DIGID-AUDIT BIJ ZORGPORTAAL RIJNMOND

Transcriptie

1 DIGID-AUDIT BIJ ZORGPORTAAL RIJNMOND

2 SAFEHARBOUR Audit en Security ISO 27001/ NEN7510 implementatie Projectadvies Risicoanalyses Zorg

3 WAAROM DIGID-AUDIT?

4 DAAROM DIGID-AUDIT Sinds 2013 is er een wettelijke verplichting voor alle Digid gebruikende instellingen om een jaarlijkse audit te doen.

5 NORMERING DIGID-AUDIT norm: de ICT-beveiligingsrichtlijn voor web applicaties van het Nationaal Cyber Security Centrum (NCSC) basisbeveiliging (virusscanner, firewall), besturingssysteem en netwerk- en applicatiebeveiliging

6 WAT IS DE DIGID-AUDIT? PVA ITIL BELEID PROCEDURES Webapplicaties SYSTEMEN CONTROLES Penetratietest Webserver Vulnerability scan User Management Logging

7 SCOPE VAN DIGID-AUDIT

8 SCOPE VAN DIGID-AUDIT

9 Nr B0-5 B0-6 Beschrijving van de beveiligingsrichtlijn Alle wijzigingen worden altijd eerst getest voordat deze in productie worden genomen en worden via wijzigingsbeheer doorgevoerd. Alle wijzigingen worden altijd eerst getest voordat deze in productie worden genomen en worden via wijzigingsbeheer doorgevoerd. B0-7 De laatste (beveiligings)patches zijn geïnstalleerd en deze worden volgens een patchmanagement proces doorgevoerd. B0-8 Penetratietests worden periodiek uitgevoerd. B0-9 Vulnerability assessments (security scans) worden periodiek uitgevoerd. B0-12 Ontwerp en richt maatregelen in met betrekking tot toegangsbeveiliging/toegangsbeheer. B0-13 Niet (meer) gebruikte websites en/of informatie moet worden verwijderd. B0-14 Leg afspraken met leveranciers vast in een overeenkomst Er moet gebruik worden gemaakt van een Demilitarised Zone (DMZ), B1-1 waarbij compartimentering wordt toegepast en de verkeersstromen tussen deze compartimenten wordt beperkt tot alleen de hoogst noodzakelijke. B1-2 Beheer- en productieverkeer zijn van elkaar gescheiden. B1-3 Netwerktoegang tot de webapplicaties is voor alle gebruikersgroepen op een zelfde wijze ingeregeld. B2-1 Maak gebruik van veilige beheermechanismen. B3-1 De webapplicatie valideert de inhoud van een HTTP-request voor die wordt gebruikt. B3-2 De webapplicatie controleert voor elk HTTP verzoek of de initiator geauthenticeerd is en de juiste autorisaties heeft. B3-3 De webapplicatie normaliseert invoerdata voor validatie. B3-4 De webapplicatie codeert dynamische onderdelen in de uitvoer. B3-5 Voor het raadplegen en/of wijzigen van gegevens in de database gebruikt de webapplicatie alleen geparametriseerde queries. B3-6 De webapplicatie valideert alle invoer, gegevens die aan de webapplicatie worden aangeboden, aan de serverzijde. B3-7 De webapplicatie staat geen dynamische file includes toe of beperkt de keuze mogelijkheid (whitelisting). B3-15 Een (geautomatiseerde) blackbox scan wordt periodiek uitgevoerd. B3-16 Zet de cookie attributen HttpOnly en Secure. B5-1 Voer sleutelbeheer in waarbij minimaal gegarandeerd wordt dat sleutels niet onversleuteld op de servers te vinden zijn. B5-2 Maak gebruik van versleutelde (HTTPS) verbindingen. B5-3 Sla gevoelige gegevens versleuteld of gehashed op. B5-4 Versleutel cookies. B7-1 Maak gebruik van Intrusion Detection Systemen (IDS). B7-8 Voer actief controles uit op logging. B7-9 Governance, organisatie, rollen en bevoegdheden inzake preventie, detectie en response inzake informatiebeveiliging dienen adequaat te zijn vastgesteld.

