Handreiking DigiD ICT-beveiligingsassessment voor RE's Tabel beveiligingsrichtlijnen met aandachtspunten

Transcriptie

1 Bijlage 1 Versie 2015 Handreiking DigiD ICT-beveiligingsassessment voor RE's Tabel beveiligingsrichtlijnen met aandachtspunten Het doel van deze tabel is de IT-auditor een handreiking te verstrekken ten aanzien van het toepasingsgebied, de scope en een testaanpak, alsmede een nadere toelichting, voor het uitvoeren van een DigiD ICT-beveiligingsassessment op basis van de de Logius norm. Het is de verantwoordelijkheid van de individuele auditor voldoende werkzaamheden te verrichten om per norm een oordeel te verstrekken met een redelijke mata van zekerheid. Ref. Beveiligingsrichtlijn Type Handreiking voor de IT auditor Toepasbaarheidgebied: houder DigiD aansluiting, software ontwikkelaar, hosting partij B0-5 Alle wijzigingen worden altijd eerst getest voordat deze in productie worden genomen en worden via wijzigingsbeheer doorgevoerd. Governance Scope: de DigiD applicatie en de infrastructuur Wijzigingenbeheer met betrekking tot formulieren - Wijzigingen doen zich voor in de volgende lagen: - Infrastructuur > in scope; -Applicatie > in scope; Formulieren > in scope Nadere toelichting: De focus is het vaststellen dat het proces wijigingsbeheer zodanig is opgezet en geïmplementeerd dat alle wijzigingen altijd eerst worden getest voordat deze in productie worden genomen en via wijzigingsbeheer worden doorgevoerd. In sommige gevallen kunnen formulieren worden gebouwd die beveiligingsrisico's introduceren en valt wijzigingenbeheer met betrekking tot formulieren wel in scope van de DigiD-assessment. Is dit niet het geval dan valt wijzigingenbeheer met betrekking tot formulieren niet in scope. Welke specifieke situatie zich voordoet hangt af van de applicatie (formulierengenerator) en de wijze waarop deze wordt gebruikt. Het is aan de auditor om te bepalen of er aanleiding is om wijzigingenbeheer ten aanzien van de formulieren in de DigiD-scope op te nemen. Test aanpak: interview met verantwoordelijke functionarissen, beoordeling van proces documentatie, gerichte steekproef op wijzigingen. Het testen van wijzigingen zal doorgaans in een test/acceptatie omgeving plaatsvinden. Voor zover deze wijzigingen doorgevoerd (gaan) worden op de DigiD-webomgeving zijn deze in scope. Ingeval van SAAS-toepassingen ligt de verantwoordelijkheid voor het testen bij de leverancier en/of gebruikersgroep. Eventueel toelichten indien, en waarom de norm niet getest hoeft te worden. Indien voldaan wordt in opzet maar er hebben zich geen wijzigingen voorgedaan, dan als oordeel opnemen 'voeldoet in opzet' met als voetnoot: 'Dit heeft zich niet voorgedaan waardoor het bestaan niet kon worden getest'. Scope: het netwerksegment met de DigiD webservers en de route naar het internet B0-6 Maak gebruik van een hardeningsproces, zodat alle ICTcomponenten zijn gehard tegen aanvallen. Nadere toelichting: de focus is op het hardeningsproces. Onderdeel hiervan is een security baseline voor de systemen. De hardening van internet facing systemen dient strak te zijn geregeld: alles wat open staat moet een reden hebben en alles wat open staat moet secure wordeen aangeboden. De hardening van interne systemen mag minder stringent. Wel moeten de management functies moeten secure zijn, er geen onveilige protocollen worden gebruikt, default passwords zijn gewijzigd, voorbeeld applicaties na default install zijn verwijdern, etc Test aanpak: interviews met verantwoordelijke functionarissen, beoordeling van proces documentatie, inspectie van configuratie documentatie en analyse van de uitkomsten van penetratietesten. pag. 1

