Eigenschap:Adoptieadviezen

Ten aanzien van de adoptie van STIX 1.2.1 en TAXII 1.1.1 worden de volgende adviezen gegeven: # Het Forum Standaardisatie roept het NCSC op om samen met betrokkenen een leidraad op te stellen, al dan niet als onderdeel van een bestaand kennisproduct, ten behoeve van het eenduidig gebruik van de standaarden. De toepassing van STIX en TAXII zal veel effectiever zijn als ook op het vlak van semantiek standaardisatie plaatsvindt. De leidraad moet dit borgen. Onderdeel van de leidraad dient ook te zijn dat bij het gebruik van STIX en TAXII de toepassing van CybOx wordt geadviseerd. # Het Forum Standaardisatie adviseert het NCSC om mede in de context van het Nationaal Detectie Netwerk (een samenwerking van onder andere het NCSC voor het beter en sneller waarnemen van digitale gevaren en risico's) kennisbijeenkomsten te organiseren voor het verspreiden van kennis over en ervaring met het gebruik van STIX en TAXII. # Het Forum Standaardisatie roept betrokkenen bij SOC’s (security operations centres) en CERT’s (computer emergency response teams) binnen de overheid en publieke sector op om kennis op te doen over de meerwaarde en toepassing van de uitwisseling van gestructureerde dreigingsinformatie met STIX en TAXII. # Het Forum Standaardisatie roept overheden die STIX en TAXII toepassen op om informatie over de meerwaarde van het gebruik voor hen en best practices te delen. # Het Forum Standaardisatie roept VNG op om in de GGI (gemeentelijke gemeenschappelijke infrastructuur) STIX en TAXII toe te passen in het SOC (security operations center).  +

Ten aanzien van de adoptie van STIX 1.2.1 en TAXII 1.1.1 worden de volgende adviezen gegeven: # Het Forum Standaardisatie roept het NCSC op om samen met betrokkenen een leidraad op te stellen, al dan niet als onderdeel van een bestaand kennisproduct, ten behoeve van het eenduidig gebruik van de standaarden. De toepassing van STIX en TAXII zal veel effectiever zijn als ook op het vlak van semantiek standaardisatie plaatsvindt. De leidraad moet dit borgen. Onderdeel van de leidraad dient ook te zijn dat bij het gebruik van STIX en TAXII de toepassing van CybOx wordt geadviseerd. # Het Forum Standaardisatie adviseert het NCSC om mede in de context van het Nationaal Detectie Netwerk (een samenwerking van onder andere het NCSC voor het beter en sneller waarnemen van digitale gevaren en risico's) kennisbijeenkomsten te organiseren voor het verspreiden van kennis over en ervaring met het gebruik van STIX en TAXII. # Het Forum Standaardisatie roept betrokkenen bij SOC’s (security operations centres) en CERT’s (computer emergency response teams) binnen de overheid en publieke sector op om kennis op te doen over de meerwaarde en toepassing van de uitwisseling van gestructureerde dreigingsinformatie met STIX en TAXII. # Het Forum Standaardisatie roept overheden die STIX en TAXII toepassen op om informatie over de meerwaarde van het gebruik voor hen en best practices te delen. # Het Forum Standaardisatie roept VNG op om in de GGI (gemeentelijke gemeenschappelijke infrastructuur) STIX en TAXII toe te passen in het SOC (security operations center).  +

Aan Forum Standaardisatie:<br /> Behoud de oudere versie TLS 1.2 eveneens op de lijst onder de voorwaarde dat deze door het NCSC niet als onveilig worden aangemerkt. Aan overheidsorganisaties:<br /> Controleer regelmatig met behulp van beschikbare validatie-tools, zoals Internet.nl, of TLS 1.3 en TLS 1.2 worden toegepast en controleer ook de veilige configuratie daarvan aan de hand van de geactualiseerde TLS-richtlijnen van NCSC. Dat geldt voor alle overheden, maar met name voor organisaties die gemeenschappelijke voorzieningen leveren zoals SSC-ICT, DPC/AZ, DICTU, ICTU en Logius.  Aan NCSC: * Actualiseer de richtlijnen voor veilige TLS-configuratie en neem daar ook TLS 1.3 in op. * Fungeer als vraagbaak op het gebied van toepassing van TLS voor de primaire doelgroep, de rijksoverheid en de vitale sectoren. Voor de secundaire doelgroep kan de vraagbaakfunctie worden vormgegeven via de schakelorganisaties van NCSC (zoals VNG/IBD). * Informeer het Forum Standaardisatie en andere overheden wanneer de veiligheidsstatus TLS wijzigt. Aan Logius/PKIoverheid:  * Breng de geactualiseerde NCSC-richtlijn actief onder de aandacht bij de uitgifte van certificaten aan de gebruikers van PKIoverheid.  Aan Platform Internetstandaarden: * Ondersteun ook TLS 1.3 in de testen van Internet.nl.  +

