Transcript Verslag 10 november 2016

Werkgroep Randvoorwaarden 10 november 2017
Agenda:
Mededeling: Maarten Roggeveen wordt geen voorzitter. Paul Ter Horst vervangt hem vandaag. Er
wordt vanuit KPN naar een vervanger gezocht
Hans Nobbe (RWS) houdt de beslispunten en acties bij.
Aanwezig:
Bram Bakker, Anne Joosten, Hans van Breukelen, Marcel Westerman, Vincent Habers, Jorn de
Vries, Patrick Egebrink, Wim Vandenberghe, Kees van Rijn, Erik Koenders. Freek van der Valk,
Andre Smulders.
Afwezig
Rob Hijkoop (Sweco)
Ronald Haanstra (MTVNL)
Peter Goossens (Vialis)
Actie 1:
Herinnering. Securitykader (policy, kaders, standaarden, etc.) voor partijen die dat nog niet
gedaan hebben versturen. Nog niet iedereen heft dat gedaan. Oproep om dat alsnog te doen. BIR
is een startpunt. Dit geldt ook voor wegbeheerders. Voor de rijksoverheid geldt de BIR. Voor
gemeentes is dat waarschijnlijk de BIG.
Besluit 1:
Regel security per cluster. Geef aan welke algemene regelgeving geldt. En verv olgens geldt
daarvoor: comply or explain. Uiteindelijk moet dat leiden tot een tactisch normenkader binnen
Talking Traffic.
Actie 2:
Voorstel onderwerp middagprogramma over security samen met de wegbeheerders.
Besluit 2:
Bewerkersovereenkomst. Gaat tussen en partij en IenM. Model zit bij de contracten. Hoeft niet in
deze werkgroep terug te komen.
Actie 3:
Hoe meten we of security policy of requirements zijn geïmplementeerd? Voorstel is OWASP. Dit is
echter alleen voor webservices. Kijken of er een gestructureerde methode is om dit te toetsen of te
valideren. Afspraak: iedere partij geeft aan wat voor hem aanvaardbaar is. Geen one size fits all
oplossing.
Besluit 3:
Security is onderdeel van het kwaliteitsmanagementplan dat iedere partij zowieso moet
aanleveren.
Meldingsplicht. Volgens RfP Wat zou de procedure moeten zijn om dit te doen? Naast wettelijke
meldingsplichten in eerste instantie aan programmateam. Eventueel ook met vertrouwelijkheids
overwegingen (via trusted third party).
Actie 4:
Allen: Uitwerken van de point of entry voor meldingen.
Actie 5:
klein werkgroepje formeren dat een algemeen flowchart maakt. Vertegenwoordigers uit alle 3 de
clusters (Paul ter Horst KPN, Patrick Egebrink RHDHV, Jorn de Vries Flitsmeister). Voor volgende
werkgroep wordt de flowchart op ourmeeting gezet deze wordt ter goedkeuring op volgende
werkgroep ingebracht met tijdlijnen. Gekoppeld aan mijlpalen als je operationeel gaat.
Rondvraag:
Aandacht voor impliciete randvoorwaarden vanuit de werkgroep techniek. Maak die expliciet in de
werkgroep randvoorwaarden en vice versa.
Besluit 4:
Pragmatische oplossing. Per use case de impliciete randvoorwaarden uitzoeken. Wachten tot d e
werkgroep techniek hiermee klaar is.