Documentnaam DG_SEC_6-2-1_vragenlijst_voor_aanbieders_van cloud, hosting en managed services Eigenaar Security Officer Digipolis Gent

Transcriptie

1 Vragenlijst voor informatieveiligheid voor aanbieders van cloud, hosting en managed services, zowel on als off premise. De vragen geven een beeld van de voornaamste informatieveiligheidsrisico s, vooral het verlies aan governance van de informatieveiligheid, de verminderde zichtbaarheid van beveiligingsmiddelen en de risico s van multitenancy. De lijst is een compilatie op basis van risico s bij cloud providers, geïdentificeerd door verschillende autoritatieve bronnen. De vragen zijn georganiseerd op basis van het ISO raamwerk. Instructies voor de aanbieders: - De aanbieder is eindverantwoordelijk voor alle punten in de lijst (bv. zie hosting provider of verantwoordelijkheid van onderaannemer is geen geldig antwoord). De aanbieder is er verantwoordelijk voor dat de onderaannemer de gegeven antwoorden respecteert. - In de commentaar kan U randomstandigheden toelichten - Aanbieders van cloud services of gehoste services moeten verplicht deze lijst volledig ingevuld terugbezorgen. - De vragen gemerkt met vereist, zijn vereist om in aanmerking te komen als aanbieder - De antwoorden op deze vragenlijst worden in aanmerking genomen als onderdeel van het contract. A5 Beleid Informatieveiligheid beleid Vraagstelling Detail van het antwoord Antwoord Ja of Nee Hebt U een formeel door het management goedgekeurd informatieveiligheidsbeleid? Hebt U een formele set met information security standaarden en procedures? Kan de klant deze inkijken, mits non-disclosure overeenkomst? Bent U gecertifieerd volgens een information security standard? (ISO 27001, ISO 23307, CoBIT, ) Audit Hebt U een formeel auditplan? ~ 1 ~

2 Minimum vereiste Voert u regelmatig interne audits uit? Wordt uw informatieveiligheid regelmatig ge-audit door een externe partij? Stelt u de auditresultaten ter beschikking van de klant? Mits non-disclosure overeenkomst? Aanvaardt U (onder geheimhoudingsovereenkomst) een externe audit op vraag van de klant? A6 Organisatie A8 Personeel Heeft U een formele security officer, CISO of dataprotection officer? Rapporteert bovenstaande persoon aan de directie? A9 Fysische veiligheid voor off premise voor off premise Worden alle medewerkers getraind in informatieveiligheid en hun plichten in verband hiermee? Wordt het volgen van deze trainingen gedocumenteerd? Zijn alle activiteiten, rollen en verantwoordelijkheden bij het beëindigen of veranderen van functie van een medewerker formeel gedocumenteerd? Hebt u een formeel beleid en procedures voor toegang tot de fysische locaties en data centers? Heeft uw data center een beveiligde fysische perimeter (bewaking, inbraakbeveiliging, camera s, hekken, elektronische toegangscontrole, ). Detailleer welke. Zij alle fysische toegangen gescheiden van de plaatsen waar gegevens opgeslagen of verwerkt worden? Hebt U een redundante internet aansluiting? Gebruikt u hiervoor verschillende providers? Hebt U voor noodstroomvoorziening een redundante stroomvoorziening? ~ 2 ~

3 Hebt U voor noodstroomvoorziening een UPS? Hebt U voor noodstroomvoorziening een generator? Hebt U een voor datacenter geschikte blusinstallatie? Hebt U redundante koelingsapparatuur? Kunnen uw data centers bezocht worden door de klanten? Mits non-disclosure overeenkomst. A10 Systeembeheer en datacommunicatie Change en release beheer Ontwikkeling, test en productie Source en executable code Hebt u een formeel gedocumenteerd wijzigingsbeleid en procedures? Licht u de klanten in over op til zijnde wijzigingen volgens een contractuele en formele procedure? Hebt u informatieveiligheid baseline configuraties voor alle materiaal en systeemtoepassingen. Hebt u een formeel patch management beleid? Zijn er gescheiden productie en test omgevingen ter beschikking van de klant? Zijn er gescheiden productie, test en ontwikkelingsomgevingen voor uw eigen gebruik? Is er een escrow voorziening in het contract aangepast aan het type service (XaaS, hosting, ) Een voorbeeld van SaaS escrow overeenkomst is te vinden op escrow4all Netwerk Is het netwerk van de applicatie beschermd met een ~ 3 ~

