Clouddiensten Beleid

Uit NORA Online
ISOR:BIO Thema Clouddiensten Beleid
Ga naar: navigatie, zoeken
Deze informatie is onderdeel van BIO Thema Clouddiensten.

Meer lezen

BIO Thema Clouddiensten
Alle normenkaders
Beveiligingsaspecten
Invalshoeken
ISOR

De onderwerpen die specifiek voor clouddiensten een rol spelen, zijn in afbeelding 'Overzicht beveiligingsprincipes in BUC- en IFGS-matrix' vermeld. Per specifiek beveiligingsprincipe worden de ‘control’ (hoofdnorm) en maatregelen (sub-normen) beschreven. De onderstaande afbeelding geeft de onderwerpen weer die specifiek voor het beleidsaspect een rol spelen.

”Beveiligingsobjecten uitgewerkt voor het Beleidsdomein ingedeeld naar IFGS invalshoeken”
Beveiligingsobjecten uitgewerkt voor het Beleidsdomein ingedeeld naar IFGS invalshoeken


Risico

Als de juiste beleidsaspecten voor inrichting en onderhoud van de clouddiensten ontbreken, dan bestaat het risico dat onvoldoende sturing wordt gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat aan een veilige inrichting en exploitatie van deze diensten. Daardoor komt de informatievoorziening van de organisatie als geheel in gevaar en bestaat er een reële kans dat datalekken optreden.

Doelstelling

Het doel van het beleidsaspect is de conditionele elementen te identificeren die randvoorwaardelijk zijn om clouddiensten te kunnen inrichten, beveiligen en beheersen.

Principes uit de BIO Thema Clouddiensten binnen dit aspect

IDprincipeCriterium
Cloud_B.01Wet- en regelgevingAlle relevante wettelijke, statutaire, regelgevende eisen, contractuele eisen en de aanpak van de CSP om aan de eisen te voldoen, behoren voor elke clouddienst en voor de organisatie expliciet te worden vastgesteld, gedocumenteerd en actueel gehouden.
Cloud_B.02CloudbeveiligingsstrategieDe CSP behoort een cloudbeveiligingsstrategie te hebben ontwikkeld die samenhangt met de strategische doelstelling van de CSP en die aantoonbaar de informatieveiligheid ondersteunt.
Cloud_B.03Exit-strategieIn de clouddiensten-overeenkomst tussen CSP en CSC behoort een exit-strategie te zijn opgenomen waarbij zowel een aantal bepalingen aangaande exit zijn opgenomen, als een aantal condities die aanleiding kunnen geven tot een exit (https://blog.weolcan.eu/wat-is-een-cloud-exit-strategie-precies-en-hoe-voer-je-het-uit).
Cloud_B.04ClouddienstenbeleidDe CSP behoort haar informatiebeveiligingsbeleidHet informatiebeveiligingsbeleid verbindt de bedrijfsdoelstellingen met beveiligingsdoelstellingen. Met de beveiligingsdoelstellingen geeft een organisatie aan op welke wijze – door het treffen van beveiligingsmaatregelen – de bedrijfsdoelstellingen nagestreefd worden. uit te breiden met een cloudbeveiligingsbeleid om de voorzieningen en het gebruik van cloudservices te adresseren.
Cloud_B.05TransparantieDe CSP voorziet de CSC in een systeembeschrijving waarin de clouddiensten inzichtelijk en transparant worden gespecificeerd en waarin de jurisdictie, onderzoeksmogelijkheden en certificaten worden geadresseerd.
Cloud_B.06RisicomanagementDe CSP behoort de organisatie en verantwoordelijkheden voor het risicomanagementproces voor de beveiliging van de clouddiensten te hebben opgezet en te onderhouden.
Cloud_B.07IT-functionaliteitenIT-functionaliteiten behoren te worden verleend vanuit een robuuste en beveiligde systeemketen van CSP naar CSC.
Cloud_B.08BedrijfscontinuïteitsmanagementDe CSP behoort haar proces voor bedrijfscontinuïteitsmanagement (BCM) adequaat te hebben georganiseerd, waarbij de volgende aspecten zijn geadresseerd: verantwoordelijkheid voor BCM, beleid en procedures, bedrijfscontinuïteitsplanning, verificatie en updaten en computercentra.
Cloud_B.09Data en privacyDe CSP behoort, ter bescherming van bedrijfs- en persoonlijke data, beveiligingsmaatregelen te hebben getroffen vanuit verschillende dimensies: beveiligingsaspecten en stadia, toegang en privacy, classificatie/labelen, eigenaarschap en locatie.
Cloud_B.10Beveiligingsorganisatie ClouddienstenDe CSP behoort een beveiligingsfunctie te hebben benoemd en een beveiligingsorganisatie te hebben ingericht, waarin de organisatorische positie, de taken, verantwoordelijkheden en bevoegdheden van de betrokken functionarissen en de rapportagelijnen zijn vastgesteld.

