HANDREIKING ENSIA EN DIGID

Transcriptie

1 HANDREIKING ENSIA EN DIGID

2 Datum December 2017 Versie 2.0 2

3 INHOUDSOPGAVE 1 Inleiding en achtergrond DigiD in relatie tot ENSIA DigiD en de ENSIA-tool DigiD en de auditor DigiD en ENSIA, de bouwstenen Praktische uitvoering hoe te beginnen Bijlagen Omnummertabel oude en nieuwe vormen Mogelijke verdeling normen Overzicht te verzamelen documentatie Documentstructuur voor structurering DigiD-documentatie Achtergrond DigiD

4 1 Inleiding en achtergrond 1.1 DigiD in relatie tot ENSIA Vanaf 2017 wordt voor het eerst gebruik gemaakt van de ENSIA-verantwoordingsprocedure. De grootste verandering, is dat de verantwoording over DigiD onderdeel is geworden van de ENSIAzelfevaluatie en de horizontale verantwoording. Daarnaast is het DigiD-normenkader geactualiseerd. DigiD als onderdeel van ENSIA-zelfevaluatie Het opnemen van DigiD in de ENSIA-zelfevaluatie heeft een aantal effecten: 1) De rol van de gemeente ten aanzien van de DigiD-verantwoording wijzigt. 2) Het tijdspad is veranderd. Veranderde rol van de gemeente De gemeente vult zelf de DigiD-vragenlijst in als onderdeel van de ENSIA-zelfevaluatie (in de ENSIA-tool). Voorheen voorzag de auditor de gemeenten in een DigiD-assessmentrapportage en maakte de auditor de afweging op welke manier bepaalde normen moeten worden getoetst (en welke bewijslast daarbij hoort). Voortaan gaan gemeenten dit zelf uitvoeren. De beoordeling van de normen vindt nu in eerste instantie plaats door de ENSIA-coördinator. Ook draagt de gemeente/ensia-coördinator zorg voor het samenstellen van de bijlagen B en C en het tijdig verkrijgen van een of meerdere Third Party Mededelingen (TPM-verklaring). Bijlage B en C werden voorheen door de auditor verstrekt als onderdeel van het DigiD-assesmentrapport. De ENSIAcoördinator stelt tijdens de zelfevaluatie het dossier samen en benadert en contracteert een auditor. De DigiD-zelfevaluatie in de ENSIA-tool is de basis voor de collegeverklaring. In deze verklaring verantwoordt de gemeente zich onder andere over DigiD aan de gemeenteraad. De DigiDassessmentrapportage, die de auditor voorheen uitbracht, is vervangen door een assurancerapport bij de collegeverklaring van een bevoegde auditor. Net als voorheen is dit een IT-auditor met een RE-kwalificatie. Deze auditor geeft door middel van een assurance-rapport aanvullende zekerheid. Hetgeen ook van belang is voor het voldoen aan de aansluitvoorwaarden voor DigiD. Zie 1.3 DigiD en de auditor voor een nadere toelichting Ander tijdspad Doordat DigiD onderdeel is van de ENSIA-zelfevaluatie, is in vergelijking met voorgaande jaren een ander tijdspad van toepassing. In het ENSIA-tijdspad is tussen 1 juli 2017 en 31 december 2017 de periode van zelfevaluatie. Voor 1 mei 2018 heeft de gemeente de collegeverklaring opgesteld en heeft de auditor het assurance-rapport gereed. Zo kan de gemeente dit uiterlijk 1 mei 2018 inleveren bij Logius. Het gewijzigde tijdspad heeft gevolgen voor de gemeenten die een deel van de DigiD-applicatie hebben uitbesteed. Veel gemeenten maken gebruik van een serviceorganisatie. Deze voert vaak, voor de gemeente, een deel van de activiteiten in het DigiD-domein uit. In dat geval legt de serviceorganisatie veelal verantwoording af door middel van een TPM-verklaring. Daar waar deze TPM s de voorgaande jaren pas beschikbaar waren in het nieuwe jaar, zijn ze momenteel eerder noodzakelijk voor gemeenten vanwege de ENSIA-zelfevaluatie. De gemeenten hebben de TPM( s) namelijk nodig om de vragenlijst te completeren. De streefdatum voor het opleveren van de TPM s, door de leverancier aan de gemeenten is 15 oktober Dit zodat de gemeenten voldoende tijd 4

