Kwaliteitsanalyse van het DigiD normenkader

Transcriptie

1 Kwaliteitsanalyse van het DigiD normenkader

2 Kwaliteitsanalyse van het DigiD normenkader Een analyse van het normenkader dat wordt gehanteerd bij het DigiD beveiligingsassessment. Nummer: Auteurs Begeleiders Roland Swinkels, MSc drs. Bart van Staveren, RE (VU) Tim Coenen, MSc ing. Jacques Herman, RA RE (Deloitte)

3

4 Voorwoord Deze scriptie is tot stand gekomen in het kader van de Postgraduate IT-audit opleiding aan de Vrije Universiteit te Amsterdam. Vanwege de grote betrokkenheid van ons kantoor bij het DigiD beveiligingsassessment stelden wij vragen bij de totstandkoming van het gehanteerde normenkader. Dit in samenspraak met de maatschappelijke relevantie van het beveiligingsassessment zorgde ervoor dat wij dit een geschikt onderwerp vonden om onze studie mee af te sluiten. Graag bedanken wij onze begeleiders ing. Jacques Herman, RA RE (Deloitte) en drs. Bart van Staveren, RE (Vrije Universiteit) voor hun begeleiding en ondersteuning bij de uitvoering van dit onderzoek en de totstandkoming van deze scriptie. Tevens bedanken wij drs. Rob Christiaanse (Vrije Universiteit) en dr. Joris Hulstijn (TU Delft) als zijnde sparring-partners met betrekking tot natuurlijke deductie en de meta-norm relevantie. I

5 Samenvatting In Nederland wordt de digitale identiteit van burgers voor de communicatie met onder andere overheidsinstanties geverifieerd door de overheidsdienst DigiD. Om de beveiliging van de diensten die door middel van DigiD toegankelijk worden gemaakt te toetsen, is een specifiek normenkader opgesteld. In dit onderzoek is de kwaliteit van versie 1.0 van het DigiD beveiligingsassessmentnormenkader onderzocht. Om de kwaliteit van normenkaders te kunnen beoordelen hebben wij de door NOREA gedefinieerde meta-normen verder geconcretiseerd en vervolgens hebben wij deze 5 meta-normen (objectiviteit; eenduidigheid; relevantie; herleidbaarheid; zorgvuldigheid) gehanteerd om een methode te ontwikkelen voor het beoordelen van normenkaders. Deze methode is vervolgens toegepast op het DigiD normenkader. Door het DigiD-normenkader te evalueren aan de hand van deze methode concluderen wij dat het DigiD beveiligingsassessment-normenkader slechts deels voldoet aan de kwaliteitseisen voor IT-audit normenkaders van NOREA. De specificiteit van normen kan vergroot worden door concreter aan te gegeven welke audit-objecten en acties relevant zijn en welke tijdslijnen hierbij in acht genomen dienen te worden. De herleidbaarheid van het normenkader is beperkt, waarbij wij constateren dat voornamelijk technische maatregelen sterk zijn vertegenwoordigd. Het normenkader besteedt onvoldoende aandacht aan het waarborgen van de authenticiteit en beschikbaarheid in het kader van de meta-norm zorgvuldigheid. Vanuit het oogpunt van maatschappelijk verantwoord IT-gebruik zijn dit essentiële aspecten. De relevantie van het normenkader als geheel dekt alle (door ons) geïdentificeerde risico s en is daarom geschikt voor het beoogde doel. Aangezien bepaalde normen een lagere relevantiescore hebben kan overwogen worden om dergelijke normen achterwege te laten of deze te vervangen. II

6 Inhoudsopgave VOORWOORD... I SAMENVATTING... II LIJST VAN FIGUREN... V LIJST VAN TABELLEN... V 1. INLEIDING RELEVANTIE PROBLEEMSTELLING Deelvragen ONDERZOEKSAANPAK THEORETISCH KADER Afbakening Variabelen Termen en concepten Objectiviteit Eenduidigheid Relevantie Herleidbaarheid Zorgvuldigheid METHODE OBJECTIVITEIT EENDUIDIGHEID Multi-criteria analyse Effectentabel RELEVANTIE HERLEIDBAARHEID ZORGVULDIGHEID Het proces van totstandkoming CASE STUDY OBJECTIVITEIT Specifiek Meetbaar Realistisch Tijdsgebonden Multi-criteria analyse Beantwoording deelvraag EENDUIDIGHEID Audit Objecten Acties Tijdslijnen Multi-criteria analyse Beantwoording deelvraag RELEVANTIE Risico identificatie Relevantie berekening III

7 3.3.3 Beantwoording deelvraag HERLEIDBAARHEID Gebruikte bronnen Risicoanalyse Hiaten Beantwoording deelvraag ZORGVULDIGHEID Vertrouwelijkheid Integriteit Authenticiteit Beschikbaarheid Beantwoording deelvraag CONCLUSIE BEANTWOORDING DEELVRAGEN BEANTWOORDING HOOFDVRAAG RELEVANTIE EN VERVOLG ONDERZOEK REFLECTIE TIM COENEN REFLECTIE ROLAND SWINKELS LITERATUUR BIJLAGEN APPENDIX A: NORMENKADER DIGID BEVEILIGINGSASSESSMENT APPENDIX B: LOGISCH BEWIJS VAN RELEVANTIE STELLING APPENDIX C: UITWERKING VAN METANORM OBJECTIVITEIT APPENDIX D: MULTI-CRITERIA ANALYSE BIJ METANORM OBJECTIVITEIT APPENDIX E: UITWERKING VAN METANORM EENDUIDIGHEID APPENDIX F: MULTI-CRITERIA ANALYSE BIJ METANORM EENDUIDIGHEID APPENDIX G: RELEVANTIEGRADEN DIGID NORMENKADER APPENDIX H: UITWERKING VAN METANORM HERLEIDBAARHEID APPENDIX I: UITWERKING VAN METANORM ZORGVULDIGHEID APPENDIX J: MULTI-CRITERIA ANALYSE BIJ METANORM ZORGVULDIGHEID IV

8 Lijst van figuren Figuur 1: Causaal model... 3 Figuur 2: Aspecten van herleidbaarheid... 7 Figuur 3: Classificatie Specificiteit Figuur 4: Classificatie Meetbaarheid Figuur 5: Classificatie Realisme Figuur 6: Classificatie Tijdsgebondenheid Figuur 7: Slecht scorende normen op objectiviteit Figuur 8: Classificatie Audit Objecten Figuur 9: Classificatie Acties Figuur 10: Classificatie Tijdslijnen Figuur 11: Slecht scorende normen op eenduidigheid Figuur 12: Raamwerk beveiliging web applicaties Figuur 13: Classificatie Vertrouwelijkheid Figuur 14: Classificatie Integriteit Figuur 15: Classificatie Authenticiteit Figuur 16: Classificatie Beschikbaarheid Figuur 17: Multi-criteria analyse Zorgvuldigheid Lijst van tabellen Tabel 1: Effectentabel metanorm Eenduidigheid V

