Veiligheidspolicy met betrekking tot Cloud Computing
Services
Information Security Guidelines
Versie : 1.00
20 maart 2014
ISMS
(Information Security Management System)
Veiligheidspolicy met betrekking tot Cloud Computing Services
Version control – please always check if you are using the latest version.
Doc. Ref. :isms.050.cloud computing policy.nl.v1.00
Release
Status
Date
NL_1.00
Final
19/03/2014
Written by
Edited by
Approved by
Opmerking: In dit document werd rekening gehouden met de opmerkingen die geformuleerd werden door een
werkgroep waaraan de volgende personen hebben deelgenomen: de heer Houbaille (KSZ), Costrop (Smals), Petit
(FBZ), Perot (RSZ), Quewet (FOD Volksgezondheid), Symons (RVA), Van Cutsem (RSZPPO), Van der Goten (RIZIV). Maar
ook met die van de werkgroep van FEDICT.
Veiligheidspolicy met betrekking tot Cloud Computing
Services
Information Security Guidelines
Versie: 1.00
20 maart 2014
INHOUDSOPGAVE
1.
INLEIDING ........................................................................................................................................................... 3
2.
SCOPE ................................................................................................................................................................. 3
3.
DOELSTELLING .................................................................................................................................................... 3
4.
RISICO'S VERBONDEN AAN DE "CLOUD" ............................................................................................................. 3
5.
POLICY ................................................................................................................................................................ 4
5.1.
5.2.
5.3.
5.4.
6.
BIJLAGE : ............................................................................................................................................................. 9
6.1.
6.2.
6.3.
7.
ALGEMENE DIRECTIVES ............................................................................................................................................ 4
UITVOERINGSWAARBORG DOOR DE PROVIDER ............................................................................................................... 4
NALEVING VAN DE GOEDE PRAKTIJKEN DOOR DE PROVIDER ............................................................................................... 6
NALEVING VAN DE WETTELIJKE EN TECHNISCHE VERPLICHTINGEN BIJ DE VERWERKING VAN PERSOONSGEGEVENS ......................... 8
IS ER EEN VERSCHIL TUSSEN IT-UITBESTEDING EN “CLOUD COMPUTING”? ........................................................................... 9
“CLOUD COMPUTING” MODELLEN .............................................................................................................................. 9
VOORBEREIDING BIJ MIGRATIE NAAR EEN "CLOUD COMPUTING"-INFRASTRUCTUUR .............................................................. 9
REFERENTIES: .....................................................................................................................................................10
P2
Veiligheidspolicy met betrekking tot Cloud Computing
Services
Information Security Guidelines
Versie: 1.00
20 maart 2014
1. Inleiding
De bedoeling van dit document is om de veiligheidseisen vast te leggen wanneer een instelling van sociale
zekerheid een beroep wenst te doen op "Cloud Computing"-services. Hierbij is het belangrijk zich ervan te
vergewissen dat de "Cloud Computing"-provider voldoende waarborgen biedt op het vlak van de bescherming
van de gegevens, de naleving van de privacywet maar ook op het vlak van de duurzame bewaring van de
gegevens en van de juridische en technische bepalingen die in acht moeten worden genomen bij de realisatie van
de prestaties.
In het kader van deze policy wordt onder het begrip "Cloud Computing" verstaan alle "Cloud"-services zoals
1
vastgelegd door het NIST maar ook elke IT-uitbesteding. Bij "Cloud"-services gaat het immers louter om
informatica-oplossingen die worden geoutsourcet en waarbij een soepele stockeerruimte gecombineerd wordt
met toegankelijkheid van de gegevens van overal ter wereld (zie bijlage 6.1: Is er een verschil tussen ITuitbesteding en “Cloud Computing”?).
2. Scope
2
Deze policy is bedoeld voor de instellingen van sociale zekerheid die vertrouwelijke gegevens verwerken en die
een beroep wensen te doen op “Cloud Computing” providers.
3. Doelstelling
Dit veiligheidsbeleid heeft als doelstelling de minimale (technische en juridische) veiligheidsvereisten en de
contractuele waarborgen vast te leggen wanneer een instelling een beroep wenst te doen op "Cloud Computing"dienstverleningen. Het is hiertoe noodzakelijk dat de "Cloud Computing"-provider voldoende waarborgen biedt
met betrekking tot de contractuele voorwaarden, de omkadering van transfers, de veiligheid van gegevens en de
bescherming van de privacy. Dit laat de instelling toe zich te vergewissen van de verwachte kwaliteit van de
dienst.
