Uniforme Beveiligingsvoorschriften (UBV) TLS

Uit ROSA Wiki
Ga naar: navigatie, zoeken

Deze pagina toont een samenvatting van de ROSA Architectuurscan van het onderwerp Uniforme Beveiligingsvoorschriften (UBV) TLS. Met de ROSA Architectuurscan worden op systematische wijze alle architectuuraspecten van een bij Edustandaard ingebracht onderwerp in kaart gebracht en worden knelpunten en kansen gesignaleerd. Niet alleen kan de indiener er zijn voordeel mee doen, ook kan ROSA ermee worden verrijkt. En tot slot stelt het andere ketenpartijen in staat om kennis te nemen van architectuurwijzigingen en het belang hiervan voor de eigen organisatie of achterban te bepalen (transparantie in de keten, informatiepositie).

De architectuurscan is uitgevoerd op 30 juni 2020. Zie voor meer informatie, waaronder de adviezen die naar aanleiding van de scan door de Architectuurraad zijn uitgebracht, het adviesdeel en het [ bevindingendeel].

ROSA onderdeelBevindingen uit project: Uniforme Beveiligingsvoorschriften (UBV) TLSRelatie met ROSA (blauw: ROSA, geel: Uniforme Beveiligingsvoorschriften (UBV) TLS)
Werkingsgebied

Volgens §1.3 van de Uniforme Beveiligingsvoorschriften, heeft de afspraak betrekking op de gehele onderwijssector.

Fullyconformant.pngFully conformant - bestrijkt het volledige werkingsgebied van de ROSA.

Toepassingsgebied

Doel van de afspraak is het onderhouden van een eenduidige set van beveiligingsvoorschriften waarmee de veiligheid, interoperabiliteit en efficiëntie in de onderwijsketen wordt bevorderd.

De voorschriften gelden voor alle M2M-gegevensuitwisselingen binnen het onderwijs, zowel voor uitwisselingen via Edukoppeling als voor gegevensuitwisselingen die eigen afspraken hebben zoals de Overstap Service Onderwijs (OSO).

De afspraken zijn ook van toepassing voor alle H2M-uitwisselingen via websites en webdiensten die binnen het onderwijs gebruikt worden, aangezien die doorgaans ook een beveiligde verbinding bieden.

Compliant.pngCompliant - De UBV hebben betrekking op het Informatiebeveiliging en Privacy toepassingsgebied van de ROSA.

Bovensectorale samenwerking

“Doel van de afspraak is het onderhouden van een eenduidige set van beveiligingsvoorschriften waarmee de veiligheid, interoperabiliteit en efficiëntie in de onderwijsketen wordt bevorderd.” (UBV §1.2).

Compliant.pngCompliant - De doelstelling van UBV draagt bij aan het ROSA-principe “Een gezamenlijke basisinfrastructuur”.

Door ketenbreed gelijke technische afspraken te hanteren, wordt interoperabiliteit in de keten ondersteund.

IBP

Ketenpartijen conformeren zich aan de 'Code voor informatiebeveiliging' Sommige voorschriften gelden op basis van BIV classificatie, hierbij wordt gebruik gemaakt van het “Certificeringsschema informatiebeveiliging en privacy ROSA”. (UBV §1.4)

Voor de Uniforme beveiligingsvoorschriften wordt waar mogelijk gebruik gemaakt van ‘hoger gelegen’ afspraken. Bij voorkeur internationale afspraken (zoals van INAN), indien nodig nationale afspraken (zoals van Forum Standaardisatie en NCSC) en alleen als die niet voldoen aanvullende afspraken die in deze werkgroep worden gemaakt. Afwijken van bovenliggende afspraken wordt onderbouwd.

Compliant.pngCompliant - de Uniforme Beveiligingsvoorschriften omvatten gezamenlijke afspraken op het gebied van Communicatiebeveiliging uit de Code voor Informatiebeveilging (ISO27001/27002)

Bouwstenen en voorzieningen

Compliant.pngCompliant - De UBV raken alle referentiecomponenten en applicaties die H2M of M2M gegevens/informatie uitwisselen.

Architecturele randvoorwaarden

Bestaande standaarden en uitwisseldiensten moeten naar de UBV-voorschriften verwijzen en niet (meer) zelf definiëren. Edukoppeling, UWLR, ECK DT en OSO worden hierbij met name genoemd.

N.v.t. - Een beperkt aantal standaarden en uitwisseldiensten wordt met name genoemd, maar heeft dit niet ook impact op federaties, Entree /SURFConnext en vele online diensten binnen het onderwijs?

Governance

Binnen Edustandaard wordt periodiek (minimaal eenmaal per jaar) de opzet en de werking van de voorschriften besproken met alle relevante stakeholders die vertegenwoordigd zijn in de Standaardisatieraad. Hiertoe wordt input verzameld vanuit de Edustandaard werkgroep Uniforme beveiligingsvoorschriften en vanuit Edu-K.

In de Ketenregie-overleggen wordt nu gesproken over de inrichting van de governance van de UBV. Aangezien het belangrijk is dat alle ROSA ketenorganisaties de UBV gaan volgen wordt het als een belangrijk punt gezien dat alle belanghebbende worden betrokken. Momenteel is nog niet van iedere organisatie binnen de keten vertegenwoordiging binnen deze overleggen.

Onbepaald.pngOnbepaald - Belanghebbenden zijn in beeld, maar nog niet allemaal aangehaakt; governancestructuur is nog in opbouw.

Implementatie

Er wordt gewerkt met profielen per standaard, waarin bij elke eis is aangeven waarom deze gevolgd moet worden. In de bijlage van het UBV-document is een profiel voor Edukoppeling uitgewerkt.

De profielen worden beheerd door de werkgroep UBV. Wijzigingen kunnen door de desbetreffende werkgroep van het profiel aangemeld worden. Bijvoorbeeld wanneer gerelateerde voorschriften veranderen. Een nieuw profiel wordt door beide werkgroepen vastgesteld.

N.v.t. - Op dit moment is alleen een profiel voor Edukoppeling uitgewerkt. Het uitwerken van een profiel incl.vaststelling in twee werkgroepen als voorwaarde om aan te sluiten bij de UBV betekent voor andere implementaties dat het niet makkelijk is om snel in te stappen.

Deze pagina is vastgesteld door Architectuurraad, op 2 juli 2020.