etoegang Europese beleidsontwikkelingen Standaarden nieuw en in beheer Toepassing standaarden Nederlandse betrokkenheid Cybercrime

eToegang Europese beleidsontwikkelingen

Standaarden nieuw en in beheer

Toepassing standaarden

Nederlandse betrokkenheid

CSCG

Alle organisaties die DigiD gebruiken moeten voldoen aan een beveiligingsnorm. Via een ICTbeveiligingsassessment moeten zij dit vervolgens laten toetsen. Deze ‘Norm ICT-beveiligingsassessments DigiD’ is niet gebaseerd op een internationale, Europese of nationale norm, maar op door het NCSC (Nederlands CyberSecurity Center) ontwikkelde ‘ICTbeveiligingsrichtlijnen voor webapplicaties’.

Nederlandse belanghebbenden kunnen via NEN deelnemen in de CSCG. De normcommissie Informatiebeveiliging van NEN fungeert als klankbord voor het CSCG. NEN wordt in de CSCG vertegenwoordigd door Jan Rietveld van het bureau NEN, Beer Franken (AMC) en Johan Rambi (Alliander). In 2013 is actief bijgedragen aan de ontwikkeling van de White paper van CSCG door het bijwonen van vergaderingen en het leveren van commentaren.

Cybercrime De Europese Commissie heeft op 7 februari 2013 haar cybersecuritystrategie (JOIN (2013)1) gepubliceerd, vergezelt door een richtlijn (NIB-richtlijn COM(2013)48) om cybercrime tegen te gaan. De strategie is een samenraapsel van uitwisselingen van best practices, onderzoeken en voorlichting. De richtlijn laat vooral veel vragen open. De richtlijn bepaalt het volgende:

Eind 2011 hebben CEN, CENELEC en ETSI de Cybersecurity Coordination Group (CSCG) opgericht.

De CSCG wil het ontwikkelen van normen voor Cyber Security bij de drie Europese normalisatie-instituten coördineren. In april 2014 is het white paper verschenen waarin de volgenden negen  Lidstaten moeten een nationale aanbevelingen worden gedaan: autoriteit oprichten om cybercrime 1. Het maken van een raamwerk waaruit tegen te gaan, het Computer duidelijk wordt aan welke normen Emergency Respons Team (CERT) en er moet een nationale behoefte is. informatiebeveiligingstrategie worden 2. Vaststellen wat moet worden verstaan opgesteld en nationale onder Cyber Security. samenwerkplannen. 3. Het ontplooien van initiatieven om het  Er moet een nationale autoriteit vertrouwen van de EU-burger in de worden opgezet/aangewezen die moet digitale omgeving terug te winnen. zorgen voor informatie-uitwisseling 4. Het maken van een sterke en over cybersecurity zowel op nationaal als op Europees niveau. betrouwbare Europese Public Key  De lidstaten moeten Infrastructuur en van cryptografische risicomananagement regelen en technieken. informatie delen tussen de publieke en 5. Het maken van afspraken over een private sector. Bedrijven die werkzaam hoogwaardig label voor Cyber zijn op risicovolle gebieden moeten Security. maatregelen nemen om cybercrime 6. Het harmoniseren van de bestaande tegen te gaan. Europese eisen aan Cyber Security en De Commissie zal een ICT-systeem de evaluaties van Cyber Security. verzorgen waarop de informatie tussen de 7. Het opzetten van een samenwerking nationale autoriteiten gedeeld kan worden. op hoog niveau tussen de CSCG en De rest van de wetgeving is nog Europese onderzoeksinstituten. onduidelijk. De uitwerking van de wet is

NEN ontwikkelt in normcommissie ‘Distributed Application Platforms and Services’ (NC 381038) de Nederlandse praktijkrichtlijn (NPR) 5317 ‘Cloud computing. In deze NPR, die o.a.een normenwijzer is, worden risico’s en beheersmaatregelen geordend, en wordt voor het aspect toegangsbeveiliging voor clouddiensten op applicatie-niveau o.a.verwezen naar de ‘ICTbeveiligingrichtlijnen voor webapplicaties’. Van belang hier is NEN-ISO/IEC 27032:2012 en Information technology - Security techniques - Guidelines for cybersecurity. De normcommissie consolideert en normaliseert het werk van CSA, ENISA, ITU en NCSC

Er is ook contact gelegd met het NCSC maar dit heeft niet geleid tot uitbreiding van de Nederlandse participatie. ENISA participeert in de CSCG. Edgard de Lange van het ministerie van Economische Zaken is het Nederlandse lid in de Management Board en is de National Contact Officer van ENISA. Marijke Salters (BFS) heeft contact met Marnix Dekker van ENISA in het kader van cloud computing. NEN NC 381027 ‘Informatiebeveiliging’ volgt het werk van ISO/IEC/JTC 1/SC 27 actief. Er is een toenemende belangstelling onder de commissieleden om rechtstreeks deel te nemen aan het internationale werk van SC 27. De samenstelling van NEN NC 381027 is als volgt: 

Jurjen Bos (Equens)





Cybercrime namelijk verwezen naar een comité: het Network and Information Security Committee. Belangrijke vragen worden in dit comité geregeld en blijven momenteel dus nog open. De discussie in de Raad spitst zich toe op de vraag of er verplichte maatregelen, vrijwillige maatregelen of een combinatie van beiden genomen moet worden om aan de doelstellingen van de richtlijn tegemoet te komen. Nederland is voorstander van een gemengde aanpak. Nederland stelt dat voor een minimum beveiligingsniveau en eerlijk speelveld binnen de EU enkele verplichtingen noodzakelijk zijn: een goed functionerend CERT, een crisisplan en een coördinerende autoriteit. Nederland benadrukte echter ook te hechten aan sectorale bevoegdheden en dat zelfregulering en goede publiek-private samenwerking op EU-niveau mogelijk moeten zijn. Advies Europees Economisch en Sociaal Comité: het EESC dringt aan op veel explicietere omschrijvingen van de normen, vereisten en procedures waaraan lidstaten, overheden, marktdeelnemers en facilitatoren van essentiële internetdiensten zich moeten houden. Het Parlement heeft in een policybriefing de tekortkomingen en aanbevelingen gepubliceerd. Het EP vindt dat er teveel de nadruk wordt gelegd op hard beleid in plaats van de rol die de private sector kan

8. Het bedrijfsleven betrekken bij het maken van normen voor Cyber Security. 9. Initiatief nemen om mondiale normen te ontwikkelen die aansluiten bij de Europese eisen voor betrouwbare ICT-producten.

