Nieuw normenkader ICT Beveiligingsassessments DigiD

Transcriptie

1 DGOBR Logius Contactpersoon Eelco van Vliet M eelco.van.vliet@logius.nl Datum 5 februari 2016 Nieuw normenkader ICT Beveiligingsassessments DigiD Doel van dit memo is de Directie Burgerschap & Informatiebeleid te adviseren bij het vaststellen van een nieuw normenkader voor de ICT-beveiligingsassessments DigiD. Achtergrond ICT Beveiligingsassessment DigiD De basis voor de uitvoering van de ICT-beveiligingsassessments bij organisaties die gebruik maken van DigiD, is de kamerbrief Lekken in een aantal gemeentelijke websites d.d. 11 oktober 2011 met kenmerk De minister van BZK zegt hier onder punt 3 toe dat alle DigiD gebruikende organisaties hun ICT beveiliging getoetst dienen te hebben op basis van een ICT-beveiligingsassessment. Verder is bepaald dat de ICT-beveiligingsassessments jaarlijks herhaald dienen te worden. Tevens wordt de norm voor het assessment vastgesteld op basis van de ICT-beveiligingsrichtlijnen voor webapplicaties, opgesteld door het Nationaal Cyber Security Centrum (NCSC.) Nadere analyse van de brief brengt een aantal aandachtsgebieden voor het ICTbeveiligingsassessment aan het licht: 1. Aanleiding voor het opstellen van de kamerbrief is een aantal lekken / kwetsbaarheden in gemeentelijke websites die vanaf het internet te misbruiken waren. Dit betekent dat een belangrijk aandachtsgebied in ieder geval externe (vanaf het internet) bedreigingen voor de webomgeving zijn; 2. In de brief wordt meerdere malen het belang van het waarborgen van het vertrouwen van de burger in de elektronische overheidsdienstverlening benadrukt. Hierbij wordt specifiek nog het onderscheppen van gegevens van burgers en oneigenlijk gebruik hiervan genoemd. Op hoofdlijnen zijn hiervoor drie aspecten van belang: ten eerste moet de beveiliging van een webomgeving die gebruik maakt van DigiD op orde zijn. Ten tweede moeten detectieve maatregelen aanwezig zijn waarmee misbruik van een eventuele kwetsbaarheid in de webomgeving wordt gedetecteerd. Ten derde dient een toereikende incidentmanagement procedure aanwezig te zijn waarmee adequaat kan worden gereageerd op een incident en gevolgschade kan worden beperkt. Aanleiding ontwikkelen nieuw normenkader Bij de inrichting van het ICT-beveiligingsassessment in 2011/2012 is gekozen voor het geven van (aanvullende) zekerheid op basis van de Norea richtlijn 3000 waarbij per norm een oordeel over opzet en bestaan wordt gegeven. Tevens zijn 1

2 met name operationele richtlijnen geselecteerd die rechtstreeks bijdragen aan de beveiliging van een DigiD webomgeving. Beleidsgerichte onderwerpen die meer indirect en op langere termijn bijdragen aan de beveiliging, zijn in beperkte mate opgenomen. Voor de ICT-beveiligingsassessments voor controlejaar 2016 e.v. wordt uitgegaan van continuïteit in deze keuzes. Eén en ander leidt tot de volgende algemene doelstelling voor een ICTbeveiligingsassessment vanaf controlejaar 2016: Het verschaffen van aanvullende zekerheid over de opzet en het bestaan in een DigiD webomgeving van een aantal beveiligingsmaatregelen die zijn gebaseerd op een selectie uit de actuele ICTbeveiligingsrichtlijnen voor webapplicaties en die gericht zijn op enerzijds de preventie van het optreden van bedreigingen vanaf internet en anderzijds de detectie en de incident response indien deze bedreigingen zich toch manifesteren. Voor het assessmentjaar 2016 DigiD zijn er een aantal overleggen geweest tussen Logius, ADR, Norea en BZK rond het verbeteren van het normenkader zoals dit voor het assessment over het jaar 2013 en 2014 gebruikt is en voor het jaar 2015 gehandhaafd blijft. Een aantal overwegingen liggen ten grondslag aan deze mogelijke verandering: 1. Het uitbrengen van nieuwe beveiligingsrichtlijnen voor webapplicaties door NCSC, waar het normenkader voor het ICT beveiligingsassessment DigiD op gebaseerd is; 2. Een geheel nieuwe indeling en nummering van deze nieuwe beveiligingsrichtlijnen voor webapplicaties; 3. De initiële opdracht om het normenkader gedurende de tijd te verzwaren of uit te breiden, om zo de effectiviteit en veiligheid van het DigiD stelsel te vergroten; 4. De wens van BZK om de auditlast voor de gemeentes te verminderen. Voorbereiding voorstel concept nieuwe normen Tijdens de gesprekken tussen de betrokken partijen zijn er eerst verkennende discussies gevoerd rond het omnummeren van de bestaande normen uit het DigiD normenkader en deze 1:1 te matchen met de nieuwe beveiligingsrichtlijnen van NCSC. Dit had een aantal voordelen: Het normenkader wijkt niet al te veel af van het normenkader voor 2013, 2014 en 2015; De realisatie en aanpassingen in de administratieve systemen bij Logius, en de door Norea ontwikkelde begeleidende materialen zoals rapportages etc., zijn te overzien; De investeringen van afnemers en hun leveranciers in de methodiek en verbeteringen gaan niet verloren. Er zijn voor het bovenstaande ook een groot aantal nadelen door de diverse partijen aangedragen: Een aantal normen worden inhoudelijk verzwaard; De verzwaring bevat voor een groot aantal normen vooral procedurele maatregelen, wat leidt tot meer auditlast bij de afnemer; De vraag is of deze specifieke verzwaring van de normen leidt tot meer veiligheid voor de afnemers, hun klanten/burgers en het DigiD-stelsel; Een herhaald uitvoeren van het assessment zal voor een groot aantal normen niet langer meer effectief zijn omdat een overgroot deel van de afnemers hieraan voldoet. Tevens is aangedragen dat een meer risicogerichte aanpak wenselijk zou zijn. Het DigiD normenkader is in 2012 opgesteld door 28 van de 72 van de belangrijkste richtlijnen te selecteren uit de ICT-beveiligingsrichtlijnen van het NCSC. Een goede analyse van welke normen bijdragen aan de veiligheid en welke niet, zou de effectiviteit van het assessment kunnen vergroten. Daarom is gekozen voor een alternatieve aanpak. 2

