Cloudbeveiliging richt zich op het beveiligen van infrastructuur en systemen voor cloud computing. Dit beleidsdomein omvat richtlijnen en beste praktijken die cloud computing-omgevingen en de gegevens die worden verwerkt in de cloud, dienen te beschermen. In principe gelden veelal dezelfde regels zoals deze zijn gedefinieerd in de verschillende beleidsdomeinen. Deze zullen in dit beleidsdomein niet worden herhaald. De inhoud op deze pagina richt zich uitsluitend op aanvullende specifieke eisen voor cloud computing, bovenop de bestaande eisen. Daarnaast is er een aanvullende leidraad voor cloud computing met aandachtspunten voor zowel cloudaanbieders als cloudafnemers. Tot slot, dit Dit is geen technische security standaard voor cloud oplossingen. Refereer naar de vendors (Amazon, Microsoft, etc) voor technische configuratie security baselines.

Implementatiemaatregel

De organisatie (de afnemer, de klant) MOET de rollen en verantwoordelijkheden van alle betrokkenen (incl. aanbieder, afnemer en eventueel onderaannemers) in kaart brengen en contractueel vastleggen voor iedere clouddienst.  Het gebruik van clouddiensten MAG gepaard gaan met een gedeelde verantwoordelijkheid voor informatiebeveiliging en samenwerking tussen de aanbieder van de clouddienst en de organisatie die als afnemer van de clouddienst optreedt.

Implementatiemaatregel

De organisatie (de afnemer, de klant) MOET relevante risicobeoordelingen uitvoeren om de informatieveiligheidsrisico's in verband met het gebruik van clouddiensten te identificeren en de organisatie MOET een risicobehandelplan opstellen conform het risicobeheerbeleid. Het eigenaarschap van gegevensverwerking bij clouddiensten ligt bij de organisatie (de afnemer, de klant) en daarmee ook alle bijkomende risico’s.

Implementatiemaatregel

Het risicobeheer van de organisatie (de afnemer, de klant) MOET de specifieke risico’s met betrekking tot het beheer van persoonsgegevens (ivm GDPR/AVG wetgeving) binnen clouddiensten specifiek beoordelen. 

Implementatiemaatregel

De organisatie (de afnemer, de klant) MOET de beveiligingsvereisten en goede praktijken aangegeven die door de clouddienstleveranciers dienen te worden geïmplementeerd en voortdurend gemonitord. 

De organisatie MOET minimaal het volgende definiëren en contractueel vastleggen: 

• Alle relevante en van toepassing zijnde informatiebeveiligingseisen (zoals gedefinieerd in de andere beleidsdomeinen) in verband met het gebruik van de clouddiensten; 

• Selectiecriteria voor clouddiensten en de reikwijdte van het gebruik van clouddiensten; 

• Rollen en verantwoordelijkheden met betrekking tot het gebruik en beheer van clouddiensten; 

• Welke beheersmaatregelen voor informatiebeveiliging door de aanbieder van de clouddienst worden beheerd en welke door de afnemer van de clouddienst; 

• Hoe zekerheid kan worden verkregen over de door aanbieders van clouddiensten geïmplementeerde beheersmaatregelen voor informatiebeveiliging (= auditrecht); 

• Hoe beheersmaatregelen, interfaces en wijzigingen aan diensten behoren te worden beheerd wanneer een organisatie gebruikmaakt van meerdere clouddiensten, met name van verschillende aanbieders van clouddiensten; 

• Procedures voor het omgaan met informatiebeveiligingsincidenten die zich voordoen met betrekking tot het gebruik van clouddiensten; 

• De aanpak voor het monitoren, beoordelen en evalueren van het doorlopend gebruik van clouddiensten om informatiebeveiligingsrisico's te beheren; 

• Hoe het gebruik van clouddiensten kan worden gewijzigd of beëindigd, met inbegrip van exit strategieën. 

Implementatiemaatregel

De organisatie MOET ‘vendor lock-in’ voorkomen door voor de producten van iedere cloud leverancier een uitfaseer strategie te definiëren en periodiek te evalueren op dit principe.

