In dit document worden in tabelvorm de belangrijkste recente ontwikkelingen weergegeven per dossier: etoegang, edocumenten, efactureren, eaanbesteden, erapporteren en egegevens, uitwisseling en opslag. Overige ontwikkelingen en observaties zijn opgenomen in een aparte tabel aan het eind van het document. Structuur van dit document De eerste kolom bevat Europese ontwikkelingen in beleid, wet- en regelgeving. In de tweede kolom worden de belangrijkste Europese en bredere mondiale standaardisatieontwikkelingen weergegeven. De derde kolom bevat een beschrijving van de implementatie van Europees beleid en de toepassing van de genoemde standaarden, met de focus op Nederland. In de derde kolom wordt de Nederlandse betrokkenheid bij beschreven ontwikkelingen weergegeven tot op het niveau van personen. Als er samenhang tussen beleidsontwikkelingen en standaardisatieontwikkelingen is, zijn deze ontwikkelingen in dezelfde rij dus naast elkaar - weergegeven. Indien beleidsontwikkelingen en standaardisatieontwikkelingen in verschillende rijen zijn beschreven, betekent dit dat door de onderzoekers geen samenhang is vastgesteld. Aangenomen wordt dat van de internationale ontwikkelingen, Europese ontwikkelingen doorgaans de meeste impact hebben op de Nederlandse situatie. De Europese regelgeving heeft namelijk een directe doorwerking op Nederlandse. Daarom zijn de Europese ontwikkelingen in blauw weergegeven om ze te onderscheiden van mondiale ontwikkelingen. Als een kolom leeg is, is er niks aangetroffen voor wat betreft Nederlandse toepassingen die direct verband houden met beleid en bij contactpersonen zijn er dan geen Nederlandse contactpersonen bekend. Beheer van het document De aard van het document is dat het periodiek wordt ge-update. In deze update is op alle dossiers informatie toegevoegd. Zowel in de diepte van de beschrijving van bepaalde ontwikkelingen als in de breedte van ontwikkelingen is informatie geactualiseerd. Lijsten Open standaarden Opname van standaarden op de Lijsten Open standaarden van het Forum Standaardisatie is een belangrijke indicator voor toepassing - door de Nederlandse overheid - van die standaarden. Daarom is hierbij ook voor een kleuraanduiding gekozen: rood voor pas toe of leg uit en oranje voor gangbaar. Hierbij dient opgemerkt te worden dat niet alle standaarden van de Lijsten Open standaarden in dit document genoemd worden; uitgangspunt is steeds de Europese en mondiale ontwikkelingen geweest. Standaarden en normen De begrippen standaard en standaardisatie zijn in hun ruimste betekenis gebruikt (het maken van) afspraken door belanghebbenden om gezamenlijke doelstelling te bereiken. De nieuwe Europese Verordening voor Europese Standaardisatie biedt de Europese Commissie de mogelijkheid om te verwijzen naar industriespecificaties en typen standaarden anders dan de Europese Norm (EN) zoals ontwikkeld door CEN, CENELEC en ETSI. Daarmee is het 1
verschil tussen de-facto en de-jure standaarden, of tussen standaarden en normen, minder relevant geworden; veel relevanter is de daadwerkelijke harmonisatie die door toepassing van standaarden wordt bereikt. Toch is het voor een goed begrip van het belang van ontwikkelingen en meer specifiek van het niveau van harmonisatie, belangrijk om onderscheid te maken tussen de verschillende typen van afspraken als resultaat van de processen van CEN. In dit document worden de volgende typen afspraken genoemd: EN Europese Norm, tot stand gekomen volgens een inspraak- en stemprocedure gebaseerd op het landenmodel (ook in ETSI). De 33 leden van CEN (de nationale normalisatie-instituten van 33 landen (NSB s) waaronder alle lidstaten van de EU) nemen deze normen over als nationale norm. Conflicterende nationale normen worden ingetrokken door de NSB s. TS Technische Specificatie, tot stand gekomen volgens een ietwat lichtere procedure, maar wel gebaseerd op het landenmodel. Overname als nationale norm is niet verplicht. CWA Europese afspraak tussen twee of meer partijen, en uitgegeven en beheerd door CEN of CENELEC. CWA s mogen conflicteren met andere CWA s, maar niet met EN s (zie hierboven). Overname als nationaal document is niet verplicht. Voorts wordt een reeks industriestandaarden