3 Aanpak In het overleg tussen ADR, BZK en Logius van 1 oktober 2015 is een alternatieve aanpak besproken, die bestaat uit de volgende stappen: 1. Het door Logius, op basis van de statistieken van het assessment jaar 2013 en 2014, laten bepalen voor welke normen de afnemers over het algemeen groen scoren; 2. Deze normen (doel is een aantal van 6 à 7 normen) beargumenteerd laten vervallen; 3. Door het NCSC op basis van een risico-analyse en nieuwe relevante dreigingen 6 à 7 nieuwe richtlijnen te laten selecteren uit de NCSC richtlijnen en deze toe te voegen aan het normenkader. Dit heeft een aantal voordelen: De aanpak is meer risicogericht en heeft de belangrijkste, momenteel relevante dreigingen als uitgangspunt; Een groot deel van het normenkader blijft gelijk; Daar waar het normenkader in de loop van de jaren zijn effect heeft gehad, wordt de audit verlicht; Door inbreng van de nieuwe normen worden nieuwe risico s afgedekt en wordt hierdoor het normenkader effectiever en actueler; Het kader kan gelijk aangepast worden aan de nieuwe NCSC nummering; Door een deel van het kader te wijzigen, hoeft ook maar een deel van de (rapportage)templates, handreikingen etc. aangepast te worden; De doorlooptijd van deze wijziging voor Norea en Logius en ook de afnemer is te overzien. Stap 1: Analyse normen door Logius De volgende analyse is gedaan op basis van de cijfers van september Globale analyse In 2015 heeft 70% van de afnemers in één keer voldaan aan het assessment % van de afnemers heeft aan 1 of meerdere normen niet voldaan voor assessmentjaar 2014 tegen 38% voor assessmentjaar Dit is een geringe verbetering. Wel is het aantal normen waaraan niet is voldaan afgenomen van 1409 naar 652, wat een behoorlijke verbetering is. Met daarbij de opmerking dat bij het opstellen van deze cijfers nog niet alle 2014 assessments ingeleverd waren en/of behandeld waren. Assessment jaar # Afnemers in 1 keer groen # afnemers rood Percentage afnemers niet in 1 keer een groen rapport % % Er is dus sprake van verbetering, maar ook in 2014 voldeed 30% van de afnemers niet in één keer aan de normen. 3

4 Norm analyse In de onderstaande tabel staat per norm aangegeven hoe vaak een norm in een rapport van een afnemer rood is gescoord. In onderstaande tabel is de norm B0-5 in 2014 bij 33 aansluitingen rood gescoord tegen 64 keer in norm Beschrijving verschil B0-05 Alle wijzigingen worden altijd eerst getest voordat deze in productie worden genomen en worden via wijzigingsbeheer doorgevoerd. B0-06 Maak gebruik van een hardeningsproces, zodat alle ICTcomponenten zijn gehard tegen aanvallen B0-07 De laatste (beveiligings)patches zijn geïnstalleerd en deze worden volgens een patchmanagement proces doorgevoerd. B0-08 Penetratietests worden periodiek uitgevoerd B0-09 Vulnerability assessments (security scans) worden periodiek uitgevoerd B0-12 Ontwerp en richt maatregelen in met betrekking tot toegangsbeveiliging/ toegangsbeheer. B0-13 Niet (meer) gebruikte websites en/of informatie moet worden verwijderd. B0-14 Leg afspraken met leveranciers vast in een overeenkomst B1-01 Er moet gebruik worden gemaakt van een Demilitarised Zone (DMZ), waarbij compartimentering wordt toegepast en de verkeersstromen tussen deze compartimenten wordt beperkt tot alleen de hoogst noodzakelijke. B1-02 Beheer- en productieverkeer zijn van elkaar gescheiden B1-03 Netwerktoegang tot de webapplicaties is voor alle gebruikersgroepen op een zelfde wijze ingeregeld B2-01 Maak gebruik van veilige beheermechanismen B3-01 De webapplicatie valideert de inhoud van een HTTP-request voor die wordt gebruikt. B3-02 De webapplicatie controleert voor elk HTTP verzoek of de initiator geauthenticeerd is en de juiste autorisaties heeft B3-03 De webapplicatie normaliseert invoerdata voor validatie B3-04 De webapplicatie codeert dynamische onderdelen in de uitvoer. B3-05 Voor het raadplegen en/of wijzigen van gegevens in de database gebruikt de webapplicatie alleen geparametriseerde queries. B3-06 De webapplicatie valideert alle invoer, gegevens die aan de webapplicatie worden aangeboden, aan de serverzijde. B3-07 De webapplicatie staat geen dynamische file includes toe of beperkt de keuze mogelijkheid (whitelisting) B3-15 Een (geautomatiseerde) blackbox scan wordt periodiek uitgevoerd. B3-16 Zet de cookie attributen 'HttpOnly' en 'Secure' B5-01 Voer sleutelbeheer in waarbij minimaal gegarandeerd wordt dat sleutels niet onversleuteld op de servers te vinden zijn B5-02 Maak gebruik van versleutelde (HTTPS) verbindingen B5-03 Sla gevoelige gegevens versleuteld of gehashed op B5-04 Versleutel cookies B7-01 B7-08 B7-09 Maak gebruik van Intrusion Detection Systemen (IDS) Voer actief controles uit op logging Governance, organisatie, rollen en bevoegdheden inzake preventie, detectie en response inzake informatiebeveiliging dienen adequaat te zijn vastgesteld Totaal

5 Top 10 normen die het minst rood scoren in de ronde 2014 norm Beschrijving Risico (oplostermijn in maanden) B3-15 Een (geautomatiseerde) blackbox scan wordt periodiek uitgevoerd. Laag (4) 19 4 B3-05 Voor het raadplegen en/of wijzigen van gegevens in de database gebruikt de webapplicatie alleen geparametriseerde queries. B1-01 Er moet gebruik worden gemaakt van een Demilitarised Zone (DMZ), waarbij compartimentering wordt toegepast en de verkeersstromen tussen deze compartimenten wordt beperkt tot alleen de hoogst noodzakelijke. B5-01 Voer sleutelbeheer in waarbij minimaal gegarandeerd wordt dat sleutels niet onversleuteld op de servers te vinden zijn. Laag (4) 8 5 Hoog(1) Midden(2) B5-02 Maak gebruik van versleutelde (HTTPS) verbindingen. Midden(2) B0-08 Penetratietests worden periodiek uitgevoerd. Midden(2) B1-03 Netwerktoegang tot de webapplicaties is voor alle gebruikersgroepen op een zelfde wijze ingeregeld. B0-09 Vulnerability assessments (security scans) worden periodiek uitgevoerd. B3-01 De webapplicatie valideert de inhoud van een HTTP-request voor die wordt gebruikt. B7-09 Governance, organisatie, rollen en bevoegdheden inzake preventie, detectie en response inzake informatiebeveiliging dienen adequaat te zijn vastgesteld. Laag (4) Midden(2) Laag (4) Midden(2) De bovenstaande normen zijn in 2014 het minst rood gescoord bij afnemers en zouden daarom uit het nieuwe normenkader verwijderd kunnen worden. Omdat niet alle normen op grond van hun risico en het feit dat ze maar weinig voorkomen zomaar kunnen worden afgevoerd, is in onderstaande opsomming een kwalitatieve afweging toegevoegd. Normen uit de top 10 waarvan Logius voorstelt deze te behouden: B1-1 omdat dit een zeer hoog risico norm is, die bij niet tijdig oplossen kan leiden tot directe afsluiting; B0-8 en B0-9 omdat met een penetratietest ook norm B3-15 afgedekt wordt en de laatste kan vervallen. De overige normen kunnen vervangen worden door nieuwe normen: B3-15 omdat pentesten en code review (vanwege alle B3-x normen) al onderdeel zijn van de jaarlijkse DigiD audit; B5-1, het ontbeken ervan zou uit een pentest/vulnerability test moeten komen bovendien deels afgedekt door norm B5-3; B3-5 en B3-15 vervallen vanwege het feit dat alle twee de normen zowel in 2013 als 2014 zeer weinig voorkwamen met het oordeel voldoet niet ; B1-3 vervalt omdat deze zowel in 2013 als 2014 weinig voorkwam en B1-1 en B2-1 deels compenserend en overlappend zijn. 5

