Architectuurscan SURF Security Baseline

Uit ROSA Wiki
Naar navigatie springen Naar zoeken springen


De architectuurscan is uitgevoerd op 28 december 2023. Zie voor meer informatie, waaronder de adviezen die naar aanleiding van de scan door de Architectuurraad zijn uitgebracht, het adviesdeel en het [ bevindingendeel].

ROSA onderdeelBevindingen uit project: Architectuurscan SURF Security BaselineRelatie met ROSA (Groen: ROSA, geel: Architectuurscan SURF Security Baseline)
Werkingsgebied

“De SURF Security Baseline is ontworpen door en voor onderwijsinstellingen die lid zijn van SURF, waaronder universiteiten (wo), hogescholen (hbo) en middelbare beroepsscholen (mbo).” (Aanmeldformulier Edustandaard)

Compliant.png

Compliant - De SURF Security baseline is van toepassing op de werkingsgebieden bve en ho.
Ketendomeinen en -processen

De SURF Security Baseline bevat een aantal uniforme beveiligingsmaatregelen voorschrijft en zodoende bijdraagt aan een coherent beveiligingslandschap van onderwijsorganisaties binnen het HO en MBO. Informatiebeveiliging is een fundamenteel aspect dat door alle lagen van de onderwijsinformatievoorziening heen speelt.

Fullyconformant.png

Fully conformant - Op basis van het gestelde in het aanmeldformulier van de SURF Security Baseline, kan gesteld worden dat de SURF Security Baseline raakvlakken heeft met alle ketendomeinen en -processen binnen ROSA.
Scenario

De SURF Security Baseline presenteert een samenstel van maatregelen (controls) gericht op het waarborgen van informatiebeveiliging binnen onderwijsinstellingen. Deze maatregelen zijn ontworpen om zowel nieuwe als bestaande systemen en toepassingen van de SURF-leden (onderwijsinstellingen) te laten voldoen aan een vastgesteld minimumniveau van beveiliging. [4]

Compliant.png

Compliant - Er is een relatie met het ROSA Ondersteuningsscenario Inrichten IBP-maatregelen.

De SURF Security Baseline, met zijn focus op informatiebeveiliging binnen onderwijsinstellingen, sluit aan bij het ROSA-ondersteuningsscenario voor het inrichten van IBP-maatregelen. Deze afspraak met maatregelen ondersteunt de ketengerichte benadering van ROSA voor informatiebeveiliging en privacy, waarbij onderwijsinstellingen worden aangemoedigd hun interne beveiligingsmaatregelen af te stemmen met de keten.

Governance

Bij de ontwikkeling van de SURF Security Baseline waren verschillende SURF-leden en partners betrokken, zoals vastgesteld in april 2023 [4]. Ook staat er een lijst van instellingen die hebben deelgenomen aan het opstellen van de richtlijnen op de SURF website. [1]

In 2.8 van het aanmeldformulier wordt de samenhang met andere afspraken beschreven. De maatregelen lijken met name gebaseerd te zijn op internationale afspraken zoals de CIS en ISO 27001 en 27002. De relatie met het toetsingskader Certificeringsschema informatiebeveiliging en privacy ROSA wordt erkend, maar niet gespecificeerd. [4]

De doelgroep werd regelmatig geïnformeerd over de baseline via bijeenkomsten van SURF-community's SCIPR en SCIRT, mailings, websites en door collega's die gespecialiseerd zijn in informatiebeveiliging. Er zijn echter geen openbare verslagen of besluitenlijsten die een brede acceptatie van de afspraak aantonen. [4]

Onbepaald.png

Onbepaald - Onbepaald met Alle belangen in kaart: De betrokkenheid van verschillende SURF-leden en partners suggereert dat er inspanningen zijn gedaan om verschillende belangen in kaart te brengen, hoewel dit wellicht verder uitgewerkt kan worden voor een volledig overzicht.


