Uniforme Beveiligingsvoorschriften – Security Headers

Registratiestatus: Geregistreerd - mei 2021
Gebruiksadvies: Verplicht
Werkingsgebied: po vo bve ho
Versie: Uniforme Beveiligingsvoorschriften – Security Headers v1.0 - juli 2022
Versiestatus: Vastgesteld

Beschrijving

In deze handreiking worden ‘Security Headers’ en de effectiviteit ervan inzichtelijk gemaakt, zodat eigenaren en beheerders van webapplicaties in het onderwijs, deze naar eigen inzicht en situatie kunnen toepassen. Dit heeft als doel om de veiligheid en betrouwbaarheid van webapplicaties in het onderwijs te verbeteren.

‘Security Headers’ vallen (nog) niet onder de Wet Digitale Overheid (WDO), echter zijn deze wel van belang voor de veiligheid van webapplicaties, zoals een website. Kijkend naar internet.nl, die de implementatie van WDO-standaarden inzichtelijk maakt, worden sommige Security Headers wel meegenomen in de test. Wanneer ‘Security Headers’ niet worden toegepast, kan dat leiden tot kwetsbaarheden in de webapplicatie.

Deze versie (1.0) is bijgewerkt met de laatste opmerkingen die tijdens en na de consultatie zijn gemaakt. Op basis daarvan zijn aanscherpingen gemaakt en tips voor de toepassing van headers bijgevoegd, in bijlage A en B. Deze versie is voorgelegd ter goedkeuring. Na goedkeuring is de status definitief.

Samenhang

Deze handreiking is onderdeel van de Uniforme beveiligingsvoorschriften (UBV) voor het onderwijs.

De ‘Security Headers’ staan op de lijst van OWASP Security Headers en sommige daarvan worden getoetst – maar niet meegenomen in de score – door internet.nl.

Meerwaarde

Het inzichtelijke maken van ‘Security Headers’ en de effectiviteit ervan, zodat eigenaren en beheerders van webapplicaties (waaronder een website) in het onderwijs, deze naar eigen inzicht en situatie kunnen toepassen. Dit heeft als doel om de veiligheid en betrouwbaarheid van webapplicaties in het onderwijs te verbeteren.

Gebruik

De licentie op de voorschriften is CC BY 4.0 (Attribution 4.0 International). Dit betekent in eenvoudige termen dat men vrij is om het werk te delen en te bewerken, mits bronvermelding wordt toegepast. Let wel op dat de voorschriften zijn ontworpen voor de onderwijssector.

Heeft u vragen of ideeën over de Uniforme beveiligingsvoorschriften? Suggesties, aanvullende maatregelen of beter formuleringen zijn van harte welkom. Mail naar info(Replace this parenthesis with the @ sign)edustandaard.nl, met ‘UBV – Veilig en Betrouwbaar e-mailverkeer’ in het onderwerp. Uw ervaringen helpen ons ook met vaststellen of de voorschriften goed zijn toe te passen en hun doelen bereiken.

Implementatie

De ‘Security Headers’ kunnen door alle partijen die webapplicaties (waaronder website) beheren, zelfstandig worden geïmplementeerd.

Ontwikkelingen

Binnen Edustandaard wordt periodiek (minimaal eenmaal per jaar) de opzet en de werking van de voorschriften besproken met alle relevante stakeholders die vertegenwoordigd zijn in de Standaardisatieraad. Hiertoe wordt input verzameld vanuit de Edustandaard werkgroep Uniforme beveiligingsvoorschriften en vanuit Edu-K.

Documentatie

Normatieve documenten

Alle documentatie en specificaties die verplicht zijn bij het implementeren van een afspraak.

Bijeenkomsten

Er zijn geen bijeenkomsten gepland.
Documentatie van eerdere bijeenkomsten is terug te vinden in het overzicht bijeenkomsten.