Architectuurscan SURF Security Baseline
De architectuurscan is uitgevoerd op 28 december 2023. Zie voor meer informatie, waaronder de adviezen die naar aanleiding van de scan door de Architectuurraad zijn uitgebracht, het adviesdeel en het [ bevindingendeel].
ROSA onderdeel | Bevindingen uit project: Architectuurscan SURF Security Baseline | Relatie met ROSA (Groen: ROSA, geel: Architectuurscan SURF Security Baseline) |
---|---|---|
Werkingsgebied |
“De SURF Security Baseline is ontworpen door en voor onderwijsinstellingen die lid zijn van SURF, waaronder universiteiten (wo), hogescholen (hbo) en middelbare beroepsscholen (mbo).” (Aanmeldformulier Edustandaard) |
Compliant - De SURF Security baseline is van toepassing op de werkingsgebieden bve en ho. |
Ketendomeinen en -processen |
De SURF Security Baseline bevat een aantal uniforme beveiligingsmaatregelen voorschrijft en zodoende bijdraagt aan een coherent beveiligingslandschap van onderwijsorganisaties binnen het HO en MBO. Informatiebeveiliging is een fundamenteel aspect dat door alle lagen van de onderwijsinformatievoorziening heen speelt. |
Fully conformant - Op basis van het gestelde in het aanmeldformulier van de SURF Security Baseline, kan gesteld worden dat de SURF Security Baseline raakvlakken heeft met alle ketendomeinen en -processen binnen ROSA. |
Scenario |
De SURF Security Baseline presenteert een samenstel van maatregelen (controls) gericht op het waarborgen van informatiebeveiliging binnen onderwijsinstellingen. Deze maatregelen zijn ontworpen om zowel nieuwe als bestaande systemen en toepassingen van de SURF-leden (onderwijsinstellingen) te laten voldoen aan een vastgesteld minimumniveau van beveiliging. [4] |
Compliant - Er is een relatie met het ROSA Ondersteuningsscenario Inrichten IBP-maatregelen. De SURF Security Baseline, met zijn focus op informatiebeveiliging binnen onderwijsinstellingen, sluit aan bij het ROSA-ondersteuningsscenario voor het inrichten van IBP-maatregelen. Deze afspraak met maatregelen ondersteunt de ketengerichte benadering van ROSA voor informatiebeveiliging en privacy, waarbij onderwijsinstellingen worden aangemoedigd hun interne beveiligingsmaatregelen af te stemmen met de keten. |
Governance |
Bij de ontwikkeling van de SURF Security Baseline waren verschillende SURF-leden en partners betrokken, zoals vastgesteld in april 2023 [4]. Ook staat er een lijst van instellingen die hebben deelgenomen aan het opstellen van de richtlijnen op de SURF website. [1] In 2.8 van het aanmeldformulier wordt de samenhang met andere afspraken beschreven. De maatregelen lijken met name gebaseerd te zijn op internationale afspraken zoals de CIS en ISO 27001 en 27002. De relatie met het toetsingskader Certificeringsschema informatiebeveiliging en privacy ROSA wordt erkend, maar niet gespecificeerd. [4] De doelgroep werd regelmatig geïnformeerd over de baseline via bijeenkomsten van SURF-community's SCIPR en SCIRT, mailings, websites en door collega's die gespecialiseerd zijn in informatiebeveiliging. Er zijn echter geen openbare verslagen of besluitenlijsten die een brede acceptatie van de afspraak aantonen. [4] |
Onbepaald - Onbepaald met Alle belangen in kaart: De betrokkenheid van verschillende SURF-leden en partners suggereert dat er inspanningen zijn gedaan om verschillende belangen in kaart te brengen, hoewel dit wellicht verder uitgewerkt kan worden voor een volledig overzicht.
Onbepaald met Bewaak relaties met andere afspraken: Het is onduidelijk hoe de SURF Security Baseline zich verhoudt tot het toetsingskader Certificeringsschema informatiebeveiliging en privacy ROSA en de Uniforme Beveiligingsvoorschriften en of er afstemming met deze afspraken is georganiseerd. Ook is onduidelijk hoe deze afhankelijkheden traceerbaar worden gemaakt.
Compliant met Transparantie over deelname: Het is duidelijk wie aan ontwikkeling van de afspraak hebben deelgenomen. |
IBP |
Aangezien de maatregelen in de SURF Security Baseline zijn gerelateerd aan de maatregelen uit het toetsingskader van het certificeringsschema, kon een globale verschillenanalyse worden uitgevoerd. [4] De belangrijkste verschillen op een rij:
|
Explain - Explain met Hanteer Certificeringsschema ROSA en Gebruik UBV: De SURF Security Baseline hanteert een andere aanpak in classificatie, categorieën, en maatregelen dan het Certificeringsschema ROSA, wat leidt tot verschillen in de uitvoering van informatiebeveiligingsbeleid. |
Interoperabiliteit |
Irrelevant - Er is geen overlap tussen ontwerpkaders uit de ROSA en inhoud van Security Baseline maatregelen. |
|
Identiteiten |
De afspraak zelf is openbaar toegankelijk. Hier is geen IAA voor nodig. Wel gaan een 13 van de maatregelen over dit onderwerp.