6 Governance normen Voor de DigiD audits is per norm aangegeven welke partij verantwoordelijk is voor een norm. Ruwweg wordt deze indeling aangehouden: Normen waarvoor de gemeente/afnemer verantwoordelijk is; Normen waarvoor de softwareleverancier verantwoordelijk is; Normen waarvoor de hosting partij verantwoordelijk is. Daarnaast zijn er voor een aantal normen in sommige gevallen meerdere partijen verantwoordelijk. Bijvoorbeeld norm B5-3 (Sla gevoelige gegevens versleuteld of gehashed op). Hiervoor moet de afnemer/gemeente door middel van beleid vastleggen welke gegevens gevoelig zijn. De software leverancier moet zorgen dat deze gegevens versleuteld worden opgeslagen. De gemeente/afnemer is in 80% van de gevallen voor slechts vijf nomen verantwoordelijk. De overige 23 normen moeten bij de hostingpartij en de softwareleverancier getoetst worden. De normen voor de afnemer zijn: B0-5, alle wijzigingen worden altijd eerst getest voordat deze in productie worden genomen en worden via wijzigingsbeheer doorgevoerd. B0-13, niet (meer) gebruikte websites en/of informatie moet worden verwijderd. B0-14, leg afspraken met leveranciers vast in een overeenkomst. B5-3, sla gevoelige gegevens versleuteld of gehashed op. B7-9, governance, organisatie, rollen en bevoegdheden inzake preventie, detectie en response inzake informatiebeveiliging dienen adequaat te zijn vastgesteld. Aangezien deze normen grotendeels overlap hebben met de BIR/BIG heeft BZK verzocht een advies te geven over het mogelijk laten vervallen van deze normen in het kader van het verlichten van de auditlast voor gemeentes. Als we echter kijken naar de cijfers over 2014 dan blijkt dat meer dan de helft van deze governance normen in de top 6 staan van meest voorkomende normen. En dat twee normen op plaats 13 en 17 staan. Deze vijf governance normen nemen ruim 26% van het totaal aantal rood gescoorde normen voor hun rekening. plaats norm beschrijving B5-03 Sla gevoelige gegevens versleuteld of gehashed op B0-05 Alle wijzigingen worden altijd eerst getest voordat deze in productie worden genomen en worden via wijzigingsbeheer doorgevoerd B0-14 Leg afspraken met leveranciers vast in een overeenkomst B0-13 Niet (meer) gebruikte websites en/of informatie moet worden verwijderd. 17 B7-09 Governance, organisatie, rollen en bevoegdheden inzake preventie, detectie en response inzake informatiebeveiliging dienen adequaat te zijn vastgesteld Gezien deze cijfers is het advies om voorlopig een groot deel van de governance normen voor het gemeente/afnemers binnen het normenkader te houden. Wel kunnen B0-13 en B7-9 mogelijk vervangen worden door andere normen (die niet in het audit domein vallen van de gemeente) om zo de auditlast bij de gemeenten wat te verlichten. 6

7 Stap 2: Voorstel nieuwe normen In een gesprek met het NCSC en Logius is vervolgens gekeken naar waar en bij welke normen de nieuwe richtlijnen voor webapplicaties kunnen bijdragen aan de effectiviteit van het normenkader DigiD. Daarbij zijn door Logius en NCSC een aantal uitgangspunten opgesteld: De focus zou zo veel mogelijk op technische normen moeten liggen om zo de overlap met de BIR te verkleinen; Eerst omnummering naar de nieuwe normen zonder daarbij het aantal normen te verzwaren; De focus op thema s als: o Logging en monitoring; o Veilig programmeren normen; o Normen met betrekking tot Incident detectie en opvolging. Hiervoor is eerst het aantal normen van 28 naar 22 teruggebracht om zo ruimte te maken voor nieuwe normen. De vervallen normen zijn: B0-13 Niet (meer) gebruikte websites en/of informatie moet worden verwijderd. B1-03 Netwerktoegang tot de webapplicaties is voor alle gebruikersgroepen op een zelfde wijze ingeregeld. B3-05 Voor het raadplegen en/of wijzigen van gegevens in de database gebruikt de webapplicatie alleen geparametriseerde queries. B3-15 Een (geautomatiseerde) blackbox scan wordt periodiek uitgevoerd. B5-01 Voer sleutelbeheer in waarbij minimaal gegarandeerd wordt dat sleutels niet onversleuteld op de servers te vinden zijn. B7-09 Governance, organisatie, rollen en bevoegdheden inzake preventie, detectie en response inzake informatiebeveiliging dienen adequaat te zijn vastgesteld. De volgende stap was om de overgebleven normen om te nummeren naar de recente ICT-beveiligingsrichtlijnen voor webapplicaties. In de tabel in bijlage 1 zijn de overgebleven 22 normen uit het oude normenkader vertaald naar de nieuwe norm met de bijbehorende maatregelen. Stap 3: nieuwe normen en maatregelen Als laatste stap zijn alle normen volgens de nieuwe volgorde en nummering bij elkaar gezet. Tevens is in de tabel in bijlage 2 in rood aangegeven welke normen en maatregelen toegevoegd worden aan het nieuwe normenkader. Een korte analyse van de maatregelen en de nieuwe normen liet echter na de vertaling zien dat het normenkader zwaarder zou worden. Na vertaling waren er ten opzichte van het huidige normenkader meer maatregelen van toepassing. Daarom zijn er maatregelen geschrapt die in dat normenkader niet voorkwamen of de scope groter maakten dan de doelstelling van het DigiD-assessment beoogt. Tevens zijn er twee sessies geweest in december 2015 (met de ADR) en januari 2016 (ADR en Norea), waarbij bepaald is dat norm B.02 niet specifiek genoeg is in het kader van DigiD assessments. De aspecten van deze norm die wel relevant zijn, komen in andere normen (U/TV.01 en U/PW.05) voldoende aan bod. 7

