Clouddiensten Control

Uit NORA Online
ISOR:BIO Thema Clouddiensten Control
Ga naar: navigatie, zoeken
”Dit plaatje duidt aan dat de pagina's met betrekking tot deze BIO Thema-uitwerking in bewerking zijn”
Deze BIO Thema-uitwerking is in onderhoud
Een of meer pagina's van de BIO Thema-uitwerking Cloudiensten gaan binnenkort in onderhoud. Dit is herkenbaar aan de status Concept.
Versie 2.0 van deze BIO Thema-uitwerking van 1 juni 2021 wordt vervangen door versie 2.1 van 29 oktober 2021.

Let op! Versie 2.1 in pdf-formaat wordt pas op de website BIO-overheid/producten gepubliceerd, na de volledige invoer van alle updates van de BIO Thema-uitwerkingen in de ISOR.
Deze informatie is onderdeel van BIO Thema-uitwerking Clouddiensten.

Meer lezen

BIO Thema-uitwerking Clouddiensten
Alle normenkaders
Beveiligingsaspecten
Invalshoeken
ISOR (Information Security Object Repository)

De onderwerpen die voor clouddiensten specifiek binnen het control-aspect een rol spelen, zijn in onderstaande afbeelding weergegeven. Is een objectblok blauw gekleurd, dan komt de bijbehorende control voor in de BIO. Betreft het een wit gemarkeerd objectblok, dan heeft de BIO geen control gedefinieerd, maar is dit object wel noodzakelijk voor dit thema.

”Beveiligingsobjecten uitgewerkt voor het Control domein ingedeeld naar IFGS invalshoeken”
Overzicht clouddienstenobjecten in het control-domein


Risico[bewerken]

Bij het ontbreken van de noodzakelijke maatregelen binnen de CSP is het niet zeker of de ontwikkeling en het onderhoud van de IT-componenten aan de beoogde organisatorische en beveiligingsvoorwaarden voldoet en dat de governance van de clouddiensten toereikend is ingericht. Ook kan niet worden vastgesteld of de gewenste maatregelen worden nageleefd.

Doelstelling[bewerken]

Het doel van het control-domein is om vast te stellen in hoeverre:

  • controls voldoende zijn ingericht en functioneren om de beoogde beschikbaarheid, integriteit en vertrouwelijkheid van de clouddiensten te garanderen;
  • infrastructurele diensten, functioneel en technisch, op het afgesproken niveau worden gehouden.

Principes uit de BIO Thema Clouddiensten binnen dit aspect[bewerken]

IDPrincipeCriterium
CLD_C.01Servicemanagementbeleid en evaluatierichtlijnenDe CSP heeft voor clouddiensten een servicemanagementbeleid geformuleerd met daarin richtlijnen voor de beheersingsprocessen, controleactiviteiten en rapportages.
CLD_C.02Risico-controlRisicomanagement en het risico-assessmentproces behoren continu te worden gemonitord en gereviewd en zo nodig te worden verbeterd.
CLD_C.03Compliance en assuranceDe CSP behoort regelmatig de naleving van de cloud-beveiligingsovereenkomsten op compliancy te beoordelen, jaarlijks een assurance-verklaring aan de CSC uit te brengen en te zorgen voor onderlinge aansluiting van de resultaten uit deze twee exercities.
CLD_C.04Technische kwetsbaarhedenbeheer clouddienstenInformatie over technische kwetsbaarheden van gebruikte informatiesystemen behoort tijdig te worden verkregen; de blootstelling aan dergelijke kwetsbaarheden dienen te worden geëvalueerd en passende maatregelen dienen te worden genomen om het risico dat ermee samenhangt aan te pakken.
CLD_C.05Security MonitoringDe performance van de informatiebeveiliging van de cloud-omgeving behoort regelmatig te worden gemonitord en hierover behoort tijdig te worden gerapporteerd aan de verschillende stakeholders.
CLD_C.06Beheerorganisatie clouddienstenDe CSP heeft een beheersorganisatie ingericht waarin de processtructuur en de taken, verantwoordelijkheden en bevoegdheden van de betrokken functionarissen zijn vastgesteld.

