Digitaal Vlaanderen | Team Informatieveiligheid (TIV)
Leidraad Cloudbeveiliging
De volgende tabel levert gedetailleerde informatie over specifieke beheersmaatregelen die overwogen dienen te worden bij het opstellen van de informatiebeveiligingseisen voor cloud computing diensten en het contractueel vastleggen van deze eisen met leveranciers. Hierbij is er onderscheid gemaakt tussen wat de organisatie, in dit geval Digitaal Vlaanderen, zou moeten doen en wat de aanbieder van clouddiensten zou moeten doen. Het is geen harde splitsing en de verdeling van de activiteiten tussen afnemer en aanbieder is contextgevoelig en afhankelijk van de situatie, het type cloudoplossing, de gevoeligheid van de informatie, enz.
Onderwerp | Afnemer | Aanbieder |
Beleidsregels voor informatiebeveiliging | Een informatiebeveiligingsbeleid voor cloud computing moet worden gedefinieerd als een onderwerpspecifiek beleid van de klant (Digitaal Vlaanderen) van de cloudservice. Het informatiebeveiligingsbeleid van de klant van de cloudservice voor cloud computing moet consistent zijn met de aanvaardbare niveaus van informatiebeveiligingsrisico's van de organisatie voor haar informatie en andere assets.
| De aanbieder van clouddiensten moet zijn informatiebeveiligingsbeleid uitbreiden om de levering en het gebruik van zijn clouddiensten aan te pakken, rekening houdend met het volgende:
|
Rollen en verantwoordelijkheden bij informatiebeveiliging | De klant (Digitaal Vlaanderen) van de cloudservice moet met de aanbieder van de cloudservice overeenstemming bereiken over een passende toewijzing van rollen en verantwoordelijkheden op het gebied van informatiebeveiliging en bevestigen dat hij de aan hem toegewezen rollen en verantwoordelijkheden kan vervullen. De taken en verantwoordelijkheden van beide partijen op het gebied van informatiebeveiliging moeten in een overeenkomst worden vastgelegd. | De aanbieder van clouddiensten moet een passende toewijzing van rollen en verantwoordelijkheden op het gebied van informatiebeveiliging overeenkomen en documenteren met zijn klanten van clouddiensten, zijn aanbieders van clouddiensten en zijn leveranciers. |
Contact met overheidsinstanties | De klant van de clouddienst moet de autoriteiten identificeren die relevant zijn voor de gecombineerde werking van de klant van de clouddienst en de aanbieder van de clouddienst. | De aanbieder van clouddiensten moet de klant van de clouddienst informeren over de geografische locaties van de organisatie van de aanbieder van clouddiensten en de landen waar de aanbieder van de clouddienst de klantgegevens van de clouddienst kan opslaan. |
Gedeelde rollen en verantwoordelijkheden binnen een cloud computing-omgeving | De klant van de cloudservice moet zijn bestaande beleid en procedures definiëren of uitbreiden in overeenstemming met zijn gebruik van cloudservices, en gebruikers van cloudservices bewust maken van hun rollen en verantwoordelijkheden bij het gebruik van de cloudservice. | De aanbieder van clouddiensten moet zijn capaciteiten, rollen en verantwoordelijkheden op het gebied van informatiebeveiliging voor het gebruik van zijn cloudservice documenteren en communiceren, samen met de rollen en verantwoordelijkheden op het gebied van informatiebeveiliging die de klant van de cloudservice zou moeten implementeren en beheren als onderdeel van zijn gebruik van de cloudservice. |
Bewustzijn, opleiding en training ten aanzien van informatiebeveiliging | De klant van de cloudservice moet de volgende items toevoegen aan bewustmakings-, opleidings- en trainingsprogramma's voor bedrijfsmanagers van cloudservices, beheerders van cloudservices, integrators van cloudservices en gebruikers van cloudservices, met inbegrip van relevante werknemers en contractanten:
