Architectuurscan Certificeringsschema 2017

Uit ROSA Wiki
Naar navigatie springen Naar zoeken springen


De architectuurscan is uitgevoerd op 14 juni 2017. Zie voor meer informatie, waaronder de adviezen die naar aanleiding van de scan door de Architectuurraad zijn uitgebracht, het adviesdeel en het bevindingendeel.

ROSA onderdeelBevindingen uit project: Certificeringsschema informatiebeveiliging en privacy ROSARelatie met ROSA (Groen: ROSA, geel: Certificeringsschema informatiebeveiliging en privacy ROSA)
Werkingsgebied

Onderwijsdomein - het certificeringsschema is van toepassing op het gehele onderwijsdomein.

Implementatie vindt op dit moment voornamelijk plaats in de sectoren po, vo, mbo. Daarnaast is het certificeringsschema onlosmakelijk verbonden aan implementaties van de Edukoppeling Transactiestandaard.

Fullyconformant.png

Fully conformant - het werkingsgebied van het Certificeringsschema valt volledig samen met het ROSA werkingsgebied.
Toepassingsgebied

Alle ict-toepassingen in het onderwijsdomein

Het begrip "ict-toepassing" is belangrijk voor de duiding van de scope van het certificeringsschema, maar is binnen het certificeringsschema niet nader gedefinieerd.

Compliant.png

Compliant - het certificeringsschema bestrijkt alle ict-toepassingen (in ROSA-termen: Voorzieningen) in het onderwijsdomein.

Het certificeringsschema is gericht op ict-toepassingen, en niet op (certificering van) organisaties of processen.

IBP

Algemeen

Het certificeringsschema (CS) hanteert in het toetsingskader (iets) andere definities voor BIV dan het ROSA-katern IBP

Het aspect ‘Controleerbaarheid’ is niet (apart) opgenomen in het toetsingskader CS. De rapportage, beschreven in het procesdocument, geeft invulling aan controleerbaarheid.

Het ROSA-katern IBP beschrijft risicoanalyse vanuit (keten)processen, het CS vanuit voorziening/ICT-toepassing. In de procesbeschrijving van het CS lopen teksten over het proces van toepassing van CS en het (keten)proces waarbinnen de desbetreffende ict-toepassing wordt gebruikt wat door elkaar. Noodzakelijkerwijs wordt de ict-toepassing als vertrekpunt genomen, maar wel beschouwd in zijn context (waaronder het ketenproces en de eisen die dat proces stelt).

BIV-classificatie in CS (Basis/Standaard/Hoog) wijkt af van ROSA katern IBP (L/M/H)

Principes en ontwerpkaders

“Harmonisatie van de te nemen maatregelen” (ROSA) - naast het certificeringsschema bestaan er normenkaders specifiek voor ho (SURF) en mbo (taskforce IBP). Zij zijn alle geïnspireerd op ISO 2700X. Het certificeringsschema is een eerste onderwijsnormenkader waarin operationale maatregelen zijn vastgesteld. Een eerdere versie van het certificeringsschema was gebaseerd op de Cloud Control Matrix van de CSA, en stond daarmee verder af van de andere (ISO-gebaseerde) onderwijsnormenkaders.

“Ketenpartijen conformeren aan CvIB” (ROSA) - het CS is gebaseerd op ISO 27002. Een mapping van CS-maatregelen op doelstellingen uit ISO 2700X ontbreekt.

“Sectorbrede frameworks” (ROSA) - CS is hier een invulling van

“Incident response” (ROSA) - Het CS toetsingskader besteed geen expliciete aandacht aan de organisatie van Incident Response (*). Het beschreven proces rondom nieuw te nemen maatregelen (buiten het reguliere standaardisatieproces om) biedt de mogelijkheid om ‘kortcyclisch’ te werken.

“Juiste gegevens op het juiste moment op de juiste plaats” (ROSA) - dit ontwerpkader heeft een bredere scope dan individuele voorzieningen / ICT-toepassingen. Wordt door CS tot op zekere hoogte invulling aan gegeven via B-maatregelen.