4. Risico's verbonden aan de "Cloud"
De overgang naar Cloud Computing vereist een strenge aanpak op het vlak van het beheer van de
veiligheidstechnische, contractuele en juridische risico's. De instelling die een beroep wenst te doen op een
"Cloud"-provider moet zich ervan vergewissen dat die provider de geschikte veiligheidsmaatregelen kan
toepassen, om zich te beschermen tegen de risico's van de Cloud en in verband met de traditionele
informaticaverwerkingen en in het bijzonder tegen de risico’s die relevant zijn voor de bescherming van de
persoonsgegevens. De belangrijkste risico's die op dat vlak werden geïdentificeerd, zijn de volgende:
•
•
•
•
•
een verminderde governance met betrekking tot de verwerking;
de risico’s verbonden aan de onderaannemers van de leverancier, bijvoorbeeld een fout in de
onderaannemingsketen wanneer de leverancier zelf een beroep doet op derden om een dienst te leveren;
de technische afhankelijkheid ten opzichte van de provider van de Cloud Computing-oplossing, bijvoorbeeld
het risico dat er gegevens verloren gaan bij migratie naar een andere provider of een interne oplossing;
een gegevenslek, met andere woorden het risico dat gegevens die op een (virtueel) systeem zijn gehost,
gewijzigd kunnen worden of toegankelijk zijn voor niet-gemachtigde derden naar aanleiding van een
tekortkoming of een slecht beheer van de provider;
de uitvoering van juridische vorderingen op basis van een buitenlands recht zonder overleg met de nationale
instanties;
1
National Institute of Standards & Technologie
2
In deze policy verstaat men onder vertrouwelijke gegevens alles gegevens die niet openbaar zijn.
P3
Veiligheidspolicy met betrekking tot Cloud Computing
Services
Information Security Guidelines
Versie: 1.00
•
•
•
•
•
20 maart 2014
het niet-naleven van de regels die door de instelling werden uitgevaardigd met betrekking tot de bewaring en
de vernietiging van gegevens, o.a. bij een ondoeltreffende of onbeveiligde vernietiging van de gegevens of
een te lange bewaarduur;
problemen bij het beheren van de toegangsrechten;
de onbeschikbaarheid van de dienst geleverd door de provider;
de stopzetting van de dienst door de provider (bv. als gevolg van een gerechtelijke beslissing of de overname
van de provider door een derde of bij een faillissement);
de niet-overeenstemming met de regelgeving, in het bijzonder met betrekking tot internationale transfers.
3
Een uitgebreide, niet-exhaustieve lijst van 35 risico's die door het ENISA werd meegedeeld, kan in overweging
worden genomen bij de risicoanalyse zodra het kader van het project is vastgelegd.
5. Policy
5.1. Algemene richtlijnen
•
•
•
•
•
•
Alvorens een beroep te doen op de Cloud Computing, moet de instelling die verantwoordelijk is voor de
verwerking duidelijk de gegevens, de verwerkingen of de diensten identificeren die in de Cloud worden
gehost. Bij de bepaling van de return on investment moet rekening gehouden worden met de
veiligheidseisen.
Wanneer de classificatie van de gegevens dit vereist, moet de verantwoordelijke instelling de minimale
voorwaarden of de beperkingen bij de overmaking ervan vastleggen.
Krachtens de definitie opgenomen in de wet van 15 augustus 2012 houdende oprichting en organisatie
van een federale dienstenintegrator heeft informatieveiligheid betrekking op alle gegevens en niet enkel
op de persoonsgegevens. Hiertoe moeten de gegevens worden geïnventariseerd en geclassificeerd
volgens hun kriticiteit overeenkomstig het model voor classificatie van de gegevens dat binnen de
instelling geldt.
Het is noodzakelijk om het geschikte type Cloud voor de beoogde verwerking te identificeren in functie
van het huidige aanbod inzake “cloud computing” (zie bijlage 6.2).
