Dataprotectie

Uit NORA Online
ISOR:Data-protectie
Ga naar: navigatie, zoeken
Versie 2.0 van 1 juni 2021 van de BIO Thema-uitwerking Clouddiensten is vervangen door versie 2.1 van 29 oktober 2021.
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 2.1 in pdf-formaat is op de website CIP-overheid/producten gepubliceerd.
Logo ISOR themaprincipes (vier hangsloten die in elkaar geklikt zitten met tekst ISOR Beveiliging Principe)

Objectdefinitie

Betreft het beschermen van de vertrouwelijkheid en integriteit van (Cloud Service Consumer) CSC-data.

Objecttoelichting

Data ‘op transport’ zijn bedrijfsgegevens die via de clouddienst, met de Cloud Service Provider (CSP) worden uitgewisseld. Data ‘in verwerking’ betreft gegevens die worden bewerkt. Data ‘in rust’ betreft gegevens die voor korte of langere tijd zijn opgeslagen (bij de CSP). Aan deze drie situaties stelt de overheid strenge eisen.


Voor het toepassen van publieke clouddiensten geldt voor de Rijkdiensten dat een Secretaris Generaal vooraf toestemming verleent voor het in de publieke cloud verwerken van Basis BeveiligingsNiveau (BBN) 2-gerubriceerde informatie. Deze eis geldt ook voor persoonsgegevens.


Criterium

Data (‘op transport’, ‘in verwerking’ en ‘in rust’) met de classificatie BBN2 of hoger behoort te worden beschermd met cryptografische maatregelen en te voldoen aan Nederlandse wetgeving.

Doelstelling

Het zorgen dat BBN2 of hoger classificeerde data beveiligd is met cryptografische maatregelen en voldoet aan de Nederlandse wetgeving.

Risico

Data met de classificatie BBN2 of hoger is onvoldoende beveiligd.

Indeling binnen ISOR

Dit beveiligingsprincipe:

ℹ️(Klik om uitleg open/dicht te klappen)

De ISOR-wiki bevat normenkaders waarin beveiligings- en privacyprincipes zijn beschreven. Deze themaprincipes zijn conform de SIVA-methodiek ingedeeld in drie aspecten: Beleid, Uitvoering of Control. Daarnaast zijn ze geordend in invalshoeken: Intentie, Functie, Gedrag, Structuur.

Grondslag

De grondslag voor dit principe is NEN-EN-ISO/IEC 27040:2016 (Storage security) 6.3.2.1

Onderliggende normen

IDConformiteitsindicatorStelling
CLD_U.05.01 Cryptografische maatregelen

Gegevenstransport wordt naar de laatste stand der techniek beveiligd met cryptografie (conform Forum Standaardisatie), waarbij het sleutelbeheer zo mogelijk door de Cloud Service Consumer (CSC) zelf wordt uitgevoerd.

CLD_U.05.02 Cryptografische maatregelen

Opgeslagen gegevens in de clouddienst worden naar de laatste stand der techniek beveiligd met encryptie en met een tenminste voor het doel toereikende sleutellengte, waarbij het sleutelbeheer zo mogelijk niet als clouddienst wordt afgenomen en door de Cloud Service Consumer (CSC) zelf wordt uitgevoerd.