8 Aanbeveling en actiepunten Logius vraagt aan BZK het nieuwe normenkader hieronder met de aanbevolen maatregelen vast te stellen en te communiceren aan afnemers. Daarna kan Logius de voorbereiding in gang te zetten: Het aanpassen van de registratiesystemen van Logius voor verwerking van de assessments; Het aanpassen van communicatiemateriaal (zoals de FAQ op de Logius website); Het afstemmen en voorbereiden van de ronde 2016 op basis van het nieuwe normenkader; Een overgangsstrategie vaststellen voor afnemers die in de loop van 2016/2017 aansluiten. De vervolgstap is dat de werkgroep Norea aan de slag gaat met de normen en de aanbevolen maatregelen gaat uitwerken tot een toetsbaar normenkader en deze publiceert. Wellicht blijkt tijdens het uitwerken dat een bepaalde maatregel toch vervalt (binnen de norm) omdat de auditeerbaarheid in de praktijk moeilijk uitvoerbaar is. Een volledige lijst inclusief de aanbevolen maatregelen is in bijlage 3 te vinden. nr nummer Doelstelling DigiD normenkader B.05 In een contract met een derde partij voor de uitbestede levering of beheer van een web-applicatie (als dienst) zijn de beveiligingseisen en -wensen vastgelegd en op het juiste (organisatorische) niveau vastgesteld. 2 U/TV.01 De inzet van identiteit- en toegangsmiddelen levert betrouwbare en effectieve mechanismen voor het vastleggen en vaststellen van de identiteit van gebruikers, het toekennen van de rechten aan gebruikers, het controleerbaar maken van het gebruik van deze middelen en het automatiseren van arbeidsintensieve taken. 3 U/WA.03 Het webapplicatiebeheer is procesmatig en procedureel ingericht, waarbij geautoriseerde beheerders op basis van functieprofielen taken verrichten. 4 U/WA.02 De webapplicatie beperkt de mogelijkheid tot manipulatie door de invoer te normaliseren en te valideren, voordat deze invoer wordt verwerkt. 5 U/WA.04 Isolatie van processen/bestanden Kritieke delen van systemen (bijv. subprocessen, bestanden) beschermen door isolatie van overige delen. 6 U/WA.05 De webapplicatie garandeert de betrouwbaarheid van informatie door toepassing van privacybevorderende en cryptografische technieken. 7 U/WA.08 De (gebruikers)sessie die ontstaat na het succesvol aanmelden van een gebruiker, kent een beperkte levensduur en de gebruiker kan deze sessie zelf beëindigen. 8 U/PW.02 De webserver garandeert specifieke kenmerken van de inhoud van de protocollen. 9 U/PW.03 De webserver is ingericht volgens een configuratie-baseline. 10 U/PW.05 Het beheer van platformen maakt gebruik van veilige (communicatie)protocollen voor het ontsluiten van beheermechanismen en wordt uitgevoerd conform het operationeel beleid voor platformen. 11 U/PW.07 Voor het configureren van platformen is een hardeningsrichtlijn beschikbaar. 8

9 12 U/NW.03 Het netwerk is gescheiden in fysieke en logische domeinen (zones), in het bijzonder is er een DMZ die tussen het interne netwerk en het internet gepositioneerd is. 13 U/NW.04 De netwerkcomponenten en het netwerkverkeer worden beschermd door middel van detectie- en protectiemechanismen. 14 U/NW.05 Binnen de productieomgeving zijn beheer- en productieverkeer van elkaar afgeschermd. 15 U/NW.06 Voor het configureren van netwerken is een hardeningrichtlijn beschikbaar. 16 C.03 Vulnerability assesments (security scans) worden procesmatig en procedureel uitgevoerd op de ICT-componenten van de webapplicatie (scope). 17 C.04 Penetratietests worden procesmatig en procedureel, ondersteund door richtlijnen, uitgevoerd op de infrastructuur van de webapplicatie (scope). 18 C.07 De loggings- en detectie-informatie (registraties en alarmeringen) en de condities van de beveiliging van ICT-systemen worden regelmatig gemonitord (bewaakt, geanalyseerd) en de bevindingen gerapporteerd. 19 C.08 Wijzigingenbeheer is procesmatig en procedureel zodanig uitgevoerd dat wijzigingen in de ICT-voorzieningen van webapplicaties tijdig, geautoriseerd en getest worden doorgevoerd. 20 C.09 Patchmanagement is procesmatig en procedureel, ondersteund door richtlijnen, zodanig uitgevoerd dat laatste (beveiligings)patches tijdig zijn geïnstalleerd in de ICTvoorzieningen. 9

10 Bijlage 1 omnummeringstabel van de oude normen naar de nieuwe normen In de onderstaande tabel staan in kolom 1 en 2 de overgebleven oude DigiD normen. In kolom 3 en 4 de directe vertaling naar de nieuwe norm, volgens de vertaaltabel van het NCSC. In de onderstaande tabel heeft nog geen verbetering of aanvulling plaatsgevonden. oude nr. Oude norm nieuwe nummer maatregel B0-05 Alle wijzigingen worden altijd eerst getest voordat deze in productie worden genomen en worden via wijzigings-beheer doorgevoerd. C B0-06 Maak gebruik van een hardeningsproces, zodat alle ICT-componenten zijn gehard tegen aanvallen. B0-07 De laatste (beveiligings)patches zijn geïnstalleerd en deze worden volgens een patchmanagement proces doorgevoerd. U/PW0.7 en U/NW en C B0-08 Penetratietests worden periodiek uitgevoerd. C B0-09 Vulnerability assessments (security scans) worden periodiek C uitgevoerd. B0-12 Ontwerp en richt maatregelen in met betrekking tot toegangsbeveiliging/ toegangsbeheer. B.02 en U/TV en B0-14 Leg afspraken met leveranciers vast in een overeenkomst. B B1-01 Er moet gebruik worden gemaakt van een Demilitarised Zone (DMZ), waarbij compartimentering wordt toegepast en de verkeersstromen tussen deze compartimenten wordt beperkt tot alleen de hoogst noodzakelijke. U/NW

11 oude nr. Oude norm nieuwe nummer maatregel B1-02 Beheer- en productieverkeer zijn van elkaar gescheiden. U/NW.03 en U/NW en B2-01 Maak gebruik van veilige beheermechanismen. U/PW B3-01 De webapplicatie valideert de inhoud van een HTTP-request voor die wordt gebruikt. B3-02 De webapplicatie controleert voor elk HTTP verzoek of de initiator geauthenticeerd is en de juiste autorisaties heeft. U/WA U/PW B3-03 De webapplicatie normaliseert invoerdata voor validatie. U/WA B3-04 De webapplicatie codeert dynamische onderdelen in de uitvoer. U/WA B3-06 De webapplicatie valideert alle invoer, gegevens die aan de webapplicatie worden aangeboden, aan de serverzijde. U/WA B3-07 De webapplicatie staat geen dynamische file includes toe of beperkt de keuze mogelijkheid (whitelisting). U/WA B3-16 Zet de cookie attributen 'HttpOnly' en 'Secure'. U/PW B5-02 Maak gebruik van versleutelde (HTTPS) verbindingen. U/WA B5-03 Sla gevoelige gegevens versleuteld of gehashed op. U/WA B5-04 Versleutel cookies. U/WA B7-01 Maak gebruik van Intrusion Detection Systemen (IDS). U/NW.04 en C en 02 11

