Werkgroep NORA AP juni 2021

Nieuws & Agenda

Contact

nora@ictu.nl

Status

Bijeenkomst van Werkgroep NORA Architectuur Principes op maandag 21 juni 2021.
Doel: Uitwerken van Kernwaarden van Dienstverlening naar Doelen en NORA Architectuurprincipes
Doelgroep: leden Werkgroep .

Verslag. Stukken voor deze vergadering waren werkversies, die indien gewenst opvraagbaar zijn bij NORA Beheer.

Aanwezigen

Laurens Groenewegen, Marco Deterink, Steven Ham, Ralph Barten, Robert van Wessel, Athena Wijsman.

Actiepunten en deadlines

• Ralph Barten deelt de lijst met kwaliteitseisen volgens Quint/Extended ISO 9126-model.
• Langs de Quint lijst lopen en bepalen welke van de kwaliteitseisen opgenomen kunnen worden bij de implicaties per architecuurlaag.
• Robert zal IB-model en documentatie toesturen die bruikbaar zijn voor de beschrijving van de informatiebeveiliging principes.
• Athena en Robert zullen groepjes maken om de overige AP’s te verdelen
• Robert zal bij Eric nagaan hoe het zit met een redactieslag voor het openbare review pdf-document.

Dinsdag 14 September 2021 Gebruikersraad: Excel sheet volledig af met aanduiding vervallen, samengevoegde en nieuwe APs

• Benaming
• Stelling
• Rationale
• Bijbehorende doelen
• Implicaties per architectuurlaag
• AP-samenvoeging + impact

Openbare Review

Belangrijke vragen:

• Wie kan reageren?
• Wat is de review doorlooptijd?
• 6 tot 8 weken
• Vormgeving van Openbare Review?
• In boekvorm/PDF stijl
• ICTU/NORA Beheerteam inschakelen
• Wellicht commerciële partijen voor o.a. redactieslag

Activiteiten laatste plenair overleg vóór de zomervakantie

Het laatste overleg zal op 12 juli 2021 plaatsvinden. Van alle AP’s moet worden gekeken naar de rationale naar de 5 lagen voor de AP’s

Wat laten zien aan Gebruikersraad op 14 september?

• Wel: Kernwaarden en Doelen met beschrijvingen
• Wel: AP’s met stelling, rationale en implicaties
• Niet: voorbeelden/instructies/voorschriften

Actiepunten:

• Athena en Robert zullen groepjes maken om de overige AP’s te verdelen
• Robert zal bij Eric nagaan hoe het zit met een redactieslag voor het openbare review pdf-document.

Resultaten review AP’s bespreking

Ralph Barten & Robert van Wessel

• AP45 Houd het simpel
• AP54 Simplicity
• AP48 Wees Lean

Wijzigingen:

• AP48 en AP54 zijn opgenomen binnen AP45 Houd het simpel.
• “Classificeer data objecten conform de BIO BNN” past bij AP17
• “Pas ZTA toe” past bij AP implicatie informatielaag

Marco Deterink & Peter Visser

AP46 Toegankelijk

Titel wijziging: Maak informatie duurzaam toegankelijk

AP47 Schaalbaar

Titel wijziging: Maak voorzieningen schaalbaar Implicatie wijzigingen

• Wetgever in samenwerking met uitvoering rekening houden met het schaalbaar ontwerpen van overheidsdiensten
• Organisatorisch: Schaalbaarheid moet worden gerealiseerd samen met ketenpartners.
• Informatie: Informatiemodellen worden zodanig ontworpen worden dat ze uit te breiden zijn.

AP58 Overheidsgegevens zijn beschikbaar als open data

Titelwijziging: Open data wordt gedeeld Stellingswijziging: Interne classificatie opgenomen binnen stelling Implicatie wijzigingen:

• Organisatie: De data-eigenaar is vastgesteld. Specifiek aandacht voor onthullingsrisico’s.
• Informatie: Doel en grondslag van verwerking kennen...
• Verstrekking van data aan afnemers alleen… (zie AP-herziening Excel)

AP59 Benut data optimaal

Titelwijziging: Haal maximale waarde uit data

Ralph Barten & Laurens Groenewegen

• AP50 Risico georiënteerd
• AP51 Neem security en privacy mee vanaf het ontwerp
• AP52 Defense in depth
• AP55 Enforced policy
• AP56 Design for malice

Nog niet diep ingegaan op de AP-teksten zelf. Eerst het domein daaromheen verkennen en kijken hoe het eruit moet komen te zien. Een paar werkwijzen zijn gehanteerd en geconcludeerd bepaalde algemene termen niet als principe te formuleren, maar tot Doel te verheffen.

