Gemeente Veenendaal. ICT-beveiligingsassessment. Suwinet Inkijk Ten behoeve van gemeenten Rhenen en Renswoude. Audit Services

Transcriptie

1 Gemeente Veenendaal ICT-beveiligingsassessment Suwinet Inkijk Ten behoeve van gemeenten Rhenen en Renswoude Datum rapport: 6 april 2018 Rapportnummer: AAS Dit rapport heeft 13 pagina s

2 Inhoudsopgave 1 Assurancerapport van de onafhankelijke auditor Inleiding Opdracht Verantwoordelijkheid van de opdrachtgever Verantwoordelijkheid van de auditor Beperkingen Uitgevoerde werkzaamheden Oordelen Beoogde gebruikers en doel 5 2 Criteria 6 3 Object van onderzoek 7 4 Verantwoordelijkheid gemeenten Rhenen en Renswoude 8 Bijlage A - Beschrijving van de testresultaten van de auditor 1 i

3 Colofon Rapport ICT-beveiligingsassessment Suwinet Inkijk Organisatie Gemeente Veenendaal Ten behoeve van Gemeenten Rhenen en Renswoude Datum 6 april 2018 Rapportnummer AAS Versie 1.0 Status Definitief Auditor P.C.M. Holierhoek RE RA Auditorganisatie Accoris B.V. Vestigingsadres Bredewater CA Zoetermeer Nederland Telefoon +31(0) peter.holierhoek@accoris.nl Website ii

4 1 Assurancerapport van de onafhankelijke auditor 1.1 Inleiding Voor het gebruik van Suwinet zijn gemeenten er voor verantwoordelijk dat wordt voldaan aan het Specifiek Suwinet-normenkader Afnemers In het kader van ENSIA dienen gemeenten jaarlijks een ICT-beveiligingsassessment uitvoeren om de naleving van deze norm aan te tonen. Gemeenten kunnen voor de uitvoering van wettelijke taken gebruik maken van de diensten van serviceorganisaties. Deze organisaties moeten inzicht geven in de ICT-beveiliging van de door die organisaties gebruikte Suwinet-aansluiting, zodat gemeenten in staat zijn om de ENSIA-vragenlijst te beantwoorden en de Collegeverklaring op te stellen. Gemeenten kunnen met serviceorganisaties overeenkomen dat het ICT-beveiligingsassessment van de serviceorganisatie dient te worden voorzien van een Third Party Mededeling (TPM) van een gekwalificeerde IT-auditor (RE). Gemeente Veenendaal is tevens werkzaam voor de gemeente Rhenen en gemeente Renswoude en is in dit kader aangemerkt als serviceorganisatie. In dit rapport hebben wij de resultaten van ons onderzoek naar het ICT-beveiligingsassessment van gemeente Veenendaal als serviceorganisatie voor gemeenten Rhenen en Renswoude opgenomen, zodat gemeente Veenendaal dit rapport als TPM kan verstrekken aan gemeenten Rhenen en Renswoude. 1.2 Opdracht Ingevolge de opdracht van gemeente Veenendaal hebben wij op 6 april 2018 een ICTbeveiligingsassessment afgerond op de interne beheersingsmaatregelen van gemeente Veenendaal met betrekking tot de Suwinet inkijk-functionaliteit. Een nadere beschrijving hebben wij in hoofdstuk 3 Object van onderzoek opgenomen. Het assessment is uitgevoerd conform de Handreiking ENSIA voor IT-auditors (RE s) versie 1.0 d.d. 31 januari 2018 van NOREA. In het kader van dit assessment omvatte onze opdracht het onderzoeken van de opzet en het bestaan van de interne beheersingsmaatregelen bij gemeente Veenendaal gericht op de ICT-beveiliging van de Suwinet-aansluiting van gemeente Veenendaal. Deze aansluiting betreft uitsluitend de inkijk-functionaliteit. Wij hebben geen werkzaamheden uitgevoerd met betrekking tot de werking van interne beheersingsmaatregelen; wij brengen derhalve daarover geen oordeel tot uitdrukking. Het ICT-beveiligingsassessment inzake Suwinet omvat 26 normen, waarvan 11 door de ITauditor dienen te worden onderzocht. Deze 11 normen zijn alle van toepassing op gemeente Veenendaal. 1

