Architectuurscan Uniforme Beveiligingsvoorschriften (UBV) TLS

Uit ROSA Wiki
Naar navigatie springen Naar zoeken springen


De architectuurscan is uitgevoerd op 30 juni 2020. Zie voor meer informatie, waaronder de adviezen die naar aanleiding van de scan door de Architectuurraad zijn uitgebracht, het adviesdeel en het [ bevindingendeel].

ROSA onderdeelBevindingen uit project: Architectuurscan Uniforme Beveiligingsvoorschriften (UBV) TLSRelatie met ROSA (Groen: ROSA, geel: Architectuurscan Uniforme Beveiligingsvoorschriften (UBV) TLS)
Werkingsgebied

Volgens §1.3 van de Uniforme Beveiligingsvoorschriften, heeft de afspraak betrekking op de gehele onderwijssector.

Fullyconformant.png

Fully conformant - bestrijkt het volledige werkingsgebied van de ROSA.
Toepassingsgebied

Doel van de afspraak is het onderhouden van een eenduidige set van beveiligingsvoorschriften waarmee de veiligheid, interoperabiliteit en efficiëntie in de onderwijsketen wordt bevorderd.

De voorschriften gelden voor alle M2M-gegevensuitwisselingen binnen het onderwijs, zowel voor uitwisselingen via Edukoppeling als voor gegevensuitwisselingen die eigen afspraken hebben zoals de Overstap Service Onderwijs (OSO).

De afspraken zijn ook van toepassing voor alle H2M-uitwisselingen via websites en webdiensten die binnen het onderwijs gebruikt worden, aangezien die doorgaans ook een beveiligde verbinding bieden.

Compliant.png

Compliant - De UBV hebben betrekking op het Informatiebeveiliging en Privacy toepassingsgebied van de ROSA.
Bovensectorale samenwerking

“Doel van de afspraak is het onderhouden van een eenduidige set van beveiligingsvoorschriften waarmee de veiligheid, interoperabiliteit en efficiëntie in de onderwijsketen wordt bevorderd.” (UBV §1.2).

Compliant.png

Compliant - De doelstelling van UBV draagt bij aan het ROSA-principe “Een gezamenlijke basisinfrastructuur”.

Door ketenbreed gelijke technische afspraken te hanteren, wordt interoperabiliteit in de keten ondersteund.

IBP

Ketenpartijen conformeren zich aan de 'Code voor informatiebeveiliging' Sommige voorschriften gelden op basis van BIV classificatie, hierbij wordt gebruik gemaakt van het “Certificeringsschema informatiebeveiliging en privacy ROSA”. (UBV §1.4)

Voor de Uniforme beveiligingsvoorschriften wordt waar mogelijk gebruik gemaakt van ‘hoger gelegen’ afspraken. Bij voorkeur internationale afspraken (zoals van INAN), indien nodig nationale afspraken (zoals van Forum Standaardisatie en NCSC) en alleen als die niet voldoen aanvullende afspraken die in deze werkgroep worden gemaakt. Afwijken van bovenliggende afspraken wordt onderbouwd.

Compliant.png

Compliant - de Uniforme Beveiligingsvoorschriften omvatten gezamenlijke afspraken op het gebied van Communicatiebeveiliging uit de Code voor Informatiebeveilging (ISO27001/27002)
Bouwstenen en voorzieningen
Compliant.png

Compliant - De UBV raken alle referentiecomponenten en applicaties die H2M of M2M gegevens/informatie uitwisselen.
Architecturele randvoorwaarden

Bestaande standaarden en uitwisseldiensten moeten naar de UBV-voorschriften verwijzen en niet (meer) zelf definiëren. Edukoppeling, UWLR, ECK DT en OSO worden hierbij met name genoemd.

N.v.t. - Een beperkt aantal standaarden en uitwisseldiensten wordt met name genoemd, maar heeft dit niet ook impact op federaties, Entree /SURFConnext en vele online diensten binnen het onderwijs?

Governance

Binnen Edustandaard wordt periodiek (minimaal eenmaal per jaar) de opzet en de werking van de voorschriften besproken met alle relevante stakeholders die vertegenwoordigd zijn in de Standaardisatieraad. Hiertoe wordt input verzameld vanuit de Edustandaard werkgroep Uniforme beveiligingsvoorschriften en vanuit Edu-K.

In de Ketenregie-overleggen wordt nu gesproken over de inrichting van de governance van de UBV. Aangezien het belangrijk is dat alle ROSA ketenorganisaties de UBV gaan volgen wordt het als een belangrijk punt gezien dat alle belanghebbende worden betrokken. Momenteel is nog niet van iedere organisatie binnen de keten vertegenwoordiging binnen deze overleggen.