9 1. Inleiding Volgens de e-government Survey van de Verenigde Naties is Nederland, na Zuid-Korea, wereldleider op het gebied van ontwikkelingen en investeringen in digitale communicatie tussen de overheid en haar inwoners (United Nations. Department of Economic and Social Affairs, 2012). Dergelijke ontwikkelingen en investeringen bieden Nederland aanzienlijke efficiëntie- en flexibiliteitsvoordelen. Hier dient echter wel rekening te worden gehouden met de risico s die gepaard gaan met het digitaal aanbieden van overheidsdiensten. In Nederland wordt de digitale identiteit van burgers voor de communicatie met onder andere overheidsinstanties geverifieerd door de overheidsdienst DigiD. Het vereist niet veel fantasie om voor te stellen wat een kwaadwillende zoal kan doen met uw belastinggegevens, uw kentekenbewijs, of na het digitaal maken van een afspraak bij de gemeente: uw identiteitsbewijs. Om de beveiliging van diensten die door middel van DigiD toegankelijk worden gemaakt te toetsen, is specifiek voor dit doel een normenkader opgesteld. Op basis hiervan dienen publieke organisaties die gebruik maken van de DigiD dienst zich uiterlijk voor eind 2013 te laten auditen. 1.1 Relevantie De DigiD dienst is de laatste periode regelmatig onderwerp van gesprek geweest 1 : 8 januari 2014: DigiD Amsterdammers gehackt 16 augustus 2013: DigiD urenlang slecht bereikbaar door DDos-aanval 24 april 2013: DigiD onbereikbaar door DDos-aanval 4 april 2013: DigiD over paar jaar vervangen door fysieke pas 15 januari 2013: DigiD volgens minister 'zo goed als het kan' 9 januari 2013: DigiD onbereikbaar na lek 25 juli 2012: Gemeenten nog niet klaar voor beveiligingstest 4 november 2011: Veel gemeentesites nog niet veilig genoeg voor DigiD oktober 2011: DigiD-fraude mogelijk door kwetsbare overheid sites Naar aanleiding van onder meer het lektober schandaal 2 en andere beveiligingsincidenten is begin 2012 door de toenmalige minister Spies bepaald dat DigiD-gebruikende organisaties jaarlijks een beveiligingsassessment uit dienen te voeren naar de veiligheid van hun DigiD dienstverlening (Minister Spies van Binnenlandse Zaken en Koninkrijksrelaties, 2012). Door Logius (de beheerorganisatie van DigiD) is gekozen voor een aantal beveiligingsrichtlijnen met betrekking tot web-applicaties, zoals opgesteld door het NCSC (Nationaal Cyber Security Centrum, 2012). Deze zijn verwerkt in het normenkader dat gehanteerd dient te worden bij het uitvoeren van het DigiD beveiligingsassessment, zie Appendix A: Normenkader DigiD beveiligingsassessment. 1.2 Probleemstelling Het DigiD beveiligingsassessment staat nog in de kinderschoenen en in het normenkader is qua effectiviteit, duidelijkheid en toegevoegde waarde nog ruimte voor verbetering mogelijk. Het doel van dit onderzoek is de kwaliteit te onderzoeken van versie 1.0 van het DigiD beveiligingsassessment- 1 Bron: Nu.nl 2 In oktober 2011 is van tientallen (lokale) overheidssites aangetoond dat ze grote beveiligingslekken bevatten. Het lektober schandaal. 1

10 normenkader. Een tweede doel is het aandragen van punten ter verbetering met betrekking tot het DigiD beveiligingsassessment-normenkader. Door het huidige normenkader tegen het licht te houden wordt meer inzicht verkregen in hoe op uniforme en efficiënte wijze assurance gegeven kan worden over cyber security. De hoofdvraag die zal worden beantwoord is de volgende: In welke mate voldoet het DigiD beveiligingsassessment-normenkader aan de kwaliteitseisen voor IT-audit normenkaders van NOREA? Deze vraag bekijken wij vanuit het perspectief van de auditor Deelvragen Om deze hoofdvraag te kunnen beantwoorden beoordelen wij het normenkader op basis van een aantal meta-normen (kwaliteitseisen) die door NOREA zijn opgesteld. In december 2002 heeft NOREA het studierapport Raamwerk voor ontwikkeling Normenstelsels en standaarden uitgebracht (NOREA, 2002). Hierin wordt een vijftal meta-normen beschreven waarmee de kwaliteit van normenkaders in het IT-audit vakgebied kan worden beoordeeld, zijnde: herleidbaarheid, zorgvuldigheid, relevantie, eenduidigheid en objectiviteit. Op basis van deze meta-normen hebben wij onze deelvragen geformuleerd. 1. Objectiviteit: Is het normenkader vrij van subjectiviteit bij het uitwerken van de normen? 2. Eenduidigheid: Zijn de normen helder geformuleerd en worden ze derhalve uniform geïnterpreteerd? 3. Relevantie: Is het DigiD beveiligingsassessment-normenkader geschikt voor het beoogde doel? 4. Herleidbaarheid: Hoe is het DigiD beveiligingsassessment-normenkader tot stand gekomen en kan worden vastgesteld waaraan normen zijn ontleend? 5. Zorgvuldigheid: Dienen de DigiD beveiligingsassessment-normen het maatschappelijke belang en is voldoende zorg besteed aan de totstandkoming van het normenkader? 1.3 Onderzoeksaanpak Het onderzoek bestaat uit drie delen: Het eerste deel (paragraaf 1.4 Theoretisch kader) richt zich op het beschrijven van onze interpretatie van de meta-normen aan de hand van de literatuur. Het tweede deel (hoofdstuk 2 Methode) richt zich op het ontwikkelen van een methode om de kwaliteit van een normenkader te toetsen aan de hand van de meta-normen en dit waar mogelijk te kwantificeren. Het derde deel (hoofdstuk 3 Case study) richt zich op het toepassen van de ontwikkelde methode op het DigiD beveiligingsassessment-normenkader. Hierbij is het onderzoek te typeren als een kwalitatief toetsend onderzoek. 1.4 Theoretisch kader De theoretische basis die wij hanteren voor de opzet van dit onderzoek is voornamelijk gebaseerd op een publicatie van NOREA (Nederlandse Orde van Register EDP-Auditors) waarin meta-normen zijn gedefinieerd waarmee de kwaliteit van een IT-audit raamwerk kan worden getoetst (NOREA, 2002). De NOREA publicatie formuleert de vijf verschillende meta-normen als volgt: 1. Objectiviteit: de mate waarin normen(stelsels) vrij zijn van persoonlijke beïnvloeding; 2. Eenduidigheid: de mate van precisering en eenduidigheid van formulering; 2