Bewustmakings-, opleidings- en opleidingsprogramma's over informatiebeveiliging over clouddiensten moeten worden aangeboden aan het management en de toezichthoudende managers, met inbegrip van die van bedrijfseenheden. Deze inspanningen ondersteunen een effectieve coördinatie van activiteiten op het gebied van informatiebeveiliging. | De aanbieder van clouddiensten moet werknemers bewustwording, opleiding en training bieden en contractanten verzoeken hetzelfde te doen met betrekking tot de juiste omgang met klantgegevens van clouddiensten en van clouddiensten afgeleide gegevens. Deze gegevens kunnen informatie bevatten die vertrouwelijk is voor een klant van een cloudservice of onderworpen zijn aan specifieke beperkingen, waaronder wettelijke beperkingen, op toegang en gebruik door de cloudserviceprovider. |
Inventariseren van bedrijfsmiddelen | In de inventaris van informatieassets van de cloudserviceklant moet rekening worden gehouden met alle bedrijfsinformatie opgeslagen in de cloud computing-omgeving. In de gegevens van de inventaris moet worden aangegeven waar de assets worden bewaard, bijvoorbeeld de identificatie van de clouddienst. | In de inventaris van ICT assets van de aanbieder van clouddiensten moet expliciet het volgende worden vermeld: |
Verwijdering van cloud-service klantendata en assets | De klant van de cloudservice moet vragen om een gedocumenteerde beschrijving van het proces voor beëindiging van de service die betrekking heeft op het retourneren en verwijderen van de assets van de cloudserviceklant, gevolgd door de verwijdering van alle kopieën van die assets uit de systemen van de cloudserviceprovider. | De aanbieder van clouddiensten moet informatie verstrekken over de regelingen voor de teruggave en verwijdering van assets van klanten van clouddiensten bij beëindiging van de overeenkomst voor het gebruik van een clouddienst. |
Informatie labelen | De klant van de cloudservice moet informatie en bijbehorende assets die in de cloud computing-omgeving worden onderhouden, labelen in overeenstemming met de door de klant van de cloudservice vastgestelde procedures voor labeling. Indien van toepassing kan de functionaliteit van de cloudserviceprovider die etikettering ondersteunt, worden overgenomen. | De aanbieder van clouddiensten moet alle servicefunctionaliteit die hij biedt, documenteren en openbaar maken, zodat klanten van clouddiensten hun informatie en bijbehorende assets kunnen classificeren en labelen. |
Toegang tot netwerken en netwerkdiensten | In het toegangscontrolebeleid van de klant van de cloudservice voor het gebruik van netwerkservices moeten vereisten worden gespecificeerd voor gebruikerstoegang tot elke afzonderlijke cloudservice die wordt gebruikt. | - |
Registratie en afmelden van gebruikers | - | Om de toegang tot clouddiensten voor de gebruikers van clouddiensten van een cloudserviceklant te beheren, moet de cloudserviceprovider gebruikersregistratie- en uitschrijvingsfuncties en specificaties voor het gebruik van deze functies aan de klant van de cloudservice verstrekken. |
Gebruikers toegang verlenen | - | De aanbieder van clouddiensten moet voorzien in functies voor het beheer van de toegangsrechten van de gebruikers van de clouddienstenklant van de clouddienst, en in specificaties voor het gebruik van deze functies. |
Beheren van speciale toegangsrechten | De klant van de clouddienst moet voldoende authenticatietechnieken gebruiken (bv. multi-factor authenticatie) om de beheerders van de cloudservice van de klant van de cloudservice te authenticeren voor de administratieve mogelijkheden van een cloudservice op basis van de geïdentificeerde risico's. | De aanbieder van clouddiensten moet voorzien in voldoende authenticatietechnieken voor het verifiëren van de beheerders van clouddiensten van de klant van de clouddienst voor de administratieve mogelijkheden van een clouddienst, in overeenstemming met de geïdentificeerde risico's. De cloudserviceprovider kan bijvoorbeeld mogelijkheden voor multi-factor authenticatie bieden of het gebruik van multi-factor authenticatiemechanismen van derden mogelijk maken. |