SB.9.015 Joiner/Mover/Leaver: Vereist dat proceseigenaren goedkeuring verlenen aan gebruikers die autorisaties ontvangen voor gegevens binnen het proces. Dit omvat het loggen en bewaren van verzoeken om toegang tot informatie-assets en bijbehorende autorisaties, alsmede het documenteren van intrekkingsverzoeken en wijzigingen in rollen of contractuele relaties.
SB.9.016 Authorization Matrix: Legt de verantwoordelijkheid bij proceseigenaren voor een autorisatiematrix die vastlegt wie toegang heeft tot welke gegevens en in welke hoedanigheid. De matrix omvat rollen, autorisaties in rollen, individuen en de rollen die aan individuen zijn toegestaan. |
Compliant - Compliant met Een persoon heeft minstens één digitale identiteit en Sturing op gebruik van digitale identiteit: implementatie van maatregel SB.9.013 zorgt ervoor dat digitale identiteiten traceerbaar en controleerbaar blijven, in overeenstemming met de ROSA-ontwerpkaders over dit onderwerp. Compliant met Maak uitvoering transparant: Door het loggen en documenteren van toegangs- en autorisatieverzoeken, evenals wijzigingen in rollen en contractuele relaties, wordt de transparantie voor de betrokken personen verhoogd. Compliant met Maak in ontwerp (van vertrouwensraamwerk) transparant hoe privacy is geborgd: De maatregel SB.9.016 voldoet aan het ROSA ontwerpkader door expliciet de toegangsrechten en rollen binnen de organisatie te definiëren, wat bijdraagt aan duidelijke privacyborging en informatiebeveiliging in het ontwerp. |
M2M Interactie |
Onbepaald - Dit ontwerpgebied is nog niet uitgewerkt in de ROSA. |
|
H2M Interactie |
Onbepaald - Dit ontwerpgebied is nog niet uitgewerkt in de ROSA. |
|
Referentiecomponenten en ketenvoorzieningen |
De SURF Security Baseline bevat diverse maatregelen gericht op het verhogen van de beveiliging van informatiesystemen binnen onderwijsinstellingen.Binnen deze maatregelen zijn uitspraken opgenomen over 'assets', een term die binnen de context van informatiebeveiliging breed geïnterpreteerd kan worden. Dit omvat alle vormen van applicaties, zowel hardware als software. Een specifieke maatregel, SB.1.004 'Asset inventory', benadrukt het belang van het bijhouden van een actuele inventarisatie van alle hardware- en software-assets binnen een organisatie. [3] |
Onbepaald - Al lijken er geen specifieke ketenvoorzieninngen en RC’s betrokken te zijn bij implementatie van deze afspraak, gezien de definitie van 'assets' in de maatregelen, heeft deze een relatie met het referentiecomponent: Gegevensverwerkend Systeem
Aan dit referentiecomponent is het ROSA ontwerpkader gekoppeld: Hanteer Certificeringsschema ROSA. Echter, de mate waarin de implementatie van de SURF Security Baseline ook de vereisten van het ROSA certificeringsschema invult, blijft onbepaald. |
Beheer en (door)ontwikkeling |
Het beheer en de doorontwikkeling van de SURF Security Baseline zijn gestructureerd via twee primaire organen: het 'standaard committee' en de 'regiegroep'. [4] Daarnaast is er een proces van aankondiging en feedback voor geplande wijzigingen. Dit proces zorgt ervoor dat alle leden van SURF, vertegenwoordigd in verschillende gremia, geïnformeerd zijn over voorgestelde wijzigingen en de gelegenheid hebben om feedback te geven. Tot slot is de Raad van Bestuur (RvB) van SURF verantwoordelijk voor het nemen van het uiteindelijke besluit over de vaststelling van de baseline. Er is geen intentie of behoefte om de baseline onder te brengen bij een werkgroep binnen Edustandaard. |
N.v.t. - |
Referenties[bewerken]
[1] Achtergrond over de baseline doelen: https://communities.surf.nl/cybersecurity/artikel/surf-security-baseline-onderwijs-en-onderzoek-beschikbaar
[2] Gebruikshandleiding: https://sec.surf.nl/security-baseline-achtergrond/
[3] De maatregelenset/baseline zelf: https://sec.surf.nl/controls/
[4] Aanmeldformulier SURF Security Baseline bij Edustandaard