Onbepaald met Bewaak relaties met andere afspraken: Het is onduidelijk hoe de SURF Security Baseline zich verhoudt tot het toetsingskader Certificeringsschema informatiebeveiliging en privacy ROSA en de Uniforme Beveiligingsvoorschriften en of er afstemming met deze afspraken is georganiseerd. Ook is onduidelijk hoe deze afhankelijkheden traceerbaar worden gemaakt.


Compliant met Transparantie over deelname: Het is duidelijk wie aan ontwikkeling van de afspraak hebben deelgenomen.

IBP

Aangezien de maatregelen in de SURF Security Baseline zijn gerelateerd aan de maatregelen uit het toetsingskader van het certificeringsschema, kon een globale verschillenanalyse worden uitgevoerd. [4] De belangrijkste verschillen op een rij:

  • Classificatie: ROSA hanteert de BIV-methodiek, terwijl SURF werkt met securitylevels. Dit resulteert in een verschillende benadering van risicoclassificatie. Hoewel de controls in de baseline risicoschaling aangeven, is het niet altijd duidelijk wat de criteria zijn voor het classificeren van applicaties als 'medium' en 'high'. [3]
  • Categorieën: ROSA gebruikt 21 categorieën, terwijl SURF er 18 heeft. De indeling en het aantal categorieën variëren. [3]
  • Maatregelen: ROSA heeft meerdere, ongemarkeerde maatregelen per categorie, in tegenstelling tot de duidelijk gemarkeerde maatregelen in SURF. [3]
  • Scope: De scope van ROSA is meer technisch en procesmatig, terwijl SURF een bredere scope heeft, inclusief organisatorische maatregelen.
  • Taal: Een taalverschil bestaat; ROSA is in het Nederlands en SURF in het Engels.
Nonconformant.png

Explain - Explain met Hanteer Certificeringsschema ROSA en Gebruik UBV:

De SURF Security Baseline hanteert een andere aanpak in classificatie, categorieën, en maatregelen dan het Certificeringsschema ROSA, wat leidt tot verschillen in de uitvoering van informatiebeveiligingsbeleid.

Interoperabiliteit
Irrelevant.png

Irrelevant - Er is geen overlap tussen ontwerpkaders uit de ROSA en inhoud van Security Baseline maatregelen.
Identiteiten

De afspraak zelf is openbaar toegankelijk. Hier is geen IAA voor nodig. Wel gaan een 13 van de maatregelen over dit onderwerp.


SB.9.013 Digital Identities: Garandeert dat digitale accounts en identificatoren altijd uniek gekoppeld zijn aan een natuurlijk persoon en dat oude accounts en unieke accountinformatie nooit opnieuw worden toegewezen aan andere natuurlijke personen. Dit waarborgt de traceerbaarheid van digitale toegang tot een unieke individu.


SB.9.015 Joiner/Mover/Leaver: Vereist dat proceseigenaren goedkeuring verlenen aan gebruikers die autorisaties ontvangen voor gegevens binnen het proces. Dit omvat het loggen en bewaren van verzoeken om toegang tot informatie-assets en bijbehorende autorisaties, alsmede het documenteren van intrekkingsverzoeken en wijzigingen in rollen of contractuele relaties.


SB.9.016 Authorization Matrix: Legt de verantwoordelijkheid bij proceseigenaren voor een autorisatiematrix die vastlegt wie toegang heeft tot welke gegevens en in welke hoedanigheid. De matrix omvat rollen, autorisaties in rollen, individuen en de rollen die aan individuen zijn toegestaan.

Compliant.png

Compliant - Compliant met Een persoon heeft minstens één digitale identiteit en Sturing op gebruik van digitale identiteit: implementatie van maatregel SB.9.013 zorgt ervoor dat digitale identiteiten traceerbaar en controleerbaar blijven, in overeenstemming met de ROSA-ontwerpkaders over dit onderwerp.

Compliant met Maak uitvoering transparant:

Door het loggen en documenteren van toegangs- en autorisatieverzoeken, evenals wijzigingen in rollen en contractuele relaties, wordt de transparantie voor de betrokken personen verhoogd.