Het is noodzakelijk om de eigen veiligheidstechnische en juridische eisen te bepalen. De bedoeling van de
Cloud is immers om de instelling van bepaalde operationele taken te ontlasten. Daarom moet de instelling
zich ervan vergewissen dat de provider minstens even hoge eisen stelt als zijzelf. Wat de gegevens en de
4
businessverwerking betreft, moet de instelling zich vergewissen van de omkeerbaarheid en van een
afdoend beschikbaarheidsniveau.
In functie van de scope van het project, de kriticiteit van de activa (op het vlak van beschikbaarheid,
integriteit en vertrouwelijkheid) en het verwachte model van “cloud computing” dient de instelling een
risicoanalyse te verrichten om de gepaste veiligheidsmaatregelen te bepalen die van de provider worden
geëist.
5.2. Uitvoeringswaarborg door de provider
Elke instelling van sociale zekerheid die vertrouwelijke gegevens wenst te verwerken in een "Cloud" die door
een provider wordt beheerd, moet de volgende contractuele waarborgen in acht nemen:
3
Europees Agentschap belast met de beveiliging van de netwerken en van de informatiegegevens. Dit verslag is
beschikbaar op het volgende adres: http://www.enisa.europa.eu/activities/risk-management/files/deliverables/cloudcomputing-risk-assessment
4
Definitie: de omkeerbaarheid is de mogelijkheid om terug te keren naar een vroegere leefbare situatie of organisatie.
Hierdoor wordt een blokkerende situatie vermeden waarbij het niet mogelijk is om naar een vroegere situatie terug te
keren of waarbij er een afhankelijkheid is ten opzichte van één enkele dienstverlener..
P4
Veiligheidspolicy met betrekking tot Cloud Computing
Services
Information Security Guidelines
Versie: 1.00
20 maart 2014
1.
Clausule met betrekking tot de mogelijkheid voor een "cloud"-provider om een deel van zijn
activiteiten uit te besteden.
• De serviceprovider is als enige verantwoordelijk ten opzichte van de instelling voor de
uitvoering van zijn verplichtingen, dus ook wanneer hij bepaalde van zijn taken uitbesteedt.
• In het vooruitzicht van de uitbesteding van bepaalde specifieke taken aan onderaannemers,
moet in de overeenkomst worden vastgelegd dat de "Cloud"-provider de instelling op de
hoogte moet brengen. Bovendien moet de provider zich formeel ertoe verbinden alle
verplichtingen die hem zijn opgelegd, over te nemen in de verbintenissen die hij met zijn
onderaannemers zal afsluiten.
• De provider moet zich ervan vergewissen dat deze verbintenissen worden nageleefd door
zijn onderaannemers. Hiertoe verricht hij de nodige controles. De uitvoeringsvoorwaarden
van deze controles moeten in de overeenkomst worden vastgelegd.
2.
Clausule met betrekking tot de integriteit, continuïteit en kwaliteit van de dienstverlening
• De provider moet alle maatregelen treffen om de integriteit van de gegevens die tijdens de
duur van de overeenkomst worden verwerkt, te garanderen, bijvoorbeeld back-upsystemen
voorzien.
• Een verbintenis met betrekking tot een serviceniveau (SLA: Service Level Agreement) moet
in een akkoord worden geformaliseerd dat wordt bijgevoegd bij de overeenkomst die
tussen de instelling en de "cloud"-provider wordt afgesloten. Daarin worden onder andere
bepaald, inclusief voor de garantieperiode, de beschikbaarheid van de service en de
maximale opstarttijd na onderbreking te wijten aan een incident en alle andere criteria met
5
betrekking tot het heropstarten van de activiteiten (RTO en RPO) .
• De gedetailleerde maatregelen die de continuïteit van de dienstverlening waarborgen,
moeten eveneens worden opgenomen in de SLA die wordt bijgevoegd bij de overeenkomst.
3.
Clausule met betrekking tot de teruggave van de gegevens
• De provider verbindt zich ertoe om de gegevens van de instelling niet langer te bewaren
dan voor de duur die met de instelling werd afgesproken.
• Bij vroegtijdige verbreking of bij einde prestatie verbindt de provider zich ertoe om alle
gegevens van de instelling binnen de afgesproken termijn en op de afgesproken manier
terug te geven in een gestructureerd en courant gebruikt formaat zodat de instelling de
continuïteit van haar dienstverlening kan garanderen. Na teruggave van de gegevens en
mits het akkoord van de instelling verbindt de provider zich ertoe alle kopieën van gegevens
in zijn bezit, ook de back-ups en het archief, op een veilige manier te vernietigen binnen
een redelijke termijn en het bewijs van de vernietiging te leveren.
