BIO Thema Clouddiensten - Voorwoord

Uit NORA Online
< BIO Thema-uitwerking ClouddienstenBIO Thema Clouddiensten/Voorwoord
Naar navigatie springen Naar zoeken springen
Versie 2.0 van 1 juni 2021 van de BIO Thema-uitwerking Clouddiensten is vervangen door versie 2.1 van 29 oktober 2021.
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 2.1 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.
Logo ISOR (vier hangsloten die in elkaar geklikt zitten met de tekst Information Security Object Repository)

Deze BIO Thema-uitwerking bevat een referentiekader voor de BIO Thema-uitwerking Clouddiensten, door het CIP (Centrum Informatiebeveiliging en Privacybescherming) opgesteld om overheidsorganisaties een beeld te geven van de meest relevante onderwerpen bij het verwerven van veilige clouddiensten. Deze thema-uitwerking is bedoeld als handreiking, gerelateerd aan de toepassing van de Baseline Informatiebeveiliging Overheid (BIO) en verschaft een overzicht van de uitwerking van clouddienstenobjecten vanuit de optiek van de Cloud Service Consumer (CSC). Voor de beperking van de omvang van deze thema-uitwerking worden de geïdentificeerde objecten gerelateerd aan algemene clouddiensten. Deze thema-uitwerkingt doet geen uitspraken over de vraag of cloud ingezet mag worden. Die keuze is onderworpen aan het vigerend beleid. Bij een keuze voor cloud, kan deze thema-uitwerkingen worden gehanteerd bij de inrichting.


De BIO is verplicht verklaard voor de overheidspartijen. Vanwege de snelle ontwikkelingen van clouddiensten hebben overheidspartijen een grote behoefte aan overzicht en inzicht in de meest cruciale componenten die bij de verwerving van clouddiensten aandacht behoeven. Temeer omdat specifieke op clouddiensten gerichte beveiligingsobjecten ontbreken in de BIO. Dat komt omdat de BIO gebaseerd is op een generieke baseline NEN-EN-ISO/IEC 27002:2017 (hierna genoemd ISO 27002). Aanvullend op deze ISO-norm zijn door NEN-EN-ISO/IEC een aantal implementatiekaders opgesteld en bestaan er kaders zoals het Cybersecurity Framework (CSW) van National Institute of Standards and Technology (NIST) en de Cloud Control Matrix (CCM) van Cloud Security Alliance (CSA), gericht op de beveiliging van clouddiensten. Ook de The Standard of Good Practice (SoGP) 2018, standaarden van de Bundesamt für Sicherheit in der Informationstechnik (BSI), International Telecommunication Union (ITU) en de ICT-Beveiligingsrichtlijnen voor Webapplicaties van het Nationaal Cyber Security Centrum (NCSC) bevatten relevante controls en maatregelen voor clouddiensten. Een probleem voor overheidspartijen is dat een handig overzicht ontbreekt voor een samenvatting van alle relevante zaken over clouddiensten, eenduidig gerelateerd aan de BIO. Een veel gehoorde uitspraak is: ‘We zien door de bomen het bos niet meer.’.


De schrijfgroep heeft diverse workshops georganiseerd waarin verschillende overheidspartijen hebben geparticipeerd. Deze partijen hebben hun beleidsdocumenten ter beschikking gesteld en hun visie, risico’s en problematiek gedeeld waarmee ze in de praktijk geconfronteerd worden. Met deze informatie en risico’s verbonden aan clouddiensten heeft de schijfgroep deze thema-uitwerking opgesteld en ter review aan de overheidspartijen aangeboden. Versie 1.1 bevat een compleet beeld van onderwerpen die voor informatieveiligheid en privacy de aandacht vereisen bij de verwerving van clouddiensten. De privacyaspecten zijn in de handreiking Cloudcomputing en Privacy van de Informatiebeveiligingsdienst (IBD) uitgewerkt.


Voor de structurering van deze thema-uitwerking is dezelfde systematiek gekozen als bij de overige BIO Thema-uitwerkingen. De beschrijving van de systematiek is in deze thema-uitwerking kort weergegeven.


Deze thema-uitwerking beperkt zich tot die zaken, die vanuit de CSC richting de Cloud Service Provider (CSP) van belang zijn, inclusief de koppelvlakken tussen de CSC en de CSP. Uiteraard speelt de CSC in de informatieketen een belangrijke rol en moet zij haar IT-huishouding op orde hebben. Pas dan kan sprake zijn van een goede samenwerking tussen de CSC en de CSP. Dit gegeven is een belangrijk uitgangspunt voor stakeholders binnen de overheidspartijen.


Er zijn veel inhoudelijke suggesties en reacties ontvangen. De intentie van deze thema-uitwerking is de lezer verder te helpen bij vraagstukken over clouddiensten. Daar waar verbeterd kan worden, kan deze thema-uitwerking verrijkt worden met aangeleverde teksten.