BIO Thema Clouddiensten/Voorwoord: verschil tussen versies
(update naar versie 2.0) |
k (hyperlink toegevoegd) |
||
| Regel 6: | Regel 6: | ||
|Versieaanduiding=2.0 | |Versieaanduiding=2.0 | ||
|Status actualiteit=Actueel | |Status actualiteit=Actueel | ||
|Redactionele wijzigingsdatum=2021/08/ | |Redactionele wijzigingsdatum=2021/08/30 | ||
|Publicatiedatum=2021/06/01 | |Publicatiedatum=2021/06/01 | ||
|Beschrijving=Dit document bevat een referentiekader voor het thema Clouddiensten, door het [[Centrum Informatiebeveiliging en Privacybescherming (CIP)|CIP]]opgesteld om overheidsorganisaties een beeld te geven van de meest relevante onderwerpen bij het verwerven van veilige clouddiensten. Het document is bedoeld als handreiking, gerelateerd aan de toepassing van de [[BIO (Baseline Informatiebeveiliging Overheid)|BIO]] en verschaft een overzicht van de uitwerking van clouddienstenobjecten vanuit de optiek van de CSC (Cloud Service Consumer). Voor de beperking van de omvang van dit document worden de geïdentificeerde objecten gerelateerd aan algemene clouddiensten. Dit document doet geen uitspraken over de vraag of cloud ingezet mag worden. Die keuze is onderworpen aan het vigerend beleid. Bij een keuze voor cloud, kan dit document worden gehanteerd bij de inrichting. | |Beschrijving=Dit document bevat een referentiekader voor het thema Clouddiensten, door het [[Centrum Informatiebeveiliging en Privacybescherming (CIP)|CIP]]opgesteld om overheidsorganisaties een beeld te geven van de meest relevante onderwerpen bij het verwerven van veilige clouddiensten. Het document is bedoeld als handreiking, gerelateerd aan de toepassing van de [[BIO (Baseline Informatiebeveiliging Overheid)|BIO]] en verschaft een overzicht van de uitwerking van clouddienstenobjecten vanuit de optiek van de CSC (Cloud Service Consumer). Voor de beperking van de omvang van dit document worden de geïdentificeerde objecten gerelateerd aan algemene clouddiensten. Dit document doet geen uitspraken over de vraag of cloud ingezet mag worden. Die keuze is onderworpen aan het vigerend beleid. Bij een keuze voor cloud, kan dit document worden gehanteerd bij de inrichting. | ||
De BIO is verplicht verklaard voor de overheidspartijen. Vanwege de snelle ontwikkelingen van clouddiensten hebben overheidspartijen een grote behoefte aan overzicht en inzicht in de meest cruciale componenten die bij de verwerving van clouddiensten aandacht behoeven. Temeer omdat specifieke op clouddiensten gerichte beveiligingsobjecten ontbreken in de BIO. Dat komt omdat de BIO gebaseerd is op een generieke baseline [[NEN-EN-ISO/IEC 27002:2017 (Praktijkrichtlijn met beheersmaatregelen op het gebied van informatiebeveiliging)|ISO 27002]]. Aanvullend op deze ISO zijn door [[NEN-EN-ISO/IEC 27001:2017 (Managementsystemen voor informatiebeveiliging - Eisen)|NEN-ISO/IEC]] een aantal implementatiekaders opgesteld en bestaan er kaders zoals het Cybersecurity Framework (CSW) van National Institute of Standards and Technology (NIST) en de [[Cloud Controls Matrix (CCM)|Cloud Control Matrix (CCM)]] van [[CSA (Cloud Security Alliance)|Cloud Security Alliance (CSA)]], gericht op de beveiliging van clouddiensten. Ook de [[The Standard of Good Practice for Information Security 2018|Standard of Good Practice (SoGP)]], standaarden van de [[BSI (Bundesamt für Sicherheit in der Informationstechnik)|Bundesamt für Sicherheit in der Informationstechnik (BSI)]], International Telecommunication Union (ITU) en de [[ICT-Beveiligingsrichtlijnen voor Webapplicaties-Richtlijnen|ICT-Beveiligingsrichtlijnen voor Webapplicaties van het Nationaal Cyber Security Centrum (NCSC)]] bevatten relevante controls en maatregelen voor clouddiensten. Een probleem voor overheidspartijen is dat een handig overzicht ontbreekt voor een samenvatting van alle relevante zaken over clouddiensten, eenduidig gerelateerd aan de BIO. Een veel gehoorde uitspraak is: ‘We zien door de bomen het bos niet meer.’