Aan Forum Standaardisatie:<br /> Behoud de oudere versie TLS 1.2 eveneens op de lijst onder de voorwaarde dat deze door het NCSC niet als onveilig worden aangemerkt. Aan overheidsorganisaties:<br /> Controleer regelmatig met behulp van beschikbare validatie-tools, zoals Internet.nl, of TLS 1.3 en TLS 1.2 worden toegepast en controleer ook de veilige configuratie daarvan aan de hand van de geactualiseerde TLS-richtlijnen van NCSC. Dat geldt voor alle overheden, maar met name voor organisaties die gemeenschappelijke voorzieningen leveren zoals SSC-ICT, DPC/AZ, DICTU, ICTU en Logius.  Aan NCSC: * Actualiseer de richtlijnen voor veilige TLS-configuratie en neem daar ook TLS 1.3 in op. * Fungeer als vraagbaak op het gebied van toepassing van TLS voor de primaire doelgroep, de rijksoverheid en de vitale sectoren. Voor de secundaire doelgroep kan de vraagbaakfunctie worden vormgegeven via de schakelorganisaties van NCSC (zoals VNG/IBD). * Informeer het Forum Standaardisatie en andere overheden wanneer de veiligheidsstatus TLS wijzigt. Aan Logius/PKIoverheid:  * Breng de geactualiseerde NCSC-richtlijn actief onder de aandacht bij de uitgifte van certificaten aan de gebruikers van PKIoverheid.  Aan Platform Internetstandaarden: * Ondersteun ook TLS 1.3 in de testen van Internet.nl.  +

