Architectuurscan Certificeringsschema 2017 IBP

Uit ROSA Wiki
Ga naar: navigatie, zoeken
Compliant.png ROSA Architectuurscan Certificeringsschema informatiebeveiliging en privacy ROSA

IBP: Compliant

Hier ziet u een samenvatting van de architectuurscan van het onderwerp Certificeringsschema informatiebeveiliging en privacy ROSA op het onderdeel . De scan is uitgevoerd op 14 juni 2017.

Bevindingen "IBP" (Certificeringsschema informatiebeveiliging en privacy ROSA)

Algemeen

Het certificeringsschema (CS) hanteert in het toetsingskader (iets) andere definities voor BIV dan het ROSA-katern IBP

Het aspect ‘Controleerbaarheid’ is niet (apart) opgenomen in het toetsingskader CS. De rapportage, beschreven in het procesdocument, geeft invulling aan controleerbaarheid.

Het ROSA-katern IBP beschrijft risicoanalyse vanuit (keten)processen, het CS vanuit voorziening/ICT-toepassing. In de procesbeschrijving van het CS lopen teksten over het proces van toepassing van CS en het (keten)proces waarbinnen de desbetreffende ict-toepassing wordt gebruikt wat door elkaar. Noodzakelijkerwijs wordt de ict-toepassing als vertrekpunt genomen, maar wel beschouwd in zijn context (waaronder het ketenproces en de eisen die dat proces stelt).

BIV-classificatie in CS (Basis/Standaard/Hoog) wijkt af van ROSA katern IBP (L/M/H)

Principes en ontwerpkaders

“Harmonisatie van de te nemen maatregelen” (ROSA) - naast het certificeringsschema bestaan er normenkaders specifiek voor ho (SURF) en mbo (taskforce IBP). Zij zijn alle geïnspireerd op ISO 2700X. Het certificeringsschema is een eerste onderwijsnormenkader waarin operationale maatregelen zijn vastgesteld. Een eerdere versie van het certificeringsschema was gebaseerd op de Cloud Control Matrix van de CSA, en stond daarmee verder af van de andere (ISO-gebaseerde) onderwijsnormenkaders.

“Ketenpartijen conformeren aan CvIB” (ROSA) - het CS is gebaseerd op ISO 27002. Een mapping van CS-maatregelen op doelstellingen uit ISO 2700X ontbreekt.

“Sectorbrede frameworks” (ROSA) - CS is hier een invulling van

“Incident response” (ROSA) - Het CS toetsingskader besteed geen expliciete aandacht aan de organisatie van Incident Response (*). Het beschreven proces rondom nieuw te nemen maatregelen (buiten het reguliere standaardisatieproces om) biedt de mogelijkheid om ‘kortcyclisch’ te werken.

“Juiste gegevens op het juiste moment op de juiste plaats” (ROSA) - dit ontwerpkader heeft een bredere scope dan individuele voorzieningen / ICT-toepassingen. Wordt door CS tot op zekere hoogte invulling aan gegeven via B-maatregelen.

“Continuiteit vd dienstverlening” (ROSA) - is een aparte kolom (business continuity) in het CS toetsingskader.

“Duidelijke eisen en verwachtingen” (ROSA) - CS geeft invulling aan eisen en verwachtingen op een specifiek toepassingsgebied (nl. ICT-toepassingen)

“Voldoende meet- en controlepunten” (ROSA) - hoewel het toetsingskaders enige gekwantificeerde kenmerken beschrijft (voor B, niet voor IV) wordt aan de monitoring van de mate waarin aan die kenmerken en/of maatregelen wordt voldaan geen aandacht besteed.

“Afspraken over te realiseren ambitieniveaus” (ROSA) - dit is duidelijk aanwezig in het Toezicht-deel (niveaus van toezicht) en het Toetsingskader (niveaus van maatregelen) van het CS

“Transparantie over maatregelen” (ROSA) - het CS maakt de te nemen maatregelen transparant, de auditverklaring de genomen maatregelen.

“Valideer persoonsgebonden gegevens” (ROSA) - dit ontwerpkader kent vooral een procesaspect, het CS gaat over voorzieningen c.q. Ict-toepassingen.

“Voorkom ongewenste traceerbaarheid en vindbaarheid” (ROSA) - dit ontwerpkader heeft procesaspecten, maar gaat ook over de organisatie van data binnen de toepassing. Zie bijvoorbeeld ook de (aanvullende) ‘maatregelen om vermenging van gegevens te voorkomen’ die op de auditverklaring staan.

“Proactief technisch beheer” (ROSA) - dit komt in het CS terug onder B: patchen en updates van firmware en software zijn ingeregeld en worden periodiek uitgevoerd. In het CS wordt dit beheer niet gerelateerd aan aan I en V.

“Technieken voor veilig programmeren” (ROSA) - komen niet expliciet terug in het CS.

“Voorkom onrechtmatige toegang” (ROSA) - komt in het CS terug via I/V maatregelen

“Handelingen zijn herleidbaar” (ROSA) - komt terug in de kolommen logging en onweerlegbaarheid in BIV

“Niet langer bewaren dan strikt noodzakelijk” - Heeft een duidelijk procesaspect, maar de ict-toepassing moet het wel *mogelijk* maken dat oude data wordt vernietigd.

“Voorkom aantasting van integriteit” (ROSA) - komt in het CS terug in de I-maatregelen

Relatie met ROSA

Compliant - Het certificeringsschema dekt (bewust) niet alles, maar beperkt zich tot ict-toepassingen. Hoewel gehanteerde BIV-definities en classificaties afwijken van die in het ROSA-katern IBP is de essentie van deze definities en classificaties gelijk.

terug naar de ROSA Architectuurscan