Beheer van geheime authenticatie-informatie van gebruikers | De klant van de cloudservice moet controleren of de beheerprocedure van de cloudserviceprovider voor het toewijzen van geheime authenticatiegegevens, zoals wachtwoorden, voldoet aan de vereisten van de klant van de cloudservice. | De aanbieder van clouddiensten moet informatie verstrekken over procedures voor het beheer van de geheime authenticatie-informatie van de klant van de cloudservice, met inbegrip van de procedures voor de toewijzing van dergelijke informatie en voor de authenticatie van de gebruiker. |
Beperking toegang tot informatie | De klant van de clouddienst dient ervoor te zorgen dat de toegang tot informatie in de clouddienst kan worden beperkt in overeenstemming met zijn toegangscontrolebeleid en dat dergelijke beperkingen worden gerealiseerd. Dit omvat het beperken van de toegang tot cloudservices, cloudservicefuncties en klantgegevens van cloudservices die in de service worden bijgehouden. | De aanbieder van clouddiensten moet toegangscontroles uitvoeren waarmee de klant van de clouddienst de toegang tot zijn clouddiensten, zijn cloudservicefuncties en de klantgegevens van de cloudservice die in de dienst worden bijgehouden, kan beperken. |
Speciale systeemhulpmiddelen gebruiken | Waar het gebruik van hulpprogramma's is toegestaan, moet de klant van de cloudservice de hulpprogramma's identificeren die in zijn cloud computing-omgeving moeten worden gebruikt en ervoor zorgen dat deze de controles van de cloudservice niet verstoren. | De cloudserviceprovider moet de vereisten identificeren voor alle hulpprogramma's die binnen de cloudservice worden gebruikt. |
Segregatie in virtuele computeromgevingen | - | De aanbieder van cloudservices moet een passende logische scheiding afdwingen van klantgegevens van cloudservices, gevirtualiseerde applicaties, besturingssystemen, opslag en netwerk voor: |
Virtuele machine-hardening | Bij het configureren van virtuele machines moeten klanten van cloudservices en cloudserviceproviders ervoor zorgen dat de juiste aspecten worden versterkt (bijv. alleen die poorten, protocollen en services die nodig zijn) en dat de juiste technische maatregelen zijn getroffen (bijv. anti-malware, logboekregistratie) voor elke gebruikte virtuele machine. | Bij het configureren van virtuele machines moeten klanten van cloudservices en cloudserviceproviders ervoor zorgen dat de juiste aspecten worden versterkt (bijv. alleen die poorten, protocollen en services die nodig zijn) en dat de juiste technische maatregelen zijn getroffen (bijv. anti-malware, logboekregistratie) voor elke gebruikte virtuele machine. |
Beleid inzake het gebruik van cryptografische beheersmaatregelen | De klant van de clouddienst moet cryptografische controles implementeren voor zijn gebruik van clouddiensten indien de risicoanalyse dit rechtvaardigt. De controles moeten krachtig genoeg zijn om de vastgestelde risico's te beperken, ongeacht of die controles worden uitgevoerd door de klant van de clouddienst of door de aanbieder van clouddiensten.
| De aanbieder van de clouddienst moet de klant van de clouddienst informatie verstrekken over de omstandigheden waarin hij cryptografie gebruikt om de informatie die hij verwerkt te beschermen. De cloudserviceprovider moet ook informatie verstrekken aan de klant van de cloudservice over eventuele mogelijkheden die hij biedt om de klant van de cloudservice te helpen bij het toepassen van zijn eigen cryptografische beveiliging. |
Sleutelbeheer | De klant van de cloudservice moet de cryptografische sleutels voor elke cloudservice identificeren en procedures voor sleutelbeheer implementeren.