         

Piet Donga (ING, voorzitter) Frank Fransen (TNO) Anno Keizer (Urenco) Henk Keijzer (KEMA) Henk Marsman(Deloitte) Joop Zomer (ABN-AMRO) Rob Weemhoff (IBM) Beer Franken (AMC) Bert van Ingen (Rabo) Jan Rietveld (NEN, secretaris)

De samenstelling van NEN NC 381038 is als volgt:        

Hans Bos, Microsoft Beer Franken, AMC (voorzitter) Ton van Bergeijk, NEN (secretaris) Pieter Jansen, ICTree Michiel Steltman, DHPA Peter Wilms, Deloitte Nan Zevenhek, EuroCloud Lennard Zwart (CloudVPS)

eToegang Europese beleidsontwikkelingen Cybercrime spelen. Daarnaast wijst het EP op de hoge administratieve lasten van het rapportage mechanisme. Het Parlement ziet graag dat er meer nadruk komt te liggen op transparantie; en het vrijwillig maken van rapporteren. Daarnaast is het van belang om gebruik te maken van bestaande informatie-uitwisselingskanalen. Op 13 maart 2014 heeft het Europees Parlement in eerste lezing haar standpunt vastgesteld. Het Parlement heeft sterk ingezet op het waarborgen van de privacy in de richtlijn. Nu is het aan de EU lidstaten om over het voorstel te stemmen. ETSI – TC CYBER ETSI, een van de standaardisatie-instituten van de EU heeft een nieuw technisch comité (TC CYBER) rond cybersecurity opgezet om de groeiende vraag naar standaardisatie uit dit werkveld aan te kunnen. De activiteiten van TC CYBER vinden plaats in de volgende domeinen: Cybersecurity Security of infrastructures, devices, services and protocols Security advice, guidance and operational security requirements to users, manufacturers and network and infrastructure operators Security tools and techniques to ensure security Creation of security specifications and alignment with work done in other ETSI committees








ENISA. European Network and Information Security Agency. Het Europees Agentschap voor netwerken informatiebeveiliging (ENISA) heeft een capaciteitsversterking van de EU, de EUlanden en het bedrijfsleven ten doel zodat de problemen met betrekking tot de netwerken informatiebeveiliging kunnen worden voorkomen, beheerst en opgelost. Het doel van ENISA is ook de Commissie en EU-landen bijstand en advies te verlenen. Het Agentschap kan ook worden verzocht de Commissie bij te staan bij de uitvoering van voorbereidende technische werkzaamheden met het oog op de actualisering en verdere ontwikkeling van de communautaire wetgeving. Zo zal ENISA de Commissie helpen met het opstellen van beleid en de samenwerking tussen lidstaten gaan faciliteren. Verder zal het zich gaan bezighouden met het verzamelen en analyseren van netwerkgegevens en het promoten van risicomanagement, security ‘best practices’ en security-standaarden. ENISA publiceert geregeld onderzoeken op het gebied van cybersecurity. ENISA is actief op de volgende gebieden:    

Computer Emergency Response Teams (CERT) Critical Information Infrastructure Protection (CIIP) and Resilience Identity and Trust Risk Management

CEN (European Committee for Standardization) en CENELEC (European Committee for Electrotechnical Standardization) hebben met ENISA een samenwerkingsovereenkomst getekend.

Nederlandse belanghebbenden kunnen via NEN deelnemen in de CSCG. De normcommissie Informatiebeveiliging van NEN fungeert als klankbord voor het CSCG.

De samenwerkingsovereenkomst geeft ENISA de mogelijkheid om experts te laten participeren in de ICT-gerelateerde normalisatie-activiteiten van CEN en CENELEC. Onderzoeksresultaten van ENISA worden gebruikt als input voor de ontwikkeling van normen door CEN en CENELEC.

NEN wordt in de CSCG vertegenwoordigd door Jan Rietveld van het bureau NEN, Beer Franken (AMC) en Johan Rambi (Alliander).

De samenwerking tussen CEN/CENELEC/ETSI en ENISA vindt met name plaats in de Cybersecurity Coordination Group (CSCG) (zie hierboven).

In 2013 is actief bijgedragen aan de ontwikkeling van de White paper van CSCG door het bijwonen van vergaderingen en het leveren van commentaren. Er is ook contact gelegd met het NCSC maar dit heeft niet geleid tot uitbreiding van de Nederlandse participatie. ENISA participeert in de CSCG. Edgard de Lange van het ministerie van Economische Zaken is het Nederlandse lid in de Management Board en is de National Contact Officer van ENISA. Marijke Salters (BFS) heeft contact met Marnix Dekker van ENISA in het kader van cloud computing. NEN NC 381027 ‘Informatiebeveiliging’ volgt het werk van de Cybersecurity Coordination Group (CSCG) actief. De samenstelling van NEN NC 381027 is als volgt:





ENISA. European Network and Information Security Agency. Op deze gebieden worden geregeld onderzoeken gepubliceerd. Een overzicht hiervan is te vinden op de website. Op 15 november 2013 heeft ENISA een rapport gepubliceerd waarin wordt ingegaan op de uitrol van overheidsclouds. In het rapport worden landen ingedeeld als ‘Early adopters’, ‘well-informed’, ‘innovators’ of ‘hesitants’. Daarnaast geeft het rapport tien aanbevelingen voor het succesvol uitrollen van overheid clouddiensten. Het Verenigd Koninkrijk, Spanje en Frankrijk worden genoemd als ‘early adopters’. Nederland komt daar samen met een groep landen vlak achteraan als ‘well-informed’. Op 11 december 2013 heeft ENISA een “threat-landscape” rapport gepubliceerd waarin de top cyberdreigingen tussen 2012 en 2013 op een rij worden gezet.

          

Jurjen Bos (Equens) Piet Donga (ING, voorzitter) Frank Fransen (TNO) Anno Keizer (Urenco) Henk Keijzer (KEMA) Henk Marsman(Deloitte) Joop Zomer (ABN-AMRO) Rob Weemhoff (IBM) Beer Franken (AMC) Bert van Ingen (Rabo) Jan Rietveld (NEN, secretaris)





ENISA Cloud Security and Resilience expert group ENISA heeft een Cloud Security and Resilience expert groep gelanceerd in april 2013. In mei kwam deze groep voor het eerst bijeen in Amsterdam. De groep bestaat uit 20 experts van 12 landen, waarvan 2 leden van het CIRRUS project. De groep houdt zich bezig met de rol van cloud computing in de EU-cybersecurity strategie, waarbij voornamelijk gelet wordt op incident rapporteren. Op 16 oktober 2013 kwam de groep voor de tweede keer bijeen en sprak over de aandachtsgebieden voor het werkprogramma van ENISA van 2014. ENISA heeft eind januari 2014 een onderzoek gepubliceerd met de titel ‘Van transparantie tot vertrouwen in de cloud’. Het onderzoek kijkt naar vier verschillende cloudcomputing scenario’s en onderzoekt hoe de rapportage van incidenten kan worden vormgegeven samen met cloudproviders, cloud-klanten, bedrijven in de kritieke infrastructuur en overheidsorganisaties.

CEN Workshop Agreement (CWA) CIRRUS In november 2013 is het Europese projectvoorstel ‘CEN Workshop Agreement CIRRUS (Certification, InteRnationalisation and standaRdization in cloUd Security) , opgesteld door FP7 CIRRUS project, goedgekeurd door CEN. Er is een ‘Draft Business Plan CEN Workshop CIRRUS’ opgesteld en twee maanden beschikbaar gesteld voor commentaar. Dit Business Plan moet door de betrokken stakeholders tijdens een kick-off bijeenkomst worden goedgekeurd. Deze kick-of bijeenkomst van deze CEN Workshop zal worden gehouden op 11 februari 2014 in Brussel. Het op te leveren resultaat van deze workshop bestaat uit een CWA (CEN Workshop Agreement) ‘Assurance in de cloud’ die zal bestaan uit: a)

ENISA heeft een liaison met JTC 1/SC 27. b)

Een algemeen overzicht van partijen/initiatieven/activiteiten/publica ties gericht op regelgeving en standaardisatie bij het toepassen van ICT cloud computing techniek; Aanbevelingen voor ‘best practices’ en toe te passen, en naar te verwijzen technische specificaties voor continue bewaking en certificatie van een clouddienst;

Ad a) Te betrekken op beveiliging en

De NEN normcommissie (NC) 381038 is betrokken bij de ontwikkeling van een CEN Workshop Agreement (CWA) CIRRUS, en is als volgt samengesteld:         

Ludo Block (Grant Thornton) Hans Bos, Microsoft Beer Franken, AMC (voorzitter) Pieter Jansen, ICTree Michiel Steltman, DHPA Peter Wilms, Deloitte Nan Zevenhek, EuroCloud Lennard Zwart (CloudVPS) Ton van Bergeijk (secretaris)



