BIO Thema Clouddiensten - Voorwoord

Uit NORA Online
< BIO Thema-uitwerking ClouddienstenBIO Thema Clouddiensten/Voorwoord
Ga naar: navigatie, zoeken
Logo ISOR (vier hangsloten die in elkaar geklikt zitten met de tekst Information Security Object Repository)

Dit themadocument over clouddiensten, is in opdracht van BZK door het CIP opgesteld om overheidsorganisaties een beeld te geven van de meest relevante onderwerpen bij het verwerven van veilige clouddiensten. Het document is bedoeld als handreiking, gerelateerd aan de toepassing van de BIO en verschaft een overzicht van de uitwerking van clouddiensten-objecten vanuit de optiek van CSC (Cloud Service Consumer). Voor de beperking van de omvang van dit document worden de geïdentificeerde objecten gerelateerd aan algemene clouddiensten.

De BIO is verplicht verklaard voor de overheidspartijen. Vanwege de snelle ontwikkelingen op het gebied van clouddiensten hebben overheidspartijen een grote behoefte aan overzicht en inzicht in de meest cruciale componenten, die bij verwerving van clouddiensten aandacht behoeven. Temeer omdat specifieke, op clouddiensten gerichte beveiligingsobjecten ontbreken in de BIO. Dat komt omdat de BIO gebaseerd is op een generieke baseline: ISO 27002 (2013). Aanvullend op de ISO 27002 zijn door NEN-ISO/IEC een aantal implementatiekaders opgesteld en bestaan er kaders zoals NIST, ENISA en CSA, gericht op beveiliging van clouddiensten. Voor overheidspartijen ontbreekt een overzicht. Gebruiker vragen een samenvatting van alle relevante zaken omtrent clouddiensten, eenduidig gerelateerd aan de BIO. Een veel gehoorde uitspraak is: “We zien door de bomen het bos niet meer.”.

BIO Thema Clouddiensten beoogt die samenvatting te geven en is opgesteld in opdracht van BZK/CIP door een schrijfgroep binnen de werkgroep BIO. De schrijfgroep heeft diverse workshops georganiseerd waarin verschillende overheidspartijen hebben geparticipeerd. Deze partijen hebben hun beleidsdocumenten ter beschikking gesteld en hun visie, risico’s en problematiek gedeeld waarmee ze in de praktijk geconfronteerd werden.

Op basis van deze informatie en risico’s verbonden aan clouddiensten, heeft de schijfgroep dit thema opgesteld en ter review aan de overheidspartijen aangeboden. De 1.0-versie bevat een compleet beeld van onderwerpen die ten aanzien van informatieveiligheid en privacy aandacht vereisen bij de verwerving van clouddiensten. De privacyaspecten zijn in een IBD-handreiking uitgewerkt.

Voor de structurering van dit document is dezelfde systematiek gekozen als bij de overige BIO- thema’s. De beschrijving van de systematiek is in dit thema kort weergegeven.

Dit document is beperkt tot die zaken, die vanuit CSC richting CSP (Cloud Service Provider) van belang zijn, inclusief de koppelvlakken tussen CSC en CSP. Uiteraard speelt de CSC in de informatieketen een belangrijke rol en moet zij haar IT-huishouding op orde hebben. Pas dan kan sprake zijn van een goede samenwerking tussen CSC en CSP. Dit gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat is een belangrijk uitgangspunt voort de stakeholders binnen de overheidspartijen. Er zijn veel inhoudelijke suggesties en reacties ontvangen. De hoop is dat dit document de lezer verder helpt bij vraagstukken ten aanzien van clouddiensten en daar waar dingen over het hoofd zijn gezien, of verbeterd kunnen worden, kan dit thema verrijkt worden met aangeleverde teksten.

Structuur en leeswijzer

Het document BIO Thema Clouddiensten is als volgt onderverdeeld:

  1. BIO Thema Clouddiensten - Inleiding beschrijft algemene informatie over doelstelling, opzet van het thema, context van de CSC-CSP relatie, context en globale structuur van het thema en scope en begrenzing;
  2. BIO Thema Clouddiensten - Risico's in relatie tot clouddiensten beschrijft CSC-georiënteerde aandachtspunten, beveiligingsobjecten voor clouddiensten, vaststellen van de beveiligingsobjecten voor clouddiensten, overzicht beveiligingsobjecten, aanleiding om gebruik te maken van clouddiensten;
  3. Clouddiensten Beleid beschrijft de doelstelling, risico’s en specifieke objecten binnen het Beleidsdomein;
  4. Clouddiensten Uitvoering beschrijft de doelstelling, risico’s en specifieke objecten binnen het Uitvoeringsdomein;
  5. Clouddiensten Control beschrijft de doelstelling, risico’s en specifieke objecten binnen het control-domein.

In BIO Thema Clouddiensten - Toelichting SIVA-basiselementen is een verantwoording gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat over de toegepaste systematiek en toegepaste risico-benadering. Geïnteresseerden in de relevante cloud-objecten, kunnen direct Clouddiensten Beleid, Clouddiensten Uitvoering en Clouddiensten Control raadplegen. Informatiebeveiligers en architecten, die meer achtergrond willen hebben over de gekozen cloud-objecten, worden geadviseerd om de bijlagen te raadplegen. Tenslotte is de schrijfgroep bereid om waar mogelijk aanvullende informatie of toelichting te verschaffen.