11 3. Relevantie: de mate waarin normen(stelsels) bruikbaar zijn voor bepaalde audit-opdrachten; 4. Herleidbaarheid: de mate waarin kan worden vastgesteld waaraan normen(stelsels) zijn ontleend; 5. Zorgvuldigheid: de mate waarin het normenstelsel beantwoordt, al dan niet juridisch verankerd, aan de maatschappelijke opvattingen over behoorlijk IT-gebruik. De 5 deelvragen die worden beantwoord in dit onderzoek (zie paragraaf 1.2.1) zijn gebaseerd op bovenstaande meta-normen Afbakening Binnen dit onderzoek doen wij de aanname dat de publicatie van NOREA met de vijf meta-normen de graadmeter is voor het bepalen van de kwaliteit van een normenkader. We nemen dit gegeven aan als waarheid en proberen zo helder mogelijk onze interpretatie van de meta-normen te specificeren in paragraaf Daarnaast passen wij deze kwaliteitsanalyse toe op versie 1.0 van het normenkader dat wordt gebruikt voor het uitvoeren van het DigiD beveiligingsassessment zoals dit is vastgesteld op 21 februari 2012 (Logius - Ministerie van Binnenlandse Zaken en Koninkrijksrelaties, 2012). Dit normenkader bestaat uit 28 normen en is te vinden in Appendix A: Normenkader DigiD beveiligingsassessment Variabelen In onderstaand causaal model representeren wij de variabelen in dit onderzoek om de oorzakelijkheid grafisch weer te geven. Voldoen aan meta-normen Norm + Kwaliteit van normenkader Figuur 1: Causaal model De mate waarin de normen voldoen aan de meta-normen zoals door NOREA opgesteld, is positief gecorreleerd aan de kwaliteit van het normenkader Termen en concepten In het rapport van NOREA is per meta-norm een definitie gegeven. Deze definities geven echter nog ruimte voor verschillende interpretaties. In deze paragraaf bespreken we de vijf meta-normen en wordt per meta-norm de interpretatie uitgelegd zoals is gehanteerd in dit onderzoek. 3

12 Objectiviteit ob jec tief 1 zich bepalend tot de feiten, niet beïnvloed door eigen gevoel of door vooroordelen hyperoniem: waarheidsgetrouw hyponiem(en): broodnuchter, nuchter 3 Er zijn vele verschillende manieren waarop objectiviteit kan worden geïnterpreteerd. Binnen de filosofie bijvoorbeeld bestaat iets objectief wanneer dit niet afhangt van het bewustzijn van een individu. In de juridische wereld ligt de nadruk op onpartijdigheid en onafhankelijkheid en in de psychologie gebruiken ze niet het woord objectief maar de termen betrouwbaarheid en validiteit om hetzelfde aan te duiden. Het studierapport van NOREA (NOREA, 2002) beschrijft de volgende defintie van de metanorm objectiviteit : De mate waarin normen(stelsels) vrij zijn van persoonlijke beïnvloeding. De definitie van de norm geeft veel ruimte voor interpretatie. We doen twee aannames in het kader van de definitie: 1. Een norm wordt opgesteld door een persoon en een norm wordt getest door een ander persoon. Dit zijn de twee actoren binnen de definitie waar persoonlijke beïnvloeding op van toepassing kan zijn. 2. Daarnaast kan persoonlijke beïnvloeding van toepassing zijn op de beschrijving van de norm of op de uitwerking van de norm. Op basis van de bovenstaande twee aannames zijn vier manieren te onderscheiden waarop de persoonlijke beïnvloeding van of door de normen plaats kan vinden: 1. Beïnvloeding in de beschrijving van de norm door de tester (uitgesloten); 2. Beïnvloeding in de beschrijving van de norm door de opsteller (herleidbaarheid); 3. Beïnvloeding in de uitwerking van de norm door de tester (relatie met eenduidigheid); 4. Beïnvloeding in de uitwerking van de norm door de opsteller (evident); De eerste manier is uitgesloten, daar een tester geen beschrijving opstelt. De tweede manier heeft te maken met de herleidbaarheid van de norm: op welke wijze heeft de opsteller de beschrijving van de norm opgesteld? Herleidbaarheid is een andere meta-norm die in paragraaf is uitgewerkt. De derde manier heeft een sterke relatie met de meta-norm eenduidigheid: werken alle testers de norm op dezelfde wijze uit? Eenduidigheid is een andere meta-norm die in paragraaf is uitgewerkt. De vierde manier is tevens uitgesloten, aangezien het evident is dat de wijze waarop de norm is opgesteld invloed zal hebben op de uitwerking van de norm. De bovenstaande uitwerkingen van deze vier manieren leiden ertoe dat wij in het kader van dit onderzoek voornamelijk uitgaan van de derde interpretatie van het begrip objectiviteit: beïnvloeding in de uitwerking van de norm door de tester. Hierbij onderkennen wij een duidelijk verschil met de metanorm eenduidigheid. Waar bij objectiviteit wordt uitgegaan van een verschillende uitwerking van een 3 Van Dale versie 5.0 uit

13 norm bij eenzelfde interpretatie, is bij eenduidigheid juist de vraag of sprake is van deze gelijke interpretatie. Bij het beoordelen van objectiviteit beperken wij ons binnen dit onderzoek tot de objectiviteit van de individuele normen en derhalve laten wij de objectiviteit van het normenkader als geheel buiten beschouwing Eenduidigheid een dui dig 1 voor slechts één uitleg vatbaar synoniem(en): ondubbelzinnig antoniem(en): meerduidig 4 Het studierapport van NOREA (NOREA, 2002) beschrijft de volgende defintie van de meta-norm eenduidigheid : De mate van precisering en eenduidigheid van formulering. Het antoniem van eenduidig is ambigu. Ambiguitieit komt voor wanneer context mist. Een normenkader is ontwikkeld met een duidelijk doel. Om die reden wordt de eenduidigheid van het normenkader als geheel niet getoetst. Daarentegen wordt de syntactische ambiguiteit (multiinterpretabele zinsconstructies) en semantische ambiguiteit (multi-interpretabele woorden) voor de individuele normen wel getoetst aangezien de indivduele normen wellicht op meerdere manieren kunnen worden geinterpreteerd. Wij maken hierbij een duidelijk onderscheid met de meta-norm objectiviteit. Bij de meta-norm objectiviteit kan men zich de vraag stellen: Kan de norm op verschillende wijzen worden uitgewerkt bij een gelijke interpretatie van de norm? Bij de meta-norm eenduidigheid kan men zich de vraag stellen: Kan de norm op verschillende wijze worden geinterpreteerd? De mate van eenduidigheid van een norm is negatief gecorreleerd aan het subjectief uitwerken van de norm. In andere woorden: hoe minder eenduidig de norm is opgesteld, hoe groter de kans dat een norm subjectief wordt uitgewerkt. Bij het beoordelen van eenduidigheid beperken wij ons binnen dit onderzoek tot de eenduidigheid van de individuele normen en daarom laten wij de eenduidigheid van het normenkader als geheel buiten beschouwing Relevantie re le vant 1 belangrijk binnen een bepaald kader hyperoniem: belangrijk1 antoniem(en): irrelevant 5 Het studierapport van NOREA (NOREA, 2002) beschrijft de volgende defintie van de meta-norm relevantie : 4 Van Dale versie 5.0 uit Van Dale versie 5.0 uit