Normen uit de BIO Thema Clouddiensten binnen dit aspect

IDStellingNorm
Cloud_B.01.01De CSP informeert de CSC welke wet- en regelgeving van toepassing is op de clouddiensten.Informeren welke wet- en regelgeving van toepassing is op clouddiensten
Cloud_B.01.02De CSP identificeert haar eigen relevante wettelijke eisen (zoals AVG-eisen en encryptie-toepassing) om persoonsgegevens te kunnen beschermen.Selecteren relevante wettelijke eisen ter bescherming van persoonsgegevens
Cloud_B.01.03De voor CSC van toepassing zijnde vereisten die voortvloeien uit wet- en regelgeving zijn geïdentificeerd, vooral waar het gaat om geografische gedistribueerde verwerkingen, opslag en communicatie waarvoor verschillende wetgeving bestaat, zoals maatregelen die voortvloeien uit de AVG.Identificeren vereisten die van toepassing zijn
Cloud_B.01.04De CSP voorziet de CSC zekerheid (evidence based compliance rapportage) over (het voldoen aan) de van toepassing zijnde wettelijke eisen en contractuele vereisten.Voorzien zekerheid over van toepassing zijnde wettelijke eisen en contractuele vereisten
Cloud_B.01.05Voor de clouddiensten zijn, om aan de wettelijke en contractuele eisen te kunnen voldoen, specifieke maatregelen getroffen en verantwoordelijkheden benoemd.Treffen van maatregelen en benoemen verantwoordelijkheden om te voldoen aan gestelde eisen
Cloud_B.01.06De CSP heeft, om aan de eisen van de CSC te kunnen voldoen, alle wet- en regelgeving die op haar van toepassing is op de clouddienstverlening vastgesteld.Vaststellen alle van toepassing zijnde wet- en regelgeving
Cloud_B.02.01De cloudbeveiligingsstrategie van de CSP geeft aan op welke wijze zij de bedrijfsdoelstellingen van CSC('s) ondersteunt door onder andere te beschrijven:
  • een evenwichtige set van beveiligingsmaatregelen, waarin aandacht wordt besteed aan risicomanagement;
  • hoe (functioneel) cloudbeveiliging de weerbaarheid tegen high-impact incidenten met een hoge impact bewerkstelligt.
Aangeven hoe cloudbeveiligingsstrategie bedrijfsdoelstellingen ondersteunt
Cloud_B.02.02De cloudbeveiligingsstrategie van de CSP:
  • geeft onder andere aan hoe zij de CSC’s tegen bedreigingen beschermt;
  • besteedt aandacht aan de huidige beveiligingscontext van de CSP, inclusief vaardigheden (skills), capaciteiten (capabilities) en informatie beveiligingsfunctie.
  • Aangeven hoe te beschermen tegen bedreigingen en aandacht te besteden aan beveiligingscontext
    Cloud_B.02.03De samenhang van beveiligingsmaatregelen van de CSP ondersteunt het behalen van de bedrijfsdoelen van de CSC. Hierin wordt aangegeven:
  • in welke mate de cloudbeveiligingsstrategie van de CSP in lijn is met de organisatiebrede doelstellingen van de CSC;
  • hoe de cloudbeveiligingsgovernance van de CSC wordt ondersteund door het management van de CSP;
  • dat de clouddiensten gedocumenteerd zijn en regelmatig worden gereviewd.
  • Ondersteunen in behalen van bedrijfsdoelen door samenhang van beveiligingsmaatregelen
    Cloud_B.03.01De CSC legt in de overeenkomst een aantal bepalingen aangaande exit-regeling vast, zoals:
  • de exit-bepaling geldt zowel bij het einde van de overeenkomst als om valide redenen aangedragen door de CSC (zie condities);
  • de overeenkomst (en eventuele verwerkersovereenkomst) duurt voort totdat de exit-regeling helemaal is uitgevoerd;
  • de opzegtermijn geeft voldoende tijd om te kunnen migreren;
  • data en configuratiegegevens (indien relevant) mogen pas na succesvolle migratie verwijderd worden;