“Continuiteit vd dienstverlening” (ROSA) - is een aparte kolom (business continuity) in het CS toetsingskader.

“Duidelijke eisen en verwachtingen” (ROSA) - CS geeft invulling aan eisen en verwachtingen op een specifiek toepassingsgebied (nl. ICT-toepassingen)

“Voldoende meet- en controlepunten” (ROSA) - hoewel het toetsingskaders enige gekwantificeerde kenmerken beschrijft (voor B, niet voor IV) wordt aan de monitoring van de mate waarin aan die kenmerken en/of maatregelen wordt voldaan geen aandacht besteed.

“Afspraken over te realiseren ambitieniveaus” (ROSA) - dit is duidelijk aanwezig in het Toezicht-deel (niveaus van toezicht) en het Toetsingskader (niveaus van maatregelen) van het CS

“Transparantie over maatregelen” (ROSA) - het CS maakt de te nemen maatregelen transparant, de auditverklaring de genomen maatregelen.

“Valideer persoonsgebonden gegevens” (ROSA) - dit ontwerpkader kent vooral een procesaspect, het CS gaat over voorzieningen c.q. Ict-toepassingen.

“Voorkom ongewenste traceerbaarheid en vindbaarheid” (ROSA) - dit ontwerpkader heeft procesaspecten, maar gaat ook over de organisatie van data binnen de toepassing. Zie bijvoorbeeld ook de (aanvullende) ‘maatregelen om vermenging van gegevens te voorkomen’ die op de auditverklaring staan.

“Proactief technisch beheer” (ROSA) - dit komt in het CS terug onder B: patchen en updates van firmware en software zijn ingeregeld en worden periodiek uitgevoerd. In het CS wordt dit beheer niet gerelateerd aan aan I en V.

“Technieken voor veilig programmeren” (ROSA) - komen niet expliciet terug in het CS.

“Voorkom onrechtmatige toegang” (ROSA) - komt in het CS terug via I/V maatregelen

“Handelingen zijn herleidbaar” (ROSA) - komt terug in de kolommen logging en onweerlegbaarheid in BIV

“Niet langer bewaren dan strikt noodzakelijk” - Heeft een duidelijk procesaspect, maar de ict-toepassing moet het wel *mogelijk* maken dat oude data wordt vernietigd.

“Voorkom aantasting van integriteit” (ROSA) - komt in het CS terug in de I-maatregelen

Compliant.png

Compliant - Het certificeringsschema dekt (bewust) niet alles, maar beperkt zich tot ict-toepassingen. Hoewel gehanteerde BIV-definities en classificaties afwijken van die in het ROSA-katern IBP is de essentie van deze definities en classificaties gelijk.
Ketenprocessen

Het certificeringsschema kan gebruikt worden voor een ict-toepassing die als bouwsteen dient voor één of meer ketenprocessen.

Het certificeringschema valt binnen de ketenfunctie Informatielevering en (indirect) mogelijk alle andere ketenfuncties, wanneer daar sprake is van informatielevering middels systemen binnen scope van het CS.

Fullyconformant.png

Fully conformant - Fully conformant - het certificeringsschema is binnen elk ketenproces toe te passen.
Zeggenschappen en gegevenssoorten

Het certificeringsschema heeft betrekking op alle soorten gegevens die bewerkt worden door de desbetreffende ict-toepassing.

In de procesbeschrijving van het certificeringsschema wordt, waar het gaat over de te betrekken partijen, gesproken over “de eigenaar van de data”.

Nonconformant.png

Explain - Eigenaarschap van gegevens is zowel juridisch als inhoudelijk lastig te duiden. Een formeel (juridisch) eigenaarschap van gegevens bestaat niet, omdat in formele zin eigenaarschap altijd over stoffelijke zaken gaat, en gegevens dat niet zijn. Bovendien zullen vanuit verschillende rollen verschillende partijen 'iets' met gegevens moeten doen - een absoluut eigenaarschap is dus, los van de juridische context, uitgesloten. In ROSA wordt daarom uitgegaan van zeggenschappen die partijen kunnen hebben over gegevens.