Add to collection(s) Add to saved
  1. Bedrijfsleven
  2. Management

Plan van Aanpak inzage broncode

advertisement 
Plan van Aanpak inzage broncode
Basisregistratie Personen (BRP)
Datum 10 maart 2015
Update: 24 dec 2015
Samenvatting
De minister van Binnenlandse Zaken en Koninkrijksrelaties (BZK) heeft in de
Tweede Kamer toegezegd de broncode van de Basisregistratie Personen (BRP)
beschikbaar te willen stellen voor inzage. Het doel van deze mogelijkheid tot
inzage is transparantie over de voortgang van de ontwikkeling en het organiseren
van een “gratis kwaliteitscontrole” waarbij externe partijen kwetsbaarheden
kunnen melden. Iedereen kan zich als Reviewer aanmelden op de voorwaarde dat
de Reviewer bereid is om de overeenkomst in het kader van Responsible
Disclosure te sluiten. Deze overeenkomst wordt gesloten met het Programma
Operatie BRP.
De mogelijkheid tot inzage vindt plaats in een kantoorruimte in Den Haag, waarbij
een PC met daarop geïnstalleerd een kopie van de BRP broncode beschikbaar
wordt gesteld. Bevindingen met betrekking tot de kwaliteit van de broncode
worden door de Reviewer geregistreerd en na afloop van de inzage door het
Programma Operatie BRP in behandeling genomen.
In juni 2015 vond de eerste inzageronde plaats. In maart 2016 zal de tweede
inzageronde plaatsvinden. Daarbij worden de aanbevelingen uit de evaluatie van
de eerste inzageronde geïmplementeerd.
De organisatie van de inzage van de BRP ligt bij het Programma Operatie BRP,
onderdeel van het ministerie van BZK.
1. Inleiding
In het Algemeen Overleg Overheid en ICT/mGBA op 7 november 2013 heeft de
minister van Binnenlandse Zaken en Koninkrijksrelaties (BZK) aan de Tweede
Kamer toegezegd de broncode van de Basisregistratie Personen (BRP) op verzoek
beschikbaar te maken voor inzage. In een brief van 3 maart 2014 aan de Tweede
Kamer hierover worden de wijze waarop de code beschikbaar wordt gesteld en de
randvoorwaarden die daarbij gelden toegelicht.
De brief van 10 september 2015 van de minister van BZK aan de Tweede Kamer
bevat de evaluatie van de eerste inzageronde van juni 2015, inclusief de
bevindingen en het advies van KPMG m.b.t. het inzageproces. Daarin kondigt hij
ook de tweede inzageronde aan voor de software voor de mutatieleveringen, die
per 1 oktober 2015 beschikbaar is gekomen voor het acceptatietraject.
Voorafgaand aan de mogelijkheid tot inzage heeft er al een toets van de broncode
aan het normenkader “codekwaliteit” plaatsgevonden inclusief een controle op de
beveiligingseisen. Ter voorbereiding op de mogelijkheid tot inzage is reeds een
overeenkomst in het kader van Responsible Disclosure opgesteld.
Dit document beschrijft het plan van aanpak voor de uitvoering van de
mogelijkheid tot inzage van de BRP broncode. Hoofdstuk 2 geeft een korte
toelichting op de definitie van de werkzaamheden in verband met het beschikbaar
stellen van de broncode van de BRP. Hoofdstuk 3 beschrijft de activiteiten die
plaatsvinden voor, tijdens en na de inzage. Hoofdstuk 4 en 5 gaan in op
respectievelijk de risico’s en de planning. Hoofdstuk 6 geeft een toelichting op de
organisatie.
Pagina 1 van 6
2. Definitie van de werkzaamheden
Dit hoofdstuk gaat in op de achtergrond, doelstelling, betrokken organisaties en
scope van de werkzaamheden.
Datum 10 maart 2015
Update: 24 dec 2015
2.1 Achtergrond
Binnen het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK)
ontwikkelt Operatie BRP de Basisregistratie Personen (BRP). De minister van BZK
heeft aan de Tweede Kamer toegezegd de broncode van de BRP binnen kaders
beschikbaar te maken voor inzage om zo transparant te zijn over de voortgang
van de ontwikkeling en een “gratis kwaliteitscontrole” uit te voeren waarbij
externe partijen kwetsbaarheden kunnen melden. Ten aanzien van de voortgang
is de mijlpalenplanning van de BOP-stappen (BOP = BRP Opleverplan) relevant.
De inzage heeft steeds betrekking op de broncode die bij een BOP-stap hoort. Het
BOP is beschikbaar op de website van Operatie BRP.
