid Rijksdienst en de IBD-handreikingen voor clouddiensten zijn tevens richtinggevend bij de risicoanalyse, zoals verderop in deze thema-uitwerking is uitgewerkt.

Doelstelling

Het doel van deze BIO Thema-uitwerking is overheidsorganisaties een systematisch beeld te geven van de voornaamste objecten van clouddiensten, waarmee zij ondersteund worden bij een goed afgewogen inzet van clouddiensten en het onderkennen van de aspecten die van belang zijn bij het aangaan van een clouddienst. De focus van deze thema-uitwerking ligt op beschikbaarheid, integriteit, vertrouwelijkheid en controleerbaarheid van de data en de betrouwbaarheid van de bedrijfsprocessen.

De uitwerking van de BIO Thema-uitwerking Clouddiensten dient als handreiking bij inkoop van clouddiensten. De keuze van de objecten dient plaats te vinden met de context van de organisatie en risicoanalyse.

Opzet BIO Thema-uitwerking

De BIO Thema-uitwerking Clouddiensten wordt uitgewerkt langs twee lijnen: structuur en objecten. De structuur van de BIO Thema-uitwerking Clouddiensten bestaat uit een indeling van beleid, uitvoering en control. De beveiligingsobjecten vormen de inhoudelijke onderwerpen die, vanuit de optiek van de CSC, van belang zijn. Door eerst op de objecten te focussen, wordt inzicht verkregen in en de relatie tussen de noodzakelijke objecten. Na het verkregen inzicht worden per object controls en onderliggende criteria voor maatregelen gedefinieerd. De objecten en de bijbehorende criteria voor maatregelen worden gestructureerd via het beleids-, uitvoerings- of controldomein.

Er wordt een standaard opzet voor BIO Thema-uitwerkingen gevolgd. Vanwege het bijzondere karakter van deze thema-uitwerking zijn voor betere begripsvorming enkele onderwerpen toegevoegd. Deze thema-uitwerking volgt de volgende opzet:

• Context van de relatie tussen de CSC en CSP (zie Context relatie tussen CSC en CSP)
• Context en globale structuur van deze thema-uitwerking (zie Context en globale structuur clouddiensten)
• Scope en begrenzing van de thema-uitwerking (zie Scope en begrenzing clouddiensten)
• Aanleiding om gebruik te maken van clouddiensten (zie Aanleiding om gebruik te maken van clouddiensten)
• Dreigingen/kwetsbaarheden (zie Dreigingen/kwetsbaarheden)
• CSC-georiënteerde aandachtspunten (zie CSC-georiënteerde aandachtspunten)
• Beveiligingsobjecten voor clouddiensten in het beleids-, uitvoerings- en control-domein (zie Beveiligingsobjecten voor clouddiensten) gerelateerd aan basiselementen (zie Clouddiensten Beleid, Clouddiensten Uitvoering en Clouddiensten Control)

Context relatie tussen CSC en CSP

In de verhouding tussen de CSC en de CSP zijn drie issues waar organisaties steeds op focussen. Vanuit de CSC beredeneerd zijn dit:

1. On-going, Krijgt de CSC qua prestaties op dagelijkse basis de juiste diensten geleverd? Anders gezegd, voldoen de geleverde diensten aan prijs, kwaliteit, veiligheid- en continuïteitseisen? Dus hoe het gesteld is met de performance?
2. Continuous monitoring (near real time), Krijgt de CSC de zekerheid dat hij regulier, conform contracten, bedrijfseisen en beveiligingseisen, de juiste diensten ontvangt? Dus hoe het gesteld is met de beoogde conformiteit?
3. Compliancy (periodieke metingen en evaluaties), Krijgt de CSC de zekerheid dat hij in de afgelopen periode, conform wet- en regelgeving, contracten, bedrijfseisen en beveiligingseisen de juiste diensten heeft ontvangen? Dus hoe het gesteld is met de beoogde de compliance?

Bij de inkoop van clouddiensten levert de CSP niet alleen de gecontracteerde clouddiensten (ICT- servicelevering), maar ook de noodzakelijke continuous monitoring-, compliancy- en assurance-rapportages, zoals dit in afbeelding 'Twee deliverables van een CSP' wordt geschetst.

Twee deliverables van een CSP

Afbeelding 'Twee deliverables van een CSP' is verder uitgewerkt in afbeelding 'Twee CSP-deliverables en CSC-eisen/wensen'.