ENISA Cloud Security and Resilience expert group afspraken hierover voor het leveren van een clouddienst, vast te leggen in een Service Level Agreement (SLA), inclusief representatieve monsters van ICT technische specificaties van formele standaardisatie-instituten, consortia en fora; Ad b) ‘Best practices’ variëren van computer leesbare certificaten en leesbare instellingen voor beleid informatiebeveiliging, tot composities van verschillende certificaten met een verschillende achtergrond, oorsprong en doel. Forensisch IT onderzoek NPR 5317 ‘Cloud computing’, wordt ontwikkeld door normcommissie (NC) 381038, zal naar verwachting ook een normenkader voor forensisch IT onderzoek omvatten en gaan verwijzen naar publicaties zoals:   



Association of Chief Police Officers (UK) Good Practice Guide for ComputerBased Electronic Evidence (2007); Department of Justice (US) – Forensic Examination of Digital Evidence: A Guide for Law Enforcement (August 2004); National Institute of Standards and Technology 800-86 – Guide to Integrating Forensic Techniques into Incident Response (August 2006);





ENISA Cloud Security and Resilience expert group  





ENFSI – Guidelines for Best Practice in the Forensic Examination of Digital Technology (April 2009); ISO/IEC 27037: 2012 - Guidelines for identification, collection, acquisition and preservation of digital evidence; ISO/IEC 27002: 2013 - Information technology — Security techniques — Code of practice for information security controls -> 16.1.7 Collection of evidence. ISO/IEC ‘Cloud Forensics’

In november 2013 hebben ISO/IEC en CSA voorstellen voor nieuwe standaarden goedgekeurd. Dit nieuwe werk betreft o.a. standaarden zoals:  





ISO/IEC 27017 “Information technology Security techniques - Code of practice for information security controls for cloud computing services based on ISO/IEC 27002” -> New paragraph 16.1.7 on the collection of evidence in cloud environments; ISO/IEC 30121 System and software engineering - Information technology - Governance of digital forensic risk framework” -> Digital Forensic Capability Strategy; CSA Incident Management and Forensic Working Group - Mapping the Forensic Standard ISO/IEC 27037 to Cloud Computing (June





ENISA Cloud Security and Resilience expert group 2013). ENISA en trusted service providers In december 2013 heeft ENISA het volgende raamwerk gepubliceerd. Security framework Guidelines for trust services providers – Part 1 CEN Workshop Agreement (CWA) RACS CEN heeft op 11 februari 2014 in Brussel een kick-off bijeenkomst gehouden voor het starten en ontwikkelen van een CEN Workshop Agreement (CWA) ‘Requirements and recommendations for assurance in the Cloud (RACS)’ Deze CEN Workshop is gericht op het verkrijgen van vertrouwen in een clouddienst. Doel van de workshop is het opleveren van een overzicht van cloud-specifieke aanbevelingen en ICT technische specificaties, ontwikkeld door fora en consortia, voor het monitoren van het gebruik, beheer en onderhoud van een clouddienst.





ENISA Cloud Security and Resilience expert group Cloud Sequrity Aliance (CSA) en International Telecommunication Union (ITU) CSA en ITU zijn actief betrokken bij het realiseren van consistentie over termen, definities, modellen, referentie architectuur en Service Level Agreements. ISO/IEC 17788 | Recommendation ITU-T Y.3500 Y.CCDEF (CT-CCVOCAB), Cloud computing – Overview and vocabulary ISO/IEC 17789 | Recommendation ITU-T Y.3502 Y.CCRA (CT-CCRA), Cloud computing – Reference architecture First Working Draft of the ISO/IEC 19086 project, Information Technology - Cloud Computing – Service Level Agreement (SLA) Framework and Terminology. Daarnaast werkt ITU aan: Recommendation ITU-T X.1600 “Security framework for cloud computing” Recommendation ITU-T X.1255 “Framework for the discovery of identity management information”,





ENISA Cloud Security and Resilience expert group CEN/CENELEC/ETSI In december 2013 is het CEN/CENELEC/ETSI ‘Cloud Standards Coordination Final Report’gepubliceerd. Resultaten uit dit rapport worden meegenomen bij de verdere ontwikkeling van de Nederlandse praktijkrichtlijn (NPR) 5317 ‘Cloudcomputing’. De CEN/CENELEC/ETSI focus in 2014 komt o.a. te liggen op Legal Framework, SLA, Security en Interoperability. SNIA (Storage Networking Industry Association) / DMTF (Distributed Management Task Force) SNIA/DTMF zijn verantoowrdelijk voor de ontwikkeling van standaarden betreffende Cloud Data Management Interface (CDMI) en hieraan gekoppelde protocollen zoals: SMI-S v1.5 (ISO 24775:2014) 

TLS Specification for Storage Systems v1.0

De SNIA Security TWG is sterk betrokken bij verschillende cloud-oriented drafts in ISO/IEC SC27 (27040, 27017, 27018, and 27036-4)





NIS In de Cyberveiligheidstrategie van de Europese Unie (join (2013)1)) is de oprichting aangekondigd van een platform voor netwerken informatiebeveiliging (NIS) waarin publieke en private belanghebbenden worden bijeengebracht. De bevindingen van dit platform zullen worden meegenomen in de aanbevelingen van de Commissie over cyberveiligheid, die in 2014 moeten worden aangenomen. Het NIS-platform is op 17 juni 2013 officieel gelanceerd. Eerste prioriteit van het NIS-platform is het benoemen van technologie-neutrale best practices, waaronder standaarden, voor cyberveiligheid. Daarnaast worden incentives ontwikkeld, zowel aan vraag- als aanbodzijde, voor naleving van die best practices en de ontwikkeling van veilige ICT-oplossingen. Op 25, 26 en 27 september 2013 vond de kick-off meeting van de werkgroepen plaats:  WG1 on cybersecurity risk management  WG2 on information exchange and incident coordination  WG3 on secure ICT Research and Innovation Op 11 december 2013 vond de tweede plenaire bijeenkomst plaats. De werkgroepen hebben de stand van zaken met elkaar gedeeld. WG1 is bezig met practical guidelines on risk management

Standaarden vormen één van de prioritaire aandachtsgebieden van het NIS-platform. Ook binnen het Multi Stakeholder Platform for ICTstandardisation is een NIS Task Force actief. Het is nog niet duidelijk hoe deze afstemming – en de wisselwerking tussen bijvoorbeeld ETSI en CEN en het NISplatform wordt vormgegeven.










NIS en WG2 is bezig met het vormen van subgroups die gaan kijken naar de huidige stand van zaken rondom informatieuitwisseling. De laatste plenaire vergadering vond plaats op 30 april 2014.

Toegang Europese beleidsontwikkelingen FP7 CIRRUS In 2012 is een onderzoeksproject gestart in het kader van het 7e kaderprogramma, met de titel ‘Certification, InteRnationalisation and standaRdization in cloUd Security’. Doel van het onderzoek zijn de beveiligingsaspecten en aanpalende aspecten (certificering, overeenstemming met regelgeving etc.) van ‘cloud computing’ Het CIRRUS-consortium bestaat uit zes internationale organisaties, aangevoerd door Atos uit Spanje. Andere partners zijn Cloud Security Alliance, Austrian Standards Institute, Portakal Teknoloji uit Turkije, Information Technology Promotion Agency uit Japan en Grant Thornton Forensic & Investigation Services uit Nederland. In de internationale adviesraad zitten vertegenwoordigers van onder meer Google, Microsoft en IBM. Daarnaast zijn ook overheden en universiteiten uit Nederland, Canada, Ierland en Engeland betrokken.

