• FINAAL CONCEPT
    • Document toolboxDocument toolbox


    Digitaal Vlaanderen | Team Informatieveiligheid (TIV)

    Leidraad Cloudbeveiliging

    Owned by Vincent Alwicher
    Last updated: 24 Sept, 2024
    17 min read

    De volgende tabel levert gedetailleerde informatie over specifieke beheersmaatregelen die overwogen dienen te worden bij het opstellen van de informatiebeveiligingseisen voor cloud computing diensten en het contractueel vastleggen van deze eisen met leveranciers. Hierbij is er onderscheid gemaakt tussen wat de organisatie, in dit geval Digitaal Vlaanderen, zou moeten doen en wat de aanbieder van clouddiensten zou moeten doen. Het is geen harde splitsing en de verdeling van de activiteiten tussen afnemer en aanbieder is contextgevoelig en afhankelijk van de situatie, het type cloudoplossing, de gevoeligheid van de informatie, enz.

    Onderwerp

    Afnemer

    Aanbieder

    Beleidsregels voor informatiebeveiliging

    Een informatiebeveiligingsbeleid voor cloud computing moet worden gedefinieerd als een onderwerpspecifiek beleid van de klant (Digitaal Vlaanderen) van de cloudservice. Het informatiebeveiligingsbeleid van de klant van de cloudservice voor cloud computing moet consistent zijn met de aanvaardbare niveaus van informatiebeveiligingsrisico's van de organisatie voor haar informatie en andere assets.
    Bij het definiëren van het informatiebeveiligingsbeleid voor cloud computing moet de klant van de cloudservice rekening houden met het volgende:

    • informatie die in de cloud computing-omgeving is opgeslagen, kan worden geraadpleegd en beheerd door de aanbieder van clouddiensten;

    • assets kunnen worden onderhouden in de cloud computing-omgeving, bijv. applicatieprogramma's;

    • processen kunnen draaien op een multi-tenant, gevirtualiseerde clouddienst;

    • de gebruikers van de clouddienst en de context waarin zij de clouddienst gebruiken;

    • de beheerders van de clouddienst van de klant van de clouddienst die bevoorrechte toegang hebben;

    • de geografische locaties van de organisatie van de cloudserviceprovider en de landen waar de cloudserviceprovider de klantgegevens van de cloudservice (tijdelijk) kan opslaan.

    De aanbieder van clouddiensten moet zijn informatiebeveiligingsbeleid uitbreiden om de levering en het gebruik van zijn clouddiensten aan te pakken, rekening houdend met het volgende:

    • de basiseisen inzake informatiebeveiliging die van toepassing zijn
      tot het ontwerp en de implementatie van de clouddienst;

    • risico's van geautoriseerde insiders;

    • multi-tenancy en cloud service klantisolatie (inclusief virtualisatie);

    • toegang tot de assets (data) van klanten van de clouddienst door het personeel van de aanbieder van de clouddienst;

    • procedures voor toegangscontrole, bijvoorbeeld sterke authenticatie voor administratieve toegang tot clouddiensten;

    • communicatie met klanten van clouddiensten tijdens wijzigingsbeheer;

    • Virtualisatie beveiliging;

    • toegang tot en bescherming van klantgegevens van clouddiensten;

    • levenscyclusbeheer van klantaccounts van clouddiensten;

    • Communicatie over inbreuken en richtsnoeren voor het delen van informatie ter ondersteuning van onderzoeken en forensisch onderzoek.

    Rollen en verantwoordelijkheden bij informatiebeveiliging

    De klant (Digitaal Vlaanderen) van de cloudservice moet met de aanbieder van de cloudservice overeenstemming bereiken over een passende toewijzing van rollen en verantwoordelijkheden op het gebied van informatiebeveiliging en bevestigen dat hij de aan hem toegewezen rollen en verantwoordelijkheden kan vervullen. De taken en verantwoordelijkheden van beide partijen op het gebied van informatiebeveiliging moeten in een overeenkomst worden vastgelegd.
    De klant van de cloudservice moet zijn relatie met de klantenservice en zorgfunctie van de cloudserviceprovider identificeren en beheren.

    De aanbieder van clouddiensten moet een passende toewijzing van rollen en verantwoordelijkheden op het gebied van informatiebeveiliging overeenkomen en documenteren met zijn klanten van clouddiensten, zijn aanbieders van clouddiensten en zijn leveranciers.

    Contact met overheidsinstanties

    De klant van de clouddienst moet de autoriteiten identificeren die relevant zijn voor de gecombineerde werking van de klant van de clouddienst en de aanbieder van de clouddienst.