4.
Clausule met betrekking tot de overdraagbaarheid van de gegevens en de interoperabiliteit van de
systemen
• Bij het einde van de prestatie verbindt de provider zich ertoe om volgens de in de
overeenkomst afgesproken voorwaarden de nodige hulp te bieden bij de migratie van de
bewerkingen van zijn "Cloud" naar een andere oplossing.
5.
Clausule met betrekking tot de auditregeling
• De provider verbindt zich ertoe om audits op initiatief van de instelling toe te laten, om
nauw samen te werken en om zo snel mogelijk de vastgestelde tekortkomingen te
verhelpen. Deze audits kunnen door een trusted third party worden verricht.
• De audits moeten het mogelijk maken om na te gaan of de overeenkomst en de
veiligheidsregels uit deze policy werden nageleefd en of ze in overeenstemming zijn met
5
RTO (Recovery Time Objective): Maximaal aanvaardbare duur van de onderbreking – RPO (Recovery Point
Objective): Maximaal aanvaardbaar verlies van gegevens
P5
Veiligheidspolicy met betrekking tot Cloud Computing
Services
Information Security Guidelines
Versie: 1.00
•
•
20 maart 2014
onder meer de goede praktijken zoals aanbevolen door de internationale instanties (ISO
bv.).
De audit moet nagaan of de veiligheidsmaatregelen inzake vertrouwelijkheid,
beschikbaarheid, traceerbaarheid en integriteit van de gegevens niet kunnen worden
omzeild zonder dat de instelling hiervan op de hoogte is.
Bij volledige of gedeeltelijke uitbesteding legt de provider aan al zijn onderaannemers
clausules op waarbij het recht van de instelling wordt gegarandeerd om deze audits uit te
voeren mits naleving van de voormelde regels.
6.
Clausule met betrekking tot de verplichtingen van de provider inzake vertrouwelijkheid van de
gegevens
• De provider moet zich ertoe verbinden, voor hemzelf, zijn onderaannemers en eventuele
overnemers, geen gegevens voor eigen rekening of die van een derde te gebruiken of te
verspreiden.
• Hij moet zich ertoe verbinden om alle toegangsloggings (die nodig zijn om te kunnen
bepalen wie heeft wat gedaan en wanneer) tot de gegevens, de toepassingstools en
bestuursinstrumenten ter beschikking te houden van de instelling gedurende de periode
die in de overeenkomst is vastgelegd en deze te beveiligen.
• Hij moet de instelling op de hoogte brengen van elke anomalie in de toegangslogging zoals
toegangspogingen door onbevoegde personen.
• De provider moet de instelling onmiddellijk op de hoogte brengen van ieder onderzoek of
aanvraag tot onderzoek afkomstig van een Belgische of buitenlandse administratieve of
gerechtelijke overheid.
7.
Clausule met betrekking tot de soevereiniteit
• De provider moet aan de instelling de waarborg bieden dat hij en zijn eventuele
onderaannemers niet onderworpen zijn aan onderzoeksdaden door overheden buiten
België en de Europese Unie.
8.
Clausule met betrekking tot de verplichtingen van de provider inzake gegevensbeveiliging
• De "Cloud Computing"-provider moet de relevante goede praktijken naleven, zoals
bijvoorbeeld de minimale veiligheidsnormen binnen de sector van de sociale zekerheid of
andere standaarden zoals de ISO 27000-normen.
• De provider moet aan de instelling de veiligheidspolicy bezorgen met betrekking tot de
diensten die hij aanbiedt en hem op de hoogte houden van de evolutie van deze policy.
• De provider moet de identiteit van zijn veiligheidsverantwoordelijke meedelen aan de
instelling.
• De provider moet de instelling regelmatig een evaluatie bezorgen over de toestand van de
veiligheidsvereisten (dit kan via de SLA afgesloten tussen de twee partijen).
5.3. Naleving van de goede praktijken door de provider
De goede praktijken die hierna worden vermeld, vormen een minimale, niet exhaustieve lijst van
veiligheidsmaatregelen die de "Cloud computing"-provider verplicht moet naleven. Daarenboven kan de door
de instelling uitgevoerde risicoanalyse aanleiding geven tot bijkomende veiligheidsmaatregelen. In functie
van het “cloud”-model dient de verantwoordelijkheid voor het beheer van de veiligheidsmaatregelen
duidelijk vastgesteld te worden. Op het vlak van de gegevensbeveiliging worden vijf domeinen gedefinieerd
waarin de goede praktijken moeten worden geïmplementeerd.