5 hebben voor de afronding van de zelfevaluatie. 5

6 1.2 DigiD en de ENSIA-tool In de ENSIA-tool is een aparte vragenlijst opgenomen over DigiD. Deze is opgenomen naast de generieke vragenlijst over informatiebeveiliging, op basis van de BIG (Baseline Informatiebeveiliging Nederlandse Gemeenten). Dit is omdat de DigiD- normen uitgebreider zijn dan de BIG-normen. Daarnaast vindt de verantwoording over DigiD per DigiD-aansluiting plaats. De DigiD-vragenlijst bestaat uit zelfevaluatievragen waarbij de ENSIA-tool gemeenten ondersteunt bij het invullen. De ENSIA-tool helpt de gemeenten bij het uitvoeren van de benodigde acties en het verzamelen van de benodigde documentatie. De vormgeving en structuur van de DigiDvragenlijst is gericht op de veelal kleinere maximaal ontzorgde gemeenten die binnen het DigiDdomein taken hebben uitbesteed. De ENSIA-tool helpt gemeenten bij het bepalen aan welke normen de gemeente moet voldoen en welke normen voor serviceorganisaties of andere dienstverleners van toepassing zijn. Daarnaast ondersteunt de tooling bij de levering van bijlage B en C (die de basis vormt, en input geeft, voor de collegeverklaring). De ENSIA-tool ondersteunt u bij de zelfevaluatie tot en met het aanleveren van de benodigde informatie aan Logius. Per DigiD-aansluiting dienen de vragen beantwoord te worden en de benodigde documenten te worden geüpload. Het uploaden van de documentatie kan pas na het sluiten van de vragenlijst. De vragenlijst sluit nadat deze is ingevuld. Zie Handreiking tooling op ENSIA.nl voor meer informatie over het gebruik van de ENSIA-tool. Afhankelijk van het aantal DigiD-aansluitingen van uw gemeente, dient u mogelijk meerdere TPM s te uploaden. Na het sluiten van de vragenlijst en het uploaden van de benodigde documentatie (collegeverklaring, assurancerapport bij de collegeverklaring, bijlage B + C en TPM s) hoeft u niet afzonderlijk nog een DigiD assessmentrapportage op te sturen naar Logius. Indien niet voldaan wordt aan één of meerdere normen, dan komt uw gemeente terecht in het reguliere hersteltraject van Logius. U communiceert dan rechtstreeks met Logius over het verbeterplan en de verbeterrapportage, buiten de ENSIA-tool om. 1.3 DigiD en de auditor Naast de rol van de gemeenten in relatie tot DigiD, verandert ook de rol van de auditor. In plaats van een DigiD-assessmentrapportage, op het niveau van een DigiD-aansluiting, levert de auditor een assurancerapport dat aanvullende zekerheid geeft over informatiebeveiliging. Het assurancerapport en onderliggende collegeverklaring gaan over DigiD en Suwinet. Niet alleen het onderzoeksobject en de op te leveren rapportage verandert, maar ook de auditmethodiek van de auditor. De methodiek verschuift van direct reporting naar assertion based. De auditor geeft in de collegeverklaring aan of de collegeverklaring waarheidsgetrouw is of niet. Daartoe neemt de auditor kennis van de ingevulde zelfevaluatie voor DigiD, inclusief de door de gemeente verzamelde documentatie. 6

7 1.4 DigiD en ENSIA, de bouwstenen Doelstelling en scope DigiD-assessment Het ministerie van BZK heeft een algemene doelstelling voor de DigiD-assessment geformuleerd: Het verschaffen van aanvullende zekerheid over de opzet en het bestaan in een DigiDwebomgeving van een aantal beveiligingsmaatregelen die zijn gebaseerd op een selectie uit de actuele ICT-beveiligingsrichtlijnen voor webapplicaties van het NCSC en die gericht zijn op enerzijds de preventie van het optreden van bedreigingen vanaf internet en anderzijds de detectie en de incident response indien deze bedreigingen zich toch manifesteren. De DigiD-assessment beperkt zich tot het beoordelen van de opzet en het toetsen van het bestaan van de beheersmaatregelen. Met opzet wordt de beschrijving van het stelstel van informatiebeveiligings- en beheersingsmaatregelen bedoeld. Het bestaan is gedefinieerd als het daadwerkelijk functioneren van een stelsel van informatiebeveiligings- en beheersingsmaatregelen, conform beschrijving op of rond een peildatum. Het kan voorkomen dat bij het uitvoeren van de audit wel voldaan is aan de opzet van beheersingsmaatregel (de maatregel is beschreven), maar dat het bestaan niet kan worden beoordeeld. Bijvoorbeeld omdat in de onderzochte periode de relevante gebeurtenis zich niet heeft voorgedaan. In dat geval wordt dit weergegeven als voldoet in het assurance-rapport en voorzien van een toelichting Alleen assessmentplichtige aansluitingen vallen binnen de ENSIA-zelfevaluatie De ENSIA-zelfevaluatie betreft alleen assessmentplichtige DigiD-aansluitingen. Nieuwe aansluitingen vallen buiten de ENSIA-zelfevaluatie, daarvoor geldt de bestaande aansluitprocedure. Assessmentplichtige DigiD-aansluitingen zijn actieve bestaande DigiD-aansluitingen die per 1 mei 2018 actief zijn. Dit roept de vraag op wanneer een DigiD-aansluiting als een nieuwe aansluiting wordt gekenmerkt. Dat ligt aan het moment waarop de betreffende DigiD-aansluiting is geactiveerd. De activatiedatum is dus van belang om te bepalen wanneer een nieuwe DigiDaansluiting onder het reguliere regime valt. Onderstaande voorbeelden maken dit duidelijk: Voorbeeld 1: Een bestaande DigiD-aansluiting wordt naar verwachting niet meer gebruikt en afgesloten voor 1 mei Deze aansluiting valt in de vrijstellingsperiode en hoeft niet te worden verantwoord richting Logius. In het de ENSIA-systematiek telt deze aansluiting niet mee; er hoeft geen DigiDvragenlijst te worden ingevuld voor deze aansluiting. Voorbeeld 2: Een nieuwe DigiD-aansluiting is geactiveerd op 2 februari De assessmentplicht voor een nieuwe aansluiting is twee maanden na activatie, in dit geval dus per 2 april 2017, met een vrijstelling voor 12 maanden (tot 2 april 2018). De vrijstellingsdatum van 2 april valt in de reguliere audit periode, die loopt van 1 januari tot 1 mei 2018, en daarmee valt de betreffende DigiD-aansluiting onder de ENSIA-systematiek. Dit betekent: uiterlijk voor 1 mei 2018 een assesment-rapportage indienen over