Workshop CIRRUS Aansluitend op het FP7-project met dezelfde naam heeft het Oostenrijkse normalisatieinstituut in juni 2013 bij CEN een voorstel ingediend voor een nieuwe CEN Workshop ‘Certification, InteRnationalisation and standaRdization in cloUd Security’ (CIRRUS). Doel van deze Workshop is het publiceren van aanbevelingen en best practice in de vorm van CEN Workshop Agreements (CWA’s).

Grant Thornton Nederland (Mark Hoekstra en Ludo Block) participeren in CIRRUS. De heer Ludo Block is lid van de NEN normcommissie (NC) 381038 en betrokken bij de ontwikkeling van NPR 5317 voor het normenkader ten behoeve van forensisch IT-onderzoek in de cloud.





NEN ISO/IEC 27000-reeks ‘Code voor informatiebeveiliging’

‘NEN-ISO/IEC 27001:2005 nl’ en ‘NEN-ISO/IEC 27002:2007 nl’ staan vermeld op de Lijst open standaarden als ‘Pas toe of leg uit’.

NEN NC 3810027 ‘Informatiebeveiliging’ volgt het werk van ISO/IEC/JTC 1/SC 27 actief. Er is een toenemende belangstelling onder de commissieleden om rechtstreeks deel te nemen aan het internationale werk van SC 27. De samenstelling van NEN NC 381027 is als volgt:

Code voor Informatie beveiliging

ISO/IEC JTC 1/SC 27 heeft vijf actieve werkgroepen:      

WG 1 Information security management systems WG 2 Cryptography and security mechanisms WG 3 Security evaluation, testing and specification WG 4 Security controls and services WG 5 Identity management and privacy technologies SC 27 heeft 128 normen gepubliceerd en er wordt aan meer dan 40 nieuwe normen en revisies gewerkt.

Hieronder volgen enkele van de belangrijke ontwikkelingen. ISO/IEC JTC 1/SC 27 heeft nieuwe versies van de 27001 en 27002 gepubliceerd.ISO/IEC 27001 is volgens de nieuwe High Level Structure (HLS) structuur voor management normen opgezet. De NEN-normcommissie voor dit onderwerp benadert de nieuwe ontwikkelingen met enige voorzichtigheid. De commissie is bang dat ISO/IEC 27000

Het College Standaardisatie heeft in december 2013 besloten om de adoptie van de informatiebeveiligingsnormen NENISO 27001/27002 verder te bevorderen. Het College roept verschillende sleutelorganisaties binnen de publieke sector op tot concrete acties. De oproep is gebaseerd op een evaluatie die met een expertgroep is uitgevoerd. Het College Standaardisatie onderschrijft in zijn besluit het belang van de sectorale Baselines Informatiebeveiliging. De acties waartoe het College oproept, zijn gericht op:    

het committent van overheden om de normen en baselines ook daadwerkelijk in te voeren; het ontwikkelen en het delen van implementatiehulpmiddelen; de vrije, publieke beschikbaarheid van de baselines; en het open beheer van de baselines en grotere

          

Jurjen Bos (Equens) Piet Donga (ING, voorzitter) Frank Fransen (TNO) Anno Keizer (Urenco) Henk Keijzer (KEMA) Henk Marsman(Deloitte) Joop Zomer (ABN-AMRO) Rob Weemhoff (IBM) Beer Franken (AMC) Bert van Ingen (Rabo) Jan Rietveld (NEN, secretaris)

De Nederlandse overheid was bij de ontwikkelingen rond de 27000-serie niet betrokken. Het CBP is betrokken geweest bij de ontwikkeling van ISO/IEC 29101:2013 Information technology -- Security techniques -- Privacy architecture framework




Code voor Informatie beveiliging teveel een algemene managementnorm wordt met weinig concrete aanwijzingen voor 'IT beveiliging'. Er ontstaan op basis van de 27001 en 27002 veel sectorspecifieke normen, bijv. voor de financiële sector en gezondheidszorg. ISO/IEC JTC 1/SC 27 breidt de 27000reeks verder uit, met de ontwikkeling van: 









  

ISO/IEC 29115:2013 Information technology -- Security techniques -Entity authentication assurance framework ISO/IEC WD TS 27017 Information technology – Security techniques – Cloud computing security and privacy management system – Security controls ISO/IEC DIS 27018 Information technology -- Security techniques -Code of practice for PII protection in public cloud acting as PII processors ISO/IEC WD 27009 The Use and Application of ISO/IEC 27001 for Sector/Service-Specific Third-Party Accredited Certifications ISO/IEC WD 27012 Information technology - Security techniques -ISM guidelines for e-government services delen van ISO/IEC FDIS 27033 Information technology -- Security techniques -- Network security delen van ISO/IEC WD 27034-2 Information technology -- Security techniques -- Application security delen van ISO/IEC 27035 Information

betrokkenheid (via vertegenwoordigende koepels) van leveranciers, informatiebeveiligers en auditors.pels) van leveranciers, informatiebeveiligers en auditors. In 2013 zijn nieuwe versies verschenen van NEN-ISO/IEC 27001:2005 nl’ en ‘NEN-ISO/IEC 27002:2007 nl. Deze zijn nog niet overgenomen op de Lijst open standaarden. Deze nieuwe versies staan niet op de lijst van het Forum maar zullen naar verwachting in 2014 worden getoetst voor vemelding. ‘ISO/IEC 10118-3:2004’ staat vermeld op de Lijst open standaarden als ‘Gangbaar’ Van ISO/IEC 27001:2013 en ISO/IEC 27002:2013 worden Nederlandse vertalingen gemaakt. ISO/IEC 10118-3:2004 is overgenomen als Nederlandse norm. Diverse baselines van overheden zijn gebaseerd op ISO 27001 en ISO 27002. De Baselines Informatiebeveiliging (BIR/BIG/IBI/BIWa) van de verschillende overheden zijn








 

 

 







technology – Security techniques – Information security incident management ISO/IEC 27036 Information technology -- Security techniques -Information security for supplier relationships, met name: ISO/IEC WD 27036-4 Information technology -- Information security for supplier relationships -Part 4: Guidelines for security of Cloud services ISO/IEC FDIS 27038 Information technology -- Security techniques -Specification for digital redaction ISO/IEC DIS 27039 Information technology -- Security techniques -Selection, deployment and operations of intrusion detection systems (IDPS) |ISO/IEC DIS 27040 Information technology -- Security techniques -Storage security ISO/IEC DIS 27041 Information technology -- Security techniques -Guidance on assuring suitability and adequacy of incident investigative methods ISO/IEC DIS 27042 Information technology -- Security techniques -Guidelines for the analysis and interpretation of digital evidence ISO/IEC DIS 27043 Information technology -- Security techniques -Incident investigation principles and processes ISO/IEC WD 27044 Guidelines for Security Information and Event

gebaseerd op de 27001 en 27002. De Diginotar-affaire en ‘Lektober’ in 2012 hebben geleid tot een bewustwordingsimpuls en aanscherping van eisen, bijvoorbeeld voor gebruik van DigiD. De 27001 en 27002 worden alom erkend als basis voor informatiebeveiligingsbeleid. NORA biedt, naast principes, een paar best practices die kunnen helpen bij de informatiebeveiliging van geautomatiseerde gegevensverwerking, te weten het Normenkader voor de beveiliging van ICT-voorzieningen (NIBI), en een architectuuraanpak, inclusief een aantal eerste IB-patronen (IB PTR). Nora 4.0 krijgt een katern informatiebeveiliging, en daarnaast is de Baseline Informatiebeveiliging Rijksdienst aangenomen, aan een versie voor de gemeenten wordt gewerkt. Ook de ICT-beveiligingsrichtlijnen voor webapplicaties van het NCSC, uit 2012, verwijzen naar NENISO/IEC 27001, 27002 en 27005. Naar aanleiding van de Diginotar affaire is een interbestuurlijke Taskforce informatiebeveiliging ingericht die tussen 2013 en 2014






