Uniforme Beveiligingsvoorschriften – Transport Layer Security (TLS)

Beheerstatus: In beheer - april 2020
Gebruiksadvies: Verplicht
Werkingsgebied: po vo bve ho

Versie: Uniforme Beveiligingsvoorschriften – Transport Layer Security (TLS) 1.2 - januari 2022
Versiestatus: Vastgesteld

Beschrijving

Ketenpartijen hebben te maken met verschillende gegevensuitwisselingen met de daarbij horende afspraken en standaarden. Hierbij worden ook afspraken gemaakt voor beveiliging. Wanneer deze afspraken per type uitwisseling worden gemaakt kan dit in onderwijsketen leiden tot interoperabiliteitsproblemen en/of inefficiëntie. Daarom is in de bijeenkomst van de Standaardisatieraad van 25 april 2019 besloten om een werkgroep ‘Uniforme beveiligingsvoorschriften’ (UBV) in het leven te roepen. Deze werkgroep zorgt voor een set uniforme beveiligingsvoorschriften die centraal kunnen worden onderhouden. Verschillende standaarden, zoals Edukoppeling, Uitwisseling Leerlinggegevens en Resultaten (UWLR) en Educatieve Distributie en Toegang (ECK DT), kunnen hier dan naar verwijzen in plaats van dat zij deze zelfstandig definiëren.

De voorschriften gelden daarmee voor alle gegevensuitwisselingen binnen het onderwijs. Dat geldt bijvoorbeeld voor BRON-uitwisseling via de standaard Edukoppeling. De voorschriften gelden ook voor gegevensuitwisselingen die eigen afspraken hebben, zoals voor Overstap Service Onderwijs (OSO). De afspraken hiervoor zijn gevat onder machine to machine (M2M).

De afspraken zijn ook van toepassing voor alle website en webdiensten die binnen het onderwijs gebruikt worden, aangezien die doorgaans ook een beveiligde verbinding bieden. Daar wordt in dit document apart aandacht aan besteed, onder human to machine (H2M).

Er wordt onderscheid gemaakt tussen voorschrift en advies die gelden voor de gegevensuitwisseling tussen partijen (M2M) en met gebruikers (H2M) in het onderwijs. De voorschriften (donkergroen gemarkeerd) zijn verplicht en vallen onder een pas-toe-leg-uit principe. Voor het advies (lichtgroen gemarkeerd) geldt dat niet. In de voorschriften wordt tevens onderscheid gemaakt tussen ‘Veiligheid’, ‘Beschikbaarheid’ en ‘Interoperabiliteit’. De voorschriften voor ‘Interoperabiliteit’ zijn niet verplicht voor de gegevensuitwisseling binnen een eigen organisatie.

Deze versie (1.2) is bijgewerkt met voorschriften en advies rondom ‘Domeinnaambeveiliging’, zoals DNSSEC, toegangsbeveiliging DNS en CAA-records. Op basis hiervan zijn de profielen voorzien van een update. Het profiel UBV Edukoppeling is tevens bijgewerkt op basis van een nieuwe versie van Digikoppeling 1.4, waarmee alleen gebruik van PKIoverheid private root certificaat wordt voorgeschreven.

Samenhang

De standaarden binnen Edustandaard die (randvoorwaardelijk) gebruikmaken van TLS, zoals Edukoppeling. UWLR en ECK DT, moeten naar de voorschriften in dit document verwijzen en niet (meer) zelf definiëren. Dat geldt ook voor uitwisselingsdienst OSO.

Sommige voorschriften gelden op basis van een BIV-classificatie. Hiervoor wordt gebruikt gemaakt van het ‘Certificeringsschema informatiebeveiliging en privacy ROSA’ van Edustandaard. Naast de BIV-classificatie, zijn hier ook maatregelen in gedefinieerd. Bijvoorbeeld voor TLS, waarvoor ook naar deze voorschriften verwezen wordt.

Voor de Uniforme beveiligingsvoorschriften wordt waar mogelijk gebruik gemaakt van ‘hoger gelegen’ afspraken. Bij voorkeur internationale afspraken (zoals van INAN), indien nodig nationale afspraken (zoals van Forum Standaardisatie en NCSC) en alleen als die niet voldoen aanvullende afspraken die in deze werkgroep worden gemaakt. Afwijken van bovenliggende afspraken wordt onderbouwd. In geval van afspraken rondom TLS, wordt de ‘ICT-beveiligingsrichtlijnen voor Transport Layer Security (TLS)’ van NCSC gevolgd.

Gebruikte standaarden in dit document, zoals TLS staat op de lijst met Verplichte (pas toe of leg uit) standaarden van Forum Standaardisatie. De Wet Digitale Overheid (WDO) kan deze standaarden verplicht stellen voor (semi-)publieke organisaties. De voorschriften in dit document geven dan tevens een invulling aan de principe pas-toe-leg-uit, als deze voor een organisatie of instelling verplicht gesteld is.

Meerwaarde

De transactiestandaard Edukoppeling en andere (gelieerde) standaarden, zoals OSO, BRON, UWLR en ECK DT, verwijzen naar deze beveiligingsvoorschriften in plaats van zelfstandig te definiëren. Hiermee wordt tevens consensus bereikt, wat de interoperabiliteit en efficiëntie ten goede komt voor een veilig en betrouwbare gegevensuitwisseling in de sector. Zowel voor communicatie tussen systemen (M2M), als voor communicatie met de gebruiker (H2M).

Gebruik

De licentie op de voorschriften is CC BY 4.0 (Attribution 4.0 International). Dit betekent in eenvoudige termen dat men vrij is om het werk te delen en te bewerken, mits bronvermelding wordt toegepast. Let wel op dat de voorschriften zijn ontworpen voor de onderwijssector.

Heeft u vragen of ideeën over de Uniforme beveiligingsvoorschriften? Suggesties, aanvullende maatregelen of beter formuleringen zijn van harte welkom. Mail naar info(Replace this parenthesis with the @ sign)edustandaard.nl, met “UBV – TLS” in het onderwerp. Uw ervaringen helpen ons ook met vaststellen of de voorschriften goed zijn toe te passen en hun doelen bereiken.

Implementatie

Het is de bedoeling dat deze UBV voor TLS worden gebruik in plaats van de beveiligingsvoorschriften die nu in de verschillende afspraken (Edukoppeling, UWLR etc.) worden gehanteerd. Vanuit deze afspraken zal worden verwezen naar de UBV. Streven is dat de UBV via toepassingsprofielen het complete overzicht geven van relevante afspraken.

Ontwikkelingen

In de bijeenkomst van de Standaardisatieraad van 25 april 2019 is besloten om een werkgroep ‘Uniforme beveiligingsvoorschriften’ in het leven te roepen. Deze werkgroep zorgt voor een set uniforme beveiligingsvoorschriften die centraal kunnen worden onderhouden.

Binnen Edustandaard wordt periodiek (minimaal eenmaal per jaar) de opzet en de werking van de voorschriften besproken met alle relevante stakeholders die vertegenwoordigd zijn in de Standaardisatieraad. Hiertoe wordt input verzameld vanuit de Edustandaard werkgroep Uniforme beveiligingsvoorschriften en vanuit Edu-K.

Documentatie

Normatieve documenten

Alle documentatie en specificaties die verplicht zijn bij het implementeren van een afspraak.

Bijeenkomsten

Er zijn geen bijeenkomsten gepland.
Documentatie van eerdere bijeenkomsten is terug te vinden in het overzicht bijeenkomsten.