. | De BIO is verplicht verklaard voor de overheidspartijen. Vanwege de snelle ontwikkelingen van clouddiensten hebben overheidspartijen een grote behoefte aan overzicht en inzicht in de meest cruciale componenten die bij de verwerving van clouddiensten aandacht behoeven. Temeer omdat specifieke op clouddiensten gerichte beveiligingsobjecten ontbreken in de BIO. Dat komt omdat de BIO gebaseerd is op een generieke baseline [[NEN-EN-ISO/IEC 27002:2017 (Praktijkrichtlijn met beheersmaatregelen op het gebied van informatiebeveiliging)|ISO 27002]]. Aanvullend op deze ISO zijn door [[NEN-EN-ISO/IEC 27001:2017 (Managementsystemen voor informatiebeveiliging - Eisen)|NEN-ISO/IEC]] een aantal implementatiekaders opgesteld en bestaan er kaders zoals het Cybersecurity Framework (CSW) van National Institute of Standards and Technology (NIST) en de [[Cloud Controls Matrix (CCM)|Cloud Control Matrix (CCM)]] van [[CSA (Cloud Security Alliance)|Cloud Security Alliance (CSA)]], gericht op de beveiliging van clouddiensten. Ook de [[The Standard of Good Practice for Information Security 2018|Standard of Good Practice (SoGP)]], standaarden van de [[BSI (Bundesamt für Sicherheit in der Informationstechnik)|Bundesamt für Sicherheit in der Informationstechnik (BSI)]], [[ITU (International Telecommunication Union)|International Telecommunication Union (ITU)]] en de [[ICT-Beveiligingsrichtlijnen voor Webapplicaties-Richtlijnen|ICT-Beveiligingsrichtlijnen voor Webapplicaties van het Nationaal Cyber Security Centrum (NCSC)]] bevatten relevante controls en maatregelen voor clouddiensten. Een probleem voor overheidspartijen is dat een handig overzicht ontbreekt voor een samenvatting van alle relevante zaken over clouddiensten, eenduidig gerelateerd aan de BIO. Een veel gehoorde uitspraak is: ‘We zien door de bomen het bos niet meer.’. | ||
De schrijfgroep heeft diverse workshops georganiseerd waarin verschillende overheidspartijen hebben geparticipeerd. Deze partijen hebben hun beleidsdocumenten ter beschikking gesteld en hun visie, risico’s en problematiek gedeeld waarmee ze in de praktijk geconfronteerd worden. Met deze informatie en risico’s verbonden aan clouddiensten heeft de schijfgroep dit document opgesteld en ter review aan de overheidspartijen aangeboden. Versie 1.1 bevat een compleet beeld van onderwerpen die voor informatieveiligheid en privacy de aandacht vereisen bij de verwerving van clouddiensten. De privacyaspecten zijn in de handreiking Cloudcomputing en Privacy van de Informatiebeveiligingsdienst (IBD) uitgewerkt. | De schrijfgroep heeft diverse workshops georganiseerd waarin verschillende overheidspartijen hebben geparticipeerd. Deze partijen hebben hun beleidsdocumenten ter beschikking gesteld en hun visie, risico’s en problematiek gedeeld waarmee ze in de praktijk geconfronteerd worden. Met deze informatie en risico’s verbonden aan clouddiensten heeft de schijfgroep dit document opgesteld en ter review aan de overheidspartijen aangeboden. Versie 1.1 bevat een compleet beeld van onderwerpen die voor informatieveiligheid en privacy de aandacht vereisen bij de verwerving van clouddiensten. De privacyaspecten zijn in de handreiking Cloudcomputing en Privacy van de Informatiebeveiligingsdienst (IBD) uitgewerkt. | ||
Versie van 30 aug 2021 15:01
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 2.1 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.
Dit document bevat een referentiekader voor het thema Clouddiensten, door het CIPopgesteld om overheidsorganisaties een beeld te geven van de meest relevante onderwerpen bij het verwerven van veilige clouddiensten. Het document is bedoeld als handreiking, gerelateerd aan de toepassing van de BIO en verschaft een overzicht van de uitwerking van clouddienstenobjecten vanuit de optiek van de CSC (Cloud Service Consumer). Voor de beperking van de omvang van dit document worden de geïdentificeerde objecten gerelateerd aan algemene clouddiensten. Dit document doet geen uitspraken over de vraag of cloud ingezet mag worden. Die keuze is onderworpen aan het vigerend beleid. Bij een keuze voor cloud, kan dit document worden gehanteerd bij de inrichting.