Normen uit de BIO Thema Clouddiensten binnen dit aspect[bewerken]

IDStellingNorm
CLD_C.01.01De CSP beschikt voor clouddiensten over richtlijnen voor de inrichting van de service-managementorganisatie.Beschikken over richtlijnen voor inrichting van service-management-organisatie
CLD_C.01.02De CSP heeft relevante beheerprocessen beschreven en effectief ingericht conform een vastgestelde cyclus, waaronder: registratie, statusmeting, monitoring, analyse, rapportage en evaluatie.Beschrijven en inrichten relevante beheerprocessen
CLD_C.01.03De CSP beschikt voor clouddiensten over richtlijnen voor het:
  • uitvoeren van controle-activiteiten, waaronder penetratie- en kwetsbaarheidstesten;
  • evalueren van en rapporteren over de performance, conformance en leveringsprestaties.
Richtlijnen voor uitvoeren controle-activiteiten en evalueren van en rapporteren over prestaties
CLD_C.02.01De CSP verifieert regelmatig de criteria die gebruikt worden om de risico’s te meten en om vast te stellen of ze steeds consistent zijn met de organisatiedoelstellingen, de strategie, het beleid en/of de context van de organisatie steeds in beschouwing worden genomen.Verifiëren van criteria voor risicometing en vaststelling consistentie van criteria
CLD_C.02.02Vastgestelde risico’s dienen in relatie met de factoren: waarde van de assets, dreigingen, zwakheden, kans op voorkomen en impact te worden gemonitord en geëvalueerd, om een compleet risicobeeld te behouden en tijdig veranderingen vast te (kunnen) stellen.Monitoren en evalueren risico’s voor behouden risicobeeld en tijdige vaststelling van veranderingen
CLD_C.02.03De CSP zal voor het monitoren van risico’s zich continu richten op:
  • nieuwe assets die deel behoren uit te maken van het toepassingsgebied van een risico-assessment;
  • veranderingen in de waarde van assets;
  • de mogelijkheid dat nieuwe of toegenomen zwakheden kunnen leiden tot dreigingen;
  • de mogelijkheid dat eerder vastgestelde zwakheden aan nieuwe dreigingen blootstaan;
  • toegenomen impact of consequenties van de beoordeelde risico’s en zwakheden resulterend in een onacceptabel risiconiveau;
  • informatiebeveiligingsincidenten.
  • Richten op diverse zaken met betrekking tot monitoren van risico
    CLD_C.02.04De CSP voert regelmatig de monitoringsactiviteiten uit en mitigeert de vastgestelde risico’s.Uitvoeren monitoringsactiviteiten en mitigeren risico’s
    CLD_C.02.05Bij het monitoren en reviewen worden onder andere de volgende elementen geadresseerd:
  • wet- en regelgeving en organisatorische/technische context;
  • risico-assessmentaanpak;
  • waarde assets en categorieën;
  • risico-evaluatiecriteria;
  • risico-acceptatiecriteria.
  • Adresseren diverse elementen bij monitoring en reviewen
    CLD_C.03.01Voor de governance van de clouddienstverlening aan de CSC heeft de CSP een compliance-proces ingericht, waarmee continue compliance op wet- en regelgeving en het overeengekomen cloud-beveiligingsbeleid vorm wordt gegeven.Inrichten compliance-proces voor governance van clouddienstverlening
    CLD_C.03.02De CSP registreert de regulier uitgebrachte prestatie-, beveiligings- en compliance-rapportages in een administratie.Registreren reguliere rapportages in administratie
    CLD_C.03.03Het compliance-proces is bij voorkeur aangesloten op een informatiebeveiligingsmanagementsysteem.Aansluiten compliance-proces op ISMS
    CLD_C.03.04De CSP laat jaarlijks door een derde partij een onderzoek (audit) uitvoeren op de inrichting en beheersing van de gecontracteerde clouddiensten.Uit laten voeren onderzoek op inrichting en beheersing van clouddiensten
    CLD_C.03.05Bij de assessment wordt door de derde partij zowel de cloud-omgeving als de administratie betrokken.Betrekken cloud-omgeving en administratie bij assessment
    CLD_C.03.06De CSP zorgt ervoor dat de uitkomsten uit de jaarlijkse assurance- rapportage (Third Party Mededeling (TPM)), de uitkomsten van de periodieke servicerapportages en de uitkomsten uit de continue compliance op het cloud-beveiligingsbeleid op elkaar aansluiten.Aansluiten uitkomsten uit diverse rapportages e.d.
    CLD_C.04.01De CSP stelt de CSC informatie beschikbaar over het beheer van de technische kwetsbaarheden die de clouddiensten kunnen beïnvloeden.Beschikbaar stellen informatie over beheer van technische kwetsbaarheden