In de [https://www.forumstandaardisatie.nl/sites/default/files/FS/2020/1007/FS-20201007.3-Oplegnotitie-Lijsten-Open-Standaarden.pdf vergadering] van''' 7 oktober 2020 besloot het Forum Standaardisatie om de bouwstandaarden te evalueren in het kader van regulier onderhoud op de ‘Pas toe of leg uit’-lijst. In 2021 is dit [https://www.forumstandaardisatie.nl/vergaderingen/2021/fs-20210929-4a-evaluatie-bouwstandaarden onderzoek] afgerond. '''Het onderzoek richtte zich met name op de huidige relevantie van de standaard, het functioneel toepassingsgebied, het gebruik, belang, beheer en de stand van zaken rond de adoptie van de standaard.  '''Hieronder de conclusies, en adoptie adviezen voor VISI. ''' 1. Geef BIM Loket aan dat opname van VISI op de ‘Pas toe of leg uit’-lijst alleen behouden blijft als uiterlijk 3 jaar na dit advies, dus op '''1 september 2024''', het aantal softwareleveranciers dat VISI gecertificeerd is (volledig VISI of VISI-light) en VISI verifieerbaar en actief ondersteunen, is verbeterd, en dat de toegankelijkheid tot de standaard is verbeterd door: * verbetering van de documentatie, * invoering meerdere certificeringsniveaus, waaronder een VISI-light-certificering, * en andere door BIM Loket nader te bepalen maatregelen, waaronder bijvoorbeeld een vastgestelde API voor berichtuitwisseling conform vaste berichtdefinities. 2. Vraag BIM Loket om halfjaarlijks aan het Bureau Forum Standaardisatie over voorgaande te rapporteren, en treed met Bureau Forum Standaardisatie in overleg hierover. 3. Mochten de bovengenoemde data niet worden gehaald, start dan de procedure tot verwijdering van VISI van de lijst open standaarden van het Forum Standaardisatie. Deze procedure bestaat uit de volgens fases: intake en gesprek met BIM Loket, consultatie bij experts, advies aan het Bureau Forum Standaardisatie en eventuele verwijdering van de Lijst Open Standaarden van het Forum Standaardisatie. Hierbij wordt door Bureau Forum Standaardisatie uiteraard redelijkheid en billijkheid betracht. 4. Ken '''niet''' het predicaat ‘uitstekend beheer’ toe aan het BIM Loket, vanwege de tekortkoming op beheer. Start de procedure voor de toekenning van het predicaat ‘uitstekend beheer’ nadat de zaken onder punt 1 zijn afgehandeld. Het hele onderzoek is terug te lezen in het [[/www.forumstandaardisatie.nl/vergaderingen/2021/fs-20210929-4a-evaluatie-bouwstandaarden|evaluatierapport van de bouwstandaarden]]. De hieronder huidige adviezen blijft van kracht: * Brancheondernemingen en -vertegenwoordigers worden opgeroepen om het gebruik van VISI in de burger en utiliteitsbouw (B&U)-sector een impuls te geven door VISI meer te promoten in deze sector. Bijvoorbeeld door het inzichtelijk maken van de status van adoptie van VISI.  * CROW wordt opgeroepen om het VISI-netwerk te mobiliseren om de toegevoegde waarde van VISI te benadrukken, VISI aan te bevelen en het gebruik van de standaard te stimuleren.  * Het Forum Standaardisatie wordt opgeroepen om met name bij gemeenten en provincies het gebruik van VISI (en bouwstandaarden) onder de aandacht te brengen via de leden van het Forum.  * CROW en Bouw Informatie Raad (BIR) worden aanbevolen om de voortgang van de inzet van de adoptie-instrumenten en de mate van adoptie inzichtelijk te maken.     

In de [https://www.forumstandaardisatie.nl/sites/default/files/FS/2020/1007/FS-20201007.3-Oplegnotitie-Lijsten-Open-Standaarden.pdf vergadering] van''' 7 oktober 2020 besloot het Forum Standaardisatie om de bouwstandaarden te evalueren in het kader van regulier onderhoud op de ‘Pas toe of leg uit’-lijst. In 2021 is dit [https://www.forumstandaardisatie.nl/vergaderingen/2021/fs-20210929-4a-evaluatie-bouwstandaarden onderzoek] afgerond. '''Het onderzoek richtte zich met name op de huidige relevantie van de standaard, het functioneel toepassingsgebied, het gebruik, belang, beheer en de stand van zaken rond de adoptie van de standaard.  '''Hieronder de conclusies, en adoptie adviezen voor VISI. ''' 1. Geef BIM Loket aan dat opname van VISI op de ‘Pas toe of leg uit’-lijst alleen behouden blijft als uiterlijk 3 jaar na dit advies, dus op '''1 september 2024''', het aantal softwareleveranciers dat VISI gecertificeerd is (volledig VISI of VISI-light) en VISI verifieerbaar en actief ondersteunen, is verbeterd, en dat de toegankelijkheid tot de standaard is verbeterd door: * verbetering van de documentatie, * invoering meerdere certificeringsniveaus, waaronder een VISI-light-certificering, * en andere door BIM Loket nader te bepalen maatregelen, waaronder bijvoorbeeld een vastgestelde API voor berichtuitwisseling conform vaste berichtdefinities. 2. Vraag BIM Loket om halfjaarlijks aan het Bureau Forum Standaardisatie over voorgaande te rapporteren, en treed met Bureau Forum Standaardisatie in overleg hierover. 3. Mochten de bovengenoemde data niet worden gehaald, start dan de procedure tot verwijdering van VISI van de lijst open standaarden van het Forum Standaardisatie. Deze procedure bestaat uit de volgens fases: intake en gesprek met BIM Loket, consultatie bij experts, advies aan het Bureau Forum Standaardisatie en eventuele verwijdering van de Lijst Open Standaarden van het Forum Standaardisatie. Hierbij wordt door Bureau Forum Standaardisatie uiteraard redelijkheid en billijkheid betracht. 4. Ken '''niet''' het predicaat ‘uitstekend beheer’ toe aan het BIM Loket, vanwege de tekortkoming op beheer. Start de procedure voor de toekenning van het predicaat ‘uitstekend beheer’ nadat de zaken onder punt 1 zijn afgehandeld. Het hele onderzoek is terug te lezen in het [[/www.forumstandaardisatie.nl/vergaderingen/2021/fs-20210929-4a-evaluatie-bouwstandaarden|evaluatierapport van de bouwstandaarden]]. De hieronder huidige adviezen blijft van kracht: * Brancheondernemingen en -vertegenwoordigers worden opgeroepen om het gebruik van VISI in de burger en utiliteitsbouw (B&U)-sector een impuls te geven door VISI meer te promoten in deze sector. Bijvoorbeeld door het inzichtelijk maken van de status van adoptie van VISI.  * CROW wordt opgeroepen om het VISI-netwerk te mobiliseren om de toegevoegde waarde van VISI te benadrukken, VISI aan te bevelen en het gebruik van de standaard te stimuleren.  * Het Forum Standaardisatie wordt opgeroepen om met name bij gemeenten en provincies het gebruik van VISI (en bouwstandaarden) onder de aandacht te brengen via de leden van het Forum.  * CROW en Bouw Informatie Raad (BIR) worden aanbevolen om de voortgang van de inzet van de adoptie-instrumenten en de mate van adoptie inzichtelijk te maken.     