    De aanbieder van clouddiensten moet de klant van de clouddienst informeren over de geografische locaties van de organisatie van de aanbieder van clouddiensten en de landen waar de aanbieder van de clouddienst de klantgegevens van de clouddienst kan opslaan.

    Gedeelde rollen en verantwoordelijkheden binnen een cloud computing-omgeving

    De klant van de cloudservice moet zijn bestaande beleid en procedures definiëren of uitbreiden in overeenstemming met zijn gebruik van cloudservices, en gebruikers van cloudservices bewust maken van hun rollen en verantwoordelijkheden bij het gebruik van de cloudservice.

    De aanbieder van clouddiensten moet zijn capaciteiten, rollen en verantwoordelijkheden op het gebied van informatiebeveiliging voor het gebruik van zijn cloudservice documenteren en communiceren, samen met de rollen en verantwoordelijkheden op het gebied van informatiebeveiliging die de klant van de cloudservice zou moeten implementeren en beheren als onderdeel van zijn gebruik van de cloudservice.

    Bewustzijn, opleiding en training ten aanzien van informatiebeveiliging

    De klant van de cloudservice moet de volgende items toevoegen aan bewustmakings-, opleidings- en trainingsprogramma's voor bedrijfsmanagers van cloudservices, beheerders van cloudservices, integrators van cloudservices en gebruikers van cloudservices, met inbegrip van relevante werknemers en contractanten:

    • normen en procedures voor het gebruik van clouddiensten;

    • informatiebeveiligingsrisico's met betrekking tot clouddiensten en de wijze waarop die risico's worden beheerd;

    • risico's in de systeem- en netwerkomgeving bij het gebruik van clouddiensten;

    • toepasselijke wet- en regelgeving.

    Bewustmakings-, opleidings- en opleidingsprogramma's over informatiebeveiliging over clouddiensten moeten worden aangeboden aan het management en de toezichthoudende managers, met inbegrip van die van bedrijfseenheden. Deze inspanningen ondersteunen een effectieve coördinatie van activiteiten op het gebied van informatiebeveiliging.

    De aanbieder van clouddiensten moet werknemers bewustwording, opleiding en training bieden en contractanten verzoeken hetzelfde te doen met betrekking tot de juiste omgang met klantgegevens van clouddiensten en van clouddiensten afgeleide gegevens. Deze gegevens kunnen informatie bevatten die vertrouwelijk is voor een klant van een cloudservice of onderworpen zijn aan specifieke beperkingen, waaronder wettelijke beperkingen, op toegang en gebruik door de cloudserviceprovider.

    Inventariseren van bedrijfsmiddelen

    In de inventaris van informatieassets van de cloudserviceklant moet rekening worden gehouden met alle bedrijfsinformatie opgeslagen in de cloud computing-omgeving. In de gegevens van de inventaris moet worden aangegeven waar de assets worden bewaard, bijvoorbeeld de identificatie van de clouddienst.

    In de inventaris van ICT assets van de aanbieder van clouddiensten moet expliciet het volgende worden vermeld:
    – klantgegevens van clouddiensten;
    – Van clouddiensten afgeleide gegevens.

    Verwijdering van cloud-service klantendata en assets

    De klant van de cloudservice moet vragen om een gedocumenteerde beschrijving van het proces voor beëindiging van de service die betrekking heeft op het retourneren en verwijderen van de assets van de cloudserviceklant, gevolgd door de verwijdering van alle kopieën van die assets uit de systemen van de cloudserviceprovider.
    De beschrijving moet alle assets vermelden en het schema voor de beëindiging van de service documenteren, die tijdig moet plaatsvinden.

    De aanbieder van clouddiensten moet informatie verstrekken over de regelingen voor de teruggave en verwijdering van assets van klanten van clouddiensten bij beëindiging van de overeenkomst voor het gebruik van een clouddienst.
    De regelingen voor de teruggave en verwijdering van assets moeten worden gedocumenteerd in de overeenkomst en moeten tijdig worden uitgevoerd. In de regelingen moet worden gespecificeerd welke assets moeten worden teruggegeven en verwijderd.

    Informatie labelen

    De klant van de cloudservice moet informatie en bijbehorende assets die in de cloud computing-omgeving worden onderhouden, labelen in overeenstemming met de door de klant van de cloudservice vastgestelde procedures voor labeling. Indien van toepassing kan de functionaliteit van de cloudserviceprovider die etikettering ondersteunt, worden overgenomen.

    De aanbieder van clouddiensten moet alle servicefunctionaliteit die hij biedt, documenteren en openbaar maken, zodat klanten van clouddiensten hun informatie en bijbehorende assets kunnen classificeren en labelen.