12 oude nr. Oude norm nieuwe nummer maatregel B7-08 Voer actief controles uit op logging. C

13 Bijlage 2 Toevoeging van maatregelen aan de tabel van bijlage 1 In de onderstaande tabel staan de richtlijnen met de toevoegingen aangegeven. Deze zijn rood gemarkeerd. De toevoegingen kunnen bestaan uit (ontbrekende) maatregelen en/of toegevoegde normen. Daar waar maatregelen tot een verzwaring leiden, ten opzichte van de oorspronkelijke norm uit 2012, zijn deze maatregelen geschrapt. Dit nummer van de maatregelen is dan doorgehaald. Dit zijn meestal maatregelen die een uitbreiding op organisatorisch/governance vlak liggen of buiten de specifieke scope van het DigiD onderzoek vallen. nummer Norm Doelstelling maatregel Key Controls (rood = nieuw) Toevoeging 2 B.05 Contractmanageme nt Het handhaven van het beveiligingsniveau, wanneer de verantwoordelijkheid voor de ontwikkeling en/of het beheer van de webapplicatie is uitbesteed aan een andere organisatie Laat het (beveiligings)beleid onderdeel zijn van het pakket beveiligingseisen en -wensen dat is opgesteld bij de verwerving van webdiensten en middelen. 02 Laat de requirements en specificaties voor de webdienst onderdeel zijn van het eisenpakket dat is opgesteld bij de verwerving van diensten en middelen. 13

14 nummer Norm Doelstelling maatregel Key Controls (rood = nieuw) Toevoeging 3 U/TV.01 Toegangsvoorzienin gsmiddelen De effectieve toegang tot informatiesystemen voor bevoegde gebruikers bewerkstelligen en de integriteit, vertrouwelijkheid en controleerbaarheid van de gegevens binnen informatiesystemen garanderen Ondersteun de initiële vaststelling en vastlegging van de identiteit van personen met het toegangsvoorzieningsmiddel. 02 Bied adequate bescherming van de vastgelegde gebruikers- en toegangsgegevens met het toegangsvoorzieningsmiddel. 03 Ondersteun in voldoende mate het vaststellen van de identiteit van natuurlijke personen met het authenticatiemiddel. 04 Ondersteun het wachtwoordbeleid met het authenticatiemiddel. 05 Wijs rechten toe op basis van het toegangsvoorzieningsbeleid. 06 Houd een actueel overzicht bij van accounts en de personen die daar gebruik van maken:»» service-accounts;»» beheeraccounts;»» gebruikersaccount;»» (web)applicatie-accounts. 07 Trek de rechten direct in en blokkeer direct het account wanneer een gebruiker geen recht op toegang meer heeft. 08 Voer periodiek een audit uit op de uitgedeelde autorisaties. 11 Ondersteun met het ingezette identiteits- en toegangsmanagementtool conform het toegangsvoorzieningsbeleid de complete levenscyclus van identiteiten en autorisaties:»» aanvragen;»» toekennen;»» wijzigen;»» intrekken/schorsen/verwijderen;»» conform voorgeschreven procedures. M07 trek de rechten direct in wanneer een gebruiker geen recht meer op toegang heeft. 14

15 nummer Norm Doelstelling maatregel Key Controls (rood = nieuw) Toevoeging 4 U/WA.03 Webapplicatieinfor matie 5 U/WA.02 Webapplicatiebehee r 6 U/WA.04 Webapplicatie uitvoer Voorkom (on)opzettelijke manipulatie van de webapplicatie, waardoor de vertrouwelijkheid, integriteit en/of beschikbaarheid van de webapplicatie aangetast worden. Effectief en veilig realiseren van de dienstverlening. Voorkom manipulatie van het systeem van andere gebruikers Valideer de invoer op de server 02 Verbied of beperk het gebruik van dynamische file includes 03 Converteer alle invoer naar een veilig formaat, waarbij risicovolle tekens uit de invoer onschadelijk worden gemaakt. 04 Weiger foute, ongeldige of verboden invoer Voer beheerwerkzaamheden uit volgens afgesproken richtlijnen en procedures. 03 Voorkom dat hiertoe niet geautoriseerde gebruikers toegang krijgen tot beheerfuncties binnen de applicatie. 04 Op basis van taken, verantwoordelijkheden en bevoegdheden zijn de verschillende beheerrollen geïdentificeerd. 05 Vul in de autorisatiematrix in:»» aan welke rollen welke bevoegdheden worden toegekend;»» hoe functiescheiding tot uitdrukking komt. 06 Richt een proces in voor het definiëren en onderhouden van de rollen Converteer alle uitvoer naar een veilig formaat. M01 Voer beheerwerkzaamhed en uit volgens de procedures M03 Voorkom dat niet geautoriseerde gebruikers toegang krijgen tot beheer M04 Op basis van taken en verantwoordelijkhed en zijn beheerrollen gedefinieerd M05 Vul in de autorisatiematrix in: aan welke rollen welke bevoegdheden worden toegekend; M06 richt een proces in voor het onderhouden van de rollen 15

16 nummer Norm Doelstelling maatregel Key Controls (rood = nieuw) Toevoeging 7 U/WA.05 Betrouwbaarheid van gegevens Gegevens in opslag en transport beschermen tegen ongeautoriseerde kennisname en manipulatie. 8 U/WA.08 Webapplicatiesessie Voorkomen dat derden de controle over een sessie kunnen krijgen. 9 U/PW.02 Webprotocollen Voorkom inzage, wijziging of verlies van gegevens door manipulatie van de logica van de webserver of webapplicatie Versleutel of hash gevoelige gegevens in databases en bestanden 04 Gebruik cryptografisch sterke sessieidentificerende cookies 05 Versleutel communicatie Maak bij het aanmelden een nieuwe sessie aan en verbreek een eventueel al bestaande sessie van die gebruiker. Maak de oude sessie-identifier ongeldig. 02 Beëindig de sessie na een vooraf vastgestelde en geconfigureerde tijdspanne van inactiviteit van de gebruiker (idle-time). 03 Beëindig de sessie na een vooraf vastgestelde en geconfigureerde sessietijd (session-time). 04 Bied de gebruiker de mogelijkheid de sessie op eigen initiatief te beëindigen (uitloggen). 05 De sessie is na beëindiging niet langer geautoriseerd binnen de webapplicatie Behandel alleen http-requests van initiators met een correcte authenticatie en autorisatie. 04 Verstuur alleen http-headers die voor het functioneren van http van belang zijn. 06 Bij het optreden van een fout wordt de informatie in een http-response tot een minimum beperkt. Een eventuele foutmelding zegt wel dat er iets is fout gegaan, maar niet hoe het is fout gegaan. 05 versleutel communicatie geheel nieuw 04 Verstuur alleen http-headers die voor het functioneren van http van belang zijn. 06 Bij het optreden van een fout wordt de informatie in een http-response tot het minimum beperkt. 16