vermeld, ontwikkeld in organisaties als OASIS en W3C. Dat de industrie ook het belang van een formeel afgestemde standaardencatalogus erkent blijkt uit het feit dat veel van deze industriestandaarden aan ISO zijn overgedragen voor formele afstemming en beheer volgens het landenmodel. Een aparte categorie volgen de afspraken binnen UN/CEFACT, die formeel afspraken zijn tussen overheden. Ook UN/CEFACT maakt gebruik van de formele instituten voor het beheer van haar standaarden; zo wordt de EDIFACT-standaard onderhouden door ISO/TC 154. Ook CEN biedt via de zogenaamde consortium bridge de mogelijkheid om industriestandaarden te formaliseren volgens de geijkte procedures voor Europese normering. 2
etoegang Cybercrime De Europese Commissie heeft op 7 februari 2013 haar cybersecuritystrategie (JOIN (2013)1) gepubliceerd, vergezelt door een richtlijn (NIB-richtlijn COM(2013)48) om cybercrime tegen te gaan. De strategie is een samenraapsel van uitwisselingen van best practices, onderzoeken en voorlichting. De richtlijn laat vooral veel vragen open. De richtlijn bepaalt het volgende: Lidstaten moeten een nationale autoriteit oprichten om cybercrime tegen te gaan, het Computer Emergency Respons Team (CERT) en er moet een nationale informatiebeveiligingstrategie worden opgesteld en nationale samenwerkplannen. Er moet een nationale autoriteit worden opgezet/aangewezen die moet zorgen voor informatie-uitwisseling over cybersecurity zowel op nationaal als op Europees niveau. De lidstaten moeten risicomananagement regelen en informatie delen tussen de publieke en private sector. Bedrijven die werkzaam zijn op risicovolle gebieden moeten maatregelen nemen om cybercrime tegen te gaan. CSCG Eind 2011 hebben CEN, CENELEC en ETSI de Cybersecurity Coordination Group (CSCG) opgericht met als doel: De technische beleidscommissies van CEN/CENELEC en ETSI strategisch te adviseren over Cybersecurity Bestaande Europese en internationale standaarden op het gebied van Cybersecurity te analyseren; Gezamenlijke Europese eisen ten aanzien van Europese en internationale standaardisatie op het gebied van Cybersecurity te definiëren; Een Europese roadmap op te stellen voor de standaardisatie op het gebied van Cybersecurity, rekening houdend met mandatering door de Europese Commissie; Te fungeren als vraagbaak voor EUinstellingen met betrekking tot de standaardisatie van Cybersecurity; Bilateraal samen te werken met standaardisatieorganisaties in de VS Alle organisaties die DigiD gebruiken moeten voldoen aan een beveiligingsnorm. Via een ICTbeveiligingsassessment moeten zij dit vervolgens laten toetsen. Deze Norm ICT-beveiligingsassessments DigiD is niet gebaseerd op een internationale, Europese of nationale norm, maar op door het NSCS (Nederlands CyberSecurity Center) ontwikkelde ICTbeveiligingsrichtlijnen voor webapplicaties. NEN ontwikkelt in normcommissie Distributed Application Platforms and Services (NC 381038) de Nederlandse praktijkrichtlijn (NPR) 5317 Cloud computing. In deze NPR, die feitelijk een normenwijzer is, wordt voor het aspect toegangsbeveiliging voor clouddiensten verwezen naar de ICT-beveiligingrichtlijne voor webapplicaties. De normcommissie zoekt ook aansluiting bij het werk van ENISA. Nederlandse belanghebbenden kunnen via NEN deelnemen in de CSCG. De normcommissie Informatiebeveiliging van NEN fungeert als klankbord voor het CSCG. NEN wordt in de CSCG vertegenwoordigd door Jan Rietveld van het bureau NEN, Beer Franken (AMC) en Johan Rambi (Alliander). In 2013 is actief bijgedragen aan de ontwikkeling van de White paper van CSCG door het bijwonen van vergaderingen en het leveren van commentaren. Er is ook contact gelegd met het NCSC maar dit heeft niet geleid tot uitbreiding van de Nederlandse participatie. ENISA participeert in de CSCG. Edgard de Lange van het ministerie van Economische Zaken is het Nederlandse lid in de Management Board en is de National Contact Officer van ENISA. Marijke Salters (BFS) heeft contact met Marnix Dekker van ENISA in het kader van cloud computing. De samenstelling van NEN NC 381038 is als volgt: Hans Bos, Microsoft Beer Franken, AMC (voorzitter) Ton van Bergeijk, NEN (secretaris) Pieter Jansen, ICTree Michiel Steltman, DHPA 3
