Programma
- Opening
- Verslag voorgaande bijeenkomst vaststellen
Het concept verslag van de voorgaande bijeenkomst is eerder toegestuurd en zonder aanvulling als concept op Edustandaard geplaatst. De gemaakte afspraken en acties worden ter bevestiging nagelopen. - Openstaande acties
Na de laatste bijeenkomst zijn er vier nieuwe acties op de actielijst geplaatst. Merendeel gaat over het bijwerken van commentaar op de thema’s TLS, ‘Veilig en Betrouwbare e-mail’ en Domeinnaambeveiliging. Daarnaast een actie voor vormgeven van het thema ‘Security Headers’. Deze acties komen ook tijdens de agenda aan bod.
Doel: informeren over de status en waar nodig zorgen voor voortgang.
- Verslag voorgaande bijeenkomst vaststellen
- TLS-voorschriften
- Reacties op consultatie
In totaal zijn twee reacties op de consultatie via Edustandaard ontvangen. Deze reacties (en andere reactie via de werkgroep) zijn bij de desbetreffende voorschriften geplaatst als commentaar in het werkdocument van UBV TLS. Gezien het beperkte commentaar, lopen we deze gezamenlijk door.
Doel: inhoudelijk de reactie op consultatie bespreken en aan de hand daarvan bepalen of en tot welke wijziging van de voorschriften dit moet leiden. - Laatste wijzigingen n.a.v. commentaar laatste bijeenkomst
Naar aanleiding van de laatste bijeenkomst zijn er tweetal opmerkingen geplaatst. Dit met betrekking tot 1) de scope van de ‘gegevensuitwisseling in het onderwijs’ en 2) de uitzondering voor een Single Page Application. Deze zijn bijgewerkt in een nieuwe versie (zie UBV TLS 0.7.1).
Doel: wijzigingen naar aanleiding van het commentaar bespreken, zodat deze definitief gemaakt kan worden.
- Reacties op consultatie
- Veilig en betrouwbare e-mail
- Laatste wijzigingen n.a.v. commentaar laatste bijeenkomst
De werkgroep is gevraagd om commentaar te leveren op de eerste conceptversie UBV Veilig en Betrouwbare e-mail. Deze zijn tijdens de vorige bijeenkomst besproken. De meeste daarvan zijn bijgewerkt in een nieuwe versie en kunnen besproken worden.
Doel: wijzigingen bespreken. Daarnaast stilstaan bij de implementatie en impact van de voorschriften. En bepalen hoe de aanpak vorm te geven.
- Laatste wijzigingen n.a.v. commentaar laatste bijeenkomst
- Andere beveiligingsstandaarden
- Status en vervolgactie bespreken
De thema’s domeinnaambeveiliging en ‘Security Headers’ moet nog verder uitgewerkt worden, voordat deze besproken kunnen worden.
Doel: Informeren en evt. voortgang bespreken.
- Status en vervolgactie bespreken
- Afsluiting
- Volgende bijeenkomst
Bijlage: (WDO-)Beveiligingsstandaarden en thema’s
| Standaard | Doel standaard | Thema (status) |
| TLS/HTTPS Het NCCS heeft aanvullende eisen t.a.v. cijfersuites |
Beveiligde verbinding | TLS (Consultatie afgerond) |
| DNSSEC | Domeinnaambeveiliging | N.t.b. |
| SPF | Anti-phishing email | E-mail (Bezig) |
| DKIM | Anti-phishing email | E-mail (Bezig) |
| DMARC | Anti-phishing email | E-mail (Bezig) |
| HTTPS, HSTS en TLS conform NCSC richtlijn | Beveiligde verbinding | TLS (Consultatie afgerond) |
| STARTTLS en DANE. Voor gebruik van DANE gelden strikte policies | Encryptie van mailverkeer | E-mail (Bezig) |
| SPF en DMARC | Strikte policies voor emailstandaarden | E-mail (Bezig) |
| Security Headers | Security Headers (Bezig) |