Grip op Secure Software Development (SSD) SIVA Beveiligingseisen. voor (web)applicaties

Maat: px
Weergave met pagina beginnen:

Download "Grip op Secure Software Development (SSD) SIVA Beveiligingseisen. voor (web)applicaties"

Transcriptie

1 Grip op Secure Software Development (SSD) voor (web)applicaties Versie: 1.00 Opdrachtgever A. Reuijl CIP Auteur R. Paans Noordbeek W. Tewarie UWV M. Koers UWV Rapportnummer UWVSSD4-2 Classificatie Publiek CIP-becommentarieerde praktijk Datum 10 januari 2014 Filenaam Grip op SSD Tenzij anders vermeld valt dit werk onder een Creative Commons Naamsvermelding-GelijkDelen 4.0 Internationaal-licentie. 1 van 55

2 Inhoud 1. Inleiding De scope: (Web)applicaties De drie domeinen Comply or Explain De actoren Verantwoordelijkheid van de software leverancier Controle en toezicht, aanpak en verantwoordelijkheden SIVA-syntax voor de beveiligingseisen Beveiligingseisen voor de (web)applicatie Beheersbaarheid en beveiliging van de (web)applicatie SWA-1: beheer SWA-2: Gegevensclassificatie SWA-3: Functiescheiding SWA-4: Least Privilege SWA-5: Onweerlegbaarheid SWA-6: (Web)applicatie logging SWA-7: Borgen van Sessie Authenticiteit SWA-8: Concurrent Session Control SWA-9: Session lock SWA-10: Session termination Identificatie, authenticatie en toegangsbeheersing SWA-11: De identiteit van een externe gebruiker vaststellen SWA-12: De identiteit van een interne gebruiker vaststellen SWA-13: Registreren van Unsuccessful Login Attempts SWA-14: System Use Notification SWA-15: Beheerinterface Veilige invoer en uitvoer SWA-16: Invoer validatie SWA-17: Invoer normalisatie SWA-18: Geparameteriseerde queries SWA-19: File includes SWA-20: Codering van dynamische onderdelen SWA-21: Error handling Beveiligingseisen voor het voortbrengingsproces Het voortbrengingsproces SDW-1: Screening SDW-2: Integriteit van de broncode SDW-3: Wijzigingenbeheer voor (web)applicaties SDW-4: Wijzigingenbeheer voor middleware en platformen SDW-5: Comments OTAP en testen van 55

3 SDW-6: Scheiding in OTAP-omgevingen SDW-7: Transport tussen OTAP-omgevingen SDW-8: Representatieve testsets Beveiligingseisen voor de infrastructuur voor de (web)applicaties Hardware en software instellingen en configuratie SIN-1: Scheiding van Presentatie, Applicatie en Gegevens SIN-2: Netwerkzonering SIN-3: Hardening van technische componenten SIN-4: Standaard stack SIN-5: Beveiliging van Mobile code SIN-6: Data versleuteling SIN-7: Directory listing Veilige HTTP-sessies SIN-8: Gebruik van veilige cookies SIN-9: Sessie versleuteling SIN-10: HTTP validatie SIN-11: Beperking van te versturen HTTP-headers SIN-12: Beperken van te tonen HTTP-header informatie SIN-13: HTTP methoden van 55

4 1. Inleiding Dit document beschrijft een aantal standaard beveiligingseisen die van toepassing zijn bij de ontwikkeling en aanschaf van (web)applicaties De scope: (Web)applicaties Wanneer dit document spreekt over een webapplicatie dan gaat het om een applicatie die bereikbaar is via een webbrowser of via een andere client die ondersteuning biedt voor het Hypertext Transfer Protocol (HTTP). De kern van deze definitie is dat een webapplicatie altijd bereikbaar is op basis van HTTP of de versleutelde vorm hiervan, namelijk HTTP Secure (HTTPS). De scope van deze definitie is door NCSC hieronder aangegeven met een rode lijn om de webhosting omgeving: NCSC afbakening van de webhosting omgeving Client LAN Koppelingen Partners DMZ Server LAN Internet Buitenwereld Webhosting omgeving Reguliere infrastructuur SSD Figuur 1 Ook de bij (web)applicaties behorende infrastructuur, de koppeling met internet, de opslag van de gegevens en de netwerkservices worden in het document beschouwd als een aandachtsgebied. Voorbeelden van componenten, die volgens deze definitie onder de noemer webapplicatie vallen, zijn de Demilitarized Zone (DMZ), internetsites, extranetten, intranetten, SaaS-applicaties, webservices en webapi s. De eisen in dit document richten zich niet alleen op de webapplicaties, maar ook op andere applicaties en de hierboven genoemde componenten van de infrastructuur die van belang zijn voor het functioneren van een (web)applicatie. De beveiligingseisen die gesteld worden aan bijvoorbeeld de rest van de infrastructuur, de werkplek of het personeel wat met het systeem moet werken zijn buiten de scope van dit document. 4 van 55