17 nummer Norm Doelstelling maatregel Key Controls (rood = nieuw) Toevoeging 10 U/PW.03 Webserver Ongewenste vrijgave van informatie tot een minimum beperken, met name waar het gaat om informatie die inzicht geeft in de opbouw van de beveiliging Verbied het opvragen van de inhoud van het filesysteem van de server. Ondersteun geen directory-listings. 03 Stel voor alle cookies de flags secure en HttpOnly in. 02 Verbied het opvragen van de inhoud van het filesysteem van de server. Ondersteun geen directorylistings. 11 U/PW.05 Toegang tot beheermechanisme n 12 U/PW.07 Hardening van platformen Voorkomen van misbruik van beheervoorzieningen. Beperken van de functionaliteit tot hetgeen noodzakelijk is voor het correct functioneren van de geleverde ICT-diensten Gebruik uitsluitend beveiligde (communicatie)protocollen voor de toegang tot beheermechanismen. 02 Gebruik sterke authenticatie voor de toegang tot de beheermechanismen Richt ICT-componenten (aantoonbaar) volgens de instructies en procedures van de leverancier in. 02 Houd een actueel overzicht bij van de noodzakelijke protocollen, services en accounts voor de op het platform geïnstalleerde applicaties. 03 Deactiveer of verwijder alle protocollen, services en accounts op het platform als die niet volgens het ontwerp noodzakelijk zijn. 04 Toets periodiek of de in productie zijnde ICTcomponenten niet meer dan de vanuit het ontwerp noodzakelijke functies bieden (statusopname). Afwijkingen worden hersteld. 05 Pas de beveiligingsconfiguraties van netwerkservices en protocollen op het platform aan conform richtlijnen. 17

18 nummer Norm Doelstelling maatregel Key Controls (rood = nieuw) Toevoeging 13 U/NW.03 Netwerkzoneringen Een beveiligde (of robuuste) netwerkinfrastructuur bieden voor de bedrijfstoepassingen Scheid het interne bedrijfsnetwerk en het internet van elkaar door middel van een bufferzone ( demilitarised zone, DMZ) dat bestaat uit frontend-zones en backend-zones. 06 Leg in een DMZ-inrichtingsdocument/ontwerp vast welke uitgangspunten en principes gelden voor de toepassing van de DMZ. 07 Plaats alleen de systemen, (web)applicaties en diensten in de DMZ die in het DMZ-ontwerp voorkomen. 08 Configureer de filters en regels binnen een DMZ conform het DMZ-ontwerp. 09 Laat verkeersstromen tussen interne netwerken en externe netwerken lopen via een DMZ, en controleer en ontkoppel deze op applicatieniveau (sessiescheiding). 10 Sta alleen de voor de beoogde diensten noodzakelijke verkeersstromen tussen internet en de DMZ en tussen de DMZ en het interne netwerk toe. 05 Scheid het interne bedrijfsnetwerk en het internet van elkaar door middel van een bufferzone ( demilitarised zone, DMZ) dat bestaat uit frontend-zones en backend-zones. 08 Configureer de filters en regels binnen een DMZ conform het DMZontwerp. 09 Laat verkeersstromen tussen interne netwerken en externe netwerken lopen via een DMZ, en controleer en ontkoppel deze op applicatieniveau (sessiescheiding). 10 Sta alleen de voor de beoogde diensten noodzakelijke verkeersstromen tussen internet en de DMZ en tussen de DMZ en het interne netwerk toe. 18

19 nummer Norm Doelstelling maatregel Key Controls (rood = nieuw) Toevoeging 14 U/NW.04 Protectie en Detectiefunctie 15 U/NW.05 Beheer en productieomgeving 16 U/NW.06 Hardening van netwerk Het detecteren van aanvallen (onder andere (D)DoS) om te voorkomen dat de vertrouwelijkheid, integriteit en/of beschikbaarheid van geleverde services negatief wordt beïnvloed. Het voorkomen van misbruik van de beheervoorzieningen vanaf het internet. Beperken van het netwerkverkeer tot hetgeen noodzakelijk is voor het correct functioneren van de geleverde ICT-diensten Implementeer Intrusion Detection Systemen (IDS) of Intrusion Prevention Systemen (IPS). 08 Richt de IDS en en IPS en in op basis van een geaccordeerd inrichtingsdocument/ontwerp. 09 Houd rapportage(tool)s beschikbaar voor analyses van de door detectiemechanismen vastgelegde gegevens Geef in een inrichtingsdocument aan op welke wijze contentbeheer (web- en database-content), applicatiebeheer en technisch beheer worden uitgeoefend. 03 Stel een overzicht op van ondersteunende communicatieprotocollen voor beheer. 04 Stel een overzicht op van ondersteunende applicaties voor beheer. 05 Leg vast op welke wijze beheerders toegang krijgen tot de beheeromgeving Houd een actueel overzicht bij van de noodzakelijke netwerkprotocollen,-poorten en - services. 02 Schakel op de netwerkcomponenten alle netwerkprotocollen, -poorten en services uit, behalve de noodzakelijke. 03 Pas de (beveiligings)configuraties van netwerkprotocollen, -poorten en -services op de netwerkcomponenten aan conform richtlijnen. 04 Wijs op switches netwerkpoorten toe aan M01 Geef in een inrichtingsdocument aan op welke wijze contentbeheer (weben databasecontent), applicatiebeheer en technisch beheer worden uitgeoefend. 19

20 nummer Norm Doelstelling maatregel Key Controls (rood = nieuw) Toevoeging Virtual LANs (VLANs) op basis van het MAC-adres van de aangesloten systemen (port security). 17 C.03 Vunerability assessment Identificeren van de kwetsbaarheden en zwakheden in de ICTcomponenten van de web applicatie zodat tijdig de juiste beschermende maatregelen kunnen worden getroffen Stel een planning op voor het uitvoeren van reguliere vulnerability assessment van de webapplicatieomgeving. 02 Registreer de uitvoering van de vulnerability assessments. 03 Stel rapportages op met de resultaten van de vulnerability assessments. 04 Communiceer de rapportages met verbetervoorstellen met verantwoordelijken/eigenaren van systemen waarin kwetsbaarheden en zwakheden gevonden zijn. 05 Beleg implementatieacties en stel uitvoeringsof systeemdocumenten beschikbaar waaruit blijkt dat de verbetervoorstellen zijn geïmplementeerd. 06 Zorg voor een actueel overzicht van te onderzoeken componenten, zoals webapplicaties, webservers, netwerk(componenten) en ipadressen. 02 Registreer de uitvoering van de vulnerability assessments. 04 Communiceer de rapportages met de eigenaren van de systemen 06 zorg voor een actueel overzicht van de te onderzoeken objecten en systemen. 20