De BIO is verplicht verklaard voor de overheidspartijen. Vanwege de snelle ontwikkelingen van clouddiensten hebben overheidspartijen een grote behoefte aan overzicht en inzicht in de meest cruciale componenten die bij de verwerving van clouddiensten aandacht behoeven. Temeer omdat specifieke op clouddiensten gerichte beveiligingsobjecten ontbreken in de BIO. Dat komt omdat de BIO gebaseerd is op een generieke baseline ISO 27002. Aanvullend op deze ISO zijn door NEN-ISO/IEC een aantal implementatiekaders opgesteld en bestaan er kaders zoals het Cybersecurity Framework (CSW) van National Institute of Standards and Technology (NIST) en de Cloud Control Matrix (CCM) van Cloud Security Alliance (CSA), gericht op de beveiliging van clouddiensten. Ook de Standard of Good Practice (SoGP), standaarden van de Bundesamt für Sicherheit in der Informationstechnik (BSI), International Telecommunication Union (ITU) en de ICT-Beveiligingsrichtlijnen voor Webapplicaties van het Nationaal Cyber Security Centrum (NCSC) bevatten relevante controls en maatregelen voor clouddiensten. Een probleem voor overheidspartijen is dat een handig overzicht ontbreekt voor een samenvatting van alle relevante zaken over clouddiensten, eenduidig gerelateerd aan de BIO. Een veel gehoorde uitspraak is: ‘We zien door de bomen het bos niet meer.’.
De schrijfgroep heeft diverse workshops georganiseerd waarin verschillende overheidspartijen hebben geparticipeerd. Deze partijen hebben hun beleidsdocumenten ter beschikking gesteld en hun visie, risico’s en problematiek gedeeld waarmee ze in de praktijk geconfronteerd worden. Met deze informatie en risico’s verbonden aan clouddiensten heeft de schijfgroep dit document opgesteld en ter review aan de overheidspartijen aangeboden. Versie 1.1 bevat een compleet beeld van onderwerpen die voor informatieveiligheid en privacy de aandacht vereisen bij de verwerving van clouddiensten. De privacyaspecten zijn in de handreiking Cloudcomputing en Privacy van de Informatiebeveiligingsdienst (IBD) uitgewerkt.
Voor de structurering van dit document is dezelfde systematiek gekozen als bij de overige BIO Thema-uitwerkingen. De beschrijving van de systematiek is in dit document kort weergegeven.
Dit document beperkt zich tot die zaken, die vanuit de CSC richting de CSP (Cloud Service Provider) van belang zijn, inclusief de koppelvlakken tussen de CSC en de CSP. Uiteraard speelt de CSC in de informatieketen een belangrijke rol en moet zij haar IT-huishouding op orde hebben. Pas dan kan sprake zijn van een goede samenwerking tussen de CSC en de CSP. Dit gegeven is een belangrijk uitgangspunt voor stakeholders binnen de overheidspartijen.
Er zijn veel inhoudelijke suggesties en reacties ontvangen. De intentie van dit document is de lezer verder te helpen bij vraagstukken over clouddiensten. Daar waar verbeterd kan worden, kan dit thema verrijkt worden met aangeleverde teksten.
Structuur en leeswijzer
BIO Thema Clouddiensten is als volgt onderverdeeld:
- BIO Thema Clouddiensten - Inleiding beschrijft algemene informatie over doelstelling, opzet van het thema, context van de CSC-CSP relatie, context en globale structuur van het thema en scope en begrenzing;
- BIO Thema Clouddiensten - Risico's in relatie tot clouddiensten beschrijft CSC-georiënteerde aandachtspunten, beveiligingsobjecten voor clouddiensten, vaststellen van de beveiligingsobjecten voor clouddiensten, overzicht beveiligingsobjecten, aanleiding om gebruik te maken van clouddiensten;
- Clouddiensten Beleid beschrijft de doelstelling, risico’s en specifieke objecten binnen het Beleidsdomein;
- Clouddiensten Uitvoering beschrijft de doelstelling, risico’s en specifieke objecten binnen het Uitvoeringsdomein;
- Clouddiensten Control beschrijft de doelstelling, risico’s en specifieke objecten binnen het control-domein.
In BIO Thema Clouddiensten - Toelichting SIVA-basiselementen is een verantwoording gegeven over de toegepaste systematiek en toegepaste risico-benadering. Geïnteresseerden in de relevante cloudobjecten, kunnen direct Clouddiensten Beleid, Clouddiensten Uitvoering en Clouddiensten Control raadplegen. Informatiebeveiligers en architecten, die meer achtergrond willen hebben over de gekozen cloud-objecten, worden geadviseerd om de bijlagen te raadplegen. Tenslotte is de schrijfgroep bereid om waar mogelijk aanvullende informatie of toelichting te verschaffen.