BIO Thema Clouddiensten - Risico's in relatie tot clouddiensten

Uit NORA Online
< BIO Thema ClouddienstenBIO Thema Clouddiensten/Risico's in relatie met clouddiensten
Ga naar: navigatie, zoeken
Logo ISOR (vier hangsloten die in elkaar geklikt zitten met de tekst Information Security Object Repository)

Relevante risico’s verbonden aan clouddiensten kunnen ondergebracht worden in twee risicogroepen:

  1. Data, Gegevens van de burger of CSC zijn verloren geraakt of zijn misbruikt.
  2. IT-dienstverlening, De betrouwbare dienstverlening aan de burger en CSC is in gevaar.

Risico’s worden bepaald door dreigingen en kwetsbaarheden en de kans dat daardoor schade ontstaat. Zowel dreigingen als kwetsbaarheden zijn hieronder concreet gemaakt. De factor ‘Kans’ is niet berekenbaar voor clouddiensten, maar kan ingeschat worden op basis van onderzoek vanuit de eigen context van de CSC en de zich ontwikkelende markt van CSP's.

Dreigingen en/of kwetsbaarheden

NB Aandachtspunten voor consequenties zijn overgenomen van Weolcan (https://blog.weolcan.eu/wat-is-een-cloud-exit-strategie-precies-en-hoe-voer-je-het-uit).

De vakliteratuur noemt verschillende dreigingen en/of kwetsbaarheden waarmee de CSC rekening dient te houden bij het verwerven van clouddiensten. Na de verwerving kan de CSC geconfronteerd worden met issues over contracten en prestaties van de clouddienst en over ondersteuning door en de relatie met de CSP. Bij het identificeren van de principes voor clouddiensten zijn beide hiervoor genoemde risicogroepen als invalshoek gebruikt. Onderstaande tabel en afbeelding geven een overzicht van de belangrijkste kwetsbaarheden en voorkomende consequenties. BIO Thema Clouddiensten - Cloudbeveiligingsprincipes binnen het beleidsaspect, BIO Thema Clouddiensten - Cloudbeveiligingsprincipes binnen het uitvoeringsaspect en BIO Thema Clouddiensten - Cloudbeveiligingsprincipes binnen het beleidsaspect bevatten detailuitwerkingen van de dreigingen. De tabel en afbeelding zijn beperkt tot de set van CSA en Greer and Jackson.


Nr. Cloud Computing Vulnerabilities CSA en Greerand Jackson, 2017
1 Data Data breaches Dataverstoringen
2 Data Loss or data leakage Dataverlies of datalekken
3 Clouddiensten Account or service traffic hijacking Kapen van account of serviceverkeer
4 Denial of Service Denial of Service
5 Malicious insiders Kwaadwillende insiders
6 Abuse of nefarious use of cloud computing Misbruik of misdadig gebruik van cloudcomputing
7 Insufficient due diligence Onvoldoende due diligence
8 Shared technology vulnerabilities Gedeelde technologiekwetsbaarheden
9 Insecure interfaces and API’s Onveilige interfaces en API’s
10 Unknown risk profile Onbekend risicoprofiel
11 Hardware failure Hardware falen
12 Nature disasters Natuurlijke rampen
13 Closure of cloud service Afsluiten van de cloud dienst
14 Cloud related malware Cloud gerelateerde malware
15 Inadequate infrastructure design and planning Inadequateinfrastructuur ontwerp en planning
Cloud Computing Vulnerabilities CSA en Greer and Jackson, 2017
”Cloud gerelateerde dreigingen en kwetsbaarheden”
Cloud gerelateerde dreigingen en kwetsbaarheden

CSC-georiënteerde aandachtspunten

De schrijfgroep heeft over clouddiensten diverse gesprekken gevoerd met CSC’s en CSP’s. Ook heeft de schrijfgroep verschillende beleidsdocumenten ontvangen van CSC’s. Bij de besprekingen en het bestuderen van de documenten stonden twee vragen centraal:

  1. Welke issues met betrekking tot clouddiensten spelen een rol bij de CSC’s?
  2. Waar maken de CSC’s zich de meeste zorgen over bij het verwerven van clouddiensten?

De geïdentificeerde issues zijn globaal onderverdeeld in een aantal generieke onderwerpen: beleid en strategie, processen/functies (technische en organisatorische), interacties, infrastructuur en structuur (architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. en organisatiestructuur). Onderstaande afbeelding geeft een overzicht van deze onderwerpen.

”CSC georiënteerde aandachtspunten”
CSC georiënteerde aandachtspunten

Beveiligingsprincipes voor clouddiensten

Principes worden geïdentificeerd aan de hand van onderzoeksvragen en risicogebieden. De principes hebben tot doel risico’s te mitigeren en zijn afgeleid van de algemene beveiligingseisen: beschikbaarheid, integriteit, vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen en controleerbaarheid (BIVC) die vervolgens zijn ingedeeld in de drie domeinen: Beleid, Uitvoering en Control. De vragen die vanuit BUC-optiek hierbij een rol hebben gespeeld zijn:

  1. Welke randvoorwaardelijke elementen spelen een rol bij de inrichting van de clouddiensten en wat is de consequentie van het ontbreken van een of meer van deze elementen?
  2. Welke elementen spelen een rol bij de inrichting van de clouddiensten en wat is de consequentie van het ontbreken van één of meer van deze elementen?
  3. Welke elementen spelen een rol bij de beheersing van de clouddiensten en wat is de consequentie van het ontbreken van één of meer van deze elementen?

