PETRA online

OW-compliance-standaarden

Terug naar inhoudsopgave thema

Terug naar Omgevingswet compliance

Compliance standaarden

De onderstaande standaarden zijn van toepassing voor duurzaam toegankelijk en beveiliging & privacy.

Standaarden m.b.t. duurzaam toegankelijk

Hieronder volgt een overzicht van de standaarden die nodig zijn voor de duurzaam toegankelijke inrichting van de informatievoorziening:

  • DUTO – Normenkader Duurzaam Toegankelijke Overheidsinformatie: de DUTO-eisen zijn een programma van eisen voor duurzame toegankelijkheid van de informatie in de informatiesystemen van overheidsorganisaties;
  • Toepassingsprofiel Metagegevens voor Duurzaam Toegankelijke Overheidsinformatie (MDTO) / Toepassingsprofiel Metadatering Lagere Overheden (TMLO): deze standaard is nodig voor het metadateren van informatie-objecten (waaronder documenten) van de overheid;
  • Nederlands metadata profiel op ISO 19115 voor geodatasets: deze standaard is nodig voor het metadateren van geografische datasets;
  • Nederlands metadata profiel op ISO 19119 voor geodataservices: deze standaard is nodig voor het metadateren van geografische webservices;
  • OWMS Overheid.nl Web Metadata Standaard – standaard voor metadata op het Internet: deze standaard is nodig voor het metadateren van webcontent van de overheid op het Internet;
  • NEN-ISO 23081 – standaard voor Metadata van archiefbescheiden: deze standaard is nodig voor het metadateren van archiefbescheiden in een e-depot of archiefbewaarplaats;
    • NEN-ISO 23081-1 - Informatie en documentatie - Processen voor informatie- en archiefbeheer - Metagegevens voor archiefbescheiden - Deel 1: Principes
    • NEN-ISO 23081-2 - Informatie en documentatie - Beheren van metagegevens voor archiefbescheiden - Deel 2: Conceptuele en implementatieaspecten
  • Richtlijn Metagegevens Overheidsinformatie: dit is een richtlijn voor het metadateren van overheidsinformatie;
  • NEN 2082 – eisen voor functionaliteit van informatie- en archiefmanagement in programmatuur: deze norm geldt als de minimale verzameling die van toepassing is op elk systeem dat archiefstukken beheert. De norm betreft m.n. opslag, mutatie, ontsluiting en archivering van gegevens. De verzameling eisen is dus niet uitsluitend gericht op records managementapplicaties, maar betreft ook eisen voor records managementfunctionaliteit in bedrijfsapplicaties en kantoorautomatisering;
  • NEN-ISO 15489-1 ‘Informatie en documentatie – Informatie- en archiefmanagement – Deel 1: Concepten en uitgangspunten’ : benoemt de kernconcepten en -uitgangspunten voor het aanmaken, opnemen en beheren van archiefstukken. De norm beschrijft alles wat gedaan moet worden voor een adequaat ingerichte informatiehuishouding die de uitvoering van de taken en processen van de organisatie ondersteunt: beleid, verantwoordelijkheden, belangen, implementatie, beheerprocessen, kwaliteitsbewaking, auditing en opleiding;
  • NPR-ISO/TR 15489-2 - Informatie en documentatie - Archiefbeheer - Deel 2: Richtlijnen
  • NEN-ISO 16175:2011 – Principes en functionele eisen voor archiefbescheiden in een elektronische kantooromgeving: deze norm biedt principes en functionele eisen voor software om digitale informatie te creëren en te beheren in kantooromgevingen die internationaal zijn afgesproken in de International Council on Archives (ICA):
    • NEN-ISO 16175-1 'Informatie en documentatie - Principes en functionele eisen voor archiefbescheiden in een elektronische kantooromgeving - Deel 1: Overzicht en de verklaring inzake basisbeginselen: geeft een overzicht en beschrijft de principes voor het beheer van records in een digitale omgeving;
    • NEN-ISO 16175-2 'Informatie en documentatie : Principes en functionele eisen voor archiefbescheiden in een elektronische kantooromgeving - deel 2: Richtlijnen en functionele eisen voor digitale informatie- en archiefmanagementsystemen': geeft de functionele eisen voor softwaresystemen voor records management;
    • NEN-ISO 16175-3 'Informatie en documentatie - Principes en functionele eisen for archiefbescheiden in een elektronische kantooromgeving - Deel 3: Richtlijnen en functionele eisen voor records in bedrijfssystemen': geeft de functionele eisen voor het informatiebeheer in bedrijfssystemen. De norm NEN-ISO 16175 is een uitbreiding op de norm NEN 2082.