Compliant met Maak in ontwerp (van vertrouwensraamwerk) transparant hoe privacy is geborgd: De maatregel SB.9.016 voldoet aan het ROSA ontwerpkader door expliciet de toegangsrechten en rollen binnen de organisatie te definiëren, wat bijdraagt aan duidelijke privacyborging en informatiebeveiliging in het ontwerp.

M2M Interactie
Onbepaald.png

Onbepaald - Dit ontwerpgebied is nog niet uitgewerkt in de ROSA.
H2M Interactie
Onbepaald.png

Onbepaald - Dit ontwerpgebied is nog niet uitgewerkt in de ROSA.
Referentiecomponenten en ketenvoorzieningen

De SURF Security Baseline bevat diverse maatregelen gericht op het verhogen van de beveiliging van informatiesystemen binnen onderwijsinstellingen.Binnen deze maatregelen zijn uitspraken opgenomen over 'assets', een term die binnen de context van informatiebeveiliging breed geïnterpreteerd kan worden. Dit omvat alle vormen van applicaties, zowel hardware als software.

Een specifieke maatregel, SB.1.004 'Asset inventory', benadrukt het belang van het bijhouden van een actuele inventarisatie van alle hardware- en software-assets binnen een organisatie. [3]

Onbepaald.png

Onbepaald - Al lijken er geen specifieke ketenvoorzieninngen en RC’s betrokken te zijn bij implementatie van deze afspraak, gezien de definitie van 'assets' in de maatregelen, heeft deze een relatie met het referentiecomponent: Gegevensverwerkend Systeem


Aan dit referentiecomponent is het ROSA ontwerpkader gekoppeld: Hanteer Certificeringsschema ROSA. Echter, de mate waarin de implementatie van de SURF Security Baseline ook de vereisten van het ROSA certificeringsschema invult, blijft onbepaald.

Beheer en (door)ontwikkeling

Het beheer en de doorontwikkeling van de SURF Security Baseline zijn gestructureerd via twee primaire organen: het 'standaard committee' en de 'regiegroep'. [4]

Daarnaast is er een proces van aankondiging en feedback voor geplande wijzigingen. Dit proces zorgt ervoor dat alle leden van SURF, vertegenwoordigd in verschillende gremia, geïnformeerd zijn over voorgestelde wijzigingen en de gelegenheid hebben om feedback te geven.

Tot slot is de Raad van Bestuur (RvB) van SURF verantwoordelijk voor het nemen van het uiteindelijke besluit over de vaststelling van de baseline. Er is geen intentie of behoefte om de baseline onder te brengen bij een werkgroep binnen Edustandaard.

N.v.t. -


Referenties[bewerken]

[1] Achtergrond over de baseline doelen: https://communities.surf.nl/cybersecurity/artikel/surf-security-baseline-onderwijs-en-onderzoek-beschikbaar

[2] Gebruikshandleiding: https://sec.surf.nl/security-baseline-achtergrond/

[3] De maatregelenset/baseline zelf: https://sec.surf.nl/controls/

[4] Aanmeldformulier SURF Security Baseline bij Edustandaard

Een onderwijsgerelateerde organisatie met het aanbieden van onderwijs als doel.

Het domein (organisatorisch, taakvelden) binnen de overheid waarin het element (principe, standaard, voorziening) wordt of kan worden toegepast.

Een organisatie die onderwijs aanbiedt en verzorgt en regelt dat aan de gestelde randvoorwaarden wordt voldaan.

Een groepering van ketenprocessen die thematisch/inhoudelijk samenhangen.

De maatregelen die nodig zijn om te voorkomen dat berichten door onbevoegden worden gewijzigd, onderschept of gelezen.

Een juridische, technische en organisatorische maatregel op het terrein van informatiebeveiliging en privacy die een organisatie concreet neemt om de bescherming van persoonsgegevens van gebruikers van informatiesystemen van die organisatie te waarborgen en de privacyrechten van die gebruikers te versterken.

Overeenkomst binnen een bepaalde context over de inrichting en het toepassen van bepaalde voorzieningen en/of standaarden.

Het organiseren van informatiebeveiliging en het beschermen van persoonsgegevens van leerlingen, ouders en medewerkers.