8 Voorbeeld 3: Een nieuwe DigiD-aansluiting is geactiveerd op 15 april De assessmentplicht voor een nieuwe aansluiting is twee maanden na activatie, in dit geval dus per 15 juni 2017 met een vrijstelling voor 12 maanden (tot 15 juni 2018). De vrijstellingsdatum van 15 juni valt buiten de reguliere audit periode, die loopt van 1 januari tot 1 mei 2018, en daarmee valt de betreffende DigiD-aansluiting niet onder de ENSIA-verantwoordingsplicht. Dit betekent: niet opnemen in de collegeverklaring, geen audit door de auditor en vrijstelling voor een jaar; uiterlijk voor 1 mei 2019 een assurancerapport indienen over Er zijn ook gedeactiveerde DigiD-aansluitingen. Dat zijn aansluitingen die bijvoorbeeld niet voldoen aan de assessmentplicht of op verzoek van de gemeente zelf zijn gedeactiveerd. Om bestaande gedeactiveerde aansluitingen te activeren moet eerst een assessmentrapport worden ingediend. Daarbij ontvangt u een brief van Logius waarin de vrijstellingsperiode staat aangegeven. Op basis daarvan kunt u bepalen of uw aansluiting wel of niet binnen de ENSIA-systematiek valt. 8

9 Samengevat: alleen voor bestaande actieve DigiD-aansluitingen geldt de verantwoordingsplicht conform ENSIA. Bestaande aansluitingen zijn vroegere aansluitingen, aansluitingen die actief zijn geworden tussen 1 november 2016 en 1 maart 2017 én aansluiting die nog actief zijn op 1 mei Aansluitingen geactiveerd na 1 maart 2017 worden geclassificeerd als nieuwe aansluitingen en vallen vanwege de vrijstellingsperiode buiten de scope van de ENSIA verantwoordingsplicht. Dat laatste geldt ook voor bestaande aansluitingen die niet meer actief zijn op 1 mei 2018 of eerder. Ook voor deze aansluitingen geldt dat de ENSIA verantwoordingsplicht vervalt. Bovenstaande casuïstiek geldt bij het indienen van groene assessmentrapportages, waarvan Logius vaststelt dat de gemeente voldoet aan de gestelde normen. Indien sprake is van een situatie waarin niet aan alle normen is voldaan, dan komt de gemeente terecht in een regulier verbetertraject, zie Logius.nl voor de betekenis hiervan. Het verbetertraject gaat buiten ENSIA en het ENSIA tool om. Praktische tip: Indien bij uw gemeente sprake is van een nieuwe DigiDaansluitingen, achterhaal de activatiedatum en bepaal of de betreffende DigiD-aansluiting binnen of buiten de ENSIA-verantwoording valt. Achterhaal tevens of de DigiD aansluitingen van uw gemeente nog actief zijn per 1 mei Let op bij geactiveerde (van voorheen gedeactiveerde) aansluitingen, raadpleeg in die gevallen de begeleidende brief van Logius. 9

10 Gebruik van meer dan één DigiD-aansluiting De ENSIA-zelfevaluatie dient te worden ingevuld per DigiD-aansluiting. Dit omdat u zich als aansluithouder per aansluiting dient te verantwoorden. U verantwoordt zich in één Collegeverklaring over al uw assessmentplichtige DigD-aansluitingen. Wel stelt u per DigiDaansluiting de bijlagen B en C op. Het assurancerapport komt in enkelvoud en geeft assurance over de in de Collegeverklaring verantwoorde DigiD-aansluitingen Verschillende soorten gemeenten vanuit DigiD-perspectief Gemeenten kiezen zelf of ze de taken in het DigiD-domein uitbesteden of niet. Veel gemeenten kiezen voor maximaal ontzorgen en nemen de DigiD-applicatie af bij een service-organisatie. Dat kan een SAAS-oplossing zijn, maar de combinatie van een hosting- en applicatieleverancier komt ook voor. Bij dit laatste kan het voorkomen dat meerdere leveranciers participeren. Een aantal (veelal) grotere gemeenten heeft gekozen voor een eigen webserver en nemen alleen applicatiediensten af. De ENSIA-systematiek is gericht op het ontzorgen van de gemeenten die gekozen hebben voor maximaal uitbesteden. Het is van belang om per DigiD-aansluiting te weten welk model uw gemeente heeft gekozen. Praktische tip: Breng in kaart over hoeveel DigiD-aansluitingen uw gemeenten beschikt en waarvoor u als aansluithouder geregistreerd staat. Breng daarnaast per aansluiting in kaart welk model uw gemeente heeft gekozen. Indien uw gemeente zelf voorziet in de hosting van de DigiD-applicatie, dient u aanvullende vragen te beantwoorden. Het ENSIA-tool helpt u hierbij. 10

