Architectuurscan SURF Security Baseline

Uit ROSA Wiki
Naar navigatie springen Naar zoeken springen


De architectuurscan is uitgevoerd op 28 december 2023. Zie voor meer informatie, waaronder de adviezen die naar aanleiding van de scan door de Architectuurraad zijn uitgebracht, het adviesdeel en het [ bevindingendeel].

ROSA onderdeelBevindingen uit project: Architectuurscan SURF Security BaselineRelatie met ROSA (Groen: ROSA, geel: Architectuurscan SURF Security Baseline)
Werkingsgebied

“De SURF Security Baseline is ontworpen door en voor onderwijsinstellingen die lid zijn van SURF, waaronder universiteiten (wo), hogescholen (hbo) en middelbare beroepsscholen (mbo).” (Aanmeldformulier Edustandaard)

Compliant.png

Compliant - De SURF Security baseline is van toepassing op de werkingsgebieden bve en ho.
Ketendomeinen en -processen

De SURF Security Baseline bevat een aantal uniforme beveiligingsmaatregelen voorschrijft en zodoende bijdraagt aan een coherent beveiligingslandschap van onderwijsorganisaties binnen het HO en MBO. Informatiebeveiliging is een fundamenteel aspect dat door alle lagen van de onderwijsinformatievoorziening heen speelt.

Fullyconformant.png

Fully conformant - Op basis van het gestelde in het aanmeldformulier van de SURF Security Baseline, kan gesteld worden dat de SURF Security Baseline raakvlakken heeft met alle ketendomeinen en -processen binnen ROSA.
Scenario

De SURF Security Baseline presenteert een samenstel van maatregelen (controls) gericht op het waarborgen van informatiebeveiliging binnen onderwijsinstellingen. Deze maatregelen zijn ontworpen om zowel nieuwe als bestaande systemen en toepassingen van de SURF-leden (onderwijsinstellingen) te laten voldoen aan een vastgesteld minimumniveau van beveiliging. [4]

Compliant.png

Compliant - Er is een relatie met het ROSA Ondersteuningsscenario Inrichten IBP-maatregelen.

De SURF Security Baseline, met zijn focus op informatiebeveiliging binnen onderwijsinstellingen, sluit aan bij het ROSA-ondersteuningsscenario voor het inrichten van IBP-maatregelen. Deze afspraak met maatregelen ondersteunt de ketengerichte benadering van ROSA voor informatiebeveiliging en privacy, waarbij onderwijsinstellingen worden aangemoedigd hun interne beveiligingsmaatregelen af te stemmen met de keten.

Governance

Bij de ontwikkeling van de SURF Security Baseline waren verschillende SURF-leden en partners betrokken, zoals vastgesteld in april 2023 [4]. Ook staat er een lijst van instellingen die hebben deelgenomen aan het opstellen van de richtlijnen op de SURF website. [1]

In 2.8 van het aanmeldformulier wordt de samenhang met andere afspraken beschreven. De maatregelen lijken met name gebaseerd te zijn op internationale afspraken zoals de CIS en ISO 27001 en 27002. De relatie met het toetsingskader Certificeringsschema informatiebeveiliging en privacy ROSA wordt erkend, maar niet gespecificeerd. [4]

De doelgroep werd regelmatig geïnformeerd over de baseline via bijeenkomsten van SURF-community's SCIPR en SCIRT, mailings, websites en door collega's die gespecialiseerd zijn in informatiebeveiliging. Er zijn echter geen openbare verslagen of besluitenlijsten die een brede acceptatie van de afspraak aantonen. [4]

Onbepaald.png

Onbepaald - Onbepaald met Alle belangen in kaart: De betrokkenheid van verschillende SURF-leden en partners suggereert dat er inspanningen zijn gedaan om verschillende belangen in kaart te brengen, hoewel dit wellicht verder uitgewerkt kan worden voor een volledig overzicht.


Onbepaald met Bewaak relaties met andere afspraken: Het is onduidelijk hoe de SURF Security Baseline zich verhoudt tot het toetsingskader Certificeringsschema informatiebeveiliging en privacy ROSA en de Uniforme Beveiligingsvoorschriften en of er afstemming met deze afspraken is georganiseerd. Ook is onduidelijk hoe deze afhankelijkheden traceerbaar worden gemaakt.


Compliant met Transparantie over deelname: Het is duidelijk wie aan ontwikkeling van de afspraak hebben deelgenomen.

IBP

Aangezien de maatregelen in de SURF Security Baseline zijn gerelateerd aan de maatregelen uit het toetsingskader van het certificeringsschema, kon een globale verschillenanalyse worden uitgevoerd. [4] De belangrijkste verschillen op een rij:

  • Classificatie: ROSA hanteert de BIV-methodiek, terwijl SURF werkt met securitylevels. Dit resulteert in een verschillende benadering van risicoclassificatie. Hoewel de controls in de baseline risicoschaling aangeven, is het niet altijd duidelijk wat de criteria zijn voor het classificeren van applicaties als 'medium' en 'high'. [3]
  • Categorieën: ROSA gebruikt 21 categorieën, terwijl SURF er 18 heeft. De indeling en het aantal categorieën variëren. [3]
  • Maatregelen: ROSA heeft meerdere, ongemarkeerde maatregelen per categorie, in tegenstelling tot de duidelijk gemarkeerde maatregelen in SURF. [3]
  • Scope: De scope van ROSA is meer technisch en procesmatig, terwijl SURF een bredere scope heeft, inclusief organisatorische maatregelen.
  • Taal: Een taalverschil bestaat; ROSA is in het Nederlands en SURF in het Engels.
Nonconformant.png

Explain - Explain met Hanteer Certificeringsschema ROSA en Gebruik UBV:

De SURF Security Baseline hanteert een andere aanpak in classificatie, categorieën, en maatregelen dan het Certificeringsschema ROSA, wat leidt tot verschillen in de uitvoering van informatiebeveiligingsbeleid.

