Programma
Partijen hebben te maken met verschillende gegevensuitwisselingen en de daarbij geldende beveiligingsvoorschriften. Dit leidt soms tot interoperabiliteitsproblemen en/of inefficiëntie. Met deze werkgroep willen we komen tot een set uniforme beveiligingsvoorschriften die centraal kunnen worden onderhouden. Bedoeling is om beveiligingsvoorschriften zoveel mogelijk uit individuele standaarden te laten verdwijnen. Uiteraard willen we daarbij zoveel als mogelijk aansluiten bij bestaande voorschriften, zoals de richtlijnen van het Nationaal Cyber Security Centrum (NCSC).
De ICT-beveiligingsrichtlijn voor TLS (NCSC) is na een lange periode recentelijk herzien. In de nieuwe versie wordt onderscheid gemaakt tussen ‘Goed’, ‘Voldoende’, ‘Uit te faseren’ en ‘Onvoldoende’ configuratie(mogelijkheden). Dit biedt verschillende configuratiemogelijkheden, wat tot inefficiëntie leidt wanneer alle mogelijkheden toegepast moeten worden. Of bij een keuze, tot problemen met interoperationaliteit. Mede daarom zijn er in de keten specifieke afspraken gemaakt, sommige daarvan in standaarden. Bijvoorbeeld Edukoppeling waarbij verwezen wordt naar afspraken in een andere keten, zoals Digikoppeling (Beveiligingstandaarden en voorschriften, blz. 13).
Kennisnet heeft de afspraken voor ‘Beveiligd Gegevenstransport‘ die onder andere gebruikt worden voor OSO, OSR en Nummervoorziening naast de nieuwe TLS-richtlijnen van NSCS gelegd. Daarin is te zien dat er zowel aanvullende als aangescherpte vereisten aanwezig zijn. Doelstelling van de eerste bijeenkomst is het vaststellen van de aanleiding en in welke mate een set van uniforme beveiligingsvoorschriften hier centraal in moet voorzien.
Agenda
- Opening, kennismaking
- Aanleiding werkgroep Uniforme Beveiligingsvoorschriften
- Aanleiding vaststellen
- Doelstelling: gezamenlijk komen tot set uniforme beveiligingsvoorschriften die de interoperabiliteit en efficiëntie ten goede komt.
- Bespreekpunten TLS-voorschriften
- Op welke wijze de ‘ICT-beveiligingsrichtlijnen voor TLS v2.0‘ (NCSC, 2019) hanteren als basis?
- De reikwijdte van de set van voorschriften, zoals beperking tot M2M-communicatie.
- Welke (soort) afspraken wenselijk dan wel noodzakelijk zijn. Welke daarvan vastleggen; niet casuïstiek gemaakt kunnen worden.
- Volgen van andere (bestaande) afspraken?
- Interoperabiliteit met andere ketens?
- Minimale ‘Cipher Suites’ en volgorde daarvan?
- Opname van SNI?
- Afsluiting
-
- Vervolg
- Andere onderwerpen (voorraad agenda)
- Wettelijke verplichting rond beveiligingstandaarden (wet Digitale Overheid), zoals besproken in de werkgroep Edukoppeling van 1 mei 2019.
- Wanneer welk certificaat, zoals een PKI of een ander soort certificaat.
- Volgende bijeenkomst