11 Positionering, stakeholders en verdeling van verantwoordelijkheden Het komt regelmatig voor dat de aansluithouder van DigiD gebruik maakt van een serviceorganisatie. Dat betekent dat de gemeente een deel van de DigiD-applicatie (inclusief beheer) heeft uitbesteed aan een leverancier. De DigiD-applicatie is de website of de webapplicatie die gebruik maakt van DigiD voor authenticatie. Er zijn verschillende varianten als het gaat om de taken en activiteiten die zijn uitbesteed binnen het domein van de DigiD-applicatie. De mate van uitbesteding is belangrijk voor de afweging wie van de partijen verantwoordelijk is voor welke werkzaamheden. Dit in relatie tot het DigiDassessment (zie verderop in dit hoofdstuk, onderdeel Verdeling van verantwoordelijkheden bij DigiD-assesment ). De meest voorkomende varianten zijn: Zowel hosting, applicatiebeheer als de implementatie zijn in handen van de gemeente. Hosting bij de gemeente en applicatiebeheer bij de leverancier, die geen verantwoordelijkheid heeft voor de implementatie. Hosting bij de gemeente en applicatiebeheer bij de leverancier, die bepaalde verantwoordelijkheid heeft voor de implementatie en beheerrechten heeft in de productieomgeving. Uitbesteding van applicatiebeheer en hosting onder aansturing van de gemeente (geen SAASomgeving) aan één of twee leveranciers. Volledige uitbesteding als SAAS-oplossing, waarbij wijzigingenbeheer volledig onder de leverancier valt met betrokkenheid van een gebruikersgroep. Ook andere varianten en vormen van ketensamenwerking zijn mogelijk. Het DigiD-assessment is gebaseerd op een normenset (webrichtlijnen NCSC), zie Norm ICTbeveiligingsassessments DigiD. Bij het uitvoeren van het DigiD-assessment moet per norm worden bepaald welke partij verantwoordelijk is voor een norm. Ruwweg wordt deze indeling aangehouden: Normen waarvoor de aansluithouder/gemeente verantwoordelijk is; Normen waarvoor de serviceorganisatie/leverancier verantwoordelijk is; Normen waarvoor beiden een gedeelde verantwoordelijkheid hebben. Bijlage 2 bevat een overzicht van de meest voorkomende verdeling van normen over de verschillende partijen. Een apart aandachtspunt daarbij vormen de normen waarvan de serviceorganisatie/leverancier aanneemt dat ook de aansluithouder/gemeente verantwoordelijk is (ook wel de user control considerations genoemd). Dit omdat de normen bij de serviceorganisatie alleen geen voldoende zekerheid bieden voor de beheersing van de DigiD-beveiligingsrisico s. Over deze normen dient goede afstemming te bestaan tussen de partijen. Het overzicht in bijlage 2 geeft inzicht in de normen waarvoor mogelijk zowel de aansluithouder/gemeente als de serviceorganisatie/leverancier verantwoordelijk zijn. De tabel in bijlage 2 bevat, naast de kolom voor de aansluithouder, twee kolommen: hostingpartij en softwareleverancier. Het komt voor dat een gemeente gebruik maakt van twee leveranciers, een voor de hosting en een voor applicatiebeheer. Veelal wordt dit door dezelfde leverancier uitgevoerd, in dat geval worden alle normen van de serviceorganisatie/leverancier ondergebracht 11

12 in één TPM. Indien gebruik gemaakt wordt van twee verschillende partijen, zullen twee TPM s opgeleverd moeten worden. Praktische tip: Breng voor uw situatie per DigiD-aansluiting de verdeling van de activiteiten in kaart en daarop gebaseerd de verdeling van de normen. De tabel in bijlage 2 kan daarbij als vertrekpunt dienen in combinatie met bijlage B uit het DigiD-assessmentrapport over

13 TPM s als onderdeel van DigiD-verantwoording De leverancier of serviceorganisatie kan een deel van de vragen beantwoorden vanuit een TPM (Third Party Mededeling of memorandum). Deze dient aan te sluiten op de vragen uit de ENSIAtool. Het is belangrijk om tijdig afspraken te maken met uw leverancier over de inhoud van de TPM (volgens het carve-out model). Deze zullen afhankelijk zijn van de diensten die u afneemt. KING heeft tijdens het leveranciersoverleg (van 31 maart en 30 juni 2017) met leveranciers afgesproken dat de TPM s over 2017 uiterlijk op 15 oktober 2017 aan gemeenten worden opgeleverd. Alle leveranciers hebben daarnaast een brief ontvangen met aanvullende informatie. Het is wenselijk dat gemeenten uiterlijk 15 oktober 2017 over de TPM beschikken. Dit zodat de gemeenten tijdig de TPM inhoudelijk beoordelen en vaststellen welke normen door de TPM zijn afgedekt. U kunt voor bestaande aansluitingen niet de bestaande TPM (over de DigiD-aansluiting in 2016) gebruiken. De TPM over 2017 dient gebaseerd te zijn op versie 2 van het DigiD-normenkader, daarnaast mogen TPM s niet worden hergebruikt. Praktische tip: Maak zo snel mogelijk afspraken met uw leverancier/serviceorganisatie over het ontvangen van de TPM, waarbij 15 oktober 2017 de streefdatum is. 13

