BIO Thema Clouddiensten - Cloudbeveiligingsprincipes binnen het beleidsaspect

Uit NORA Online
< BIO Thema ClouddienstenBIO Thema Clouddiensten/Cloudbeveiligingsprincipes binnen het beleidsaspect
Ga naar: navigatie, zoeken
Logo ISOR (vier hangsloten die in elkaar geklikt zitten met de tekst Information Security Object Repository)

In onderstaande tabel worden de geïdentificeerde principes beschreven binnen het beleidsaspect.


Nr. Beveiligingsobjecten Omschrijving
B.01 Wet- en regelgeving Dit omvat nationaleen internationale wet- en regelgeving die van toepassing is op de clouddiensten.
B.02 Cloud beveiligingsstrategie Dit omvat de uitspraken over de doelstellingen die de organisatie met de clouddiensten wil nastreven en de wegen waarlangs of de wijze waarop dit zal moeten plaatsvinden.
B.03 Exit strategie Dit omvat de strategie met de voorwaarden voor migratie van data en veranderen van CSP.
B.04 Clouddiensten beleid Dit omvat de uitgangspunten over de wijze waarop, in welk tijdbestek en met welke middelen de clouddiensten doelstellingen bereikt moeten worden.
B.05 Transparantie Dit omvat eenduidige communicatie, waarmee de CSP de verantwoordelijke functionarissen binnen de CSC en CSP inzicht geven over de status van de implementatie en het functioneren van de clouddiensten.
B.06 Risk Management Dit omvat de aanpak (methode) en de te hanteren scope voor het beheersen van de risico’s van de clouddiensten.
B.07 IT-functionaliteiten Dit omvat de functionaliteiten die gebruik maken van Internet-gerelateerde technologie.
B.08 BusinessContinuïty Management Business Continuity Management (BCM) beschrijft, hier toegespitst tot de clouddiensten, de eisen voor het beheerssysteem om een organisatie te beschermen tegen ontwrichtende gebeurtenissen, om de kans op deze gebeurtenissen te verkleinen en om te zorgen dat de organisatie zich hier volledig van kan herstellen.
B.09 Data en privacy Dit omvat de data waar dreigingen en privacybeschermende regels aan gerelateerd zijn. Zowel data- als privacybescherming moeten voldoen aan door de wettelijke en door de CSC gestelde eisen aan de beveiliging.
B.10 Beveiligingsorganisatie Dit is de beveiligingsorganisatie (van de CSP) die zorgt voor de naleving van het informatiebeveiligingsbeleidHet informatiebeveiligingsbeleid verbindt de bedrijfsdoelstellingen met beveiligingsdoelstellingen. Met de beveiligingsdoelstellingen geeft een organisatie aan op welke wijze – door het treffen van beveiligingsmaatregelen – de bedrijfsdoelstellingen nagestreefd worden., clouddiensten beleid en overig hieraan gerelateerd beleid. Hoewel een ‘Beveiligingsfunctie’ als zelfstandig object beschouwd kan worden, is voor de eenvoud gekozen om deze in dit thema te integreren met de organisatie.
B.11 Clouddiensten architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. Dit betreft de architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. waarin de CSP de relaties tussen de componenten van de clouddiensten (hoe deze aan elkaar gekoppeld zijn) vastlegt. Deze architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. beschrijft de IT-componenten, hun onderlinge samenhang en hoe de componenten de bedrijfsprocessen van de CSCondersteunen.
Omschrijving van de beveiligingsobjecten voor het Beleidsdomein

Toelichting beleidsaspect

Onderstaande afbeelding toont de dreigingen/kwetsbaarheden van de benoemde principes per invalshoek. De invalshoeken zijn:

Intentie

Een organisatie heeft bij het verwerven van clouddiensten doelstellingen geformuleerd, zoals: een efficiënte bedrijfsvoering, een schaalbare en flexibele dienstverlening. Hiervoor ontwikkelt zij beleid en strategie. Omdat dit op basis van onzekere informatie wordt ontwikkeld, moeten de stakeholders risico analyse(s) laten uitvoeren. Voor het uitvoeren van risicoanalyses moet een te hanteren risico aanpak (methode) zijn vastgesteld (risicomanagement).

Functie

Om aan de doelstellingen te kunnen voldoen, kan de organisatie besluiten functionele eisen vast te stellen. Zij moeten de IT-functionaliteiten en gerelateerde processen en beveiligingsfuncties beschrijven.

Gedrag

De IT-functionaliteiten worden gerealiseerd door actoren (Human Resources) en IT-principes (Technische Resources). Human resources refereert aan mensen waaraan eisen worden gesteld, zoals educatie, competentie/skill. IT-resources zijn ‘Data’ en IT-principes (Applicaties, Servers en Infrastructuur).

Structuur

De inzet van de actoren dienen goed georganiseerd te worden met behulp van een organisatiestructuur en de benodigde IT-principes met behulp van een architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen..

”De dreigingen/kwetsbaarheden van de beleidsprincipes”
De dreigingen/kwetsbaarheden van de beleidsprincipes


Dreigingen/kwetsbaarheden in relatie tot de cloudbeleidsprincipes

Onderstaande afbeelding geeft voor het beleidsaspect en op grond van de vermelde dreigingen/kwetsbaarheden en risico’s, de geïdentificeerde cloudbeveiligingsprincipes weer. De vermelde dreigingen/kwetsbaarheden en risico’s zijn niet uitputtend benoemd. Het illustreert de wijze waarop tot relevante beleidsprincipes is gekomen, eerst een longlist en vervolgens een shortlist. De principes uit de shortlist zijn vervolgens gestructureerd en conform het SIVA-raamwerk ingedeeld in de drie aspecten: Beleid, Uitvoering en Control en de vier invalshoeken: Intentie, Functie, Gedrag en Structuur.

”De Beleid objecten gestructureerd conform het SIVA-raamwerk”
De beleidsprincipes gestructureerd conform het SIVA-raamwerk