De klant van de cloudservice mag de cloudserviceprovider niet toestaan de versleutelingssleutels voor cryptografische bewerkingen op te slaan en te beheren wanneer de klant van de cloudservice zijn eigen sleutelbeheer of een afzonderlijke en afzonderlijke sleutelbeheerservice gebruikt. | - |
Veilig verwijderen of hergebruiken van apparatuur | De klant van de cloudservice moet om bevestiging vragen dat de cloudserviceprovider beschikt over het beleid en de procedures voor veilige verwijdering of hergebruik van bronnen. | De aanbieder van clouddiensten moet ervoor zorgen dat er tijdig regelingen worden getroffen voor de veilige verwijdering of het hergebruik van middelen (bijv. apparatuur, gegevensopslag, bestanden, geheugen). |
Wijzigingsbeheer | In het wijzigingsbeheerproces van de klant van de cloudservice moet rekening worden gehouden met de impact van eventuele wijzigingen die door de cloudserviceprovider worden aangebracht. | De aanbieder van de clouddienst moet de klant van de clouddienst informatie verstrekken over wijzigingen in de clouddienst die een negatieve invloed kunnen hebben op de clouddienst. Het volgende helpt de klant van de cloudservice om te bepalen welk effect de wijzigingen kunnen hebben op de informatiebeveiliging:
Wanneer een cloudserviceprovider een cloudservice aanbiedt die afhankelijk is van een peer-cloudserviceprovider, moet de cloudserviceprovider de cloudserviceklant mogelijk op de hoogte stellen van wijzigingen die zijn veroorzaakt door de peer-cloudserviceprovider. |
Capaciteitsbeheer | De klant van de cloudservice moet ervoor zorgen dat de overeengekomen capaciteit die door de cloudservice wordt geleverd, voldoet aan de eisen van de klant van de cloudservice. | De cloudserviceprovider moet de totale resourcecapaciteit bewaken om informatiebeveiligingsincidenten te voorkomen die worden veroorzaakt door tekorten aan resources. |
Beheerder's operationele beveiligingsprocedures | De klant van de cloudservice moet procedures documenteren voor kritieke bewerkingen waarbij een storing onherstelbare schade kan veroorzaken aan assets in de cloud computing-omgeving.
In het document moet worden vermeld dat een supervisor toezicht moet houden op deze operaties. | De cloudserviceprovider moet documentatie over de kritieke bewerkingen en procedures verstrekken aan klanten van cloudservices die dit nodig hebben. |
Back-up van informatie | Wanneer de cloudserviceprovider back-upcapaciteit biedt als onderdeel van de cloudservice, moet de klant van de cloudservice de specificaties van de back-upcapaciteit opvragen bij de cloudserviceprovider. De klant van de cloudservice moet ook controleren of hij voldoet aan zijn back-upvereisten. | De cloudserviceprovider moet de specificaties van zijn back-upmogelijkheden aan de klant van de cloudservice verstrekken. De specificaties moeten in voorkomend geval de volgende informatie bevatten:
De aanbieder van clouddiensten moet veilige en gescheiden toegang bieden tot back-ups, zoals virtuele snapshots, als een dergelijke dienst wordt aangeboden aan klanten van clouddiensten. |
Gebeurtenissen registreren | De klant van de cloudservice moet zijn vereisten voor gebeurtenisregistratie definiëren en controleren of de cloudservice aan die vereisten voldoet. | De cloudserviceprovider moet logboekregistratiemogelijkheden bieden aan de klant van de cloudservice. |
Logbestanden van beheerders en operators | Als een bevoorrechte bewerking wordt gedelegeerd aan de klant van de cloudservice, moeten de bewerking en prestaties van die bewerkingen worden geregistreerd. De klant van de cloudservice moet bepalen of de registratiemogelijkheden van de cloudserviceprovider geschikt zijn of dat de klant van de cloudservice aanvullende registratiemogelijkheden moet implementeren. | - |
Kloksynchronisatie | De klant van de cloudservice moet informatie opvragen over de kloksynchronisatie die wordt gebruikt voor de systemen van de cloudserviceprovider. | De cloudserviceprovider moet informatie verstrekken aan de klant van de cloudservice over de klok die wordt gebruikt door de systemen van de cloudserviceprovider en informatie over hoe de klant van de cloudservice lokale klokken kan synchroniseren met de klok van de cloudservice. |