    Toegang tot netwerken en netwerkdiensten

    In het toegangscontrolebeleid van de klant van de cloudservice voor het gebruik van netwerkservices moeten vereisten worden gespecificeerd voor gebruikerstoegang tot elke afzonderlijke cloudservice die wordt gebruikt.

    -

    Registratie en afmelden van gebruikers

    -

    Om de toegang tot clouddiensten voor de gebruikers van clouddiensten van een cloudserviceklant te beheren, moet de cloudserviceprovider gebruikersregistratie- en uitschrijvingsfuncties en specificaties voor het gebruik van deze functies aan de klant van de cloudservice verstrekken.

    Gebruikers toegang verlenen

    -

    De aanbieder van clouddiensten moet voorzien in functies voor het beheer van de toegangsrechten van de gebruikers van de clouddienstenklant van de clouddienst, en in specificaties voor het gebruik van deze functies.

    Beheren van speciale toegangsrechten

    De klant van de clouddienst moet voldoende authenticatietechnieken gebruiken (bv. multi-factor authenticatie) om de beheerders van de cloudservice van de klant van de cloudservice te authenticeren voor de administratieve mogelijkheden van een cloudservice op basis van de geïdentificeerde risico's.

    De aanbieder van clouddiensten moet voorzien in voldoende authenticatietechnieken voor het verifiëren van de beheerders van clouddiensten van de klant van de clouddienst voor de administratieve mogelijkheden van een clouddienst, in overeenstemming met de geïdentificeerde risico's. De cloudserviceprovider kan bijvoorbeeld mogelijkheden voor multi-factor authenticatie bieden of het gebruik van multi-factor authenticatiemechanismen van derden mogelijk maken.

    Beheer van geheime authenticatie-informatie van gebruikers

    De klant van de cloudservice moet controleren of de beheerprocedure van de cloudserviceprovider voor het toewijzen van geheime authenticatiegegevens, zoals wachtwoorden, voldoet aan de vereisten van de klant van de cloudservice.

    De aanbieder van clouddiensten moet informatie verstrekken over procedures voor het beheer van de geheime authenticatie-informatie van de klant van de cloudservice, met inbegrip van de procedures voor de toewijzing van dergelijke informatie en voor de authenticatie van de gebruiker.

    Beperking toegang tot informatie

    De klant van de clouddienst dient ervoor te zorgen dat de toegang tot informatie in de clouddienst kan worden beperkt in overeenstemming met zijn toegangscontrolebeleid en dat dergelijke beperkingen worden gerealiseerd. Dit omvat het beperken van de toegang tot cloudservices, cloudservicefuncties en klantgegevens van cloudservices die in de service worden bijgehouden.

    De aanbieder van clouddiensten moet toegangscontroles uitvoeren waarmee de klant van de clouddienst de toegang tot zijn clouddiensten, zijn cloudservicefuncties en de klantgegevens van de cloudservice die in de dienst worden bijgehouden, kan beperken.

    Speciale systeemhulpmiddelen gebruiken

    Waar het gebruik van hulpprogramma's is toegestaan, moet de klant van de cloudservice de hulpprogramma's identificeren die in zijn cloud computing-omgeving moeten worden gebruikt en ervoor zorgen dat deze de controles van de cloudservice niet verstoren.

    De cloudserviceprovider moet de vereisten identificeren voor alle hulpprogramma's die binnen de cloudservice worden gebruikt.
    De aanbieder van clouddiensten moet ervoor zorgen dat elk gebruik van hulpprogramma's die de normale werkings- of beveiligingsprocedures kunnen omzeilen, strikt beperkt is tot geautoriseerd personeel en dat het gebruik van dergelijke programma's regelmatig wordt beoordeeld en gecontroleerd.

    Segregatie in virtuele computeromgevingen

    -

    De aanbieder van cloudservices moet een passende logische scheiding afdwingen van klantgegevens van cloudservices, gevirtualiseerde applicaties, besturingssystemen, opslag en netwerk voor:
    – de scheiding van de middelen die door klanten van clouddiensten worden gebruikt in multi-tenant omgevingen;
    – de scheiding tussen het interne beheer van de aanbieder van de clouddienst en de middelen die door de klanten van de clouddienst worden gebruikt.
    Wanneer de cloudservice multi-tenancy inhoudt, moet de cloudserviceprovider informatiebeveiligingscontroles implementeren om te zorgen voor een passende isolatie van bronnen die door verschillende tenants worden gebruikt.
    De aanbieder van clouddiensten moet rekening houden met de risico's die verbonden zijn aan het uitvoeren van door de klant geleverde software voor clouddiensten binnen de clouddiensten die door de aanbieder van clouddiensten worden aangeboden.

    Virtuele machine-hardening

    Bij het configureren van virtuele machines moeten klanten van cloudservices en cloudserviceproviders ervoor zorgen dat de juiste aspecten worden versterkt (bijv. alleen die poorten, protocollen en services die nodig zijn) en dat de juiste technische maatregelen zijn getroffen (bijv. anti-malware, logboekregistratie) voor elke gebruikte virtuele machine.

    Bij het configureren van virtuele machines moeten klanten van cloudservices en cloudserviceproviders ervoor zorgen dat de juiste aspecten worden versterkt (bijv. alleen die poorten, protocollen en services die nodig zijn) en dat de juiste technische maatregelen zijn getroffen (bijv. anti-malware, logboekregistratie) voor elke gebruikte virtuele machine.

    Beleid inzake het gebruik van cryptografische beheersmaatregelen

    De klant van de clouddienst moet cryptografische controles implementeren voor zijn gebruik van clouddiensten indien de risicoanalyse dit rechtvaardigt. De controles moeten krachtig genoeg zijn om de vastgestelde risico's te beperken, ongeacht of die controles worden uitgevoerd door de klant van de clouddienst of door de aanbieder van clouddiensten.
    Wanneer de cloudserviceprovider cryptografie aanbiedt, moet de klant van de cloudservice alle informatie die door de cloudserviceprovider is verstrekt, controleren om te bevestigen of de cryptografische mogelijkheden:

    • te voldoen aan de beleidsvereisten van de klant van de clouddienst;

    • compatibel zijn met elke andere cryptografische beveiliging die wordt gebruikt door de klant van de clouddienst;

    • van toepassing zijn op gegevens in rust en onderweg naar, van en binnen de cloudservice.

    De aanbieder van de clouddienst moet de klant van de clouddienst informatie verstrekken over de omstandigheden waarin hij cryptografie gebruikt om de informatie die hij verwerkt te beschermen. De cloudserviceprovider moet ook informatie verstrekken aan de klant van de cloudservice over eventuele mogelijkheden die hij biedt om de klant van de cloudservice te helpen bij het toepassen van zijn eigen cryptografische beveiliging.

    Sleutelbeheer

    De klant van de cloudservice moet de cryptografische sleutels voor elke cloudservice identificeren en procedures voor sleutelbeheer implementeren.
    Wanneer de cloudservice functionaliteit voor sleutelbeheer biedt voor gebruik door de klant van de cloudservice, moet de klant van de cloudservice de volgende informatie opvragen over de procedures die worden gebruikt om sleutels met betrekking tot de cloudservice te beheren:

    • type sleutels;

    • specificaties van het sleutelbeheersysteem, met inbegrip van procedures voor elke fase van de levenscyclus van sleutels, d.w.z. het genereren, wijzigen of bijwerken, opslaan, buiten gebruik stellen, opvragen, bewaren en vernietigen;

    • Aanbevolen procedures voor sleutelbeheer voor gebruik door de klant van de cloudservice.

    De klant van de cloudservice mag de cloudserviceprovider niet toestaan de versleutelingssleutels voor cryptografische bewerkingen op te slaan en te beheren wanneer de klant van de cloudservice zijn eigen sleutelbeheer of een afzonderlijke en afzonderlijke sleutelbeheerservice gebruikt.

    -

    Veilig verwijderen of hergebruiken van apparatuur

    De klant van de cloudservice moet om bevestiging vragen dat de cloudserviceprovider beschikt over het beleid en de procedures voor veilige verwijdering of hergebruik van bronnen.

    De aanbieder van clouddiensten moet ervoor zorgen dat er tijdig regelingen worden getroffen voor de veilige verwijdering of het hergebruik van middelen (bijv. apparatuur, gegevensopslag, bestanden, geheugen).

    Wijzigingsbeheer

    In het wijzigingsbeheerproces van de klant van de cloudservice moet rekening worden gehouden met de impact van eventuele wijzigingen die door de cloudserviceprovider worden aangebracht.

    De aanbieder van de clouddienst moet de klant van de clouddienst informatie verstrekken over wijzigingen in de clouddienst die een negatieve invloed kunnen hebben op de clouddienst. Het volgende helpt de klant van de cloudservice om te bepalen welk effect de wijzigingen kunnen hebben op de informatiebeveiliging:

    • categorieën van wijzigingen;

    • geplande datum en tijd van de wijzigingen;

    • technische beschrijving van de wijzigingen in de clouddienst en onderliggende systemen;

    • Kennisgeving van de start en de voltooiing van de wijzigingen.

    Wanneer een cloudserviceprovider een cloudservice aanbiedt die afhankelijk is van een peer-cloudserviceprovider, moet de cloudserviceprovider de cloudserviceklant mogelijk op de hoogte stellen van wijzigingen die zijn veroorzaakt door de peer-cloudserviceprovider.

    Capaciteitsbeheer

    De klant van de cloudservice moet ervoor zorgen dat de overeengekomen capaciteit die door de cloudservice wordt geleverd, voldoet aan de eisen van de klant van de cloudservice.
    De klant van de cloudservice moet het gebruik van cloudservices monitoren en zijn capaciteitsbehoeften voorspellen om de prestaties van de cloudservices in de loop van de tijd te garanderen.

    De cloudserviceprovider moet de totale resourcecapaciteit bewaken om informatiebeveiligingsincidenten te voorkomen die worden veroorzaakt door tekorten aan resources.

    Beheerder's operationele beveiligingsprocedures

    De klant van de cloudservice moet procedures documenteren voor kritieke bewerkingen waarbij een storing onherstelbare schade kan veroorzaken aan assets in de cloud computing-omgeving.
    Voorbeelden van de kritieke bewerkingen zijn:

    • installatie, wijziging en verwijdering van gevirtualiseerde apparaten zoals servers, netwerken en opslag;

    • beëindigingsprocedures voor het gebruik van clouddiensten;

    • Back-up en herstel.

    In het document moet worden vermeld dat een supervisor toezicht moet houden op deze operaties.

    De cloudserviceprovider moet documentatie over de kritieke bewerkingen en procedures verstrekken aan klanten van cloudservices die dit nodig hebben.

    Back-up van informatie

    Wanneer de cloudserviceprovider back-upcapaciteit biedt als onderdeel van de cloudservice, moet de klant van de cloudservice de specificaties van de back-upcapaciteit opvragen bij de cloudserviceprovider. De klant van de cloudservice moet ook controleren of hij voldoet aan zijn back-upvereisten.
    De klant van de cloudservice is verantwoordelijk voor het implementeren van back-upmogelijkheden wanneer de cloudserviceprovider deze niet biedt.

    De cloudserviceprovider moet de specificaties van zijn back-upmogelijkheden aan de klant van de cloudservice verstrekken. De specificaties moeten in voorkomend geval de volgende informatie bevatten:

    • omvang en planning van back-ups;

    • back-upmethoden en gegevensformaten, met inbegrip van versleuteling, indien van toepassing;

    • bewaartermijnen voor back-upgegevens;

    • procedures voor het verifiëren van de integriteit van back-upgegevens;

    • procedures en tijdschema's voor het herstellen van gegevens vanaf een back-up;

    • procedures om de back-upmogelijkheden te testen;

    • opslaglocatie van back-ups.

    De aanbieder van clouddiensten moet veilige en gescheiden toegang bieden tot back-ups, zoals virtuele snapshots, als een dergelijke dienst wordt aangeboden aan klanten van clouddiensten.

    Gebeurtenissen registreren

    De klant van de cloudservice moet zijn vereisten voor gebeurtenisregistratie definiëren en controleren of de cloudservice aan die vereisten voldoet.

    De cloudserviceprovider moet logboekregistratiemogelijkheden bieden aan de klant van de cloudservice.

    Logbestanden van beheerders en operators

    Als een bevoorrechte bewerking wordt gedelegeerd aan de klant van de cloudservice, moeten de bewerking en prestaties van die bewerkingen worden geregistreerd. De klant van de cloudservice moet bepalen of de registratiemogelijkheden van de cloudserviceprovider geschikt zijn of dat de klant van de cloudservice aanvullende registratiemogelijkheden moet implementeren.

    -

    Kloksynchronisatie

    De klant van de cloudservice moet informatie opvragen over de kloksynchronisatie die wordt gebruikt voor de systemen van de cloudserviceprovider.

    De cloudserviceprovider moet informatie verstrekken aan de klant van de cloudservice over de klok die wordt gebruikt door de systemen van de cloudserviceprovider en informatie over hoe de klant van de cloudservice lokale klokken kan synchroniseren met de klok van de cloudservice.

    Monitoring van clouddiensten

    De klant van de cloudservice moet bij de cloudserviceprovider informatie opvragen over de servicebewakingsmogelijkheden die beschikbaar zijn voor elke cloudservice.

    De aanbieder van clouddiensten moet mogelijkheden bieden die de klant van de clouddienst in staat stellen om specifieke aspecten van de werking van de clouddiensten te monitoren die relevant zijn voor de klant van de clouddienst. Bijvoorbeeld om te monitoren en te detecteren of de cloudservice wordt gebruikt als platform om anderen aan te vallen, of dat er gevoelige gegevens uit de cloudservice worden gelekt. Passende toegangscontroles moeten het gebruik van de bewakingscapaciteiten waarborgen. De mogelijkheden moeten alleen toegang bieden tot informatie over de eigen cloudservice-instanties van de cloudserviceklant.
    De cloudserviceprovider moet documentatie van de servicebewakingsmogelijkheden verstrekken aan de klant van de cloudservice.
    Monitoring moet gegevens opleveren die consistent zijn met de gebeurtenislogboeken en helpen bij het opstellen van SLA-voorwaarden.

    Beheer van technische kwetsbaarheden

    De klant van de cloudservice moet informatie opvragen bij de cloudserviceprovider over het beheer van technische kwetsbaarheden die van invloed kunnen zijn op de geleverde cloudservices. De klant van de cloudservice moet de technische kwetsbaarheden identificeren die hij moet beheren en duidelijk een proces definiëren om deze te beheren.

    De aanbieder van de clouddienst moet de klant informatie ter beschikking stellen over het beheer van technische kwetsbaarheden die van invloed kunnen zijn op de geleverde clouddiensten.

    Scheiding in netwerken

    De klant van de cloudservice moet zijn vereisten voor het scheiden van netwerken definiëren om tenantisolatie in de gedeelde omgeving van een cloudservice te bereiken en controleren of de cloudserviceprovider aan deze vereisten voldoet.

    De aanbieder van clouddiensten moet scheiding van netwerktoegang afdwingen in de volgende gevallen:

    • segregatie tussen huurders in een multi-tenant omgeving;

    • scheiding tussen de interne beheeromgeving en de cloud computing-omgeving van de klant van de cloudservice.

    In voorkomend geval moet de aanbieder van clouddiensten de klant van de clouddienst helpen bij het verifiëren van de door de aanbieder van clouddiensten geïmplementeerde scheiding.

    Afstemming van beveiligingsbeheer voor virtuele en fysieke netwerken

    -

    De aanbieder van clouddiensten moet een informatiebeveiligingsbeleid definiëren en documenteren voor de configuratie van het virtuele netwerk dat consistent is met het informatiebeveiligingsbeleid voor het fysieke netwerk. De cloudserviceprovider moet ervoor zorgen dat de configuratie van het virtuele netwerk overeenkomt met het informatiebeveiligingsbeleid, ongeacht de middelen die zijn gebruikt om de configuratie te maken.

    Analyse en specificatie van informatiebeveiligingseisen

    De klant van de cloudservice moet zijn informatiebeveiligingsvereisten voor de cloudservice bepalen en vervolgens evalueren of services die door een cloudserviceprovider worden aangeboden, aan deze vereisten kunnen voldoen.
    Voor deze evaluatie moet de klant van de cloudservice informatie opvragen over de informatiebeveiligingsmogelijkheden van de cloudserviceprovider.

    De cloudserviceprovider moet informatie verstrekken aan de klanten van de cloudservice over de informatiebeveiligingsmogelijkheden die ze gebruiken. Deze informatie moet informatief zijn zonder informatie vrij te geven die nuttig kan zijn voor iemand met kwade bedoelingen.

    Beleid voor beveiligd ontwikkelen

    De klant van de cloudservice moet informatie opvragen bij de cloudserviceprovider over het gebruik van veilige ontwikkelingsprocedures en -praktijken door de cloudserviceprovider

    De aanbieder van clouddiensten moet informatie verstrekken over zijn gebruik van veilige ontwikkelingsprocedures en -praktijken voor zover dit verenigbaar is met zijn beleid inzake openbaarmaking.

    Informatiebeveiligingsbeleid voor leveranciersrelaties

    De klant van de cloudservice moet de cloudserviceprovider als type leverancier opnemen in zijn informatiebeveiligingsbeleid voor leveranciersrelaties. Dit zal helpen om de risico's te beperken die gepaard gaan met de toegang van de cloudserviceprovider tot en het beheer van de klantgegevens van de cloudservice.

    -

    Opnemen van beveiligingsaspecten in leveranciersovereenkomsten

    De klant van de cloudservice moet de rollen en verantwoordelijkheden op het gebied van informatiebeveiliging met betrekking tot de cloudservice bevestigen, zoals beschreven in de serviceovereenkomst. Deze kunnen de volgende processen omvatten:

    • bescherming tegen malware;

    • backup;

    • cryptografische controles;

    • beheer van kwetsbaarheden;

    • beheer van incidenten;

    • controle van de technische naleving;

    • Testen van de beveiliging;

    • Controle;

    • het verzamelen, bijhouden en beschermen van bewijsmateriaal, met inbegrip van logboeken en audittrails;

    • bescherming van informatie bij beëindiging van de dienstverleningsovereenkomst;

    • authenticatie en toegangscontrole;

    • Identiteits- en toegangsbeheer.

