SURF Security Baseline

De SURF security baseline is een bibliotheek van concrete en gestandaardiseerde maatregelen die nodig zijn om systemen en diensten te beveiligen. De set bevat inmiddels meer dan 100 maatregelen die geschikt zijn voor verschillende beveiligingsniveaus (laag, midden en hoog) van systemen, gegevens en processen. De maatregelen in de baseline zijn concreet omschreven en gericht op praktische toepassing. Daarmee zijn het waardevolle handleidingen die scholen helpen relatief snel en eenvoudig hun eigen IT-infrastructuur te beveiligen en te ontwikkelen. Daarnaast biedt de SBB hulp bij inkoopprocessen, omdat het beheerders eenvoudig een gestandaardiseerde set van leverancierseisen voor securitysystemen en -diensten laat opstellen. 

Expertise van best practises 

De SURF security baseline is gebaseerd op bekende best practices, zoals CIS controls en ISO 27002. De baseline is verder aangescherpt met bewezen maatregelen uit andere kaders die onze sector gebruikt, zoals de STITCH-controls en het certificeringsschema ROSA. Door deze gestandaardiseerde expertise te bundelen ondersteunt de SSB scholen bij het beveiligen van hun systemen en diensten volgens een gestandaardiseerde aanpak. Of bij het opstellen van een gestandaardiseerde set van maatregelen voor leveranciers. Op deze manier ontzorgt de SSB systeembeheerders in het nadenken over en het actueel houden van vereiste beveiligingsmaatregelen voor systemen en diensten.  

Concrete invulling van NBA-toetsingskader 

Vanuit het programma Cyberveiligheid werken we samen met SURF om de maatregelen uit de security baseline te koppelen aan de beheersmaatregelen uit het NBA-volwassenheidsmodel en -toetsingskader. Op die manier helpt de security baseline om concreet invulling te geven aan het NBA-toetsingskader op het gebied van technische weerbaarheid. Ofwel: het toetsingskader schrijft voor wat er moet gebeuren, het SBB vertelt scholen hoe ze dit concreet kunnen inrichten.  

Samen uitbreiden en implementeren 

We werken ook samen met SURF om de baseline uit te breiden en te verbeteren. Bijvoorbeeld door verwijzingen naar andere producten en diensten die SURF en het programma Cyberveiligheid faciliteren, aan de SSB toe te voegen. We gebruiken de feedback van scholen om wensen voor de security baseline in kaart te brengen. Daarnaast ondersteunen we vanuit het programma Cyberveiligheid scholen bij het implementeren van de maatregelen uit de SURF security baseline. Dit doen we onder meer door templates, verwijzingen, handleidingen of producten en diensten (zoals red teaming) ter beschikking te stellen. 

Bijdragen aan kennisdelen

De SURF security baseline werkt volgens een gestandaardiseerde aanpak binnen de sector. SURF zet de SSB bijvoorbeeld ook in bij vendor risk management. De baseline draagt daarom bij aan herkenbaarheid, samenwerking en kennisdeling op het gebied van beveiligingsmaatregelen voor systemen en diensten. Bovendien is de SBB altijd up-to-date, omdat SURF en instellingen de baseline actueel houden.