Monitoring van clouddiensten | De klant van de cloudservice moet bij de cloudserviceprovider informatie opvragen over de servicebewakingsmogelijkheden die beschikbaar zijn voor elke cloudservice. | De aanbieder van clouddiensten moet mogelijkheden bieden die de klant van de clouddienst in staat stellen om specifieke aspecten van de werking van de clouddiensten te monitoren die relevant zijn voor de klant van de clouddienst. Bijvoorbeeld om te monitoren en te detecteren of de cloudservice wordt gebruikt als platform om anderen aan te vallen, of dat er gevoelige gegevens uit de cloudservice worden gelekt. Passende toegangscontroles moeten het gebruik van de bewakingscapaciteiten waarborgen. De mogelijkheden moeten alleen toegang bieden tot informatie over de eigen cloudservice-instanties van de cloudserviceklant. |
Beheer van technische kwetsbaarheden | De klant van de cloudservice moet informatie opvragen bij de cloudserviceprovider over het beheer van technische kwetsbaarheden die van invloed kunnen zijn op de geleverde cloudservices. De klant van de cloudservice moet de technische kwetsbaarheden identificeren die hij moet beheren en duidelijk een proces definiëren om deze te beheren. | De aanbieder van de clouddienst moet de klant informatie ter beschikking stellen over het beheer van technische kwetsbaarheden die van invloed kunnen zijn op de geleverde clouddiensten. |
Scheiding in netwerken | De klant van de cloudservice moet zijn vereisten voor het scheiden van netwerken definiëren om tenantisolatie in de gedeelde omgeving van een cloudservice te bereiken en controleren of de cloudserviceprovider aan deze vereisten voldoet. | De aanbieder van clouddiensten moet scheiding van netwerktoegang afdwingen in de volgende gevallen:
In voorkomend geval moet de aanbieder van clouddiensten de klant van de clouddienst helpen bij het verifiëren van de door de aanbieder van clouddiensten geïmplementeerde scheiding. |
Afstemming van beveiligingsbeheer voor virtuele en fysieke netwerken | - | De aanbieder van clouddiensten moet een informatiebeveiligingsbeleid definiëren en documenteren voor de configuratie van het virtuele netwerk dat consistent is met het informatiebeveiligingsbeleid voor het fysieke netwerk. De cloudserviceprovider moet ervoor zorgen dat de configuratie van het virtuele netwerk overeenkomt met het informatiebeveiligingsbeleid, ongeacht de middelen die zijn gebruikt om de configuratie te maken. |
Analyse en specificatie van informatiebeveiligingseisen | De klant van de cloudservice moet zijn informatiebeveiligingsvereisten voor de cloudservice bepalen en vervolgens evalueren of services die door een cloudserviceprovider worden aangeboden, aan deze vereisten kunnen voldoen. | De cloudserviceprovider moet informatie verstrekken aan de klanten van de cloudservice over de informatiebeveiligingsmogelijkheden die ze gebruiken. Deze informatie moet informatief zijn zonder informatie vrij te geven die nuttig kan zijn voor iemand met kwade bedoelingen. |
Beleid voor beveiligd ontwikkelen | De klant van de cloudservice moet informatie opvragen bij de cloudserviceprovider over het gebruik van veilige ontwikkelingsprocedures en -praktijken door de cloudserviceprovider | De aanbieder van clouddiensten moet informatie verstrekken over zijn gebruik van veilige ontwikkelingsprocedures en -praktijken voor zover dit verenigbaar is met zijn beleid inzake openbaarmaking. |
Informatiebeveiligingsbeleid voor leveranciersrelaties | De klant van de cloudservice moet de cloudserviceprovider als type leverancier opnemen in zijn informatiebeveiligingsbeleid voor leveranciersrelaties. Dit zal helpen om de risico's te beperken die gepaard gaan met de toegang van de cloudserviceprovider tot en het beheer van de klantgegevens van de cloudservice. | - |
Opnemen van beveiligingsaspecten in leveranciersovereenkomsten | De klant van de cloudservice moet de rollen en verantwoordelijkheden op het gebied van informatiebeveiliging met betrekking tot de cloudservice bevestigen, zoals beschreven in de serviceovereenkomst. Deze kunnen de volgende processen omvatten:
| De aanbieder van clouddiensten moet als onderdeel van een overeenkomst de relevante informatiebeveiligingsmaatregelen specificeren die de aanbieder van clouddiensten zal implementeren om misverstanden tussen de aanbieder van de clouddienst en de klant van de clouddienst te voorkomen. |
Toeleveringsketen van informatie- en communicatietechnologie | - | Als een cloudserviceprovider gebruikmaakt van cloudservices van vergelijkbare cloudserviceproviders, moet de cloudserviceprovider ervoor zorgen dat de informatiebeveiligingsniveaus voor zijn eigen cloudserviceklanten worden gehandhaafd of overschreden. |