Voor beveiliging nieuwe principes hanteren, vanuit de SVB vanuit de OESA.

Controls uit frameworks

Allerlei controls uit verschillende frameworks zullen niet tot NORA Principes worden verheven. Dit betekent dat er niet selectief een paar wel en een paar niet worden verheven. Als oplossing kan bijvoorbeeld, waar van toepassing, in implicaties naar de verschillende normen uit de BIO worden verwezen.

Toekomst Thema Informatiebeveiligingsvoorstel

NORA Thema ‘Informatiebeveiliging’ bevat veel informatie, waaronder ook uitgewerkte Bouwblokken en Patronen. Echter zijn de beveiliging principes voor het laatst bekeken tijdens de 2017 wijzigingsslag. Veel teksten zijn voor het laatst in 2014 zijn bijgewerkt. Sommige Patronen zijn direct gekoppeld aan een AP, bij sommigen worden AP’s kort benoemd en bij de anderen helemaal niet.

Voorstel: In de toekomst, na het afronden van de AP-slag, kan worden voorgesteld aan de Gebruikersraad een nieuwe werkgroep naar het Thema Informatiebeveiliging te laten kijken.

“By design” losweken van modewoord

In tijde dat de AVG kwam is privacy mee opgekomen. Dit maakte ‘privacy by design’, maar door de tijd heen is het ondenkbaar dat systemen worden gemaakt zonder privacy daarin mee te nemen. Bepaalde ‘by design’ dingen worden nu achterhaald, omdat het simpelweg ondenkbaar is. Daarom is van belang te kijken naar wat écht onafscheidelijk is voor de AP’s en Doelen die worden beschreven. Deze beschrijvingen moeten zodanig worden gemaakt dat de rest van de ‘by designs’ in feite al bijna gegeven is.

Voorstel: “By design” – principes concreter maken en losweken van het modewoord. In de rationale van de principes wel worden beschrijven wat bijvoorbeeld de nadelen zijn van Bolt-on security of privacy achteraf proberen te implementeren.

BIV

Kijkende naar het Informatiebeveiligingsveld zijn BIV-doelen waarlangs je je risicoclassificatie doet als organisatie. AP50 Risico georiënteerd, een van de nieuwe principes, stelt: maak risico’s inzichtelijk en weeg passende beheersmaatregelen af. Dat is een richtinggevende uitspraak die uitlegt hoe je dat dan doet. En dit doe je dan ten behoeve van de BIV Doelen.

Voorstel: Beschikbaarheid, Vertrouwelijkheid, Integriteit worden niet meer als AP’s gezien, maar als Doelen.

Vervolgvragen hierop:

• Worden Beschikbaarheid, Vertrouwelijkheid, Integriteit als losstaande doelen geformuleerd onder kernwaarde veilig, waarbij Vertrouwelijkheid bij kernwaarde Vertrouwelijk zit?
• Worden Beschikbaarheid, Vertrouwelijkheid, Integriteit gebundeld onder één doel Informatiebeveiliging en een belangrijke plek in de toelichting geven?
• Worden ook ‘assurance’ en ‘accountability’, vanuit de COBIT-bron, als Doel benoemen? Waarbij ‘accountability’ past onder Doel ‘Verantwoord’ bij Kernwaarde Vertrouwen en voor ‘assurance’ een nieuw doel geformuleerd zal moeten worden, wellicht ‘Waarborging’?

To Do

De AP’s die zijn voorgesteld en eerder zijn samengebracht als een compleet geheel onder de BIV te formuleren.

Robert van Wessel & Athena Wijsman

AP53 Usability and manageability

Discussie punt

“Gebruikersvriendelijkheid” is geen principe, maar een Doel. Een aantal bestaande NORA Doelen, zoals Doelen Begrijpelijk, Passend en Overzichtelijk vallen onder het “hoofddoel Gebruikersvriendelijkheid”. En ontwerpprincipes die we hanteren die dragen af en toe bij aan dat doel.

Is dat voldoende, of zijn er meer principes nodig die explicietere keuzes beschrijven die leiden tot meer gebruikersvriendelijkheid of expliciete principes die meer leiden tot onderhoud baarheid?

Samengevatte keuzes en veranderingen

• Gebruikersvriendelijkheid wordt onderbracht bij AP’s die te maken hebben met de Doelen Begrijpelijk, Passend en Overzichtelijk.
• Voor onderhoudbaar-/beheersbaarheid wordt verwezen naar AP02 en AP29
• Hierbij de ISO benoemen binnen de implicaties op de applicatie laag, aangevuld met het Quint lijstje van Ralph.

To do

Langs de Quint lijst lopen en uitkiezen welke van de kwaliteitseisen worden opgenomen binnen de implicatie.