4 firewall? Is de applicatie beschermd met een web-toepassingfirewall? Is de infrastructuur beschermd door antivirus en antimalware toepassingen? Hebt u een data leakage prevention oplossing? Hebt u een intrusion detection of intrusion prevention oplossing? Verloopt het beheer en configuratie van uw infrastructuur en toepassing via een apart en beveiligd netwerk? Versleuteling Netwerk penetration tests en vulnerability scans Gegevens Zijn gegevens in transit tussen cloud en client versleuteld (SSL)? Zijn gegevens op uw intern netwerk versleuteld? Zijn de gegevens in rust versleuteld op block storage niveau? Zijn de gegevens in rust versleuteld op database niveau? Hebt u een toepassing voor het beheer van encryptie sleutels? Gebruikt u data dispersion / fragmentation mechanismen om gegevens te beschermen? Voert U regelmatig netwerk-penetratietests uit? Stelt U de resultaten ter beschikking? Laat u regelmatig vulnerability scans uitvoeren door een derde partij? Stelt U de resultaten ter beschikking? Worden overbodige of verwijderde gegevens veilig gewist? ~ 4 ~

5 Worden gegevens volledig en veilig verwijderd bij het einde van het contract? Worden verwijderde gegevensdragers of de gegevens erop veilig vernietigd? Monitoring A11 Acces control Toegang door de gebruikers Heeft uw toepassing een real time monitoring dashboard voor de beschikbaarheid? Heeft uw toepassing een dashboard met historische beschikbaarheidsgegevens? Is er een beleid voor het up to date houden van apparatuur? Houdt u capaciteits- en performantiegegevens bij over uw infrastructuur? Levert U gegevens over de capaciteit, performantie en beschikbaarheid van de infrastructuur aan de klant? Garandeert u een vooraf bepaalde elasticiteit in de capaciteit van uw infrastructuur (burst capacity)? Kan uw toepassing gesegmenteerd worden voor gebruik door onze verschillende deelorganisaties (multicompany support) Kan de klant zelf de toegangen beheren voor de gebruikers? Is uw systeem om toegang te verlenen aan gebruikers formeel en helder gedocumenteerd? Kan de klant zelf een paswoordbeleid kiezen (lengte, vervaldatum, complexiteit)? Zijn de gebruikersaccounts met privileged access formeel gedocumenteerd? Kan uw toepassing gebruikt worden met multi-factor / ~ 5 ~

6 strong authentication (tokens, eid, )? Zijn er mechanismen ter beschikking van de klant om periodiek de toegangen van de gebruikers na te kijken? Hebt U documentatie ter beschikking van de klant, die de gebruikersadministratie beschrijft? Is er een audittrail van gebruikerstoegangen op login niveau? Is er een audittrail voorzien van de gebruikerstoegang op gegevensniveau? Voorziet u single signon op basis van authenticatie op de infrastructuur bij de klant? Aanvaard uw toepassing authenticatie op basis van SAML Zo ja welke versie? Applicatie-tot- applicatie toegang voor off premise Data segmentatie per klant Is de toegang tot gegevens van een applicatie bij de klant tot de gegevens van een applicatie in uw cloud versleuteld? Is de toegang tot gegevens van een applicatie bij de klant tot de gegevens van de applicatie in uw cloud beveiligd met certificaten? Is de toegang tot gegevens van een applicatie bij de klant tot de gegevens van de applicatie in uw cloud beveiligd met een token? Is de toegang tot gegevens van een applicatie bij de klant tot de gegevens van de applicatie in uw cloud beveiligd met een gebruikersnaam en paswoord? Zijn de gegevens van de klanten van elkaar afgescheiden op netwerk niveau? (layer 2, firewalls, ) Zijn de gegevens van de klanten van elkaar afgescheiden in aparte databases? ~ 6 ~

7 Zijn de gegevens van de klanten van elkaar afgescheiden in aparte tabellen? Zijn de gegevens van de klanten van elkaar afgescheiden door unieke encryptie per klant? Minimum vereiste Zijn de gegevens van de klanten van elkaar afgescheiden door markering van de rijen/records in de tabellen Segmentatie voor organisaties van eenzelfde klant Geprivilegieerde toegang door systeem- en toepassing beheerders Kunnen gegevens logisch gescheiden worden per (deel-) organisatie van eenzelfde klant. Kunnen de gegevens van een (deel-)organisatie van eenzelfde klant een eigen en afzonderlijke autorisatieinrichting hebben. Is toegang van de beheerders tot systemen en toepassingen altijd via strong authentication? Is er een formele documentatie, gedetailleerd audittrail en periodiek nazicht voor toegang door administrators? Is er een formele procedure voor indiensttreding en uitdiensttreding van administrators? Toegang tot de gegevens Worden de gegevens van de klant in een industriestandaard formaat opgeslagen? Hebt u API s, webservices, waarmee de gegevens kunnen worden aangeroepen, gewijzigd, uitgewisseld? Kan uw toepassing gegevens ophalen via webservices op de infrastructuur van de gebruikende klant? ~ 7 ~