Naast deze specifiek op informatiebeheer gerichte standaarden er nog vele andere, meer generieke, standaarden voor het bewaren en uitwisselen van overheidsinformatie. In gaat in deze context te ver om deze standaarden ook op te sommen.

Standaarden m.b.t. security en privacy

Hieronder volgt een overzicht van de standaarden die nodig zijn voor security en privacy.
Sommige principes uit de grondslagen laag worden hier herhaald. Dit is gedaan om te duiden dat een provincie hier een eigen verantwoordelijkheid in heeft. Bij zo’n standaard is dan ook vermeld dat de aanname is dat een provincie het gebruik van deze standaard zelf heeft toegepast of uitgelegd voordat de aansluiting op één van de ketens van het Digitaal Stelsel Omgevingswet plaatsvindt.

De beveiliging van een API voldoet aan de volgende open standaard:

  • standaard NL GOV Assurance profile for OAuth 2.0 voor het beveiligd autoriseren van toegang tot REST API’s.

Aanname is dat de provincie deze standaard zelf toepast of uitlegt.

De IT-infrastructuur waarvan de cloudapplicatie gebruik maakt dient te voldoen aan de volgende open standaarden:

  • DANE - SMTP Security via Opportunistic DNS-Based Authentication of Named Entities (DANE en STARTTLS combineren): DANE is een uitbreiding van DNSSEC en voorkomt dat een aanvaller zich kan uitgeven voor een legitieme e-mail server. Dit voorkomt dat het gebruik van TLS via STARTTLS ten onrechte niet zou worden ondersteund waardoor ten onrechte van een onbeveiligde verbinding gebruik zou worden gemaakt.
  • DKIM – DomainKeys Identified Mail Signatures: Het faciliteren van het vaststellen van organisatorische herkomst voor e-mail afkomstig van overheidsdomeinen, als deze over een onbeveiligde, publieke internetverbinding wordt verstuurd wanneer verdere authenticatie ontbreekt.
  • DMARC - Domain-based Message Authentication, Reporting, and Conformance: DMARC moet worden toegepast op alle overheidsdomeinnamen, ook op domeinen waarvan niet wordt gemaild, én op alle mailservers waarmee de overheid e-mail ontvangt.
  • DNSSEC – Domain Name System Security Extensions: Het registreren en in DNS publiceren van internet-domeinnamen (‘signing’). De registratieverplichting geldt enkel indien ‘signed domain names’ bij een registerhouder van een top-level domein (zoals SIDN voor .NL) geautomatiseerd aangevraagd kunnen worden; Het vertalen van domeinnamen naar internetadressen en vice versa (‘validation enabled resolving’). Validatie is niet verplicht voor systemen die niet direct aan het publieke internet gekoppeld zijn (bijvoorbeeld clients/werkplekken binnen een LAN en interne DNS-systemen).
  • HTTPS en HSTS - HyperText Transfer Protocol Secure (HTTPS) en HTTP Strict Transport Security (HSTS): HTTPS en HSTS moeten worden toegepast op de communicatie tussen clients (zoals webbrowsers) en servers voor alle websites en webservices.
  • IPv6 en IPv4: IPv6 en IPv4 moeten in combinatie (‘dual stack’) worden toegepast op communicatie tussen toepassingen in (een) netwerk(en).
  • RPKI - Resource Public Key Infrastructure: RPKI moet worden toegepast door netwerkaanbieders en houders van blokken IP-adressen bij het aanbieden van netwerkconnectiviteit, ter beveiliging van het BGP (Border Gateway Protocol). Dit geldt zowel voor het publiceren van ROA's (Route Origin Authorisations) als voor het valideren en het 'droppen' van invalide routes.
  • STARTTLS (DANE en STARTTLS combineren): STARTTLS is een methode om beveiligde gegevensuitwisseling via TLS toe te voegen aan een bestaand netwerkprotocol, met behoud van terugwaartse compatibiliteit.
  • STIX en TAXII - Structured Threat Information eXpression (STIX) en Trusted Automated eXchange of Indicator Information (TAXII): STIX 1.2.1 en TAXII 1.1.1 moeten worden toegepast op de gestructureerde uitwisseling van informatie over digitale dreigingen tegen informatiesystemen.
  • TLS - Transport Layer Security Protocol Version: Het met behulp van certificaten beveiligen van de verbinding (op de transportlaag) tussen client- en serversystemen of tussen serversystemen onderling, voor zover deze gerealiseerd wordt met internettechnologie.

Aanname is dat de provincie deze standaarden zelf toepast of uitlegt.

Overgenomen van "https://petra.wikixl.nl/index.php?title=OW-compliance-standaarden&oldid=13964"