Streefbeeldafspraken informatieveiligheid
Content
De overheid wil haar websites en e-mail beter beveiligen. Hiertoe zijn interbestuurlijke afspraken gemaakt om bepaalde moderne Internetstandaarden versneld te adopteren, zogenoemde streefbeeldafspraken. Deze afspraken zijn na instemming van alle overheidslagen bekrachtigd in het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO) en haar voorganger, het Nationaal Beraad Digitale Overheid.
Vier deadlines
Er zijn vier streefbeeldafspraken met verschillende uiterlijke implementatiedeadlines. Onderdeel van de afspraken is ook de juiste configuratie van de standaarden. Van websites en e-mail van de overheid wordt vereist dat deze na het verlopen van de deadlines aan de standaarden en juiste configuratie voldoet.
Afspraken
Alle websites van de overheid moeten beveiligd zijn met HTTPS en HSTS, conform de richtlijnen van het Nationaal Cyber Security Centrum (NCSC). Daarnaast dienen domeinnamen beveiligd te zijn met de standaard DNSSEC.
Voor e-mail is de afspraak dat de standaarden SPF, DKIM en DMARC worden ondersteund voor het bestrijden van phishing, en dat STARTTLS en DANE worden toegepast voor het cryptografisch beveiligen (versleutelen) van e-mailverkeer. De e-mailstandaarden DMARC en SPF moeten zodanig geconfigureerd zijn dat e-mailspoofing actief wordt bestreden.
Tot slot moeten alle overheidswebsites en e-maildomeinen van de overheid uiterlijk eind 2021, behalve via IPv4, ook volledig bereikbaar zijn via IPv6.
Hieronder volgt een overzicht van alle afspraken.
Deadline |
Afspraak* |
|---|---|
| Eind 2021 |
Bereikbaarheid van websites en e-maildomeinen Alle overheidswebsites en e-maildomeinen van de overheid moeten, behalve via IPv4, ook volledig bereikbaar zijn via IPv6. |
|
Eind 2019 |
Encryptie van e-mailverkeer STARTTLS en DANE worden toegepast voor het cryptografisch beveiligen (versleutelen) van e-mailverkeer. Actief bestrijden van e-mailspoofing (anti-phishing) De 'policies' voor SPF en DMARC moeten strikt (actief) geconfigureerd zijn. Zolang deze policies niet strikt zijn ingesteld weet de ontvanger nog niet wat te doen met verdachte e-mail. De configuratie moet op orde zijn. Actieve, strikte policies zijn ~all en –all voor SPF, en p=quarantine en p=reject voor DMARC. |
|
Eind 2018 |
Veilige configuratie van beveiligde websiteverbindingen Alle overheidswebsites passen HTTPS en HSTS toe conform de ICT-beveiligingsrichtlijnen voor webapplicaties (NCSC), en configureren de TLS-verbinding conform de ICT-beveiligingsrichtlijnen voor Transport Layer Security (NCSC). Dit is een aanvulling op de eerdere afspraak over beveiligde websiteverbindingen. De afspraken gelden dus niet meer alleen voor transactiewebsites. |
|
Eind 2017 |
Beveiligde websiteverbindingen TLS (in de vorm van HTTPS) wordt toegepast bij alle overheidswebsites waarbij burgers en of bedrijven gegevens moet invoeren, of waarbij gegevens vooringevuld zijn; Domeinnaambeveiliging DNSSEC wordt gebruikt voor elke domeinnaam waarmee een overheidsorganisatie met burgers en/of bedrijven communiceert. Bestrijden van e-mailspoofing (anti-phishing) E-mailbeveiligingsstandaarden SPF, DKIM en DMARC worden toegepast voor alle overheidsdomeinnamen, of deze nu wel of niet gebruik maken van e-mail. |
* Deze afspraken staan beschreven in: Streefbeeld afspraak voorgelegd mei 2015, Bevestiging afspraak streefbeeld uiterlijk eind 2017, Opname HTTPS, HSTS en TLS conform NCSC op de lijst inclusief de aanvulling van de streefbeeldafspraak, Bevestiging realisatiedatum in het Digiprogramma 2018 , OBDO notitie: instemmen met aanvullende streefbeeld afspraak voor e-mailstandaarden en OBDO-notitie: Overheidsbrede streefbeeldafspraak IPv6 (bijlage 1C).