etoegang Cybercrime De Commissie zal een ICT-systeem verzorgen waarop de informatie tussen de nationale autoriteiten gedeeld kan worden. De rest van de wetgeving is nog onduidelijk. De uitwerking van de wet is namelijk verwezen naar een comité: het Network and Information Security Committee. Belangrijke vragen worden in dit comité geregeld en blijven momenteel dus nog open. De discussie in de Raad spitst zich momenteel toe op de vraag of er verplichte maatregelen, vrijwillige maatregelen of een combinatie van beiden genomen moet worden om aan de doelstellingen van de richtlijn tegemoet te komen. Nederland is voorstander van een gemengde aanpak. Nederland stelt dat voor een minimum beveiligingsniveau en eerlijk speelveld binnen de EU enkele verplichtingen noodzakelijk zijn: een goed functionerend CERT, een crisisplan en een coördinerende autoriteit. Nederland benadrukte echter ook te hechten aan sectorale bevoegdheden en dat zelfregulering en goede publiek-private samenwerking op EU-niveau mogelijk moeten zijn. Daarnaast benadrukten een groot aantal lidstaten het belang van coördinatie op mondiaal niveau bij de invoering van beveiligingsnormen om vergelijkbare voorwaarden te creëren voor internationaal opererende bedrijven. en andere landen; Een gezamenlijke strategie voor de VS en de EU vast te stellen voor de ontwikkeling van een internationaal raamwerk van standaarden op het gebied van Cybersecurity; De Europese inbreng in standaardisatiecommissies van ISO en IEC te coördineren met het oog op de implementatie van een gezamenlijke strategie van de VS en de EU. In december 2013 wordt de laatste hand gelegd aan de 'CSCG White Paper' die aan de EC wordt voorgelegd. Daarin wordt ook gekeken naar IT Beveiliging en Network en Information Security (NIS). Peter Wilms, Deloitte Nan Zevenhek, EuroCloud Lennard Zwart (CloudVPS) 4
etoegang Cybercrime Verder is discussie over de meer gedetailleerde bepalingen uit het voorstel, zoals de taken van de nationale autoriteit, de samenwerking tussen de nationale autoriteiten, de betrokken stakeholders and het incident rapportage systeem. De Europese Commissie is van mening dat de huidige verschillen in de niveaus van paraatheid bij de lidstaten de veiligheid van de onderling verbonden netwerken verzwakken. Desondanks werd de noodzaak om binnen de EU hoge veiligheidsnormen vast te stellen, zelfs als deze hoger zijn dan elders, algemeen erkend. Advies Europees Economisch en Sociaal Comité: het EESC dringt aan op veel explicietere omschrijvingen van de normen, vereisten en procedures waaraan lidstaten, overheden, marktdeelnemers en facilitatoren van essentiële internetdiensten zich moeten houden. De Europese Commissie wil de onderhandelingen over de NIB-richtlijn graag nog voor de Europese verkiezingen (mei 2014) afronden. De vraag is of dit mogelijk is. Neelie Kroes verwacht dat de richtlijn wordt vertraagd. Het Europees Parlement heeft in een policybriefing de tekortkomingen en 5
etoegang Cybercrime aanbevelingen gepubliceerd. Het EP vindt dat er teveel de nadruk wordt gelegd op hard beleid in plaats van de rol die de private sector kan spelen. Daarnaast wijst het EP op de hoge administratieve lasten van het rapportage mechanisme. Het Parlement ziet graag dat er meer nadruk komt te liggen op transparantie; en het vrijwillig maken van rapporteren. Daarnaast is het van belang om gebruik te maken van bestaande informatieuitwisselingskanalen. etoegang ENISA. European Network and Information Security Agency. Het Europees Agentschap voor netwerken informatiebeveiliging (ENISA) heeft een capaciteitsversterking van de EU, de EUlanden en het bedrijfsleven ten doel zodat de problemen met betrekking tot de netwerk- en informatiebeveiliging kunnen worden voorkomen, beheerst en opgelost. Het doel van ENISA is ook de Commissie en EU-landen bijstand en advies te verlenen. Het Agentschap kan ook worden verzocht de Commissie bij te staan bij de CEN (European Committee for Standardization) en CENELEC (European Committee for Electrotechnical Standardization) hebben met ENISA een samenwerkingsovereenkomst getekend. De samenwerkingsovereenkomst geeft ENISA de mogelijkheid om experts te laten participeren in de ICT-gerelateerde normalisatie-activiteiten van CEN en CENELEC. Onderzoeksresultaten van Nederlandse belanghebbenden kunnen via NEN deelnemen in de CSCG. De normcommissie Informatiebeveiliging van NEN fungeert als klankbord voor het CSCG. NEN wordt in de CSCG vertegenwoordigd door Jan Rietveld van het bureau NEN, Beer Franken (AMC) en Johan Rambi (Alliander). 6
