Informatiebeveiliging
Titel | Informatiebeveiliging |
Status | In ontwikkeling ROSA-Architectuurscan BEsluitvorming in beheer |
Versie | 1.0.0 |
Datum | 27 Mei 2024 |
Auteur | Architectenraad Edu-V |
Acties |
|
In het architectuurkader zijn voorwaarden gesteld voor het uitwisselen van M2M gegevensuitwisselingen en H2M identificatie en authenticatie. In aanvulling hierop is het van belang dat leveranciers een basisniveau van informatiebeveiliging en privacy hanteren voor toepassingen. Dit basisniveau is afhankelijk van de context waarin de toepassing zich bevindt. We hanteren hiervoor de volgende standaarden en handreikingen:
Certificeringsschema informatiebeveiliging en privacy ROSA
Uniforme Beveiligingsvoorschriften Veilig en Betrouwbaar e-mailverkeer
Uniforme Beveiligingsvoorschriften Security Headers
Uniforme Beveiligingsvoorschriften – Transport Layer Security (TLS)
De standaarden en handreikingen worden hieronder nader toegelicht.
Certificeringsschema informatiebeveiliging en privacy ROSA
Binnen Edu-V hanteren we hiervoor het door Edustandaard ontwikkelde Certificeringsschema informatiebeveiliging en privacy ROSA. Dit certificeringsschema is een baseline voor informatiebeveiliging van toepassingen in het onderwijs, gebaseerd op ISO 27001 en in publiek-private samenwerking tot stand gekomen. Het certificeringschema stelt leveranciers in staat om aan te tonen dat hun toepassingen voldoen aan relevante informatiebeveiligingseisen. Onderwijsorganisaties kunnen eenvoudig nagaan of een toepassing voldoet aan de relevante informatiebeveiligingseisen.
Het certificeringsschema bestaat uit:
Een classificatiehulpmiddel om de mate van belang van Beschikbaarheid, Integriteit en Vertrouwelijkheid (BIV) te bepalen.
Een toetsingskader met verschillende informatiebeveiligingsmaatregelen per BIV-niveau. Hogere B, I of V classificatie geeft zwaardere maatregelen.
Rapportage hulpmiddel o.b.v. pas toe of leg uit
Deze hulpmiddelen zijn te vinden op de website van Edustandaard.
Uniforme Beveiligingsvoorschriften Veilig en betrouwbaar e-mailverkeer
In de standaard Uniforme Beveiligingsvoorschriften Veilig en betrouwbaar e-mailverkeer worden afspraken voor veilig en betrouwbaar e-mailverkeer behandeld. Deze dragen bij aan de afleverbetrouwbaarheid van e-mail en bescherming van domeinnamen tegen misbruik, zoals bijvoorbeeld phishing.
De door de standaard voorgeschreven beveiligingsstandaarden zijn onderdeel van de lijst met verplichte standaarden van Forum Standaardisatie, die door de Wet Digitale Overheid (WDO) verplicht worden gesteld. De uniforme beveiligingsvoorschriften gelden voor onderwijsinstellingen en andere organisaties die e-mail verzorgen en/of beheren voor het onderwijs. Dat geldt voor de hele onderwijssector (PO, VO, MBO en HO).
Binnen Edu-V maken we de afspraak om deze voorschriften toe te passen voor alle e-mail correspondentie tussen leveranciers met onderwijsinstellingen, waaronder (maar niet uitputtend): systeemberichten en e-mailcommunicatie met een klantenservice.
Uniforme Beveiligingsvoorschriften Security headers
In de handreiking Uniforme Beveiligingsvoorschriften Security Headers worden ‘Security Headers’ en de effectiviteit ervan inzichtelijk gemaakt, zodat eigenaren en beheerders van webapplicaties in het onderwijs, deze naar eigen inzicht en situatie kunnen toepassen. Dit heeft als doel om de veiligheid en betrouwbaarheid van webapplicaties in het onderwijs te verbeteren.
Binnen Edu-V maken we de afspraak om deze handreiking toe te passen voor de veiligheid en betrouwbaarheid van alle webapplicaties van Leveranciers.
Uniforme Beveiligingsvoorschriften – Transport Layer Security (TLS)
De informatiebeveiliging voor M2M gegevensuitwisselingen is nader uitgewerkt in het hoofdstuk M2M gegevensuitwisselingen. De afspraken zijn gebaseerd op Edukoppeling. Edukoppeling leunt voor de TLS afspraken weer op de Uniforme Beveiligingsvoorschriften TLS. Door deze hiërarchische overerving maken we binnen Edu-V de afspraak om ook de Uniforme Beveiligingsvoorschriften TLS te hanteren.
Release notes
Deze uitwerking is gebaseerd op basis van de volgende stappen:
0.0.1: Tijdens de Architectenraad Edu-V bijeenkomst van 21 maart zijn relevante standaarden vanuit Edustandaard gepresenteerd. Deze relevante standaarden zijn hier verzameld als basis voor het Architectuurkader Edu-V.
0.0.2: De leden van de Architectenraad Edu-V hebben feedback gegeven. Deze feedback is verwerkt in een volgende versie.
0.0.3: De uitwerking is besproken in de Werkconferentie van de Architectenraad Edu-V van 18 april 2023.
0.0.4: Tekst herzien op basis van gewijzigde referentiecomponenten en gegevensdefinities.
0.0.5: De pagina is besproken tijdens de bijeenkomst van de Architectenraad Edu-V en is gereed voor de ROSA-architectuurscan.
1.0.0: Het Architectuurkader Edu-V is vastgesteld als startpunt voor de implementatie. Tevens is instemming verleend op verdere doorontwikkeling van het Architectuurkader Edu-V op basis van de Architectuurprincipes. Dit akkoord is verleend op het Bestuurlijk Overleg van 27 mei 2024.
Â