Handreiking DigiD ICT-beveiligingsassessment voor RE's Tabel beveiligingsrichtlijnen met aandachtspunten

Save this PDF as:
 WORD  PNG  TXT  JPG

Maat: px
Weergave met pagina beginnen:

Download "Handreiking DigiD ICT-beveiligingsassessment voor RE's Tabel beveiligingsrichtlijnen met aandachtspunten"

Transcriptie

1 Bijlage 1 Versie 2015 Handreiking DigiD ICT-beveiligingsassessment voor RE's Tabel beveiligingsrichtlijnen met aandachtspunten Het doel van deze tabel is de IT-auditor een handreiking te verstrekken ten aanzien van het toepasingsgebied, de scope en een testaanpak, alsmede een nadere toelichting, voor het uitvoeren van een DigiD ICT-beveiligingsassessment op basis van de de Logius norm. Het is de verantwoordelijkheid van de individuele auditor voldoende werkzaamheden te verrichten om per norm een oordeel te verstrekken met een redelijke mata van zekerheid. Ref. Beveiligingsrichtlijn Type Handreiking voor de IT auditor Toepasbaarheidgebied: houder DigiD aansluiting, software ontwikkelaar, hosting partij B0-5 Alle wijzigingen worden altijd eerst getest voordat deze in productie worden genomen en worden via wijzigingsbeheer doorgevoerd. Governance Scope: de DigiD applicatie en de infrastructuur Wijzigingenbeheer met betrekking tot formulieren - Wijzigingen doen zich voor in de volgende lagen: - Infrastructuur > in scope; -Applicatie > in scope; Formulieren > in scope Nadere toelichting: De focus is het vaststellen dat het proces wijigingsbeheer zodanig is opgezet en geïmplementeerd dat alle wijzigingen altijd eerst worden getest voordat deze in productie worden genomen en via wijzigingsbeheer worden doorgevoerd. In sommige gevallen kunnen formulieren worden gebouwd die beveiligingsrisico's introduceren en valt wijzigingenbeheer met betrekking tot formulieren wel in scope van de DigiD-assessment. Is dit niet het geval dan valt wijzigingenbeheer met betrekking tot formulieren niet in scope. Welke specifieke situatie zich voordoet hangt af van de applicatie (formulierengenerator) en de wijze waarop deze wordt gebruikt. Het is aan de auditor om te bepalen of er aanleiding is om wijzigingenbeheer ten aanzien van de formulieren in de DigiD-scope op te nemen. Test aanpak: interview met verantwoordelijke functionarissen, beoordeling van proces documentatie, gerichte steekproef op wijzigingen. Het testen van wijzigingen zal doorgaans in een test/acceptatie omgeving plaatsvinden. Voor zover deze wijzigingen doorgevoerd (gaan) worden op de DigiD-webomgeving zijn deze in scope. Ingeval van SAAS-toepassingen ligt de verantwoordelijkheid voor het testen bij de leverancier en/of gebruikersgroep. Eventueel toelichten indien, en waarom de norm niet getest hoeft te worden. Indien voldaan wordt in opzet maar er hebben zich geen wijzigingen voorgedaan, dan als oordeel opnemen 'voeldoet in opzet' met als voetnoot: 'Dit heeft zich niet voorgedaan waardoor het bestaan niet kon worden getest'. Scope: het netwerksegment met de DigiD webservers en de route naar het internet B0-6 Maak gebruik van een hardeningsproces, zodat alle ICTcomponenten zijn gehard tegen aanvallen. Nadere toelichting: de focus is op het hardeningsproces. Onderdeel hiervan is een security baseline voor de systemen. De hardening van internet facing systemen dient strak te zijn geregeld: alles wat open staat moet een reden hebben en alles wat open staat moet secure wordeen aangeboden. De hardening van interne systemen mag minder stringent. Wel moeten de management functies moeten secure zijn, er geen onveilige protocollen worden gebruikt, default passwords zijn gewijzigd, voorbeeld applicaties na default install zijn verwijdern, etc Test aanpak: interviews met verantwoordelijke functionarissen, beoordeling van proces documentatie, inspectie van configuratie documentatie en analyse van de uitkomsten van penetratietesten. pag. 1

2 B0-7 De laatste (beveiligings)patches zijn geïnstalleerd en deze worden volgens een patchmanagement proces doorgevoerd. Scope: het netwerksegment met de DigiD webservers en de route naar het internet Nadere toelichting: de focus is op het patching proces. De patching proces kan gedifferentieerd zijn naar OS en netwerk. Een maandelijks patching cycles is aanvaardbaar tenzij er security alerts zijn. Voor internet facing systemen dienen de laatste stabiele beveiligingspatches te zijn geïnstalleerd. Indien patching niet mogelijk is in verband met oudere applicatie, zal dit risico moeten zijn afgewogen. Test aanpak: interviews met verantwoordelijke functionarissen, beoordeling van proces documentatie, inspectie van configuratie documentatie en analyse van de uitkomsten van penetratietesten. Toepasbaarheidgebied: software ontwikkelaar, hosting partij en het IP adres van de DigiD applicatie. Zie de afzonderlijke bijlage met een toelichting op de procesmatige kwaliteitsaspecten bij een DigiD-pentest. B0-8 Penetratietests worden periodiek uitgevoerd. Infra-Pentest Nadere toelichting: de pentratietest/applicatiescan dient minimaal één maal per jaar worden uitgevoerd en na significante wijzigingen. Een jaarlijkse pentest laten uitvoeren ten tijde van de DigiD-assessment is minimaal. De voorkeur heeft het op basis van een risicoafweging enkele keren per jaar te testen, zodat ingespeeld kan worden op nieuwe bedreigingen. Op basis van de resultaten van de penetratietest dient de organisatie een actieplan op te stellen naar aanleiding van de bevindingen van de penetratietest. De testaanpak van de auditor richt zich ook op het actieplan. Testaanpak: evaluatie van de pentester van de scope van de penetratietest, eventueel review van het pentestdossier, analyse van de uitkomsten van penetratietesten, interviews met verantwoordelijke functionarissen en beoordeling van het actieplan. Scope: het netwerksegment met de DigiD webservers B0-9 Vulnerability assessments (security scans) worden periodiek uitgevoerd. Infra-Pentest Nadere toelichting: Vulnerability assessments vinden intern plaats, meerdere malen per jaar op basis van een risicoafweging. De vulnerabilityscan is een netwerk based scan dient zich ten minste gericht hebben op de hardening en patching van systemen en het detecteren van mogelijke kwetsbaarheden van deze systemen. Naar aanleiding van de resultaten van de penetratiest die de organisatie een plan op te stellen naar aanleiding van de bevindingen van de penetratietest. Test aanpak: evaluatie van de pentester en de scope van de vulnerability assessment, zo nodig review van het dossier, analyse van de uitkomsten van vulnerability assessment, interviews met verantwoordelijke functionarissen en beoordeling van het actieplan. pag. 2