14 De mate waarin normen(stelsels) bruikbaar zijn voor bepaalde audit-opdrachten In een artikel van Hjørland & Sejer Christensen uit 2002 (Christensen, 2002) vinden we de volgende definitie van relevantie: Something (A) is relevant to a task (T) if it increases the likelihood of accomplishing the goal (G), which is implied by T. De waarden A, T en G vertalen zich in ons onderzoek als volgt: (A) De Logius normen; (T) Het uitvoeren van het DigiD beveiligingsassessment; (G) Het beoordelen van de beheersing van de informatiebeveiligingsrisico s ten aanzien van DigiD. Dat geeft de volgende definitie in het kader van ons onderzoek: De Logius normen zijn relevant voor het uitvoeren van het DigiD beveiligingsassessment als het de waarschijnlijkheid vergroot dat daarmee de informatiebeveiligingsrisico s van de DigiD koppeling inzichtelijk worden gemaakt. Op basis van bovenstaande definitie van relevantie hebben wij stellingen gedefinieerd waarmee de relevantie aangetoond kan worden. Onze stelling over de relevantie van een normenkader in natuurlijke taal is als volgt: Voor alle normen in het normenkader geldt: als er een norm is dat een risico mitigeert en dit risico is relevant voor het assessment, dan is de norm ook relevant voor het assessment. En andersom geldt: Voor alle normen in het normenkader geldt: als er norm is dat geen risico mitigeert, of als er een norm is dat een risico wel mitigeert en dit risico is niet relevant voor het assessment, dan is deze norm niet relevant voor het assessment. We gaan hierbij uit van een oplossingsgerichttheid waarbij uit een norm altijd maatregelen vloeien die een risico kunnen mitigeren. Op basis van bovenstaande definities spreken we in dit kader dus over de relevantie van de opzet van de normen. De relevantie van de uitwerking van de normen valt buiten de scope van dit onderzoek. Natuurlijke deductie is een methode om de geldigheid van een redenering te bewijzen. Met preditcaatlogica kunnen we de relatie tussen verzamelingen objecten aangeven. Onze stelling geformuleerd in predicaatlogica maakt het volgende: Zie Appendix B: Logisch bewijs voor het logisch bewijs van de bovenstaande stelling. Naast het beoordelen van de relevantie per norm volgens bovenstaande methodologie onderkennen wij binnen dit onderzoek echter ook de relevantie van het gehele normenkader. Hierbij zal worden gekeken naar hoe de relevantie van het normenkader zich verhoudt tot de omgeving waarbinnen het 6

15 normenkader wordt gehanteerd. Het normenkader zal namelijk worden toegepast bij een breed scala aan organisaties, waarbij sprake is van grote diversiteit als het gaat om omvang en complexiteit. De risico s zijn niet altijd hetzelfde en in elke omgeving zijn andere aspecten relevant Herleidbaarheid her leid baar 1 herleid kunnende worden, te herleiden antoniem(en): onherleidbaar 6 Het studierapport van NOREA (NOREA, 2002) beschrijft de volgende defintie van de meta-norm herleidbaarheid : De mate waarin kan worden vastgesteld waaraan normen(stelsels) zijn ontleend. De bron waar de normen op zijn gebaseerd dient duidelijk beschreven te zijn en er dient een duidelijke relatie te bestaan tussen de normen en de bronnen. We testen deze norm op verschillende aspecten: 1. Is de relatie duidelijk tussen het normenkader en de gebruikte bronnen? 2. Ligt een risicoanalyse ten grondslag aan de samenstelling van het normenkader? 3. Onderkennen wij aspecten uit raamwerken/standaarden die onvoldoende zijn meegenomen door het normenkader? Risicoanalyse 2 Normen 1 Bronnen 3 Figuur 2: Aspecten van herleidbaarheid Met het eerste aspect toetsen wij of de normen in het normenkader hun oorsprong vinden in bronnen die zijn gebruikt bij het ontwikkelen van het normenkader. Met het tweede aspecten toetsen wij of een risicoanalyse ten grondslag ligt aan de totstandkoming van het normenkader. In paragraaf Relevantie hebben wij gezegd dat een normenkader relevant is als het risico s mitigeert. Deze risico s dienen wel geïdentificeerd te zijn. Met het derde aspect wordt getoetst of onderdelen uit bronnen waarvan wij vinden dat deze in het normenkader voor moeten komen daadwerkelijk met het normenkader worden getoetst. We testen deze meta-norm daarom vanuit verschillende perspectieven. Niet enkel van normenkader naar bronnen, maar ook van te verwachte bronnen naar normenkader en van normenkader naar onderliggende riscio s. Hierbij kijken wij naar de herleidbaarheid van zowel de normen als het normenkader in zijn geheel. 6 Van Dale versie 5.0 uit

16 Zorgvuldigheid zorg vul dig 1 waaraan veel zorg besteed is of wordt synoniem(en): accuraat, consciëntieus, nauw, nauwgezet, nauwkeurig, precies, punctueel, scrupuleus, secuur, soigneus, stipt 7 Het studierapport van NOREA (NOREA, 2002) beschrijft de volgende defintie van de meta-norm zorgvuldigheid : De mate waarin het normenstelsel beantwoordt, al dan niet juridisch verankerd, aan de maatschappelijke opvattingen over behoorlijk IT-gebruik. Maatschappelijke opvattingen in dit kader zijn de opvattingen van de maatschappij over hoe de overheid met de digitale gegevens van de burgers omgaat. Vanuit het oogpunt dat we te maken hebben met een normenkader dat is gericht op de beveiliging van digitale gegevens, is binnen de rechtspraak een aantal beginselen met betrekking tot het behoorlijk IT gebruik juridisch verankerd (Siemerink, 2007). 1. Vertrouwelijkheid a. Het recht dat onbevoegden geen kennis nemen van als geheim of vertrouwelijk aangemerkte gegevens. 2. Integriteit a. Het recht om zeker te zijn van de correctheid van gegevens. 3. Authenticiteit a. Het vaststellen van de geldigheid van (rechts)handelingen. 4. Beschikbaarheid a. Het recht om informatie te ontvangen (Raad van Europa, 1950). 5. Transparantie a. Het recht om inzicht te hebben in de informatie die de overheid over je beheert. 6. Flexibiliteit a. Het recht dat nieuwe regelingen en feiten eenvoudig moeten kunnen worden ingepast binnen de gebruikte informatiesystemen. Maatschappelijke opvattingen zijn aan verandering onderhevig. Wat nu een hoge prioriteit heeft, heeft dat morgen misschien niet meer. Het kan daarom afhankelijk zijn van de testperiode welke de maatschappelijke opvattingen relevant zijn. We doen de aanname dat we de belangrijkste maatschappelijke opvattingen met betrekking tot behoorlijk IT gebruik met bovenstaande 6 beginselen genoemd hebben. Naast dat de meta-norm zorgvuldigheid voor elk van de normen uit het normenkader is toegepast, richt dit onderzoek zich tevens op de zorgvuldigheid van de totstandkoming van het normenkader als geheel. Wij onderkennen verschillende elementen die van belang zijn om de zorgvuldigheid van de totstandkoming van het normenkader te beoordelen: 1. Hoe zijn key beslissingen genomen? 2. Zijn de belangen van betrokken partijen voldoende afgewogen? 7 Van Dale versie 5.0 uit