Interoperabiliteit
Irrelevant.png

Irrelevant - Er is geen overlap tussen ontwerpkaders uit de ROSA en inhoud van Security Baseline maatregelen.
Identiteiten

De afspraak zelf is openbaar toegankelijk. Hier is geen IAA voor nodig. Wel gaan een 13 van de maatregelen over dit onderwerp.


SB.9.013 Digital Identities: Garandeert dat digitale accounts en identificatoren altijd uniek gekoppeld zijn aan een natuurlijk persoon en dat oude accounts en unieke accountinformatie nooit opnieuw worden toegewezen aan andere natuurlijke personen. Dit waarborgt de traceerbaarheid van digitale toegang tot een unieke individu.


SB.9.015 Joiner/Mover/Leaver: Vereist dat proceseigenaren goedkeuring verlenen aan gebruikers die autorisaties ontvangen voor gegevens binnen het proces. Dit omvat het loggen en bewaren van verzoeken om toegang tot informatie-assets en bijbehorende autorisaties, alsmede het documenteren van intrekkingsverzoeken en wijzigingen in rollen of contractuele relaties.


SB.9.016 Authorization Matrix: Legt de verantwoordelijkheid bij proceseigenaren voor een autorisatiematrix die vastlegt wie toegang heeft tot welke gegevens en in welke hoedanigheid. De matrix omvat rollen, autorisaties in rollen, individuen en de rollen die aan individuen zijn toegestaan.

Compliant.png

Compliant - Compliant met Een persoon heeft minstens één digitale identiteit en Sturing op gebruik van digitale identiteit: implementatie van maatregel SB.9.013 zorgt ervoor dat digitale identiteiten traceerbaar en controleerbaar blijven, in overeenstemming met de ROSA-ontwerpkaders over dit onderwerp.

Compliant met Maak uitvoering transparant:

Door het loggen en documenteren van toegangs- en autorisatieverzoeken, evenals wijzigingen in rollen en contractuele relaties, wordt de transparantie voor de betrokken personen verhoogd.

Compliant met Maak in ontwerp (van vertrouwensraamwerk) transparant hoe privacy is geborgd: De maatregel SB.9.016 voldoet aan het ROSA ontwerpkader door expliciet de toegangsrechten en rollen binnen de organisatie te definiëren, wat bijdraagt aan duidelijke privacyborging en informatiebeveiliging in het ontwerp.

M2M Interactie
Onbepaald.png

Onbepaald - Dit ontwerpgebied is nog niet uitgewerkt in de ROSA.
H2M Interactie
Onbepaald.png

Onbepaald - Dit ontwerpgebied is nog niet uitgewerkt in de ROSA.
Referentiecomponenten en ketenvoorzieningen

De SURF Security Baseline bevat diverse maatregelen gericht op het verhogen van de beveiliging van informatiesystemen binnen onderwijsinstellingen.Binnen deze maatregelen zijn uitspraken opgenomen over 'assets', een term die binnen de context van informatiebeveiliging breed geïnterpreteerd kan worden. Dit omvat alle vormen van applicaties, zowel hardware als software.

Een specifieke maatregel, SB.1.004 'Asset inventory', benadrukt het belang van het bijhouden van een actuele inventarisatie van alle hardware- en software-assets binnen een organisatie. [3]

Onbepaald.png

Onbepaald - Al lijken er geen specifieke ketenvoorzieninngen en RC’s betrokken te zijn bij implementatie van deze afspraak, gezien de definitie van 'assets' in de maatregelen, heeft deze een relatie met het referentiecomponent: Gegevensverwerkend Systeem


Aan dit referentiecomponent is het ROSA ontwerpkader gekoppeld: Hanteer Certificeringsschema ROSA. Echter, de mate waarin de implementatie van de SURF Security Baseline ook de vereisten van het ROSA certificeringsschema invult, blijft onbepaald.

Beheer en (door)ontwikkeling

Het beheer en de doorontwikkeling van de SURF Security Baseline zijn gestructureerd via twee primaire organen: het 'standaard committee' en de 'regiegroep'. [4]

Daarnaast is er een proces van aankondiging en feedback voor geplande wijzigingen. Dit proces zorgt ervoor dat alle leden van SURF, vertegenwoordigd in verschillende gremia, geïnformeerd zijn over voorgestelde wijzigingen en de gelegenheid hebben om feedback te geven.

Tot slot is de Raad van Bestuur (RvB) van SURF verantwoordelijk voor het nemen van het uiteindelijke besluit over de vaststelling van de baseline. Er is geen intentie of behoefte om de baseline onder te brengen bij een werkgroep binnen Edustandaard.

N.v.t. -


Referenties[bewerken]

[1] Achtergrond over de baseline doelen: https://communities.surf.nl/cybersecurity/artikel/surf-security-baseline-onderwijs-en-onderzoek-beschikbaar

[2] Gebruikshandleiding: https://sec.surf.nl/security-baseline-achtergrond/

[3] De maatregelenset/baseline zelf: https://sec.surf.nl/controls/

[4] Aanmeldformulier SURF Security Baseline bij Edustandaard