etoegang ENISA. European Network and Information Security Agency. uitvoering van voorbereidende technische werkzaamheden met het oog op de actualisering en verdere ontwikkeling van de communautaire wetgeving. Zo zal ENISA de Commissie helpen met het opstellen van beleid en de samenwerking tussen lidstaten gaan faciliteren. Verder zal het zich gaan bezighouden met het verzamelen en analyseren van netwerkgegevens en het promoten van risicomanagement, security best practices en security-standaarden. ENISA publiceert geregeld onderzoeken op het gebied van cybersecurity. ENISA is actief op de volgende gebieden: - Computer Emergency Response Teams (CERT) - Critical Information Infrastructure Protection (CIIP) and Resilience - Identity and Trust - Risk Management Op deze gebieden worden geregeld onderzoeken gepubliceerd. Een overzicht hiervan is te vinden op de website. Op 15 november 2013 heeft ENISA een rapport gepubliceerd waarin wordt ingegaan op de uitrol van overheidsclouds. In het rapport worden landen ingedeeld als Early adopters, well-informed, innovators of hesitants. Daarnaast geeft het rapport tien aanbevelingen voor het ENISA worden gebruikt als input voor de ontwikkeling van normen door CEN en CENELEC. De samenwerking tussen CEN/CENELEC/ETSI en ENISA vindt met name plaats in de Cybersecurity Coordination Group (CSCG) (zie hierboven). In 2013 is actief bijgedragen aan de ontwikkeling van de White paper van CSCG door het bijwonen van vergaderingen en het leveren van commentaren. Er is ook contact gelegd met het NCSC maar dit heeft niet geleid tot uitbreiding van de Nederlandse participatie. ENISA participeert in de CSCG. Edgard de Lange van het ministerie van Economische Zaken is het Nederlandse lid in de Management Board en is de National Contact Officer van ENISA. Marijke Salters (BFS) heeft contact met Marnix Dekker van ENISA in het kader van cloud computing. De samenstelling van NEN NC 381038 is als volgt: - Hans Bos, Microsoft - Beer Franken, AMC (voorzitter) - Ton van Bergeijk, NEN (secretaris) - Pieter Jansen, ICTree - Michiel Steltman, DHPA - Peter Wilms, Deloitte - Nan Zevenhek, EuroCloud - Lennard Zwart (CloudVPS) 7
etoegang ENISA. European Network and Information Security Agency. succesvol uitrollen van overheid clouddiensten. Het Verenigd Koninkrijk, Spanje en Frankrijk worden genoemd als early adopters. Nederland komt daar samen met een groep landen vlak achteraan als well-informed. Op 11 december 2013 heeft ENISA een threat-landscape rapport gepubliceerd waarin de top cyberdreigingen tussen 2012 en 2013 op een rij worden gezet. etoegang ENISA Cloud Security and Resilience expert group ENISA heeft een Cloud Security and Resilience expert groep gelanceerd in april 2013. In mei kwam deze groep voor het eerst bijeen in Amsterdam. De groep bestaat uit 20 experts van 12 landen, waarvan 2 leden van het CIRRUS project. De groep houdt zich bezig met de rol van cloud computing in de EU-cybersecurity strategie, waarbij voornamelijk gelet wordt op incident rapporteren. Op 16 oktober CEN Workshop Agreement (CWA) CIRRUS In november 2013 is het Europese projectvoorstel CEN Workshop Agreement CIRRUS (Certification, InteRnationalisation and standardization in cloud Security), opgesteld door FP7 CIRRUS project, goedgekeurd door CEN. De NEN normcommissie (NC) 381038 is betrokken bij de ontwikkeling van een CEN Workshop Agreement (CWA) CIRRUS, en is als volgt samengesteld: - Ludo Block (Grant Thornton) - Hans Bos, Microsoft - Beer Franken, AMC (voorzitter) - Pieter Jansen, ICTree - Michiel Steltman, DHPA 8