2 B0-7 De laatste (beveiligings)patches zijn geïnstalleerd en deze worden volgens een patchmanagement proces doorgevoerd. Scope: het netwerksegment met de DigiD webservers en de route naar het internet Nadere toelichting: de focus is op het patching proces. De patching proces kan gedifferentieerd zijn naar OS en netwerk. Een maandelijks patching cycles is aanvaardbaar tenzij er security alerts zijn. Voor internet facing systemen dienen de laatste stabiele beveiligingspatches te zijn geïnstalleerd. Indien patching niet mogelijk is in verband met oudere applicatie, zal dit risico moeten zijn afgewogen. Test aanpak: interviews met verantwoordelijke functionarissen, beoordeling van proces documentatie, inspectie van configuratie documentatie en analyse van de uitkomsten van penetratietesten. Toepasbaarheidgebied: software ontwikkelaar, hosting partij en het IP adres van de DigiD applicatie. Zie de afzonderlijke bijlage met een toelichting op de procesmatige kwaliteitsaspecten bij een DigiD-pentest. B0-8 Penetratietests worden periodiek uitgevoerd. Infra-Pentest Nadere toelichting: de pentratietest/applicatiescan dient minimaal één maal per jaar worden uitgevoerd en na significante wijzigingen. Een jaarlijkse pentest laten uitvoeren ten tijde van de DigiD-assessment is minimaal. De voorkeur heeft het op basis van een risicoafweging enkele keren per jaar te testen, zodat ingespeeld kan worden op nieuwe bedreigingen. Op basis van de resultaten van de penetratietest dient de organisatie een actieplan op te stellen naar aanleiding van de bevindingen van de penetratietest. De testaanpak van de auditor richt zich ook op het actieplan. Testaanpak: evaluatie van de pentester van de scope van de penetratietest, eventueel review van het pentestdossier, analyse van de uitkomsten van penetratietesten, interviews met verantwoordelijke functionarissen en beoordeling van het actieplan. Scope: het netwerksegment met de DigiD webservers B0-9 Vulnerability assessments (security scans) worden periodiek uitgevoerd. Infra-Pentest Nadere toelichting: Vulnerability assessments vinden intern plaats, meerdere malen per jaar op basis van een risicoafweging. De vulnerabilityscan is een netwerk based scan dient zich ten minste gericht hebben op de hardening en patching van systemen en het detecteren van mogelijke kwetsbaarheden van deze systemen. Naar aanleiding van de resultaten van de penetratiest die de organisatie een plan op te stellen naar aanleiding van de bevindingen van de penetratietest. Test aanpak: evaluatie van de pentester en de scope van de vulnerability assessment, zo nodig review van het dossier, analyse van de uitkomsten van vulnerability assessment, interviews met verantwoordelijke functionarissen en beoordeling van het actieplan. pag. 2

3 , houder DigiD-aansluiting Scope: het netwerksegment met de DigiD webservers B0-12 Ontwerp en richt maatregelen in met betrekking tot toegangsbeveiliging / toegangsbeheer. Nadere toelichting: Deze norm richt zich meer op de procesmatige aspecten van beveiliging en -beheer, terwijl B2-1 zich meer richt op een aantal technische aspecten daarvan. Aandachtspunt is tevens het beperken van autorisaties m.b.t. het publiceren van formulieren. De focus ligt op de beheerprocessen. Dit betreft enerzijds toegang tot de DigiD-applicatie (naast geauthenticeerde gebruikers) en anderzijds toegang tot de DigiD-webservers, de routers en de firewalls. Aandachtspunten hierbij zijn de eisen aan wachtwoordinstellingen, controle op joiners/movers/leavers, geen standaard wachtwoorden bij administrator accounts, beperken shared accounts en uitvoeren