  • door een onafhankelijke partij wordt gecontroleerd en vastgesteld dat alle data is gemigreerd;
  • de exit-regeling wordt aangepast/anders ingevuld als de software die gebruikt wordt voor de clouddienst is gewijzigd.
  • Vastleggen bepalingen over exit-regeling
    Cloud_B.03.02De CSC kan, buiten het verstrijken van de contractperiode, besluiten over te gaan tot exit wanneer sprake is van aspecten die gerelateerd zijn aan:
  • de contracten:
    • niet beschikbaarheid zijn van afgesproken performance;
    • eenzijdige wijziging door de CSP van het SLA;
    • prijsverhoging.
  • de geleverde prestatie/ondersteuning:
    • onvoldoende compensatie voor storingen;
    • niet leveren van de afgesproken beschikbaarheid of performance;
    • gebrekkige support en/of ondersteuning.
  • clouddienst(en):
    • nieuwe eigenaar of nieuwe strategie;
    • end-of life van de clouddienst(en);
    • achterwege blijvende features.
  • Overgaan tot exit buiten verstrijken contractperiode
    Cloud_B.04.01Het cloudbeveiligingsbeleid bevat zowel organisatorisch als technische georiënteerde maatregelen, zoals:
  • Organische georiënteerde maatregelen:
    • informatiebeveiligingsvereisten die van toepassing zijn bij het ontwerp en de implementatie van de cloudservices;
    • communicatie met CSC in relatie tot en tijdens wijzigingen;
    • communicatie van beveiligingsinbreuken en het delen van informatie;
    • richtlijnen voor de ondersteuning van (forensische) onderzoeken;
    • compliancy maatregelen ten aanzien van wet- en regelgeving.
  • Technisch georiënteerde maatregelen:
    • multi-tenancy en isolatie van CSC;
    • toegangsprocedures e.g., sterke authenticatie voor toegang tot de cloudservices;
    • toegang tot en protectie van data van de CSC;
    • lifecycle-management van CSC-accounts;
    • risico’s gerelateerd aan niet geautoriseerde insiders;
    • virtualisatie beveiliging;
    • beveiligingsarchitectuur en -maatregelen voor het beschermen van data, applicaties en infrastructuur.
  • Bevatten organisatorisch en technische georiënteerde maatregelen in cloudbeveiligingsbeleid
    Cloud_B.05.01De systeembeschrijving bevat de volgende aspecten:
  • type en scope van de clouddiensten weergegeven op basis van Service Level Agreements;
  • principes, procedures en maatregelen om ontwikkeling en operationalisering weer te geven;
  • beschrijving van de infrastructuurcomponenten die deel uitmaken van het ontwikkelen en operationaliseren van de clouddiensten;
  • hoe met beveiligingsincidenten wordt omgegaan;
  • rollen en verantwoordelijkheden van de CSP en CSC, inclusief de verplichting om samen te werken;
  • (welke) onderdelen van de clouddiensten en/of functies toegekend of uitbesteed zijn aan sub-contracten.
  • Bevatten diverse aspecten in systeembeschrijving
    Cloud_B.05.02De SLA of systeembeschrijving voorziet in een specificatie van jurisdictie ten aanzien van data opslag, verwerking en back-up-locatie, ook als deze (of delen hiervan) uitbesteed is aan subcontractors.SLA/systeembeschrijving bevat specificatie van jurisdictie inzake data-opslag, verwerking en back-up-locatie
    Cloud_B.05.03De SLA of systeembeschrijving voorziet in een specificatie voor publicatie-vereisten en onderzoeksmogelijkheden.SLA/systeembeschrijving bevat specificatie voor publicatie-vereisten en onderzoeksmogelijkheden
    Cloud_B.05.04De SLA of systeembeschrijving voorziet in specificatie met betrekking tot het beschikbaar zijn van valide certificaten.SLA/systeembeschrijving bevat specificatie met betrekking tot beschikbaar zijn van valide certificaten