Code voor Informatie beveiliging 

Management (SIEM) ISO/IEC WD 27050 Information technology -- Security techniques -Electronic discovery

ISO/IEC JTC 1/SC 27 onderhoudt ook ISO/IEC JTC 1 10118-3 Information technology - Security techniques - Hashfunctions - Part 3: Dedicated hashfunctions, de zogenaamde ‘Whirpool hash’ die ook op de Lijst ganbare open standaarden is vermeld.

met name op bestuurlijk niveau informatiebeveiliging moet agenderen en laten uitvoeren ISO/IEC 27013:2012 Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1 zal in een Nederlandse vertaling worden overgenomen als Nederlandse norm NEN-ISO/IEC 27013. Deze norm legt het verband tussen informatiebeveiliging en servicemanagement.

Vermeldenswaard zijn ook 

ISO/IEC 24760-1:2011 Information technology -- Security techniques -- A framework for identity management -Part 1: Terminology and concept

ISO/IEC 29100:2011 Information technology -- Security techniques -Privacy framework CENELEC TC 215 Aanpalend aan het werk van ISO/IEC JTC 1/SC 27 is in Europa, in CENELEC TC 215/WG3 Facilities and infrastructures dit jaar gestart met de ontwikkeling van NEN-EN 50600-2-5 Data centre facilities and infrastructures - Part 2-5: Security systems  NEN-EN 50600-1:2012 - Information technology - Data centre facilities and infrastructures - Part 1: General concepts  NEN-EN 50600-2-1:2012 Ontw.

In januari 2014 is de Nederlandse praktijkrichtlijn (NPR) 5313 ‘Computerruimten en datacenters’ gepubliceerd.

NEN NC 381888 ‘Computerruimtes en datacenters’ bestaat uit:

NPR 5313 geeft o.a. een overzicht van open standaarden voor:

  

- ontwerp-, planning- en management-concepten; - specificaties voor producten en diensten;



  

Jeffrey Gadellaa, Croon Elektrotechniek BV (voorzitter) Ton van Bergeijk, NEN (secretaris) Bas van Asten, Remtech Nederland Jarno Bloem, TelecityGroup Netherlands B.V. Michel de Boer, Wagner Nederland B.V. Hans den Boer, Hi-safe systems Jordy den Boer, KEMA





- uitvoering van werkzaamheden.

  






Information technology - Data centre facilities and infrastructures - Part 21: Building construction NEN-EN 50600-2-2:2012 Ontw. Information technology - Data centre facilities and infrastructures - Part 22: Power distribution NEN-EN 50600-2-3:2013 Ontw. en Information technology - Data centre facilities and infrastructures - Part 23: Environmental control

NEN heeft in normcommissie ‘Computerruimten en datacenters’ (NC 381888) de Nederlandse praktijkrichtlijn (NPR) 5313 ‘Computerruimten en datacenters’ gepubliceerd. NPR 5313 omvat:  Overzicht van 160 in groepen geordende standaarden voor toepassing bij concepten, bij producten, of bij uitvoering  Lijst met 150 termen, definities en afkortingen  Overzicht van .20 agendaonderwerpen voor bedrijfsvoering op drie verschillende managementniveaus  Eisen en classificatie voor karakteristieke eigenschappen  Commissioning, programma van eisen (PvE) en procesverbaal van oplevering en documentatie  Ontwerpcontrolelijsten en voorbeelden van mogelijke ontwerpkeuzes.

Het Ministerie van Economische Zaken – Agentschap NL nodigt bedrijven, brancheorganisaties, instellingen en gemeenten uit, op een vrijwillige basis, om het gebruik van fossiele brandstoffen terug te dringen. Dit gebeurt in de vorm van een convenant met een verwijzing naar de MJA3:2008. Vanuit het activiteitenbesluit en handhaving wet milieubeheer en informatieblad voor provincies en gemeenten wordt o.a. verwezen naar NPR 5313 ‘Computerruimten en datacenters’.

       

Hans Hekman, Kannegieter Edgar Hogenbirk, APAC Airconditioning B.V. Fokke van Hijum, Lasent B.V. Kees Loer, TCN Data Hotels Peter Matlung, Grontmij Niek van der Pas, Legrand/Minkels Elbert Raben, Rittal B.V. Eric Taen, ICTroom Company B.V. Emiel Taling, Datwyler Cables GmbH Jaco Verheij, MinDefe/IVENT

Bij de ontwikkeling van NPR 5313 is onder andere voor het onderwerp beveiliging aangesloten op publicaties van het Centrum Criminaliteitsbestrijding en Veiligheid (CCV). Het draagvlak van het CCV is breed. Hierbij aangesloten partijen zijn o.a.:         

Ministerie van Veiligheid en Justitie; Ministerie van Binnenlandse Zaken; Verbond van Verzekeraars; Werkgeversorganisatie VNO-NCW; Vereniging van Nederlandse Gemeenten; Raad van Korpschefs. Relevante publicaties van het CCV: Model Integrale Brandveiligheid Bouwwerken (IBB); VRKI Verbeterde risicoklasseindeling voor woningen en bedrijven





In IETF houden 16 werkgroepen zich bezig met aspecten van IT-beveiliging. Nieuw in 2012 is de werkgroep System for Cross-domain Identity Management (SCIM) die van invloed is op identificatie en authenticatie in de Cloud. De werkgroep TLS is belast met de standaardisatie van het ‘transport layer’ beveiligingsprotocol, dat door het Forum Standaardisatie is overgenomen als ‘gangbaar’. De werkgroep heeft naast de versies 1.0, 1.1 en 1.2 van TLS een aantal bijbehorende ciphersuites gedefinieerd. In IETF is RFC 4033 ontwikkeld, bekend onder de naam DNSSEC (Domain Name System Security Extensions) DNSSEC voegt gegevensauthenticatie en –integriteit toe aan het domeinnaamsysteem (DNS).

‘DKIM’ (DomainKeys Identified Mail), ontwikkeld door IETF (RFC 6376), staat vermeld op de Lijst open standaarden als ‘Pas toe of leg uit’. Op basis van advies van het European Multistakeholder Platform on ICT standardisation (MSP) heeft de Europese Commissie een consultatie geopend over DKIM. Deadline: 19/01/2014

Volgens recente verslagen van IETF WG SCIM is hierin in elk geval één Nederlander actief: Bert Greevenbosch, waarschijnlijk namens het Fraunhofer Institut. Olaf Kolkman (NLnet Labs) is betrokken bij de standaardisatie rond beveiligingsaspecten in IETF. In de Werkgroep TLS wordt niet door Nederlanders geparticipeerd.


TLS 1.0, ontwikkeld door IETF (RFC 2246), staat vermeld op de Lijst open standaarden als ‘gangbaar’ De huidige versie van TLS is 1.2 (RFC 5246). Deze versie is door het Forum Standaardisatie in de procedure genomen voor opname op de 'pas toe of leg uit'-lijst met open standaarden. TLS wordt breed toegepast als transportlaagbeveiliging. DNSSEC wordt genoemd in ISO/IEC 27033-3 Information technology — Security techniques — Network security — Part 3: Reference networking scenarios — Threats, design techniques and control issues. Op basis van advies van het Multistakeholder Platform on ICT standardisation (MSP) heeft de Commissie een consultatie geopend over Domain Name System Security Extensions (DNSSEC).