Twee CSP-deliverables ven CSC-eisen/wensen

ICT-servicelevering

Dit betreft de daadwerkelijk door de CSC gevraagde publieke of private clouddiensten, die aan bepaalde functionele en beveiligingseisen moeten voldoen. De levering gaat vergezeld van prestatiemetingen over de geleverde diensten en de noodzakelijke verbetermaatregelen voor leveringen en beveiliging.

Assurance

Dit betreft een jaarlijkse rapportage gebaseerd op een onderzoek uitgevoerd door een derde partij. Met de assurance-rapportage geeft de CSP zekerheid aan de CSC dat de geleverde diensten aan de contractuele eisen hebben voldaan. De assurance-rapportage komt tot stand met een onderzoekstraject waarin een referentiekader als toetsingsmiddel wordt gehanteerd.

Trust

De inkoop van clouddiensten gaat gepaard met een gedragen en haalbaar ICT-servicecontract. Echter er zullen altijd aspecten zijn die bij de contractvorming over het hoofd worden gezien. Voor een duurzame relatie is daarom een vertrouwensrelatie tussen de CSC en de CSP vereist, anders lopen zij steeds het risico in een juridische strijd verwikkeld te raken.

Zowel aan de CSC-kant als aan de kant van de CSP spelen verschillende aspecten een rol. In de relatie tussen de CSC en CSP heeft iedere partij haar eigen rol. De relevante aspecten zijn hieronder beschreven.

CSC (vraagzijde)

Initieel stelt de CSC een Programma van Eisen en Wensen (PvEeW) vast voor de te verwerven clouddiensten en communiceert dit met de potentiële CSP’s. Wanneer de CSC en de gekozen CSP overeenstemming bereiken, worden clouddiensten geleverd. Een belangrijke vraag voor overheidsdienstverlening is hierbij: ‘Is de toepassing van Clouddienst, gelet op de, door de Tweede Kamer geaccepteerde risico’s toegestaan?'⁴ In BIO Thema Clouddiensten - Beslisboom voor risicobeoordeling IV-diensten zijn instrumenten, in de vorm van beslisbomen, opgenomen waarmee organisaties kunnen besluiten al dan niet gebruik te maken van clouddiensten.

CSP (leveringszijde)

De CSP maakt met het PvEeW een functioneel en technisch ontwerp. Vervolgens wordt de dienst gebouwd, getest en in productie genomen. Deze geleverde diensten dienen altijd te voldoen aan de, in de vorm van wettelijke en business eisen, gestelde condities. Hiernaast komen de partijen overeen dat de geleverde diensten:

• meetbaar en voorspelbaar moeten zijn;
• compliant moeten zijn aan wet- en regelgeving, business- en beveiligingseisen van de CSC;
• beveiligd en beheerst moeten zijn.

Geleverde diensten

Deze diensten dienen altijd te voldoen aan de, in de vorm van wettelijke en business eisen, gestelde condities. Hiernaast komen de partijen overeen dat de geleverde diensten:

• meetbaar en voorspelbaar moeten zijn;
• compliant moeten zijn aan wet- en regelgeving, business- en beveiligingseisen van de CSC;
• beveiligd en beheerst moeten zijn.

Context en globale structuur clouddiensten

Afbeelding 'Twee deliverables van een CSP en de eisen/wensen aan de CSC-kant' kan samengevat worden met het beleids-, uitvoerings- en control-domein. Dit wordt in afbeelding 'Context CSC- en CSP-relatie bij clouddienstenverwerving' geïllustreerd.

Context CSC- en CSP-relatie bij clouddienstenverwerving

Beleidsdomein

De CSC stelt een PvE(eW) op, dat als randvoorwaarde geldt. Voor zowel de CSC als de CSP is het PvE(eW) een toetsinstrument. Zij kunnen de volgende vragen stellen:

• CSC: heb ik de juiste dienst(en) geleverd gekregen?
• CSP: hoe kan ik aantonen dat ik de juiste diensten heb geleverd?

Uitvoeringsdomein

Binnen dit domein gaat het om de operationele levering van clouddiensten. Aan beide zijden moet transparantie zijn over de gevraagde en daadwerkelijke leveringen.

Control-domein

Binnen dit domein zijn de beheersingsprocessen ingericht. Voor de beoogde dienstverlening moeten de beheersingsprocessen aan de kant van de CSC en de CSP op elkaar zijn afgestemd.

