Uniforme Beveiligingsvoorschriften

Versie: Uniforme Beveiligingsvoorschriften – Transport Layer Security (TLS) 0.5
Status: Concept - mei 2020
Sector: PO VO MBO HO

Beschrijving

Ketenpartijen hebben te maken met verschillende gegevensuitwisselingen met de daarbij horende afspraken en standaarden. Hierbij worden ook afspraken gemaakt voor beveiliging. Wanneer deze afspraken per type uitwisseling worden gemaakt kan dit in onderwijsketen leiden tot interoperabiliteitsproblemen en/of inefficiëntie. Daarom is in de bijeenkomst van de Standaardisatieraad van 25 april 2019 besloten om een werkgroep ‘Uniforme beveiligingsvoorschriften’ (UBV) in het leven te roepen. Deze werkgroep zorgt voor een set uniforme beveiligingsvoorschriften die centraal kunnen worden onderhouden. Verschillende standaarden, zoals Edukoppeling, Uitwisseling Leerlinggegevens en Resultaten (UWLR) en Educatieve Distributie en Toegang (ECK DT) kunnen hier dan naar verwijzen in plaats van dat zij deze zelfstandig definiëren. De voorschriften gelden daarmee voor alle gegevensuitwisselingen binnen het onderwijs. Dat geldt bijvoorbeeld voor BRON-uitwisseling via de standaard Edukoppeling. De voorschriften gelden ook voor gegevensuitwisselingen die eigen afspraken hebben, zoals voor Overstap Service Onderwijs (OSO). De afspraken hiervoor zijn gevat onder machine to machine (M2M).

De afspraken zijn ook van toepassing voor alle website en webdiensten die binnen het onderwijs gebruikt worden, aangezien die doorgaans ook een beveiligde verbinding bieden. Daar wordt in dit document apart aandacht aan besteed, onder human to machine (H2M). 

In deze versie (0.5) zijn alle voorschriften verwerkt. Daarnaast zijn de laatste op- en aanmerkingen van de werkgroepleden tijdens de bijeenkomst mei 2020 verwerkt. De versie is tevens voorzien van een nieuwe bijlage, voor vastleggen van afspraken over ‘uit te faseren’ configuraties voor H2M. Voorschrift voor OCSP-stapling staat onder concept, aangezien de wijze waarop een certificaat gecontroleerd moet worden nog ter discussie staat. 

Samenhang

De standaarden Edukoppeling, UWLR en ECK DT, moeten naar de voorschriften in dit document verwijzen en niet (meer) zelf definiëren. Dat geldt ook voor uitwisselingsdiensten, zoals OSO.

Sommige voorschriften gelden op basis van een BIV-classificatie. Hiervoor wordt gebruikt gemaakt van het ‘Certificeringsschema informatiebeveiliging en privacy ROSA’ van Edustandaard. Naast de BIV-classificatie, zijn hier ook maatregelen in gedefinieerd. Bijvoorbeeld voor TLS, waarvoor ook naar deze voorschriften verwezen wordt.

Voor de Uniforme beveiligingsvoorschriften wordt waar mogelijk gebruik gemaakt van ‘hoger gelegen’ afspraken. Bij voorkeur internationale afspraken (zoals van INAN), indien nodig nationale afspraken (zoals van Forum Standaardisatie en NCSC) en alleen als die niet voldoen aanvullende afspraken die in deze werkgroep worden gemaakt. Afwijken van bovenliggende afspraken wordt onderbouwd. In geval van afspraken rondom TLS, wordt de ‘ICT-beveiligingsrichtlijnen voor Transport Layer Security (TLS)’ van NCSC gevolgd. 

Meerwaarde

De transactiestandaard Edukoppeling en andere (gelieerde) standaarden, zoals OSO, BRON, UWLR en ECK DT, verwijzen naar deze beveiligingsvoorschriften in plaats van zelfstandig te definiëren. Hiermee wordt tevens consensus bereikt, wat de interoperabiliteit en efficiëntie ten goede komt voor een veilig en betrouwbare gegevensuitwisseling in de sector. Zowel voor communicatie tussen systemen (M2M), als voor communicatie met de gebruiker (H2M).

Gebruik

Het betreft een van de laatste conceptversies en wordt gebruikt voor de ROSA-scan. Daarnaast staat er een discussie open voor certificaat controle. Op basis hiervan kunnen voorschriften nog wijzigen. 

De licentie op de voorschriften is CC BY 4.0 (Attribution 4.0 International). Dit betekent in eenvoudige termen dat men vrij is om het werk te delen en te bewerken, mits bronvermelding wordt toegepast. Let wel op dat de voorschriften is ontworpen voor de onderwijssector.

Heeft u vragen of ideeën over de Uniforme beveiligingsvoorschriften? Suggesties, aanvullende maatregelen of beter formuleringen zijn van harte welkom. Mail naar info(Replace this parenthesis with the @ sign)edustandaard.nl, met “Uniforme beveiligingsvoorschriften” in het onderwerp. Uw ervaringen helpen ons ook met vaststellen of de voorschriften goed zijn toe te passen en zijn doelen bereikt.

Implementatie

Het is de bedoeling dat deze UBV voor TLS worden gebruik in plaats van de beveiligingsvoorschriften die nu in de verschillende afspraken (Edukoppeling, UWLR etc.) worden gehanteerd. Vanuit deze afspraken zal worden verwezen naar de UBV. Streven is dat de UBV via toepassingsprofielen het complete overzicht geven van relevante afspraken.

Ontwikkelingen

In de bijeenkomst van de Standaardisatieraad van 25 april 2019 is besloten om een werkgroep ‘Uniforme beveiligingsvoorschriften’ in het leven te roepen. Deze werkgroep zorgt voor een set uniforme beveiligingsvoorschriften die centraal kunnen worden onderhouden.

Binnen Edustandaard wordt periodiek (minimaal eenmaal per jaar) de opzet en de werking van de voorschriften besproken met alle relevante stakeholders die vertegenwoordigd zijn in de Standaardisatieraad. Hiertoe wordt input verzameld vanuit de Edustandaardwerkgroep Uniforme beveiligingsvoorschriften en vanuit Edu-K.