UBV – Security Headers

Versie: UBV – Security Headers 0.4
Status: Concept - mei 2021
Sector: PO VO MBO HO

Beschrijving

In deze handreiking worden ‘Security Headers’ en de effectiviteit ervan inzichtelijk gemaakt zodat eigenaren en beheerders van webapplicaties in het onderwijs deze naar eigen inzicht en situatie kunnen toepassen. Dit heeft als doel om de veiligheid en betrouwbaarheid van webapplicaties in het onderwijs te verbeteren.

‘Security Headers’ vallen (nog) niet onder de Wet Digitale Overheid (WDO), ze zijn echter wel van belang voor de veiligheid van webapplicaties, zoals een website. Kijkend naar internet.nl, die de implementatie van WDO-standaarden inzichtelijk maakt, worden sommige ‘Security Headers’ wel meegenomen in de test. Wanneer ‘Security Headers’ niet worden toegepast, kan dat leiden tot kwetsbaarheden in de webapplicatie.

Deze conceptversie (0.4) is bijgewerkt met de laatste opmerkingen die door de werkgroep zijn gemaakt. Deze versie is voorgelegd ter consultatie. Op basis daarvan wordt een volgende conceptversie gemaakt.

Samenhang

Deze handreiking is onderdeel van de Uniforme beveiligingsvoorschriften (UBV) voor het onderwijs.

De ‘Security Headers’ staan op de lijst van OWASP Security Headers en sommige daarvan worden getoetst – maar niet meegenomen in de score – door internet.nl.

Meerwaarde

Het inzichtelijke maken van ‘Security Headers’ en de effectiviteit ervan, zodat eigenaren en beheerders van webapplicaties (waaronder een website) in het onderwijs deze naar eigen inzicht en situatie kunnen toepassen. Dit heeft als doel om de veiligheid en betrouwbaarheid van webapplicaties in het onderwijs te verbeteren.

Gebruik

Het betreft een conceptversie ter consultatie. Op basis hiervan kunnen voorschriften nog wijzigen.

De licentie op de voorschriften is CC BY 4.0 (Attribution 4.0 International). Dit betekent in eenvoudige termen dat men vrij is om het werk te delen en te bewerken, mits bronvermelding wordt toegepast. Let wel op dat de voorschriften zijn ontworpen voor de onderwijssector.

Heeft u vragen of ideeën over de Uniforme Beveiligingsvoorschriften? Suggesties, aanvullende maatregelen of beter formuleringen zijn van harte welkom. Mail naar info(Replace this parenthesis with the @ sign)edustandaard.nl, met “UBV – Veilig en Betrouwbaar e-mailverkeer” in het onderwerp. Uw ervaringen helpen ons ook met vaststellen of de voorschriften goed zijn toe te passen en hun doelen bereiken.

Implementatie

De ‘Security Headers’ kunnen door alle partijen die webapplicaties beheren (waaronder websites), zelfstandig worden geïmplementeerd.

Ontwikkelingen

Binnen Edustandaard wordt periodiek (minimaal eenmaal per jaar) de opzet en de werking van de voorschriften besproken met alle relevante stakeholders die zijn vertegenwoordigd in de Standaardisatieraad. Hiertoe wordt input verzameld vanuit de Edustandaard werkgroep Uniforme Beveiligingsvoorschriften en vanuit Edu-K.

Bijeenkomsten

Er zijn geen bijeenkomsten gepland.
Documentatie van eerdere bijeenkomsten is terug te vinden in het overzicht bijeenkomsten.