17 3. Wat waren beperkingen binnen het proces en wat was de invloed hiervan op het eindresultaat? 9

18 2. Methode We voeren een kwaliteitsanalyse uit op basis van onze interpretatie van de meta-normen zoals beschreven in het theoretisch kader. In dit hoofdstuk wordt de methode beschreven waarmee wij onze analyse uitvoeren. We proberen dit waar mogelijk te kwantificeren, maar het uitvoeren van een kwaliteitsanalyse impliceert al dat kwantificatie niet altijd mogelijk is. 2.1 Objectiviteit Om de objectiviteit van de normen te toetsen, oftewel om vast te stellen in hoeverre een norm verschillend kan worden uitgewerkt bij een gelijke interpretatie, controleren we of de normen het SMART-principe hanteren. SMART staat voor: Specifiek, Meetbaar, Acceptabel, Realistisch en Tijdsgebonden (Rubin, 2002). Wanneer normen het SMART principe hanteren wordt een acceptabele mate van objectiviteit gewaarborgd (Doran, 1981). Voor het toetsen van de mate van objectiviteit van de normen, verifiëren wij of de normen voldoen aan het SMART-principe. Hiervoor worden de normen grammaticaal ontleed aan de hand van de volgende aspecten: Specifiek: In de norm staat duidelijk beschreven op welke objecten de norm van toepassing is. Voor het toetsen of de norm specifiek genoeg is ontleden we de norm taalkundig en redekundig ontleden. Afhankelijk van de wijze waarop de norm is opgesteld zoeken we een zelfstandig naamwoord (taalkundig), een lijdend voorwerp (redekundig) of een meewerkend voorwerp (redekundig). Meetbaar: De acties in de norm zijn door middel van documentatie/auditwerkzaamheden te bewijzen. De wijze waarop een norm gemeten kan worden is subject aan de professionaliteit van de auditor en wordt doorgaans niet gedocumenteerd in de norm zelf. Dat het te bewijzen moet kunnen zijn tijdens de auditwerkzaamheden is wel van belang. Acceptabel: Zoals vermeld in het theoretisch kader werken wij het principe Acceptabel niet uit in deze paragraaf. Zie hoofdstuk 2.3. Realistisch: Het uitvoeren van de norm is haalbaar binnen de kaders van het assessment. Een norm is realistisch wanneer men naar alle redelijkheid mag verwachten dat de auditor die verantwoordelijk is voor het testen van de norm hiertoe in staat kan worden geacht. Het hanteren van onrealistische normen kan er toe leiden dat bij een gelijke interpretatie van de norm deze toch anders wordt gehanteerd. Tijdsgebonden: In de norm staan concrete tijdspaden vermeld. Het vermelden van tijd is niet bij elke norm even relevant. Echter het concretiseren van tijd is wel van belang. Passieve vermeldingen van tijd zijn bijvoorbeeld: af en toe, regelmatig of genoeg. Om de normen te beoordelen op bovenstaande aspecten en dit tevens te kwantificeren passen wij een multi-criteria analyse toe. Voor een nadere toelichting met betrekking tot de aanpak van deze analyse verwijzen wij naar paragraaf

19 Bij deze multi-criteria analyse is aan elk van de aspecten (specificiteit etc.) een weging meegegeven. De toegekende wegingen zijn als volgt voor de verschillende aspecten: Specificiteit: 50% Meetbaarheid: 10% Realisme: 10% Tijdsgebondenheid: 30% Voor deze verdeling is gekozen aangezien wij verwachten dat het aspect specificiteit een grote invloed zal hebben op de overige aspecten. Met betrekking tot de multi-criteria analyse is per norm voor elk van de principes een waarde toegekend (0=not ok; 1=partially ok; 2=ok of 2=niet van toepassing). Door deze waarden vervolgens te vermenigvuldigen met de wegingen per principe en door vervolgens de waarden per norm op te tellen komen wij tot een waardering per norm. 2.2 Eenduidigheid Om te toetsen of per norm sprake is van syntactische of semantische ambiguiteit, voeren wij per norm een analyse uit waarbij de volgende vragen worden gesteld: 1. Is het op verschillende manieren te interpreteren welke audit objecten van toepassing zijn? 2. Is het op verschillende manieren te interpreteren welke acties uitgevoerd dienen te worden? 3. Is het op verschillende manieren te interpreteren op welke tijdslijnen de acties uitgevoerd dienen te worden? Aangezien de normen op bovenstaande 3 criteria beoordeeld worden op zowel syntactische als semantische ambiguiteit maken wij gebruik van een multi-criteria analyse Multi-criteria analyse Met een multi-criteria analyse kunnen objecten op meerdere criteria beoordeeld worden om deze kwalitatieve beoordeling zoveel mogelijk te kwantificeren. Per norm wordt beoordeeld in welke mate deze voldoet aan de eerder genoemde criteria. We gebruiken drie verschillende waarden in onze analyse: een 0 wanneer een criterium niet voorkomt in de norm; een 1 wanneer een criterium wel voorkomt in de norm maar ambigu is opgesteld, dus op twee verschillende manieren kan worden geïnterpreteerd; een 2 wanneer een criterium wel voorkomt in de norm en maar op één manier kan worden geïnterpreteerd. De antwoorden op de eerder genoemde drie vragen zijn de criteria waarop kwalitatief wordt beoordeeld of een norm al dan niet eenduidig is. Welke waarde elk criterium heeft is vastgelegd in een effectentabel. In het theoretisch kader is er voor gekozen om dit onderzoek slechts te beperken tot de objectiviteit van de individuele normen Effectentabel Er zijn twee manieren waarop ambiguiteit kan voorkomen: syntactische ambiguiteit (multiinterpretabele zinconstructies) en semantische ambiguiteit (multi-interpretabele woorden). In een effectentabel kennen we waarden toe aan zowel de syntactische ambiguiteit als de semantische 11