5 1.2. De drie domeinen Voor de beveiligingseisen wordt de onderstaande driedeling gehanteerd: (Web)applicaties en hun context Domein X Voortbrengingsproces Leveranciersmanagement Diensten Ontwikkeling & Onderhoud Arch Klant bedrijfsprocessen OTAP IA DS FO TO Bouw Test Accep Web applicaties WAARDE Financieel Privacygevoelig Vertrouwelijk IT diensten Applicaties GEGEVENS Klanten en partners van de klant Netwerk Operating Centrum Functioneel & Technisch Beheer AV Infrastructuur Kantoor Automatisering & Mobiel Data DMZ Netwerk (WAN en LAN s) IDS & IPS APP APP MW MW AC AV AC OS OS HW HW Internet Buitenwereld Koppelingen Partners Rekencentra Storage Storage SSD Figuur 2 De beveiligingseisen zijn gegroepeerd als drie voor de leveranciers herkenbare domeinen. Hierbij is rekening worden gehouden met de actors, die de voorgestelde maatregelen daadwerkelijk moeten ontwikkelen en implementeren. De domeinen voor de beveiligingseisen zijn: Beveiligingseisen voor de (web)applicatie (Secure (Web) Applicatie, afgekort SWA): Beheersbaarheid en security van de webapplicatie; Identificatie, authenticatie en toegangsbeheersing; Veilige invoer en uitvoer. Beveiligingseisen voor het voortbrengingsproces (Secure Development (Web)applicatie, afgekort SDW): Het voortbrengingsproces; OTAP en testen. Beveiligingseisen voor de infrastructuur voor de webapplicatie (Secure Infrastructuur, afgekort SIN): Hardware en software instellingen en configuraties; Veilige HTTP-sessies. 5 van 55

6 1.3. Comply or Explain Ten aanzien van de gestelde beveiligingseisen geldt het principe pas toe of leg uit. Een maatregel behorende bij een beveiligingseis is niet van toepassing indien kan worden aangetoond: Op basis van een risicoanalyse, dat de maatregel niet in verhouding staat tot de te maken kosten; Dat eerder geïmplementeerde maatregelen het aan de eis ten grondslag liggende risico tot een acceptabel niveau hebben beperkt. De in dit document beschreven voorgestelde maatregelen zijn een handreiking (best practice) hoe de maatregel ingevuld zou kunnen worden. Afhankelijk van de situatie kunnen mogelijk alternatieve maatregelen beter op hun plaats zijn. De voorgestelde maatregelen zijn daarom op zichzelf geen harde vereiste. 6 van 55

7 1.4. De actoren Bij de beveiligingseisen zijn de volgende rollen omschreven: De opdrachtgever voor een applicatie; De interne of externe software leverancier, die het ontwerp, de ontwikkeling, het testen en vaak ook het implementeren verzorgt; De hostingpartij, die voor de productie en het technisch beheer zorgt; De ontvangende partij, namelijk de gebruikersorganisatie die de applicatie in gebruik neemt en voor het functioneel beheer zorgt Verantwoordelijkheid van de software leverancier De primaire verantwoordelijkheid voor het implementeren van de beschreven eis ligt bij de interne of externe software leverancier. Als onderdeel van de oplevering van een release, die klaar is voor productie, dient deze leverancier te rapporteren over de wijze waarop aan de gestelde eisen is voldaan Controle en toezicht, aanpak en verantwoordelijkheden De controle en toezicht op de werking en implementatie van de gestelde beveiligingseisen is belegd bij de leverancier, de hostingpartij, de ontvangende partij, haar test team en haar security team. Deze controle gebeurt, afhankelijk van de eis, op een van de volgende manieren: Controle door het ontwerp inhoudelijk te reviewen, door de ontvangende partij; Controle door de code inhoudelijke te reviewen, door de leverancier die hierover rapporteert aan de ontvangende partij; Controle van de werking van specifieke functionaliteit, door de ontvangende partij; Controle door te verifiëren of de applicatie kwetsbaar is voor een specifieke aanval, door de leverancier die hierover rapporteert aan de ontvangende partij; Controle door te verifiëren of de configuratie voldoet aan de ontwerpspecificatie, door de leverancier in samenwerking met de hostingpartij; Controle door bij software aangeleverde rapportage te beoordelen, door de ontvangende partij. 7 van 55

8 2. SIVA-syntax voor de beveiligingseisen Per beveiligingsvereiste wordt in de volgende hoofdstukken kort aangegeven wat de onderbouwing voor de eis is en een voorstel voor de te implementeren maatregelen. Bij de beschrijving wordt gebruik gemaakt van het SIVA-raamwerk. Dit bevat vier componenten: Structuur; Inhoud; Vorm; Analyse. De opbouw per beveiligingseis is in de SIVA-syntax, namelijk: SSD-x Doelstelling Maatregelen Referenties Naam Een beschrijving van het mechanisme. Een beschrijving van mogelijk misbruik of schade. De norm, namelijk wie en wat. Het gewenste resultaat, namelijk waarom. De mogelijke maatregelen, namelijk het hoe. Bij de referenties wordt, voor zover relevant, aangegeven waar in de volgende standaarden en richtlijnen additionele informatie is te vinden: NCSC: ICT Beveiligingsrichtlijnen voor webapplicaties, deel 1 en 2, NCSC, januari 2012; NIST: Special Publication SP Recommended Security Controls for Federal Information Systems, NIST; ISO27002: NEN-ISO/IEC Code voor informatiebeveiliging, Voor de relevante referenties kan ook gebruik worden gemaakt van de Baseline Informatiebeveiliging Rijksdienst (BIR). 8 van 55