Ten aanzien van de adoptie van de standaard worden de volgende oproepen gedaan: # De beheerders van de sectorale baselines informatiebeveiliging (zoals de BIR, BIG, IBI en BIWA) en de daarbij behorende handreikingen, te laten overwegen WPA2-Enterprise als te nemen maatregel op te nemen. # Gebruikers (en met name de organisaties die Rijk2Air, Govroam en Eduroam beheren) op te roepen om best practices op te stellen met betrekking tot de installatie en configuratie bij gebruikmaking van WPA2-Enterprise. # Via bestaande monitoringinstrumenten in kaart te brengen wat de concrete stand van adoptie is en de adoptiegraad in de tijd te volgen. Dit kan bijvoorbeeld via de Monitor open standaarden van het Forum Standaardisatie en monitoring vanuit centrale overheid en koepels van decentrale overheden zoals VNG. # Gebruikers (en met name de organisaties die Rijk2Air, Govroam en eduroam beheren) op te roepen IEEE aan te moedigen om de standaard permanent royalty-free beschikbaar te stellen.  +

Ten aanzien van de adoptie van de standaard worden de volgende oproepen gedaan: # De beheerders van de sectorale baselines informatiebeveiliging (zoals de BIR, BIG, IBI en BIWA) en de daarbij behorende handreikingen, te laten overwegen WPA2-Enterprise als te nemen maatregel op te nemen. # Gebruikers (en met name de organisaties die Rijk2Air, Govroam en Eduroam beheren) op te roepen om best practices op te stellen met betrekking tot de installatie en configuratie bij gebruikmaking van WPA2-Enterprise. # Via bestaande monitoringinstrumenten in kaart te brengen wat de concrete stand van adoptie is en de adoptiegraad in de tijd te volgen. Dit kan bijvoorbeeld via de Monitor open standaarden van het Forum Standaardisatie en monitoring vanuit centrale overheid en koepels van decentrale overheden zoals VNG. # Gebruikers (en met name de organisaties die Rijk2Air, Govroam en eduroam beheren) op te roepen IEEE aan te moedigen om de standaard permanent royalty-free beschikbaar te stellen.  +

De 'pas-toe-of-leg-uit' verplichting voor Webrichtlijnen geldt voor web gebaseerde diensten die een overheidsorganisatie aanbiedt aan burgers, bedrijven en andere overheden. De 'pas-toe-of-leg-uit' verplichting geldt niet voor intranetten en websites die alleen binnen een overheidsorganisatie worden gebruikt. Toegankelijkheid van intranetten is daarom niet onbelangrijk. Door interne websites niet universeel toegankelijk te maken kan een organisatie bepaalde (groepen) werknemers uitsluiten. Ook kan het moeilijker worden voor gebruikers om informatie te vinden en hergebruiken. Het is daarom zeer aan te bevelen om ook voor intranetten, interne websites en web applicaties de Webrichtlijnen toe te passen.  +