20 ambiguiteit van elk van de eerder genoemde criteria. De waarden liggen tussen de 0 en 1 en zijn kwalitatief gekozen. Zo is er voor gekozen om de criteria Audit objecten, Acties en Tijdslijnen te toetsen, omdat het voor de eenduidigheid van de norm belangrijk is dat deze criteria helder en uniform worden geinterpreteerd. Bij het aspect Tijdslijnen is er voor gekozen om deze semantisch te testen, aangezien dit bij de interpretatie van de tijdslijnen de meeste onduidelijkheid op kan leveren. Audit objecten Acties Tijdslijnen Syntactisch 0,35 0,45 - Semantisch - - 0,20 Tabel 1: Effectentabel metanorm Eenduidigheid Aan de hand van bovenstaande waarden in de effectentabel is het mogelijk om voor zowel de syntactische ambiguiteit als de semantische ambiguiteit een kwantitatieve waarde te berekenen na de multi-criteria analyse. Afhankelijk van deze waarde kan bepaald worden in welke mate een norm eenduidig is. Het is theoretisch mogelijk om hiermee de eenduidigheid van het gehele normenkader te kwantificeren, echter is er in het theoretisch kader voor gekozen om dit onderzoek slechts te beperken tot de eenduidigheid van de individuele normen. 2.3 Relevantie Relevantie is een subjectief begrip, niet elke norm is even relevant en een norm kan indirect relevant zijn. We proberen dit te kwanitificeren op basis van onderstaande, zelf ontwikkelde, methode. De basis hiervoor is ons begrip van relevantie zoals dat in het theoretisch kader is genoemd. Per norm kan een relevantiegraad worden bepaald door het kwalitatief classificeren van het risico. Dus het inschatten van de impact en de likelyhood van de gekoppelde risico s ( ) in relatie tot de norm en het doel van het assessment. Dit doen we door te beginnen met een risico identificatie. De risico identificatie vindt plaats op basis van het doel van het assessment. Vervolgens leggen we de relatie tussen normen en één of meerdere risico s die worden gemitigeerd door deze normen. Daarna kunnen we het risicoprofiel van elk van de 28 normen individueel beoordelen en kunnen we een relevantiegraad aan de normen toekennen. De som van alle relevantiegraden geeft de mate weer waarin het normenstelsel relevant is voor het doel. Wanneer elk risico minstens één mitigerende norm heeft, dan is de relevantiewaarde van het normenstelsel altijd 100%. We nemen hierbij drie verschillende aspecten mee in onze berekening: (1) de classificatie van de risico s (2) het aantal normen dat een risico mitigeert en (3) het aantal risico s dat wordt gemitigeerd door een norm. 12

21 Wanneer een norm een risico mitigeert dat een hoge risico classificatie heeft, dan wordt deze norm relevanter voor het assessment. Wanneer vervolgens meerdere normen eenzelfde risico mitigeren, dan worden de normen iets minder relevant voor het assessment. Als een norm niet wordt getest, wordt het bijbehorende risico immers nog steeds getest door andere normen. Tenslotte, wanneer een norm meerdere risico s mitigeerd wordt deze norm relevanter voor het assessment aangezien deze norm meer bijdraagt aan het verwezenlijken van het assessment doel. Om complementaire normen of indirect relevante normen in dit model te berekenen, kan naast een 100% mitigerende waarde ( = 1) ook een andere waarde tussen 0 en 1 gekozen worden. Een mitigerende waarde van = 0,5 betekent dus dat een norm maar voor 50% het risico mitigeert. Dit kan betekenen dat de norm van andere normen afhankelijk is om het risico volledig te mitigeren, of dat een norm indirect relevant is en wij de mitigerende waarde als 50% inschatten. De impact, likelyhood en variabele worden op een kwalitatieve wijze beoordeeld. Naast het beoordelen van de relevantie van de verschillende normen voor het DigiD beveiligingsassessment van de verschillende normen, beoordelen we in het kader van dit onderzoek ook de relevantie van het normenkader als geheel. 2.4 Herleidbaarheid Om de herleidbaarheid van het normenkader als geheel te toetsen, zijn binnen het theoretisch kader al 3 verschillende elementen beschreven. Stap 1 betreft het herleiden van de bron(nen) waarop de normen zijn gebaseerd. Vervolgens kunnen deze bronnen waarschijnlijk ook herleid worden naar de bronnen van deze bronnen. Om niet te verzanden in een oneindige zoektocht naar de absolute basisbronnen zijn enkel de eerste 2 stappen genomen. Dus het herleiden van de bronnen van de normen, en de bronnen van deze bronnen. Met betrekking tot het tweede aspect van de toetsing van de herleidbaarheid wordt onderzocht of een risicoanalyse ten grondslag heeft gelegen aan de totstandkoming van het normenkader. Hierbij wordt gekeken of een dergelijke analyse heeft plaatsgevonden en zo ja, hoe en door wie deze is uitgevoerd en hoe hierbij is gegarandeerd dat men volledig is geweest. Daarnaast wordt tevens gekeken in hoeverre de normen en het normenkader als geheel aansluiten bij een eventuele risicoanalyse. Bij het derde aspect van het toetsen van de herleidbaarheid nemen we onder andere een aantal belangrijke bronnen in ogenschouw. Wij vinden dat rekening gehouden dient te worden met enkele van onderstaande bronnen. COBIT framework 4.1, ISACA. ISACA staat voor de Information Systems Audit and Control Association en ISACA is de organisatie die het COBIT framework heeft ontworpen met als doel om richtlijnen te bieden met betrekking tot het gestructureerd inrichten en beoordelen van ITbeheeromgevingen. Ten tijde van het opstellen van het DigiD normenkader (begin 2012) was versie 4.1 de meest recente versie van het COBIT framework (ISACA, 2007) Special Publication (SP) , NIST. Het NIST (National Institute for Standards and Technology) heeft Special Publication (SP) ontwikkeld als richtlijn op het gebied van IT security (National Institute of Standards and Technology (NIST), 2009). CSIS: 20 Critical Security Controls Version 4.0, SANS Institute. Het SANS Institute heeft een aantal kritische beheersmaatregelen beschreven ten aanzien van cyber security: de CSIS: 20 Critical Security Controls Version