Operatie BRP definieert een kwetsbaarheid als een zwakke plek in de broncode,
ofwel de software, die een bedreiging kan vormen voor het correct en ongestoord
functioneren van de BRP dan wel voor de beveiliging van de gegevens in de BRP.
Het op een verantwoorde wijze melden van dergelijke kwetsbaarheden door
buitenstaanders op basis van een door de betrokken organisatie vastgestelde
procedure heet Responsible Disclosure. Dit stelt een organisatie, in dit geval het
Programma Operatie BRP, in staat de gesignaleerde kwetsbaarheden
gecontroleerd op te lossen.
2.2 Doelstelling
Het doel van de mogelijkheid tot inzage van de broncode van de BRP is tweeledig,
te weten enerzijds transparant te zijn over de voortgang van de ontwikkeling van
de BRP en anderzijds het organiseren van een “gratis kwaliteitscontrole” waarbij
externe partijen kwetsbaarheden kunnen melden.
2.3 Betrokken organisaties
De inzage in de BRP broncode is onderdeel van het Programma Operatie BRP en
wordt daarmee uitgevoerd onder verantwoordelijkheid van het Ministerie van BZK.
Iedereen kan zich aanmelden voor de inzage, met dien verstande dat voorwaarde
voor het inzien van de broncode is dat de Reviewer bereid is om de overeenkomst
in het kader van Responsible Disclosure te sluiten.
2.4 Scope
De scope van de inzage is beperkt tot de broncode die op het moment van de
inzageperiode door het programma beschikbaar wordt gesteld. Deze broncode zal
voor elke Reviewer gelijk zijn.
3. Aanpak en Activiteiten
Dit hoofdstuk gaat in op de voorbereidende activiteiten, de activiteiten tijdens de
inzage en de activiteiten na afloop van de inzageperiode.
3.1 Locatie
De mogelijkheid tot inzage zal plaatsvinden in een kantoorruimte op locatie
Turfmarkt 147 te Den Haag: de Data Room. Dit betreft een (vergader)kamer op
deze locatie waarin maximaal twee (samenwerkende) Reviewers per sessie
aanwezig zullen zijn.
De Reviewer krijgt een PC ter beschikking met een persoonlijk account met
Pagina 2 van 6
‘gastrechten’ om in te loggen. Op deze PC komt de BRP broncode “read-only”
beschikbaar. Op de PC worden tevens die volgende applicaties, die behulpzaam
kunnen zijn bij de inzage, ter beschikking gesteld:
 MS Excel voor het registeren van bevindingen;
 Een source code viewer - bijvoorbeeld Eclipse: een open source Integrated
Development Environment.
Datum 10 maart 2015
Update: 24 dec 2015
Het Programma kan in een later stadium besluiten om applicaties te vervangen
en/of toe te voegen.
Verzoeken voor installatie van aanvullende software door de Reviewer worden in
principe niet gehonoreerd. Eventuele verzoeken van Reviewers voor installatie van
specifieke applicaties worden per aanvraag beoordeeld. Deze aanvraag dient
minimaal twee weken voorafgaand aan de inzage bij het Programma Operatie BRP
te zijn ingediend. Deze applicaties dienen in elk geval aantoonbaar het doel van
de inzage te dienen, licentievrij beschikbaar te zijn en het installeren van deze
applicaties mag geen beveiligingsrisico’s met zich meebrengen. Operatie BRP
besluit over het al dan niet inwilligen van dit verzoek, dit besluit is bindend.
3.2 Beveiligingsmaatregelen
De volgende beveiligingsmaatregelen zijn ingericht om te voorkomen dat
Reviewers een kopie van de broncode kunnen maken:
 De PC is niet verbonden met een netwerk;
 Er zijn geen (andere) verbindingen naar buiten mogelijk;
 USB- en andere poorten van de PC zijn afgesloten;
 De PC bevat geen CD/DVD drive of deze is afgesloten;
 Tassen, mobiele apparaten en andere persoonlijke eigendommen van de
Reviewer mogen niet in de Data Room worden meegenomen, zullen door een
medewerker van Operatie BRP opgeborgen worden in een kluisje en na de
inzage teruggegeven worden aan de Reviewer.
3.3 Broncode
De scope van de mogelijkheid tot inzage is beperkt tot de broncode die op het
moment van de inzageperiode door het programma als werkende software
beschikbaar wordt gesteld.
Deze broncode zal voor elke Reviewer gelijk zijn. Het betreft broncode inclusief de
bijbehorende documentatie in de code, bedoeld om de inzage van de broncode te
ondersteunen. Na afloop van de inzage worden alle gegevens die de Reviewer
heeft gebruikt of gegenereerd van de PC verwijderd.