3 , houder DigiD-aansluiting Scope: het netwerksegment met de DigiD webservers B0-12 Ontwerp en richt maatregelen in met betrekking tot toegangsbeveiliging / toegangsbeheer. Nadere toelichting: Deze norm richt zich meer op de procesmatige aspecten van beveiliging en -beheer, terwijl B2-1 zich meer richt op een aantal technische aspecten daarvan. Aandachtspunt is tevens het beperken van autorisaties m.b.t. het publiceren van formulieren. De focus ligt op de beheerprocessen. Dit betreft enerzijds toegang tot de DigiD-applicatie (naast geauthenticeerde gebruikers) en anderzijds toegang tot de DigiD-webservers, de routers en de firewalls. Aandachtspunten hierbij zijn de eisen aan wachtwoordinstellingen, controle op joiners/movers/leavers, geen standaard wachtwoorden bij administrator accounts, beperken shared accounts en uitvoeren periodieke reviews. Test aanpak: interview met de verantwoordelijke functionarissen, beoordeling van documentatie, inspectie van configuratie documentatie, inspectie van periodieke reviews en gerichte deelwaarnemingen Toepasbaarheidgebied: houder van de DigiD aansluiting Scope: betreft de websites en webpagina's achter de DigiD-koppeling. B0-13 Niet (meer) gebruikte websites en/of informatie moet worden verwijderd. Governance Nadere toelichting: deze beveiligingsrichtlijn dient procesmatig te worden benader. Er dient een overzicht (of CMDB) zijn van de websites. Elke website moet een eigenaar hebben die verantwoordelijk is dat niet meer gebruikte websites en/of informatie die niet meer wordt gebruikt wordt verwijderd. Daarnaast wordt dient minimaal jaarlijks een controle te worden uitgevoerd of de operationele websites nog worden gebruikt en/of informatie bevat daawerkelijk is verwijderd. Test aanpak: interviews met verantwoordelijke functionarissen, inspectie van de CMDB, inspectie van de laatste controle op de relevantie van de website en/of informatie op de website en analyse van de uitkomsten van penetratietesten. Toepasbaarheidgebied: houder van de DigiD aansluiting Scope: Softeware leverancier en hosting partij B0-14 Leg afspraken met leveranciers vast in een overeenkomst. Governance Nadere toelichting: Indien de organisatie een contract heeft overgedragen en dit schriftelijk (en ondertekend) heeft vastgelegd is dat afdoende gedocumenteerd. De belangrijkste conditie waarop deze norm afgekeurd wordt is géén (geldig) contract (of addendum). Er moeten tenminste gedocumenteerde afspraken zijn over informatiebeveiliging (zie ook B7-9) en Service Level Reporting. Test aanpak: interviews met verantwoordelijke functionarissen ebn beoordeling van de overeenkomsten met leveranciers. pag. 3

4 B1-1 Er moet gebruik worden gemaakt van een Demilitarised Zone (DMZ), waarbij compartimentering wordt toegepast en de verkeersstromen tussen deze compartimenten wordt beperkt tot alleen de hoogst noodzakelijke. Scope: DMZ Nadere toelichting: DMZ en compartimentering d.m.v. (2 virtuele) firewalls. Deze eis is eerder materieel (feitelijk bestaan en inrichting van DMZ) dan formeel (netwerkschema of tekening) beoordelen, eventueel op basis van een adequate beschrijving. Overigens zal de organisatie wel moeten aantonen dat zij voldoende inzicht heeft in de architectuur, zowel van het DMZ als van de systemen die zich daarin bevinden. Test aanpak: interviews met verantwoordelijke functionarissen, inspectie van netwerkschema's, inspectie van configuratie files en analyse van de uitkomsten van penetratietesten. B1-2 Beheer- en productieverkeer zijn van elkaar gescheiden. Scope: DMZ Nadere toelichting: door middel van fysieke scheiding, VPN verbindingen of VLANs is beheer en productieverkeer van elkaar gescheiden. Test aanpak: interviews met verantwoordelijke functionarissen, inspectie van netwerkschema's, inspectie van configuratie files en analyse van de uitkomsten van penetratietesten. B1-3 Netwerktoegang tot de webapplicaties is voor alle gebruikersgroepen op een zelfde wijze ingeregeld. Scope: DMZ Nadere toelichting: het netwerkverkeer tot de DigiD websers dient op de gelijke wijze te worden gefilterd als verkeer vanuit het externe netwerk. Test aanpak: interviews met verantwoordelijke functionarissen, inspectie van netwerkschema's, inspectie van configuratie files en analyse van de uitkomsten van penetratietesten. Scope: DMZ B2-1 Maak gebruik van veilige beheermechanismen. Nadere toelichting: Dit betreft het gebruik van veilige netwerkprotocollen, beheerinterfaces via het internet uitsluitend door middel van strong authentication te benaderen zijn en er geen gebruik wordt gemaakt van backdoors om de systemen te benaderen (ook niet voor noodtoegang). Test aanpak: interviews met verantwoordelijke functionarissen, beoordeling van de procedurebeschrijving met betrekking tot beheermechanismen, inspectie van configuratie files en analyse van de uitkomsten van penetratietesten. pag. 4

5 B3-1 De webapplicatie valideert de inhoud van een HTTP-request voor die wordt gebruikt. Nadere toelichting: HTTP request voor alle de invoermethodes zoals gespecificeerd in de ICT-Beveiligingsricht lijnen voor webapplicaties deel 2 van NCSC moeten worden gevalideerd. Mogelijkheden testen zij op type, lengte, formaat en karakters van invoer en speciale tekens (bv. <, >, ', ;, --, etc.). Test aanpak: observatie van de webpagina's van de DigiD applicatie en gebruik van tooling om de verschillende invoermethodes te identificeren. Gerichte deelwaarneming op invoervelden waarbij, met behulp van een applicatie scanning tools de validatie aan de server zijde van de verschillende invoermethodes wordt getest. Hierbij zou gebruik kunnen worden gemaakt van de penetratietest (zie ook B0-8). B3-2 De webapplicatie controleert voor elk HTTP verzoek of de initiator geauthenticeerd is en de juiste autorisaties heeft. Nadere toelichting: De web applicatie moet ervoor zorgen dat er verdediging tegen Cross Site Request Forgery (CSRF) en horizontale en verticale escalatie privilieges is ingebouwd. Tevens spreekt NCSC in deze controle van IP adres koppelen aan sessies/cookies. Echter, dit laatste wordt niet toegepast door industrie en kan achterwege worden gelaten. Test aanpak: Gerichte deelwaarneming op webpagina's (change state request) waarbij, met behulp van een applicatie scanning tools, waarbij de mogelijkheid tot CSRF wordt getest. Hierbij zou gebruik kunnen worden gemaakt van de penetratietest (zie ook B0-8). B3-3 De webapplicatie normaliseert invoerdata voor validatie. Nadere toelichting: De webapplicatie normaliseert invoerdata voor validatie. Voorbeelden van normalisatie zijn: Omzetten van NULL karakters naar spaties. Coderen van bijzondere karakters in een uniforme codering (bijvoorbeeld UTF-8). Normaliseren van padverwijzingen als /./ en /../. Verwijderen van overbodige spaties en regeleinden. Verwijderen van onnodige witruimtes. Omzetten van backslashes naar forward slashes. Omzetten van mixed case strings naar lower case strings. Test aanpak: Gerichte deelwaarneming op invoervelden met behulp van een applicatie scanning tools waarbij de normalisatie aan de server zijde wordt getest. Hierbij zou gebruik kunnen worden gemaakt van de penetratietest (zie ook B0-8). pag. 5

6 B3-4 De webapplicatie codeert dynamische onderdelen in de uitvoer. Nadere toelichting: om deze beveiligingsrichtlijn vollledig te testen is een source code review nodig. Hier is niet voor gekozen voor de DigiD ICTbeveiligingsassessment. Een indirect test hiervoor is het invoeren van speciale karakters (zoals < > ' " & /) en de uitvoer te analyseren. Test aanpak: Gerichte deelwaarneming op invoervelden met behulp van een applicatie scanning tools waabij de verwerking van speciale karakters aan de server zijde wordt getest. Hierbij zou gebruik kunnen worden gemaakt van de penetratietest (zie ook B0-8). B3-5 Voor het raadplegen en/of wijzigen van gegevens in de database gebruikt de webapplicatie alleen geparametriseerde queries. Nadere toelichting: om deze beveiligingsrichtlijn vollledig te testen is een source code review nodig. Hier is niet voor gekozen voor de DigiD ICTbeveiligingsassessment. Een indirect test hiervoor is met SQL injection. Test aanpak: Gerichte deelwaarneming op invoervelden met behulp van een applicatie scanning tools waarbij de SQL injectie aan de server zijde worden getest. Hierbij zou gebruik kunnen worden gemaakt van de penetratietest (zie ook B0-8). B3-6 De webapplicatie valideert alle invoer, gegevens die aan de webapplicatie worden aangeboden, aan de serverzijde. Nadere toelichting: afgedekt bij het testen van maatregelen B3-1, B3-3, B3-4 en B3-5 B3-7 De webapplicatie staat geen dynamische file includes toe of beperkt de keuze mogelijkheid (whitelisting). Nadere toelichting: om deze beveiligingsrichtlijn vollledig te testen is een source code review nodig. Hier is niet voor gekozen voor de DigiD ICTbeveiligingsassessment. Een indirect test hiervoor is het proberen verschillende mogelijke ongeschikte file type te uploaden (zoals.bat,.com..exe,.php,.asp, aspx,.eb) Test aanpak: observatie van de webpagina's van de DigiD applicatie en gebruik van tooling om de file uploads te identificeren. Gerichte deelwaarneming op file uploads waarbi het uploaden van mogelijk ongeschikte file type wordt getest. Hierbij zou gebruik kunnen worden gemaakt van de penetratietest (zie ook B0-8). pag. 6

