Beschrijving
Ketenpartijen hebben te maken met verschillende gegevensuitwisselingen met de daarbij horende afspraken en standaarden. Hierbij worden ook afspraken gemaakt voor beveiliging. Wanneer deze afspraken per type uitwisseling worden gemaakt kan dit in onderwijsketen leiden tot interoperabiliteitsproblemen en/of inefficiëntie. Daarom is in de bijeenkomst van de Standaardisatieraad van 25 april 2019 besloten om een werkgroep ‘Uniforme beveiligingsvoorschriften’ (UBV) in het leven te roepen. Deze werkgroep zorgt voor een set uniforme beveiligingsvoorschriften die centraal kunnen worden onderhouden. Verschillende standaarden, zoals Edukoppeling, Uitwisseling Leerlinggegevens en Resultaten (UWLR) en Educatieve Distributie en Toegang (ECK DT), kunnen hier dan naar verwijzen in plaats van dat zij deze zelfstandig definiëren. De voorschriften gelden daarmee voor alle gegevensuitwisselingen binnen het onderwijs. Dat geldt bijvoorbeeld voor BRON-uitwisseling via de standaard Edukoppeling. De voorschriften gelden ook voor gegevensuitwisselingen die eigen afspraken hebben, zoals voor Overstap Service Onderwijs (OSO). De afspraken hiervoor zijn gevat onder machine to machine (M2M).
De afspraken zijn ook van toepassing voor alle website en webdiensten die binnen het onderwijs gebruikt worden, aangezien die doorgaans ook een beveiligde verbinding bieden. Daar wordt in dit document apart aandacht aan besteed, onder human to machine (H2M).
Deze versie (0.7) is in consultatie. In deze versie zijn de laatste voorschriften voor certificaat controle toegevoegd, die besproken zijn in de bijeenkomst van augustus 2020. Daarnaast zijn in een eerdere versie (0.6) de wijzigingen op basis van advies ROSA-scan en besluit Architectuurraad doorgevoerd, waaronder een basisprofiel en de gewenste uitzondering bij poort 443. Ook is de samenhang met WDO beschreven.
Samenhang
De standaarden binnen Edustandaard die (randvoorwaardelijk) gebruikmaken van TLS,zoals Edukoppeling. UWLR en ECK DT, moeten naar de voorschriften in dit document verwijzen en niet (meer) zelf definiëren. Dat geldt ook voor uitwisselingsdienst OSO.
Sommige voorschriften gelden op basis van een BIV-classificatie. Hiervoor wordt gebruikt gemaakt van het ‘Certificeringsschema informatiebeveiliging en privacy ROSA’ van Edustandaard. Naast de BIV-classificatie, zijn hier ook maatregelen in gedefinieerd. Bijvoorbeeld voor TLS, waarvoor ook naar deze voorschriften verwezen wordt.
Voor de Uniforme beveiligingsvoorschriften wordt waar mogelijk gebruik gemaakt van ‘hoger gelegen’ afspraken. Bij voorkeur internationale afspraken (zoals van INAN), indien nodig nationale afspraken (zoals van Forum Standaardisatie en NCSC) en alleen als die niet voldoen aanvullende afspraken die in deze werkgroep worden gemaakt. Afwijken van bovenliggende afspraken wordt onderbouwd. In geval van afspraken rondom TLS, wordt de ‘ICT-beveiligingsrichtlijnen voor Transport Layer Security (TLS)’ van NCSC gevolgd.
Gebruikte standaarden in dit document, zoals TLS staat op de lijst met Verplichte (pas toe of leg uit) standaarden van Forum Standaardisatie. De Wet Digitale Overheid (WDO) kan deze standaarden verplicht stellen voor (semi-)publieke organisaties. De voorschriften in dit document geven dan tevens een invulling aan de principe pas-toe-leg-uit, als deze voor een organisatie of instelling verplicht gesteld is.
Meerwaarde
De transactiestandaard Edukoppeling en andere (gelieerde) standaarden, zoals OSO, BRON, UWLR en ECK DT, verwijzen naar deze beveiligingsvoorschriften in plaats van zelfstandig te definiëren. Hiermee wordt tevens consensus bereikt, wat de interoperabiliteit en efficiëntie ten goede komt voor een veilig en betrouwbare gegevensuitwisseling in de sector. Zowel voor communicatie tussen systemen (M2M), als voor communicatie met de gebruiker (H2M).
Gebruik
Het betreft een van de laatste conceptversies voor de consultatie. Op basis hiervan kunnen voorschriften nog wijzigen.
De licentie op de voorschriften is CC BY 4.0 (Attribution 4.0 International). Dit betekent in eenvoudige termen dat men vrij is om het werk te delen en te bewerken, mits bronvermelding wordt toegepast. Let wel op dat de voorschriften is ontworpen voor de onderwijssector.
Heeft u vragen of ideeën over de Uniforme beveiligingsvoorschriften? Suggesties, aanvullende maatregelen of beter formuleringen zijn van harte welkom. Mail naar info(Replace this parenthesis with the @ sign)edustandaard.nl, met “Uniforme beveiligingsvoorschriften” in het onderwerp. Uw ervaringen helpen ons ook met vaststellen of de voorschriften goed zijn toe te passen en zijn doelen bereikt.
Implementatie
Het is de bedoeling dat deze UBV voor TLS worden gebruik in plaats van de beveiligingsvoorschriften die nu in de verschillende afspraken (Edukoppeling, UWLR etc.) worden gehanteerd. Vanuit deze afspraken zal worden verwezen naar de UBV. Streven is dat de UBV via toepassingsprofielen het complete overzicht geven van relevante afspraken.
Ontwikkelingen
In de bijeenkomst van de Standaardisatieraad van 25 april 2019 is besloten om een werkgroep ‘Uniforme beveiligingsvoorschriften’ in het leven te roepen. Deze werkgroep zorgt voor een set uniforme beveiligingsvoorschriften die centraal kunnen worden onderhouden.
Binnen Edustandaard wordt periodiek (minimaal eenmaal per jaar) de opzet en de werking van de voorschriften besproken met alle relevante stakeholders die vertegenwoordigd zijn in de Standaardisatieraad. Hiertoe wordt input verzameld vanuit de Edustandaardwerkgroep Uniforme beveiligingsvoorschriften en vanuit Edu-K.
Documentatie
Normatieve documenten
Alle documentatie en specificaties die verplicht zijn bij het implementeren van een afspraak.
Versies
Bijeenkomsten
Documentatie van eerdere bijeenkomsten is terug te vinden in het overzicht bijeenkomsten.