8 Worden gegevens bij het einde van het contract terug geleverd in een standaard machine readable formaat samen met een datamodel (CSV, XML, ).? A12 Ontwikkeling Beveiliging broncode Is toegang tot uw broncode enkel mogelijk door de geautoriseerde personen? Ontwikkelmethodes Gebruikt u een formele software development lifecycle methode? Voert U code reviews uit? Hebt u een toepassing om kwetsbaarheid van code na te testen? Change en release beheer Ontwikkeling, test en productie A13 Informatieveiligheidsincidenten Hebt u een formeel gedocumenteerd wijzigingsbeleid en procedures? Licht u de klanten in over op til zijnde wijzigingen volgens een contractuele formele procedure? Zijn er gescheiden productie en test omgevingen ter beschikking van de klant? Zijn er gescheiden productie, test en ontwikkelingsomgevingen voor uw eigen gebruik? Houdt u de gegevens bij over alle informatieveiligheid incidenten? Levert u rapporten over incidenten aan de klant? ~ 8 ~

9 Hebt U een formeel informatieveiligheid incidentresponse procedure? Informeert U de klant bij een veiligheidsincident? Is er contractueel ondersteuning voorzien bij vraag van de klant naar forensisch onderzoek bij een veiligheidsincident? Zijn forensiche onderzoeken betalend? A14 Business Continuity Plan Hebt U een formeel business continuity en disaster recovery plan? Kan de klant dit inkijken? Wordt deze business continuity plan regelmatig getest? Is de infrastructuur redundant uitgevoerd? Hebt U een met de klant afgesproken backupschedule? Is dit backupschedule contractueel vast gelegd? Voert u periodiek restore testen uit? Is de backup opgeslagen op verschillende geografische locaties? Zijn RPO / RTO gedocumenteerd in het contract? Hebt u redundante data centers? Is uw data retentie beleid en plan formeel gedocumenteerd? Voorziening bij stopzetting van de service door de leverancier A15 Naleving Wetgeving en contracten Is er een voorziening zodat de klant bij stopzetting van de activiteiten door het bedrijf, zelf de toepassing kan heropbouwen en exploiteren? ~ 9 ~

10 Aan welke nationale wetgevingen betreffende opslag en verwerking van gegevens is uw organisatie en uw service onderworpen? Kunnen de gegevens door gerechtelijke instanties van andere overheden dan de Belgische opgevraagd worden? Zo ja, welke. Indien de toepassing persoonsgegevens opslaat of verwerkt: hebt U de toepassing afgetoetst met de Belgische commissie ter bescherming van de persoonlijke levenssfeer? Voert U gegevens uit langs, of slaat u gegevens op buiten de Europese unie? Hebben al uw medewerkers die toegang hebben tot de toepassing een geheimhoudingsverklaring en/of deontologische code ondertekend? Hebben al uw onderaannemers een geheimhoudingsverklaring/verwerkingsverklaring met uzelf ondertekend? ~ 10 ~

11 Document revisies en goedkeuringschema Administratieve gegevens Document nummer DG_SEC_6-2-1_vragenlijst_voor_aanbieders_in_de_cloud Document type Checklist Toepassingsgebied Evaluatie van cloud aanbieders op veiligheidsvlak Documentnaam DG_SEC_6-2-1_vragenlijst_voor_aanbieders_in_de_cloud Goedkeuring Geen Revisie Schema: jaarlijks Initiële revisie 15/11/2011 Volgende revisie 1/12/2014 Revisies 05/2012 ehrm : informatieveiligheidsreview 06/2012 Review i.v.m. met akteloket op basis CSA e.a. 03/02/2014 Verschillende aanpassingen i.v.m. HRM, SAML, Goedkeuring webservices 29/07/2014 Bijvoegen van escrow voorzieningen 01/09/2014 Verwijzing naar escrow4all bijgevoegd 17/10/2014 Aanpassing met bepaalde vereisten om in Geen Initiële goedkeuring Geen aanmerking te komen Goedkeuring geen ~ 11 ~

12 ~ 12 ~