Welk deel van de BIO of het BIO-ontwerp
BIO-versie of BIO-ontwerpversie
BIO2 v1.3
Identificatienummer(s) + titel(s)
5.14.02: Certificaten
Huidige tekst
De entiteit maakt bij openbaar webverkeer van gevoelige gegevens gebruik van ten minste publiek vertrouwde Organization Validated (OV)-certificaten.
De entiteit maakt bij intern webverkeer voor gevoelige gegevens gebruik van ten minste publieke vertrouwde OV-certificaten of private PKIo-certificaten.
Hogere eisen aan certificaten vloeien voort uit een risicoanalyse, aansluitvoorwaarden of wetgeving.
Voorgestelde tekst
Mijn advies is om het tweede deel van deze overheidsmaatregel te herzien of te schrappen.
Constatering + argumentatie
Ik kan niet precies opmaken wat er onder `gevoelige` gegevens of intern webverkeer wordt verstaan. Maar als ik voor gevoelige gegevens uitga van o.a. wachtwoorden en persoonsgegevens raakt dat een aanzienlijk deel van het interne webverkeer en als ik voor intern webverkeer uitga van verkeer binnen de ICT van een organisatie, dan kom ik tot het volgende:
Voor intern webverkeer binnen een organisatie is het doorgaans onpraktisch, zeer kostbaar of mogelijk zelfs onuitvoerbaar om altijd public-OV of private PKIo certificaten in te zetten. Sterker nog, het kan zelfs nadelig zijn voor de beveiliging en beschikbaarheid zijn om enkel publieke of PKIo certificaten in te zetten voor intern webverkeer. Daarnaast, bij een zorgvuldig beheerde interne, private PKI is dit ook goed met interne certificaten op te lossen.
Verwachte impact
Opmerkingen
Dit BIO-wijzigingsverzoek is niet rechtstreeks via GitHub ingediend, maar ontvangen via een alternatieve route. Voor de volledigheid heeft CIP als beheerder van GitHub dit verzoek - van een andere indiener - opgenomen in GitHub voor transparantie en een totaaloverzicht.
Welk deel van de BIO of het BIO-ontwerp
BIO-versie of BIO-ontwerpversie
BIO2 v1.3
Identificatienummer(s) + titel(s)
5.14.02: Certificaten
Huidige tekst
Voorgestelde tekst
Constatering + argumentatie
Verwachte impact
Opmerkingen