Vaststellen van de beveiligingsprincipes voor clouddiensten

Onderstaande tabel geeft een overzicht van relevante beveiligingsprincipes voor de clouddiensten, afkomstig uit ISO 27017, NIST etc. Uit de contextuele analyse blijkt, dat verschillende onderwerpen niet in de NEN-ISO/IEC 27002 voorkomen. Voor de onderwerpen, waarvoor de ISO/BIO (Baseline Informatiebeveiliging Overheid) geen control heeft geformuleerd, zijn criteria uit andere baselines geadopteerd.


Nr. IFGS Cloud Beleidsobjecten Referenties
B.01 I Wet- en regelgeving ISO27002: 18.1
B.02 I Cloud beveiligingsstrategie SoGP: Information Security Strategy SG2.1
B.03 I Exit strategie BSI C5: PI-02
B.04 I Clouddiensten beleid ISO27017: 5.1;ISA62443-2-1: 4.3.2; CSA: GRM, C5 OIS-06
B.05 I Transparantie BSI C5: 4 enpag. 19-20
B.06 I Risicomanagement ISO27005; CSA : GRM; BSI C5: OIS-06;SoGP: IR
B.07 F IT functionaliteiten ISO27002
B.08 F Business Continuïty Management ISO27002: H17; ISA62443-2-1: 4.3.2.5;CSA: BRC; BSI C5: 5.1; SoGP
B.09 G Data en privacy ITU-T: FG CloudTR 8.5
B.10 S Beveiligingsorganisatie ISO27002: 6.1,6.2; ISA62443-2-1: 4.3.2.3
B.11 S Clouddiensten architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. Werkgroep/Schrijfgroep (WGR/SGR)
Nr. IFGS Cloud Uitvoeringsobjecten Referenties
U.01 I Standaarden voor clouddiensten ISO27017: 2.1, 18.2.2; ISO17788; ISO17789;ISO27036
U.02 I Risico Assessment ISA62443-2-1: 4.2.3; BSI C5: OIS-07
U.03 F BusinessContinuity services ISO 27002-12.3.1; ISO27017: 12.3.1,17.1, 17.2; CSA BCR; BSI C5: 5.1 BCM
U.04 F Herstelfunctie voor data en clouddiensten ISO27002: 12.3
U.05 F Data protectie ISO27040; ISO17826
U.06 F Dataretentie en vernietiging vangegevens ISO27040: 7.4
U.07 F Scheiding van data ISO27040: 7.6.2;ISA62443-2-1: 4.3.3.4; BSI C5: 5.9 KOS-05
U.08 F Scheiding van dienstverlening ISO27017: 13.1.1; ISO17789: 8.3.2.17
U.09 F Malware protectie ISO27002: 12.2.1
U.10 G Toegang tot IT-diensten en data ISO27002: 9.4; CSA: IAM
U.11 G Crypto services ISO27002: 10.1; ISO27040: 7.7.1; BSI C5:5.8 KRY
U.12 G Koppelvlakken ISO27002: 13.1, 13.2; ISO17789: 8.3.2.20
U.13 G Service orkestratie ISO17789: 9.2.3.4
U.14 G Interoperabiliteit en portabiliteit ISO19941; BSI C5: 5.10; CSC IPY; CSAIPY
U.15 G Logging en monitoring ISO27002: 12.4;BSI C5: 5.6 RB-10, RB-11
U.16 S Clouddiensten architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. ISO17789- 6; BSI C5: KOS-06, SA-01, DM13
U.17 S Multi-tenant architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. ITU-T: FG Cloud Requirements S12
Nr. IFGS Cloud Control objecten Referenties
C.01 I ServiceManagement beleid en evaluatie richtlijnen ISO27002: 14.1; ISO19096: part 3; BSI C5: SA02
C.02 I Risk Control ISO27005 (2008E): 12.2, 12.1
C.03 I Compliance en Assurance ISO27002:18.1; BSI C5: 5.16
C.04 F Technischekwetsbaarhedenbeheer ISO27002: 12.6; CSA TVM; BSI C5
C.05 G SecurityMonitoring ISO27002:12.4
C.06 S Clouddiensten beheerorganisatie ISO27002:11.4
Overzicht van relevante beveiligingsobjecten voor clouddiensten, ingedeeld in BUC en IFGS

Overzicht beveiligingsobjecten in BUC- en IFGS-matrix

”Overzicht van relevante beveiligingsobjecten voor clouddiensten, ingedeeld in BUC en IFGS matrix”
Overzicht van relevante beveiligingsobjecten voor clouddiensten, ingedeeld in BUC en IFGS