5 Gemeenten Rhenen en Renswoude zijn eindverantwoordelijk voor alle 26 normen en dienen een toereikende PDCA-cyclus rond de uitbesteding van wettelijke taken aan de serviceorganisatie gemeente Veenendaal te hebben ingericht. 1.3 Verantwoordelijkheid van de opdrachtgever Gemeente Veenendaal is als serviceorganisatie (mede) verantwoordelijk voor de beschrijving van het object van onderzoek, het onderkennen van de beveiligingsrisico s van de Suwinetomgeving, het opzetten en implementeren van beveiligingsmaatregelen om te voldoen aan de 26 normen van de ENSIA-vragenlijst inzake Suwinet en het uitvoeren van een eigen ICTbeveiligingsassessment om de kwaliteit van de genomen maatregelen vast te stellen. 1.4 Verantwoordelijkheid van de auditor Onze verantwoordelijkheid is, op basis van de door ons uitgevoerde werkzaamheden, per geselecteerde beveiligingsrichtlijn van de ENSIA vragenlijst inzake Suwinet een oordeel te geven over de opzet en het bestaan van de interne beheersingsmaatregelen van gemeente Veenendaal ten behoeve van gemeenten Rhenen en Renswoude. Wij hebben onze opdracht uitgevoerd overeenkomstig het Nederlands recht en rekening houdende met de NOREA-richtlijn 3000, Richtlijn Assurance-opdrachten door IT-auditors. Dit vereist dat wij voldoen aan de voor ons geldende ethische voorschriften en onze werkzaamheden zodanig plannen en uitvoeren dat een redelijke mate van zekerheid wordt verkregen over de vraag of de interne beheersingsmaatregelen, in alle van materieel belang zijnde aspecten, op afdoende wijze zijn opgezet en bestaan per 6 april Onze assurance-opdracht om te rapporteren over opzet en bestaan van interne beheersingsmaatregelen binnen gemeente Veenendaal omvatte het uitvoeren van werkzaamheden ter verkrijging van assurance-informatie over de opzet en het bestaan van deze interne beheersingsmaatregelen. Wij hebben werkzaamheden uitgevoerd afhankelijk van onze oordeelsvorming, met inbegrip van het inschatten van de risico s dat de interne beheersingsmaatregelen niet op afdoende wijze zijn opgezet of niet bestaan. Wij zijn van mening dat de door ons verkregen assurance-informatie voldoende en geschikt is om daarop een onderbouwing voor onze oordelen te bieden. 2

6 1.5 Beperkingen Wij zijn afhankelijk van de medewerkers van gemeente Veenendaal ten aanzien van de juistheid en volledigheid van de verstrekte informatie. Wij kunnen geen verantwoordelijkheid aanvaarden voor wijzigingen in de door ons gehanteerde feiten en omstandigheden na de datum waarop wij de desbetreffende werkzaamheden hebben afgerond, tenzij wij tijdig van de wijzigingen in de door ons gehanteerde feiten en omstandigheden op de hoogte zijn gebracht. In het kader van de ENSIA-vragenlijst zijn uit het totaal van 26 normen inzake Suwinet 11 normen geselecteerd, waarover wij rapporteren. Vanwege deze selectie zijn we niet in staat om een samenvattende conclusie te verschaffen omtrent de beveiliging van de Suwinetomgeving van gemeente Veenendaal als geheel. 1.6 Uitgevoerde werkzaamheden De opzet van de interne beheersingsmaatregelen van gemeente Veenendaal hebben wij getoetst door het houden van interviews en het bestuderen van de. Het bestaan hebben wij getoetst door het doen van waarnemingen ter plaatse en door van een aantal beheersingsmaatregelen vast te stellen of ze worden nageleefd conform de opzet. Het bezoek aan gemeente Veenendaal heeft plaatsgevonden op 21 februari 2018, waarbij de interviews en directe bestaansvaststelling hebben plaatsgevonden. Wij hebben tot 6 april 2018 nadere toelichting en ontvangen. 1.7 Oordelen Onze oordelen zijn gevormd op basis van onze werkzaamheden zoals die zijn uiteengezet in dit rapport inzake gemeente Veenendaal. Per geselecteerde beveiligingsrichtlijn uit de ENSIA-vragenlijst hebben wij in de volgende tabel een overzicht weergegeven van onze oordelen over de opzet en het bestaan van de interne beheersingsmaatregelen van gemeente Veenendaal per 6 april Bij het vormen van onze oordelen hebben wij gebruik gemaakt van de criteria die in hoofdstuk 2 staan beschreven. Met is in de navolgende tabel aangegeven dat de interne beheersingsmaatregelen die verband houden met de op die regel aangegeven beveiligingsrichtlijn volgens de criteria genoemd in hoofdstuk 2 in alle materiële opzichten en met een redelijke mate van zekerheid effectief zijn. Daar waar de richtlijnen specifiek niet van toepassing zijn op gemeente Veenendaal is dit met een *) aangegeven. In dat geval zijn de interne beheersingsmaatregelen geheel bij BKWI belegd. 3

