Uniforme Beveiligingsvoorschriften – Transport Layer Security (TLS)

Versie: Uniforme Beveiligingsvoorschriften – Transport Layer Security (TLS) 1.0
Status: Definitief - januari 2021
Sector: PO VO MBO HO

Beschrijving

Ketenpartijen hebben te maken met verschillende gegevensuitwisselingen met de daarbij horende afspraken en standaarden. Hierbij worden ook afspraken gemaakt voor beveiliging. Wanneer deze afspraken per type uitwisseling worden gemaakt, kan dit in de onderwijsketen leiden tot interoperabiliteitsproblemen en/of inefficiëntie. Daarom is in de bijeenkomst van de Standaardisatieraad van 25 april 2019 besloten om een werkgroep ‘Uniforme beveiligingsvoorschriften’ (UBV) in het leven te roepen. Deze werkgroep zorgt voor een set uniforme beveiligingsvoorschriften die centraal kunnen worden onderhouden. Verschillende standaarden zoals Edukoppeling, Uitwisseling Leerlinggegevens en Resultaten (UWLR) en Educatieve Distributie en Toegang (ECK DT), kunnen hier dan naar verwijzen in plaats van dat zij deze zelfstandig definiëren.

De voorschriften gelden daarmee voor alle gegevensuitwisselingen binnen het onderwijs. Dat geldt bijvoorbeeld voor BRON-uitwisseling via de standaard Edukoppeling. De voorschriften gelden ook voor gegevensuitwisselingen die eigen afspraken hebben, zoals voor Overstap Service Onderwijs (OSO). De afspraken hiervoor zijn gevat onder machine to machine (M2M).

De afspraken zijn ook van toepassing voor alle website en webdiensten die binnen het onderwijs worden gebruikt, aangezien die doorgaans ook een beveiligde verbinding bieden. Daar wordt in dit document apart aandacht aan besteed, onder human to machine (H2M).

Er wordt onderscheid gemaakt tussen voorschriften en adviezen die gelden voor de gegevensuitwisseling tussen partijen (M2M) en met gebruikers (H2M) in het onderwijs. De voorschriften (donkergroen gemarkeerd) zijn verplicht en vallen onder een pas-toe-leg-uit-principe. Voor het advies (lichtgroen gemarkeerd) geldt dat niet. In de voorschriften wordt tevens onderscheid gemaakt tussen ‘Veiligheid’, ‘Beschikbaarheid’ en ‘Interoperabiliteit’. De voorschriften voor ‘Interoperabiliteit’ zijn niet verplicht voor de gegevensuitwisseling binnen een eigen organisatie.

Deze definitieve versie (1.0) is bijgewerkt op basis van de reacties op de publieke consultatie van UBV TLS 0.7 die tevens zijn besproken met de werkgroep. Daarnaast zijn de profielen voorzien van een update. Deze versie is voorgelegd ter goedkeuring in de Architectuurraad en Standaardisatieraad.

Samenhang

De standaarden binnen Edustandaard die (randvoorwaardelijk) gebruikmaken van TLS, zoals Edukoppeling. UWLR en ECK DT, moeten naar de voorschriften in dit document verwijzen en niet (meer) zelf definiëren. Dat geldt ook voor uitwisselingsdienst OSO.

Sommige voorschriften gelden op basis van een BIV-classificatie. Hiervoor wordt gebruik gemaakt van het ‘Certificeringsschema informatiebeveiliging en privacy ROSA’ van Edustandaard. Naast de BIV-classificatie, zijn hier ook maatregelen in gedefinieerd. Bijvoorbeeld voor TLS, waarvoor ook naar deze voorschriften wordt verwezen.

Voor de Uniforme beveiligingsvoorschriften wordt waar mogelijk gebruik gemaakt van ‘hoger gelegen’ afspraken. Bij voorkeur internationale afspraken (zoals van INAN), indien nodig nationale afspraken (zoals van Forum Standaardisatie en NCSC) en alleen als die niet voldoen, aanvullende afspraken die in deze werkgroep worden gemaakt. Afwijken van bovenliggende afspraken wordt onderbouwd. In geval van afspraken rondom TLS, wordt de ‘ICT-beveiligingsrichtlijnen voor Transport Layer Security (TLS)’ van NCSC gevolgd.

Gebruikte standaarden in dit document zoals TLS, staan op de lijst met Verplichte (pas toe of leg uit) standaarden van Forum Standaardisatie. De Wet Digitale Overheid (WDO) kan deze standaarden verplicht stellen voor (semi-)publieke organisaties. De voorschriften in dit document geven dan tevens een invulling aan het principe pas-toe-leg-uit, als deze voor een organisatie of instelling verplicht is gesteld.

Meerwaarde

De transactiestandaard Edukoppeling en andere (gelieerde) standaarden, zoals OSO, BRON, UWLR en ECK DT, verwijzen naar deze beveiligingsvoorschriften in plaats van zelfstandig te definiëren. Hiermee wordt tevens consensus bereikt, wat de interoperabiliteit en efficiëntie ten goede komt voor een veilig en betrouwbare gegevensuitwisseling in de sector. Zowel voor communicatie tussen systemen (M2M), als voor communicatie met de gebruiker (H2M).

Gebruik

De licentie op de voorschriften is CC BY 4.0 (Attribution 4.0 International). Dit betekent in eenvoudige termen dat men vrij is om het werk te delen en te bewerken, mits bronvermelding wordt toegepast. Let wel op dat de voorschriften zijn ontworpen voor de onderwijssector.

Heeft u vragen of ideeën over de Uniforme beveiligingsvoorschriften? Suggesties, aanvullende maatregelen of beter formuleringen zijn van harte welkom. Mail naar info(Replace this parenthesis with the @ sign)edustandaard.nl, met “UBV – TLS” in het onderwerp. Uw ervaringen helpen ons ook met vaststellen of de voorschriften goed zijn toe te passen en hun doelen bereiken.

Implementatie

Het is de bedoeling dat deze UBV voor TLS worden gebruik in plaats van de beveiligingsvoorschriften die nu in de verschillende afspraken (Edukoppeling, UWLR etc.) worden gehanteerd. Vanuit deze afspraken zal worden verwezen naar de UBV. Streven is dat de UBV via toepassingsprofielen het complete overzicht geven van relevante afspraken.

Ontwikkelingen

In de bijeenkomst van de Standaardisatieraad van 25 april 2019 is besloten om een werkgroep ‘Uniforme beveiligingsvoorschriften’ in het leven te roepen. Deze werkgroep zorgt voor een set uniforme beveiligingsvoorschriften die centraal kunnen worden onderhouden.

Binnen Edustandaard wordt periodiek (minimaal eenmaal per jaar) de opzet en de werking van de voorschriften besproken met alle relevante stakeholders die vertegenwoordigd zijn in de Standaardisatieraad. Hiertoe wordt input verzameld vanuit de Edustandaard werkgroep Uniforme beveiligingsvoorschriften en vanuit Edu-K.

Bijeenkomsten

Er zijn geen bijeenkomsten gepland.
Documentatie van eerdere bijeenkomsten is terug te vinden in het overzicht bijeenkomsten.