Clouddiensten Control

Uit NORA Online
ISOR:BIO Thema Clouddiensten Control
Ga naar: navigatie, zoeken
Deze informatie is onderdeel van BIO Thema Clouddiensten.

Meer lezen

BIO Thema Clouddiensten
Alle normenkaders
Beveiligingsaspecten
Invalshoeken
ISOR

De onderwerpen die voor clouddiensten specifiek binnen het control-aspect een rol spelen, zijn in onderstaande afbeelding weergegeven.

”Beveiligingsobjecten uitgewerkt voor het Control domein ingedeeld naar IFGS invalshoeken”
Beveiligingsobjecten uitgewerkt voor het Control domein ingedeeld naar IFGS invalshoeken


Risico

Bij het ontbreken van de noodzakelijke maatregelen binnen de CSP is het niet zeker of de ontwikkeling en het onderhoud van de IT-componenten aan de beoogde organisatorische en beveiligingsvoorwaarden voldoet en dat de governance van de clouddiensten toereikend is ingericht. Ook kan niet worden vastgesteld of de gewenste maatregelen worden nageleefd.

Doelstelling

Het doel van het control-aspect is om vast te stellen in hoeverre:

  • criteria voldoende zijn ingericht en functioneren om de beoogde beschikbaarheid, integriteit en vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen van de clouddiensten te garanderen;
  • infrastructurele diensten functioneel en technisch op het afgesproken niveau worden gehouden.

Dit houdt onder meer in, dat binnen de CSP een adequate beheerorganisatie heeft ingericht, waarin de beheerprocessen zijn vormgegeven.

Principes uit de BIO Thema Clouddiensten binnen dit aspect

IDprincipeCriterium
Cloud_C.01Service-managementbeleid en evaluatie richtlijnenDe CSP heeft voor de clouddiensten een service-managementbeleid geformuleerd met daarin richtlijnen voor de beheersingsprocessen, controle-activiteiten en rapportages.
Cloud_C.02Risico-controlHet risicomanagement- en het risico-assessmentproces behoren continu te worden gemonitord en gereviewd en zo nodig te worden verbeterd.
Cloud_C.03Compliance en assuranceDe CSP behoort regelmatig de naleving van de cloudbeveiligingsovereenkomsten op compliancy te beoordelen, jaarlijks een assurance-verklaring aan de CSC uit te brengen en ervoor te zorgen voor onderlinge aansluiting van de resultaten uit deze twee exercities.
Cloud_C.04Technische kwetsbaarhedenbeheerInformatieBetekenisvolle gegevens. over technische kwetsbaarheden van gebruikte informatiesystemen behoort tijdig te worden verkregen; de blootstelling aan dergelijke kwetsbaarheden moet worden geëvalueerd en passende maatregelen moeten worden genomen om het risico dat ermee samenhangt aan te pakken.
Cloud_C.05Security-monitoringDe performance van de informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. van de cloud-omgeving behoort regelmatig te worden gemonitord en hierover behoort tijdig te worden gerapporteerd aan de verschillende stakeholders.
Cloud_C.06Beheerorganisatie clouddienstenDe CSP heeft een beheersingsorganisatie ingericht waarin de processtructuur en de taken, verantwoordelijkheden en bevoegdheden (TVB) van de betrokken functionarissen zijn vastgesteld.

