HTTPS, HSTS en AdES Baseline Profiles toegevoegd aan lijst open standaarden

Content

Het Nationaal Beraad Digitale Overheid plaatste op 9 mei 2017 een aantal nieuwe standaarden op de ‘Pas toe of leg uit’ lijst van open standaarden.

Het betreft de standaarden HTTPS en HSTS voor veilige communicatie over het internet en de Ades Baseline Profiles voor het digitaal tekenen van documenten en bestanden.

Lijst met open standaarden

Overheden moeten bij investeringen in ICT vragen naar de relevante open standaarden. Welke dat zijn, staat op de verplichte (‘Pas toe of leg uit’) lijst met standaarden van het Forum Standaardisatie. Het Nationaal Beraad Digitale Overheid besluit welke standaarden op de lijst komen te staan. Op 9 mei j.l. heeft het Nationaal Beraad Digitale Overheid twee nieuwe standaarden aan deze lijst toegevoegd:

  • HTTPS in combinatie met HSTS: Burgers en bedrijven moeten er op kunnen vertrouwen dat de informatie die ze uitwisselen met websites van de overheid authentiek is en niet kan worden onderschept door anderen. HTTPS en HSTS zorgen hiervoor. HTTPS versleutelt de gegevens die een browser en webserver uitwisselen, waardoor de gegevens voor een derde niet leesbaar zijn. HSTS zorgt ervoor dat een browser communicatie met een website over HTTPS afdwingt, waardoor een aanvaller de veilige verbinding niet kan manipuleren of omleiden. De verplichting van HTTPS en HSTS geldt voor alle websites van de overheid. Het Nationaal Beraad Digitale Overheid adviseert overheden om HTTPS en HSTS uiterlijk eind 2018 overal toe te passen.
  • AdES Baseline Profiles: Als een document wordt getekend met een digitale handtekening, dan moet de ontvanger die ook kunnen verifiëren. Dat wordt soms bemoeilijkt doordat er verschillende implementaties van digitale handtekeningen bestaan.  De AdES Baseline Profiles voorzien in afspraken zodat verzender en ontvanger dezelfde digitale handtekeningtechniek gebruiken. De Europese regelgeving verplicht een ontvanger al om AdES handtekeningen te kunnen accepteren. De opname van AdES op de ‘Pas toe of leg uit’ lijst verplicht ook verzenders om AdES te gebruiken.

Meting Informatieveiligheidstandaarden

Ook besteedde het Nationaal Beraad Digitale Overheid aandacht aan de meting informatieveiligheidstandaarden begin 2017 waarin het Forum Standaardisatie het gebruik van de informatieveiligheidstandaarden op overheidsdomeinen in beeld brengt. De meest recente peiling (februari 2017) laat een positieve ontwikkeling zien. Deze groei verschilt wel per overheidslaag. Gemeenten laten een versnelde adoptie zien van de informatieveiligheidstandaarden ten opzichte van de andere overheidslagen. De adoptie-impuls vanuit de Informatie Beveiligings Dienst (IBD) lijkt hierbij zijn vruchten af te werpen. Wanneer gemeenten deze trend vasthouden zullen zij het streefbeeld halen om eind 2017 de standaarden te hebben geïmplementeerd. Voor andere overheidslagen geldt dat nog niet, daarom zullen de leden van het Nationaal Beraad deze meetresultaten verder onder de aandacht brengen en de adoptie blijven stimuleren.

Voor meer informatie over open standaarden, de ‘Pas toe of leg uit’ lijst of informatieveiligheidstandaarden, klik hier of stuur een mail naar info@forumstandaardisatie.nl (link stuurt een e-mail).

governance_van_de_gdi.jpg