7 Nr Beschrijving van de beveiligingsrichtlijn Oordeel B.01 Suwinet aansluit beleid B.04 Beveiligingsfunctie Suwinet B.05 Taken, verantwoordelijkheden en Functie scheiding U.02 Autorisatie beheerproces U.03 Toegangsmechanisme: Gebruikersidentificatie- en authenticatie U.11 Netwerkverbindingen (BKWI) C.01 Evaluatie op aansluitbeleid C.04 Beoordeling van toegangsrechten C.05 Logging *) 1 C.06 Monitoring en rapportage C.07 Evaluatie van IAA rapportages 1 Logging binnen SUWInet Inkijk is door BKWI ingericht. Dit valt derhalve buiten de scope van ons onderzoek. 4

8 1.8 Beoogde gebruikers en doel Dit rapport hebben wij verstrekt aan gemeente Veenendaal, zodat gemeente Veenendaal dit rapport, inclusief bijlage A kan aanbieden aan gemeenten Rhenen en Renswoude. Dit rapport is uitsluitend bestemd voor gemeenten Veenendaal, Rhenen en Renswoude aangezien anderen, die niet op de hoogte zijn van de precieze scope, aard en doel van de werkzaamheden, de resultaten onjuist kunnen interpreteren. Het is niet toegestaan om deze rapportage, of onderdelen of samenvattingen daarvan, zowel mondeling als schriftelijk, aan derden (niet zijnde de hiervoor genoemde partijen) te verstrekken zonder onze uitdrukkelijke voorafgaande schriftelijke toestemming. Aan het verstrekken van onze toestemming kunnen wij nadere voorwaarden verbinden. Zoetermeer, 6 april 2018 Accoris B.V. P.C.M. Holierhoek RE RA Managing Partner 5

9 2 Criteria De criteria waarvan gebruik wordt gemaakt bij het uitvoeren van de opdracht houden in dat: De interne beheersingsmaatregelen die verband houden met de beveiligingsrichtlijnen op afdoende wijze zijn opgezet en geïmplementeerd per 6 april 2018; De risico s die het voldoen aan de beveiligingsrichtlijnen in gevaar brengen en daarmee de betrouwbaarheid van Suwinet aantasten, werden onderkend; De onderkende interne beheersingsmaatregelen, indien zij werkzaam zijn zoals opgezet en geïmplementeerd, een redelijke mate van zekerheid zouden moeten verschaffen om de risico s die het voldoen aan de beveiligingsrichtlijnen in gevaar brengen in voldoende mate beperken. 6

10 3 Object van onderzoek De dienstverlening van gemeente Veenendaal inzake werk en inkomen is gebaseerd op de overeenkomst inzake de samenwerking tussen gemeenten Veenendaal, Rhenen en Renswoude. In het kader van ENSIA wordt gemeente Veenendaal beschouwd als serviceorganisatie van gemeenten Rhenen en Renswoude. Met deze gemeenten is gemeente Veenendaal overeengekomen dat een TPM van een RE wordt verstrekt, die gemeenten Rhenen en Renswoude kunnen gebruiken bij de invulling van de ENSIA-vragenlijst en het opstellen van de collegeverklaring. Ten behoeve van gemeenten Rhenen en Renswoude voert gemeente Veenendaal werkzaamheden uit, waarvoor de aansluiting van gemeente Veenendaal op Suwinet van BKWI wordt gebruikt. Deze aansluiting betreft de zogenaamde inkijk-functionaliteit. De gemeente Veenendaal heeft op basis van de ENSIA-vragenlijst een eigen ICT-beveiligingsassessment uitgevoerd. In deze vragenlijst zijn 11 normen voor Suwinet vermeld, die in de TPM moeten worden opgenomen. Ons object van onderzoek is het ICT-beveiligingsassessment Suwinet-Inkijk van gemeente Veenendaal, voor zover dit betrekking heeft op de 11 geselecteerde normen, blijkende uit de Handreiking ENSIA voor IT-auditors (RE s) versie 1.0, gedateerd 31 januari Dit assessment is gedateerd 6 april 2018 en namens gemeente Veenendaal ondertekend door de heer Edward van Leeuwen, afdelingsmanager EW. In dit assessment wordt verwezen naar een elektronisch dossier met bewijstukken ter onderbouwing van de resultaten van dit assessment. 7