22 ISO27001, International Organization for Standardization. De ISO27001 norm is de ISO standaard voor informatiebeveiliging. Hierin worden richtlijnen aangeven over hoe processen rondom informatiebeveiliging ingericht kunnen worden. OWASP Top 10, Open Web Application Security Project. OWASP brengt met enige regelmaat de OWASP Top 10 uit met de 10 meest voorkomende zwakheden in web applicaties. Door het attenderen van ontwikkelaars op deze zwakheden kunnen mogelijkheden waarop hackers web applicaties kunnen compromitteren worden aangepakt. 2.5 Zorgvuldigheid Artikel A uit de Code of Ethics 8 van NOREA (de beroepsorganisatie van IT-auditors) is de volgende: De IT-auditor aanvaardt te allen tijde de verantwoordelijkheid op te treden in het algemeen belang en behartigt dientengevolge niet uitsluitend de belangen van een individuele opdrachtgever. Daartoe neemt de IT-auditor bij zijn optreden deze Code in acht en handelt in overeenstemming daarmee. De IT-auditor dient het algemeen belang. Een normenkader dat wordt gehanteerd door een IT-auditor dient zorgvuldig te worden opgesteld zodat de auditor met behulp van dit normenkader het algemeen of maatschappelijk belang dient. Dit doet de IT-auditor door te toetsen op behoorlijk IT gebruik door bedrijven die te maken hebben met voor de maatschappij relevante informatie, zoals persoonsgegevens. In het theoretisch kader hebben wij 6 beginselen van behoorlijk IT gebruik onderkend. Van deze 6 beginselen zijn slechts de eerste 4 beginselen getoetst in het kader van dit onderzoek. De beginselen 5 en 6 hebben geen directe relevantie hebben binnen het DigiD beveiligingsassessment aangezien beheersmaatregelen met betrekking tot de informatiebeveiliging niet tegemoet komen aan deze beide aspecten. 1. Vertrouwelijkheid a. Het recht dat onbevoegden geen kennis nemen van als geheim of vertrouwelijk aangemerkte gegevens. De gegevens die met DigiD op te vragen zijn, zijn onder andere belastinggegevens, gegevens uit de Gemeentelijke Basis Administratie of bijvoorbeeld gegevens van de zorgverzekeraar. Dit zijn bij uitstek gegevens die als vertrouwelijk aan te merken zijn. Het DigiD normenkader zal moeten voorzien in acties of processen die er voor zorgen dat gegevens versleuteld worden opgeslagen en minder eenvoudig kunnen worden ingezien door onbevoegden. 2. Integriteit a. Het recht om zeker te zijn van de correctheid van gegevens (niet ten onrechte gewijzigd of aangevuld). Gebruikers van DigiD moeten er op kunnen vertrouwen dat gegevens die door de dienstverlenende partij worden beheerd niet ten onrechte worden gewijzigd of worden aangevuld, waardoor de gebruiker van DigiD zal worden benadeeld. Derhalve zal het DigiD normenstelsel moeten voorzien in normen waarmee wordt getoetst of maatregelen waarmee de integriteit van gegevens worden gewaarborgd aanwezig zijn en correct functioneren. 3. Authenticiteit

23 a. Ten aanzien van de natuurlijke of rechtspersonen die deelnemen aan het elektronisch berichtenverkeer moet kunnen worden vastgesteld of zij echt zijn, anders kan de geldigheid van (rechts)handelingen niet worden vastgesteld. Wanneer iemand in probeert te loggen op de DigiD dienst dan moet het onweerlegbaar zijn dat dit de juiste persoon betreft. Dit is een onderdeel dat de DigiD dienst dient te waarborgen. Het DigiD normenkader zal normen moeten bevatten waarmee wordt voorkomen dat de authenticiteit van de gebruiker kan worden gecompromitteerd. 4. Beschikbaarheid a. Het recht om informatie te ontvangen (Raad van Europa, 1950). De beschikbaarheid van elke web applicatie is erg fragiel. DDos 9 of soortgelijke aanvallen kunnen de beschikbaarheid van web applicaties (en dus de DigiD dienst) ondermijnen. Het normenkader dient hierin te voorzien door op zijn minst te toetsen op stabiliteit en continuïteit van de infrastructuur. We toetsen deze meta-norm door per norm aan te geven op welke van de 4 bovenstaande aspecten deze norm betrekking heeft. Vervolgens beoordelen wij per aspect of deze in voldoende mate is meegenomen in het normenkader. We beoordelen deze meta-norm dus op het normenkader als geheel Het proces van totstandkoming Naast het inhoudelijk beoordelen van de zorgvuldigheid zoals hierboven beschreven, onderzoeken we in het kader van dit onderzoek tevens in hoeverre het proces aangaande de totstandkoming van het normenkader voldoende zorgvuldig is verlopen. Hierbij wordt specifiek gekeken naar de in het theoretisch kader genoemde elementen om te beoordelen in hoeverre voldoende zorg is besteed aan de totstandkoming van het normenkader. De elementen die hierbij worden beoordeeld zijn de volgende: 1. Hoe zijn key beslissingen genomen (e.g. waarom en hoe zijn de 28 normen gekozen uit de totale set van 59 beveiligingsrichtlijnen)? 2. Zijn de belangen van betrokken partijen voldoende afgewogen? 3. Wat waren beperkingen binnen het proces en wat was de invloed hiervan op het eindresultaat (e.g. politieke, financiële of tijdsbeperkingen)? 9 Distributed Denial of Service attacks. Het overbelasten van een infrastructuur met het doel de beschikbaarheid van web applicaties te ondermijnen. 15

24 3. Case study Om de methode zoals beschreven in hoofdstuk 2 te toetsen, passen wij deze toe op het DigiD beveiligingsassessment-normenkader opgesteld door Logius (bestaande uit 28 normen). We beginnen met de meta-normen Objectiviteit en Eenduidigheid aangezien een sterke relatie bestaat tussen deze twee normen. Vervolgens wordt de Relevantie en de Herleidbaarheid beschreven om af te sluiten met de Zorgvuldigheid. Aan het eind van elke paragraaf wordt het antwoord gegeven op de deelvraag behorende bij de desbetreffende meta-norm. 3.1 Objectiviteit De eerste meta norm die getoetst wordt is de meta-norm objectiviteit. Hierbij richten wij ons specifiek op de individuele normen en niet op het normenkader als geheel. Zoals in paragraaf 2.1 is toegelicht beoordelen wij aan de hand van de SMART principes de normen. In paragraaf 2.1 is nader toegelicht dat dit heeft geleid tot de volgende 4 aspecten welke wij per norm beoordelen: Specifiek: In de norm staat duidelijk beschreven op welke objecten de norm van toepassing is en daarbij is specifiek aangegeven aan welke criteria de objecten moeten voldoen. Meetbaar: De acties in de norm zijn door middel van documentatie/auditwerkzaamheden te bewijzen. Realistisch: Het uitvoeren van de norm is haalbaar binnen de kaders van het assessment. Tijdsgebonden: In de norm staan concrete tijdspaden vermeld. De tabel in Appendix C: Uitwerking van metanorm Objectiviteit bevat een overzicht van de resultaten per getoetst principe (Specifiek, Meetbaar, Realistisch, Tijdsgebonden) voor elk van de normen uit het DigiD beveiligingsassessment normenkader. Onderstaande paragrafen bevatten de belangrijkste observaties en conclusies met betrekking tot de verschillende principes in relatie tot het normenkader. Daarnaast bevat Appendix D: Multi-criteria analyse bij metanorm Objectiviteit de resultaten van een uitgevoerde multi-criteria analyse waarbij de resultaten van de getoetste principes per norm zijn gekwantificeerd. In paragraaf is nog een analyse toegevoegd van de normen die het slechtst scoren in de multi-criteria analyse Specifiek Bij het analyseren van de normen met betrekking tot of in de norm specifiek beschreven staat op welke objecten deze van toepassing is, classificeren wij de verschillende normen als volgt: Classificatie ok partially ok not ok Toelichting Het object van onderzoek is duidelijk beschreven en daarbij is specifiek aangegeven aan welke criteria dit object moet voldoen. Het object van onderzoek en de daaraan gestelde criteria zijn onvoldoende specifiek beschreven. Het object van onderzoek en de daaraan gestelde criteria zijn onvoldoende specifiek beschreven. Na het analyseren van de normen aan de hand van bovenstaande classificatie constateren wij dat voor een groot deel van de normen voldoende helder is gespecificeerd wat het object is dat door de norm 16

