Neem eventuele maatregelen, vraag goedkeuring en win advies in

Je wilt als overheid naar de publieke cloud. Kan dat zomaar? Van belang is de aard van data en informatie die in de  publieke cloud gezet wordt. Je hebt publieksinformatie die voor iedereen toegankelijk is. Maar je hebt ook vertrouwelijke informatie, die niet op straat mag komen te liggen. Het cloudbeleid van de Rijksoverheid  beschrijft vier stappen voor het gebruik van publieke cloud diensten: Risicoanalyse, Maatregelen, Toestemming en Advies.

Aanvullende maatregelen, goedkeuring en advies

Vanuit de centrale overheid is er cloudbeleid. Dit zijn geen handreikingen of richtsnoeren, hier dien je je aan te houden. Grofweg mag informatie en data in de publieke cloud worden gezet als je de volgende stappen succesvol hebt doorlopen:

1. Op basis van een risicoanalyse bepaal je de restrisico’s. Kijk welke informatie voorhanden is en maak gebruik van gestandaardiseerde en indien nodig specifieke informatie om de risicoanalyse af te ronden. In dit geval is Microsoft als partner onderdeel van jouw risicoanalyse.
2. Aanvullende maatregelen kunnen nodig zijn om het restrisico te verlagen. Deze maatregelen richten zich primair op het proces, de mens en de inzet van technologie. Het Microsoft platform biedt hiervoor diverse mogelijkheden. We noemen dit de ‘User Entity Controls’. Dit is Microsoft technologie die je als klant kan activeren en inrichten. Om je hierbij te ondersteunen hebben we een whitepaper geschreven. Hierin staat een uitleg van de beschikbare maatregelen in het Microsoft 365 en Azure platform inclusief een adoptieadvies. Daarnaast moet je wellicht maatregelen treffen voor APT’s (Advanced Persistent Threats) zoals statelijke actoren. Dit kan betekenen de inzet van geavanceerde security tooling die relevante informatie oplevert aan het Security Operating Center (SOC). Denk hierbij aan de inzet van bijvoorbeeld het Microsoft Defender portfolio en Azure Sentinel.
3. De verwerking van Departementaal Vertrouwelijke (DepV) gerubriceerde informatie moet goedgekeurd worden door de Secretaris-Generaal. Voor de onderbouwing is informatie nodig. Ook hier kan Microsoft helpen met inhoudelijke context of een referentiecase.
4. Het expertadvies van het Nationaal Bureau voor Verbindingsbeveiliging (NBV) over clouddiensten dient meegewogen te worden. Ook hier helpt Microsoft met referentiearchitecturen en best-practises.

In de praktijk: je start een werkplek vernieuwingstraject. Dat begint met het opstellen van de wensen en eisen van de organisatie en eindgebruikers. Dit geldt ook voor security, privacy en compliance. De Baseline Informatiebeveiliging Overheid (BIO) kan hiervoor goed gebruikt worden en misschien zijn er andere internationale standaarden, zoals ISO27701 waar je aan wilt voldoen. Als de uitvraag of aanbesteding eenmaal in de markt staat, stromen de aanbiedingen binnen. Van lokale partijen tot publieke cloudproviders. Als blijkt dat een bepaalde cloudprovider de beste papieren in huis heeft, begint jouw cloudreis waarbij de route wordt bepaald door bovengenoemde vier stappen.

1. Voer een solide risicoanalyse uit.

Klik hier voor meer informatie.

2. Aanvullende maatregelen

Nu beschikbaar

• Microsoft BIO User Entity Controls Mapping op Microsoft 365. Binnenkort online beschikbaar. Ook op te vragen bij uw Microsoft contactperson.
• Whitepaper Capgemini Richtlijnen Privacy en Informatiebeveiliging bij strategische adoptie Microsoft Cloud: adoptieadvies Microsoft 365 en Azure voor centrale en decentrale overheidsinstanties.