etoegang ENISA Cloud Security and Resilience expert group 2013 kwam de groep voor de tweede keer bijeen en sprak over de aandachtsgebieden voor het werkprogramma van ENISA van 2014. Verder heeft ENISA een survey geopend naar het rapporteren van indicenten in de Cloud. ENISA heeft een liaison met JTC 1/SC 27. Er is een Draft Business Plan CEN Workshop CIRRUS opgesteld en twee maanden beschikbaar gesteld voor commentaar. Dit Business Plan moet door de betrokken stakeholders tijdens een kick-off bijeenkomst worden goedgekeurd. Deze kick-of bijeenkomst van deze CEN Workshop zal worden gehouden op 11 februari 2014 in Brussel. Het op te leveren resultaat van deze workshop bestaat uit een CWA (CEN Workshop Agreement) Assurance in de cloud die zal bestaan uit: a) Een algemeen overzicht van partijen/initiatieven/activiteiten/publicaties gericht op regelgeving en standaardisatie bij het toepassen van ICT cloud computing techniek; b) Aanbevelingen voor best practices en toe te passen, en naar te verwijzen technische specificaties voor continue bewaking en certificatie van een clouddienst; Ad a) Te betrekken op beveiliging en afspraken hierover voor het leveren van een clouddienst, vast te leggen in een Service Level Agreement (SLA), inclusief representatieve monsters van ICT technische specificaties van formele - Peter Wilms, Deloitte - Nan Zevenhek, EuroCloud - Lennard Zwart (CloudVPS) - Ton van Bergeijk (secretaris) 9
etoegang ENISA Cloud Security and Resilience expert group standaardisatie-instituten, consortia en fora; Ad b) Best practices variëren van computer leesbare certificaten en leesbare instellingen voor beleid informatiebeveiliging, tot composities van verschillende certificaten met een verschillende achtergrond, oorsprong en doel. Forensisch IT onderzoek NPR 5317 Cloud computing, wordt ontwikkeld door normcommissie (NC) 381038, zal naar verwachting ook een normenkader voor forensisch IT onderzoek omvatten en gaan verwijzen naar publicaties zoals: - Association of Chief Police Officers (UK) - Good Practice Guide for Computer- Based Electronic Evidence (2007); - Department of Justice (US) Forensic Examination of Digital Evidence: A Guide for Law Enforcement (August 2004); - National Institute of Standards and Technology 800-86 Guide to Integrating Forensic Techniques into Incident Response (August 2006); - ENFSI Guidelines for Best Practice 10
etoegang ENISA Cloud Security and Resilience expert group in the Forensic Examination of Digital Technology (April 2009); - ISO/IEC 27037: 2012 - Guidelines for identification, collection, acquisition and preservation of digital evidence; - ISO/IEC 27002: 2013 - Information technology Security techniques Code of practice for information security controls -> 16.1.7 Collection of evidence. - ISO/IEC Cloud Forensics In november 2013 hebben ISO/IEC en CSA voorstellen voor nieuwe standaarden goedgekeurd. Dit nieuwe werk betreft o.a. standaarden zoals: - ISO/IEC 27017 Information technology - Security techniques - Code of practice for information security controls for cloud computing services based on ISO/IEC 27002 -> New paragraph 16.1.7 on the collection of evidence in cloud environments; - ISO/IEC 30121 System and software engineering - Information technology - Governance of digital forensic risk framework -> Digital Forensic Capability Strategy; - CSA Incident Management and Forensic Working Group - Mapping 11
etoegang ENISA Cloud Security and Resilience expert group the Forensic Standard ISO/IEC 27037 to Cloud Computing (June 2013). etoegang NIS In de Cyberveiligheidstrategie van de Europese Unie (join (2013)1)) is de oprichting aangekondigd van een platform voor netwerk- en informatiebeveiliging (NIS) waarin publieke en private belanghebbenden worden bijeengebracht. De bevindingen van dit platform zullen worden meegenomen in de aanbevelingen van de Commissie over cyberveiligheid, die in 2014 moeten worden aangenomen. Standaarden vormen één van de prioritaire aandachtsgebieden van het NIS-platform. Ook binnen het Multi Stakeholder Platform for ICTstandardisation is een NIS Task Force actief. Het is nog niet duidelijk hoe deze afstemming en de wisselwerking tussen bijvoorbeeld ETSI en CEN en het NISplatform wordt vormgegeven. Het NIS-platform is op 17 juni 2013 officieel gelanceerd. Eerste prioriteit van het NIS-platform is het benoemen van technologie-neutrale best practices, waaronder standaarden, voor cyberveiligheid. Daarnaast worden incentives ontwikkeld, zowel aan vraag- als 12