periodieke reviews. Test aanpak: interview met de verantwoordelijke functionarissen, beoordeling van documentatie, inspectie van configuratie documentatie, inspectie van periodieke reviews en gerichte deelwaarnemingen Toepasbaarheidgebied: houder van de DigiD aansluiting Scope: betreft de websites en webpagina's achter de DigiD-koppeling. B0-13 Niet (meer) gebruikte websites en/of informatie moet worden verwijderd. Governance Nadere toelichting: deze beveiligingsrichtlijn dient procesmatig te worden benader. Er dient een overzicht (of CMDB) zijn van de websites. Elke website moet een eigenaar hebben die verantwoordelijk is dat niet meer gebruikte websites en/of informatie die niet meer wordt gebruikt wordt verwijderd. Daarnaast wordt dient minimaal jaarlijks een controle te worden uitgevoerd of de operationele websites nog worden gebruikt en/of informatie bevat daawerkelijk is verwijderd. Test aanpak: interviews met verantwoordelijke functionarissen, inspectie van de CMDB, inspectie van de laatste controle op de relevantie van de website en/of informatie op de website en analyse van de uitkomsten van penetratietesten. Toepasbaarheidgebied: houder van de DigiD aansluiting Scope: Softeware leverancier en hosting partij B0-14 Leg afspraken met leveranciers vast in een overeenkomst. Governance Nadere toelichting: Indien de organisatie een contract heeft overgedragen en dit schriftelijk (en ondertekend) heeft vastgelegd is dat afdoende gedocumenteerd. De belangrijkste conditie waarop deze norm afgekeurd wordt is géén (geldig) contract (of addendum). Er moeten tenminste gedocumenteerde afspraken zijn over informatiebeveiliging (zie ook B7-9) en Service Level Reporting. Test aanpak: interviews met verantwoordelijke functionarissen ebn beoordeling van de overeenkomsten met leveranciers. pag. 3

4 B1-1 Er moet gebruik worden gemaakt van een Demilitarised Zone (DMZ), waarbij compartimentering wordt toegepast en de verkeersstromen tussen deze compartimenten wordt beperkt tot alleen de hoogst noodzakelijke. Scope: DMZ Nadere toelichting: DMZ en compartimentering d.m.v. (2 virtuele) firewalls. Deze eis is eerder materieel (feitelijk bestaan en inrichting van DMZ) dan formeel (netwerkschema of tekening) beoordelen, eventueel op basis van een adequate beschrijving. Overigens zal de organisatie wel moeten aantonen dat zij voldoende inzicht heeft in de architectuur, zowel van het DMZ als van de systemen die zich daarin bevinden. Test aanpak: interviews met verantwoordelijke functionarissen, inspectie van netwerkschema's, inspectie van configuratie files en analyse van de uitkomsten van penetratietesten. B1-2 Beheer- en productieverkeer zijn van elkaar gescheiden. Scope: DMZ Nadere toelichting: door middel van fysieke scheiding, VPN verbindingen of VLANs is beheer en productieverkeer van elkaar gescheiden. Test aanpak: interviews met verantwoordelijke functionarissen, inspectie van netwerkschema's, inspectie van configuratie files en analyse van de uitkomsten van penetratietesten. B1-3 Netwerktoegang tot de webapplicaties is voor alle gebruikersgroepen op een zelfde wijze ingeregeld. Scope: DMZ Nadere toelichting: het netwerkverkeer tot de DigiD websers dient op de gelijke wijze te worden gefilterd als verkeer vanuit het externe netwerk. Test aanpak: interviews met verantwoordelijke functionarissen, inspectie van netwerkschema's, inspectie van configuratie files en analyse van de uitkomsten van penetratietesten. Scope: DMZ B2-1 Maak gebruik van veilige beheermechanismen. Nadere toelichting: Dit betreft het gebruik van veilige netwerkprotocollen, beheerinterfaces via het internet uitsluitend door middel van strong authentication te benaderen zijn en er geen gebruik wordt gemaakt van backdoors om de systemen te benaderen (ook niet voor noodtoegang). Test aanpak: interviews met verantwoordelijke functionarissen, beoordeling van de procedurebeschrijving met betrekking tot beheermechanismen, inspectie van configuratie files en analyse van de uitkomsten van penetratietesten. pag. 4