Implementatiemaatregel

Wanneer de clouddienst aanbieder backup functionaliteiten aanbiedt MOETEN de volgende aspecten beschikbaar zijn voor de organisatie: 

• Scope en planning voor de backups; 

• Backup methodieken en data formats, inclusief encryptie wanneer relevant; 

• Retentie periodes voor backups; 

• Procedures en tijdslijnen voor het herstellen van data; 

• Opslag locatie voor backups. 

Implementatiemaatregel

De overeenkomst tussen de organisatie (de afnemer, de klant) en de aanbieder van een clouddienst MOET minimaal de volgende bepalingen bevatten voor de bescherming van de gegevens van de organisatie en de beschikbaarheid van diensten:

• Het leveren van oplossingen op basis van door de industrie aanvaarde normen voor architectuur en infrastructuur; 

• Het beheren van toegangsbeveiligingsmaatregelen van de clouddienst conform de eisen van de organisatie; 

• Het implementeren van oplossingen voor het monitoren van en beschermen tegen malware; 

• Het verwerken en opslaan van gevoelige informatie van de organisatie op goedgekeurde locaties (bijv. een bepaald land of bepaalde regio) of binnen een bepaald rechtsgebied of krachtens een bepaalde rechtsbevoegdheid; 

• Het bieden van gerichte steun indien er zich een informatiebeveiligingsincident voordoet in de cloudomgeving; 

• Het bewerkstelligen dat aan de informatiebeveiligingseisen van de organisatie wordt voldaan indien clouddiensten verder worden uitbesteed aan een externe leverancier (of verbieden dat clouddiensten worden uitbesteed); 

• De eisen voor netwerksegregatie vanuit de organisatie; 

• Het ondersteunen van de organisatie bij het verzamelen van digitaal bewijsmateriaal, met inachtneming van wet- en regelgeving inzake digital bewijsmateriaal in verschillende rechtsgebieden; 

• Het voorzien in passende ondersteuning en beschikbaarheid van diensten gedurende een passend tijdsbestek wanneer de organisatie niet langer gebruik wil maken van de clouddienst; 

• Het voorzien in de vereiste back-ups van gegevens en configuratie-informatie en het veilig beheren van back-ups voor zover van toepassing, op basis van de capaciteiten van de leverancier van de clouddienst die wordt ingezet door de organisatie in haar rol als afnemer van de clouddienst; 

• Het verstrekken en retourneren van informatie zoals configuratiebestanden, broncode en gegevens die eigendom zijn van de organisatie in haar rol van afnemer van de clouddienst op verzoek of bij beëindiging van de dienst; 

• Maatregelen die veilige verwijdering (secure disposal) van data en middelen garanderen;

• Notificatie procedures bij datalekken. 

Implementatiemaatregel

De organisatie (de afnemer, de klant) MOET de overeenkomsten (contracten) met de aanbieder van clouddiensten minimaal één keer per jaar evalueren.

Implementatiemaatregel

De organisatie (de afnemer, de klant) van de clouddienst MOET door de aanbieder van de clouddienst op voorhand op de hoogte gesteld worden van toekomstige wezenlijke wijzigingen aan hoe diensten worden geleverd, waaronder:

• Wijzigingen aan de technische infrastructuur (bijv. verhuizing, herconfiguratie of wijzigingen in hardware of software) die van invloed zijn op, of tot veranderingen leiden in, de aangeboden clouddienst; 

• Het verwerken of opslaan van informatie in een nieuw geografisch of juridisch rechtsgebied; 

• Het gebruik van collega-aanbieders van clouddiensten of andere onderaannemers (met inbegrip van het wijzigen van bestande of het gebruik van nieuwe partijen). 

Implementatiemaatregel

De organisatie (de afnemer, de klant) die clouddiensten gebruikt MOET nauw contact onderhouden met haar aanbieders van de clouddiensten. Deze contacten MOETEN wederzijdse uitwisseling van informatie over informatiebeveiliging mogelijk maken, met inbegrip van een mechanisme voor zowel de aanbieder als de organisatie om elk kenmerk van de diensten te monitoren en tekortkomingen ten opzichte van de in de overeenkomsten opgenomen verbintenissen te melden.

Document status (Metadata)

Onderstaande gegevens worden gebruikt voor rapporteringsdoeleinden in documentregister

status opties: