|
|
Rollen en verantwoordelijkheden
Implementatiemaatregel
De organisatie (de afnemer, de klant) MOET de rollen en verantwoordelijkheden van alle betrokkenen (incl. aanbieder, afnemer en eventueel onderaannemers) in kaart brengen en contractueel vastleggen voor iedere clouddienst. Het gebruik van clouddiensten MAG gepaard gaan met een gedeelde verantwoordelijkheid voor informatiebeveiliging en samenwerking tussen de aanbieder van de clouddienst en de organisatie die als afnemer van de clouddienst optreedt.
Afhankelijk van de gekozen cloud variant worden verantwoordelijkheden doorgaans op de volgende manieren verdeeld:
Infrastructure as a Service (IaaS):
Verantwoordelijkheid van de aanbieder: Beveiliging van de cloudinfrastructuur, zoals fysieke beveiliging van datacenters, netwerkbeveiliging en virtualisatiebeveiliging.
Verantwoordelijkheid van de afnemer: Beveiliging van besturingssystemen, applicaties, gegevens, toegangscontrole, firewall-configuratie, encryptie en beveiligingspatches.
Platform as a Service (PaaS):
Verantwoordelijkheid van de aanbieder: Beveiliging van de platforminfrastructuur, inclusief beveiliging van het besturingssysteem, databases, middleware en ontwikkeltools.
Verantwoordelijkheid van de afnemer: Beveiliging van de ontwikkelde applicaties, configuratie van toegangscontroles, encryptie van gegevens (DIM, DAR) en bescherming tegen aanvallen zoals bijvoorbeeld SQL-injecties en cross-site scripting (XSS).
Software as a Service (SaaS):
Verantwoordelijkheid van de aanbieder: Volledige verantwoordelijkheid voor de beveiliging van de applicatie-infrastructuur, inclusief gegevensbeveiliging, toegangscontrole, authenticatie, autorisatie, encryptie en naleving van regelgeving.
Verantwoordelijkheid van de afnemer: Beheer van gebruikerstoegang en -rechten binnen de applicatie, configuratie van beveiligingsinstellingen zoals wachtwoordbeleid en multifactorauthenticatie (MFA), en naleving van regelgeving met betrekking tot gegevens die worden verwerkt in de SaaS-applicatie.
Risicobeheer
Implementatiemaatregel
De organisatie (de afnemer, de klant) MOET relevante risicobeoordelingen uitvoeren om de informatieveiligheidsrisico's in verband met het gebruik van clouddiensten te identificeren en de organisatie MOET een risicobehandelplan opstellen conform het risicobeheerbeleid. Het eigenaarschap van gegevensverwerking bij clouddiensten ligt bij de organisatie (de afnemer, de klant) en daarmee ook alle bijkomende risico’s.
Implementatiemaatregel
Het risicobeheer van de organisatie (de afnemer, de klant) MOET de specifieke risico’s met betrekking tot het beheer van persoonsgegevens (ivm GDPR/AVG wetgeving) binnen clouddiensten specifiek beoordelen.
Beveiligingseisen
Implementatiemaatregel
De organisatie (de afnemer, de klant) MOET de beveiligingsvereisten en goede praktijken aangegeven die door de clouddienstleveranciers dienen te worden geïmplementeerd en voortdurend gemonitord.
De organisatie MOET minimaal het volgende definiëren en contractueel vastleggen:
Alle relevante en van toepassing zijnde informatiebeveiligingseisen (zoals gedefinieerd in de andere beleidsdomeinen) in verband met het gebruik van de clouddiensten;
Selectiecriteria voor clouddiensten en de reikwijdte van het gebruik van clouddiensten;
Rollen en verantwoordelijkheden met betrekking tot het gebruik en beheer van clouddiensten;
Welke beheersmaatregelen voor informatiebeveiliging door de aanbieder van de clouddienst worden beheerd en welke door de afnemer van de clouddienst;
Hoe zekerheid kan worden verkregen over de door aanbieders van clouddiensten geïmplementeerde beheersmaatregelen voor informatiebeveiliging (= auditrecht);
Hoe beheersmaatregelen, interfaces en wijzigingen aan diensten behoren te worden beheerd wanneer een organisatie gebruikmaakt van meerdere clouddiensten, met name van verschillende aanbieders van clouddiensten;
Procedures voor het omgaan met informatiebeveiligingsincidenten die zich voordoen met betrekking tot het gebruik van clouddiensten;
De aanpak voor het monitoren, beoordelen en evalueren van het doorlopend gebruik van clouddiensten om informatiebeveiligingsrisico's te beheren;
Hoe het gebruik van clouddiensten kan worden gewijzigd of beëindigd, met inbegrip van exit strategieën.
Implementatiemaatregel
De organisatie MOET ‘vendor lock-in’ voorkomen door voor de producten van iedere cloud leverancier een uitfaseer strategie te definiëren en periodiek te evalueren op dit principe.
Bij grote contracten is het soms moeilijk om ‘vendor lock-in’ te voorkomen omdat de contracten in kwestie een groot deel van de infrastructuur overspannen en er daarom enorme kosten en inspanningen nodig zijn om te wisselen tussen aanbieders. In dat soort gevallen is het belangrijk om een strategie om weg te migreren te onderhouden en de aanbieder voldoende te auditeren om eventuele risico’s op tijd te signaleren. Wanneer het mogelijk is dienen ook terugval mogelijkheden onderhouden worden; in ieder geval voor de meer kritische diensten van de organisatie.
Implementatiemaatregel
Wanneer de clouddienst aanbieder backup functionaliteiten aanbiedt MOETEN de volgende aspecten beschikbaar zijn voor de organisatie:
Scope en planning voor de backups;
Backup methodieken en data formats, inclusief encryptie wanneer relevant;
Retentie periodes voor backups;
Procedures en tijdslijnen voor het herstellen van data;
Opslag locatie voor backups.
Leveranciersovereenkomsten
Zie het beleidsdomein Leveranciersrelaties voor meer details over het afsluiten van een afsprakenkader met leveranciers.
Implementatiemaatregel
De overeenkomst tussen de organisatie (de afnemer, de klant) en de aanbieder van een clouddienst MOET minimaal de volgende bepalingen bevatten voor de bescherming van de gegevens van de organisatie en de beschikbaarheid van diensten:
Het leveren van oplossingen op basis van door de industrie aanvaarde normen voor architectuur en infrastructuur;
Het beheren van toegangsbeveiligingsmaatregelen van de clouddienst conform de eisen van de organisatie;
Het implementeren van oplossingen voor het monitoren van en beschermen tegen malware;
Het verwerken en opslaan van gevoelige informatie van de organisatie op goedgekeurde locaties (bijv. een bepaald land of bepaalde regio) of binnen een bepaald rechtsgebied of krachtens een bepaalde rechtsbevoegdheid;
Het bieden van gerichte steun indien er zich een informatiebeveiligingsincident voordoet in de cloudomgeving;
Het bewerkstelligen dat aan de informatiebeveiligingseisen van de organisatie wordt voldaan indien clouddiensten verder worden uitbesteed aan een externe leverancier (of verbieden dat clouddiensten worden uitbesteed);
De eisen voor netwerksegregatie vanuit de organisatie;
Het ondersteunen van de organisatie bij het verzamelen van digitaal bewijsmateriaal, met inachtneming van wet- en regelgeving inzake digital bewijsmateriaal in verschillende rechtsgebieden;
Het voorzien in passende ondersteuning en beschikbaarheid van diensten gedurende een passend tijdsbestek wanneer de organisatie niet langer gebruik wil maken van de clouddienst;
Het voorzien in de vereiste back-ups van gegevens en configuratie-informatie en het veilig beheren van back-ups voor zover van toepassing, op basis van de capaciteiten van de leverancier van de clouddienst die wordt ingezet door de organisatie in haar rol als afnemer van de clouddienst;
Het verstrekken en retourneren van informatie zoals configuratiebestanden, broncode en gegevens die eigendom zijn van de organisatie in haar rol van afnemer van de clouddienst op verzoek of bij beëindiging van de dienst;
Maatregelen die veilige verwijdering (secure disposal) van data en middelen garanderen;
Notificatie procedures bij datalekken.
Implementatiemaatregel
De organisatie (de afnemer, de klant) MOET de overeenkomsten (contracten) met de aanbieder van clouddiensten minimaal één keer per jaar evalueren.
Implementatiemaatregel
De organisatie (de afnemer, de klant) van de clouddienst MOET door de aanbieder van de clouddienst op voorhand op de hoogte gesteld worden van toekomstige wezenlijke wijzigingen aan hoe diensten worden geleverd, waaronder:
Wijzigingen aan de technische infrastructuur (bijv. verhuizing, herconfiguratie of wijzigingen in hardware of software) die van invloed zijn op, of tot veranderingen leiden in, de aangeboden clouddienst;
Het verwerken of opslaan van informatie in een nieuw geografisch of juridisch rechtsgebied;
Het gebruik van collega-aanbieders van clouddiensten of andere onderaannemers (met inbegrip van het wijzigen van bestande of het gebruik van nieuwe partijen).
Implementatiemaatregel
De organisatie (de afnemer, de klant) die clouddiensten gebruikt MOET nauw contact onderhouden met haar aanbieders van de clouddiensten. Deze contacten MOETEN wederzijdse uitwisseling van informatie over informatiebeveiliging mogelijk maken, met inbegrip van een mechanisme voor zowel de aanbieder als de organisatie om elk kenmerk van de diensten te monitoren en tekortkomingen ten opzichte van de in de overeenkomsten opgenomen verbintenissen te melden.
De volgende tabel levert gedetailleerde informatie over specifieke beheersmaatregelen die overwogen dienen te worden bij het opstellen van de informatiebeveiligingseisen voor cloud computing diensten en het contractueel vastleggen van deze eisen met leveranciers. Hierbij is er onderscheid gemaakt tussen wat de organisatie (de afnemer, de klant) zou moeten doen en wat de aanbieder zou moeten doen.
Onderwerp | Afnemer | Aanbieder |
Beleidsregels voor informatiebeveiliging | Een informatiebeveiligingsbeleid voor cloud computing moet worden gedefinieerd als een onderwerpspecifiek beleid van de klant van de cloudservice. Het informatiebeveiligingsbeleid van de klant van de cloudservice voor cloud computing moet consistent zijn met de aanvaardbare niveaus van informatiebeveiligingsrisico's van de organisatie voor haar informatie en andere activa. | De aanbieder van clouddiensten moet zijn informatiebeveiligingsbeleid uitbreiden om de levering en het gebruik van zijn clouddiensten aan te pakken, rekening houdend met het volgende: |
Rollen en verantwoordelijkheden bij informatiebeveiliging | De klant van de cloudservice moet met de aanbieder van de cloudservice overeenstemming bereiken over een passende toewijzing van rollen en verantwoordelijkheden op het gebied van informatiebeveiliging en bevestigen dat hij de aan hem toegewezen rollen en verantwoordelijkheden kan vervullen. De taken en verantwoordelijkheden van beide partijen op het gebied van informatiebeveiliging moeten in een overeenkomst worden vastgelegd. | De aanbieder van clouddiensten moet een passende toewijzing van rollen en verantwoordelijkheden op het gebied van informatiebeveiliging overeenkomen en documenteren met zijn klanten van clouddiensten, zijn aanbieders van clouddiensten en zijn leveranciers. |
Contact met overheidsinstanties | De klant van de clouddienst moet de autoriteiten identificeren die relevant zijn voor de gecombineerde werking van de klant van de clouddienst en de aanbieder van de clouddienst. | De aanbieder van clouddiensten moet de klant van de clouddienst informeren over de geografische locaties van de organisatie van de aanbieder van clouddiensten en de landen waar de aanbieder van de clouddienst de klantgegevens van de clouddienst kan opslaan. |
Gedeelde rollen en verantwoordelijkheden binnen een cloud computing-omgeving | De klant van de cloudservice moet zijn bestaande beleid en procedures definiëren of uitbreiden in overeenstemming met zijn gebruik van cloudservices, en gebruikers van cloudservices bewust maken van hun rollen en verantwoordelijkheden bij het gebruik van de cloudservice. | De aanbieder van clouddiensten moet zijn capaciteiten, rollen en verantwoordelijkheden op het gebied van informatiebeveiliging voor het gebruik van zijn cloudservice documenteren en communiceren, samen met de rollen en verantwoordelijkheden op het gebied van informatiebeveiliging die de klant van de cloudservice zou moeten implementeren en beheren als onderdeel van zijn gebruik van de cloudservice. |
Bewustzijn, opleiding en training ten aanzien van informatiebeveiliging | De klant van de cloudservice moet de volgende items toevoegen aan bewustmakings-, opleidings- en trainingsprogramma's voor bedrijfsmanagers van cloudservices, beheerders van cloudservices, integrators van cloudservices en gebruikers van cloudservices, met inbegrip van relevante werknemers en contractanten: | De aanbieder van clouddiensten moet werknemers bewustwording, opleiding en training bieden en contractanten verzoeken hetzelfde te doen met betrekking tot de juiste omgang met klantgegevens van clouddiensten en van clouddiensten afgeleide gegevens. Deze gegevens kunnen informatie bevatten die vertrouwelijk is voor een klant van een cloudservice of onderworpen zijn aan specifieke beperkingen, waaronder wettelijke beperkingen, op toegang en gebruik door de cloudserviceprovider. |
Inventariseren van bedrijfsmiddelen | In de inventaris van activa van de cloudserviceklant moet rekening worden gehouden met informatie en bijbehorende activa die zijn opgeslagen in de cloud computing-omgeving. In de gegevens van de inventaris moet worden aangegeven waar de activa worden bewaard, bijvoorbeeld de identificatie van de clouddienst. | In de inventaris van activa van de aanbieder van clouddiensten moet expliciet het volgende worden vermeld: |
Verwijdering van cloud-service klantendata en assets | De klant van de cloudservice moet vragen om een gedocumenteerde beschrijving van het proces voor beëindiging van de service die betrekking heeft op het retourneren en verwijderen van de activa van de cloudserviceklant, gevolgd door de verwijdering van alle kopieën van die activa uit de systemen van de cloudserviceprovider. | De aanbieder van clouddiensten moet informatie verstrekken over de regelingen voor de teruggave en verwijdering van activa van klanten van clouddiensten bij beëindiging van de overeenkomst voor het gebruik van een clouddienst. |
Informatie labelen | De klant van de cloudservice moet informatie en bijbehorende activa die in de cloud computing-omgeving worden onderhouden, labelen in overeenstemming met de door de klant van de cloudservice vastgestelde procedures voor labeling. Indien van toepassing kan de functionaliteit van de cloudserviceprovider die etikettering ondersteunt, worden overgenomen. | De aanbieder van clouddiensten moet alle servicefunctionaliteit die hij biedt, documenteren en openbaar maken, zodat klanten van clouddiensten hun informatie en bijbehorende activa kunnen classificeren en labelen. |
Toegang tot netwerken en netwerkdiensten | In het toegangscontrolebeleid van de klant van de cloudservice voor het gebruik van netwerkservices moeten vereisten worden gespecificeerd voor gebruikerstoegang tot elke afzonderlijke cloudservice die wordt gebruikt. | - |
Registratie en afmelden van gebruikers | - | Om de toegang tot clouddiensten voor de gebruikers van clouddiensten van een cloudserviceklant te beheren, moet de cloudserviceprovider gebruikersregistratie- en uitschrijvingsfuncties en specificaties voor het gebruik van deze functies aan de klant van de cloudservice verstrekken. |
Gebruikers toegang verlenen | - | De aanbieder van clouddiensten moet voorzien in functies voor het beheer van de toegangsrechten van de gebruikers van de clouddienstenklant van de clouddienst, en in specificaties voor het gebruik van deze functies. |
Beheren van speciale toegangsrechten | De klant van de clouddienst moet voldoende authenticatietechnieken gebruiken (bv. multi-factor authenticatie) om de beheerders van de cloudservice van de klant van de cloudservice te authenticeren voor de administratieve mogelijkheden van een cloudservice op basis van de geïdentificeerde risico's. | De aanbieder van clouddiensten moet voorzien in voldoende authenticatietechnieken voor het verifiëren van de beheerders van clouddiensten van de klant van de clouddienst voor de administratieve mogelijkheden van een clouddienst, in overeenstemming met de geïdentificeerde risico's. De cloudserviceprovider kan bijvoorbeeld mogelijkheden voor multi-factor authenticatie bieden of het gebruik van multi-factor authenticatiemechanismen van derden mogelijk maken. |
Beheer van geheime authenticatie-informatie van gebruikers | De klant van de cloudservice moet controleren of de beheerprocedure van de cloudserviceprovider voor het toewijzen van geheime authenticatiegegevens, zoals wachtwoorden, voldoet aan de vereisten van de klant van de cloudservice. | De aanbieder van clouddiensten moet informatie verstrekken over procedures voor het beheer van de geheime authenticatie-informatie van de klant van de cloudservice, met inbegrip van de procedures voor de toewijzing van dergelijke informatie en voor de authenticatie van de gebruiker. |
Beperking toegang tot informatie | De klant van de clouddienst dient ervoor te zorgen dat de toegang tot informatie in de clouddienst kan worden beperkt in overeenstemming met zijn toegangscontrolebeleid en dat dergelijke beperkingen worden gerealiseerd. Dit omvat het beperken van de toegang tot cloudservices, cloudservicefuncties en klantgegevens van cloudservices die in de service worden bijgehouden. | De aanbieder van clouddiensten moet toegangscontroles uitvoeren waarmee de klant van de clouddienst de toegang tot zijn clouddiensten, zijn cloudservicefuncties en de klantgegevens van de cloudservice die in de dienst worden bijgehouden, kan beperken. |
Speciale systeemhulpmiddelen gebruiken | Waar het gebruik van hulpprogramma's is toegestaan, moet de klant van de cloudservice de hulpprogramma's identificeren die in zijn cloud computing-omgeving moeten worden gebruikt en ervoor zorgen dat deze de controles van de cloudservice niet verstoren. | De cloudserviceprovider moet de vereisten identificeren voor alle hulpprogramma's die binnen de cloudservice worden gebruikt. |
Segregatie in virtuele computeromgevingen | - | De aanbieder van cloudservices moet een passende logische scheiding afdwingen van klantgegevens van cloudservices, gevirtualiseerde applicaties, besturingssystemen, opslag en netwerk voor: |
Virtuele machine-hardening | Bij het configureren van virtuele machines moeten klanten van cloudservices en cloudserviceproviders ervoor zorgen dat de juiste aspecten worden versterkt (bijv. alleen die poorten, protocollen en services die nodig zijn) en dat de juiste technische maatregelen zijn getroffen (bijv. anti-malware, logboekregistratie) voor elke gebruikte virtuele machine. | Bij het configureren van virtuele machines moeten klanten van cloudservices en cloudserviceproviders ervoor zorgen dat de juiste aspecten worden versterkt (bijv. alleen die poorten, protocollen en services die nodig zijn) en dat de juiste technische maatregelen zijn getroffen (bijv. anti-malware, logboekregistratie) voor elke gebruikte virtuele machine. |
Beleid inzake het gebruik van cryptografische beheersmaatregelen | De klant van de clouddienst moet cryptografische controles implementeren voor zijn gebruik van clouddiensten indien de risicoanalyse dit rechtvaardigt. De controles moeten krachtig genoeg zijn om de vastgestelde risico's te beperken, ongeacht of die controles worden uitgevoerd door de klant van de clouddienst of door de aanbieder van clouddiensten. | De aanbieder van de clouddienst moet de klant van de clouddienst informatie verstrekken over de omstandigheden waarin hij cryptografie gebruikt om de informatie die hij verwerkt te beschermen. De cloudserviceprovider moet ook informatie verstrekken aan de klant van de cloudservice over eventuele mogelijkheden die hij biedt om de klant van de cloudservice te helpen bij het toepassen van zijn eigen cryptografische beveiliging. |
Sleutelbeheer | De klant van de cloudservice moet de cryptografische sleutels voor elke cloudservice identificeren en procedures voor sleutelbeheer implementeren. | - |
Veilig verwijderen of hergebruiken van apparatuur | De klant van de cloudservice moet om bevestiging vragen dat de cloudserviceprovider beschikt over het beleid en de procedures voor veilige verwijdering of hergebruik van bronnen. | De aanbieder van clouddiensten moet ervoor zorgen dat er tijdig regelingen worden getroffen voor de veilige verwijdering of het hergebruik van middelen (bijv. apparatuur, gegevensopslag, bestanden, geheugen). |
Wijzigingsbeheer | In het wijzigingsbeheerproces van de klant van de cloudservice moet rekening worden gehouden met de impact van eventuele wijzigingen die door de cloudserviceprovider worden aangebracht. | De aanbieder van de clouddienst moet de klant van de clouddienst informatie verstrekken over wijzigingen in de clouddienst die een negatieve invloed kunnen hebben op de clouddienst. Het volgende helpt de klant van de cloudservice om te bepalen welk effect de wijzigingen kunnen hebben op de informatiebeveiliging: |
Capaciteitsbeheer | De klant van de cloudservice moet ervoor zorgen dat de overeengekomen capaciteit die door de cloudservice wordt geleverd, voldoet aan de eisen van de klant van de cloudservice. | De cloudserviceprovider moet de totale resourcecapaciteit bewaken om informatiebeveiligingsincidenten te voorkomen die worden veroorzaakt door tekorten aan resources. |
Beheerder's operationele beveiligingsprocedures | De klant van de cloudservice moet procedures documenteren voor kritieke bewerkingen waarbij een storing onherstelbare schade kan veroorzaken aan activa in de cloud computing-omgeving. | De cloudserviceprovider moet documentatie over de kritieke bewerkingen en procedures verstrekken aan klanten van cloudservices die dit nodig hebben. |
Back-up van informatie | Wanneer de cloudserviceprovider back-upcapaciteit biedt als onderdeel van de cloudservice, moet de klant van de cloudservice de specificaties van de back-upcapaciteit opvragen bij de cloudserviceprovider. De klant van de cloudservice moet ook controleren of hij voldoet aan zijn back-upvereisten. | De cloudserviceprovider moet de specificaties van zijn back-upmogelijkheden aan de klant van de cloudservice verstrekken. De specificaties moeten in voorkomend geval de volgende informatie bevatten: |
Gebeurtenissen registreren | De klant van de cloudservice moet zijn vereisten voor gebeurtenisregistratie definiëren en controleren of de cloudservice aan die vereisten voldoet. | De cloudserviceprovider moet logboekregistratiemogelijkheden bieden aan de klant van de cloudservice. |
Logbestanden van beheerders en operators | Als een bevoorrechte bewerking wordt gedelegeerd aan de klant van de cloudservice, moeten de bewerking en prestaties van die bewerkingen worden geregistreerd. De klant van de cloudservice moet bepalen of de registratiemogelijkheden van de cloudserviceprovider geschikt zijn of dat de klant van de cloudservice aanvullende registratiemogelijkheden moet implementeren. | - |
Kloksynchronisatie | De klant van de cloudservice moet informatie opvragen over de kloksynchronisatie die wordt gebruikt voor de systemen van de cloudserviceprovider. | De cloudserviceprovider moet informatie verstrekken aan de klant van de cloudservice over de klok die wordt gebruikt door de systemen van de cloudserviceprovider en informatie over hoe de klant van de cloudservice lokale klokken kan synchroniseren met de klok van de cloudservice. |
Monitoring van clouddiensten | De klant van de cloudservice moet bij de cloudserviceprovider informatie opvragen over de servicebewakingsmogelijkheden die beschikbaar zijn voor elke cloudservice. | De aanbieder van clouddiensten moet mogelijkheden bieden die de klant van de clouddienst in staat stellen om specifieke aspecten van de werking van de clouddiensten te monitoren die relevant zijn voor de klant van de clouddienst. Bijvoorbeeld om te monitoren en te detecteren of de cloudservice wordt gebruikt als platform om anderen aan te vallen, of dat er gevoelige gegevens uit de cloudservice worden gelekt. Passende toegangscontroles moeten het gebruik van de bewakingscapaciteiten waarborgen. De mogelijkheden moeten alleen toegang bieden tot informatie over de eigen cloudservice-instanties van de cloudserviceklant. |
Beheer van technische kwetsbaarheden | De klant van de cloudservice moet informatie opvragen bij de cloudserviceprovider over het beheer van technische kwetsbaarheden die van invloed kunnen zijn op de geleverde cloudservices. De klant van de cloudservice moet de technische kwetsbaarheden identificeren die hij moet beheren en duidelijk een proces definiëren om deze te beheren. | De aanbieder van de clouddienst moet de klant informatie ter beschikking stellen over het beheer van technische kwetsbaarheden die van invloed kunnen zijn op de geleverde clouddiensten. |
Scheiding in netwerken | De klant van de cloudservice moet zijn vereisten voor het scheiden van netwerken definiëren om tenantisolatie in de gedeelde omgeving van een cloudservice te bereiken en controleren of de cloudserviceprovider aan deze vereisten voldoet. | De aanbieder van clouddiensten moet scheiding van netwerktoegang afdwingen in de volgende gevallen: |
Afstemming van beveiligingsbeheer voor virtuele en fysieke netwerken | - | De aanbieder van clouddiensten moet een informatiebeveiligingsbeleid definiëren en documenteren voor de configuratie van het virtuele netwerk dat consistent is met het informatiebeveiligingsbeleid voor het fysieke netwerk. De cloudserviceprovider moet ervoor zorgen dat de configuratie van het virtuele netwerk overeenkomt met het informatiebeveiligingsbeleid, ongeacht de middelen die zijn gebruikt om de configuratie te maken. |
Analyse en specificatie van informatiebeveiligingseisen | De klant van de cloudservice moet zijn informatiebeveiligingsvereisten voor de cloudservice bepalen en vervolgens evalueren of services die door een cloudserviceprovider worden aangeboden, aan deze vereisten kunnen voldoen. | De cloudserviceprovider moet informatie verstrekken aan de klanten van de cloudservice over de informatiebeveiligingsmogelijkheden die ze gebruiken. Deze informatie moet informatief zijn zonder informatie vrij te geven die nuttig kan zijn voor iemand met kwade bedoelingen. |
Beleid voor beveiligd ontwikkelen | De klant van de cloudservice moet informatie opvragen bij de cloudserviceprovider over het gebruik van veilige ontwikkelingsprocedures en -praktijken door de cloudserviceprovider | De aanbieder van clouddiensten moet informatie verstrekken over zijn gebruik van veilige ontwikkelingsprocedures en -praktijken voor zover dit verenigbaar is met zijn beleid inzake openbaarmaking. |
Informatiebeveiligingsbeleid voor leveranciersrelaties | De klant van de cloudservice moet de cloudserviceprovider als type leverancier opnemen in zijn informatiebeveiligingsbeleid voor leveranciersrelaties. Dit zal helpen om de risico's te beperken die gepaard gaan met de toegang van de cloudserviceprovider tot en het beheer van de klantgegevens van de cloudservice. | - |
Opnemen van beveiligingsaspecten in leveranciersovereenkomsten | De klant van de cloudservice moet de rollen en verantwoordelijkheden op het gebied van informatiebeveiliging met betrekking tot de cloudservice bevestigen, zoals beschreven in de serviceovereenkomst. Deze kunnen de volgende processen omvatten: | De aanbieder van clouddiensten moet als onderdeel van een overeenkomst de relevante informatiebeveiligingsmaatregelen specificeren die de aanbieder van clouddiensten zal implementeren om misverstanden tussen de aanbieder van de clouddienst en de klant van de clouddienst te voorkomen. |
Toeleveringsketen van informatie- en communicatietechnologie | - | Als een cloudserviceprovider gebruikmaakt van cloudservices van vergelijkbare cloudserviceproviders, moet de cloudserviceprovider ervoor zorgen dat de informatiebeveiligingsniveaus voor zijn eigen cloudserviceklanten worden gehandhaafd of overschreden. |
Verantwoordelijkheden en procedures | De klant van de cloudservice moet de toewijzing van verantwoordelijkheden voor het beheer van informatiebeveiligingsincidenten verifiëren en ervoor zorgen dat deze voldoet aan de eisen van de klant van de cloudservice. | Als onderdeel van de servicespecificaties moet de aanbieder van clouddiensten de toewijzing van verantwoordelijkheden en procedures voor het beheer van informatiebeveiligingsincidenten tussen de klant van de cloudservice en de aanbieder van cloudservices definiëren. De aanbieder van de clouddienst moet de klant van de clouddienst voorzien van documentatie met betrekking tot: |
Rapportage van informatiebeveiligingsgebeurtenissen | De klant van de cloudservice moet bij de aanbieder van de cloudservice informatie opvragen over de mechanismen voor: | De aanbieder van clouddiensten moet voorzien in mechanismen voor: |
Verzamelen van bewijsmateriaal | De klant van de cloudservice en de cloudserviceprovider moeten overeenstemming bereiken over de procedures om te reageren op verzoeken om mogelijk digitaal bewijs of andere informatie vanuit de cloud computing-omgeving. | De klant van de cloudservice en de cloudserviceprovider moeten overeenstemming bereiken over de procedures om te reageren op verzoeken om mogelijk digitaal bewijs of andere informatie vanuit de cloud computing-omgeving. |
Vaststellen van toepasselijke wetgeving en contractuele eisen | De klant van de cloudservice moet er rekening mee houden dat de relevante wet- en regelgeving die van rechtsgebieden kan zijn die van toepassing zijn op de cloudserviceprovider, naast die welke van toepassing zijn op de klant van de cloudservice. | De aanbieder van de clouddienst moet de klant van de clouddienst informeren over de rechtsgebieden die van toepassing zijn op de clouddienst. |
Intellectuele-eigendomsrechten | Het installeren van commercieel gelicentieerde software in een cloudservice kan leiden tot een schending van de licentievoorwaarden voor de software. De klant van de cloudservice moet een procedure hebben voor het identificeren van cloudspecifieke licentievereisten voordat hij toestemming geeft om gelicentieerde software in een cloudservice te installeren. Bijzondere aandacht moet worden besteed aan gevallen waarin de clouddienst elastisch en schaalbaar is en de software op meer systemen of processorkernen kan worden uitgevoerd dan volgens de licentievoorwaarden is toegestaan. | De aanbieder van clouddiensten moet een procedure opzetten voor het reageren op klachten over intellectuele-eigendomsrechten. |
Beschermen van registraties | De klant van de cloudservice moet informatie opvragen bij de cloudserviceprovider over de bescherming van gegevens die door de cloudserviceprovider worden verzameld en opgeslagen en die relevant zijn voor het gebruik van cloudservices door de klant van de cloudservice. | De aanbieder van clouddiensten moet informatie verstrekken aan de klant van de clouddienst over de bescherming van gegevens die door de aanbieder van clouddiensten worden verzameld en opgeslagen met betrekking tot het gebruik van clouddiensten door de klant van de clouddienst. |
Voorschriften voor het gebruik van cryptografische beheersmaatregelen | De klant van de clouddienst dient te verifiëren dat de set cryptografische controles die van toepassing zijn op het gebruik van een clouddienst voldoet aan de relevante afspraken, wet- en regelgeving. | De cloudserviceprovider moet beschrijvingen van de cryptografische controles die door de cloudserviceprovider zijn geïmplementeerd aan de cloudserviceklant verstrekken om de naleving van de toepasselijke overeenkomsten, wet- en regelgeving te beoordelen. |
Onafhankelijke beoordeling van informatiebeveiliging | De klant van de cloudservice moet om gedocumenteerd bewijs vragen dat de implementatie van informatiebeveiligingscontroles en -richtlijnen voor de cloudservice in overeenstemming is met eventuele claims van de cloudserviceprovider. Dergelijk bewijs kan certificeringen volgens relevante normen omvatten. | De aanbieder van clouddiensten moet gedocumenteerd bewijs verstrekken aan de klant van de clouddienst om zijn bewering te staven dat hij informatiebeveiligingsmaatregelen heeft geïmplementeerd. |
Regelgeving en standaarden (L1)
ISO 27001:2022 (Annex A)
ISO 27017:2021
ISO 27017 is de code of practice voor beheersmaatregelen voor clouddiensten en bevat aanvullende maatregelen bovenop de bestaande ISO 27001 Annex A. Deze aanvullingen op ISO 27001 zijn verwerkt in het Cloudbeveiligingsbeleid.
Informatieclassificatieraamwerk van de Vlaamse overheid (L2)
Het ICR heeft een aanvullende toelichting op het gebruik van virtuele netwerken en cloud computing. Zie voor meer informatie het ICR portaal.
Vlaamse Toezichtcommissie (VTC)
Het VTC heeft enkele adviezen en richtlijnen gepubliceerd over het verwerken van persoonsgegevens in eigen datacenters of die van al dan niet Europese verwerkers. Deze richtlijnen betreffen de (on)mogelijkheden en voorwaarden voor het gebruik van de publieke cloud. Zie voor meer informatie de Cloud pagina op het VTC portaal.
Titel | Auteur | Datum | Versie | Status | Opmerkingen |
|---|---|---|---|---|---|
Eerste versie van cloud policy | Bart Breunesse | april 2024 | 0.1 | ||
Update met aanvullende richtlijnen uit ISO 27017 en verwijzing naar de richtlijnen van het VTC | Vincent Alwicher | augustus 2024 | 0.2 |