21 nummer Norm Doelstelling maatregel Key Controls (rood = nieuw) Toevoeging 07 Stel een overzicht op van kwaliteitseisen en criteria waarover gerapporteerd moet worden. 18 C.04 penetratietestproce s Het verkrijgen van inzicht in de weerstand die een webapplicatie kan bieden aan pogingen om het te compromitteren (binnendringen of misbruiken van webapplicatie) Plan het uitvoeren van reguliere penetratietests van de webapplicatie inclusief de infrastructuur waarop deze draait. 02 Registreer de uitvoering van de penetratietest. 03 Rapporteer over de resultaten van de penetratietest. 04 Communiceer de rapportages met verbetervoorstellen met verantwoordelijken/eigenaren van systemen waarin kwetsbaarheden en zwakheden gevonden zijn. 05 Beleg implementatie-acties en stel uitvoeringsof systeemdocumenten beschikbaar waaruit blijkt dat de verbetervoorstellen zijn geïmplementeerd. 21

22 nummer Norm Doelstelling maatregel Key Controls (rood = nieuw) Toevoeging 06 Definieer het object van onderzoek in een scopedefinitie. 07 Stem de opdracht af met en accordeer deze door een voldoende gemandateerde vertegenwoordiger. 19 C.07 Monitoring Tijdig inzetten van correctieve maatregelen en informatie verschaffen over activiteiten van gebruikers en beheerders van de ICTdiensten en de status van de componenten waarmee deze worden voortgebracht Laat de signaleringssystemen (detectie) tijdig melding maken van ongewenste gebeurtenissen. 03 Voer periodiek actief controles uit op:»» wijzigingen aan de configuratie van webapplicaties;»» optreden van verdachte gebeurtenissen en eventuele schendingen van de beveiligingseisen;»» ongeautoriseerde toegang tot en wijzigingen/verwijderen van logbestanden. 04 Voer periodiek reviews uit van toegangslogs. 07 Analyseer periodiek op ongebruikelijke situaties (incidenten) die de werking van webapplicaties kunnen beïnvloeden. 08 Rapporteer periodiek de geanalyseerde en beoordeelde gelogde gegevens aan de systeemeigenaren en/of aan het 07 Analyseer periodiek op ongebruikelijke situaties (incidenten) die de werking van webapplicaties kunnen beïnvloeden. 08 Rapporteer periodiek de geanalyseerde en beoordeelde gelogde gegevens aan de systeemeigenaren en/of aan het management. 10 Geef aantoonbaar opvolging en voer verbeteringen door indien logrecords op misbruik duiden, geïmplementeerde 22

23 nummer Norm Doelstelling maatregel Key Controls (rood = nieuw) Toevoeging management. 10 Geef aantoonbaar opvolging en voer verbeteringen door indien logrecords op misbruik duiden, geïmplementeerde maatregelen niet voldoen aan de gestelde eisen of verwachtingen, of tekortkomingen opleveren. maatregelen niet voldoen aan de gestelde eisen of verwachtingen, of tekortkomingen opleveren. 20 C.08 Wijzigingenbeheer Zekerstellen dat wijzigingen op een correcte en gecontroleerde wijze worden doorgevoerd waardoor de veilige werking van ICTvoorziening wordt gegarandeerd Laat wijzigingen systematische processtappen doorlopen, zoals intake, acceptatie, impactanalyse, prioritering en planning, uitvoering, bewaking en afsluiting. 02 Laat alle wijzigingsverzoeken verlopen volgens een formele wijzigingsprocedure (voorkomen van ongeautoriseerde ICT-Beveiligingsrichtlijnen voor webapplicaties» Richtlijnen 29 wijzigingen) en OTAP-procedures. 05 Stel wijzigingsprocedures op voor hardware, software en parameterinstellingen (configuratie). 06 Richt configuratiebeheer in en geef daarmee 23

24 nummer Norm Doelstelling maatregel Key Controls (rood = nieuw) Toevoeging 21 C.09 Patchmanagement Zekerstellen dat technische en software kwetsbaarheden tijdig en effectief worden aangepakt en zo een stabiele omgeving wordt gecreëerd. inzicht in gegevens van de kritieke systemen en applicaties. 07 Registreer en neem wijzigingen binnen een afgesproken tijdslimiet in behandeling op een gestructureerde wijze. 08 Neem alleen geautoriseerde wijzigingsverzoeken (Request for Change (RFC)) in behandeling. 09 Neem autorisatie van doorvoeren van wijzigingen in de verschillende OTAP-omgevingen op in het proces van wijzigingenbeheer. 10 Test alle wijzigingen altijd eerst voordat deze in productie worden genomen en neem ze via vastgestelde wijzigings- en releaseprocedures in productie. 11 Scheid ontwikkel, test en acceptatievoorzieningen van productievoorzieningen (OTAP). 12 Audit de productieomgeving op ongeautoriseerde wijzigingen Beschrijf het patchmanagementproces en laat het goedkeuren door het management en toekennen aan een verantwoordelijke functionaris. 02 Voorzie alle ICT-componenten van de meest recente, relevante patches. 03 Stel de rollen en verantwoordelijkheden voor patchmanagement vast. 04 Voer registratie over de verworven patches, 24

25 nummer Norm Doelstelling maatregel Key Controls (rood = nieuw) Toevoeging hun relevantie,besluit tot wel/niet uitvoeren, datum patch-test, resultaat, patch-test, datum uitvoeren patch en patch-resultaat. 25

26 Bijlage 3 Eindlijst normenkader DigiD assessment 2016 Door BZK vast te stellen normenkader Door Norea uit te werken in de handreiking nr nummer Doelstelling Aanbevolen maatregelen 1 B.05 In een contract met een derde partij voor de uitbestede levering of beheer van een web-applicatie (als dienst) zijn de beveiligingseisen en -wensen vastgelegd en op het juiste (organisatorische) niveau vastgesteld. 2 U/TV.01 De inzet van identiteit- en toegangsmiddelen levert betrouwbare en effectieve mechanismen voor het vastleggen en vaststellen van de identiteit van gebruikers, het toekennen van de rechten aan gebruikers, het controleerbaar maken van het gebruik van deze middelen en het automatiseren van arbeidsintensieve taken. 01 Laat het (beveiligings)beleid onderdeel zijn van het pakket beveiligingseisen en -wensen dat is opgesteld bij de verwerving van webdiensten en middelen. 02 Laat de requirements en specificaties voor de webdienst onderdeel zijn van het eisenpakket dat is opgesteld bij de verwerving van diensten en middelen. 01 Ondersteun de initiële vaststelling en vastlegging van de identiteit van personen met het toegangsvoorzieningsmiddel. 02 Bied adequate bescherming van de vastgelegde gebruikers- en toegangsgegevens met het toegangsvoorzieningsmiddel. 03 Ondersteun in voldoende mate het vaststellen van de identiteit van natuurlijke personen met het authenticatiemiddel. 04 Ondersteun het wachtwoordbeleid met het authenticatiemiddel. 05 Wijs rechten toe op basis van het toegangsvoorzieningsbeleid. 06 Houd een actueel overzicht bij van accounts en de personen die daar gebruik van maken:»» service-accounts;»» beheeraccounts;»» gebruikersaccount;»» (web)applicatie-accounts. 07 Trek de rechten direct in en blokkeer direct het account wanneer een gebruiker geen recht op toegang meer heeft. 08 Voer periodiek een audit uit op de uitgedeelde autorisaties. 11 Ondersteun met het ingezette identiteits- en toegangsmanagementtool conform het toegangsvoorzieningsbeleid de complete levenscyclus van identiteiten en autorisaties:»» aanvragen;»» toekennen;»» wijzigen;»» intrekken/schorsen/verwijderen;»» conform voorgeschreven procedures. 26