7 B3-15 Een (geautomatiseerde) blackbox scan wordt periodiek uitgevoerd. Nadere toelichting: afgedekt bij het testen van maatregelen B0-8 (Zie ook de notitie over procesmatige kwaliteitsaspecten bij de DigiDpentesten). B3-16 Zet de cookie attributen HttpOnly en Secure. Nadere toelichting: verifieer dat alle sessie cookies HttpOnly en Secure Test aanpak: identificeer de cookies en inspecteer het HttpOnly en Secure van de cookies. Hierbij zou gebruik kunnen worden gemaakt van de penetratietest (zie ook B0-8). Scope: DigiD infrastructuur B5-1 Voer sleutelbeheer in waarbij minimaal gegarandeerd wordt dat sleutels niet onversleuteld op de servers te vinden zijn. Nadere toelichting: Indien certificaten zijn versleuteld behoren de sleutels behorende bij de SSL certificaten niet onversleuteld op de server te zijn opgeslagen. Het wachtwoord moet in een bestand staan waar uitsluitend de administrators en de accountbeheerders van de webapplicatie bij kunnen. Wanneer certificaten niet zijn versleuteld behoren permissies zodanig te zijn toegekend dat enkel de beheerder van de server toegang heeft tot de prive sleutel ( private key ). Test aanpak: Interview met de verantwoordelijke functionarissen, beoordeling van documentatie,observerveer dat prive sleutels niet onversleuteld op de server staan en controleer op basis van de bestandspermissies of enkel de beheerder rechten heeft voor het lezen en schrijven van de prive sleutel. Test aanpak: Interview met de verantwoordelijke functionarissen, beoordeling van documentatie en observerveer dat prive sleutels niet onversleuteld op de server staan. B5-2 Maak gebruik van versleutelde (HTTPS) verbindingen. Nadere toelichting: alle gevoelige (zoals in het kader van de WBS) informatie moet via een versleutelde verbinden worden verzonden. Bij voorkeur zou na de DigiD authenticatie de hele sessie vie een versleutelde verbinding moeten plaats vinden. Test aanpak: observeer het protocol van de verbinding bij het verwerken van gevoelige gegevens. Evalueer de kwaliteit van encryptie met de inductry standaard. pag. 7

8 Toepasbaarheidgebied: houder DigiD aansluiting, software leverancier B5-3 Sla gevoelige gegevens versleuteld of gehashed op. Nadere toelichting: Classificatie conform de WBP van gegevens die met DigiD worden ontsloten en identificatie van gevoelige gegevens die mogelijk versleuteling / hashing vereisen (de verantwoordelijkheid daarvoor ligt bij de organisatie zelf). Deze richtlijn geldt vooralsnog uitsluitend voor gegevens die in het DMZ staan. De procesverantwoordelijke stelt expliciet de gevoeligheid van het (informatie)systeem vast en de noodzaak voor aanvullende maatregelen. Test aanpak: interview met de verantwoordelijke functionaris, beoordeling van documentatie en observeer dat gevoelige gegevens versleuteld zijn opgeslagen. B5-4 Versleutel cookies. Nadere toelichting: Sessie cookies moeten worden versleuteld Test aanpak: observeer of tijdens het aanmaken van een cookie een beveiligde verbinding wordt gebruikt Toepasbaarheidgebied: hosting leverancier Scope: het netwerksegment met de DigiD webservers en de route naar het internet B7-1 Maak gebruik van Intrusion Detection Systemen (IDS). Nadere toelichting: intrusion detection systeem moet zijn geïnstalleerd en ingericht en er dient een beheerprocedure te zijn ingericht. Het actief monitoren van de rapportages uit de IDS/IPS is een voorwaarde, d.w.z. dat rapportages beoordeeld en vastgelegd worden en effectief actie wordt ondernomen indien daartoe aanleiding is. Test aanpak: interview met de verantwoodelijke functionarissen, inspectie van inrichtingsdocumentatie en inspectie van follow-up acties naar aanleiding van alerts Toepasbaarheidgebied: hosting leverancier Scope: het netwerksegment met de DigiD webservers en de route naar het internet B7-8 Voer actief controles uit op logging Nadere toelichting: de controle op de logging zou met name gericht moeten zijn op de operatie en beveiliging van systemen. Onverwachts gestopte processen, mislukte authenticatiepogingen, ongeoorloofde pogingen om toegang te krijgen tot bestanden en overige pogingen tot misbruik dienen te worden geregistreerd, en er dient actief op te worden gecontroleerd. Test aanpak: interview met de verantwoodelijke functionarissen, beoordeling van procedurebeschrijving, inspectie van rapportages uit de logging en inspectie van follow-up acties naar aanleiding van incidenten en het bepalen van de vervolgacties. pag. 8

9 Toepasbaarheidgebied: houder DigiD aansluiting, software leverancier, hosting leverancier Scope: informatiebeveiliging binnen de organisatie Nadere toelichting: De kern hiervan is dat de verantwoordelijkheden voor de informatiebeveiliging van de webapplicatie die gebruik maakt van DigiD zijn toegekend aan met name genoemde functionarissen, met hun functieomschrijving. B7-9 Governance, organisatie, rollen en bevoegdheden inzake preventie, detectie en response inzake informatiebeveiliging dienen adequaat te zijn vastgesteld. Governance Voor het DigiD assessment wordt nagegaan of de volgende verantwoordelijkheden zijn vastgesteld en toegekend: - Directe verantwoordelijkheid (eigenaarschap) voor de webapplicatie die gebruik maakt van DigiD. Veelal zal dit belegd zijn bij een afdelingshoofd. - Eindverantwoordelijkheid voor de informatiebeveiliging binnen de organisatie. Veelal zal dit belegd zijn bij de leiding van de organisatie. - Kaderstellende en toetsende verantwoordelijkheid op het gebied van informatiebeveiliging namens de leiding van de organisatie. Dit omvat ook de verantwoordelijkheid voor het uitdragen van de security kaders, het toetsen van de naleving van de kaders het acteren op security incidenten. Veelal zal dit belegd zijn bij de security officer. Een uitgewerkt informatiebeveiligingsbeleid en/of een uitgewerkt informatiebeveiligingsplan is bij deze norm geen vereiste, maar biedt wel een goed kader voor het toekennen van de verantwoordelijkheden voor informatiebeveiliging. Test aanpak: interview met de verantwoordelijke functionarissen en beoordeling van documentatie pag. 9

Handreiking DigiD ICT-beveiligingsassessment voor RE's

Handreiking DigiD ICT-beveiligingsassessment voor RE's Bijlage 1 Handreiking DigiD ICT-beveiligingsassessment voor RE's Het doel van deze tabel is de IT-auditor een handreiking te verstrekken ten aanzien van het toepasingsgebied, de scope en een testaanpak,

Nadere informatie

Toepasbaarheid gebied: houder DigiD aansluiting, software ontwikkelaar, hosting partij. Scope: de DigiD applicatie en de infrastructuur

Toepasbaarheid gebied: houder DigiD aansluiting, software ontwikkelaar, hosting partij. Scope: de DigiD applicatie en de infrastructuur Het doel van deze tabel is de IT auditor een handreiking te verstrekken ten aanzien van het toepassingsgebied, de scope en een testaanpak, alsmede een nadere toelichting, voor het uitvoeren van een DigiD

Nadere informatie

Norm ICT-beveiligingsassessments DigiD

Norm ICT-beveiligingsassessments DigiD Norm ICT-beveiligingsassessments DigiD Versie 1.0 Datum 21 februari 2012 Status Definitief Colofon Projectnaam DigiD Versienummer 1.0 Contactpersoon Servicecentrum Logius Organisatie Logius Postbus 96810

Nadere informatie

DIGID-AUDIT BIJ ZORGPORTAAL RIJNMOND

DIGID-AUDIT BIJ ZORGPORTAAL RIJNMOND DIGID-AUDIT BIJ ZORGPORTAAL RIJNMOND SAFEHARBOUR Audit en Security ISO 27001/ NEN7510 implementatie Projectadvies Risicoanalyses Zorg en overheden @djakoot @safeharbour_nl WAAROM DIGID-AUDIT? DAAROM DIGID-AUDIT

Nadere informatie

THIRD PARTY MEDEDELING 2015 LEVERANCIER: LIAAN CONSULT B.V. APPLICATIE: E-DIENSTVERLENING VERSIE 6.1

THIRD PARTY MEDEDELING 2015 LEVERANCIER: LIAAN CONSULT B.V. APPLICATIE: E-DIENSTVERLENING VERSIE 6.1 THIRD PARTY MEDEDELING 2015 LEVERANCIER: LIAAN CONSULT B.V. APPLICATIE: E-DIENSTVERLENING VERSIE 6.1 KENMERK: 1603R.AH46 DATUM: 30 MAART 2016 INHOUDSOPGAVE 1. Assurancerapport van de onafhankelijke auditor...

Nadere informatie

DigiD beveiligingsassessment

DigiD beveiligingsassessment DigiD beveiligingsassessment Centric Kenmerk DigiD koppeling: Gemeente Dantumadeel1 Inhoudsopgave 1 Assurancerapport van de onafhankelijke auditor 2 1.1 Achtergrond 2 1.2 Opdrachtomschrijving 2 1.3 Reikwijdte

Nadere informatie

Checklist informatieveiligheid. 12 januari versie 1.1

Checklist informatieveiligheid. 12 januari versie 1.1 Checklist informatieveiligheid 12 januari 2017 - versie 1.1 ICT-Beveiligingsrichtlijnen voor webapplicaties Beschrijving van de beveiligingsrichtlijn Is informatiebeveiliging als een proces ingericht in

Nadere informatie

Het ICT beveiligingsassessment. Bas Colen CISSP CISA Eindhoven 17 september 2013

Het ICT beveiligingsassessment. Bas Colen CISSP CISA Eindhoven 17 september 2013 Het ICT beveiligingsassessment DigiD Bas Colen CISSP CISA Eindhoven 17 september 2013 Deze dertig minuten Onze situatie Hoe? En welke aanpak is gevolgd De normen / beveiligingsrichtlijnen Ervaringen, lessen

Nadere informatie

Bijeenkomst DigiD-assessments

Bijeenkomst DigiD-assessments Bijeenkomst DigiD-assessments De weg naar de toekomst 2 december 2014 Agenda DigiD ICT-beveiligingsassessments in beeld DigiD assessment 2014 Rapportage template Third Party Mededelingen Overige toelichtingen

Nadere informatie

/011. Rapportage ICT beveiligingsassessment DigiD Inhoudsopgave. Auditdienst Rijk

/011. Rapportage ICT beveiligingsassessment DigiD Inhoudsopgave. Auditdienst Rijk Beschrijving Object - BIG register, Auditdienst Auditdienst Rijk Ministerie van Financiën Rapportage ICT beveiligingsassessment DigiD 2014 /011 Aan Ministerie van Volksgezondheid, Welzijn en Sport CIBG

Nadere informatie

Nieuw DigiD assessment

Nieuw DigiD assessment Nieuw DigiD assessment Programma 09.30 uur - Inloop en koffie/thee 10.00 uur - Opening door dagvoorzitter 10.05 uur - Duopresentatie door René IJpelaar en Martijn Mol 11.15 uur - Pauze 11.30 uur - Presentatie

Nadere informatie

Norm ICT-beveiligingsassessments DigiD

Norm ICT-beveiligingsassessments DigiD Norm ICT-beveiligingsassessments DigiD Versie 2.0 Datum 16 december 2016 Status Definitief Colofon Projectnaam DigiD Versienummer 2.0 Contactpersoon Servicecentrum Organisatie Logius Bezoekadres Wilhelmina

Nadere informatie

Jacques Herman 21 februari 2013

Jacques Herman 21 februari 2013 KING bijeenkomst Audit- en Pentestpartijen Toelichting op de DigiD Rapportage template en de NOREA Handreiking DigiD ICT-beveiligingsassessments Jacques Herman 21 februari 2013 Samenvatting van de regeling

Nadere informatie

Toetsingskader digitaal Ondertekenen (pluscluster 9)

Toetsingskader digitaal Ondertekenen (pluscluster 9) Toetsingskader digitaal Ondertekenen (pluscluster 9) IBPDOC9 Verantwoording Met dank aan: Leygraaf Opdrachtgever: Kennisnet / sambo-ict Auteurs Leo Bakker (Kennisnet) Ludo Cuijpers (sambo-ict en Leeuwenborgh)

Nadere informatie

NOTITIE. Aan : IT auditors Datum : 19 december 2016 Van : NOREA Werkgroep DigiD assessments Betreft : Handreiking bij DigiD-assessments V2.

NOTITIE. Aan : IT auditors Datum : 19 december 2016 Van : NOREA Werkgroep DigiD assessments Betreft : Handreiking bij DigiD-assessments V2. NOTITIE Aan : IT auditors Datum : 19 december 2016 Van : NOREA Werkgroep DigiD assessments Betreft : Handreiking bij DigiD-assessments V2.0 Aanleiding Naar aanleiding van een analyse van de resultaten

Nadere informatie

HANDREIKING. Bij het DigiD assessment 2.0 geldig vanaf 1 juli BKBO B.V. Voorstraat CP Vlijmen

HANDREIKING. Bij het DigiD assessment 2.0 geldig vanaf 1 juli BKBO B.V. Voorstraat CP Vlijmen HANDREIKING Bij het DigiD assessment 2.0 geldig vanaf 1 juli 2017 WWW.BKBO.NL BKBO B.V. Voorstraat 20 5251 CP Vlijmen Pagina 2 van 32 NOTITIE Aan : IT auditors Datum : 19 december 2016 Van : NOREA Werkgroep

Nadere informatie

Security Pentest. 18 Januari 2016. Uitgevoerde Test(s): 1. Blackbox Security Pentest 2. Greybox Security Pentest

Security Pentest. 18 Januari 2016. Uitgevoerde Test(s): 1. Blackbox Security Pentest 2. Greybox Security Pentest DEMO PENTEST VOOR EDUCATIEVE DOELEINDE. HET GAAT HIER OM EEN FICTIEF BEDRIJF. 'Inet Veilingen' Security Pentest 18 Januari 2016 Uitgevoerde Test(s): 1. Blackbox Security Pentest 2. Greybox Security Pentest

Nadere informatie

UWV Security SSD Instructies

UWV Security SSD Instructies UWV Security SSD Instructies BESTEMD VOOR : Patrick van Grevenbroek AUTEUR(S) : Gabriele Biondo / T. Uding (vertaling) VERSIE : 1.0 DATUM : 20-03-2014 HISTORIE Datum Auteur(s) Omschrijving 20/03/2014 Gabriele

Nadere informatie

H t ICT -Beveili iligings- assessment DigiD & Informatiebeveiliging

H t ICT -Beveili iligings- assessment DigiD & Informatiebeveiliging Het ICT-Beveiligings- i assessment DigiD & Informatiebeveiliging De aanleiding 2011: Diginotar 2011: Lektober En ook: 2012: Dorifel 2012: Citadel 2013: DongIT Botnet De reactie vanuit VNG/KING Starting

Nadere informatie

ISSX, Experts in IT Security. Wat is een penetratietest?

ISSX, Experts in IT Security. Wat is een penetratietest? De Stuwdam 14/B, 3815 KM Amersfoort Tel: +31 33 4779529, Email: info@issx.nl Aanval- en penetratietest U heeft beveiligingstechnieken geïnstalleerd zoals Firewalls, Intrusion detection/protection, en encryptie

Nadere informatie

Welkom bij parallellijn 1 On the Move 14.20 15.10 uur

Welkom bij parallellijn 1 On the Move 14.20 15.10 uur Welkom bij parallellijn 1 On the Move 14.20 15.10 uur Stap 4 van de BIG Hoe stel ik vast of de informatiebeveiligingsmaatregelen van mijn gemeente effectief zijn en hoe rapporteer ik hierover? 1 IBD-Praktijkdag

Nadere informatie

Sr. Security Specialist bij SecureLabs

Sr. Security Specialist bij SecureLabs Wie ben ik? Ronald Kingma, CISSP ronald@securelabs.nl Sr. Security Specialist bij SecureLabs Introductie SecureLabs Voorheen ISSX Code of Conduct Real Penetration Testing Vulnerability Management Veiligheidsincidenten

Nadere informatie

Nieuw normenkader ICT Beveiligingsassessments DigiD

Nieuw normenkader ICT Beveiligingsassessments DigiD DGOBR Logius Contactpersoon Eelco van Vliet M 06 22429643 eelco.van.vliet@logius.nl Datum 5 februari 2016 Nieuw normenkader ICT Beveiligingsassessments DigiD Doel van dit memo is de Directie Burgerschap

Nadere informatie

Hardening. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Hardening. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Hardening Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging Rijksdienst

Nadere informatie

Programma Borging veilige gegevensuitwisseling via Suwinet Normenkader Suwinet. Webinar, 28 juni 2017

Programma Borging veilige gegevensuitwisseling via Suwinet Normenkader Suwinet. Webinar, 28 juni 2017 Programma Borging veilige gegevensuitwisseling via Suwinet Normenkader Suwinet Webinar, 28 juni 2017 Agenda Algemeen: verschillen oude en nieuwe normenkader Relatie met ENSIA Highlights Norm voor norm

Nadere informatie

Gemeente Alphen aan den Rijn

Gemeente Alphen aan den Rijn Informatiebeveiligingsbeleid (t.b.v. ICT Forum Lokale Overheid) Van een Informatiebeveiligingsbeleid naar de dagelijkse praktijk Maart 2016, afdeling I&A Informatiebeveiligingsbeleid Informatiebeveiligingsbeleid

Nadere informatie

Voordat sprake kan zijn van een TPM, moet aan een aantal voorwaarden worden voldaan:

Voordat sprake kan zijn van een TPM, moet aan een aantal voorwaarden worden voldaan: Wat is een Third Party Mededeling? Het uitbesteden van processen is binnen hedendaagse organisaties erg gebruikelijk. Maar hoe kunt u als dienstleverlener uw (potentiële) klanten overtuigen van de kwaliteit

Nadere informatie

Auditdienst Rijk. Ministerie van Fincuicièn. Io,.Z.e. Raad van State. Afdeling IT-beheer. Postbus-ziju i EA Den Haag

Auditdienst Rijk. Ministerie van Fincuicièn. Io,.Z.e. Raad van State. Afdeling IT-beheer. Postbus-ziju i EA Den Haag Io,.Z.e 2500 EA Den Haag Postbus-ziju i to Afdeling IT-beheer Raad van State Korte Voorhout 7 www.rljksoverheilj.nl 2500 EE Den Haag Postbus 20201 2511CW Oen Haag Audïtdlenst Rijk Ministerie van Fincuicièn

Nadere informatie

Norm 1.3 Beveiligingsplan

Norm 1.3 Beveiligingsplan Beantwoording vragen zelftest Suwinet oktober 2014 Norm 1.3 Beveiligingsplan De Inspectie SZW beschrijft norm 1.3 als volgt: De gemeente heeft een formeel vastgesteld beveiligingsbeleid en -plan. Het Beveiligingsplan

Nadere informatie

Patch management. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Patch management. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Patch management Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging Rijksdienst

Nadere informatie

Geautomatiseerd Website Vulnerability Management. PFCongres/ 17 april 2010

Geautomatiseerd Website Vulnerability Management. PFCongres/ 17 april 2010 Geautomatiseerd Website Vulnerability Management Ing. Sijmen Ruwhof (ZCE) PFCongres/ 17 april 2010 Even voorstellen: Sijmen Ruwhof Afgestudeerd Information Engineer, met informatiebeveiliging als specialisatie

Nadere informatie

DMZ Policy. Eindverantwoordelijkheid Goedgekeurd. 16 Februari 2005. Geaccepteerd Manager SPITS. Security Manager SPITS E.A. van Buuren.

DMZ Policy. Eindverantwoordelijkheid Goedgekeurd. 16 Februari 2005. Geaccepteerd Manager SPITS. Security Manager SPITS E.A. van Buuren. Ministerie van Verkeer en Waterstaat opq Rijkswaterstaat DMZ Policy 16 Februari 2005 Eindverantwoordelijkheid Goedgekeurd Naam Datum Paraaf Security Manager SPITS E.A. van Buuren Geaccepteerd Manager SPITS

Nadere informatie

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers Bijlage 1 bij de Bewerkersovereenkomst Noordhoff Uitgevers Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers Noordhoff Uitgevers is een educatieve uitgeverij die verschillende

Nadere informatie

Bijlage 11 Programma van Eisen

Bijlage 11 Programma van Eisen Bijlage 11 Programma van Eisen Het betreft hier minimale eisen, waarbij geldt dat: Het niet voldoen aan een eis leidt onherroepelijk tot leidt tot het ongeldig verklaren en terzijde leggen van de Inschrijving

Nadere informatie

Help! Mijn website is kwetsbaar voor SQL-injectie

Help! Mijn website is kwetsbaar voor SQL-injectie Help! Mijn website is kwetsbaar voor SQL-injectie Controleer uw website en tref maatregelen Factsheet FS-2014-05 versie 1.0 9 oktober 2014 SQL-injectie is een populaire en veel toegepaste aanval op websites

Nadere informatie

Security web services

Security web services Security web services Inleiding Tegenwoordig zijn er allerlei applicaties te benaderen via het internet. Voor bedrijven zorgt dit dat zei de klanten snel kunnen benaderen en aanpassingen voor iedereen

Nadere informatie

Zest Application Professionals Training &Workshops

Zest Application Professionals Training &Workshops Het in kaart krijgen van kwetsbaarheden in Websites & Applicaties en hoe deze eenvoudig te voorkomen zijn, wordt in Applicatie Assessments aangetoond en in een praktische Workshop behandelt. U doet hands-on

Nadere informatie

Onderzoek naar de veiligheid c.q. beveiliging van de SURFnet IDS dienst. Lourens Bordewijk & Jimmy Macé

Onderzoek naar de veiligheid c.q. beveiliging van de SURFnet IDS dienst. Lourens Bordewijk & Jimmy Macé Onderzoek naar de veiligheid c.q. beveiliging van de SURFnet IDS dienst. Lourens Bordewijk & Jimmy Macé Amsterdam 8-2-2006 Achtergrond IDS dienst SURFnet netwerk Aangesloten instellingen te maken met security

Nadere informatie

Privacy Policy v Stone Internet Services bvba

Privacy Policy v Stone Internet Services bvba Privacy Policy v09.16 Stone Internet Services bvba Stone Internet Services Privacy Policy Dit document heeft als doel te beschrijven hoe Stone Internet Services bvba omgaat met het opslaan en beheren van

Nadere informatie

Checklist beveiliging webapplicaties

Checklist beveiliging webapplicaties Versie 1.02-5 oktober 2011 Factsheet FS 2011-08 Checklist beveiliging webapplicaties De beveiliging van webapplicaties staat de laatste maanden sterk in de belangstelling. Diverse incidenten op dit gebied

Nadere informatie

Gemeente Zandvoort. Telefoon: Fax:

Gemeente Zandvoort. Telefoon: Fax: Vastgesteld door het college : d.d. 19 mei 2015 Gepubliceerd in de Zandvoortse Courant : d.d. 26 mei 2015 Inwerkingtreding : d.d. 19 mei 2015 Registratienr: 2015/05/000532 Auteur: R. Zwietering Gemeente

Nadere informatie

IT Security in de industrie

IT Security in de industrie IT Security in de industrie Praktische ervaringen met cyber security in de Energiesector en Procesindustrie Henk Spelt Henk.Spelt@kema.com Experience you can trust. Onderwerpen Waarom is (cyber) security

Nadere informatie

Beveiligingsbeleid Perflectie. Architectuur & Procedures

Beveiligingsbeleid Perflectie. Architectuur & Procedures Beveiligingsbeleid Perflectie Architectuur & Procedures 30 november 2015 Versiebeheer Naam Functie Datum Versie Dimitri Tholen Software Architect 12 december 2014 0.1 Dimitri Tholen Software Architect

Nadere informatie

Handleiding uitvoering ICT-beveiligingsassessment

Handleiding uitvoering ICT-beveiligingsassessment Handleiding uitvoering ICT-beveiligingsassessment Versie 2.1 Datum : 1 januari 2013 Status : Definitief Colofon Projectnaam : DigiD Versienummer : 2.0 Contactpersoon : Servicecentrum Logius Postbus 96810

Nadere informatie

HANDREIKING DIGID-ZELFEVALUATIE

HANDREIKING DIGID-ZELFEVALUATIE HANDREIKING DIGID-ZELFEVALUATIE Datum 2 augustus 2017 Versie 1 2 INHOUDSOPGAVE 1 Inleiding en achtergrond... 4 1.1 DigiD in relatie tot ENSIA... 4 1.2 DigiD en de ENSIA-tool... 5 1.3 DigiD en de auditor...

Nadere informatie

Standaardbestek 270. Telematica security DEEL II. Hoofdstuk 48d

Standaardbestek 270. Telematica security DEEL II. Hoofdstuk 48d Standaardbestek 270 DEEL II Hoofdstuk 48d Telematica security INHOUDSOPGAVE 1. Scope... 2 1. ICT- en informatiebeveiligingsbeleid... 2 2. Specifieke beveiligingsmaatregelen... 2 2.1. Toepassingen... 2

Nadere informatie

Beveiliging en bescherming privacy

Beveiliging en bescherming privacy Beveiliging en bescherming privacy Beveiliging en bescherming privacy Duobus B.V. Nieuwe Boteringestraat 82a 9712PR Groningen E info@duobus.nl I www.duobus.nl September 2014 2 Voorwoord Als organisatie

Nadere informatie

Forecast XL Technology

Forecast XL Technology Forecast XL Technology Introductie Forecast XL is een vertrouwde, eenvoudig te gebruiken cloud applicatie, gekenmerkt door redundante IT-omgevingen en dynamische toewijzing van middelen. Gebruikers kunnen

Nadere informatie

HANDREIKING ENSIA EN DIGID

HANDREIKING ENSIA EN DIGID HANDREIKING ENSIA EN DIGID Datum December 2017 Versie 2.0 2 INHOUDSOPGAVE 1 Inleiding en achtergrond... 4 1.1 DigiD in relatie tot ENSIA... 4 1.2 DigiD en de ENSIA-tool... 5 1.3 DigiD en de auditor...

Nadere informatie

Informatiebeveiliging ZorgMail

Informatiebeveiliging ZorgMail Informatiebeveiliging ZorgMail Verklaring voor klanten VANAD Enovation is een handelsnaam van ENOVATION B.V. Alle rechten voorbehouden. Niets uit deze uitgave mag worden openbaar gemaakt of verveelvoudigd,

Nadere informatie

Remote Toegang Policy VICnet/SPITS

Remote Toegang Policy VICnet/SPITS Ministerie van Verkeer en Waterstaat opq Rijkswaterstaat Remote Toegang Policy VICnet/SPITS 16 Februari 2005 Eindverantwoordelijkheid Goedgekeurd Naam Datum Paraaf Security Manager SPITS E.A. van Buuren

Nadere informatie

Deelplan IC ICT-omgeving 2015 Gemeente Lingewaard

Deelplan IC ICT-omgeving 2015 Gemeente Lingewaard Deelplan IC ICT-omgeving 2015 Gemeente Lingewaard Pagina 1 van 6 Inhoudsopgave 1. Aanleiding 3 2. Structureel / incidenteel 3 3. Opdrachtgever 3 4. Opdrachtnemer 3 5. Relevante wet- en regelgeving 3 6.

Nadere informatie

De Logius-norm voor DigiD: perikelen bij technisch testen (uitgebreide versie) Abstract Introductie Code-inspectie

De Logius-norm voor DigiD: perikelen bij technisch testen (uitgebreide versie) Abstract Introductie Code-inspectie De Logius-norm voor DigiD: perikelen bij technisch testen (uitgebreide versie) Matthijs Koot, senior security consultant bij Madison Gurkha. Geschreven in mei/juni 2014, op persoonlijke titel. Abstract

Nadere informatie

Assurance-rapport en Verantwoording 2012

Assurance-rapport en Verantwoording 2012 Assurance-rapport en Verantwoording 2012 Producten van Logius Producten DigiD van Logius Haagse Ring (onderdeel van Diginetwerk) Datum 19 december 2013 Versie Definitief Colofon Projectnaam Assurance-rapport

Nadere informatie

Shenandoa a Forensic Challenge DIGITAL INVESTIGATION B.V.

Shenandoa a Forensic Challenge DIGITAL INVESTIGATION B.V. Shenandoa a Forensic Challenge DIGITAL INVESTIGATION B.V. Past Present Future Black Hat Sessions 2012 AGENDA Past Present Future Black Hat Sessions 2012 Wie is DI? Shenandoa case Uitdagingen Eerste Bevindingen

Nadere informatie

Aan uw raad is het volgende toegezegd: Toezeggingen college van B&W in Commissies en Raad (september 2015) TCM 09 21 mei 2015

Aan uw raad is het volgende toegezegd: Toezeggingen college van B&W in Commissies en Raad (september 2015) TCM 09 21 mei 2015 Bedrijfsvoering De gemeenteraad van Bloemendaal Datum : 19 augustus 2015 Uw kenmerk : Ons kenmerk : 2015056815 Behandeld door : J. van der Hulst Doorkiesnummer : 023-522 5592 Onderwerp : Rapportage informatiebeveiliging

Nadere informatie

ICT-Beveiligingsrichtlijnen voor webapplicaties Deel 1

ICT-Beveiligingsrichtlijnen voor webapplicaties Deel 1 ICT-Beveiligingsrichtlijnen voor webapplicaties Deel 1 ICT-Beveiligingsrichtlijnen voor webapplicaties Deel 1 Nationaal Cyber Security Centrum Wilhelmina van Pruisenweg 104 2595 AN Den Haag Postbus 117

Nadere informatie

ICT-Beveiligingsrichtlijnen voor webapplicaties Deel 1

ICT-Beveiligingsrichtlijnen voor webapplicaties Deel 1 ICT-Beveiligingsrichtlijnen voor webapplicaties Deel 1 ICT-Beveiligingsrichtlijnen voor webapplicaties Deel 1 Nationaal Cyber Security Centrum Wilhelmina van Pruisenweg 104 2595 AN Den Haag Postbus 117

Nadere informatie

Grip op Secure Software Development de rol van de tester

Grip op Secure Software Development de rol van de tester Grip op Secure Software Development de rol van de tester Rob van der Veer / Arjan Janssen Testnet 14 oktober 2015 Even voorstellen.. Arjan Janssen Directeur P&O DKTP a.janssen@dktp.nl DKTP is gespecialiseerd

Nadere informatie

Systeemconfiguratie Policy VICnet/SPITS

Systeemconfiguratie Policy VICnet/SPITS Ministerie van Verkeer en Waterstaat opq Rijkswaterstaat Systeemconfiguratie Policy VICnet/SPITS 15 Februari 2005 Eindverantwoordelijkheid Opgesteld Naam Datum Paraaf Security Manager SPITS E.A. van Buuren

Nadere informatie

Verbeterplan Suwinet

Verbeterplan Suwinet Verbeterplan Suwinet Inhoudsopgave 1. Aanleiding... 3 2. Verbeterpunten Suwinet... 4 2.1 Informatiebeveiligingsbeleid... 4 2.2 Uitdragen van het beleid... 4 2.3 Functiescheiding... 4 2.4 Security Officer...

Nadere informatie

Overzicht Informatiebeveiliging Inlichtingenbureau GGK

Overzicht Informatiebeveiliging Inlichtingenbureau GGK Overzicht Informatiebeveiliging Inlichtingenbureau GGK Versie 1.3 Datum November 2014 A) IB-beleid en plan 1) Gegevens: Zorg ervoor dat een bewerkersovereenkomst wordt afgesloten met nadruk op de volgende

Nadere informatie

makkelijke en toch veilige toegang

makkelijke en toch veilige toegang voor wie? makkelijke en toch veilige toegang Matthijs Claessen Nausikaä Efstratiades Eric Brouwer Beurs Overheid & ICT 2012 Graag makkelijk voor ons allemaal: 16,7 miljoen inwoners (burgers)! waarvan meer

Nadere informatie

Stappen ze bij u ook gewoon door de achterdeur binnen? Bart de Wijs. IT Security in de Industrie. FHI 11 Mei 2006

Stappen ze bij u ook gewoon door de achterdeur binnen? Bart de Wijs. IT Security in de Industrie. FHI 11 Mei 2006 Bart de Wijs Stappen ze bij u ook gewoon door de achterdeur binnen? All rights reserved. 5/17/2006 IT Security in de Industrie FHI 11 Mei 2006 Achterdeuren? Heeft u ook: Slide 2 Van die handige USB memory

Nadere informatie

INHOUDSOPGAVE INLEIDING... 3 TOEGANG TOT HET NETWERK KSZ VIA INTERNET...

INHOUDSOPGAVE INLEIDING... 3 TOEGANG TOT HET NETWERK KSZ VIA INTERNET... Minimale normen informatieveiligheid & privacy : Minimale normen informatieveiligheid en privacy Gebruik van internet om toegang te krijgen tot het netwerk van de Kruispuntbank van de Sociale Zekerheid

Nadere informatie

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid Informatiebeveiligingsbeleid Minimale Maatregelen Universiteit Leiden Versie 5 8 juli 2004 Inhoudsopgave 1 Inleiding 3 1.1 Uitgangspunten 3 1.2 Minimumniveau van beveiliging 3 2 Minimale set maatregelen

Nadere informatie

Privacy Bijsluiter (digitale) leermiddelen en educatieve diensten voor het primair onderwijs van Blink

Privacy Bijsluiter (digitale) leermiddelen en educatieve diensten voor het primair onderwijs van Blink Bijlage 1 Privacy Bijsluiter (digitale) leermiddelen en educatieve diensten voor het primair onderwijs van Blink Blink is een educatieve uitgeverij die verschillende (digitale) producten en diensten (

Nadere informatie

4Passief: n Afluisteren. n Geen gegevens gewijzigd of vernietigd. n Via de routers van WAN. n Via draadloze verbindingen. 4Fysieke afsluiting

4Passief: n Afluisteren. n Geen gegevens gewijzigd of vernietigd. n Via de routers van WAN. n Via draadloze verbindingen. 4Fysieke afsluiting Telematica Hoofdstuk 20 4Passief: n Afluisteren Bedreigingen n Alleen gegevens (inclusief passwords) opgenomen n Geen gegevens gewijzigd of vernietigd n Op LAN kan elk station alle boodschappen ontvangen

Nadere informatie

Factsheet Penetratietest Informatievoorziening

Factsheet Penetratietest Informatievoorziening Factsheet Penetratietest Informatievoorziening Since the proof of the pudding is in the eating DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl

Nadere informatie

NETQ Healthcare: Voor inzicht in het effect van therapie

NETQ Healthcare: Voor inzicht in het effect van therapie NETQ Healthcare: Voor inzicht in het effect van therapie INHOUD Inleiding 3 Eisen vanuit NEN 7510 en de Wet Bescherming Persoonsgegevens 4 Beheerst wijzigingsproces 4 Toegankelijkheid geautoriseerde gebruikers

Nadere informatie

HARDENING-BELEID VOOR GEMEENTEN. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

HARDENING-BELEID VOOR GEMEENTEN. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) HARDENING-BELEID VOOR GEMEENTEN Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Hardening-beleid voor gemeenten

Nadere informatie

Het Sebyde aanbod. Secure By Design. AUG 2012 Sebyde BV

Het Sebyde aanbod. Secure By Design. AUG 2012 Sebyde BV Het Sebyde aanbod Secure By Design AUG 2012 Sebyde BV Wat bieden wij aan? 1. Web Applicatie Security Audit 2. Secure Development 3. Security Awareness Training 4. Security Quick Scan 1. Web Applicatie

Nadere informatie

Informatiebeveiliging voor gemeenten: een helder stappenplan

Informatiebeveiliging voor gemeenten: een helder stappenplan Informatiebeveiliging voor gemeenten: een helder stappenplan Bewustwording (Klik hier) Structureren en borgen (Klik hier) Aanscherping en maatwerk (Klik hier) Continu verbeteren (Klik hier) Solviteers

Nadere informatie

Factsheet Penetratietest Webapplicaties

Factsheet Penetratietest Webapplicaties Factsheet Penetratietest Webapplicaties Since the proof of the pudding is in the eating DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl

Nadere informatie

Stichting Hogeschool van Arnhem en Nijmegen. Rapport definitieve bevindingen

Stichting Hogeschool van Arnhem en Nijmegen. Rapport definitieve bevindingen POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Juliana van Stolberglaan 4-10 TEL 070-88 88 500 FAX 070-88 88 501 INTERNET www.cbpweb.nl www.mijnprivacy.nl Stichting Hogeschool van Arnhem en Nijmegen

Nadere informatie

Who are we? Madison Gurkha Protectors of your data and systems! Largest independant security testing and advisory company in NL

Who are we? Madison Gurkha Protectors of your data and systems! Largest independant security testing and advisory company in NL Privacy in de zorg Who are we? Madison Gurkha Protectors of your data and systems! Largest independant security testing and advisory company in NL Audit & Advisory Security Assessments Training and Awareness

Nadere informatie

SOA Security. en de rol van de auditor... ISACA Roundtable 2 juni 2008. Arthur Donkers, 1Secure BV arthur@1secure.nl

SOA Security. en de rol van de auditor... ISACA Roundtable 2 juni 2008. Arthur Donkers, 1Secure BV arthur@1secure.nl SOA Security en de rol van de auditor... ISACA Roundtable 2 juni 2008 Arthur Donkers, 1Secure BV arthur@1secure.nl 1 SOA Web 2.0, web services en service oriented architecture (SOA) is tegenwoordig de

Nadere informatie

DigiD SSL. Versie 2.1.1. Datum 16 augustus 2010 Status Definitief

DigiD SSL. Versie 2.1.1. Datum 16 augustus 2010 Status Definitief DigiD SSL Versie 2.1.1 Datum 16 augustus 2010 Status Definitief Colofon Projectnaam DigiD Versienummer 2.1.1 Organisatie Logius Postbus 96810 2509 JE Den Haag servicecentrum@logius.nl Pagina 2 van 9 Inhoud

Nadere informatie

Beveiligingsmaatregelen voor een doeltreffende Cyber verdediging

Beveiligingsmaatregelen voor een doeltreffende Cyber verdediging Beveiligingsmaatregelen voor een doeltreffende Cyber verdediging ivo.depoorter@v-ict-or.be V-ICT-OR Vlaamse ICT organisatie Ons overkomt dit niet.of toch? Inschatting Risico Kans X Schade Zijn wij een

Nadere informatie

PATCH MANAGEMENT VOOR GEMEENTEN. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