Verantwoordelijkheden en procedures | De klant van de cloudservice moet de toewijzing van verantwoordelijkheden voor het beheer van informatiebeveiligingsincidenten verifiëren en ervoor zorgen dat deze voldoet aan de eisen van de klant van de cloudservice. | Als onderdeel van de servicespecificaties moet de aanbieder van clouddiensten de toewijzing van verantwoordelijkheden en procedures voor het beheer van informatiebeveiligingsincidenten tussen de klant van de cloudservice en de aanbieder van cloudservices definiëren. De aanbieder van de clouddienst moet de klant van de clouddienst voorzien van documentatie met betrekking tot:
|
Rapportage van informatiebeveiligingsgebeurtenissen | De klant van de cloudservice moet bij de aanbieder van de cloudservice informatie opvragen over de mechanismen voor:
| De aanbieder van clouddiensten moet voorzien in mechanismen voor:
|
Verzamelen van bewijsmateriaal | De klant van de cloudservice en de cloudserviceprovider moeten overeenstemming bereiken over de procedures om te reageren op verzoeken om mogelijk digitaal bewijs of andere informatie vanuit de cloud computing-omgeving. | De klant van de cloudservice en de cloudserviceprovider moeten overeenstemming bereiken over de procedures om te reageren op verzoeken om mogelijk digitaal bewijs of andere informatie vanuit de cloud computing-omgeving. |
Vaststellen van toepasselijke wetgeving en contractuele eisen | De klant van de cloudservice moet er rekening mee houden dat de relevante wet- en regelgeving die van rechtsgebieden kan zijn die van toepassing zijn op de cloudserviceprovider, naast die welke van toepassing zijn op de klant van de cloudservice. | De aanbieder van de clouddienst moet de klant van de clouddienst informeren over de rechtsgebieden die van toepassing zijn op de clouddienst. |
Intellectuele-eigendomsrechten | Het installeren van commercieel gelicentieerde software in een cloudservice kan leiden tot een schending van de licentievoorwaarden voor de software. De klant van de cloudservice moet een procedure hebben voor het identificeren van cloudspecifieke licentievereisten voordat hij toestemming geeft om gelicentieerde software in een cloudservice te installeren. Bijzondere aandacht moet worden besteed aan gevallen waarin de clouddienst elastisch en schaalbaar is en de software op meer systemen of processorkernen kan worden uitgevoerd dan volgens de licentievoorwaarden is toegestaan. | De aanbieder van clouddiensten moet een procedure opzetten voor het reageren op klachten over intellectuele-eigendomsrechten. |
Beschermen van registraties | De klant van de cloudservice moet informatie opvragen bij de cloudserviceprovider over de bescherming van gegevens die door de cloudserviceprovider worden verzameld en opgeslagen en die relevant zijn voor het gebruik van cloudservices door de klant van de cloudservice. | De aanbieder van clouddiensten moet informatie verstrekken aan de klant van de clouddienst over de bescherming van gegevens die door de aanbieder van clouddiensten worden verzameld en opgeslagen met betrekking tot het gebruik van clouddiensten door de klant van de clouddienst. |
Voorschriften voor het gebruik van cryptografische beheersmaatregelen | De klant van de clouddienst dient te verifiëren dat de set cryptografische controles die van toepassing zijn op het gebruik van een clouddienst voldoet aan de relevante afspraken, wet- en regelgeving. | De cloudserviceprovider moet beschrijvingen van de cryptografische controles die door de cloudserviceprovider zijn geïmplementeerd aan de cloudserviceklant verstrekken om de naleving van de toepasselijke overeenkomsten, wet- en regelgeving te beoordelen. |
Onafhankelijke beoordeling van informatiebeveiliging | De klant van de cloudservice moet om gedocumenteerd bewijs vragen dat de implementatie van informatiebeveiligingscontroles en -richtlijnen voor de cloudservice in overeenstemming is met eventuele claims van de cloudserviceprovider. Dergelijk bewijs kan certificeringen volgens relevante normen omvatten. | De aanbieder van clouddiensten moet gedocumenteerd bewijs verstrekken aan de klant van de clouddienst om zijn bewering te staven dat hij informatiebeveiligingsmaatregelen heeft geïmplementeerd. |
Dit is een document voor publiek gebruik.