Architectuurscan Uniforme Beveiligingsvoorschriften (UBV) TLS

Uit ROSA Wiki
Naar navigatie springen Naar zoeken springen


De architectuurscan is uitgevoerd op 30 juni 2020. Zie voor meer informatie, waaronder de adviezen die naar aanleiding van de scan door de Architectuurraad zijn uitgebracht, het adviesdeel en het [ bevindingendeel].

ROSA onderdeelBevindingen uit project: Architectuurscan Uniforme Beveiligingsvoorschriften (UBV) TLSRelatie met ROSA (Groen: ROSA, geel: Architectuurscan Uniforme Beveiligingsvoorschriften (UBV) TLS)
Werkingsgebied

Volgens §1.3 van de Uniforme Beveiligingsvoorschriften, heeft de afspraak betrekking op de gehele onderwijssector.

Fullyconformant.png

Fully conformant - bestrijkt het volledige werkingsgebied van de ROSA.
Toepassingsgebied

Doel van de afspraak is het onderhouden van een eenduidige set van beveiligingsvoorschriften waarmee de veiligheid, interoperabiliteit en efficiëntie in de onderwijsketen wordt bevorderd.

De voorschriften gelden voor alle M2M-gegevensuitwisselingen binnen het onderwijs, zowel voor uitwisselingen via Edukoppeling als voor gegevensuitwisselingen die eigen afspraken hebben zoals de Overstap Service Onderwijs (OSO).

De afspraken zijn ook van toepassing voor alle H2M-uitwisselingen via websites en webdiensten die binnen het onderwijs gebruikt worden, aangezien die doorgaans ook een beveiligde verbinding bieden.

Compliant.png

Compliant - De UBV hebben betrekking op het Informatiebeveiliging en Privacy toepassingsgebied van de ROSA.
Bovensectorale samenwerking

“Doel van de afspraak is het onderhouden van een eenduidige set van beveiligingsvoorschriften waarmee de veiligheid, interoperabiliteit en efficiëntie in de onderwijsketen wordt bevorderd.” (UBV §1.2).

Compliant.png

Compliant - De doelstelling van UBV draagt bij aan het ROSA-principe “Een gezamenlijke basisinfrastructuur”.

Door ketenbreed gelijke technische afspraken te hanteren, wordt interoperabiliteit in de keten ondersteund.

IBP

Ketenpartijen conformeren zich aan de 'Code voor informatiebeveiliging' Sommige voorschriften gelden op basis van BIV classificatie, hierbij wordt gebruik gemaakt van het “Certificeringsschema informatiebeveiliging en privacy ROSA”. (UBV §1.4)

Voor de Uniforme beveiligingsvoorschriften wordt waar mogelijk gebruik gemaakt van ‘hoger gelegen’ afspraken. Bij voorkeur internationale afspraken (zoals van INAN), indien nodig nationale afspraken (zoals van Forum Standaardisatie en NCSC) en alleen als die niet voldoen aanvullende afspraken die in deze werkgroep worden gemaakt. Afwijken van bovenliggende afspraken wordt onderbouwd.

Compliant.png

Compliant - de Uniforme Beveiligingsvoorschriften omvatten gezamenlijke afspraken op het gebied van Communicatiebeveiliging uit de Code voor Informatiebeveilging (ISO27001/27002)
Bouwstenen en voorzieningen
Compliant.png

Compliant - De UBV raken alle referentiecomponenten en applicaties die H2M of M2M gegevens/informatie uitwisselen.
Architecturele randvoorwaarden

Bestaande standaarden en uitwisseldiensten moeten naar de UBV-voorschriften verwijzen en niet (meer) zelf definiëren. Edukoppeling, UWLR, ECK DT en OSO worden hierbij met name genoemd.

N.v.t. - Een beperkt aantal standaarden en uitwisseldiensten wordt met name genoemd, maar heeft dit niet ook impact op federaties, Entree /SURFConnext en vele online diensten binnen het onderwijs?

Governance

Binnen Edustandaard wordt periodiek (minimaal eenmaal per jaar) de opzet en de werking van de voorschriften besproken met alle relevante stakeholders die vertegenwoordigd zijn in de Standaardisatieraad. Hiertoe wordt input verzameld vanuit de Edustandaard werkgroep Uniforme beveiligingsvoorschriften en vanuit Edu-K.

In de Ketenregie-overleggen wordt nu gesproken over de inrichting van de governance van de UBV. Aangezien het belangrijk is dat alle ROSA ketenorganisaties de UBV gaan volgen wordt het als een belangrijk punt gezien dat alle belanghebbende worden betrokken. Momenteel is nog niet van iedere organisatie binnen de keten vertegenwoordiging binnen deze overleggen.

Onbepaald.png

Onbepaald - Belanghebbenden zijn in beeld, maar nog niet allemaal aangehaakt; governancestructuur is nog in opbouw.
Implementatie

Er wordt gewerkt met profielen per standaard, waarin bij elke eis is aangeven waarom deze gevolgd moet worden. In de bijlage van het UBV-document is een profiel voor Edukoppeling uitgewerkt.

De profielen worden beheerd door de werkgroep UBV. Wijzigingen kunnen door de desbetreffende werkgroep van het profiel aangemeld worden. Bijvoorbeeld wanneer gerelateerde voorschriften veranderen. Een nieuw profiel wordt door beide werkgroepen vastgesteld.

N.v.t. - Op dit moment is alleen een profiel voor Edukoppeling uitgewerkt. Het uitwerken van een profiel incl.vaststelling in twee werkgroepen als voorwaarde om aan te sluiten bij de UBV betekent voor andere implementaties dat het niet makkelijk is om snel in te stappen.