Naar de inhoud Naar de navigatie
Logo ISOR: in elkaar gehaakte hangsloten met de tekst Information Security Obeject Repository
Afbeeldingsinformatie

BIO Thema Clouddiensten - Risico's in relatie tot clouddiensten

Versie 2.0 van 1 juni 2021 van de BIO Thema-uitwerking Clouddiensten is vervangen door versie 2.1 van 29 oktober 2021.
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 2.1 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.
ID: CLD_INL RC
Hoofdstuk normenkader
Status: Actueel
Alle hoofdstukken bij BIO Thema-uitwerking Clouddiensten:

Risico’s in relatie tot clouddiensten

Relevante risico’s verbonden aan clouddiensten kunnen ondergebracht worden in 2 risicogroepen:

  1. Gegevens, Gegevens van de burger of de Cloud Service Consumer (CSC) zijn verloren geraakt of misbruikt.
  2. IT-dienstverlening, De betrouwbare dienstverlening aan de burger en CSC is in gevaar.


Risico’s worden bepaald door dreigingen en kwetsbaarheden en de kans dat daardoor schade ontstaat. Zowel dreigingen als kwetsbaarheden zijn hieronder concreet gemaakt. De factor ‘kans’ is niet berekenbaar voor clouddiensten, maar kan ingeschat worden door onderzoek vanuit de eigen context van de CSC en de zich ontwikkelende markt van CSP's.

Dreigingen/kwetsbaarheden

De vakliteratuur noemt verschillende dreigingen/kwetsbaarheden waarmee een CSC rekening dient te houden bij het verwerven van clouddiensten. Na de verwerving kan de CSC geconfronteerd worden met issues over contracten en prestaties van de clouddienst en over ondersteuning door - en de relatie met - de CSP. Bij het identificeren van objecten voor clouddiensten zijn beide hiervoor genoemde risicogroepen als invalshoek gebruikt. Tabel 1 Cloud Computing Vulnerabilities CSA and Greer and Jackson, 2017 geeft de belangrijkste kwetsbaarheden en voorkomende consequenties aan. Toelichting objecten in het beleidsdomein, Toelichting objecten in het uitvoeringsdomein en Toelichting objecten in het control-domein bevatten detailuitwerkingen van de dreigingen. De tabel en afbeelding zijn beperkt tot de set van Cloud Security Alliance (CSA) en Greer and Jackson.


Nr. Cloud Computing Vulnerabilities CSA en Greerand Jackson, 2017
1 Data Data breaches Dataverstoringen
2 Data Loss or data leakage Dataverlies of datalekken
3 Clouddiensten Account or service traffic hijacking Kapen van account of serviceverkeer
4 Denial of Service Denial of Service
5 Malicious insiders Kwaadwillende insiders
6 Abuse of nefarious use of cloud computing Misbruik of misdadig gebruik van cloudcomputing
7 Insufficient due diligence Onvoldoende due diligence
8 Shared technology vulnerabilities Gedeelde technologiekwetsbaarheden
9 Insecure interfaces and API’s Onveilige interfaces en API’s
10 Unknown risk profile Onbekend risicoprofiel
11 Hardware failure Hardware falen
12 Nature disasters Natuurlijke rampen
13 Closure of cloud service Afsluiten van de cloud dienst
14 Cloud related malware Cloud gerelateerde malware
15 Inadequate infrastructure design and planning Inadequateinfrastructuur ontwerp en planning
Cloud Computing Vulnerabilities CSA en Greer and Jackson, 2017
Tabel 1: Clouddiensten - Cloud Computing Vulnerabilities CSA en Greer and Jackson, 2017
”Cloud gerelateerde dreigingen en kwetsbaarheden”
Cloud gerelateerde dreigingen en kwetsbaarheden

Afbeelding 1: Cloud gerelateerde dreigingen en kwetsbaarheden

CSC-georiënteerde aandachtspunten

De geïdentificeerde issues zijn globaal onderverdeeld in een aantal generieke onderwerpen: beleid en strategie, processen/functies (technische en organisatorische), interacties, infrastructuur en structuur (architectuur en organisatiestructuur). Afbeelding 3 geeft een overzicht van de ingedeelde onderwerpen.


”CSC georiënteerde aandachtspunten”
CSC georiënteerde aandachtspunten

Afbeelding 2: CSC georiënteerde aandachtspunten

Een bepaald voorkomen van iets.

Naar de pagina met de definitie van ‘versie’

De hulp die de afnemer ontvangt van de dienstverlener bij het benutten van de dienst.

Naar de pagina met de definitie van ‘ondersteuning’

Een ondersteunde voorziening.

Naar de pagina met de definitie van ‘dienst’

De representatie van een toekomstige werkelijkheid.

Naar de pagina met de definitie van ‘ontwerp’

Een vooraf vastgestelde handelwijze voor het realiseren van doelen.

Naar de pagina met de definitie van ‘beleid’

Het plan waarmee een entiteit haar missie wil bereiken.

Naar de pagina met de definitie van ‘strategie’

Het geheel van voorzieningen dat nodig is om iets te laten functioneren.

Naar de pagina met de definitie van ‘infrastructuur’

De fundamentele concepten en eigenschappen van een object in zijn omgeving, samen met de leidende principes voor de realisatie en evolutie in de levenscyclus van dat object.

Naar de pagina met de definitie van ‘architectuur’

Een ondersteunde voorziening.

Naar de pagina met de definitie van ‘dienst’
Overgenomen van "https://www.noraonline.nl/index.php?title=BIO_Thema_Clouddiensten/Risico%27s_in_relatie_met_clouddiensten&oldid=98317"