5 B3-1 De webapplicatie valideert de inhoud van een HTTP-request voor die wordt gebruikt. Nadere toelichting: HTTP request voor alle de invoermethodes zoals gespecificeerd in de ICT-Beveiligingsricht lijnen voor webapplicaties deel 2 van NCSC moeten worden gevalideerd. Mogelijkheden testen zij op type, lengte, formaat en karakters van invoer en speciale tekens (bv. <, >, ', ;, --, etc.). Test aanpak: observatie van de webpagina's van de DigiD applicatie en gebruik van tooling om de verschillende invoermethodes te identificeren. Gerichte deelwaarneming op invoervelden waarbij, met behulp van een applicatie scanning tools de validatie aan de server zijde van de verschillende invoermethodes wordt getest. Hierbij zou gebruik kunnen worden gemaakt van de penetratietest (zie ook B0-8). B3-2 De webapplicatie controleert voor elk HTTP verzoek of de initiator geauthenticeerd is en de juiste autorisaties heeft. Nadere toelichting: De web applicatie moet ervoor zorgen dat er verdediging tegen Cross Site Request Forgery (CSRF) en horizontale en verticale escalatie privilieges is ingebouwd. Tevens spreekt NCSC in deze controle van IP adres koppelen aan sessies/cookies. Echter, dit laatste wordt niet toegepast door industrie en kan achterwege worden gelaten. Test aanpak: Gerichte deelwaarneming op webpagina's (change state request) waarbij, met behulp van een applicatie scanning tools, waarbij de mogelijkheid tot CSRF wordt getest. Hierbij zou gebruik kunnen worden gemaakt van de penetratietest (zie ook B0-8). B3-3 De webapplicatie normaliseert invoerdata voor validatie. Nadere toelichting: De webapplicatie normaliseert invoerdata voor validatie. Voorbeelden van normalisatie zijn: Omzetten van NULL karakters naar spaties. Coderen van bijzondere karakters in een uniforme codering (bijvoorbeeld UTF-8). Normaliseren van padverwijzingen als /./ en /../. Verwijderen van overbodige spaties en regeleinden. Verwijderen van onnodige witruimtes. Omzetten van backslashes naar forward slashes. Omzetten van mixed case strings naar lower case strings. Test aanpak: Gerichte deelwaarneming op invoervelden met behulp van een applicatie scanning tools waarbij de normalisatie aan de server zijde wordt getest. Hierbij zou gebruik kunnen worden gemaakt van de penetratietest (zie ook B0-8). pag. 5

6 B3-4 De webapplicatie codeert dynamische onderdelen in de uitvoer. Nadere toelichting: om deze beveiligingsrichtlijn vollledig te testen is een source code review nodig. Hier is niet voor gekozen voor de DigiD ICTbeveiligingsassessment. Een indirect test hiervoor is het invoeren van speciale karakters (zoals < > ' " & /) en de uitvoer te analyseren. Test aanpak: Gerichte deelwaarneming op invoervelden met behulp van een applicatie scanning tools waabij de verwerking van speciale karakters aan de server zijde wordt getest. Hierbij zou gebruik kunnen worden gemaakt van de penetratietest (zie ook B0-8). B3-5 Voor het raadplegen en/of wijzigen van gegevens in de database gebruikt de webapplicatie alleen geparametriseerde queries. Nadere toelichting: om deze beveiligingsrichtlijn vollledig te testen is een source code review nodig. Hier is niet voor gekozen voor de DigiD ICTbeveiligingsassessment. Een indirect test hiervoor is met