Reviewers kunnen ook de code die betrekking heeft op de beveiliging inzien. De
mogelijkheid tot inzage is namelijk mede bedoeld om kwetsbaarheden op dit
terrein op het spoor te komen. Zij krijgen echter niet de beschikking over daarbij
te gebruiken parameters en sleutels (zoals IP-adressen, poortnummers,
wachtwoorden, encryptie-sleutels, etc.).
3.4 Registratiesysteem
Bevindingen uit de inzage dienen tijdens de inzage door de Reviewer
geregistreerd
te
worden
in
het
registratiesysteem
op
locatie.
Als
registratiesysteem is Excel gekozen. Het voordeel van gebruik van Excel voor
registratie is dat iedereen bekend is met deze applicatie en dat het
registratiesysteem dat het Programma zelf gebruikt niet afgeschermd hoeft te
worden.
Er is een "template" in Excel beschikbaar dat de Reviewers moeten gebruiken voor
Pagina 3 van 6
meldingen. Dit "template" bevat in elk geval de volgende kolommen: naam en
contactgegevens Reviewer, datum van de inzage, bevinding, toelichting en de
locatie(s) in de code waarop de bevinding betrekking heeft. Uitleg met op welke
wijze het "template" ingevuld dient te worden is tevens beschikbaar.
Datum 10 maart 2015
Update: 24 dec 2015
3.5 Aanmeldingsprocedure
De momenten waarop een mogelijkheid tot inzage plaatsvindt worden door het
ministerie van BZK vastgesteld en gecommuniceerd. Communicatie naar buiten
toe over de mogelijkheid tot inzage in de broncode vindt plaats ten minste zes
weken voor de start van de inzageperiode. De aanmeldingsprocedure wordt
gepubliceerd
op
de
website
van
het
Programma
Operatie
BRP
(www.operatiebrp.nl).
Reviewers dienen zich tijdig bij het Programma aan te melden. De aanmelding is
steeds per inzageperiode. De sluiting van de datum voor aanmelding is twee
weken voor de start van de inzageperiode. Aanmelding vindt plaats door een email te sturen naar [email protected] met daarin naam, contactgegevens (in elk
geval e-mail en telefoonnummer) en een overzicht van de dagdelen waarop de
Reviewer niet beschikbaar is. Deze wijze van aanmelden wordt tevens
gepubliceerd op de website www.operatiebrp.nl.
Bevestiging naar Reviewers over het moment dat zij de broncode kunnen inzien
vindt tenminste 1 week voor de feitelijke inzagedatum plaats. Er worden
maximaal twee (samenwerkende) personen per inzagesessie toegelaten.
3.6 Draaiboek inzagesessie
3.6.1 Registratie van de Reviewer
De Reviewer wordt door Operatie BRP enkele dagen voor de dag van de inzage
aangemeld bij de receptie van locatie Turfmarkt 147 te Den Haag. De Reviewer
meldt zich op de dag van inzage bij de receptie , alwaar zijn of haar identiteit
wordt getoetst. Een medewerker vanuit het Operatie BRP team zal de Reviewer
ophalen. Daarnaast dient de Responsible Disclosure ondertekend te worden door
de Reviewer. Een Reviewer die zich niet kan/wil identificeren en/of de Responsible
Disclosure niet ondertekent mag de locatie Turfmarkt 147 en de Data Room niet
betreden.
De medewerker zal de Reviewer vervolgens begeleiden naar de Data Room, waar
de PC klaar staat.
Tassen, telefoons en andere persoonlijke spullen van de Reviewer zullen door de
medewerker worden ingenomen en opgeborgen worden tot na de inzage.
3.6.2 Toelichting broncode en registratiesysteem
Eventuele toelichting op de broncode komt in de vorm van documentatie in de
code. Documentatie over het melden van bevindingen in het registratiesysteem is
beschikbaar. Er worden geen medewerkers beschikbaar gesteld om aanvullende
uitleg of ondersteuning te geven.
3.6.3 Registratie van bevindingen
Tijdens de inzage zal de Reviewer bij het waarnemen van een kwetsbaarheid een
melding registreren. Belangrijk bij de invoer is dat alle velden ingevuld worden.
Per kwetsbaarheid dienen de volgende punten benoemd te worden: bevinding,
toelichting en de locatie(s) in de code. Voor een Reviewer is in beginsel maximaal
1 dagdeel (van 4 uur) beschikbaar voor de inzage. Een Reviewer kan de code per
inzageperiode slechts 1 maal inzien.