14 2 Praktische uitvoering hoe te beginnen Dit hoofdstuk beschrijft de te nemen stappen, afhankelijk van uw specifieke situatie kunnen bepaalde stappen niet van toepassing zijn: 1 Aansluithouder zijn en het aantal DigiD-aansluitingen Ga na of uw gemeente DigiD-aansluithouder is en over hoeveel DigiD-aansluitingen uw gemeente beschikt. Het laatste DigiD-assesment rapport kan u hierbij verder helpen. Uw gemeente is DigiD-aansluithouder als u een contract heeft met Logius. Dit contract staat op naam van de gemeente en is voor de levering van de DigiD-snelkoppeling. 2 Uitbestede taken/activiteiten Breng per DigiD-aansluiting, waarvoor u aansluithouder bent, in kaart welke activiteiten zijn uitbesteed aan welke partij(en)/serviceorganisatie(s). Per DigiDaansluiting kan dit één partij zijn, die zowel de hosting van de webapplicatie aanbiedt als het applicatiebeheer, maar ook twee partijen/leveranciers zijn mogelijk. 3 Verdeling van DigiD-normen over de partijen Maak per DigiD-aansluiting, waarvoor u aansluithouder bent, een verdeling van de te beoordelen normen over de betrokken partijen. Maak hierbij gebruik van de tabel in bijlage 2. Bekijk per norm bij welke partij deze getoetst dient te worden. Een aantal normen raakt meer dan één partij. Voor deze normen dient met de betrokken partijen afgestemd te worden wie van de partijen welke onderdelen toetst. Dit zodat daarover geen misverstand kan bestaan. Zie ook de Norea handreiking DigiD voor toelichting bij de normen, de testaanpak en de toelichting per vraag in de DigiD-vragenlijst op ENSIA.nl. 4 Vraag leveranciers/serviceorganisaties om de TPM( s) Benader bij DigiD-aansluitingen betrokken partijen over de op te leveren TPM( s). De streefdatum is 15 oktober Op deze manier heeft u voldoende tijd om de uitkomsten van de TPM te verwerken in de zelfevaluatie. De TPM dient gebaseerd te zijn op versie 2.0 van het normenkader (zie Norm DigiD-assessments ). 5 Maak afspraken met een auditor Benader een daartoe bevoegde (RE-)auditor voor afspraken over het op te leveren DigiD-assessmentrapport en de assurance-rapportage. Let op, het assurance-rapport gaat indirect over DigiD. De auditor stelt een assurance-rapport op met betrekking tot de door de gemeente opgestelde collegeverklaring. Deze collegeverklaring gaat over informatiebeveiliging bij het gebruik van DigiD én Suwinet. Het Format Assurance rapport en Format Collegeverklaring dienen als voorbeeld. Maak afspraken met de auditor over de timing van de werkzaamheden, de opleverdatum van de assurancerapportage (uiterlijk april 2018) en de wederzijdse verwachtingen ten aanzien van op te leveren documenten en uit te voeren acties. 6 Ga aan de slag met de normen voor de aansluithouder/gemeente Ga aan de slag met de eigen normen die van toepassing zijn voor u als aansluithouder/gemeente. Beoordeel de normen, breng in kaart waar u staat als gemeente en zet eventuele to-do s op een rij. Neem passende acties indien van toepassing. De Norea handreiking DigiD en de toelichting in de ENSIA-tool (bij de vragen in de DigiD-vragenlijst) bieden handreiking over de interpretatie van de normen. Deze kunnen u helpen bij de zelfevaluatie. 7 Vul de vragenlijst in en verzamel de benodigde documentatie Vul de vragenlijst in en verzamel de benodigde documentatie. Zie bijlage 3 voor een overzicht van benodigde documentatie en vergeet niet ervoor te zorgen dat de TPM s 14

15 tijdig worden ontvangen. Bijlage 3 bevat een overzicht van de op te leveren documentatie. Indien een norm wordt afgedekt door een toereikende TPM-verklaring en niet ook van toepassing is voor de gemeente, vervalt de documentatieplicht voor de aansluithouder/gemeente. Bijlage 4 bevat een voorbeeld van een documentstructuur die u kunt toepassen om de verzamelde documentatie overzichtelijk te archiveren. 8 Beoordeel de TPM( s) Beoordeel na ontvangst de TPM( s) en weeg af welke normen voor welk gedeelte zijn afgedekt. Wellicht heeft dit gevolgen voor de acties en beantwoording van de vragen bij uw eigen normen. Hiervoor heeft u de tijd in de periode tussen 15 oktober 2017 en 31 december Completeer de vragenlijst en upload de documentatie Completeer indien nodig de vragenlijst voor de zelfevaluatie. Download bijlage B en C uit de ENSIA-tool, en vul deze aan. In Bijlage B dient u een overzicht van de DigiDarchitectuur op te nemen. U kunt hierbij het overzicht uit de DigiD-assurancerapportage van afgelopen jaar als vertrekpunt nemen. Deze kan zelfs overgenomen worden indien er geen wijzigingen zijn geweest in en rondom de DigiD-applicatie. Upload de benodigde documentatie: bijlage B en C DigiD-assessmentrapportage, het assurancerapport en de onderliggende TPM s en de collegeverklaring. 15

16 3 Bijlagen 3.1 Omnummertabel oude en nieuwe vormen Voor bestaande DigiD-aansluitingen wordt een nieuw normenkader gehanteerd: Norm ICT-beveiligingsassessments DigiD versie 2.0. Deze is gebaseerd op nieuwe beveiligingsrichtlijnen voor webapplicaties (zoals opgesteld door het NCSC en in combinatie met de uitkomsten van de analyse van de resultaten van ICT-beveiligingsassessments DigiD van de afgelopen jaren). Ten opzichte van de Norm v1.0, zijn in de Norm v2.0 een aantal normen vervangen. Daarnaast zijn de nummering en terminologie van de nieuwe beveiligingsrichtlijnen gehanteerd is de reikwijdte per norm op onderdelen aangepast. Onderstaande tabel bevat de omnummering voor de oude en nieuwe normen. Onderstaande tabel geeft een globaal inzicht in de omnummering, maar dekt niet de gehele lading. Op specifieke elementen kan de vertaling tussen oude en nieuwe normen afwijken. Oude norm Nieuwe norm Omschrijving norm B0-14 B.05 In een contract met een derde partij, voor de uitbestede levering of beheer van een webapplicatie (als dienst), zijn de beveiligingseisen en -wensen vastgelegd en op het juiste (organisatorische) niveau vastgesteld. B0-12 U/TV.01 De inzet van identiteit- en toegangsmiddelen levert betrouwbare en effectieve mechanismen op voor het vastleggen en vaststellen van de identiteit van gebruikers, het toekennen van de rechten aan gebruikers, het controleerbaar maken van het gebruik van deze middelen en het automatiseren van arbeidsintensieve taken. geen U/WA.02 Het webapplicatiebeheer is procesmatig en procedureel ingericht, waarbij geautoriseerde beheerders op basis van functieprofielen taken verrichten. B3-1 U/WA.03 De webapplicatie beperkt de mogelijkheid tot manipulatie door de invoer te normaliseren en te valideren, voordat deze wordt verwerkt. B3-4 U/WA.04 De webapplicatie beperkt de uitvoer tot waarden die (veilig) verwerkt kunnen worden door deze te normaliseren. B5-3 U/WA.05 De webapplicatie garandeert de betrouwbaarheid van informatie door toepassing van privacybevorderende en cryptografische technieken. B3-2 U/PW.02 De webserver garandeert specifieke kenmerken van de inhoud van de protocollen. B3-16 U/PW.03 De webserver is ingericht volgens een configuratie-baseline. B2-1 U/PW.05 Het beheer van platformen maakt gebruik van veilige (communicatie)protocollen voor het ontsluiten van beheermechanismen. Daarnaast wordt het beheer uitgevoerd conform het operationeel beleid voor platformen. B0-6 U/PW.07 Voor het configureren van platformen is een hardeningrichtlijn beschikbaar. 15