etoegang NIS aanbodzijde, voor naleving van die best practices en de ontwikkeling van veilige ICT-oplossingen. Op 25, 26 en 27 september 2013 vond de kick-off meeting van de werkgroepen plaats: - WG1 on cybersecurity risk management - WG2 on information exchange and incident coordination - WG3 on secure ICT Research and Innovation Op 11 december 2013 vond de tweede plenaire bijeenkomst plaats. De werkgroepen hebben de stand van zaken met elkaar gedeeld. WG1 is bezig met practical guidelines on risk management en WG2 is bezig met het vormen van subgroups die gaan kijken naar de huidige stand van zaken rondom informatieuitwisseling. 13
etoegang FP7 CIRRUS In 2012 is een onderzoeksproject gestart in het kader van het 7 e kaderprogramma, met de titel Certification, InteRnationalisation and standardization in cloud Security. Doel van het onderzoek zijn de beveiligingsaspecten en aanpalende aspecten (certificering, overeenstemming met regelgeving etc.) van cloud computing Het CIRRUS-consortium bestaat uit zes internationale organisaties, aangevoerd door Atos uit Spanje. Andere partners zijn Cloud Security Alliance, Austrian Standards Institute, Portakal Teknoloji uit Turkije, Information Technology Promotion Agency uit Japan en Grant Thornton Forensic & Investigation Services uit Nederland. In de internationale adviesraad zitten vertegenwoordigers van onder meer Google, Microsoft en IBM. Daarnaast zijn ook overheden en universiteiten uit Nederland, Canada, Ierland en Engeland betrokken. Workshop CIRRUS Aansluitend op het FP7-project met dezelfde naam heeft het Oostenrijkse normalisatieinstituut in juni 2013 bij CEN een voorstel ingediend voor een nieuwe CEN Workshop Certification, InteRnationalisation and standardization in cloud Security (CIRRUS). Doel van deze Workshop is het publiceren van aanbevelingen en best practice in de vorm van CEN Workshop Agreements (CWA s). Grant Thornton Nederland (Mark Hoekstra) participeert in CIRRUS. NEN heeft contact opgenomen om Grant Thornton ook te betrekken bij NENinitiatieven rond veiligheid van de cloud. 14
etoegang Code voor Informatie beveiliging NEN ISO/IEC 27000-reeks Code voor informatiebeveiliging ISO/IEC JTC 1/SC 27 heeft vijf actieve werkgroepen: WG 1 Information security management systems WG 2 Cryptography and security mechanisms WG 3 Security evaluation, testing and specification WG 4 Security controls and services WG 5 Identity management and privacy technologies SC 27 heeft 128 normen gepubliceerd en er wordt aan meer dan 40 nieuwe normen en revisies gewerkt. Hieronder volgen enkele van de belangrijke ontwikkelingen. ISO/IEC JTC 1/SC 27 heeft nieuwe versies van de 27001 en 27002 gepubliceerd.iso/iec 27001 is volgens de nieuwe High Level Structure (HLS) structuur voor management normen NEN-ISO/IEC 27001:2005 nl en NEN-ISO/IEC 27002:2007 nl staan vermeld op de Lijst open standaarden als Pas toe of leg uit. Het College Standaardisatie heeft in december 2013 besloten om de adoptie van de informatiebeveiligingsnormen NEN- ISO 27001/27002 verder te bevorderen. Het College roept verschillende sleutelorganisaties binnen de publieke sector op tot concrete acties. De oproep is gebaseerd op een evaluatie die met een expertgroep is uitgevoerd. Het College Standaardisatie onderschrijft in zijn besluit het belang van de sectorale Baselines Informatiebeveiliging. De acties waartoe het College oproept, zijn gericht op: - het committent van overheden om de normen en baselines ook daadwerkelijk in te voeren; - het ontwikkelen en het delen van implementatiehulpmiddelen; - de vrije, publieke beschikbaarheid van de baselines; en NEN NC 3810027 Informatiebeveiliging volgt het werk van ISO/IEC/JTC 1/SC 27 actief. Er is een toenemende belangstelling onder de commissieleden om rechtstreeks deel te nemen aan het internationale werk van SC 27. De samenstelling van NEN NC 381027 is als volgt: Jurjen Bos (Equens) Piet Donga (ING, voorzitter) Frank Fransen (TNO) Anno Keizer (Urenco) Henk Keijzer (KEMA) Henk Marsman(Deloitte) Joop Zomer (ABN-AMRO) Rob Weemhoff (IBM) Beer Franken (AMC) Bert van Ingen (Rabo) Jan Rietveld (NEN, secretaris) De Nederlandse overheid was bij de ontwikkelingen rond de 27000-serie niet betrokken. Het CBP is betrokken geweest bij de ontwikkeling van ISO/IEC 29101:2013 Information technology -- Security techniques -- Privacy architecture framework 15