PATCH MANAGEMENT VOOR GEMEENTEN. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) PATCH MANAGEMENT VOOR GEMEENTEN Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Patch Management voor gemeenten

Nadere informatie

1 Dienstbeschrijving all-in beheer

1 Dienstbeschrijving all-in beheer 1 Dienstbeschrijving all-in beheer De all-in beheer overeenkomst van Lancom is modulair opgebouwd. U kunt bij Lancom terecht voor deelgebieden zoals helpdesk ondersteuning of backup, maar ook voor totale

Nadere informatie

Part 17-A INTERNET: basisbegrippen techniek & beveiliging

Part 17-A INTERNET: basisbegrippen techniek & beveiliging Part 17-A INTERNET: basisbegrippen techniek & beveiliging Fridoline van Binsbergen Stierum KPN AUDIT vrije Universiteit amsterdam 7 April 2003 File 17-A Internet techniek & beveiliging 2003 Programma PROGRAMMA

Nadere informatie

2015; definitief Verslag van bevindingen

2015; definitief Verslag van bevindingen Inspectie SZW Ministerie van Sociale Zaken en Werkgelegenheid > Retouradres Postbus 90801 2509 LV Den Haag De Gemeenteraad van Nederweert Postbus 2728 6030AA NEDERWEERT Programma 8 Postbus 90801 2509 LV

Nadere informatie

Databeveiliging en Hosting Asperion

Databeveiliging en Hosting Asperion Databeveiliging en Hosting Asperion www.asperion.nl info@asperion.nl Het Asperion Datacenter Uw gegevens veilig en professioneel bewaard Administraties bevatten vertrouwelijke informatie en daar moet vanzelfsprekend

Nadere informatie

Firewallpolicy VICnet/SPITS

Firewallpolicy VICnet/SPITS Ministerie van Verkeer en Waterstaat opq Rijkswaterstaat Firewallpolicy VICnet/SPITS 16 Februari 2005 Eindverantwoordelijkheid Goedgekeurd Naam Datum Paraaf Security Manager SPITS E.A. van Buuren Geaccepteerd

Nadere informatie

Beheersmaatregelen volgens Bijlage A van de ISO/IEC norm

Beheersmaatregelen volgens Bijlage A van de ISO/IEC norm Beheersmaatregelen volgens Bijlage A van de ISO/IEC 27001 norm A.5.1.1 Beleidsdocumenten voor informatiebeveiliging A.5.1.2 Beoordeling van het Informatiebeveiligingsbeleid A.6.1.1 Informatiebeveiligings

Nadere informatie

MSSL Dienstbeschrijving

MSSL Dienstbeschrijving MSSL Dienstbeschrijving Versie : 1.0 Datum : 28 augustus 2007 Auteur : MH/ME Pagina 2 van 7 Inhoudsopgave Inhoudsopgave... Fout! Bladwijzer niet gedefinieerd. Introductie... 3 Divinet.nl Mssl... 3 Hoe

Nadere informatie

Genereren van een webapplicatie op basis van DLA

Genereren van een webapplicatie op basis van DLA Genereren van een webapplicatie op basis van DLA ir Bert Dingemans DLA Ontwerp en Software info@dla-architect.nl Inleiding Bij het ontwikkelen van maatwerk software loopt men al snel tegen het probleem

Nadere informatie

TPM-rapportage. :<Bedrijfsnaam> SURF-audit. :1.0 - Definitief

TPM-rapportage. :<Bedrijfsnaam> SURF-audit. :1.0 - Definitief TPM-rapportage SURF-audit Uitgebracht door Contactpersoon Uitgebracht aan Opdrachtgever Datum Versie : AuditConnect B.V. : : : : :1.0

Nadere informatie

Privacy Bijsluiter Registratie-/ Planningsoftware Uitgeverij Zwijsen B.V.

Privacy Bijsluiter Registratie-/ Planningsoftware Uitgeverij Zwijsen B.V. Bijlage 1 Privacy Bijsluiter Registratie-/ Planningsoftware Uitgeverij Zwijsen B.V. Uitgeverij Zwijsen B.V. is een educatieve uitgeverij die verschillende digitale producten en diensten ( digitale leermiddelen

Nadere informatie

Vragenlijst. Voor uw potentiële Cloud Computing-leverancier

Vragenlijst. Voor uw potentiële Cloud Computing-leverancier Vragenlijst Voor uw potentiële Cloud Computing-leverancier Haarlem, 2011 Inleiding Terremark heeft sinds de opkomst van server virtualisatie in het begin van deze eeuw veel RFI s en RFP s beantwoord. Deze

Nadere informatie

Informatiebeveiliging

Informatiebeveiliging Informatiebeveiliging HKZ, november 2016 Wie ik ben: adviseur/trainer/qarebase begeleiden bij kwaliteitsmanagement en certificering Lead Auditor Kiwa, o.a. HKZ, ISO 9001, ZKN, VMS, NEN 7510 en NEN-ISO

Nadere informatie

Proactief en voorspellend beheer Beheer kan effi ciënter en met hogere kwaliteit

Proactief en voorspellend beheer Beheer kan effi ciënter en met hogere kwaliteit Proactief en voorspellend beheer Beheer kan effi ciënter en met hogere kwaliteit Beheer kan efficiënter en met hogere kwaliteit Leveranciers van beheertools en organisaties die IT-beheer uitvoeren prijzen

Nadere informatie

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002.

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002. Gesloten openheid Beleid informatiebeveiliging gemeente Leeuwarden 2014-2015 VOORWOORD In januari 2003 is het eerste informatiebeveiligingsbeleid vastgesteld voor de gemeente Leeuwarden in de nota Gesloten

Nadere informatie

Inzenden en ontvangen aangifte

Inzenden en ontvangen aangifte UPA Inzenden en ontvangen aangifte Specificaties koppelvlak Versie 1.0 Inhoud 1 Doel document... 2 2 Aanlevering bestanden... 2 2.1 Webservices... 2 2.2 FTP... 4 2.3 Secure cloud... 4 3 Aanlevering MDV/PLO...

Nadere informatie

Back to the Future. Marinus Kuivenhoven Sogeti

Back to the Future. Marinus Kuivenhoven Sogeti Back to the Future Marinus Kuivenhoven Sogeti 1 Commodore 64 2 Commodore 1541 floppy drive 3 Assymetrisch gedrag Een operatie die voor een overgang zorgt.. Waarbij heen minder kost dan terug 4 Assymetrisch

Nadere informatie

Bewustwording en awareness TIPS EN HANDVATTEN OM HET RISICO OP EEN DATALEK TE VERKLEINEN

Bewustwording en awareness TIPS EN HANDVATTEN OM HET RISICO OP EEN DATALEK TE VERKLEINEN Bewustwording en awareness TIPS EN HANDVATTEN OM HET RISICO OP EEN DATALEK TE VERKLEINEN Helaas, 100% beveiliging bestaat niet. Kwetsbaarheden veranderen dagelijks en hackers zitten niet stil. Een datalek

Nadere informatie

Rapport van bevindingen - Beveiligingsonderzoek Raad van State

Rapport van bevindingen - Beveiligingsonderzoek Raad van State Auditdienst Rijk Ministerie van Financiën DEPARTEMENTAAL VERTROUWELIJK Rapport van bevindingen - Beveiligingsonderzoek Colofon Titel Rapport van bevindingen Bevelligingsonderzoek Raad van State Uitgebracht

Nadere informatie

Team Werknemers Pensioen

Team Werknemers Pensioen Team Werknemers Pensioen 1 Implementatie pensioenregeling Uitgangspunt Implementatie en communicatie in overleg met ADP en adviseurs Vaste onderdelen van implementatie Opvoeren pensioenregeling ADP in

Nadere informatie

Bijlage 2 Beveiligingsplan. Informatiebeveiliging

Bijlage 2 Beveiligingsplan. Informatiebeveiliging Bijlage 2 Beveiligingsplan Informatiebeveiliging De verantwoordelijkheid voor informatiebeveiliging ligt bij het dagelijks bestuur. In de DB-vergadering van 31 augustus 2015 is stilgestaan bij een aantal

Nadere informatie