SQL injection. Test aanpak: Gerichte deelwaarneming op invoervelden met behulp van een applicatie scanning tools waarbij de SQL injectie aan de server zijde worden getest. Hierbij zou gebruik kunnen worden gemaakt van de penetratietest (zie ook B0-8). B3-6 De webapplicatie valideert alle invoer, gegevens die aan de webapplicatie worden aangeboden, aan de serverzijde. Nadere toelichting: afgedekt bij het testen van maatregelen B3-1, B3-3, B3-4 en B3-5 B3-7 De webapplicatie staat geen dynamische file includes toe of beperkt de keuze mogelijkheid (whitelisting). Nadere toelichting: om deze beveiligingsrichtlijn vollledig te testen is een source code review nodig. Hier is niet voor gekozen voor de DigiD ICTbeveiligingsassessment. Een indirect test hiervoor is het proberen verschillende mogelijke ongeschikte file type te uploaden (zoals.bat,.com..exe,.php,.asp, aspx,.eb) Test aanpak: observatie van de webpagina's van de DigiD applicatie en gebruik van tooling om de file uploads te identificeren. Gerichte deelwaarneming op file uploads waarbi het uploaden van mogelijk ongeschikte file type wordt getest. Hierbij zou gebruik kunnen worden gemaakt van de penetratietest (zie ook B0-8). pag. 6

7 B3-15 Een (geautomatiseerde) blackbox scan wordt periodiek uitgevoerd. Nadere toelichting: afgedekt bij het testen van maatregelen B0-8 (Zie ook de notitie over procesmatige kwaliteitsaspecten bij de DigiDpentesten). B3-16 Zet de cookie attributen HttpOnly en Secure. Nadere toelichting: verifieer dat alle sessie cookies HttpOnly en Secure Test aanpak: identificeer de cookies en inspecteer het HttpOnly en Secure van de cookies. Hierbij zou gebruik kunnen worden gemaakt van de penetratietest (zie ook B0-8). Scope: DigiD infrastructuur B5-1 Voer sleutelbeheer in waarbij minimaal gegarandeerd wordt dat sleutels niet onversleuteld op de servers te vinden zijn. Nadere toelichting: Indien certificaten zijn versleuteld behoren de sleutels behorende bij de SSL certificaten niet onversleuteld op de server te zijn opgeslagen. Het wachtwoord moet in een bestand staan waar uitsluitend de administrators en de accountbeheerders van de webapplicatie bij kunnen. Wanneer certificaten niet zijn versleuteld behoren permissies zodanig te zijn toegekend dat enkel de beheerder van de server toegang heeft tot de prive sleutel ( private key ). Test aanpak: Interview met de verantwoordelijke functionarissen, beoordeling van documentatie,observerveer dat prive sleutels niet onversleuteld op de server staan en controleer op basis van de bestandspermissies of enkel de beheerder rechten heeft voor het lezen en schrijven van de prive sleutel. Test aanpak: Interview met de verantwoordelijke functionarissen, beoordeling van documentatie en observerveer dat prive sleutels niet onversleuteld op de server staan. B5-2 Maak gebruik van versleutelde (HTTPS) verbindingen. Nadere toelichting: alle gevoelige (zoals in het kader van de WBS) informatie moet via een versleutelde verbinden worden verzonden. Bij voorkeur zou na de DigiD authenticatie de hele sessie vie een versleutelde verbinding moeten plaats vinden. Test aanpak: observeer het protocol van de verbinding bij het verwerken van gevoelige gegevens. Evalueer de kwaliteit van encryptie met de inductry standaard. pag. 7