25 getoetst wordt en daarbij ook wat de gestelde criteria zijn aan het te toetsen object. Voor 19 van de 28 normen is dit voldoende toegelicht. Voor een 8-tal normen is onvoldoende toegelicht wat de gestelde eisen aan het te toetsen object zijn. Neem ter illustratie bijvoorbeeld normen B0-5 en B0-14: B0-5: Alle wijzigingen worden altijd eerst getest voordat deze in productie worden genomen en worden via wijzigingsbeheer doorgevoerd. B0-14: Leg afspraken met leveranciers vast in een overeenkomst. De norm B0-5 licht onvoldoende toe wat men precies verstaat onder wijzigingsbeheer (betekent dit alleen een goedkeuring van management, of bijvoorbeeld ook een impact analyse etc.) en bij B0-14 is onvoldoende beschreven welke afspraken met de leveranciers precies vastgelegd dienen te worden. Voor de normen waarbij sprake is van onvoldoende context omtrent het te toetsen object en de daaraan gestelde criteria zou eventueel de handreiking voor de IT-auditor uitkomst kunnen bieden (NOREA, 2012). Dit neemt niet weg dat het vanuit het oogpunt van objectiviteit aan te bevelen is om ook de normen zelf voldoende specifiek te beschrijven. In Figuur 3 is de verdeling van normen over de verschillende classificaties (ok; partially ok; not ok) grafisch weergegeven. Figuur 3: Classificatie Specificiteit Wij concluderen op basis van de analyse dat voor het overgrote deel van de normen voldoende specifiek is aangegeven wat het object is waarop de norm toetst en wat de aan het object gestelde criteria zijn. Daarnaast is door NOREA een handreiking is opgesteld om de auditor van nadere details te voorzien. Echter merken wij op dat voor een aanzienlijk deel van de normen verbetering mogelijk is met betrekking tot het verder specificeren van het te toetsen object en de daaraan gestelde criteria Meetbaar Bij het analyseren van de normen met betrekking tot of de normen voldoende meetbaar zijn is het van belang om te realiseren dat de wijze waarop een norm gemeten wordt doorgaans niet wordt gedocumenteerd in de norm zelf. Vaak is de meetbaarheid afhankelijk van vastlegging die niet in de norm wordt benoemd. Tevens is de meetbaarheid van een norm vaak direct gerelateerd aan de specificiteit van de norm (wanneer een norm niet specifiek beschreven is, is deze tevens moeilijk meetbaar). Vanuit het oogpunt van meetbaarheid classificeren wij de verschillende normen als volgt: Classificatie Toelichting ok De norm is voldoende meetbaar. partially ok De norm is voldoende meetbaar mits sprake is van voldoende vastlegging. 17

26 (depends on documentation) not ok De norm is onvoldoende meetbaar (vaak is dit direct gerelateerd aan een gebrek aan specificiteit). Door de normen te analyseren met betrekking tot meetbaarheid stellen wij vast dat het overgrote deel van de normen voldoende meetbaar is. Hierbij zijn geen specifieke vereisten met betrekking tot vastlegging van belang. Neem bijvoorbeeld de normen B1-3 en B3-16: B1-3: Netwerktoegang tot de web applicaties is voor alle gebruikersgroepen op een zelfde wijze ingeregeld. B3-16: Zet de cookie attributen HttpOnly en Secure. Ongeacht of hierbij sprake is van aanvullende vastlegging zou op basis van de gehanteerde systeeminrichting/configuratie vastgesteld moeten kunnen worden of aan de normen wordt voldaan. Daarnaast zijn er ook enkele normen waarbij aanvullende vastlegging wel van belang is, bijvoorbeeld bij de normen B0-8 en B0-9: B0-8: Penetratietests worden periodiek uitgevoerd. B0-9: Vulnerability assessments (security scans) worden periodiek uitgevoerd. Bij deze normen is het van belang dat de resultaten van de penetratietests en vulnerability assessments zijn vastgelegd om te kunnen vaststellen of aan de normen is voldaan. Tot slot zijn er ook nog verschillende normen die onvoldoende meetbaar zijn en dit is in alle gevallen direct gerelateerd aan een gebrek aan specificiteit. Doordat de norm onvoldoende specifiek is beschreven is het tevens onvoldoende specifiek wat gemeten dient te worden en daarom is de norm onvoldoende meetbaar. Voorbeelden hiervan zijn: B0-6: Maak gebruik van een hardeningsproces, zodat alle ICT-componenten zijn gehard tegen aanvallen. B0-7: De laatste (beveiligings)patches zijn geïnstalleerd en deze worden volgens een patchmanagement proces doorgevoerd. B2-1: Maak gebruik van veilige beheermechanismen. In Figuur 4 is de verdeling van normen over de verschillende classificaties (ok; not ok; depends on documentation) grafisch weergegeven. Figuur 4: Classificatie Meetbaarheid Wij concluderen op basis van de uitgevoerde analyse dat het overgrote deel van de normen voldoende meetbaar is. Daarnaast kan voor een deel van deze normen worden gesteld dat deze meetbaar zijn onder het voorbehoud dat wel sprake is van voldoende vastlegging bij de partij die verantwoordelijk is voor de uitvoering van de norm. Met betrekking tot meetbaarheid zijn voor verschillende normen verbeteringen mogelijk en deze zijn direct gerelateerd aan het verder specificeren van de normen. 18