17 B1-1 U/NW.03 Het netwerk is gescheiden in fysieke en logische domeinen (zones), in het bijzonder is er een DMZ die tussen het interne netwerk en het internet is gepositioneerd. B7-1 U/NW.04 De netwerkcomponenten en het netwerkverkeer worden beschermd door middel van detectie- en protectiemechanismen. B1-2 U/NW.05 Binnen de productieomgeving zijn beheer- en productieverkeer van elkaar afgeschermd. B0-6 U/NW.06 Voor het configureren van netwerken is een hardeningrichtlijn beschikbaar. B0-9 C.03 Vulnerabilityassesments (security scans) worden procesmatig en procedureel uitgevoerd. Dit op de ICT-componenten van de webapplicatie (scope). B0-8 C.04 Penetratietests worden procesmatig en procedureel, ondersteund door richtlijnen, uitgevoerd op de infrastructuur van de webapplicatie (scope). B7-1 C.06 In de webapplicatieomgeving zijn signaleringsfuncties (registratie en detectie) actief, efficiënt, effectief en beveiligd ingericht. B7-8 C.07 De loggings- en detectie-informatie (registraties en alarmeringen) en de condities van de beveiliging van ICT-systemen worden regelmatig gemonitord (bewaakt en geanalyseerd) en de bevindingen gerapporteerd. B0-5 C.08 Wijzigingenbeheer is procesmatig en procedureel zodanig uitgevoerd dat wijzigingen in de ICT-voorzieningen van webapplicaties tijdig, geautoriseerd en getest worden doorgevoerd. B0-7 C.09 Patchmanagement is procesmatig en procedureel, ondersteund door richtlijnen, zodanig uitgevoerd dat laatste (beveiligings)patches tijdig zijn geïnstalleerd in de ICT-voorzieningen. 16

18 3.2 Mogelijke verdeling normen Onderstaande tabel geeft een mogelijke verdeling van de normen weer over de partijen die betrokken zijn bij een DigiD-aansluiting. Afhankelijk van een specifieke inrichting kan een andere verdeling van toepassing zijn. Norm Omschrijving norm Aansluithouder /gemeente Hostingpartij Softwareleverancier B.05 In een contract met een derde partij voor de uitbestede levering U/TV.01 U/WA.02 U/WA.03 U/WA.04 U/WA.05 U/PW.02 of beheer van een webapplicatie (als dienst) zijn de beveiligingseisen en-wensen vastgelegd en op het juiste (organisatorische) niveau vastgesteld. De inzet van identiteit- en toegangsmiddelen levert betrouwbare en effectieve mechanismen voor het vastleggen en vaststellen van de identiteit van gebruikers, het toekennen van de rechten aan gebruikers, het controleerbaar maken van het gebruik van deze middelen en het automatiseren van arbeidsintensieve taken. Het webapplicatiebeheer is procesmatig en procedureel ingericht, waarbij geautoriseerde beheerders op basis van functieprofielen taken verrichten. De webapplicatie beperkt de mogelijkheid tot manipulatie door de invoer te normaliseren en te valideren, voordat deze wordt verwerkt. De webapplicatie beperkt de uitvoer tot waarden die (veilig) verwerkt kunnen worden door deze te normaliseren. De webapplicatie garandeert de betrouwbaarheid van informatie door toepassing van privacybevorderende en cryptografische technieken. De webserver garandeert specifieke kenmerken van de inhoud van de protocollen. 17 U/PW.03 De webserver is ingericht volgens een configuratie-baseline. U/PW.05 Het beheer van platformen maakt gebruik van veilige (communicatie)protocollen voor het ontsluiten van

19 U/PW.07 U/NW.03 U/NW.04 U/NW.05 U/NW.06 beheermechanismen. Daarnaast wordt het beheer uitgevoerd conform het operationeel beleid voor platformen. Voor het configureren van platformen is een hardeningrichtlijn beschikbaar. Het netwerk is gescheiden in fysieke en logische domeinen (zones), in het bijzonder is er een DMZ die tussen het interne netwerk en het internet is gepositioneerd. De netwerkcomponenten en het netwerkverkeer worden beschermd door middel van detectie- en protectiemechanismen. Binnen de productieomgeving zijn beheer- en productieverkeer van elkaar afgeschermd. Voor het configureren van netwerken is een hardeningrichtlijn beschikbaar. C.03 Vulnerabilityassesments (security scans) worden procesmatig en procedureel uitgevoerd. Dit op de ICT-componenten van de webapplicatie (scope). C.04 Penetratietests worden procesmatig en procedureel, ondersteund door richtlijnen, uitgevoerd op de infrastructuur van de webapplicatie (scope). C.06 In de webapplicatieomgeving zijn signaleringsfuncties (registratie en detectie) actief, efficiënt, effectief en beveiligd ingericht. C.07 De loggings- en detectie-informatie (registraties en alarmeringen) en de condities van de beveiliging van ICT-systemen worden regelmatig gemonitord (bewaakt en geanalyseerd) en de bevindingen gerapporteerd. C.08 Wijzigingenbeheer is procesmatig en procedureel zodanig uitgevoerd dat wijzigingen in de ICT-voorzieningen van webapplicaties tijdig, geautoriseerd en getest worden doorgevoerd. 18