8 Toepasbaarheidgebied: houder DigiD aansluiting, software leverancier B5-3 Sla gevoelige gegevens versleuteld of gehashed op. Nadere toelichting: Classificatie conform de WBP van gegevens die met DigiD worden ontsloten en identificatie van gevoelige gegevens die mogelijk versleuteling / hashing vereisen (de verantwoordelijkheid daarvoor ligt bij de organisatie zelf). Deze richtlijn geldt vooralsnog uitsluitend voor gegevens die in het DMZ staan. De procesverantwoordelijke stelt expliciet de gevoeligheid van het (informatie)systeem vast en de noodzaak voor aanvullende maatregelen. Test aanpak: interview met de verantwoordelijke functionaris, beoordeling van documentatie en observeer dat gevoelige gegevens versleuteld zijn opgeslagen. B5-4 Versleutel cookies. Nadere toelichting: Sessie cookies moeten worden versleuteld Test aanpak: observeer of tijdens het aanmaken van een cookie een beveiligde verbinding wordt gebruikt Toepasbaarheidgebied: hosting leverancier Scope: het netwerksegment met de DigiD webservers en de route naar het internet B7-1 Maak gebruik van Intrusion Detection Systemen (IDS). Nadere toelichting: intrusion detection systeem moet zijn geïnstalleerd en ingericht en er dient een beheerprocedure te zijn ingericht. Het actief monitoren van de rapportages uit de IDS/IPS is een voorwaarde, d.w.z. dat rapportages beoordeeld en vastgelegd worden en effectief actie wordt ondernomen indien daartoe aanleiding is. Test aanpak: interview met de verantwoodelijke functionarissen, inspectie van inrichtingsdocumentatie en inspectie van follow-up acties naar aanleiding van alerts Toepasbaarheidgebied: hosting leverancier Scope: het netwerksegment met de DigiD webservers en de route naar het internet B7-8 Voer actief controles uit op logging Nadere toelichting: de controle op de logging zou met name gericht moeten zijn op de operatie en beveiliging van systemen. Onverwachts gestopte processen, mislukte authenticatiepogingen, ongeoorloofde pogingen om toegang te krijgen tot bestanden en overige pogingen tot misbruik dienen te worden geregistreerd, en er dient actief op te worden gecontroleerd. Test aanpak: interview met de verantwoodelijke functionarissen, beoordeling van procedurebeschrijving, inspectie van rapportages uit de logging en inspectie van follow-up acties naar aanleiding van incidenten en het bepalen van de vervolgacties. pag. 8

9 Toepasbaarheidgebied: houder DigiD aansluiting, software leverancier, hosting leverancier Scope: informatiebeveiliging binnen de organisatie Nadere toelichting: De kern hiervan is dat de verantwoordelijkheden voor de informatiebeveiliging van de webapplicatie die gebruik maakt van DigiD zijn toegekend aan met name genoemde functionarissen, met hun functieomschrijving. B7-9 Governance, organisatie, rollen en bevoegdheden inzake preventie, detectie en response inzake informatiebeveiliging dienen adequaat te zijn vastgesteld. Governance Voor het DigiD assessment wordt nagegaan of de volgende verantwoordelijkheden zijn vastgesteld en toegekend: - Directe verantwoordelijkheid (eigenaarschap) voor de webapplicatie die gebruik maakt van DigiD. Veelal zal dit belegd zijn bij een afdelingshoofd. - Eindverantwoordelijkheid voor de informatiebeveiliging binnen de organisatie. Veelal zal dit belegd zijn bij de leiding van de organisatie. - Kaderstellende en toetsende verantwoordelijkheid op het gebied van informatiebeveiliging namens de leiding van de organisatie. Dit omvat ook de verantwoordelijkheid voor het uitdragen van de security kaders, het toetsen van de naleving van de kaders het acteren op security incidenten. Veelal zal dit belegd zijn bij de security officer. Een uitgewerkt informatiebeveiligingsbeleid en/of een uitgewerkt informatiebeveiligingsplan is bij deze norm geen vereiste, maar biedt wel een goed kader voor het toekennen van de verantwoordelijkheden voor informatiebeveiliging. Test aanpak: interview met de verantwoordelijke functionarissen en beoordeling van documentatie pag. 9