    Cloud_B.06.01De verantwoordelijkheden van de CSP zijn onder andere:
  • het ontwikkelen van het informatiebeveiligingsrisicomanagementproces dat toespitst is op de omgeving van de CSP;
  • het identificeren van analyses van de stakeholders;
  • het definiëren van de rollen en verantwoordelijkheden van zowel interne als externe partijen;
  • het vaststellen van de vereiste relaties tussen de eigen organisatie en stakeholders, alsook de relatie met de hoog niveau risicomanagementfunctie en met relevante projecten of activiteiten.
  • Hebben CSP-verantwoordelijkheden
    Cloud_B.06.02De organisatie van het risicomanagementproces is goedgekeurd door managers van de CSP.Goedkeuren organisatie van risicomanagementproces
    Cloud_B.06.03Het risicomanagementproces is systematisch beschreven met aandacht voor beleid, procedures en richtlijnen voor activiteiten ten aanzien van: communiceren, adviseren, vaststellen van de context van onderzoeken, behandelen, monitoren, reviewen, vastleggen en rapporteren van risico’s.Beschrijven risicomanagementproces
    Cloud_B.07.01Voor de beveiliging van IT-functionaliteiten (verwerking, opslag, transport en opvraag van informatie) zijn beschikbaarheids-, integriteits- en vertrouwelijkheidsmaatregelen getroffen.Treffen maatregelen voor beveiliging IT-functionaliteiten
    Cloud_B.07.02Technische beveiligingsmaatregelen, in de vorm van sterke toegangsbeveiliging, encryptie en data-analyse methoden, zijn getroffen tegen bescherming van infrastructuur.Treffen technische beveiligingsmaatregelen tegen bescherming van infrastructuur
    Cloud_B.07.03De IT-infrastructuur wordt, om veilige clouddiensten te kunnen verlenen, continue bewaakt en beheerst ter bescherming tegen bedreigingen.Bewaken en beheersen IT-infrastructuur
    Cloud_B.07.04De infrastructuur wordt ingericht op basis van betrouwbare hardware- en software-componenten.Inrichten infrastructuur met betrouwbare hardware- en software-componenten
    Cloud_B.07.05Er zijn gedocumenteerde standaarden en procedures om geavanceerde cyberaanvallen het hoofd te bieden.Hebben van gedocumenteerde standaarden en procedures om hoofd te bieden tegen cyberaanvallen
    Cloud_B.08.01De CSP heeft een proceseigenaar voor het BCM-proces benoemd en hem verantwoordelijk gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat voor het vormgeven van BCM en compliancy met het uitgestippeld beleid.Benoemen proceseigenaar voor BCM-proces en geven verantwoordelijkheden
    Cloud_B.08.02De verantwoordelijke voor BCM stelt zeker, dat adequate resources beschikbaar zijn voor het uitvoeren van een effectief BCM-proces.Zeker stellen adequate resources voor uitvoeren van BCM-proces
    Cloud_B.08.03Het management van de CSP committeert zich aan de vastgestelde BCM-vereisten.Committeren aan vastgestelde BCM-vereisten
    Cloud_B.08.04Het BCM- en BIA-beleid (beleid voor Business Impact Analyses) is vastgesteld en gecommuniceerd.Vaststellen en communiceren BCM- en BIA-beleid
    Cloud_B.08.05Beleid en procedures voor het vaststellen van impact van storingen van cloudservices zijn gedocumenteerd en gecommuniceerd, waarbij aandacht wordt besteed aan:
  • beschikbaarheid van data en functionaliteit in relatie tot vendor lock-in en transitie naar andere CSP of exit-strategie (voor de mogelijke op risicoanalyse gebaseerde scenario’s);
  • identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen. van kritische producten en services;