Onbepaald.png

Onbepaald - Belanghebbenden zijn in beeld, maar nog niet allemaal aangehaakt; governancestructuur is nog in opbouw.
Implementatie

Er wordt gewerkt met profielen per standaard, waarin bij elke eis is aangeven waarom deze gevolgd moet worden. In de bijlage van het UBV-document is een profiel voor Edukoppeling uitgewerkt.

De profielen worden beheerd door de werkgroep UBV. Wijzigingen kunnen door de desbetreffende werkgroep van het profiel aangemeld worden. Bijvoorbeeld wanneer gerelateerde voorschriften veranderen. Een nieuw profiel wordt door beide werkgroepen vastgesteld.

N.v.t. - Op dit moment is alleen een profiel voor Edukoppeling uitgewerkt. Het uitwerken van een profiel incl.vaststelling in twee werkgroepen als voorwaarde om aan te sluiten bij de UBV betekent voor andere implementaties dat het niet makkelijk is om snel in te stappen.


Overeenkomst binnen een bepaalde context over de inrichting en het toepassen van bepaalde voorzieningen en/of standaarden.

Het domein (organisatorisch, taakvelden) binnen de overheid waarin het element (principe, standaard, voorziening) wordt of kan worden toegepast.

De mate waarin risico's, gevaren of bedreigingen worden beheerst of geminimaliseerd om schade, letsel, verlies of negatieve gevolgen voor mensen, eigendommen, processen of systemen te voorkomen.

Het vermogen van organisaties (en hun processen en systemen) om effectief en efficiënt informatie te delen met hun omgeving.

Overeenkomst binnen een bepaalde context over de inrichting en het toepassen van bepaalde voorzieningen en/of standaarden.

De omschrijving van het functionele gebruik van een voorziening.

Normatieve uitspraak die richting geeft aan het in samenhang ontwerpen en realiseren van ketensamenwerkingen en ketenvoorzieningen.

Normatieve uitspraak waarmee consistentie en samenhang wordt nagestreefd.

Infrastructuur die niet organisatie-, sector- of domeinspecifiek is en die wordt begrensd door generieke functies.

Een samenwerkingsverband tussen organisaties die naast hun eigen doelstellingen, één of meer gemeenschappelijk gekozen (of door de politiek opgelegde) doelstellingen nastreven.

Het geheel van maatregelen en processen die worden toegepast om informatie te beschermen tegen ongeoorloofde toegang, openbaarmaking, wijziging, vernietiging of verstoring.

Het organiseren van informatiebeveiliging en het beschermen van persoonsgegevens van leerlingen, ouders en medewerkers.

Een functionele afbakening van een modulair, zelfstandig inzetbaar en vervangbaar (deel van een) systeem.

Een computerprogramma om een specifieke taak uit te voeren die geen betrekking heeft op de werking van de computer zelf.

Weergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat.

Een afgebakende prestatie van een persoon of organisatie (de dienstverlener), die voorziet in een behoefte van haar omgeving (de afnemers).

Een publiekrechtelijke (zoals overheidsorganen) of privaatrechtelijke rechtspersoon.

De rechtsfiguur die inhoudt dat de rechtsgevolgen van een door een bepaalde partij (de vertegenwoordiger of gemachtigde) in naam van een andere partij (de vertegenwoordigde dienstafnemer) met een derde verrichte handeling aan de vertegenwoordigde worden toegerekend.

Een specifieke invulling van een set van koppelvlakstandaarden die een groep functionele eisen invult.

Samenhangend onderwijsprogramma in de bovenbouw van het voortgezet onderwijs met verplichte en facultatieve vakken, gericht op globale sectoren van werk en opleiding.

Overeenkomst binnen een bepaalde context over de inrichting en het toepassen van bepaalde voorzieningen en/of standaarden.

Informatie die in de vorm van een bestand kan worden meegestuurd met een inhoud van een bericht.

Een specifieke invulling van een set van koppelvlakstandaarden die een groep functionele eisen invult.

Samenhangend onderwijsprogramma in de bovenbouw van het voortgezet onderwijs met verplichte en facultatieve vakken, gericht op globale sectoren van werk en opleiding.

Overgenomen van "https://rosa.wikixl.nl/index.php?title=Architectuurscan_Uniforme_Beveiligingsvoorschriften_(UBV)_TLS&oldid=52339"