BIO Thema Clouddiensten/Voorwoord: verschil tussen versies

Uit NORA Online
< BIO Thema-uitwerking ClouddienstenBIO Thema Clouddiensten/Voorwoord
Naar navigatie springen Naar zoeken springen
k (tekst in lijn met isor-gebruik)
k (hyperlink toegevoegd)
 
(32 tussenliggende versies door 2 gebruikers niet weergegeven)
Regel 4: Regel 4:
|Titel=BIO Thema Clouddiensten - Voorwoord
|Titel=BIO Thema Clouddiensten - Voorwoord
|Kent element met zelfde titel=Nee
|Kent element met zelfde titel=Nee
|Versieaanduiding=1.0
|Versieaanduiding=2.1
|Status actualiteit=Actueel
|Status actualiteit=Actueel
|Redactionele wijzigingsdatum=2021/07/19
|Redactionele wijzigingsdatum=2022/07/25
|Publicatiedatum=26-02-2020
|Publicatiedatum=2021/10/29
|Beschrijving=Dit thema over clouddiensten, is in opdracht van [[BZK (Ministerie van Binnenlandse Zaken en Koninkrijksrelaties)|BZK]] door het [[Centrum Informatiebeveiliging en Privacybescherming (CIP)|CIP]] opgesteld om overheidsorganisaties een beeld te geven van de meest relevante onderwerpen bij het verwerven van veilige clouddiensten. Het document is bedoeld als handreiking, gerelateerd aan de toepassing van de [[BIO (Baseline Informatiebeveiliging Overheid)|BIO]] en verschaft een overzicht van de uitwerking van clouddiensten-objecten vanuit de optiek van CSC (Cloud Service Consumer). Voor de beperking van de omvang van dit document worden de geïdentificeerde objecten gerelateerd aan algemene clouddiensten.
|Beschrijving=Deze BIO Thema-uitwerking bevat een referentiekader voor de BIO Thema-uitwerking Clouddiensten, door het [[Centrum Informatiebeveiliging en Privacybescherming (CIP)|Centrum Informatiebeveiliging en Privacybescherming (CIP)]] opgesteld om overheidsorganisaties een beeld te geven van de meest relevante onderwerpen bij het verwerven van veilige clouddiensten. Deze thema-uitwerking is bedoeld als handreiking, gerelateerd aan de toepassing van de [[BIO (Baseline Informatiebeveiliging Overheid)|Baseline Informatiebeveiliging Overheid (BIO)]] en verschaft een overzicht van de uitwerking van clouddienstenobjecten vanuit de optiek van de Cloud Service Consumer (CSC). Voor de beperking van de omvang van deze thema-uitwerking worden de geïdentificeerde objecten gerelateerd aan algemene clouddiensten. Deze thema-uitwerkingt doet geen uitspraken over de vraag of cloud ingezet mag worden. Die keuze is onderworpen aan het vigerend beleid. Bij een keuze voor cloud, kan deze thema-uitwerkingen worden gehanteerd bij de inrichting.


Onlangs is de BIO verplicht verklaard voor de overheidspartijen. Vanwege de snelle ontwikkelingen op het gebied van clouddiensten hebben overheidspartijen een grote behoefte aan overzicht en inzicht in de meest cruciale componenten, die bij verwerving van clouddiensten aandacht behoeven. Temeer omdat specifieke, op clouddiensten gerichte beveiligingsobjecten ontbreken in de BIO. Dat komt omdat de BIO gebaseerd is op een generieke baseline: [[NEN-EN-ISO/IEC 27002:2017 (Praktijkrichtlijn met beheersmaatregelen op het gebied van informatiebeveiliging)|ISO 27002 (2013)]]. Aanvullend op de ISO 27002 zijn door NEN-[[ISO (International Organization for Standardization)|ISO]]/[[IEC (International Electrotechnical Commission)|IEC]] een aantal implementatiekaders opgesteld en bestaan er kaders zoals [[NIST (National Institute of Standards and Technology)|NIST]], [[ENISA (European Union Agency for Cybersecurity)|ENISA]] en [[(CSA) Cloud Security Alliance|CSA]], gericht op beveiliging van clouddiensten. Voor overheidspartijen ontbreekt een handig overzicht. Men wil een samenvatting van alle relevante zaken omtrent clouddiensten, eenduidig gerelateerd aan de BIO. Een veel gehoorde uitspraak is: “We zien door de bomen het bos niet meer.”.


