Informatiebeveiliging

In het architectuurkader zijn voorwaarden gesteld voor het uitwisselen van M2M gegevensuitwisselingen en H2M identificatie en authenticatie. In aanvulling hierop is het van belang dat leveranciers een basisniveau van informatiebeveiliging en privacy hanteren voor toepassingen. Dit basisniveau is afhankelijk van de context waarin de toepassing zich bevindt. We hanteren hiervoor de volgende standaarden en handreikingen:

1. Certificeringsschema informatiebeveiliging en privacy ROSA

2. Uniforme Beveiligingsvoorschriften Veilig en Betrouwbaar e-mailverkeer

3. Uniforme Beveiligingsvoorschriften Security Headers

4. Uniforme Beveiligingsvoorschriften – Transport Layer Security (TLS)

De standaarden en handreikingen worden hieronder nader toegelicht.

Certificeringsschema informatiebeveiliging en privacy ROSA

Binnen Edu-V hanteren we hiervoor het door Edustandaard ontwikkelde Certificeringsschema informatiebeveiliging en privacy ROSA. Dit certificeringsschema is een baseline voor informatiebeveiliging van toepassingen in het onderwijs, gebaseerd op ISO 27001 en in publiek-private samenwerking tot stand gekomen. Het certificeringschema stelt leveranciers in staat om aan te tonen dat hun toepassingen voldoen aan relevante informatiebeveiligingseisen. Onderwijsorganisaties kunnen eenvoudig nagaan of een toepassing voldoet aan de relevante informatiebeveiligingseisen.

Het certificeringsschema bestaat uit:

1. Een classificatiehulpmiddel om de mate van belang van Beschikbaarheid, Integriteit en Vertrouwelijkheid (BIV) te bepalen.

2. Een toetsingskader met verschillende informatiebeveiligingsmaatregelen per BIV-niveau. Hogere B, I of V classificatie geeft zwaardere maatregelen.

3. Rapportage hulpmiddel o.b.v. pas toe of leg uit

Deze hulpmiddelen zijn te vinden op de website van Edustandaard.

Uniforme Beveiligingsvoorschriften Veilig en betrouwbaar e-mailverkeer

In de standaard Uniforme Beveiligingsvoorschriften Veilig en betrouwbaar e-mailverkeer worden afspraken voor veilig en betrouwbaar e-mailverkeer behandeld. Deze dragen bij aan de afleverbetrouwbaarheid van e-mail en bescherming van domeinnamen tegen misbruik, zoals bijvoorbeeld phishing.

De door de standaard voorgeschreven beveiligingsstandaarden zijn onderdeel van de lijst met verplichte standaarden van Forum Standaardisatie, die door de Wet Digitale Overheid (WDO) verplicht worden gesteld. De uniforme beveiligingsvoorschriften gelden voor onderwijsinstellingen en andere organisaties die e-mail verzorgen en/of beheren voor het onderwijs. Dat geldt voor de hele onderwijssector (PO, VO, MBO en HO).

Binnen Edu-V maken we de afspraak om deze voorschriften toe te passen voor alle e-mail correspondentie tussen leveranciers met onderwijsinstellingen, waaronder (maar niet uitputtend): systeemberichten en e-mailcommunicatie met een klantenservice.

Uniforme Beveiligingsvoorschriften Security headers

In de handreiking Uniforme Beveiligingsvoorschriften Security Headers worden ‘Security Headers’ en de effectiviteit ervan inzichtelijk gemaakt, zodat eigenaren en beheerders van webapplicaties in het onderwijs, deze naar eigen inzicht en situatie kunnen toepassen. Dit heeft als doel om de veiligheid en betrouwbaarheid van webapplicaties in het onderwijs te verbeteren.

Binnen Edu-V maken we de afspraak om deze handreiking toe te passen voor de veiligheid en betrouwbaarheid van alle webapplicaties van Leveranciers.

Uniforme Beveiligingsvoorschriften – Transport Layer Security (TLS)

De informatiebeveiliging voor M2M gegevensuitwisselingen is nader uitgewerkt in het hoofdstuk M2M gegevensuitwisselingen. De afspraken zijn gebaseerd op Edukoppeling. Edukoppeling leunt voor de TLS afspraken weer op de Uniforme Beveiligingsvoorschriften TLS. Door deze hiërarchische overerving maken we binnen Edu-V de afspraak om ook de Uniforme Beveiligingsvoorschriften TLS te hanteren.

Release notes