Uit de informatie op http://www.ietf.org/rfc/rfc4033.txt kan worden afgeleid dat dhr. of mevr. R. Arends van het Telematica Instituut aan RFC 4033 DNSSEC heeft meegewerkt.





ECMA Veel standaarden van ECMA worden bij ISO/IEC ingebracht. Ook het zogenaamde NGCN-rapport uit 2009 van de werkgroep Corporate Telecommunication Networks (CN) van ECMA is in ISO/IEC ingebracht (Next Generation Corporate Networks (NGCN) - Security of Session-based Communications)

Op basis van advies van het European Multistakeholder Platform on ICT standardisation (MSP) heeft de Europese Commissie een consultatie geopend over Domain ECMA Script-402 Internationalization API Specification. Deadline: 19/01/2014.

Geen Nederlandse betrokkenheid bij ECMA


ECMA heeft via een Fast Track Procedure, bij ISO/IEC JTC 1/SC 6 ‘Telecommunications’ de volgende Near Field Communication (NFC) specificaties aangeboden:

NEN NC 381006 ‘Telecommunications’ is de Nederlandse pendant van ISO/IEC JTC 1/SC 6 en is o.a. verantwoordelijk voor ISO/IEC 8824-1, ISO/IEC 9834-1. NC 381006 bestaat uit:    

Herman Leenders, NXP Geert Awater, QualComm Teus de Zwart, Echelon Jan Rietveld, NEN (secretaris)

NEN-ISO/IEC 13157-1 Information technology - Telecommunications and information exchange between systems NFC Security Part 1: NFC-SEC NFCIP-1 security services and protocol (draft) NEN-ISO/IEC 19369 Information technology - NFCIP-2 test methods (draft) W3C besteedt in haar Web Security Context Working Group aandacht aan specifieke beveiliging in een webomgeving " to enable users to come to a better understanding of the context that they are operating in when making trust decisions on the Web; e.g., giving up passwords or other sensitive information to possibly malicious sites." Dit is afgesloten met de publicatie van ‘Web security context – User interface guidelines’

Geen Nederlandse betrokkenheid. De groep is nu gesloten.





Het voorstel voor de verordening voor eHandtekeningen en eID is technologieneutraal opgesteld. Standaarden worden dus niet benoemd. Wel is er sprake van een comité waar later technische uitwerkingen zullen plaatsvinden. Dit comité is regelgevend en kan dus implementatieregelgeving opleggen.

De acties zijn gerelateerd aan de Digitale Agenda en de Malmö strategie

Het ministerie van EL&I is betrokken bij de onderhandelingen van dit voorstel, er vindt afstemming plaats met het ministerie van BZK. Aanspreekpunten zijn

Voorstel voor een verordening voor e-handtekeningen en eID (COM (2012) 238) Op 4 juni 2012 heeft de Europese Commissie een voorstel voor een verordening voor eHandtekeningen en eID uitgebracht. Deze verordening moet de richtlijn eHandtekening uit 1999 vervangen. De huidige richtlijn heeft voor een zekere mate van harmonisatie van de praktijk rond eHandtekeningen gezorgd, maar ondanks deze kaders is het nog steeds lastig om grensoverschrijdende elektronische transacties uit te voeren. Dat geldt ook voor "trust services" als elektronische datering, elektronische zegels en levering, en authenticatie van websites, waarvoor interoperabiliteit op Europees niveau ontbreekt. Daarom staan er voor deze diensten gemeenschappelijke regels en methoden in de ontwerpverordening. Wat betreft eID biedt het voorstel rechtszekerheid op basis van het beginsel van wederzijdse erkenning en aanvaarding: de lidstaten dienen de nationale eID's te aanvaarden die officieel bij de Commissie zijn aangemeld. De lidstaten zijn echter niet verplicht om hun nationale eID's te registreren. Het Iers Voorzitterschap heeft op 28 mei 2013 een voortgangsrapportage opgesteld: Een van de hoofd kwesties is de discussie over de betrouwbaarheidsniveaus. Een aantal lidstaten zijn voor het principe van “matching levels” als basis voor erkenning, maar andere lidstaten willen het betrouwbaarheidsniveau vaststellen in de verordening. Er is brede ondersteuning

De Large Scale pilots, in het bijzonder PEPPOL en STORK (inmiddels beëindigd, zie verder STORK2.0).

  

Freek van Krevel, EL&I Arjan Haasnoot, EL&I John Stienen, BZK.

Vanwege de bestaande verschillen tussen nationale eID-oplossingen heeft standaardisatie van eID’s de belangstelling van CEN (TC 224).

NEN NC 381017 'Identificatiekaarten' is de Nederlandse pendant van CEN/TC 224 De leden van de NEN-commissie zijn:

Mandate M/460 van de Europese Commissie aan de Europese standaardisatie-organisaties CEN en ETSI vloeit voort uit het actieplan ‘eSignature and eIdentification’ dat door de Commissie in 2008 is gestart. Het mandaat is inmiddels verlengd en de ontwikkeling van normen loopt tot eind 2015. Er wordt door CEN en ETSI gewerkt aan normen voor de volgende onderwerpen:

        

   

eSignature Standardisation Rationalised Structure guidance document (TR 119000) Study on the basis for covering the whole spectrum of IAS standardisation aspects (TR419 010) Signature creation and validation (TR 119100) Signature creation devices (TR

Ronald van Kemp, Equens Jaap de Bie, Translink Henk Dannenberg, NXP Frank Fransen, TNO Tom Kinneging, SDU Arjan Geluk, Collis Maarten van Wijk ABN AMRO Eduard de Jong, De Jong Holding Jan Rietveld NEN, (secretaris)



Voorstel voor een verordening voor e-handtekeningen en eID (COM (2012) 238) voor een aantal algemene principes van elektronische identificatie: Een initiële beperking voor overheidsdiensten; verzekeren van interoperabiliteit tussen nationale identificatie infrastructuren; technologie neutraal; de noodzaak van een voorziening die veiligheidsovertredingen adresseert. In de Raadsbijeenkomst van 6 juni 2013 heeft Nederland benadrukt dat zij naast toezicht op de zogeheten gekwalificeerde vertrouwensdiensten ook sterk hecht aan een vorm van toezicht op nietgekwalificeerde vertrouwensdiensten. Nederland vroeg hiervoor aandacht in het licht van de ervaringen in Nederland met Diginotar. Tussen de Raad en het Europees Parlement is in februari 2014 een politiek akkoord gesloten. Het Europees Parlement heeft vervolgens op 3 april 2014 ingestemd met de voorgestelde verordening. Nu moeten de lidstaten nog officieel over het voorstel stemmen. Dit zal waarschijnlijk nog voor de zomer afgerond zijn. De verordening gaat dan direct gelden.