Een samenwerkingsverband tussen organisaties die naast hun eigen doelstellingen, één of meer gemeenschappelijk gekozen (of door de politiek opgelegde) doelstellingen nastreven.

Vaardigheidsgroei die een onderwijsdeelnemer doormaakt op verschillende onderwijskundig relevante ontwikkelingsgebieden.

Een organisatie die door een onderwijsbestuur is ingesteld voor het verzorgen van onderwijs.

Afstemming in aanbod en/of beheersing: a. tussen kennis, vaardigheden en/of houdingen; b. binnen leergebieden of vakken; c. tussen leergebieden of vakken; d. in leerlijnen of doorlopende leerlijnen.

Overeenkomst binnen een bepaalde context over de inrichting en het toepassen van bepaalde voorzieningen en/of standaarden.

Een verzameling kenmerken waarmee een groep zich onderscheidt van andere groepen in de context van het thema identity and access management.

Het geheel van maatregelen en processen die worden toegepast om informatie te beschermen tegen ongeoorloofde toegang, openbaarmaking, wijziging, vernietiging of verstoring.

De vastlegging van het certificeringsproces om vertrouwen te creëren in de betrouwbaarheid van de door leveranciers geleverde ict-toepassingen.

Een computerprogramma om een specifieke taak uit te voeren die geen betrekking heeft op de werking van de computer zelf.

Een maatregel op een bepaald ontwerpgebied, die aangeeft hoe informatiesystemen en informatieuitwisseling op dit gebied ingericht zouden moeten worden om aan de doelen en principes van ROSA te voldoen.

Een individueel menselijk wezen en subject van rechten en drager van plichten.

Een individueel menselijk wezen en subject van rechten en drager van plichten.

Het proces om te beslissen of een entiteit op grond van een authenticatiemiddel, identiteitsverklaring of een machtiging toegang krijgt tot een applicatie.

Weergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat.

Geheel van autorisaties voor de uitvoering van een bepaalde functie.

Een schema waarin is vastgelegd wie toegang krijgt tot welke persoonsgegevens in een computersysteem, netwerk of applicatie.

Een identiteit die een digitale representatie is van een entiteit

De mate waarin een organisatie open en duidelijk is over haar beleid, praktijken en procedures met betrekking tot de verwerking van informatie en persoonsgegevens.

Een maatregel op een bepaald ontwerpgebied, die aangeeft hoe informatiesystemen en informatieuitwisseling op dit gebied ingericht zouden moeten worden om aan de doelen en principes van ROSA te voldoen.

De specifieke rechten en machtigingen die aan gebruikers worden verleend om toegang te krijgen tot bepaalde digitale informatie, systemen, bronnen of applicaties.

Een publiekrechtelijke (zoals overheidsorganen) of privaatrechtelijke rechtspersoon.

Een aspect van ketensamenwerking waarvoor naast relevante overkoepelende architectuurprincipes ook specifieke ontwerpprincipes en ontwerpkaders van toepassing zijn.

Een samenhangend geheel van gegevensverzamelingen en de daarbij behorende personen, procedures, processen en programmatuur alsmede de voor het informatiesysteem getroffen voorzieningen voor opslag, verwerking en communicatie.

Een functionele afbakening van een modulair, zelfstandig inzetbaar en vervangbaar (deel van een) systeem.

Overeenkomst binnen een bepaalde context over de inrichting en het toepassen van bepaalde voorzieningen en/of standaarden.

Terugkoppeling op hoe succesvol een prestatie of vaardigheid van een onderwijsdeelnemer is, met als doel om deze te verbeteren.

Schriftelijke beslissing (definitieve uitspraak) van een bestuursorgaan, inhoudende een publiekrechtelijke rechtshandeling.

Gewenst resultaat van ketensamenwerkingen en ketenvoorzieningen vanuit het perspectief van de wensen van de samenleving, de burgers en bedrijven.

Overgenomen van "https://rosa.wikixl.nl/index.php?title=Architectuurscan_SURF_Security_Baseline&oldid=87763"