11 4 Verantwoordelijkheid gemeenten Rhenen en Renswoude Gemeente Veenendaal is als serviceorganisatie van gemeenten Rhenen en Renswoude (mede) verantwoordelijk voor de beschrijving van het object van onderzoek, het onderkennen van de beveiligingsrisico s, het opzetten en implementeren van beveiligingsmaatregelen om te voldoen aan de ENSIA-vragenlijst inzake Suwinet en het uitvoeren van een eigen ICTbeveiligingsassessment om de kwaliteit van de genomen maatregelen vast te stellen. Het ICT-beveiligingsassessment inzake Suwinet omvat 26 normen, waarover gemeente Veenendaal als serviceorganisatie gemeente Rhenen en gemeente Renswoude dient te informeren. Daarvan dienen de geselecteerde 11 normen door de IT-auditor te worden onderzocht. Deze 11 normen zijn alle van toepassing op serviceorganisatie gemeente Veenendaal. Gemeente Rhenen en gemeente Renswoude zijn eindverantwoordelijk voor alle 26 normen en dient een toereikende PDCA-cyclus rond de uitbesteding van wettelijke taken aan serviceorganisatie gemeente Veenendaal te hebben ingericht. 8

12 Bijlage A - Beschrijving van de testresultaten van de auditor In het kader van onze opdracht hebben wij op basis van het eigen ICT-beveiligingsassessment van gemeente Veenendaal de volgende werkzaamheden uitgevoerd: Het verkrijgen van inzicht in de relevante kenmerken van de werkzaamheden die door gemeente Veenendaal met behulp van Suwinet worden uitgevoerd; Het beoordelen van de scope van het assessment, inclusief het beoordelen van de maatregelen die bij gemeente Veenendaal moeten worden onderzocht; Het houden van interviews met verantwoordelijke functionarissen, vooral gericht op het onderkennen van risico s en het onderzoek in hoeverre deze risico s worden afgedekt door maatregelen; Het inventariseren van de opzet en het beoordelen van het bestaan van de relevante maatregelen. Dit door middel van het kennis nemen van en het doen van eigen waarnemingen; Het analyseren van de uitkomsten van de werkzaamheden met als doel het geven van oordelen per geselecteerde beveiligingsrichtlijn van de ENSIA-vragenlijst; Hierna hebben wij een korte beschrijving opgenomen van de door ons uitgevoerde werkzaamheden en onze oordelen, met zo nodig adviezen, over de interne beheersingsmaatregelen ter verbetering van de Suwinet-omgeving. Onze oordelen zijn verwoord als voldoet / voldoet niet (met reden) per beveiligingsrichtlijn. Nr Beschrijving van de beveiligingsrichtlijn Korte beschrijving van de uitgevoerde werkzaamheden B.01 Suwinet aansluit beleid Interview, B.04 Beveiligingsfunctie Suwinet Interview, Oordeel en adviezen Bijlage behorende bij rapport voor gemeente Veenendaal dd. 6 april

13 Nr Beschrijving van de beveiligingsrichtlijn B.05 Taken, verantwoordelijkheden en functie scheiding Korte beschrijving van de uitgevoerde werkzaamheden Interview, U.02 Autorisatie beheerproces Interview, Oordeel en adviezen U.03 Toegangsmechanisme, gebruikersidentificatie- en authenticatie Interview, U.11 Netwerkverbindingen (BKWI) Interview, C.01 Evaluatie op aansluitbeleid Interview, C.04 Beoordeling van Interview, toegangsrechten C.05 Logging Interview, C.06 Monitoring en rapportage Interview, C.07 Evaluatie van IAA rapportages Interview, Deze richtlijn is specifiek niet van toepassing op gemeente Veenendaal; de interne beheersingsmaatregelen zijn geheel bij BKWI belegd. Bijlage behorende bij rapport voor gemeente Veenendaal dd. 6 april