10 SCOPE VAN DIGID-AUDIT 28 normen door Logius benoemd 18 normen hosting leverancier 15 normen Zorgportaal Rijnmond 10 applicaties 5 organisaties

11 SCOPE VAN DIGID-AUDIT Zorgportaal Rijnmond Governance Change Management Webbeheer Leveranciersafspraken Versleutelen van vertrouwelijke gegevens

12 Nr B0-5 B0-6 Beschrijving van de beveiligingsrichtlijn Alle wijzigingen worden altijd eerst getest voordat deze in productie worden genomen en worden via wijzigingsbeheer doorgevoerd. Alle wijzigingen worden altijd eerst getest voordat deze in productie worden genomen en worden via wijzigingsbeheer doorgevoerd. B0-7 De laatste (beveiligings)patches zijn geïnstalleerd en deze worden volgens een patchmanagement proces doorgevoerd. B0-8 Penetratietests worden periodiek uitgevoerd. B0-9 Vulnerability assessments (security scans) worden periodiek uitgevoerd. B0-12 Ontwerp en richt maatregelen in met betrekking tot toegangsbeveiliging/toegangsbeheer. B0-13 Niet (meer) gebruikte websites en/of informatie moet worden verwijderd. B0-14 Leg afspraken met leveranciers vast in een overeenkomst Er moet gebruik worden gemaakt van een Demilitarised Zone (DMZ), B1-1 waarbij compartimentering wordt toegepast en de verkeersstromen tussen deze compartimenten wordt beperkt tot alleen de hoogst noodzakelijke. B1-2 Beheer- en productieverkeer zijn van elkaar gescheiden. B1-3 Netwerktoegang tot de webapplicaties is voor alle gebruikersgroepen op een zelfde wijze ingeregeld. B2-1 Maak gebruik van veilige beheermechanismen. B3-1 De webapplicatie valideert de inhoud van een HTTP-request voor die wordt gebruikt. B3-2 De webapplicatie controleert voor elk HTTP verzoek of de initiator geauthenticeerd is en de juiste autorisaties heeft. B3-3 De webapplicatie normaliseert invoerdata voor validatie. B3-4 De webapplicatie codeert dynamische onderdelen in de uitvoer. B3-5 Voor het raadplegen en/of wijzigen van gegevens in de database gebruikt de webapplicatie alleen geparametriseerde queries. B3-6 De webapplicatie valideert alle invoer, gegevens die aan de webapplicatie worden aangeboden, aan de serverzijde. B3-7 De webapplicatie staat geen dynamische file includes toe of beperkt de keuze mogelijkheid (whitelisting). B3-15 Een (geautomatiseerde) blackbox scan wordt periodiek uitgevoerd. B3-16 Zet de cookie attributen HttpOnly en Secure. B5-1 Voer sleutelbeheer in waarbij minimaal gegarandeerd wordt dat sleutels niet onversleuteld op de servers te vinden zijn. B5-2 Maak gebruik van versleutelde (HTTPS) verbindingen. B5-3 Sla gevoelige gegevens versleuteld of gehashed op. B5-4 Versleutel cookies. B7-1 Maak gebruik van Intrusion Detection Systemen (IDS). B7-8 Voer actief controles uit op logging. B7-9 Governance, organisatie, rollen en bevoegdheden inzake preventie, detectie en response inzake informatiebeveiliging dienen adequaat te zijn vastgesteld.

13 HOE DOEN WE DE AUDIT? Pre-audit (nulmeting) Herstel op basis van bevindingen Her-audit op incrementen Eind-audit September 2013 December 2013

14 PRE-AUDIT Pre-audit (nulmeting) Herstel op basis van bevindingen Her-audit op incrementen Eind-audit Toets op de 5 organisatorische normen Leverancierscontracten Penetratietest naar applicatienormen Black box Vanaf internet Technische Audit bij Intermax

15 PRE-AUDIT Pre-audit (nulmeting) Herstel op basis van bevindingen Her-audit op incrementen Eind-audit Bevinding Risico Verantwoordelijke Geen afscherming contact formulier voor mail misbruik Medium Ontwikkelaar website(s) Httponly/Secure cookie flag niet overal gebruikt Low Ontwikkelaar website(s) Cross Site Scripting lekken Medium Ontwikkelaar website(s)

16 HER-AUDIT INCREMENTEN Deelopleveringen bij leverancierscontracten Per aanlevering beoordeling Eventueel laten aanpassen Pre-audit (nulmeting) Herstel op basis van bevindingen Her-audit op incrementen Eind-audit

17 AUDIT Beoordeling van de stukken Beoordeling techniek Interviews Opzet en bestaan Pre-audit (nulmeting) Herstel op basis van bevindingen Her-audit op incrementen Eind-audit

18 AUDIT RESULTAAT 24 normen geslaagd Intermax voldoet aan alle hosting gerelateerde normen (18) 4 verbeterpunten audit vraagt niet om overall oordeel maar kans op een exploit is minimaal Auditrapport ligt nu bij Logius ter beoordeling

19 AUDIT - BOUWWERK Gebruik maken van elkaars resultaat TPM Uw applicatie Digid-audit TPM

20 Daan Koot ICT Consultant / in daankoot