DOELSTELLINGENHet beleid draagt bij tot de realisatie van volgende informatieveiligheidsdoelstellingen van de organisatie: Filter by labelThere are no items with the selected labels at this time. |
DREIGINGENHet beleid draagt bij om de volgende dreigingen te verminderen of te voorkomen: |
Rollen en verantwoordelijkheden
Implementatiemaatregel
De organisatie (de afnemer, de klant) MOET de rollen en verantwoordelijkheden van alle betrokkenen (incl. aanbieder, afnemer en eventueel onderaannemers) in kaart brengen en contractueel vastleggen voor iedere clouddienst. Het gebruik van clouddiensten MAG gepaard gaan met een gedeelde verantwoordelijkheid voor informatiebeveiliging en samenwerking tussen de aanbieder van de clouddienst en de organisatie die als afnemer van de clouddienst optreedt.
Afhankelijk van de gekozen cloud variant worden verantwoordelijkheden doorgaans op de volgende manieren verdeeld:
Infrastructure as a Service (IaaS):
Verantwoordelijkheid van de aanbieder: Beveiliging van de cloudinfrastructuur, zoals fysieke beveiliging van datacenters, netwerkbeveiliging en virtualisatiebeveiliging.
Verantwoordelijkheid van de afnemer: Beveiliging van besturingssystemen, applicaties, gegevens, toegangscontrole, firewall-configuratie, encryptie en beveiligingspatches.
Platform as a Service (PaaS):
Verantwoordelijkheid van de aanbieder: Beveiliging van de platforminfrastructuur, inclusief beveiliging van het besturingssysteem, databases, middleware en ontwikkeltools.
Verantwoordelijkheid van de afnemer: Beveiliging van de ontwikkelde applicaties, configuratie van toegangscontroles, encryptie van gegevens (DIM, DAR) en bescherming tegen aanvallen zoals bijvoorbeeld SQL-injecties en cross-site scripting (XSS).
Software as a Service (SaaS):
Verantwoordelijkheid van de aanbieder: Volledige verantwoordelijkheid voor de beveiliging van de applicatie-infrastructuur, inclusief gegevensbeveiliging, toegangscontrole, authenticatie, autorisatie, encryptie en naleving van regelgeving.
Verantwoordelijkheid van de afnemer: Beheer van gebruikerstoegang en -rechten binnen de applicatie, configuratie van beveiligingsinstellingen zoals wachtwoordbeleid en multifactorauthenticatie (MFA), en naleving van regelgeving met betrekking tot gegevens die worden verwerkt in de SaaS-applicatie.
Risicobeheer
Implementatiemaatregel
De organisatie (de afnemer, de klant) MOET relevante risicobeoordelingen uitvoeren om de informatieveiligheidsrisico's in verband met het gebruik van clouddiensten te identificeren en de organisatie MOET een risicobehandelplan opstellen conform het risicobeheerbeleid. Het eigenaarschap van gegevensverwerking bij clouddiensten ligt bij de organisatie (de afnemer, de klant) en daarmee ook alle bijkomende risico’s.
Implementatiemaatregel
Het risicobeheer van de organisatie (de afnemer, de klant) MOET de specifieke risico’s met betrekking tot het beheer van persoonsgegevens (ivm GDPR/AVG wetgeving) binnen clouddiensten specifiek beoordelen.
Beveiligingseisen
Implementatiemaatregel
De organisatie (de afnemer, de klant) MOET de beveiligingsvereisten en goede praktijken aangegeven die door de clouddienstleveranciers dienen te worden geïmplementeerd en voortdurend gemonitord.
De organisatie MOET minimaal het volgende definiëren en contractueel vastleggen:
Alle relevante en van toepassing zijnde informatiebeveiligingseisen (zoals gedefinieerd in de andere beleidsdomeinen) in verband met het gebruik van de clouddiensten;
Selectiecriteria voor clouddiensten en de reikwijdte van het gebruik van clouddiensten;
Rollen en verantwoordelijkheden met betrekking tot het gebruik en beheer van clouddiensten;
Welke beheersmaatregelen voor informatiebeveiliging door de aanbieder van de clouddienst worden beheerd en welke door de afnemer van de clouddienst;
Hoe zekerheid kan worden verkregen over de door aanbieders van clouddiensten geïmplementeerde beheersmaatregelen voor informatiebeveiliging (= auditrecht);
Hoe beheersmaatregelen, interfaces en wijzigingen aan diensten behoren te worden beheerd wanneer een organisatie gebruikmaakt van meerdere clouddiensten, met name van verschillende aanbieders van clouddiensten;
Procedures voor het omgaan met informatiebeveiligingsincidenten die zich voordoen met betrekking tot het gebruik van clouddiensten;
De aanpak voor het monitoren, beoordelen en evalueren van het doorlopend gebruik van clouddiensten om informatiebeveiligingsrisico's te beheren;
Hoe het gebruik van clouddiensten kan worden gewijzigd of beëindigd, met inbegrip van exit strategieën.
Implementatiemaatregel
De organisatie MOET ‘vendor lock-in’ voorkomen door voor de producten van iedere cloud leverancier een uitfaseer strategie te definiëren en periodiek te evalueren op dit principe.
Bij grote contracten is het soms moeilijk om ‘vendor lock-in’ te voorkomen omdat de contracten in kwestie een groot deel van de infrastructuur overspannen en er daarom enorme kosten en inspanningen nodig zijn om te wisselen tussen aanbieders. In dat soort gevallen is het belangrijk om een strategie om weg te migreren te onderhouden en de aanbieder voldoende te auditeren om eventuele risico’s op tijd te signaleren. Wanneer het mogelijk is dienen ook terugval mogelijkheden onderhouden worden; in ieder geval voor de meer kritische diensten van de organisatie.