Normen uit de BIO Thema Clouddiensten binnen dit aspect

IDStellingNorm
Cloud_C.01.01De CSP beschikt voor de clouddiensten over richtlijnen voor de inrichting van de service-management-organisatie.Beschikken over richtlijnen voor inrichting van service-management-organisatie
Cloud_C.01.02De CSP heeft relevante beheerprocessen beschreven en effectief ingericht conform een vastgestelde cyclus, waaronder: registratie, statusmeting, monitoring, analyse, rapportage en evaluatie.Beschrijven en inrichten relevante beheerprocessen
Cloud_C.01.03De CSP beschikt ten aanzien van clouddiensten over richtlijnen voor het:
  • uitvoeren van controle-activiteiten, waaronder penetratietests en kwetsbaarheid testen;
  • evalueren van en rapporteren over de performance, conformance en leveringsprestaties.
Richtlijnen voor uitvoeren controle-activiteiten en evalueren van en rapporteren over prestaties
Cloud_C.02.01De CSP verifieert regelmatig de criteria die gebruikt worden om de risico te meten en om vast te stellen of ze steeds consistent zijn met organisatiedoelstellingen, de strategie, het beleid en/of de context van de organisatie steeds in beschouwing worden genomen.Verifiëren van criteria voor risicometing en vaststelling consistentie van criteria
Cloud_C.02.02De vastgesteld risico’s worden in relatie met de factoren: waarde van de assets, dreigingen, zwakheden, kans op voorkomen en impact, te worden gemonitord en geëvalueerd, om een complete risico beeld te behouden en tijdig veranderingen vast te (kunnen) stellen.Monitoren en evalueren risico’s voor behouden risicobeeld en tijdige vaststelling van veranderingen
Cloud_C.02.03De CSP zal, met betrekking tot het monitoren van risico, zich continu richten op:
  • nieuwe assets die deel behoren uit te maken van de scope van risico-assessment;
  • veranderingen in de waarde van assets;
  • de mogelijkheid dat nieuwe of toegenomen zwakheden kunnen leiden tot dreigingen;
  • de mogelijkheid dat eerder vastgestelde zwakheden aan nieuwe dreigingen blootstaan;
  • toegenomen impact of consequenties van de beoordeelde risico’s en zwakheden resulterend in een onacceptabel risiconiveau;
  • informatiebeveiligingsincidenten.
  • Richten op diverse zaken met betrekking tot monitoren van risico
    Cloud_C.02.04De CSP voert regelmatig de monitoringsactiviteiten uit en mitigeert de vastgestelde risico’s.Uitvoeren monitoringsactiviteiten en mitigeren risico’s
    Cloud_C.02.05Bij het monitoring en reviewen worden onder andere de volgende elementen geadresseerd:
  • wet- en regelgeving en organisatorische/technische context;
  • risico-assessmentaanpak;
  • waarde assets en categorieën;
  • risico-evaluatie-criteria;
  • risico-acceptatie-criteria.
  • Adresseren diverse elementen bij monitoring en reviewen
    Cloud_C.03.01Ten behoeve van de governance van de clouddienstverlening aan de CSC heeft de CSP een compliance-proces ingericht, op basis waarvan de continue compliance op wet- en regelgeving en het overeengekomen cloudbeveiligingsbeleid vorm wordt gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat.Inrichten compliance-proces voor governance van clouddienstverlening
    Cloud_C.03.02De CSP registreert de regulier uitgebrachte prestatie-, beveiligings- en compliance-rapportages in een administratie.Registreren reguliere rapportages in administratie
    Cloud_C.03.03Het compliance-proces is bij voorkeur aangesloten op een Information Security Management System (ISMS).Aansluiten compliance-proces op ISMS
    Cloud_C.03.04De CSP laat jaarlijks door een derde partij een onderzoek (audit) uitvoeren op de inrichting en beheersing van de gecontacteerde clouddiensten.Uit laten voeren onderzoek op inrichting en beheersing van clouddiensten
    Cloud_C.03.05Bij de assessment wordt door de derde partij zowel de cloud-omgeving als de administratie betrokken.Betrekken cloud-omgeving en administratie bij assessment
    Cloud_C.03.06De CSP zorgt ervoor dat de uitkomsten uit de jaarlijkse assurance-rapportage (TPM), de uitkomsten van de periodieke servicerapportages, en de uitkomsten uit de continue compliance op het cloudbeveiligingsbeleid op elkaar aansluiten.Aansluiten uitkomsten uit diverse rapportages e.d.
    Cloud_C.04.01De CSP stelt de CSC informatie beschikbaar over het beheer van de technische kwetsbaarheden die de clouddiensten kunnen beïnvloeden.Beschikbaar stellen informatie over beheer van technische kwetsbaarheden
    Cloud_C.04.02De CSP heeft de rollen en verantwoordelijkheden in relatie tot het beheersen van technische kwetsbaarheden, waaronder coördineren, monitoren, beoordelen van risico’s en mitigeren van kwetsbaarheden, gedefinieerd en vastgesteld.Definiëren en vaststellen rollen en verantwoordelijkheden
    Cloud_C.04.03Als de kans op misbruik en de verwachte schade beiden hoog zijn (NCSC classificatie kwetsbaarheidswaarschuwingen), worden patches zo snel mogelijk, maar uiterlijk binnen een week geïnstalleerd. In de tussentijd worden op basis van een expliciete risicoafweging mitigerende maatregelen getroffen.Installeren patches en treffen mitigerende maatregelen
    Cloud_C.04.04Het tijdspad, waarbinnen gereageerd moet worden op de aankondigingen van potentieel relevante kwetsbaarheden, is gedefinieerd.Definiëren tijdspad waarbinnen gereageerd moet worden op aankondiging kwetsbaarheid
    Cloud_C.04.05Periodiek worden penetratietests op de ICT-componenten uitgevoerd om zwakheden te identificeren.Uitvoeren penetratietests op ICT-componenten
    Cloud_C.04.06Technische zwakheden kunnen worden verholpen door het tijdig uitvoeren van patchmanagement, wat inhoud:
  • het identificeren, registreren en verwerven van patches;
  •  de besluitvorming rond het inzetten van patches;
  • het testen van patches;
  • het uitvoeren van patches;
  • het registreren van doorgevoerde patches.
  • Verhelpen technische zwakheden door patchmanagement
    Cloud_C.04.07De evaluaties van de technische kwetsbaarheden worden geregistreerd en gerapporteerd.Registreren en rapporteren evaluaties van technische kwetsbaarheden
    Cloud_C.04.08De evaluatierapportages bevatten verbeteringsvoorstellen en worden gecommuniceerd met de verantwoordelijken/eigenaren van de ICT-componenten waarin kwetsbaarheden en zwakheden gevonden zijn.Communiceren verbeteringsvoorstellen uit evaluatierapportages en communiceren met de verantwoordelijken
    Cloud_C.05.01Richtlijnen en afspraken voor het monitoren en rapporteren over informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. van de cloud-omgeving zijn vastgesteld en worden toegepast.Vaststellen en toepassen richtlijnen en afspraken voor monitoren en rapporteren
    Cloud_C.05.02Het monitoren en rapporteren over de informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. is gerelateerd aan:
  • de geformuleerde strategische en bedrijfsdoelen;
  • de risico’s die het bereiken van de strategische doelen kunnen beïnvloeden;
  • de beveiligingsincidenten, zoals cybersecurity-aanvallen.
  • Monitoren en rapporteren over informatiebeveiliging is gerelateerd doelen, risico en beveiligingsincidenten
    Cloud_C.05.03Het monitoren van informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. en rapportages vindt plaats op basis van:
  • het verzamelen van informatie uit interne en externe bronnen;
  • inzicht op basis van verzamelde informatie uit de combinatie van Key Performance Indicatoren (KPI) en Key Risk Indicatoren (KRI).
  • Monitoren informatiebeveiliging en rapportages op basis van verzamelde informatie en inzicht
    Cloud_C.05.04De informatiebeveiligingsrapportages worden in samenhang met rapportages uit andere beheerdisciplines (compliance en assurance management, en vulnerability management) geanalyseerd.Analyseren informatiebeveiligingsrapportages in samenhang
    Cloud_C.05.05Aantoonbaar wordt opvolging gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat aan de verbeteringsvoorstellen uit de analyse-rapportages.Opvolgen verbeteringsvoorstellen uit analyse-rapportages
    Cloud_C.05.06De beveiligingsplannen worden periodiek geactualiseerd en toegewezen aan hiervoor verantwoordelijke functionarissen.Actualiseren beveiligingsplannen en toewijzen aan verantwoordelijken
    Cloud_C.06.01De samenhang van de processen wordt in een processtructuur vastgelegd.Vastleggen samenhang van processen in processtructuur
    Cloud_C.06.02De CSP heeft de taken en verantwoordelijkheden voor de uitvoering van de beheer(s)werkzaamheden beschreven en de bijbehorende bevoegdheden vastgelegd in een autorisatiematrix.Beschrijven taken, verantwoordelijkheden en bevoegdheden voor uitvoeren beheer(s)werkzaamheden
    Cloud_C.06.03De belangrijkste functionarissen (stakeholders) voor de beheersingsorganisatie zijn benoemd en de onderlinge relaties zijn met een organisatieschema inzichtelijk gemaakt.Benoemen functionarissen voor beheersingsorganisatie en inzichtelijk maken onderlinge relaties