  • identificaties van afhankelijkheden, processen, en business partners en derde partijen;
  • consequenties van verstoringen;
  • schattingen van vereiste resources voor herstel.
  • Documenteren en communiceren beleid en procedures voor vaststellen van storingsimpact van cloudservices
    Cloud_B.08.06De CSP beschikt over een gedocumenteerd raamwerk voor het plannen van bedrijfscontinuïteit, waarin onder andere aandacht wordt besteed aan:
  • definiëring van de scope waarbij rekening wordt gehouden met de afhankelijkheden;
  • toegankelijkheidHoudt in dat informatie vindbaar, interpreteerbaar en uitwisselbaar is. van deze plannen voor verantwoordelijke functionarissen;
  • toewijzen van een verantwoordelijke voor review, update en goedkeuring;
  • definiëren van communicatiekanalen;
  • herstelprocedures;
  • methode voor het implementeren van het BCM-plan;
  • continu verbeteringsproces van het BCM-plan;
  • relaties met beveiligingsincidenten.
  • Beschikken over gedocumenteerd raamwerk voor plannen van bedrijfscontinuïteit
    Cloud_B.08.07De business impact analyses en continuïteitsplannen worden geverifieerd, geactualiseerd en regelmatig getest.Verifiëren, actualiseren en testen business impact analyses en continuïteitsplannen
    Cloud_B.08.08Bij het testen wordt aandacht besteed aan de beïnvloeding van de CSC’s (tenants) en derde partijen.Besteden aandacht aan beïnvloeden van CSC’s (tenants) en derde partijen bij testen
    Cloud_B.08.09De voorzieningen van de computercentra zijn veilig gesteld en worden gemonitord (bewaakt), onderhouden en regelmatig getest.Veiligstellen, monitoren, onderhouden en testen computercentra-voorzieningen
    Cloud_B.09.01Voor de opslag, de verwerking en het transport van data zijn beschikbaarheids-, integriteits- en vertrouwelijkheidsmaatregelen getroffen.Treffen maatregelen voor opslag, verwerking en transport van data
    Cloud_B.09.02Ter bescherming van data en privacy zijn beveiligingsmaatregelen getroffen, in de vorm van data-analyse, DPIA, sterke toegangsbeveiliging en encryptie.Treffen maatregelen zoals data-analyse, DPIA, sterke toegangsbeveiliging en encryptie
    Cloud_B.09.03Aan data en middelen waarin/waarop zich data bevindt, wordt door de verwerkingsverantwoordelijke een classificatie toegekend gebaseerd op datatype, waarde, gevoeligheid en kritische gehalte voor de organisatie.Toekennen classificatie aan data en middelen waarin/waarop zich data bevindt
    Cloud_B.09.04Data gerelateerd aan e-commerce en verstuurd via publieke netwerken is adequaat geclassificeerd en beschermd tegen fraude, ongeautoriseerde toegang en aantasten/corrumperen van data.Classificeren en beschermen data gerelateerd aan e-commerce en verstuurd via publieke netwerken
    Cloud_B.09.05De CSP past een uniforme classificatie toe voor informatie en middelen, die relevant zijn voor de ontwikkeling en aanbieden van clouddiensten.Toepassen informatie- en middelenclassificatie, relevant voor ontwikkelen en aanbieden van clouddiensten
    Cloud_B.09.06Het eigenaarschap van de middelen die deel uitmaken van de clouddiensten is vastgesteld.Vaststellen eigenaarschap van middelen die deel uitmaken van clouddiensten
    Cloud_B.09.07In de overeenkomst tussen CSP en CSC is bij het beëindigen van de clouddienst het eigenaarschap vastgelegd rond het gebruik, het retourneren en het verwijderen van data (data objects) en de fysieke middelen die data bevatten.Vastleggen eigenaarschap in overeenkomst tussen CSP en CSC bij beëindigen van clouddienst