De 'pas-toe-of-leg-uit' verplichting voor Webrichtlijnen geldt voor web gebaseerde diensten die een overheidsorganisatie aanbiedt aan burgers, bedrijven en andere overheden. De 'pas-toe-of-leg-uit' verplichting geldt niet voor intranetten en websites die alleen binnen een overheidsorganisatie worden gebruikt. Toegankelijkheid van intranetten is daarom niet onbelangrijk. Door interne websites niet universeel toegankelijk te maken kan een organisatie bepaalde (groepen) werknemers uitsluiten. Ook kan het moeilijker worden voor gebruikers om informatie te vinden en hergebruiken. Het is daarom zeer aan te bevelen om ook voor intranetten, interne websites en web applicaties de Webrichtlijnen toe te passen.  +

De 'pas-toe-of-leg-uit' verplichting voor Webrichtlijnen geldt voor web gebaseerde diensten die een overheidsorganisatie aanbiedt aan burgers, bedrijven en andere overheden. De 'pas-toe-of-leg-uit' verplichting geldt niet voor intranetten en websites die alleen binnen een overheidsorganisatie worden gebruikt. Toegankelijkheid van intranetten is daarom niet onbelangrijk. Door interne websites niet universeel toegankelijk te maken kan een organisatie bepaalde (groepen) werknemers uitsluiten. Ook kan het moeilijker worden voor gebruikers om informatie te vinden en hergebruiken. Het is daarom zeer aan te bevelen om ook voor intranetten, interne websites en web applicaties de Webrichtlijnen toe te passen.  +

Het Forum Standaardisatie geeft de volgende adviezen bij plaatsing van security.txt op de ‘pas toe of leg uit’-lijst: # aan de koepel- en netwerkorganisaties binnen de overheid, zoals CIO-Rijk, het Centrum Informatiebeveiliging en Privacybescherming (CIP), het Interprovinciaal Overleg (IPO), de Unie van Waterschappen (UvW) en Vereniging van Nederlandse Gemeenten (VNG), om binnen een jaar een campagne te starten naar de leden en de leveranciers om security.txt te implementeren, en om de leden ondersteuning te bieden bij de implementatie. # aan Rijksoverheidorganisaties om voortaan op hun domeinnamen te verwijzen naar de centrale security.txt die door NCSC wordt beheerd indien zij gebruik (willen) maken van het centrale CVD-beleid van de Rijksoverheid. NCSC heeft een [https://www.ncsc.nl/documenten/publicaties/2023/maart/2/handreiking-security.txt Handreiking security.txt] met uitleg gepubliceerd. # aan Shared Service Organizations (SSO) van de Rijksoverheid (zoals DPC, SSC-ICT, en DICTU) om te zorgen dat de domeinnamen die zij beheren, verwijzen naar de centrale door NCSC beheerde security.txt. # aan NCSC en DTC (indieners van de standaard) om security.txt voor langere termijn te promoten en ondersteuning te bieden aan overheidsorganisaties. Een van de middelen is het publiceren van een factsheet over inhoudelijke implementatie security.txt voor (semi) overheidsorganisaties, met daarin opgenomen een nadere uitwerking van de volgende adviezen: ## richt een [https://www.ncsc.nl/onderwerpen/cvd-beleid/cvd-beleid-opstellen CVD-beleid] in (conform BIO overheidsmaatregel 16.1.3.1). ## host op een goed beheerde plek een centrale security.txt en laat individuele applicaties en sites van de organisatie middels HTTP(S) redirect (expliciet toegestaan in de standaard) doorverwijzen. ## bij een gefaseerde implementatie is het inrichten van een security.txt op hoofddomeinen de eerste prioriteit. ## security.txt kan niet worden gebruikt om eenzijdig voorwaarden op te leggen aan de melder van een kwetsbaarheid. ## naast het up-to-date houden van security.txt (in het bijzonder de contactgegevens), dienen ook de contactgegevens in WHOIS, DNS (SOA) en andere plekken up-to-date gehouden te houden worden. ## hoe aan te sluiten bij bestaande standaard tooling (zodat geautomatiseerde melders geen nieuwe standaarden hoeven te implementeren), wanneer voor het melden van een kwetsbaarheid in plaats van een e-mailadres wordt verwezen naar een webformulier of API # aan NCSC en Logius om security.txt op te nemen in respectievelijk de eerstvolgende versie van de 'ICT-beveiligingsrichtlijnen voor webapplicaties' en eerstvolgende versie van het ‘DigiD Normenkader’. # aan Forum Standaardisatie om voortaan het gebruik van security.txt op domeinnamen van de overheid structureel te meten en daarover te rapporteren, in de marge van de metingen Informatieveiligheidstandaarden. De tool Internet.nl bevat de mogelijkheid voor meting van security.txt.  

