Uniforme Beveiligingsvoorschriften

Versie: Uniforme Beveiligingsvoorschriften 0.2
Status: Concept - maart 2020
Sector: PO VO MBO HO

Beschrijving

Ketenpartijen hebben te maken met verschillende gegevensuitwisselingen met de daarbij horende afspraken en standaarden. Hierbij worden ook afspraken gemaakt voor beveiliging. Wanneer deze afspraken per type uitwisseling worden gemaakt kan dit in onderwijsketen leiden tot interoperabiliteitsproblemen en/of inefficiëntie. Daarom is in de bijeenkomst van de Standaardisatieraad van 25 april 2019 besloten om een werkgroep ‘Uniforme beveiligingsvoorschriften’ in het leven te roepen. Deze werkgroep zorgt voor een set uniforme beveiligingsvoorschriften die centraal kunnen worden onderhouden. Verschillende standaarden, zoals OSO, BRON, UWLR en ECK DT, kunnen hier dan naar verwijzen in plaats van dat zij deze zelfstandig definiëren.

In deze versie (0.2) zijn de voorschriften grotendeels uitgewerkt en is input van de bijeenkomst januari 2020 hierin verwerkt. Daarbij is tevens een hoofdstuk toegevoegd voor profielen, waarbij een eerste conceptversie voor Edukoppeling is bijgevoegd. Een aantal voorschriften is nog niet definitief (geel gemarkeerd), aangezien de acties voor verdere invulling nog openstaan.

In de voorschriften wordt onderscheid gemaakt tussen twee typen. De uitwisseling tussen systemen onderling typeren we daarbij als Machine to Machine (M2M). Uitwisseling tussen mens en een systeem typeren we als Human to Machine (H2M). Een voorbeeld hiervan gegevensuitwisseling bij bezoek van een website of gebruik van een webdienst.

Samenhang

De transactiestandaard Edukoppeling en andere (gelieerde) standaarden, zoals OSO, BRON, UWLR en ECK DT, moeten hier naar kunnen verwijzen in plaats van zelfstandig definiëren.

Voor de voorschriften wordt waar mogelijk gebruik gemaakt van ‘hoger gelegen’ afspraken. Bij voorkeur internationale afspraken, indien nodig nationale afspraken en alleen als die niet voldoen aanvullende afspraken die in deze werkgroep worden gemaakt. Afwijken van bovenliggende afspraken wordt onderbouwd. In geval van afspraken rondom TLS, wordt de ‘ICT-beveiligingsrichtlijnen voor Transport Layer Security (TLS)’ van NCSC gevolgd.

Daarnaast gelden sommige voorschriften op basis van een BIV-classificatie. Hiervoor wordt gebruikt gemaakt van het ‘Certificeringsschema informatiebeveiliging en privacy ROSA’ van Edustandaard. Naast de BIV-classificatie, zijn hier ook maatregelen in gedefinieerd. Bijvoorbeeld voor TLS, waarvoor ook naar deze voorschriften wezen kan worden.

Meerwaarde

De transactiestandaard Edukoppeling en andere (gelieerde) standaarden, zoals OSO, BRON, UWLR en ECK DT, kunnen naar de beveiligingsvoorschriften verwijzen in plaats van zelfstandig te definiëren. Hiermee wordt tevens consensus bereikt, wat de interoperabiliteit en efficiëntie ten goede komt voor een veilig en betrouwbare gegevensuitwisseling in de sector. Zowel voor communicatie tussen systemen (M2M), als voor communicatie met de gebruiker (H2M).

Gebruik

Het betreft een tweede conceptversie, die nog afgestemd en goedgekeurd moet worden. Dat betekent dat voorschriften nog kunnen wijzigen. Met name de geel gemarkeerde voorschriften.

Heeft u vragen of ideeën over de Uniforme beveiligingsvoorschriften? Suggesties, aanvullende maatregelen of beter formuleringen zijn van harte welkom. Mail naar info(Replace this parenthesis with the @ sign)edustandaard.nl, met “Uniforme beveiligingsvoorschriften” in het onderwerp. Uw ervaringen helpen ons ook met vaststellen of de voorschriften goed zijn toe te passen en zijn doelen bereikt.

Implementatie

Het is de bedoeling dat de UBV worden gebruik in plaats van de beveiligingsvoorschriften die nu in de verschillende afspraken (Edukoppeling, UWLR enzovoort) worden gehanteerd. Vanuit deze afspraken zal worden verwezen naar de UBV. Wanneer in de UBV bovenliggende (nationale, internationale etc.) standaarden worden gebruikt zal daar naar worden verwezen ter referentie. Streven is dat de UBV via toepassingsprofielen het complete overzicht geven van relevante afspraken.

Ontwikkelingen

In de bijeenkomst van de Standaardisatieraad van 25 april 2019 is besloten om een werkgroep ‘Uniforme beveiligingsvoorschriften’ in het leven te roepen. Deze werkgroep zorgt voor een set uniforme beveiligingsvoorschriften die centraal kunnen worden onderhouden.

Binnen Edustandaard wordt periodiek (minimaal eenmaal per jaar) de opzet en de werking van de voorschriften besproken met alle relevante stakeholders die vertegenwoordigd zijn in de Standaardisatieraad. Hiertoe wordt input verzameld vanuit de Edustandaardwerkgroep Uniforme beveiligingsvoorschriften en vanuit Edu-K.