Control frameworks Azure & Office 365

• Azure Control Framework: Microsoft Azure uses NIST standard 800-53 as baseline procedures to create Azure Controls Framework (ACF). Controls beyond NIST 800-53 are also included to provide full range of controls which Microsoft complies with. Op te vragen via: https://servicetrust.microsoft.com/ViewPage/TrustDocumentsV3?command=Download&downloadType=Document&downloadId=5d46df20-2727-4ff5-8e2f-d09c42bb164d&tab=7f51cb60-3d6c-11e9-b2af-7bb9f5d2d913&docTab=7f51cb60-3d6c-11e9-b2af-7bb9f5d2d913_AuditedControls
• Office 365 Audited Controls ISO 27001: This spreadsheet provides information about Microsoft Office 365 controls, implementation details, and audit test procedures for the particular regulation(s) or standard(s) that you selected to download. Combining this information with audit reports, FAQ’s and whitepaper available from the same portal where you downloaded this spreadsheet will help you to perform you own risk assessment or due diligence on Office 365 services. Op te vragen via: https://servicetrust.microsoft.com/ViewPage/TrustDocumentsV3?command=Download&downloadType=Document&downloadId=ee51d356-e1ee-4083-ad13-eec3b96bdda7&tab=7f51cb60-3d6c-11e9-b2af-7bb9f5d2d913&docTab=7f51cb60-3d6c-11e9-b2af-7bb9f5d2d913_AuditedControls
• Azure BIO compliance template: een policy template welke ingeladen kan worden in Microsoft Azure en in combinatie met Defender for Cloud kan auditen of de resources in de Azure omgeving voldoen aan de BIO. In combinatie met het Enterprise Scale Landing Zone model van Microsoft creëer je in korte tijd een BIO-ready omgeving. Meer info: (99+) Als CISO wil ik één template voor de BIO | LinkedIn en de template: GitHub – Azure/Bio-Compliancy.
• De Enterprise Scale landingszone: https://github.com/Azure/Enterprise-Scale. The Enterprise-Scale architecture provides prescriptive guidance coupled with Azure best practices, and it follows design principles across the critical design areas for organizations to define their Azure architecture.

Verwacht

• Adviestraject Microsoft 365 door SSC-ICT en NBV onder begeleiding van Microsoft. Uitgevoerd door EY, oplevering 2022.
• Adviestraject voor Azure door Microsoft Cloud Security Architecten en het Ministerie van Justitie en Veiligheid. Uitgevoerd door EY, oplevering 2022.
• NBV-rapport en risk assessment M365 TEAMS SSC-ICT. Uitgevoerd door EY, oplevering 2022.

Signaleren APT – Statelijke actoren

Er dienen passende voorzieningen beschikbaar te zijn om activiteiten van APTs zoals statelijke actoren te kunnen signalen en daarop in te grijpen.

Nu beschikbaar:

• Microsoft Security, Compliance, Identity en Management platform:
  • Uitgebreide beveiliging voor bedrijven | Microsoft Beveiliging
  • Compliance beheren in de cloud (microsoft.com)
  • Identiteits- en toegangsbeheer | Microsoft Beveiliging
• Vraag uw Microsoft contactpersoon voor specifieke en/of aanvullende informatie.

3. Toestemming SG

Toestemming secretaris-generaal (SG): gezien de aanvullende zekerheid die beschikbaar is gesteld, is Microsoft van mening dat een afdeling/organisatie in staat moet zijn een risicobeoordeling uit te voeren die eventuele resterende risico’s/zorgen voldoende aanpakt tot een niveau dat een SG zou moeten kunnen accepteren. Microsoft blijft samenwerken met de Nederlandse overheid om eventuele nieuwe of resterende uitdagingen aan te pakken.

4. Advies NBV 

Nu beschikbaar:

• Vernieuwd standpunt NBV: kenmerk 9242d00c-or1-1.2

Verwacht:

• Adviestraject Microsoft 365 door SSC-ICT en NBV onder begeleiding van Microsoft. Oplevering 2022.
• Vanuit overheid gedragen aanvullende BIO assessment op Microsoft Cloud diensten.