Beschrijving
De SURF Security Baseline is een set van maatregelen voor informatiebeveiliging. Het doel van deze set is om ervoor te zorgen dat zowel de nieuwe als bestaande systemen en toepassingen binnen de SURF-leden (onderwijsinstellingen) voldoen aan een minimum beveiligingsniveau. De baseline moet ook gaan gelden ook voor systemen die worden aangeschaft, hetzij door de instelling zelf, hetzij door SURF, mogelijk namens de sector (aanbestedingen).
Binnen het hoger onderwijs en middelbaar beroepsonderwijs hanteerden instellingen tot voor kort hun eigen beveiligingsmaatregelen, zowel voor intern gebruik als voor eisen aan leveranciers. Door de variatie in deze maatregelen was er echter geen eenduidig kader voor leveranciers om aan te voldoen, en samenwerking tussen de instellingen was uitdagend door de verschillen.
Deze situatie heeft aanleiding gegeven tot de ontwikkeling van de SURF Security Baseline. Het doel was om een uniforme set van beveiligingsmaatregelen te creëren die zou bijdragen aan een verbeterde consistentie en kwaliteit van informatiebeveiliging binnen de onderwijs- en onderzoekssector.
Daarnaast maakt de baseline deel uit van het sectorbrede “Vendor Riskmanagement”-project dat in 2022 in SURF verband is gestart. Dit project richt zich op het beoordelen van de beveiligingsmaatregelen die leveranciers hebben genomen voor hun applicaties en diensten. De behoefte aan gestandaardiseerde en duidelijkere beveiligingseisen voor leveranciers was hierin evident.
Door deze ontwikkelingen wordt het voor zowel instellingen als leveranciers eenvoudiger om aan gemeenschappelijke beveiligingsnormen te voldoen.
Samenhang
De SURF Security Baseline is ontworpen door en voor onderwijsinstellingen die lid zijn van SURF, waaronder universiteiten (wo), hogescholen (hbo) en middelbare beroepsscholen (mbo). Dit heeft ook een directe impact op de onderzoekssector en andere leden van SURF.
Niet alleen kunnen de andere leden van SURF de baseline implementeren om hun eigen interne beveiligingsmaatregelen te optimaliseren, ze kunnen als SURF-leden ook inzicht krijgen in de onderzoeken die zijn uitgevoerd bij leveranciers op basis van deze baseline. Dit kunnen onderzoeken zijn die door SURF zelf, in opdracht van SURF, of door andere instellingen zijn uitgevoerd. Het idee is om de resultaten van deze onderzoeken, met name over de beveiligingsmaatregelen die door leveranciers zijn genomen, onder de SURF-leden te delen, waar van toepassing. Hoe deze resultaten precies gedeeld zullen worden, wordt momenteel nog uitgewerkt.
Deze bredere kennisdeling en het gezamenlijke toezicht op leveranciers verhogen het niveau van vertrouwen in de effectiviteit van de beveiligingsmaatregelen van de leveranciers. Het draagt dus bij aan een gezamenlijke en gedeelde aanpak van informatiebeveiliging binnen de hele onderwijs- en onderzoekssector.
Gebruik
De SURF Security Baseline is ontworpen door en voor onderwijsinstellingen die lid zijn van SURF, waaronder universiteiten (wo), hogescholen (hbo) en middelbare beroepsscholen (mbo). Dit heeft ook een directe impact op de onderzoekssector en andere leden van SURF.
Niet alleen kunnen de andere leden van SURF de baseline implementeren om hun eigen interne beveiligingsmaatregelen te optimaliseren, ze kunnen als SURF-leden ook inzicht krijgen in de onderzoeken die zijn uitgevoerd bij leveranciers op basis van deze baseline. Dit kunnen onderzoeken zijn die door SURF zelf, in opdracht van SURF, of door andere instellingen zijn uitgevoerd. Het idee is om de resultaten van deze onderzoeken, met name over de beveiligingsmaatregelen die door leveranciers zijn genomen, onder de SURF-leden te delen, waar van toepassing. Hoe deze resultaten precies gedeeld zullen worden, wordt momenteel nog uitgewerkt.
Deze bredere kennisdeling en het gezamenlijke toezicht op leveranciers verhogen het niveau van vertrouwen in de effectiviteit van de beveiligingsmaatregelen van de leveranciers. Het draagt dus bij aan een gezamenlijke en gedeelde aanpak van informatiebeveiliging binnen de hele onderwijs- en onderzoekssector.
Bijeenkomsten
Documentatie van eerdere bijeenkomsten is terug te vinden in het overzicht bijeenkomsten.