20 C.09 Patchmanagement is procesmatig en procedureel, ondersteund door richtlijnen, zodanig uitgevoerd dat laatste (beveiligings)patches tijdig zijn geïnstalleerd in de ICTvoorzieningen. 19

21 3.3 Overzicht te verzamelen documentatie Onderstaande tabel bevat een totaal overzicht van de mogelijk op te leveren documentatie. Indien een norm wordt afgedekt door een toereikende TPM verklaring, vervalt uiteraard de documentatieplicht voor de aansluithouder/gemeente. Disclaimer: kijk in ENSIA tool naar de toelichting opnieuw bekijken! Norm Omschrijving norm Op te leveren documentatie B.05 In een contract met een derde partij, voor de uitbestede levering U/TV.01 U/WA.02 of beheer van een webapplicatie (als dienst), zijn de beveiligingseisen en -wensen vastgelegd en op het juiste (organisatorische) niveau vastgesteld. De inzet van identiteit- en toegangsmiddelen levert betrouwbare en effectieve mechanismen voor het vastleggen en vaststellen van de identiteit van gebruikers, het toekennen van de rechten aan gebruikers, het controleerbaar maken van het gebruik van deze middelen en het automatiseren van arbeidsintensieve taken. Het webapplicatiebeheer is procesmatig en procedureel ingericht, waarbij geautoriseerde beheerders op basis van functieprofielen taken verrichten. 20 De organisatie dient een, door beide partijen ondertekend, contract te hebben waarin tenminste de volgende zaken zijn opgenomen: een beschrijving van de diensten die onder het contract vallen; de van toepassing zijnde leveringsvoorwaarden; informatiebeveiligingeisen met de relevante eisen vanuit het beveiligingsbeleid; het melden van beveiligingsincidenten en datalekken; de behandeling van gevoelige gegevens; wanneer en hoe de leverancier toegang tot de systemen/data van de gebruikersorganisatie mag hebben; Service Level Reporting; het jaarlijks uitvoeren van audits bij de leverancier(s); beding dat deze voorwaarden back-to-back worden doorgegeven aan mogelijke subleveranciers. Het beveiligingsbeleid, joiners/movers/leavers-procedure, de autorisatieprocedure, afspraken met leveranciers met betrekking tot de toegang tot systemen & data en andere gerelateerde documenten. Inspecteer de functie/taakbeschrijvingen van beheerders, de autorisatiematrix en het autorisatiebeheerproces.

22 U/WA.03 U/WA.04 U/WA.05 U/PW.02 De webapplicatie beperkt de mogelijkheid tot manipulatie door de invoer te normaliseren en te valideren, voordat deze wordt verwerkt. De webapplicatie beperkt de uitvoer tot waarden die (veilig) verwerkt kunnen worden door deze te normaliseren. De webapplicatie garandeert de betrouwbaarheid van informatie door toepassing van privacybevorderende en cryptografische technieken. De webserver garandeert specifieke kenmerken van de inhoud van de protocollen. Resultaten penetratietest. Resultaten penetratietest. Overzicht van de classificatie van gegevens en daaraan gerelateerde risicoanalyse, de netwerkarchitectuur (HTTPS en TLS-configuraties) en het inrichtingsdocument waar de encryptie van gegevens in staat beschreven. Resultaten penetratietest. U/PW.03 De webserver is ingericht volgens een configuratie-baseline. De configuratie-baseline van de webserver. U/PW.05 U/PW.07 U/NW.03 U/NW.04 U/NW.05 U/NW.06 Het beheer van platformen maakt gebruik van veilige (communicatie)protocollen voor het ontsluiten van beheermechanismen. Daarnaast wordt het beheer uitgevoerd conform het operationeel beleid voor platformen. Voor het configureren van platformen is een hardeningrichtlijn beschikbaar. Het netwerk is gescheiden in fysieke en logische domeinen (zones), in het bijzonder is er een DMZ die tussen het interne netwerk en het internet is gepositioneerd. De netwerkcomponenten en het netwerkverkeer worden beschermd door middel van detectie- en protectiemechanismen. Binnen de productieomgeving zijn beheer- en productieverkeer van elkaar afgeschermd. Voor het configureren van netwerken is een hardeningrichtlijn beschikbaar. Het (operationele) beleid met betrekking tot het gebruik van beheervoorzieningen en de daarbij vereiste authenticatie. Bewijs van toepassing hardeningsrichtlijn. Netwerkarchitectuurschema, inclusief een overzicht van de toegestane verkeersstromen tussen netwerksegmenten. Het netwerkarchitectuurschema, de inrichtingsdocumentatie en de beheerprocedure van de IDS/IPS. Inrichtingsdocument waaruit blijkt op welke wijze contentbeheer (web- en databasecontent), applicatiebeheer en technisch beheer worden uitgeoefend en het netwerkarchitectuurschema. Bewijs van toepassing hardeningsrichtlijn. 21