    



419200) Cryptographic suites (TR 119300) TSPs supporting eSignature (TR 119400) Trust Application Service providers (TR 119500) Trusted list providers (TR 119600) Signature Creation and Validation o General Requirements on Policy (EN 319 101) o Conformity Assessment (EN 419103) Cryptographic Suites for Secure Electronic Signatures (TS 119 312);

De volgende prioriteiten zijn gesteld met betrekking tot eIDAS: topprioriteit heeft de ‘protection profile for mobile signing’. Daarnaast moeten de ‘trust services standards’ worden aangepast aan de eisen in eIDAS. Op 3 december 2013 vond een publieke workshop plaats. Tijdens de workshop hebben stakeholders aangegeven dat de disseminatie van de standaarden naar de Europese industrie en internationale partners belangrijk is. OASIS OASIS heeft verschillende standaardisatie-activiteiten op het gebied van eHandtekeningen en eID: 

Cross-Enterprise Security and Privacy Authorization (XSPA)









STORK heeft veel raakvlakken waaronder:  ECAS Het European Authentication System van de Europese Commissie, het aanhaken va ECAS op STORK is voorzien;  eJustice programma wil gebruik maken van de STORK oplossing;  Beslissing van Raad en

Het Ministerie van Binnenlandse Zaken, en het Ministerie van EZ participeren in STORK 2.0. (Jan Timmermans, Freek van Krevel); In eerdere fasen waren ook specialisten van DigiD (ICTU/ Logius) betrokken evenals de Belastingdienst (zou deelnemen aan een van de proeven maar heeft zich teruggetrokken).

Voorstel voor een verordening voor e-handtekeningen en eID (COM (2012) 238) 

     

Digital Signature Services; the eXtensible Access Control Markup Language (XACML, ITU-T Recommendation X.1122) Key Management Interoperability Protocol (KMIP) Security Assertion Markup Language (SAML, ITU-T Recommendation X.1121); Web Services Federation (WS-Fed) Web Services Trust (WS-Trust) Web Ser-vices Secure Exchange (WS-SX) Extensible Resource Identifier (XRI) and XRI Data Interchange (XDI)



STORK STORK was een project dat moest zorgen voor de grensoverschrijdende erkenning van nationale elektronischeidentiteitssystemen (e-ID). De pilot liep van tot 2008 tot en met 2012. STORK heeft een Quality of Authentication Assurance (QAA) raamwerk opgeleverd om elektronische identiteiten naar betrouwbaarheid te duiden. Verder heeft er een pilot integratie van ECAS, het European Commission Authentication





STORK System met STORK plaatsgevonden. STORK heeft verder gemeenschappelijk specificaties opgeleverd, een gemeenschappelijke code en een raamwerk voor duurzame inzetbaarheid van eID’s op Europees niveau. STORK heeft bewezen dat technische grensoverschrijdend gebruik van eID met de door STORK ontwikkelde infrastructuur mogelijk is. Dit betekent niet dat alle hindernissen zijn weggenomen. Vooral op juridisch en organisatorisch vlak is er nog veel nodig om tot volledige interoperabiliteit te komen. Hiervoor wordt onder andere aangesloten bij een regelgevend traject rondom het voorstel voor een verordening voor eID en elektronische handtekeningen dat nu in onderhandeling is.

 

Parlement op het gebied van erkenning van elektronische identiteiten (digitale Agenda); Onderzoek naar de duurzaamheid van STORK (ISA); Richtlijn 1999/93/EG betreffende een gemeenschappelijk kader voor elektronische handtekeningen.





STORK 2.0 bouwt voort op de resultaten van STORK en breidt de functionaliteiten uit naar ‘legal entities’ en ‘mandates’ grensoverschrijdend gebruik van bedrijf eID’s en mandaten. STORK 2.0 zal lopen van 2012 tot en met 2015.

Binnen STORK 2.0 wordt in WP3 gewerkt aan een uitbreiding van het QAA model om attributen van externe attribuut verstrekkers op betrouwbaar te kunnen inschalen het AQAA (Attribute Quality Authentication Assurance model).

In werkpakket 7 van STORK2.0 is onder andere belegd: “Investigating and promoting standardisation based on STORK 2.0 solutions”.

Vanuit Nederland zijn in STORK2.0 betrokken:

Ook in STORK2.0 zal de aanpak worden getoetst in een aantal proefprojecten. Deze gaan over eLearning en academische kwalificaties, eBanking, eHealth en public services for businesses.

D3.2 QAA Status report is publiek beschikbaar en biedt een QAA beleid specifiek voor attributen. Daarnaast biedt het rapport aanbevelingen hoe om te gaan met het QAA model in het licht van

STORK 2.0

Hierin wordt o.a. onderzocht welke “industry standards STORK 2.0 could follow in relation to uptake by industry” maar ook of STORK een de facto standard kan gaan vormen, binnen de EU maar ook daarbuiten.

   

Het ministerie van Binnenlandse Zaken en Koninkrijksrelaties (o.a. Jan Timmermans) Het ministerie van Economische Zaken (Hans van der Burght, Henk Vroemen) VKA en PBLQ HEC Vellekoop & Meeesters





STORK 2.0 STORK2.0 zal gebruik maken van attributen anders dan die direct uit het eID systeem volgen. Hiervoor is het nodig te kunnen werken met externe attribuut verstrekkers, registers waarin bevoegdheden of eigenschappen van personen of bedrijven zijn opgenomen. Hierdoor ontstaat de wens attributen te kunnen inschatten op hun betrouwbaarheid. STORK2.0 werkt daarom aan uitbreiding van het QAA model.

nieuwe toepassing (rondom attributen) en een nieuw standaardisatie proces ISO/IEC FDIS 29115.

Nederland neemt geen deel aan het werkpakket en de taak rondom standardisation in WP7 In Nederland wordt, vanuit het eID stelsel NL en de doorontwikkeling van de handreiking betrouwbaarheidsniveaus gewerkt aan een normenkader eHandtekening en mandaten. Dit raakt tevens aan hoe om te gaan met attributen.

Richtlijn elektronische handtekeningen

EESSI

De Europese Richtlijn 1999/93/EG betreffende een gemeenschappelijk kader voor elektronische handtekeningen is in Nederland omgezet in de wet elektronische handtekeningen. Hiermee wordt moet het gebruik van de elektronische handtekening (EHT) vergemakkelijkt worden en moet er een bijdrage worden geleverd aan de wettelijke erkenning van de EHT naast de handgeschreven handtekening.

Het European Electronic Signature Standardisation Initiative (EESSI) is in 1999 opgezet door de ICT Standards Board van CEN/CENELEC/ETSI. EESSI coördineerde de Europese standaardisatieactiviteiten in het kader van Richtlijn 1999/93/EC betreffende elektronische handtekeningen. Standaarden werden ontwikkeld in de CEN/ISSS E-sign workshop en in ETSI TC SEC/ESI. Verwijzingen naar vereiste standaarden verschenen in de Official Journal in juli 2003. Deze standaarden maken deel uit van een grotere reeks van door EESSI ontwikkelde specificaties. Na voltooiing van haar werkprogramma werd EESSI in oktober 2004 ontbonden. De Europese standaardisatie op het gebied van elektronische handtekeningen is daarna, zij het minder actief, voortgezet in andere groepen.

De volgende CWA’s zijn vermeld in de Offical Journal van de EU, voor verwijzing vanuit Richtlijn 1999/93:

NEN NC 381017 'Identificatiekaarten' is de Nederlandse tegenhanger van CEN/TC 224.



De leden van de NEN-commissie zijn:





CWA 14167-1:2003 Secuity requirements for Trustworthy Systems Managing Certificates for Electronic Signatures – Part 1: System Security Requirements CWA 14167-2:2004 Security requirements for Trustworthy Systems Managing Certificates for Electronic Signatures – Part 2: Cryptographic Module for CSP Signing Operations with Backup – Protection Profile (CMCSOB-PP) CWA 14169:2004 Secure Signature-Creation Devices, version ‘EAL 4+’-

        




STORK 2.0 Het beheer van de standaarden van EESSI is als volgt belegd: CEN/TC 224 onderhoudt:  

 

CWA 14355 Guidelines for the implementation of Secure Signature Creation Devices CWA 14167-1/4 Security Requirements for Trustworthy Systems Managing Certificates for Electronic Signatures CWA 14170 Security Requirements for Signature Creation Applications CWA 14890-1/2 Application Interface for smart cards used as Secure Signature Creation Devices

Dit onderhoud omvat ook eventuele ‘opwaardering’ van CWA’s naar EN. Voor CWA 14980 is dat proces inmiddels doorlopen.     