Het Forum Standaardisatie geeft de volgende adviezen bij plaatsing van security.txt op de ‘pas toe of leg uit’-lijst: # aan de koepel- en netwerkorganisaties binnen de overheid, zoals CIO-Rijk, het Centrum Informatiebeveiliging en Privacybescherming (CIP), het Interprovinciaal Overleg (IPO), de Unie van Waterschappen (UvW) en Vereniging van Nederlandse Gemeenten (VNG), om binnen een jaar een campagne te starten naar de leden en de leveranciers om security.txt te implementeren, en om de leden ondersteuning te bieden bij de implementatie. # aan Rijksoverheidorganisaties om voortaan op hun domeinnamen te verwijzen naar de centrale security.txt die door NCSC wordt beheerd indien zij gebruik (willen) maken van het centrale CVD-beleid van de Rijksoverheid. NCSC heeft een [https://www.ncsc.nl/documenten/publicaties/2023/maart/2/handreiking-security.txt Handreiking security.txt] met uitleg gepubliceerd. # aan Shared Service Organizations (SSO) van de Rijksoverheid (zoals DPC, SSC-ICT, en DICTU) om te zorgen dat de domeinnamen die zij beheren, verwijzen naar de centrale door NCSC beheerde security.txt. # aan NCSC en DTC (indieners van de standaard) om security.txt voor langere termijn te promoten en ondersteuning te bieden aan overheidsorganisaties. Een van de middelen is het publiceren van een factsheet over inhoudelijke implementatie security.txt voor (semi) overheidsorganisaties, met daarin opgenomen een nadere uitwerking van de volgende adviezen: ## richt een [https://www.ncsc.nl/onderwerpen/cvd-beleid/cvd-beleid-opstellen CVD-beleid] in (conform BIO overheidsmaatregel 16.1.3.1). ## host op een goed beheerde plek een centrale security.txt en laat individuele applicaties en sites van de organisatie middels HTTP(S) redirect (expliciet toegestaan in de standaard) doorverwijzen. ## bij een gefaseerde implementatie is het inrichten van een security.txt op hoofddomeinen de eerste prioriteit. ## security.txt kan niet worden gebruikt om eenzijdig voorwaarden op te leggen aan de melder van een kwetsbaarheid. ## naast het up-to-date houden van security.txt (in het bijzonder de contactgegevens), dienen ook de contactgegevens in WHOIS, DNS (SOA) en andere plekken up-to-date gehouden te houden worden. ## hoe aan te sluiten bij bestaande standaard tooling (zodat geautomatiseerde melders geen nieuwe standaarden hoeven te implementeren), wanneer voor het melden van een kwetsbaarheid in plaats van een e-mailadres wordt verwezen naar een webformulier of API # aan NCSC en Logius om security.txt op te nemen in respectievelijk de eerstvolgende versie van de 'ICT-beveiligingsrichtlijnen voor webapplicaties' en eerstvolgende versie van het ‘DigiD Normenkader’. # aan Forum Standaardisatie om voortaan het gebruik van security.txt op domeinnamen van de overheid structureel te meten en daarover te rapporteren, in de marge van de metingen Informatieveiligheidstandaarden. De tool Internet.nl bevat de mogelijkheid voor meting van security.txt.