    De aanbieder van clouddiensten moet als onderdeel van een overeenkomst de relevante informatiebeveiligingsmaatregelen specificeren die de aanbieder van clouddiensten zal implementeren om misverstanden tussen de aanbieder van de clouddienst en de klant van de clouddienst te voorkomen.
    De relevante informatiebeveiligingsmaatregelen die de cloudserviceprovider zal implementeren, kunnen variëren, afhankelijk van het type cloudservice dat de klant van de cloudservice gebruikt.

    Toeleveringsketen van informatie- en communicatietechnologie

    -

    Als een cloudserviceprovider gebruikmaakt van cloudservices van vergelijkbare cloudserviceproviders, moet de cloudserviceprovider ervoor zorgen dat de informatiebeveiligingsniveaus voor zijn eigen cloudserviceklanten worden gehandhaafd of overschreden.
    Wanneer de aanbieder van clouddiensten clouddiensten aanbiedt op basis van een toeleveringsketen, moet de aanbieder van clouddiensten informatiebeveiligingsdoelstellingen aan leveranciers verstrekken en elk van de leveranciers verzoeken risicobeheeractiviteiten uit te voeren om de doelstellingen te bereiken.

    Verantwoordelijkheden en procedures

    De klant van de cloudservice moet de toewijzing van verantwoordelijkheden voor het beheer van informatiebeveiligingsincidenten verifiëren en ervoor zorgen dat deze voldoet aan de eisen van de klant van de cloudservice.

    Als onderdeel van de servicespecificaties moet de aanbieder van clouddiensten de toewijzing van verantwoordelijkheden en procedures voor het beheer van informatiebeveiligingsincidenten tussen de klant van de cloudservice en de aanbieder van cloudservices definiëren. De aanbieder van de clouddienst moet de klant van de clouddienst voorzien van documentatie met betrekking tot:

    • de omvang van informatiebeveiligingsincidenten die de cloud
      De serviceprovider rapporteert aan de klant van de cloudservice;

    • de mate van openbaarmaking van de opsporing van informatie
      beveiligingsincidenten en de daarmee samenhangende reacties;

    • de beoogde termijn waarbinnen de kennisgevingen van informatie
      er zich beveiligingsincidenten zullen voordoen;

    • de procedure voor de melding van informatiebeveiliging
      Incidenten;

    • contactgegevens voor de behandeling van kwesties met betrekking tot
      incidenten op het gebied van informatiebeveiliging;

    • eventuele remedies die van toepassing kunnen zijn als bepaalde informatiebeveiligingsincidenten zich voordoen.

    Rapportage van informatiebeveiligingsgebeurtenissen

    De klant van de cloudservice moet bij de aanbieder van de cloudservice informatie opvragen over de mechanismen voor:

    • de klant van de cloudservice om een door hem gedetecteerde gebeurtenis op het gebied van informatiebeveiliging te melden aan de aanbieder van de cloudservice;

    • de aanbieder van de clouddienst om rapporten te ontvangen over een door de aanbieder van de clouddienst gedetecteerde gebeurtenis op het gebied van informatiebeveiliging;

    • de klant van de cloudservice om de status van een gerapporteerde informatiebeveiligingsgebeurtenis te volgen.

    De aanbieder van clouddiensten moet voorzien in mechanismen voor:

    • de klant van de clouddienst om een gebeurtenis op het gebied van informatiebeveiliging te melden aan de aanbieder van de clouddienst;

    • de aanbieder van de clouddienst om een gebeurtenis op het gebied van informatiebeveiliging te melden aan een klant van de clouddienst;

    • de klant van de cloudservice om de status van een gerapporteerde informatiebeveiligingsgebeurtenis te volgen.

    Verzamelen van bewijsmateriaal

    De klant van de cloudservice en de cloudserviceprovider moeten overeenstemming bereiken over de procedures om te reageren op verzoeken om mogelijk digitaal bewijs of andere informatie vanuit de cloud computing-omgeving.

    De klant van de cloudservice en de cloudserviceprovider moeten overeenstemming bereiken over de procedures om te reageren op verzoeken om mogelijk digitaal bewijs of andere informatie vanuit de cloud computing-omgeving.