    Cloud_B.09.08De CSP specificeert en documenteert op welke locatie (in welk land) de data worden opgeslagen.Specificeren en documenteren opslag op welke locatie data
    Cloud_B.10.01De beveiligingsfunctie, die geleid wordt door een CSO, ondersteunt de CSP voor het bewerkstelligen en promoten van cloudbeveiligingsbeleid door:
  • het ontwikkelen en onderhouden van beveiligingsstrategie en -beleid;
  • het ontwikkelen van beveiligingsstandaarden, procedures en richtlijnen;
  • het definiëren van een set beveiligingsdiensten;
  • het coördineren van beveiliging door de gehele organisatie;
  • het monitoren van de effectiviteit van de clouddienstreglementen;
  • het bieden van overzicht van en het doen van onderzoeken naar beveiligingsdiensten.
  • Bewerkstelligen en promoten cloudbeveiligingsbeleid
    Cloud_B.10.02De beveiligingsfunctie voorziet in proactieve ondersteuning van:
  • cloudrisico-assessment-activiteiten;
  • classificeren van informatie en systemen;
  • gebruik van encryptie;
  • beveiliging van gerelateerde projecten;
  • ontwikkelen van bedrijfscontinuïteitsprogramma en beveiligingsaudits.
  • Voorzien beveiligingsfunctie in proactieve ondersteuning van bepaalde processen/middelen
    Cloud_B.10.03De CSP heeft de informatiebeveiligingsorganisatie een formele positie binnen de gehele organisatie gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. NB Dit een voorstel van de WGR en SGR.Geven positie van informatiebeveiligingsorganisatie binnen organisatie
    Cloud_B.10.04De CSP heeft de verantwoordelijkheden voor het definiëren, coördineren en evalueren van de informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. beschreven en toegewezen aan specifieke functionarissen. NB Deze tekst is een specifieke overheidsmaatregel uit de BIO.Toewijzen verantwoordelijkheden voor definiëren, coördineren en evalueren van informatiebeveiliging
    Cloud_B.10.05De taken, verantwoordelijkheden en bevoegdheden zijn vastgelegd in een autorisatiematrix.Vastleggen taken, verantwoordelijkheden en bevoegdheden in autorisatiematrix
    Cloud_B.10.06De belangrijkste functionarissen (stakeholders) voor informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. zijn benoemd en de onderlinge relaties zijn met een organisatieschema inzichtelijk gemaakt.Benoemen functionarissen voor informatiebeveiliging en onderlinge relaties inzichtelijk maken
    Cloud_B.10.07De verantwoordings- en rapportagelijnen tussen de betrokken functionarissen zijn vastgesteld.Vaststellen verantwoordings- en rapportagelijnen tussen betrokken functionarissen
    Cloud_B.10.08Het type, de frequentie en de eisen voor de inhoudelijke rapportages zijn vastgesteld.Vaststellen type, frequentie en eisen voor inhoudelijke rapportages
    Cloud_B.11.01Het raamwerk bevat de volgende aspecten:
    • beveiligingsbeleid CSP op basis van principes, wet- en regelgeving;
    • functioneel; type en scope van de clouddiensten;
    • zoneringsmodel voor scheiding tussen CSC’s;
    • trust framework (afspraken en maatregelen ter bevordering van vertrouwens relatie);
    • SLA’s en valide certificaten;
    • risicomanagement.
    Bevatten diverse aspecten voor raamwerk
    Cloud_B.11.02De onderlinge samenhang tussen IT-functionaliteiten die bij het aanbieden, gebruiken en onderhouden van clouddiensten zijn betrokken, zijn benoemd en beschreven.Beschrijven van de samenhang tussen IT-functionaliteiten bij clouddienst-aanbieding, -gebruik en -onderhoud