    CLD_C.04.02De CSP heeft de rollen en verantwoordelijkheden in relatie tot het beheersen van technische kwetsbaarheden, waaronder coördineren, monitoren, beoordelen van risico’s en mitigeren van kwetsbaarheden, gedefinieerd en vastgesteld.Definiëren en vaststellen rollen en verantwoordelijkheden
    CLD_C.04.03Als de kans op misbruik en de verwachte schade beiden hoog zijn (NCSC classificatie kwetsbaarheidswaarschuwingen), worden patches zo snel mogelijk, maar uiterlijk binnen een week geïnstalleerd. In de tussentijd worden op basis van een expliciete risicoafweging mitigerende maatregelen getroffen.Installeren patches en treffen mitigerende maatregelen
    CLD_C.04.04Het tijdspad waarbinnen gereageerd moet worden op de aankondigingen van potentieel relevante kwetsbaarheden is gedefinieerd.Definiëren tijdspad waarbinnen gereageerd moet worden op aankondiging kwetsbaarheid
    CLD_C.04.05Periodiek worden penetratietests op de ICT-componenten uitgevoerd om zwakheden te identificeren.Uitvoeren penetratietests op ICT-componenten
    CLD_C.04.06Technische zwakheden kunnen worden verholpen door het tijdig uitvoeren van patchmanagement, wat inhoud:
  • het identificeren, registreren en verwerven van patches;
  • de besluitvorming rond het inzetten van patches;
  • het testen van patches;
  • het uitvoeren van patches;
  • het registreren van doorgevoerde patches.
  • Verhelpen technische zwakheden door patchmanagement
    CLD_C.04.07De evaluaties van de technische kwetsbaarheden worden geregistreerd en gerapporteerd.Registreren en rapporteren evaluaties van technische kwetsbaarheden
    CLD_C.04.08De evaluatierapportages bevatten verbeteringsvoorstellen en worden gecommuniceerd met de verantwoordelijken/eigenaren van de ICT-componenten waarin kwetsbaarheden en zwakheden gevonden zijn.Communiceren verbeteringsvoorstellen uit evaluatierapportages en communiceren met de verantwoordelijken
    CLD_C.05.01Richtlijnen en afspraken voor het monitoren en rapporteren over informatiebeveiliging van de cloud-omgeving zijn vastgesteld en worden toegepast.Vaststellen en toepassen richtlijnen en afspraken voor monitoren en rapporteren
    CLD_C.05.02Het monitoren en rapporteren over de informatiebeveiliging zijn gerelateerd aan:
  • de geformuleerde strategische- en bedrijfsdoelen;
  • de risico’s die het bereiken van de strategische doelen kunnen beïnvloeden;
  • de beveiligingsincidenten, zoals cybersecurity-aanvallen.
  • Monitoren en rapporteren over informatiebeveiliging is gerelateerd doelen, risico en beveiligingsincidenten
    CLD_C.05.03Het monitoren van informatiebeveiliging en rapportages vindt plaats met:
  • het verzamelen van informatie uit interne en externe bronnen;
  • het inzicht door verzamelde informatie uit de combinatie van Key Performance Indicators (KPI’s) en Key Risk Indicators (KRI’s).
  • Monitoren informatiebeveiliging en rapportages op basis van verzamelde informatie en inzicht
    CLD_C.05.04De informatiebeveiligingsrapportages worden in samenhang met rapportages uit andere beheerdisciplines (compliance en assurance-management en vulnerability-management) geanalyseerd.Analyseren informatiebeveiligingsrapportages in samenhang
    CLD_C.05.05Aantoonbaar wordt opvolging gegeven aan de verbetervoorstellen uit de analyserapportages.Opvolgen verbeteringsvoorstellen uit analyse-rapportages
    CLD_C.05.06De beveiligingsplannen worden periodiek geactualiseerd en toegewezen aan de hiervoor verantwoordelijke functionarissen.Actualiseren beveiligingsplannen en toewijzen aan verantwoordelijken
    CLD_C.06.01De samenhang van de processen wordt in een processtructuur vastgelegd.Vastleggen samenhang van processen in processtructuur
    CLD_C.06.02De CSP heeft de taken en verantwoordelijkheden voor de uitvoering van de beheer(s)werkzaamheden beschreven en de bijbehorende bevoegdheden vastgelegd in een autorisatiematrix.Beschrijven taken, verantwoordelijkheden en bevoegdheden voor uitvoeren beheer(s)werkzaamheden
    CLD_C.06.03De belangrijkste functionarissen (stakeholders) voor de beheersingsorganisatie zijn benoemd en de onderlinge relaties zijn met een organisatieschema inzichtelijk gemaakt.Benoemen functionarissen voor beheersingsorganisatie en inzichtelijk maken onderlinge relaties