27 3 U/WA.03 Het webapplicatiebeheer is procesmatig en procedureel ingericht, waarbij geautoriseerde beheerders op basis van functieprofielen taken verrichten. 4 U/WA.02 De webapplicatie beperkt de mogelijkheid tot manipulatie door de invoer te normaliseren en te valideren, voordat deze invoer wordt verwerkt. 5 U/WA.04 Isolatie van processen/bestanden Kritieke delen van systemen (bijv. subprocessen, bestanden) beschermen door isolatie van overige delen. 01 Valideer de invoer op de server 02 Verbied of beperk het gebruik van dynamische file includes 03 Converteer alle invoer naar een veilig formaat, waarbij risicovolle tekens uit de invoer onschadelijk worden gemaakt. 04 Weiger foute, ongeldige of verboden invoer. 01 Voer beheerwerkzaamheden uit volgens afgesproken richtlijnen en procedures. 03 Voorkom dat hiertoe niet geautoriseerde gebruikers toegang krijgen tot beheerfuncties binnen de applicatie. 04 Op basis van taken, verantwoordelijkheden en bevoegdheden zijn de verschillende beheerrollen geïdentificeerd. 05 Vul in de autorisatiematrix in:»» aan welke rollen welke bevoegdheden worden toegekend;»» hoe functiescheiding tot uitdrukking komt. 06 Richt een proces in voor het definiëren en onderhouden van de rollen. 01 Converteer alle uitvoer naar een veilig formaat. 6 U/WA.05 De webapplicatie garandeert de betrouwbaarheid van informatie door toepassing van privacybevorderende en cryptografische technieken. 03 Versleutel of hash gevoelige gegevens in databases en bestanden 04 Gebruik cryptografisch sterke sessie-identificerende cookies 05 Versleutel communicatie. 7 U/WA.08 De (gebruikers)sessie die ontstaat na het succesvol aanmelden van een gebruiker, kent een beperkte levensduur en de gebruiker kan deze sessie zelf beëindigen. 01 Maak bij het aanmelden een nieuwe sessie aan en verbreek een eventueel al bestaande sessie van die gebruiker. Maak de oude sessie-identifier ongeldig. 02 Beëindig de sessie na een vooraf vastgestelde en geconfigureerde tijdspanne van inactiviteit van de gebruiker (idle-time). 03 Beëindig de sessie na een vooraf vastgestelde en geconfigureerde sessietijd (sessiontime). 04 Bied de gebruiker de mogelijkheid de sessie op eigen initiatief te beëindigen (uitloggen). 05 De sessie is na beëindiging niet langer geautoriseerd binnen de webapplicatie. 27

28 8 U/PW.02 De webserver garandeert specifieke kenmerken van de inhoud van de protocollen. 9 U/PW.03 De webserver is ingericht volgens een configuratiebaseline. 10 U/PW.05 Het beheer van platformen maakt gebruik van veilige (communicatie)protocollen voor het ontsluiten van beheermechanismen en wordt uitgevoerd conform het operationeel beleid voor platformen. 11 U/PW.07 Voor het configureren van platformen is een hardeningrichtlijn beschikbaar. 02 Behandel alleen http-requests van initiators met een correcte authenticatie en autorisatie. 04 Verstuur alleen http-headers die voor het functioneren van http van belang zijn. 06 Bij het optreden van een fout wordt de informatie in een http-response tot een minimum beperkt. Een eventuele foutmelding zegt wel dat er iets is fout gegaan, maar niet hoe het is fout gegaan. 02 Verbied het opvragen van de inhoud van het filesysteem van de server. Ondersteun geen directory-listings. 03 Stel voor alle cookies de flags secure en HttpOnly in. 01 Gebruik uitsluitend beveiligde (communicatie)protocollen voor de toegang tot beheermechanismen. 02 Gebruik sterke authenticatie voor de toegang tot de beheermechanismen. 01 Richt ICT-componenten (aantoonbaar) volgens de instructies en procedures van de leverancier in. 02 Houd een actueel overzicht bij van de noodzakelijke protocollen, services en accounts voor de op het platform geïnstalleerde applicaties. 03 Deactiveer of verwijder alle protocollen, services en accounts op het platform als die niet volgens het ontwerp noodzakelijk zijn. 04 Toets periodiek of de in productie zijnde ICT-componenten niet meer dan de vanuit het ontwerp noodzakelijke functies bieden (statusopname). Afwijkingen worden hersteld. 05 Pas de beveiligingsconfiguraties van netwerkservices en protocollen op het platform aan conform richtlijnen. 28

29 12 U/NW.03 Het netwerk is gescheiden in fysieke en logische domeinen (zones), in het bijzonder is er een DMZ die tussen het interne netwerk en het internet gepositioneerd is. 13 U/NW.04 De netwerkcomponenten en het netwerkverkeer worden beschermd door middel van detectie- en protectiemechanismen. 14 U/NW.05 Binnen de productieomgeving zijn beheer- en productieverkeer van elkaar afgeschermd. 05 Scheid het interne bedrijfsnetwerk en het internet van elkaar door middel van een bufferzone ( demilitarised zone, DMZ) dat bestaat uit frontend-zones en backend-zones. 06 Leg in een DMZ-inrichtingsdocument/ontwerp vast welke uitgangspunten en principes gelden voor de toepassing van de DMZ. 07 Plaats alleen de systemen, (web)applicaties en diensten in de DMZ die in het DMZ-ontwerp voorkomen. 08 Configureer de filters en regels binnen een DMZ conform het DMZ-ontwerp. 09 Laat verkeersstromen tussen interne netwerken en externe netwerken lopen via een DMZ, en controleer en ontkoppel deze op applicatieniveau (sessiescheiding). 10 Sta alleen de voor de beoogde diensten noodzakelijke verkeersstromen tussen internet en de DMZ en tussen de DMZ en het interne netwerk toe. 07 Implementeer Intrusion Detection Systemen (IDS) of Intrusion Prevention Systemen (IPS). 08 Richt de IDS en en IPS en in op basis van een geaccordeerd inrichtingsdocument/ontwerp. 09 Houd rapportage(tool)s beschikbaar voor analyses van de door detectiemechanismen vastgelegde gegevens. 01 Geef in een inrichtingsdocument aan op welke wijze contentbeheer (web- en databasecontent), applicatiebeheer en technisch beheer worden uitgeoefend. 03 Stel een overzicht op van ondersteunende communicatieprotocollen voor beheer. 04 Stel een overzicht op van ondersteunende applicaties voor beheer. 05 Leg vast op welke wijze beheerders toegang krijgen tot de beheeromgeving. 29