Implementatiemaatregel
Wanneer de clouddienst aanbieder backup functionaliteiten aanbiedt MOETEN de volgende aspecten beschikbaar zijn voor de organisatie:
Scope en planning voor de backups;
Backup methodieken en data formats, inclusief encryptie wanneer relevant;
Retentie periodes voor backups;
Procedures en tijdslijnen voor het herstellen van data;
Opslag locatie voor backups.
Leveranciersovereenkomsten
Zie het beleidsdomein Leveranciersrelaties voor meer details over het afsluiten van een afsprakenkader met leveranciers.
Implementatiemaatregel
De overeenkomst tussen de organisatie (de afnemer, de klant) en de aanbieder van een clouddienst MOET minimaal de volgende bepalingen bevatten voor de bescherming van de gegevens van de organisatie en de beschikbaarheid van diensten:
Het leveren van oplossingen op basis van door de industrie aanvaarde normen voor architectuur en infrastructuur;
Het beheren van toegangsbeveiligingsmaatregelen van de clouddienst conform de eisen van de organisatie;
Het implementeren van oplossingen voor het monitoren van en beschermen tegen malware;
Het verwerken en opslaan van gevoelige informatie van de organisatie op goedgekeurde locaties (bijv. een bepaald land of bepaalde regio) of binnen een bepaald rechtsgebied of krachtens een bepaalde rechtsbevoegdheid;
Het bieden van gerichte steun indien er zich een informatiebeveiligingsincident voordoet in de cloudomgeving;
Het bewerkstelligen dat aan de informatiebeveiligingseisen van de organisatie wordt voldaan indien clouddiensten verder worden uitbesteed aan een externe leverancier (of verbieden dat clouddiensten worden uitbesteed);
De eisen voor netwerksegregatie vanuit de organisatie;
Het ondersteunen van de organisatie bij het verzamelen van digitaal bewijsmateriaal, met inachtneming van wet- en regelgeving inzake digital bewijsmateriaal in verschillende rechtsgebieden;
Het voorzien in passende ondersteuning en beschikbaarheid van diensten gedurende een passend tijdsbestek wanneer de organisatie niet langer gebruik wil maken van de clouddienst;
Het voorzien in de vereiste back-ups van gegevens en configuratie-informatie en het veilig beheren van back-ups voor zover van toepassing, op basis van de capaciteiten van de leverancier van de clouddienst die wordt ingezet door de organisatie in haar rol als afnemer van de clouddienst;
Het verstrekken en retourneren van informatie zoals configuratiebestanden, broncode en gegevens die eigendom zijn van de organisatie in haar rol van afnemer van de clouddienst op verzoek of bij beëindiging van de dienst;
Maatregelen die veilige verwijdering (secure disposal) van data en middelen garanderen;
Notificatie procedures bij datalekken.
Implementatiemaatregel
De organisatie (de afnemer, de klant) MOET de overeenkomsten (contracten) met de aanbieder van clouddiensten minimaal één keer per jaar evalueren.
Implementatiemaatregel
De organisatie (de afnemer, de klant) van de clouddienst MOET door de aanbieder van de clouddienst op voorhand op de hoogte gesteld worden van toekomstige wezenlijke wijzigingen aan hoe diensten worden geleverd, waaronder:
Wijzigingen aan de technische infrastructuur (bijv. verhuizing, herconfiguratie of wijzigingen in hardware of software) die van invloed zijn op, of tot veranderingen leiden in, de aangeboden clouddienst;
Het verwerken of opslaan van informatie in een nieuw geografisch of juridisch rechtsgebied;
Het gebruik van collega-aanbieders van clouddiensten of andere onderaannemers (met inbegrip van het wijzigen van bestande of het gebruik van nieuwe partijen).
Implementatiemaatregel
De organisatie (de afnemer, de klant) die clouddiensten gebruikt MOET nauw contact onderhouden met haar aanbieders van de clouddiensten. Deze contacten MOETEN wederzijdse uitwisseling van informatie over informatiebeveiliging mogelijk maken, met inbegrip van een mechanisme voor zowel de aanbieder als de organisatie om elk kenmerk van de diensten te monitoren en tekortkomingen ten opzichte van de in de overeenkomsten opgenomen verbintenissen te melden.
Regelgeving en standaarden (L1)
ISO 27001:2022 (Annex A)
ISO 27017:2021
ISO 27017 is de code of practice voor beheersmaatregelen voor clouddiensten en bevat aanvullende maatregelen bovenop de bestaande ISO 27001 Annex A. Deze aanvullingen op ISO 27001 zijn verwerkt in de Leidraad Cloudbeveiliging.
Informatieclassificatieraamwerk van de Vlaamse overheid (L2)
Het ICR heeft een aanvullende toelichting op het gebruik van virtuele netwerken en cloud computing. Zie voor meer informatie het ICR portaal.
Vlaamse Toezichtcommissie (VTC)
Het VTC heeft enkele adviezen en richtlijnen gepubliceerd over het verwerken van persoonsgegevens in eigen datacenters of die van al dan niet Europese verwerkers. Deze richtlijnen betreffen de (on)mogelijkheden en voorwaarden voor het gebruik van de publieke cloud. Zie voor meer informatie de Cloud pagina op het VTC portaal.
Titel | Auteur | Datum | Versie | Status | Opmerkingen |
---|---|---|---|---|---|
Eerste versie van cloud policy | Bart Breunesse | april 2024 | 0.1 | ||
Kleine verbeteringen en herstructurering van de implementatiemaatregelen. Verwijzingen naar de richtlijnen van het VTC en de aanvullende leidraad gebaseerd op ISO 27017. | Vincent Alwicher | augustus 2024 | 0.2 |