• Vertrouwelijke gegevens: de provider moet de processen inzake beveiliging, personeelsbeheer,
inventaris, kwalificatie en traceerbaarheid coherent implementeren,
• Datacenter: de provider moet over een veiligheidspolicy inzake de fysieke toegang tot de
rekencentra en over technische voorzieningen beschikken die een bescherming bieden tegen
externe bedreigen en omgevingsbedreigingen (brand, overstroming, stroomonderbreking, enz.),
P6
Veiligheidspolicy met betrekking tot Cloud Computing
Services
Information Security Guidelines
Versie: 1.00
•
•
•
1.
20 maart 2014
Logische toegangsbeveiliging: de provider moet over logische toegangscontroles beschikken in
verhouding met de kriticiteit van de gegevens,
Beveiliging van de systemen: de provider staat in voor het veilig configureren van systemen,
Beveiliging van het netwerk: de provider moet over een beveiligd netwerk beschikken met een
geschikte afscherming naar derden toe.
Gegevensbescherming:
De provider garandeert dat:
•
•
•
•
•
•
2.
de fysieke opslagplaats van de vertrouwelijke gegevens gekend is en voldoet aan de eisen van de
instelling (rekencentrum, servers, enz.,);
de back-up- en restore-systemen en de desbetreffende informatica-uitwijkplannen worden
geïmplementeerd en periodiek uitgetest;
hij over een ethische gedragscode beschikt dat op zijn personeel en zijn onderaannemers van
toepassing is en door hen wordt toegepast. Hij oefent geen activiteiten uit die tot een
belangenconflict kunnen leiden;
zijn personeelsleden regelmatig bewust worden gemaakt van het belang van veiligheid;
hij over traceermiddelen beschikt waardoor inbreuken op bijzondere rechten of kwaadaardige
activiteiten kunnen worden opgespoord;
hij over een incidentenpolicy beschikt waarin zowel de opsporing, het alarmeren, de verwerking tot
en met de oplossing, de identificatie van de oorzaken en de communicatie aan de instelling worden
besproken.
Beveiliging van de rekencentra
De provider garandeert dat
•
•
•
•
3.
hij over beveiligde systemen beschikt van fysieke toegangscontrole, van inbraak-, brand- en
overstromingsdetectie en van videobewaking;
enkel de gemachtigde personen toegang krijgen tot een rekencentrum na een adequate
goedkeuringsprocedure; bovendien worden de toegangen opgevolgd en regelmatig herzien;
de vertrouwelijkheidsclausules die in een overeenkomst zijn vastgelegd ook van toepassing zijn op
elke onderaannemer (in het bijzonder voor het onderhoud van de systemen waarin vertrouwelijke
gegevens worden bewaard);
elk opslagmedium met vertrouwelijke gegevens dat wordt hergebruikt, verwijderd of gerecycleerd
moet eerst een doeltreffende procedure doorlopen.
Logische toegangsbeveiliging
De provider garandeert dat
•
•
•
4.
hij de toegangsmodaliteiten tot de gegevens toepast volgens de aanwijzingen meegedeeld door de
instelling (raadpleging, aanmaak, wijziging en verwijdering);
de toegangen van de gebruikers en de administrators tot de systemen met vertrouwelijke gegevens
gebaseerd zijn op mechanismen die de vertrouwelijkheid en de traceerbaarheid garanderen (bv.
audit op de toegang tot de gegevens, problematiek van de generieke accounts);
hij een authenticatiebeleid toepast dat in overeenstemming is met dat van de instelling.
Beveiliging van de systemen
De provider garandeert dat
•
•
de back-upgegevens, ongeacht de drager waarop ze worden opgeslagen, vercijferd worden aan de
hand van een gepast middel (algoritme, lengte van de sleutel, ...) afhankelijk van het gekozen cloudmodel en voor zover de instelling het nuttig acht;
hij de kwetsbaarheden van het systeem beheert en minstens jaarlijks inbraaktesten organiseert; de
kritische kwetsbaarheden worden daarbij onmiddellijk verbeterd;
P7
Veiligheidspolicy met betrekking tot Cloud Computing
Services
Information Security Guidelines
Versie: 1.00
•
•
•
•
•
5.
