Bijeenkomst werkgroep Uniforme Beveiligingsvoorschriften september 2020

Datum: 21 september 2020
Tijd: 13.00 uur - 14.30 uur
Locatie: Online

Programma

  1. Opening
    • Verslag voorgaande bijeenkomst vaststellen
      Het concept verslag van de voorgaande bijeenkomst is eerder toegestuurd en zonder aanvulling als concept op Edustandaard geplaatst. De gemaakte afspraken en acties worden ter bevestiging nagelopen. 
    • Openstaande acties
      Na de laatste bijeenkomst zijn er vier nieuwe acties op de actielijst geplaatst. Acties m.b.t. de thema’s ‘Security Headers’ en ‘veilig en betrouwbare mail’ zijn reeds onderdeel van de  agenda.
      Doel: informeren over de status en waar nodig zorgen voor voortgang.
  2. TLS-voorschriften
    • Laatste wijzigingen, versie in consultatie
      Naar aanleiding van de laatste bijeenkomst waarbij met name stil is gestaan bij certificaatcontrole, is de versie van de UBV TLS bijgewerkt in een versie 0.7. Deze versie is in consultatie gegaan (zie UBV TLS v0.7: publieke consultatie).
      Doel: Informeren en bespreken reacties van ieder zijn achterban, zodat deze in een volgende versie meegenomen kan worden.
  3. Veilige en betrouwbare e-mail
    • Eerste concept
      Op basis van een analyse van de standaarden en beschikbare informatie en voorbespreking met Dirk Linden, Rimmer Hylkema en Jordy van den Elshout is een eerste conceptversie uitgewerkt. Op basis daarvan is de werkgroep gevraagd om op- en aanmerkingen te plaatsen, zodat deze besproken kunnen worden.
      Doel: eerste conceptversie bespreken incl. de geplaatste opmerkingen. Stilstaan bij de impact van de voorschriften. En bepalen hoe de aanpak vorm te geven.
  4. Andere beveiligingsstandaarden
    • Security Headers
      ‘Security Headers’ is een apart thema, naast de WDO-beveiligingsstandaarden. Dit is belangrijk onderdeel voor de veiligheid van webdiensten. Het is ook onderdeel van de test op internet.nl, echter wordt daar een subset getest. Welke nog meer van belang zijn en op welke wijze deze toegepast moeten worden, is een vraag die open staat. Voorgaande bijeenkomst is besloten dat een ieder zich hier verder in verdiept om dit vervolgens met de werkgroep verder te verkennen.
      Doel: onderwerp verdiepen met de werkgroep, om vervolg te bepalen. 
    • Domeinnaambeveiliging
      Tijdens de vorige bijeenkomst is besloten om hier eerst een discussiestuk voor te starten, alvorens te bepalen of dit een apart (thema)document moet zijn of opgenomen moet worden in de bestaande (thema)documenten als randvoorwaarden. In het discussiestuk Domeinnaambeveiliging is een voorzet gedaan met achtergrond incl. risico’s en maatregelen.
      Doel: informeren en vragen om reactie te plaatsen over welke risico’s en maatregelen nog meer aan de orde zijn, zodat dit verder uitgewerkt kan worden. Vervolgens wordt een voorstel gedaan waarin dit opgenomen moet worden: apart of onderdeel van andere thema’s. 
  5. Afsluiting
    • Volgende bijeenkomst