BIO Thema Clouddiensten beoogt die samenvatting te geven en is opgesteld in opdracht van BZK/CIP door een schrijfgroep binnen de werkgroep BIO. De schrijfgroep heeft diverse workshops georganiseerd waarin verschillende overheidspartijen hebben geparticipeerd. Deze partijen hebben hun beleidsdocumenten ter beschikking gesteld en hun visie, risico’s en problematiek gedeeld waarmee ze in de praktijk geconfronteerd werden.
De BIO is verplicht verklaard voor de overheidspartijen. Vanwege de snelle ontwikkelingen van clouddiensten hebben overheidspartijen een grote behoefte aan overzicht en inzicht in de meest cruciale componenten die bij de verwerving van clouddiensten aandacht behoeven. Temeer omdat specifieke op clouddiensten gerichte beveiligingsobjecten ontbreken in de BIO. Dat komt omdat de BIO gebaseerd is op een generieke baseline [[NEN-EN-ISO/IEC 27002:2017 (Praktijkrichtlijn met beheersmaatregelen op het gebied van informatiebeveiliging)|NEN-EN-ISO/IEC 27002:2017]] (hierna genoemd ISO 27002). Aanvullend op deze ISO-norm zijn door [[NEN (Stichting Koninklijk Nederlands Normalisatie Instituut)|NEN]]-EN-[[ISO (International Organization for Standardization)|ISO]]/[[IEC (International Electrotechnical Commission)|IEC]] een aantal implementatiekaders opgesteld en bestaan er kaders zoals het [[Cybersecurity Framework Version 1.1|Cybersecurity Framework (CSW)]] van [[NIST (National Institute of Standards and Technology)|National Institute of Standards and Technology (NIST)]] en de [[Cloud Controls Matrix (CCM)|Cloud Control Matrix (CCM)]] van [[CSA (Cloud Security Alliance)|Cloud Security Alliance (CSA)]], gericht op de beveiliging van clouddiensten. Ook de [[The Standard of Good Practice for Information Security 2018|The Standard of Good Practice (SoGP) 2018]], standaarden van de [[BSI (Bundesamt für Sicherheit in der Informationstechnik)|Bundesamt für Sicherheit in der Informationstechnik (BSI)]], [[ITU (International Telecommunication Union)|International Telecommunication Union (ITU)]] en de [[ICT-Beveiligingsrichtlijnen voor Webapplicaties-Richtlijnen|ICT-Beveiligingsrichtlijnen voor Webapplicaties]] van het [[NCSC (Nationaal Cyber Security Centrum)|Nationaal Cyber Security Centrum (NCSC)]] bevatten relevante controls en maatregelen voor clouddiensten. Een probleem voor overheidspartijen is dat een handig overzicht ontbreekt voor een samenvatting van alle relevante zaken over clouddiensten, eenduidig gerelateerd aan de BIO. Een veel gehoorde uitspraak is: ‘We zien door de bomen het bos niet meer.’.


Op basis van deze informatie en risico’s verbonden aan clouddiensten, heeft de schijfgroep dit thema opgesteld en ter review aan de overheidspartijen aangeboden. De 1.0-versie bevat een compleet beeld van onderwerpen die ten aanzien van informatieveiligheid en privacy aandacht vereisen bij de verwerving van clouddiensten. De privacyaspecten zijn in een IBD-handreiking uitgewerkt.


Voor de structurering van dit document is dezelfde systematiek gekozen als bij de overige BIO- thema’s. De beschrijving van de systematiek is in dit thema kort weergegeven.
De schrijfgroep heeft diverse workshops georganiseerd waarin verschillende overheidspartijen hebben geparticipeerd. Deze partijen hebben hun beleidsdocumenten ter beschikking gesteld en hun visie, risico’s en problematiek gedeeld waarmee ze in de praktijk geconfronteerd worden. Met deze informatie en risico’s verbonden aan clouddiensten heeft de schijfgroep deze thema-uitwerking opgesteld en ter review aan de overheidspartijen aangeboden. Versie 1.1 bevat een compleet beeld van onderwerpen die voor informatieveiligheid en privacy de aandacht vereisen bij de verwerving van clouddiensten. De privacyaspecten zijn in de [https://www.informatiebeveiligingsdienst.nl/product/handreiking-cloudcomputing-en-privacy/ handreiking Cloudcomputing en Privacy] van de [[IBD (Informatiebeveiligingsdienst)|Informatiebeveiligingsdienst (IBD)]] uitgewerkt.