20 maart 2014
de servers waarop de vertrouwelijke gegevens worden gehost, geconfigureerd worden met een zeer
streng beveiligingsniveau;
de veiligheidspatches op gecentraliseerde wijze beheerd worden, op voorhand uitgetest en
geïnstalleerd worden binnen een redelijke termijn en in functie van hun kriticiteit;
de anti-malware software op de servers en de werkposten wordt geïnstalleerd en dat deze software
wordt bijgewerkt en bewaakt;
het gebruik van USB-sleutels en andere mobiele opslagmedia wordt beheerd en gecontroleerd;
de beheerprocedures en –praktijken inzake risicobeheer, incidentenbeheer en change management
worden toegepast en correct gedocumenteerd.
Beveiliging van de netwerktoegangen
De provider garandeert dat
•
•
•
•
de toegangen tot het netwerk beperkt en beveiligd worden en dat ze worden gefilterd;
het beheer van de systemen vanuit een beveiligd, afgezonderd en speciaal daartoe bestemd
netwerk wordt verricht met gebruik van sterke authenticatie;
de wijzigingen aan de netwerkuitrusting worden op voorhand goedgekeurd, opgevolgd en
gedocumenteerd;
in het geval van een gedeelde service van "Cloud computing":
o de toegang tot het netwerk enkel wordt toegelaten voor vertrouwde terminals;
o het netwerk waarop de systemen met vertrouwelijke gegevens worden gehost, van het
netwerk van de andere instellingen wordt afgezonderd.
5.4. Naleving van de wettelijke en technische verplichtingen bij de
verwerking van persoonsgegevens 6
Alvorens “Cloud computing” in te voeren, moet elke instelling de impact hiervan evalueren op de veiligheid en
de vertrouwelijkheid van de verwerking en de opslag van persoonsgegevens in de Cloud. In functie van de
gevoeligheid van de gegevens zoals vastgelegd door de instelling en de impactanalyse zal de instelling al dan
niet een beroep kunnen doen op de diensten van een “Cloud computing”-provider.
De volgende regels zijn van toepassing bij gebruik van deze Cloud-diensten:
•
•
•
•
In functie van haar activiteiten moet elke instelling niet alleen de Belgische en Europese wetgeving
naleven maar ook de specifieke wetgeving eigen aan een sector;
de instelling moet steeds waken over de naleving van de reglementering met betrekking tot de
7
bescherming van de persoonsgegevens (privacywet ) bij de verwerking van dergelijke gegevens in een
Cloud. In dat geval is de instelling die de gegevens bezit steeds verantwoordelijk voor de correcte
naleving van de reglementering met betrekking tot de bescherming van de persoonsgegevens;
in geval van outsourcing van persoonsgegevens moet de instelling zich bij de keuze van de “Cloud
computing”-provider steeds beperken tot providers die enkel cloud-diensten van het type
“gemeenschappelijke Cloud (of private)” aanbieden;
Behoudens een toegelaten afwijking, is voor elke outsourcing van persoonsgegevens een vercijfering van
de gegevens noodzakelijk tijdens het transport en voor de bewaring ervan. De vercijferingsmiddelen
moeten bovendien steeds onder controle van de instelling worden beheerd en mogen niet worden
uitbesteed.
6
Persoonsgegevens omvatten tevens medische, sociale of privé-gegevens volgens de classificatie van gegevens die
binnen de sociale zekerheid geldt
7
http://www.privacycommission.be/nl/privacywet-en-uitvoeringsbesluiten
P8
Veiligheidspolicy met betrekking tot Cloud Computing
Services
Information Security Guidelines
Versie: 1.00
20 maart 2014
6. Bijlage :
6.1. Is er een verschil tussen IT-uitbesteding en “Cloud Computing”?
Nee, er is geen verschil wat betreft veiligheidsvereisten. Uitbesteding is immers de goed gekende methode
waarbij een derde partij een of meerdere taken van de onderneming op zich neemt, taken waarvoor men vaak
te weinig resources (tijd, expertise) heeft. Deze uitbesteding kan gaan tot de opslag van gegevens en
verwerkingssystemen. “Cloud Computing” is het gevolg van de evolutie van IT-uitbesteding. De
virtualisatietechnologieën die goed ontwikkeld werden en de toegang tot het netwerk aan zeer hoge snelheid
die veralgemeend werd, hebben er inderdaad voor gezorgd dat de deuren open gingen voor flexibel gebruik
en voor de vraag naar grote en mogelijk gedelokaliseerde informaticatools: dat is de kern van “Cloud
Computing”.
