BIO Thema Clouddiensten - Voorwoord

ID: Cloud_VW Hoofdstuk normenkader Status: Publicatiedatum: 29-10-2021 Redactionele wijzigingsdatum: 25-7-2022 Alle hoofdstukken bij BIO Thema-uitwerking Clouddiensten: BIO Thema Clouddiensten - Inleiding BIO Thema Clouddiensten - Risico's in relatie tot clouddiensten BIO Thema Clouddiensten - Bronverwijzing BIO Thema Clouddiensten - Beslisboom voor risicobeoordeling IV-diensten BIO Thema Clouddiensten - Toelichting objecten in het beleidsdomein BIO Thema Clouddiensten - Toelichting objecten in het uitvoeringsdomein BIO Thema Clouddiensten - Samenvatting AIVD-standpunt en beleidsverkenning BZK BIO Thema Clouddiensten - Toelichting SIVA-basiselementen BIO Thema Clouddiensten - Verantwoording BIO Thema Clouddiensten - Cloudbeveiligingsobjecten binnen het control-domein BIO Thema Clouddiensten - Voorwoord

Het thema clouddiensten is in opdracht van BZK door het CIP opgesteld om overheidsorganisaties een beeld te geven van de meest relevante onderwerpen bij het verwerven van veilige clouddiensten. Het is bedoeld als handreiking, gerelateerd aan de toepassing van de BIO en verschaft een overzicht van de uitwerking van clouddienstenprincipes vanuit de optiek van CSC (Cloud Service Consumer). Voor de beperking van de omvang van dit thema worden de geïdentificeerde principes gerelateerd aan algemene clouddiensten. Onlangs is de BIO verplicht verklaard voor de overheidspartijen. Vanwege de snelle ontwikkelingen op het gebied van clouddiensten hebben overheidspartijen een grote behoefte aan overzicht en inzicht in de meest cruciale componenten, die bij verwerving van clouddiensten aandacht behoeven. Temeer omdat specifieke, op clouddiensten gerichte beveiligingsprincipes ontbreken in de BIO. Dat komt omdat de BIO gebaseerd is op een generieke baseline: ISO 27002 (2013). Aanvullend op de ISO 27002 zijn door NEN-ISO/IEC een aantal implementatiekaders opgesteld en bestaan er kaders zoals NIST, ENISA en CSA, gericht op beveiliging van clouddiensten. Een probleem voor overheidspartijen is dat een handig overzicht ontbreekt. Men wil een samenvatting van alle relevante zaken omtrent clouddiensten, eenduidig gerelateerd aan de BIO. Een veel gehoorde uitspraak is: "We zien door de bomen het bos niet meer." BIO Thema Clouddiensten beoogt die samenvatting te geven en is opgesteld in opdracht van BZK/CIP door een schrijfgroep binnen de werkgroep BIO. De schrijfgroep heeft diverse workshops georganiseerd waarin verschillende overheidspartijen hebben geparticipeerd. Deze partijen hebben hun beleidsdocumenten ter beschikking gesteld en hun visie, risico’s en problematiek gedeeld waarmee ze in de praktijk geconfronteerd werden. Op basis van deze informatie en risico’s verbonden aan clouddiensten, heeft de schijfgroep dit thema opgesteld en ter review aan de overheidspartijen aangeboden. De 1.0-versie bevat een compleet beeld van onderwerpen die ten aanzien van informatieveiligheid en privacy aandacht vereisen bij de verwerving van clouddiensten. De privacyaspecten zijn in een IBD-handreiking uitgewerkt. Voor de structurering van dit thema is dezelfde systematiek gekozen als bij de overige BIO- thema’s. De beschrijving van de systematiek is kort weergegeven. Dit thema is beperkt tot die zaken, die vanuit CSC richting CSP (Cloud Service Provider) van belang zijn, inclusief de koppelvlakken tussen CSC en CSP. Uiteraard speelt de CSC in de informatieketen een belangrijke rol en moet zij haar IT-huishouding op orde hebben. Pas dan kan sprake zijn van een goede samenwerking tussen CSC en CSP. Dit gegeven is een belangrijk uitgangspunt voort de stakeholders binnen de overheidspartijen.

Er zijn veel inhoudelijke suggesties en reacties ontvangen. De hoop is dat dit thema de lezer verder helpt bij vraagstukken ten aanzien van clouddiensten en daar waar dingen over het hoofd zijn gezien, of verbeterd kunnen worden, kan dit thema verrijkt worden met aangeleverde teksten.