Het heeft de uitdrukkelijke voorkeur dat een Reviewer zijn meldingen registreert
gedurende het dagdeel van de inzage, echter in voorkomende gevallen is het ook
Pagina 4 van 6
mogelijk om na afronding van de inzage een melding te doen bij Operatie BRP. Dit
kan door een e-mail te sturen naar [email protected] en te benoemen dat het
om een aanvullende melding gaat naar aanleiding van de inzage van de BRP
broncode. Bij een melding via e-mail moeten de volgende punten gemeld worden:
naam en contactgegevens Reviewer, datum van de inzage, bevinding, toelichting
en de locatie(s) in de code.
Het Excel overzicht met bevindingen wordt door een medewerker van het
Programma Operatie BRP na de inzage in ontvangst genomen. Binnen één dag na
de inzage wordt een ontvangstbevestiging verstuurd aan de Reviewer.
Datum 10 maart 2015
Update: 24 dec 2015
3.6.4 Verbetering broncode
Operatie BRP zal trachten de geconstateerde kwetsbaarheid in de broncode zo
snel mogelijk op te lossen. In voorkomende gevallen zal Operatie BRP met de
Reviewer in contact treden om nadere toelichting te krijgen over de aard van de
melding.
Indien het volgens het Programma aannemelijk is dat de kwetsbaarheid ook in
andere applicaties aanwezig is, zal Operatie BRP het Nederlands Cyber Security
Centrum (NCSC) hierover informeren. Het NCSC zal informatie over de
kwetsbaarheid delen met de bredere ICT-community.
3.7 Lessons Learned
De (eerste) inzageperiode is afgesloten met een evaluatie. De minister van BZK
heeft deze evaluatie met de Tweede Kamer gedeeld. Daarin heeft hij de
bevindingen en adviezen van KPMG m.b.t. het uitgevoerde inzageproces
meegenomen.
4. Planning
Dit hoofdstuk beschrijft de planning op hoofdlijnen.
In grote lijnen ziet de planning er als volgt uit:
 De mogelijkheid tot inzage in de broncode vindt plaats in de eerste helft van
maart 2016.
 Uiterlijk zes weken van te voren zal het programma de informatie over de
inzageprocedure communiceren , dit betekent dat deze informatie half januari
2016 op de website van Operatie BRP zal verschijnen. De sluitingsdatum voor
aanmelding ligt op ca. twee weken voor de review-periode. Een week later
ontvangen Reviewers informatie over dag en tijd van de inzage.
5. Organisatie
Dit hoofdstuk gaat in op het team dat de voorbereidingen treft en op de
begeleiding tijdens de inzage.
De mogelijkheid tot inzage van de BRP broncode vindt plaats onder auspiciën van
het Programma Operatie BRP. Vanuit dit Programma zullen de acties ter
voorbereiding van de inzage uitgevoerd worden. Dit komt neer op communicatie
over de aanmeldingsprocedure, communicatie naar Reviewers over de dag en tijd
van de inzage, regelen van de locatie, regelen van een PC met de eerder
benoemde software en een kopie van de broncode. De verantwoordelijkheid voor
het een en ander ligt bij de projectleider Acceptatie, Implementatie en
Communicatie (AI&C) van het Programma Operatie BRP.
Daarnaast zal één medewerker vanuit Operatie BRP op de dagen van de inzage
beschikbaar zijn om de Reviewers op te halen bij de receptie, de
Pagina 5 van 6
registratieprocedure te doorlopen en de Reviewer naar de data room te brengen.
Tijdens de inzage zelf is geen begeleiding vanuit het Programma Operatie BRP
aanwezig.
Datum 10 maart 2015
Update: 24 dec 2015
Pagina 6 van 6
Related documents
Medisch dossier 1. Inzage in uw dossier U heeft als patiënt het recht
Medisch dossier 1. Inzage in uw dossier U heeft als patiënt het recht
Rechten van de patiënt
Rechten van de patiënt
digitale ledenadministratie voor uw koor
digitale ledenadministratie voor uw koor
Project Brief - Operatie BRP
Project Brief - Operatie BRP
Hier kan je een voorbeeldbrief downloaden
Hier kan je een voorbeeldbrief downloaden
Wet patiëntenrechten
Wet patiëntenrechten
hemi-knieprothese - Netwerk Orthopedie
hemi-knieprothese - Netwerk Orthopedie
PowerPoint-presentatie
PowerPoint-presentatie
Kunstknie - Netwerk Orthopedie
Kunstknie - Netwerk Orthopedie
08.04.042 leefregels na een operatie bij scheelzien
08.04.042 leefregels na een operatie bij scheelzien
Bindweefselvlies dat over het heldere hoornvlies van het oog
Bindweefselvlies dat over het heldere hoornvlies van het oog
Project Brief - Operatie BRP
Project Brief - Operatie BRP
Download
advertisement