    Vaststellen van toepasselijke wetgeving en contractuele eisen

    De klant van de cloudservice moet er rekening mee houden dat de relevante wet- en regelgeving die van rechtsgebieden kan zijn die van toepassing zijn op de cloudserviceprovider, naast die welke van toepassing zijn op de klant van de cloudservice.
    De klant van de cloudservice moet vragen om bewijs van de naleving door de cloudserviceprovider van de relevante regelgeving en normen die vereist zijn voor de activiteiten van de cloudserviceklant. Dergelijk bewijs kunnen de certificeringen zijn die worden geproduceerd door externe auditors.

    De aanbieder van de clouddienst moet de klant van de clouddienst informeren over de rechtsgebieden die van toepassing zijn op de clouddienst.
    De aanbieder van de clouddienst moet zijn eigen relevante wettelijke vereisten vaststellen (bijv. met betrekking tot versleuteling om persoonlijk identificeerbare informatie (PII) te beschermen). Deze informatie moet ook op verzoek aan de klant van de clouddienst worden verstrekt.
    De aanbieder van de clouddienst moet de klant van de clouddienst bewijs leveren van zijn huidige naleving van de toepasselijke wetgeving en contractuele vereisten.

    Intellectuele-eigendomsrechten

    Het installeren van commercieel gelicentieerde software in een cloudservice kan leiden tot een schending van de licentievoorwaarden voor de software. De klant van de cloudservice moet een procedure hebben voor het identificeren van cloudspecifieke licentievereisten voordat hij toestemming geeft om gelicentieerde software in een cloudservice te installeren. Bijzondere aandacht moet worden besteed aan gevallen waarin de clouddienst elastisch en schaalbaar is en de software op meer systemen of processorkernen kan worden uitgevoerd dan volgens de licentievoorwaarden is toegestaan.

    De aanbieder van clouddiensten moet een procedure opzetten voor het reageren op klachten over intellectuele-eigendomsrechten.

    Beschermen van registraties

    De klant van de cloudservice moet informatie opvragen bij de cloudserviceprovider over de bescherming van gegevens die door de cloudserviceprovider worden verzameld en opgeslagen en die relevant zijn voor het gebruik van cloudservices door de klant van de cloudservice.

    De aanbieder van clouddiensten moet informatie verstrekken aan de klant van de clouddienst over de bescherming van gegevens die door de aanbieder van clouddiensten worden verzameld en opgeslagen met betrekking tot het gebruik van clouddiensten door de klant van de clouddienst.

    Voorschriften voor het gebruik van cryptografische beheersmaatregelen

    De klant van de clouddienst dient te verifiëren dat de set cryptografische controles die van toepassing zijn op het gebruik van een clouddienst voldoet aan de relevante afspraken, wet- en regelgeving.

    De cloudserviceprovider moet beschrijvingen van de cryptografische controles die door de cloudserviceprovider zijn geïmplementeerd aan de cloudserviceklant verstrekken om de naleving van de toepasselijke overeenkomsten, wet- en regelgeving te beoordelen.

    Onafhankelijke beoordeling van informatiebeveiliging

    De klant van de cloudservice moet om gedocumenteerd bewijs vragen dat de implementatie van informatiebeveiligingscontroles en -richtlijnen voor de cloudservice in overeenstemming is met eventuele claims van de cloudserviceprovider. Dergelijk bewijs kan certificeringen volgens relevante normen omvatten.

    De aanbieder van clouddiensten moet gedocumenteerd bewijs verstrekken aan de klant van de clouddienst om zijn bewering te staven dat hij informatiebeveiligingsmaatregelen heeft geïmplementeerd.
    Wanneer individuele audits van klanten van clouddiensten onpraktisch zijn of de risico's voor de informatiebeveiliging kunnen vergroten, moet de aanbieder van clouddiensten onafhankelijk bewijs leveren dat de informatiebeveiliging wordt geïmplementeerd en beheerd in overeenstemming met het beleid en de procedures van de aanbieder van clouddiensten. Dit moet beschikbaar worden gesteld aan potentiële klanten van clouddiensten voordat ze een contract aangaan. Een relevante onafhankelijke audit, zoals geselecteerd door de aanbieder van clouddiensten, moet normaliter een aanvaardbare methode zijn om tegemoet te komen aan het belang van de klant van de clouddienst om de activiteiten van de aanbieder van clouddiensten te beoordelen, op voorwaarde dat er voldoende transparantie wordt geboden. Wanneer de onafhankelijke audit onpraktisch is, moet de cloudserviceprovider een zelfbeoordeling uitvoeren en het proces en de resultaten ervan aan de klant van de cloudservice bekendmaken.

    Dit is een document voor publiek gebruik.