In dat kader kan dit veiligheidsbeleid ook in overweging genomen worden bij alle IT-uitbestedingen.
6.2. “Cloud Computing”-modellen
Het huidige aanbod inzake "Cloud Computing"
implementatiemodellen worden gerangschikt.
•
•
kan
volgens
drie
servicemodellen
en
vier
De servicemodellen zijn de volgende
o SaaS: « Software as a Service », dat wil zeggen de levering van software online;
o PaaS: « Platform as a Service », dat wil zeggen de levering van een ontwikkelingsplatform voor
online toepassingen;
o IaaS: « Infrastructure as a Service », dat wil zeggen de levering van infrastructuur voor de online
verwerking en opslag.
De implementatiemodellen zijn de volgende:
o « Publiek» : de infrastructuur is toegankelijk voor een breed publiek en is eigendom van een
Cloud-provider, in dit geval wordt een dienst met veel klanten gedeeld;
o « Privaat »: de Cloud-infrastructuur werkt voor één enkele organisatie, ze kan door de instelling
zelf (interne private cloud) of door een derde worden beheerd (externe private cloud);
o « Gemeenschappelijk »-: Het betreft een infrastructuur die door verschillende organisaties
gedeeld wordt die gemeenschappelijke belangen hebben of aan dezelfde (wettelijke) eisen
moeten voldoen. Zoals voor de private Cloud kan deze infrastructuur door de organisaties zelf of
door een derde worden beheerd;
o « Hybride »: Deze infrastructuur bestaat uit minstens twee Clouds (private, gemeenschappelijke
of publieke) die apart blijven bestaan maar die met elkaar zijn verbonden door een standaard of
bedrijfseigen technologie waardoor de overdraagbaarheid van de gegevens of van de
toepassingen wordt gegarandeerd.
6.3. Voorbereiding bij migratie naar een "Cloud Computing"-infrastructuur
•
•
•
•
Een rentabiliteitsanalyse voorbereiden en de kosten en baten met betrekking tot een migratie naar een
leverancier van “Cloud Computing” evalueren.
De bedrijfsmiddelen (informatie, applicaties, processen) in het toepassingsgebied van "Cloud
Computing" identificeren en classificeren.
De sleutelfiguren van de organisatie (wettelijk, veiligheid, financiën, etc.) betrekken bij het
beslissingsproces van de migratie naar een “Cloud Computing"-service alvorens een beslissing te nemen.
Het design en de vereisten van de oplossing die voorgesteld werd door de kandidaat voor de transfer
naar "Cloud Computing" grondig bestuderen. Ook vragen dat de leverancier van de "Cloud Computing"service voor een testperiode zorgt, zodat mogelijke problemen opgespoord kunnen worden.
P9
Veiligheidspolicy met betrekking tot Cloud Computing
Services
Information Security Guidelines
Versie: 1.00
20 maart 2014
7. Referenties:
•
•
•
•
De ISO-normen 27001, ISO27002
8
Adviezen en aanbevelingen van de CBPL , referentie: SA2/DOS-2013-03274-003,
ISACA publication: Security considerations for cloud computing, ISBN: 978-60420-263-2,
9
Aanbevelingen van de CNIL : « Recommandations pour les entreprises qui envisagent de souscrire à des
services de Cloud Computing »
8
Commissie voor de Bescherming van de Persoonlijke Levenssfeer, http://privacycommission.be
9
Commission Nationale de l’Informatique et des libertés, http://www.cnil.fr
P 10

OpenStack Benelux Conference 2014

Cloud Based WMS, binnen één dag aan de slag!

Download onze folder!

Lees verder

Lees alles over Comvio Cloudcomputing

U wilt dat uw medewerkers altijd en overal kunnen

Dovilo flyer V4 RGB uitnodiging

Zekerheid in de Cloud

FileLinx Cloud

ICT: HOOFDROLSPELER OF BACKSTAGE