Het CEN bureau onderhoudt: CWA 14172 -1/8 EESSI Conformity Assessment Guidance CWA 14365-1/2 Guide on the Use of Electronic Signatures ETSI TC ESI onderhoudt: CWA 14171 General guidelines for electronic signature verification







Identificatie kaarten Verordening (EU) nr. 383/2012 van de Commissie van 4 mei 2012 tot vaststelling van de technische voorschriften betreffende rijbewijzen met een ingebouwd opslagmedium (microchip).

European Citizen Card CEN/TC 224 en ISO/IEC JTC 1/SC 17 Deel 2 van de European Citizen Card, ‘Logical data structures and security services’ is doorontwikkeld en officieel gepubliceerd door CEN/TC224. Deze standaard sluit aan bij het geheel aan standaarden dat onder de noemer European Citizen Card wordt gepubliceerd: De European Citizen Card (ECC) is een technische specificatie (CEN TS 15480) bestaande uit vijf onderdelen. Deel 1: physical, electrical properties and transport protocols (Physical Card Interface). Deel 2: logical data structures and card services (Logical Card Interface). Deel 3: Interoperability using and application interface (Middleware). Deel 4: Recommendations for issuance, operation and use (Card Profiles). Deel 5: General introduction to all aspects of the standard, too be introduced in April 2013. CEN TS15480 is ontwikkeld in

NEN NC 381017 'Identificatiekaarten' is de Nederlandse pendant van ISO/IEC JTC 1/SC 17 en CEN/TC 224 die beide aan normen voor identificatiekaarten werken. CEN/TC 224 is o.a. verantwoordelijk voor de European citizen card (ECC). Nieuwe activiteiten betreffen onder andere secure signature, signature creation and verification, authentication, De leden van de NEN-commissie zijn:         


NEN leden zijn actief in de volgende werkgroepen JTC 1/SC 17/WG 1, Physical characteristics and test methods for IDcards JTC 1/SC 17/WG 3 Machineleesbare reisdocumenten JTC 1/SC 17/WG 4 Integrated circuit card with contacts JTC 1/SC 17/WG 8 Contactless





Identificatie kaarten CEN/TC224/WG 15. Inmiddels heeft WG 15 de eindversie van ECC-3 opgeleverd. Dit is een aanvulling op ISO/IEC 24727 toegepast op identificatiekaarten. In dit proces zijn ook enkele wijzigingen in ISO/IEC 24727 goedgekeurd teneinde de Europese en internationale standaarden met elkaar in overeenstemming te brengen. Belangrijk is dat in ECC-4 een profiel beschreven zal worden dat in overeenstemming is met ISO/IEC 12905 en bedoeld is om de uitgifte van gepersonaliseerde identificatiekaarten te vergemakkelijken. ISO/IEC JTC1/SC17 Cards and personal identification richt zich voornamelijk op technische aspecten van identificatiekaarten. Deze subcommissie van JTC 1 werkt nauw samen met ICAO (International Civil Aviation Organization),. In ICAO worden standaarden gemaakt voor reisdocumenten. Deze ICAOstandaarden worden overgenomen door SC 17. WG3 Machine readable travel documents is verantwoordelijk voor deze overname. WG 3 is verder betrokken bij de volgende onderwerpen. 

Towards better practice in National identity management. Sub-group has been established, terms of reference defined, the scope of the project and content of the TR has been agreed. Project leadership has been

integrated circuit(s) cards, related devices and interfaces JTC 1/SC 17/WG 10 Motor vehicle driver license and related documents CEN/TC 224/WG 15 European citizen card CEN/TC 224/WG 18 Interoperability of biometric recorded data





SAML 2.0 staat vermeld op de Lijst open standaarden als ‘Pas toe of leg uit’.

Betrokkenheid vanuit Nederland bij OASIS TC SAML kon niet worden vastgesteld.

Identificatie kaarten 







assigned. Machine assisted document security verification. Draft paper has been accepted and the content of the TR has been approved for presentation at next ICAO TAG/MRTD Meeting. Standards for Emergency/Temporary Passports. Work progresses toward the specifications for incorporation into the next issue of the Supplement and to then be included in a new Edition of Part 1 of Doc 9303. Support Capacity-Building Work in Identity Management and Border Security. A number of workshops, seminars and missions have been supported. Supported INTERPOL in the identification and assignment of an Alpha-2 Code. WG3 assisted INTERPOL in identifying and reserving an Aplpha-2 Code required by INTERPOL to meet its PKD obligations when issuing an INTERPOL eMRTD.

SAML - Security Assertion Markup Language (SAML) is ontwikkeld door het Security Services Technical Committee van OASIS. SAML is een raamwerk, gebaseerd op XML, voor het uitwisselen van informatie over gebruikersauthenticatie, gebruikersrechten en attributen. SAML maakt single sign-on en single sign-off bij webbrowsing mogelijk.

SAML kent in NL verschillende niet interoperabele implementaties. Vanuit Logius wordt daar nu project gestart om de verschillende profielen op één lijn te krijgen.





Identificatie kaarten SAML 2.1 is in ontwikkeling. In november 2010 heeft de SSTC van OASIS de volgende specificaties goedgekeurd:  

Service Provider Request Initiation Protocol and Profile V1.0 SAML V2.0 Identity Assurance Profiles V1.0

De ontwikkelingen rond SAML 2.1 zijn vooral gericht op een eenvoudiger implementatie en beheer van SAML, naast kleine technische aanpassingen. XACML (eXtensible Access Control Markup Language) XACML is een standaard waarin is vastgelegd hoe bepaald kan worden of een web service voldoet aan de vereisten. Objecten ISO/IEC JTC1/SC6 Telecommunications and information exchange between systems maakt op generiek niveau normen voor objectidentificatie. Dit helpt bij het aanvragen, toekennen, registreren unieke informatie objecten, eenduidig te identificeren, verifiëren en valideren. Belangrijke normen:  

ISO/IEC 8824-1 Abstract Syntax Notation ISO/IEC 9834-1 Procedures .Object Identifiers (OID)

NEN NC 381006 ‘Telecommunications’ is de Nederlandse pendant van ISO/IEC JTC 1/SC 6 en is o.a. verantwoordelijk voor ISO/IEC 8824-1, ISO/IEC 9834-1. NC 381006 bestaat uit:    

Herman Leenders, NXP Geert Awater, QualComm Teus de Zwart, Echelon Jan Rietveld, NEN (secretaris)



Identificatie kaarten In 2012 is de ontwikkeling gestart van diverse nieuwe normen voor protocollen aangaande:  

Future networks Smart devices, homes, buildings, cities, grids Voorbeelden zijn:  

ISO/IEC 29181-2 Future networks: Problem statement and requirements - Part 2: Naming and addressing ISO/IEC 17811-2 Device control and management – Part 2: Protocol specification for device control and management

Ook is in SC 6 een aanvang gemaakt met de adaptatie van PKI aan omgevingen met veel onderling verbonden systemen (zoals smart grids). In 2013 is een Memorandum Of Understanding getekend tussen IEEE en ISO/IEC JTC 1 voor samenwerking bij de ontwikkeling van standaarden voor toegang tot en gebruik (services) van:  

Wireless Lan hotspots; Wireless WAN Cloud



etoegang Europese beleidsontwikkelingen Standaarden nieuw en in beheer Toepassing standaarden Nederlandse betrokkenheid Cybercrime

Recommend Documents