Scope en begrenzing clouddiensten

De scope van de BIO Thema-uitwerking Clouddiensten is de set van specifieke onderwerpen (objecten) waar organisaties aandacht aan moeten besteden bij het inkopen van clouddiensten. Deze thema-uitwerking richt zich hoofdzakelijk op het ‘wat’-aspect.

Het is ook van belang om te weten langs welke route organisaties naar de cloud kunnen. Hieraan liggen migratiestrategieën ten grondslag. De migratiestrategieën zullen niet worden beschreven. Het zogeheten ‘hoe’-aspect wordt in deze thema-uitwerking niet uitgewerkt. In de praktijk zijn daarvoor verschillende baselines beschikbaar.

De algemene eisen uit de Baseline Informatiebeveiliging Overheid (BIO) en ISO 27001 en ISO 27002 blijven onverminderd van kracht. Het gaat in deze thema-uitwerking om specifieke additionele objecten die gerelateerd zijn aan clouddiensten. De maatregelen die gerelateerd zijn aan deze objecten moeten realistisch en implementeerbaar zijn voor een CSP.

Privacy-aspecten: Data Protection Impact Assessments (DPIA’s) worden niet expliciet in dit thema opgenomen, omdat DPIA’s vanuit de Algemene Verordening Gegevensbescherming (AVG) generiek bij elk project uitgevoerd dienen te worden.

De begrenzing van deze BIO Thema-uitwerking is in onderstaande afbeelding weergegeven.

Relatie BIO Thema-uitwerking met aanpalende documenten

Aanleiding om gebruik te maken van clouddiensten

Enkele belangrijke argumenten van overheden om gebruik te maken van clouddiensten zijn:

• de focus op kerntaken;
• een efficiënte bedrijfsvoering en het verlagen van de totale kosten;
• het binnen een kort tijdsbestek kunnen beschikken over nieuwe IT-functionaliteit en daarmee de dienstverlening aan burger en bedrijf sneller aan kunnen passen aan de (veranderende) behoefte;
• de zekerheid over gekwalificeerd personeel;
• het verlagen van IT-complexiteit in specifieke situaties;
• het verbeteren van beveiliging/beschikbaarheid;
• een herziene bedrijfsstrategie en vereiste specifieke beveiligingseisen voor processen en data.

Hiernaast kunnen organisaties met externe factoren overwegen om gebruik te maken van clouddiensten, zoals:

• Vigerende wet- en regelgeving voor:
  • een betrouwbare dienstverlening en het veilig omgaan met data van burgers en bedrijven;
  • het overheidsbeleid inzake data in de cloud en de invloed van internationale verdragen;
  • de noodzaak voor een weerbare overheid tegen cybercriminaliteit en statelijke actoren;
• Technologische ontwikkelingen, Hierbij wil de CSC kunnen inspelen op innovaties, die kunnen leiden tot een efficiëntere bedrijfsvoering en verlaging van de totale kosten.

Toepassing BIO Thema-uitwerking

Deze BIO Thema-uitwerking is een hulpmiddel bij het kiezen van een aantal te adresseren cloud-objecten bij het verwerven van clouddiensten. Bij de opzet van deze thema-uiterking is het onderwerp cloud functioneel benaderd en niet uitgewerkt op de technische gelaagdheid van SaaS, PaaS en IaaS. Bij het verwerven van clouddiensten kan de ISOR (Information Security Object Repository) als hulpmiddel dienen. Dit impliceert de volgende stappen:

• Bepaal als eerste de context van de case en het type dienst dat verworven moet worden.
• Identificeer vervolgens de operationele beveiligingsobjecten. Raadpleeg hierbij de objecten in het uitvoeringsdomein (zie Uitvoeringsdomein).
• Identificeer daarna de conditionele objecten. Raadpleeg hierbij de objecten in het beleidsdomein (zie Beleidsdomein).
• Identificeer tenslotte de beheersingsobjecten. Raadpleeg hierbij de objecten in het control- domein (zie Control-domein).
• Neem de beveiligingsobjecten op in het PvEeW voor de clouddienst, zodat deze objecten door de CSP kunnen worden gerelateerd aan de specificaties van bestaande ‘standaard diensten’ of worden vertaald in maatregelen voor de aangeboden specifieke dienstverlening.
  ^[1][2][3][4]