Overslaan en naar de inhoud gaan
Naslagwerk

W186 oplegnotitie LO Beveiligingseisen conform IB-richtlijnen

1 Probleemstelling

1.1 Omschrijving

Een tweetal beveiligingseisen in het Logisch Ontwerp BRP en één uit het Logisch Ontwerp BES voldoen niet aan de richtlijnen voor informatiebeveiliging van RvIG.

1.2 Herkomst

De CISO van RvIG, Björn Dijkstra, heeft aangegeven dat alle LO's moeten voldoen aan de IB-richtlijnen..

1.3 Raakvlakken

Er zijn geen raakvlakken met andere LO-wijzigingen.

2 Oplossing

2.1 Huidige situatie

In LO BRP par. 6.4.4.1 én in LO BES, par. B.5.1 staat dat een afnemer of bijhouder bij het maken van een verbinding met BRP-V het zelfde certificaat mag gebruiken in de testomgeving en in de productieomgeving. In par. A.6.2.3 staan de wachtwoordeisen die BRP-V stelt aan wachtwoorden van afnemers en bijhouders. Die zijn verouderd en sluiten nog te veel combinaties van tekens uit.

2.2 Oplossing

De zin in par. 6.4.4.1 van LO BRP en in par. B.5.1. van LO BES die zegt dat certificaten gebruikt worden in zowel de testomgeving als de productieomgeving, wordt geschrapt. De wachtwoordeisen worden bijgewerkt op basis van input van de CISO.

2.3 Gerelateerde wijzigingen in wet- en regelgeving

Er zijn geen relaties met wet- en regelgeving anders dan de IB-richtlijnen van RvIG zelf.

2.4 Openstaande punten

Er zijn geen openstaande punten na implementatie van deze wijziging.

3 Invoering

Vanwege de impact op partijen buiten RvIG wordt deze wijziging pas opgenomen in LO BRP 2025.Q1 en LO BES 2025.Q1. De wijziging wordt al aangekondigd in de werkgroep Implementatie en het Gebruikersoverleg van mei 2024. Zolang huidige certificaten nog geldig zijn, mogen die blijven worden gebruikt in zowel de testomgeving als de productieomgeving. Zodra een certificaat verloopt en moet worden verlengd, moet worden voldaan aan de nieuwe richtlijnen.

4 Gevolgen

4.1 Documentatie

LO BES en LO BRP moeten worden aangepast conform IB-richtlijnen ten aanzien van het gebruik van certificaten en wachtwoordeisen.

4.2 Gemeenten

Gemeenten en afnemers moeten vóór de inwerkingtreding van LO BRP 2025.Q1 zorgen dat hun wachtwoorden voldoen aan de nieuwe richtlijnen. Certificaten die na die datum worden geïnstalleerd mogen uitsluitend in de testomgeving of in de productieomgeving worden gebruikt.

4.3 Afnemers

Gemeenten en afnemers moeten vóór de inwerkingtreding van LO BRP 2025.Q1 zorgen dat hun wachtwoorden voldoen aan de nieuwe richtlijnen. Certificaten die na die datum worden geïnstalleerd mogen uitsluitend in de testomgeving of in de productieomgeving worden gebruikt.

4.4 IND

Ook de IND moet vóór de inwerkingtreding van LO BRP 2025.Q1 zorgen dat hun wachtwoorden voldoen aan de nieuwe richtlijnen. Certificaten die na die datum worden geïnstalleerd mogen uitsluitend in de testomgeving of in de productieomgeving worden gebruikt.

4.5 Caribische landen en Caribisch Nederland

Certificaten die na die datum worden geïnstalleerd door afnemers van PIVA-V mogen uitsluitend in de testomgeving of in de productieomgeving worden gebruikt.

4.6 RvIG-systemen

De RNI moet vóór de inwerkingtreding van LO BRP 2025.Q1 zorgen dat hun wachtwoorden voldoen aan de nieuwe richtlijnen. Certificaten die na die datum worden geïnstalleerd mogen uitsluitend in de testomgeving of in de productieomgeving worden gebruikt.

Delen

Scroll naar boven