23 C.03 Vulnerabilityassesments (security scans) worden procesmatig en procedureel uitgevoerd. Dit op de ICT-componenten van de webapplicatie (scope). C.04 Penetratietests worden procesmatig en procedureel, ondersteund door richtlijnen, uitgevoerd op de infrastructuur van de webapplicatie (scope). C.06 In de webapplicatieomgeving zijn signaleringsfuncties (registratie en detectie) actief, efficiënt, effectief en beveiligd ingericht. C.07 De loggings- en detectie-informatie (registraties en alarmeringen) en de condities van de beveiliging van ICT-systemen worden regelmatig gemonitord (bewaakt en geanalyseerd) en de bevindingen gerapporteerd. C.08 Wijzigingenbeheer is procesmatig en procedureel zodanig uitgevoerd dat wijzigingen in de ICT-voorzieningen van webapplicaties tijdig, geautoriseerd en getest worden doorgevoerd. C.09 Patchmanagement is procesmatig en procedureel, ondersteund door richtlijnen, zodanig uitgevoerd dat laatste (beveiligings)patches tijdig zijn geïnstalleerd in de ICTvoorzieningen. Vulnerabilityassessmentrapport, het actieplan naar aanleiding van de vulnerabilityassessment en het statusrapport met betrekking tot de bevindingen. Penetratietestrapport, het actieplan naar aanleiding van de penetratietest en het statusrapport met betrekking tot de bevindingen. Configuratiedocument waarin de alarmsituaties en drempelwaarden in het IDS/IPS staan beschreven, inclusief het genereren van de bijbehorende alerts. Het incidentbeheerproces inclusief de inbedding van alert-afhandeling en de escalatieprocedure. De procedurebeschrijving met betrekking tot de logging, vastlegging van de periodiek review van de logging, periodieke rapportage aan het management en follow-up acties naar aanleiding van de review en analyse van de logging. De wijzigingsprocedure en documentatie over de inrichting van de OTAP-omgeving. Patchmanagementbeleid. 22

24 3.4 Documentstructuur voor structurering DigiD-documentatie De documentenstructuur is een handreiking voor het bewaren van de evidence bij de DigiD-vragenlijst in de ENSIA-tool. Een mogelijke structuur is: Algemeen (evidence die hoort bij vragen voor alle aansluitingen). Aansluiting 1 (evidence bij de vragen per aansluiting, met apart mapje per aansluiting): o Norm: B.05 o Norm: U/TV.01 o Norm: U/WA.02 o Norm: U/WA.03 o Norm: U/WA.04 o Norm: U/WA.05 o Norm: U/PW.02 o Norm: U/PW.05 o Norm: U/PW.07 o Norm: U/NW.03 o Norm: U/NW.04 o Norm: U/NW.05 o Norm: U/NW.06 o Norm: C.03 o Norm: C.04 o Norm: C.06 o Norm: C.07 o Norm: C.08 o Norm: C.09 Aansluiting 2 (eventueel aparte submappen voor de U-groep, C-groep, et cetera.) o Norm: B.05 o Norm: U groep Norm: U/TV.01 Norm: U/WA.02 Norm: U/WA.03 Norm: U/WA.04 Norm: U/WA.05 Norm: U/PW.02 Norm: U/PW.05 Norm: U/PW.07 Norm: U/NW.03 23

25 Norm: U/NW.04 Norm: U/NW.05 Norm: U/NW.06 o Norm: C Norm: C03 Norm: C.04 Norm: C.06 Norm: C.07 Norm: C.08 Norm: C.09 o Norm: groep PM Aansluiting 3. Geef in de mapnamen de referentie van de norm weer, zoals in de titel van de vraag in de ENSIA-tool staat. Mogelijk is een clustering handig. Een voorstel voor clustering is weergegeven onder Aansluiting 2. Voor mapvolgorde is de volgorde aangehouden zoals die van de normen in de vragenlijst. 24

26 3.5 Achtergrond DigiD Met DigiD kunnen burgers online zakendoen met de overheid en organisaties met een publieke taak. DigiD geeft burgers gemakkelijk, betrouwbaar en veilig toegang tot uw digitale dienstverlening. Veel gemeenten maken gebruik van DigiD. Aan het gebruik van DigiD worden eisen gesteld voor de aansluithouders. Eén daarvan is dat alle DigiD gebruikende organisaties hun ICTbeveiliging getoetst dienen te hebben op basis van een ICT-beveiligingsassessment (bron: Brief minister van BZK aan de Tweede Kamer: Lekken in een aantal gemeentelijke websites, d.d. 11 oktober 2011, kenmerk: ). Dit ICT-beveiligingsassessment dient jaarlijks te worden herhaald. Het assessment wordt uitgevoerd op basis van een normenset die is samengesteld door NCSC in overleg met VNG/KING. De normenset gaat in op alle aspecten die van belang zijn bij het vaststellen van veilige informatie-uitwisseling (zie document Norm DigiD assessments DigiD ). De hoofddoelstelling van het verplichte assessment en onderliggende normen is het waarborgen van het vertrouwen van de burger in de elektronische overheidsdienstverlening. Op hoofdlijnen zijn hierbij drie aspecten van belang: a. De beveiliging van een webapplicatie die gebruik maakt van DigiD moet op orde zijn; b. Detectieve maatregelen moeten aanwezig zijn, waarmee misbruik van een eventuele kwetsbaarheid in de webapplicatie wordt gedetecteerd; c. Een toereikende incidentmanagementprocedure dient aanwezig te zijn, waarmee adequaat kan worden gereageerd op een incident en gevolgschade kan worden beperkt. 25