We hebben ons in dit document beperkt tot die zaken, die vanuit CSC richting CSP (Cloud Service Provider) van belang zijn, inclusief de koppelvlakken tussen CSC en CSP. Uiteraard speelt de CSC in de informatieketen een belangrijke rol en moet zij haar IT-huishouding op orde hebben. Pas dan kan sprake zijn van een goede samenwerking tussen CSC en CSP. Dit gegeven is een belangrijk uitgangspunt voort de stakeholders binnen de overheidspartijen.


We hebben veel inhoudelijke suggesties en reacties ontvangen. Wij hopen dat dit document u verder helpt bij vraagstukken ten aanzien van clouddiensten en daar waar dingen over het hoofd zijn gezien, of verbeterd kunnen worden, kan dit thema verrijkt worden met aangeleverde teksten.
Voor de structurering van deze thema-uitwerking is dezelfde systematiek gekozen als bij de overige [[Alle normenkaders|BIO Thema-uitwerkingen]]. De beschrijving van de systematiek is in deze thema-uitwerking kort weergegeven.
==Structuur en leeswijzer==
BIO Thema Clouddiensten is als volgt onderverdeeld:
# [[BIO_Thema_Clouddiensten/Inleiding]] beschrijft algemene informatie over doelstelling, opzet van het thema, context van de CSC-CSP relatie, context en globale structuur van het thema en scope en begrenzing;
# [[BIO_Thema_Clouddiensten/Risico%27s_in_relatie_met_clouddiensten]] beschrijft CSC-georiënteerde aandachtspunten, beveiligingsobjecten voor clouddiensten, vaststellen van de beveiligingsobjecten voor clouddiensten, overzicht beveiligingsobjecten, aanleiding om gebruik te maken van clouddiensten;
# [[ISOR:BIO_Thema_Clouddiensten_Beleid]] beschrijft de doelstelling, risico’s en specifieke objecten binnen het Beleidsdomein;
# [[ISOR:BIO_Thema_Clouddiensten_Uitvoering]] beschrijft de doelstelling, risico’s en specifieke objecten binnen het Uitvoeringsdomein;
# [[ISOR:BIO_Thema_Clouddiensten_Control]] beschrijft de doelstelling, risico’s en specifieke objecten binnen het control-domein.


In [[BIO_Thema_Clouddiensten/Toelichting_SIVA-basiselementen]] is een verantwoording gegeven over de toegepaste systematiek en toegepaste risico-benadering. Geïnteresseerden in de relevante cloudobjecten, kunnen direct [[ISOR:BIO_Thema_Clouddiensten_Beleid]], [[ISOR:BIO_Thema_Clouddiensten_Uitvoering]] en [[ISOR:BIO_Thema_Clouddiensten_Control]] raadplegen. Informatiebeveiligers en architecten, die meer achtergrond willen hebben over de gekozen cloud-objecten, worden geadviseerd om de bijlagen te raadplegen. Tenslotte is de schrijfgroep bereid om waar mogelijk aanvullende informatie of toelichting te verschaffen.
 
Deze thema-uitwerking beperkt zich tot die zaken, die vanuit de CSC richting de Cloud Service Provider (CSP) van belang zijn, inclusief de koppelvlakken tussen de CSC en de CSP. Uiteraard speelt de CSC in de informatieketen een belangrijke rol en moet zij haar IT-huishouding op orde hebben. Pas dan kan sprake zijn van een goede samenwerking tussen de CSC en de CSP. Dit gegeven is een belangrijk uitgangspunt voor stakeholders binnen de overheidspartijen.
 
 
Er zijn veel inhoudelijke suggesties en reacties ontvangen. De intentie van deze thema-uitwerking is de lezer verder te helpen bij vraagstukken over clouddiensten. Daar waar verbeterd kan worden, kan deze thema-uitwerking verrijkt worden met aangeleverde teksten.
|Heeft bron=BIO Thema Clouddiensten
|Heeft bron=BIO Thema Clouddiensten
}}
}}

Huidige versie van 25 jul 2022 om 15:32

Versie 2.0 van 1 juni 2021 van de BIO Thema-uitwerking Clouddiensten is vervangen door versie 2.1 van 29 oktober 2021.
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 2.1 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.
Logo ISOR (vier hangsloten die in elkaar geklikt zitten met de tekst Information Security Object Repository)
ID: CLD_VW
Hoofdstuk normenkader
Status: Actueel
Publicatiedatum: 29-10-2021
Redactionele wijzigingsdatum: 25-7-2022
Alle hoofdstukken bij BIO Thema-uitwerking Clouddiensten:

Deze BIO Thema-uitwerking bevat een referentiekader voor de BIO Thema-uitwerking Clouddiensten, door het CIP (Centrum Informatiebeveiliging en Privacybescherming) opgesteld om overheidsorganisaties een beeld te geven van de meest relevante onderwerpen bij het verwerven van veilige clouddiensten. Deze thema-uitwerking is bedoeld als handreiking, gerelateerd aan de toepassing van de Baseline Informatiebeveiliging Overheid (BIO) en verschaft een overzicht van de uitwerking van clouddienstenobjecten vanuit de optiek van de Cloud Service Consumer (CSC). Voor de beperking van de omvang van deze thema-uitwerking worden de geïdentificeerde objecten gerelateerd aan algemene clouddiensten. Deze thema-uitwerkingt doet geen uitspraken over de vraag of cloud ingezet mag worden. Die keuze is onderworpen aan het vigerend beleid. Bij een keuze voor cloud, kan deze thema-uitwerkingen worden gehanteerd bij de inrichting.


De BIO is verplicht verklaard voor de overheidspartijen. Vanwege de snelle ontwikkelingen van clouddiensten hebben overheidspartijen een grote behoefte aan overzicht en inzicht in de meest cruciale componenten die bij de verwerving van clouddiensten aandacht behoeven. Temeer omdat specifieke op clouddiensten gerichte beveiligingsobjecten ontbreken in de BIO. Dat komt omdat de BIO gebaseerd is op een generieke baseline NEN-EN-ISO/IEC 27002:2017 (hierna genoemd ISO 27002). Aanvullend op deze ISO-norm zijn door NEN-EN-ISO/IEC een aantal implementatiekaders opgesteld en bestaan er kaders zoals het Cybersecurity Framework (CSW) van National Institute of Standards and Technology (NIST) en de Cloud Control Matrix (CCM) van Cloud Security Alliance (CSA), gericht op de beveiliging van clouddiensten. Ook de The Standard of Good Practice (SoGP) 2018, standaarden van de Bundesamt für Sicherheit in der Informationstechnik (BSI), International Telecommunication Union (ITU) en de ICT-Beveiligingsrichtlijnen voor Webapplicaties van het Nationaal Cyber Security Centrum (NCSC) bevatten relevante controls en maatregelen voor clouddiensten. Een probleem voor overheidspartijen is dat een handig overzicht ontbreekt voor een samenvatting van alle relevante zaken over clouddiensten, eenduidig gerelateerd aan de BIO. Een veel gehoorde uitspraak is: ‘We zien door de bomen het bos niet meer.’.


De schrijfgroep heeft diverse workshops georganiseerd waarin verschillende overheidspartijen hebben geparticipeerd. Deze partijen hebben hun beleidsdocumenten ter beschikking gesteld en hun visie, risico’s en problematiek gedeeld waarmee ze in de praktijk geconfronteerd worden. Met deze informatie en risico’s verbonden aan clouddiensten heeft de schijfgroep deze thema-uitwerking opgesteld en ter review aan de overheidspartijen aangeboden. Versie 1.1 bevat een compleet beeld van onderwerpen die voor informatieveiligheid en privacy de aandacht vereisen bij de verwerving van clouddiensten. De privacyaspecten zijn in de handreiking Cloudcomputing en Privacy van de Informatiebeveiligingsdienst (IBD) uitgewerkt.


Voor de structurering van deze thema-uitwerking is dezelfde systematiek gekozen als bij de overige BIO Thema-uitwerkingen. De beschrijving van de systematiek is in deze thema-uitwerking kort weergegeven.


Deze thema-uitwerking beperkt zich tot die zaken, die vanuit de CSC richting de Cloud Service Provider (CSP) van belang zijn, inclusief de koppelvlakken tussen de CSC en de CSP. Uiteraard speelt de CSC in de informatieketen een belangrijke rol en moet zij haar IT-huishouding op orde hebben. Pas dan kan sprake zijn van een goede samenwerking tussen de CSC en de CSP. Dit gegeven is een belangrijk uitgangspunt voor stakeholders binnen de overheidspartijen.


Er zijn veel inhoudelijke suggesties en reacties ontvangen. De intentie van deze thema-uitwerking is de lezer verder te helpen bij vraagstukken over clouddiensten. Daar waar verbeterd kan worden, kan deze thema-uitwerking verrijkt worden met aangeleverde teksten.

Datum waarop document het laatst is gepubliceerd (http://standaarden.overheid.nl/owms/4.0/doc/eigenschappen/dcterms.modified)

Datum waarop de laatste versie is geïmplementeerd of de laatste wijziging is aangebracht.

Overgenomen van "https://www.noraonline.nl/index.php?title=BIO_Thema_Clouddiensten/Voorwoord&oldid=62410"