etoegang Code voor Informatie beveiliging opgezet. De NEN-normcommissie voor dit onderwerp benadert de nieuwe ontwikkelingen met enige voorzichtigheid. De commissie is bang dat ISO/IEC 27000 teveel een algemene managementnorm wordt met weinig concrete aanwijzingen voor 'IT beveiliging'. Er ontstaan op basis van de 27001 en 27002 veel sectorspecifieke normen, bijv. voor de financiële sector en gezondheidszorg. ISO/IEC JTC 1/SC 27 breidt de 27000- reeks verder uit, met de ontwikkeling van: ISO/IEC 29115:2013 Information technology -- Security techniques -- Entity authentication assurance framework ISO/IEC WD TS 27017 Information technology Security techniques Cloud computing security and privacy management system Security controls - het open beheer van de baselines en grotere betrokkenheid (via vertegenwoordigende koepels) van leveranciers, informatiebeveiligers en auditors.pels) van leveranciers, informatiebeveiligers en auditors. Van beide normen is in 2013 een revisie verschenen. NEN werkt aan de vertalingen van deze nieuwe versies. Deze nieuwe versies staan niet op de lijst van het Forum maar zullen naar verwachting in 2014 worden getoetst voor vemelding. ISO/IEC 10118-3:2004 staat vermeld op de Lijst open standaarden als Gangbaar 16
etoegang Code voor Informatie beveiliging ISO/IEC DIS 27018 Information technology -- Security techniques -- Code of practice for PII protection in public cloud acting as PII processors ISO/IEC WD 27009 The Use and Application of ISO/IEC 27001 for Sector/Service-Specific Third-Party Accredited Certifications ISO/IEC WD 27012 Information technology - Security techniques -- ISM guidelines for e-government services delen van ISO/IEC FDIS 27033 Information technology -- Security techniques -- Network security delen van ISO/IEC WD 27034-2 Information technology -- Security techniques -- Application security delen van ISO/IEC 27035 Information technology Security techniques Information security incident management ISO/IEC 27036 Information technology -- Security techniques -- Information security for supplier relationships, met name: ISO/IEC WD 27036-4 Information technology -- Information security for supplier relationships -- Part 4: Guidelines for security of Cloud services ISO/IEC FDIS 27038 Information technology -- Security techniques -- Van ISO/IEC 27001:2013 en ISO/IEC 27002:2013 worden Nederlandse vertalingen gemaakt. ISO/IEC 10118-3:2004 is overgenomen als Nederlandse norm. Diverse baselines van overheden zijn gebaseerd op ISO 27001 en ISO 27002. De Baselines Informatiebeveiliging (BIR/BIG/IBI/BIWa) van de verschillende overheden zijn gebaseerd op de 27001 en 27002. De Diginotar-affaire en Lektober in 2012 hebben geleid tot een bewustwordingsimpuls en aanscherping van eisen, bijvoorbeeld voor gebruik van DigiD. De 27001 en 27002 worden alom erkend als basis voor informatiebeveiligingsbeleid. NORA biedt, naast principes, een paar best practices die kunnen helpen bij de informatiebeveiliging van geautomatiseerde gegevensverwerking, te weten het Normenkader voor de beveiliging van ICT-voorzieningen (NIBI), en een architectuuraanpak, inclusief een aantal eerste IB-patronen (IB 17
etoegang Code voor Informatie beveiliging Specification for digital redaction ISO/IEC DIS 27039 Information technology -- Security techniques -- Selection, deployment and operations of intrusion detection systems (IDPS) ISO/IEC DIS 27040 Information technology -- Security techniques -- Storage security ISO/IEC DIS 27041 Information technology -- Security techniques -- Guidance on assuring suitability and adequacy of incident investigative methods ISO/IEC DIS 27042 Information technology -- Security techniques -- Guidelines for the analysis and interpretation of digital evidence ISO/IEC DIS 27043 Information technology -- Security techniques -- Incident investigation principles and processes ISO/IEC WD 27044 Guidelines for Security Information and Event Management (SIEM) ISO/IEC WD 27050 Information technology -- Security techniques -- Electronic discovery ISO/IEC JTC 1/SC 27 onderhoudt ook ISO/IEC JTC 1 