De SURF security baseline – als onderdeel van de dienst SURFaudit - is ontwikkeld om verschillende partijen binnen onderwijs en onderzoek te voorzien van een concrete set van maatregelen om een systeem of dienst te beveiligen. Hierdoor kunnen proces- en systeemeigenaren beter invulling geven aan hun verantwoordelijkheden op het gebied van informatiebeveiliging. Projectmanagers hebben hiermee duidelijke doelen om naartoe te werken en weten welke richtlijnen en best practices ze moeten volgen. Deze baseline voorziet leveranciers ook van duidelijke en gestandaardiseerde eisen voor beveiligingsmaatregelen, waardoor zij makkelijker kunnen voldoen aan de eisen van verschillende instellingen. Het is de bedoeling dat de SURF security baseline in de toekomst de Handreiking Beveiligingsmaatregelen van het SURF Juridisch Normenkader (Cloud)services [1] gaat vervangen.
Doel SURF security baseline
Het doel van de security baseline is om een gestandaardiseerde set van beveiligingsmaatregelen te creëren voor onderwijs en onderzoek. Deze set bevat meer dan 100 maatregelen die geschikt zijn voor verschillende beveiligingsniveaus (laag, midden en hoog) van systemen, gegevens en processen. De set van maatregelen is concreet en gericht op praktische toepassing. Instellingen kunnen deze maatregelen intern gebruiken voor de ontwikkeling en bescherming van hun eigen IT-infrastructuur en in hun inkoopprocessen.
Over de SURF security baseline
De baseline is een combinatie van maatregelen uit meerdere bekende en bewezen standaarden, zoals CIS controls v7.1 en ISO 27002:2017. Maar ook aangescherpt met maatregelen uit andere kaders die in onze sector worden gebruikt, zoals de STITCH controls en het certificeringsschema informatiebeveiliging en privacy ROSA v3.0. Deze maatregelen zijn vervolgens door een groep deskundigen van de hieronder genoemde instellingen één voor één beoordeeld en meerdere malen herzien. Dit met als doel om ze geschikt te maken voor de sector onderwijs en onderzoek en de samenhang tussen de verschillende maatregelen te waarborgen.
Henry, de CISO van Saxion Hogeschool, is enthousiast over de SURF security baseline: “Als Saxion zijn we op zoek naar een generieke set van maatregelen die we kunnen toepassen bij onze eigen systemen, maar ook bij systemen die we extern aanschaffen. Ik verwacht dat de Surf Security baseline ons helpt om maatregelen concreet te maken en uiteindelijk onze bescherming op het gebied van informatiebeveiliging verbeterd”.
Security baseline binnen vendor riskmanagement
In 2022 zijn instellingen in samenwerking met SURF gestart met het project Vendor Riskmanagement. Het project onderzoekt hoe we op basis van risicoclassificaties kunnen beoordelen of leveranciers voldoende beveiligingsmaatregelen hebben genomen, om de security van hun diensten en applicaties te waarborgen. De security baseline bevat de vereisten waaraan leveranciers moeten voldoen. Momenteel werken wij uit hoe wij gaan toetsen of de beveiliging van ingekochte applicaties en systemen adequaat is, en hoe wij de resultaten van deze toetsen kunnen delen onder instellingen.
* De instellingen die hieraan hebben gewerkt zijn:
- Amsterdam UMC
- Kennisnet
- NHL Stenden
- Nederlandse Organisatie voor Wetenschappelijk Onderzoek
- Saxion Hogeschool
- SURF
- Tilburg University
- Universiteit Utrecht
- Universiteit van Amsterdam
- Wageningen University & Research.
[1] https://www.surf.nl/surf-juridisch-normenkader-cloudservices
0 Praat mee