Koppelvlakken

Exporteer naar RDF

Versie 2.0 van 1 juni 2021 van de BIO Thema-uitwerking Clouddiensten is vervangen door versie 2.1 van 29 oktober 2021.
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 2.1 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.

Beveiligingsprincipe
ID:	Cloud_U.12
Versie:	1.0
Status:	Actueel
Publicatiedatum:	29-10-2021
Redactionele wijzigingsdatum:	17-1-2022
Indeling
Beveiligingsaspect:	Uitvoering
Invalshoek:	Gedrag

Verwante principes

→ BIO Thema-uitwerking Clouddiensten

→ Binnen dit normenkader èn beveiligingsaspect

→ Alle Normenkaders

→ Alle Beveiligingsprincipes

→ Alle Normen

→ Beveiligingsaspecten

→ ISOR

Een koppelvlakken is de organisatorisch of technische connectie op het grensvlak in de keten van CSC en CSP. Dit thema beperkt zich tot de technische connectie. Beheersing van het aantal koppelvlakken is noodzakelijk om risico’s van dataverlies te beperken. Stelsels van koppelvlakken valt onder de ISO 270xx categorie Netwerkdiensten.

Criterium

De onderlinge netwerkconnecties (koppelvlakken) in de keten van CSC naar CSP behoren te worden bewaakt en beheerst om de risico’s van datalekken te beperken.

Doelstelling

Risico

Indeling binnen ISOR

Dit beveiligingsprincipe:

is gericht op het Beveiligingsaspect Uitvoering;
valt binnen de Invalshoek Gedrag.

ℹ️(Klik om uitleg open/dicht te klappen)

De ISOR-wiki bevat normenkaders waarin beveiligings- en privacyprincipes zijn beschreven. Deze themaprincipes zijn conform de SIVA-methodiek ingedeeld in drie aspecten: Beleid, Uitvoering of Control. Daarnaast zijn ze geordend in invalshoeken: Intentie, Functie, Gedrag, Structuur.

Grondslag

De grondslag voor dit principe is CIP-netwerk

Onderliggende normen

ID	Conformiteitsindicator	Stelling
CLD_U.12.01	Netwerkconnecties	In koppelpunten met externe of onvertrouwde zones zijn maatregelen getroffen om mogelijke aanvallen die de beschikbaarheid van de informatievoorziening negatief beïnvloeden (bijvoorbeeld Distributed Denial of Service attacks (DDos)-aanvallen) te signaleren en hierop te reageren.
CLD_U.12.02	Netwerkconnecties	Fysieke en gevirtualiseerde netwerkcomponenten zijn zodanig ontworpen en geconfigureerd dat netwerkconnecties tussen vertrouwde en onvertrouwde netwerken worden beperkt en gemonitord (bewaakt).
CLD_U.12.03	Netwerkconnecties	Beheeractiviteiten van de Cloud Service Provider (CSP) zijn strikt gescheiden van de data van de Cloud Service Consumer (CSC).
CLD_U.12.04	Netwerkconnecties	Dataverkeer voor Cloud Service Consumers (CSC’s) zijn in gezamenlijk gebruikte netwerkomgevingen gescheiden volgens een gedocumenteerd concept voor de op netwerkniveau (logische) segmentatie van CSC’s, om zo de integriteit en vertrouwelijkheid van de verzonden gegevens te garanderen.
CLD_U.12.05	Bewaakt	Het dataverkeer dat de Cloud Service Provider (CSP) binnenkomt of uitgaat, wordt in relatie tot de aard van de te beschermen gegevens/informatiesystemen bewaakt en geanalyseerd op kwaadaardige elementen middels detectievoorzieningen.
CLD_U.12.06	Bewaakt	De Cloud Service Provider (CSP) heeft Intrusion Detection Prevention (IDP) en Intrusion Detection System (IDS) geïntegreerd in een allesomvattend Security Information and Event Management (SIEM), zodat beveiligingsgebeurtenissen en onbekende apparatuur vanuit de benodigde technische maatregelen worden opgemerkt en correctieve maatregelen kunnen worden genomen.
CLD_U.12.07	Beheerst	Bij ontdekte nieuwe dreigingen worden deze, rekening houdend met geldende juridische kaders, verplicht gedeeld binnen de overheid, waaronder met het Nationaal Cyber Security Centrum (NCSC) (alleen voor rijksoverheidsorganisaties) of de sectorale Computer Emergency Response Team (CERT), bij voorkeur door geautomatiseerde mechanismen (threat intelligence sharing).