10118-3 Information technology - Security techniques - Hashfunctions - Part 3: Dedicated hashfunctions, de zogenaamde Whirpool PTR). Nora 4.0 krijgt een katern informatiebeveiliging, en daarnaast is de Baseline Informatiebeveiliging Rijksdienst aangenomen, aan een versie voor de gemeenten wordt gewerkt. Ook de ICT-beveiligingsrichtlijnen voor webapplicaties van het NCSC, uit 2012, verwijzen naar NEN- ISO/IEC 27001, 27002 en 27005. Naar aanleiding van de Diginotar affaire is een interbestuurlijke Taskforce informatiebeveiliging ingericht die tussen 2013 en 2014 met name op bestuurlijk niveau informatiebeveiliging moet agenderen en laten uitvoeren ISO/IEC 27013:2012 Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1 zal in een Nederlandse vertaling worden overgenomen als Nederlandse norm NEN-ISO/IEC 27013. Deze norm legt het verband tussen informatiebeveiliging en servicemanagement. 18
etoegang Code voor Informatie beveiliging hash die ook op de Lijst ganbare open standaarden is vermeld. Vermeldenswaard zijn ook ISO/IEC 24760-1:2011 Information technology -- Security techniques -- A framework for identity management -- Part 1: Terminology and concept ISO/IEC 29100:2011 Information technology -- Security techniques -- Privacy framework CENELEC TC 215 Aanpalend aan het werk van ISO/IEC JTC 1/SC 27 is in Europa, in CENELEC TC 215/WG3 Facilities and infrastructures dit jaar gestart met de ontwikkeling van NEN-EN 50600-2-5 Data centre facilities and infrastructures - Part 2-5: Security systems NEN-EN 50600-1:2012 - Information technology - Data centre facilities and infrastructures - Part 1: General concepts NEN-EN 50600-2-1:2012 Ontw. Information technology - Data centre facilities and infrastructures - Part 2-1: Het Ministerie van Economische Zaken Agentschap NL nodigt bedrijven, brancheorganisaties, instellingen en gemeenten uit, op een vrijwillige basis, om het gebruik van fossiele brandstoffen terug te dringen. Dit gebeurt in de vorm van een convenant met een verwijzing naar de MJA3:2008. Vanuit het activiteitenbesluit en handhaving wet milieubeheer en informatieblad voor provincies en gemeenten wordt o.a. verwezen naar NPR 5313 Computerruimten en datacenters. NEN NC 381888 Computerruimtes en datacenters bestaat uit: Jeffrey Gadellaa, Strukton Worksphere (voorzitter) Ton van Bergeijk, NEN (secretaris) Bas van Asten, Remtech Nederland Jarno Bloem, TelecityGroup Netherlands B.V. Michel de Boer, Wagner Nederland B.V. Hans den Boer, Hi-safe systems Jordy den Boer, KEMA Hans Hekman, Kannegieter André Hiddink, Rittal B.V. Edgar Hogenbirk, APAC Airconditioning B.V. 19
etoegang Code voor Informatie beveiliging Building construction NEN-EN 50600-2-2:2012 Ontw. - Information technology - Data centre facilities and infrastructures - Part 2-2: Power distribution NEN-EN 50600-2-3:2013 Ontw. en - Information technology - Data centre facilities and infrastructures - Part 2-3: Environmental control NEN heeft in normcommissie Computerruimten en datacenters (NC 381888) de Nederlandse praktijkrichtlijn (NPR) 5313 Computerruimten en datacenters gepubliceerd. NPR 5313 omvat: - Overzicht van 160 in groepen geordende standaarden voor toepassing bij concepten, bij producten, of bij uitvoering - Lijst met 150 termen, definities en afkortingen - Overzicht van.20 agenda-onderwerpen voor bedrijfsvoering op drie verschillende managementniveaus - Eisen en classificatie voor karakteristieke eigenschappen Fokke van Hijum, Lasent B.V. Kees Loer, TCN Data Hotels Peter Matlung, Grontmij Niek van der Pas, Legrand/Minkels Elbert Raben, Rittal B.V. Eric Taen, ICTroom Company B.V. Emiel Taling, Datwyler Cables GmbH Jaco Verheij, MinDefe/IVENT Jan Wiersma, EvoSwitch Bij de ontwikkeling van NPR 5313 is onder andere voor het onderwerp beveiliging aangesloten op publicaties van het Centrum Criminaliteitsbestrijding en Veiligheid (CCV). Het draagvlak van het CCV is breed. Hierbij aangesloten partijen zijn o.a.: Ministerie van Veiligheid en Justitie; Ministerie van Binnenlandse Zaken; Verbond van Verzekeraars; Werkgeversorganisatie VNO-NCW; Vereniging van Nederlandse Gemeenten; Raad van Korpschefs. Relevante publicaties van het CCV: Model Integrale Brandveiligheid Bouwwerken (IBB); 20