9 3. Beveiligingseisen voor de (web)applicatie 3.1. Beheersbaarheid en beveiliging van de (web)applicatie SWA-1: beheer SWA-1 beheer beoordelingen identificeren en kwantificeren risico s, en kennen prioriteit toe aan de hand van de criteria voor risicoacceptatie en doelstellingen die relevant zijn voor de organisatie. De resultaten geven richting bij het bepalen van passende managementactie en - prioriteiten voor het beheersen van risico s voor de informatiebeveiliging en voor het implementeren van passende beheersmaatregelen, om tegen deze risico s te beschermen. Zonder risicobeheer loopt de organisatie het risico verkeerde prioriteiten te zetten, waardoor men of te kwetsbaar is of onnodige kosten worden gemaakt doordat men minder dringende maatregelen implementeert. De risicobeoordeling dient te bestaan uit de systematische aanpak van het schatten van de omvang van de risico s (risicoanalyse) en het vergelijkingsproces van de ingeschatte risico s met risicocriteria om zo het belang van de risico s te bepalen (risico-evaluatie). Doelstelling Compliance met dit criterium zorgt dat de organisatie in control is met het overzien en beheersen van de risico s. /01 risicoanalyse /01.01 De opdrachtgever identificeert voor de functionaliteit van de (web)applicatie de dreigingen met hun mogelijke kans van optreden en impact. /01.02 De opdrachtgever identificeert de kwetsbaarheden in de ondersteunde bedrijfsprocessen, de (web)applicaties en de onderliggende infrastructuur. /02 risico-evaluatie /02.01 De opdrachtgever zet prioriteiten bij het tegengaan van de dreigingen op basis van de te verwachten schade per dreiging, rekening houdend met de kwetsbaarheden. /02.02 De opdrachtgever stelt attack patterns op en abuse casuïstiek, die wordt gebruikt voor het testen van de (web)applicatie. /02.03 De opdrachtgever selecteert de minimale verzameling aan te treffen maatregelen om het totale risico onder een vooraf gedefinieerd niveau te brengen. BO van 55

10 SWA-2: Gegevensclassificatie SWA-2 Gegevensclassificatie Verschillende typen gegevens kunnen in meer of mindere mate gevoelig of kritisch zijn. Voor bepaalde typen kan een extra niveau van bescherming of een speciale verwerking nodig zijn. Een gegevensclassificatieschema is nodig om adequate niveaus van bescherming te definiëren en de noodzaak voor aparte verwerkingsmaatregelen te communiceren. Indien gegevens onjuist of niet zijn geclassificeerd, kunnen deze niet op de juiste wijze worden beveiligd. Gegevens dienen te worden geclassificeerd met betrekking tot de waarde, wettelijke eisen, gevoeligheid en onmisbaarheid voor de organisatie. Doelstelling Compliance met dit criterium zorgt dat de gegevens een geschikt niveau van bescherming krijgen. /01 geclassificeerd /01.01 De opdrachtgever specificeert de classificaties en de bijbehorende beschermende beheersmaatregelen voor de verschillende typen gegevens, rekening houdend met de zakelijke behoefte aan het delen van informatie of het beperken ervan en de invloed van deze behoeften op de organisatie. /01.02 De opdrachtgever neemt in de richtlijnen voor classificatie de conventies op voor initiële classificatie en herclassificatie door de tijd heen. /01.03 De eigenaar van de gegevens definieert wat de classificatie is van de gegevens, beoordeelt deze periodiek en houdt deze op het juiste niveau. /01.04 De eigenaar van de gegevens houdt rekening met het feit dat gegevens na verloop van tijd vaak minder gevoelig of kritiek zijn, om overclassificatie tegen te gaan van 55

11 SWA-3: Functiescheiding SWA-3 Functiescheiding Bij het inrichten van functiescheiding wordt vastgesteld of een medewerker besluitvormende, uitvoerende of controlerende taken heeft. Indien noodzakelijk vanuit het bedrijfsproces of beheerproces worden dergelijke taken gesplitst, om risico s voor de organisatie te verminderen. Hierbij wordt tevens vastgesteld welke toegang een medewerker nodig heeft tot functionaliteiten en gegevens en vanuit welke taak of rol die moeten worden gebruikt. Het principe van functiescheiding dient te worden toegepast bij kritische of fraudegevoelige taken, waarbij de uitgevoerde handelingen dienen te worden vastgelegd in een logbestand. Dit dient te zijn uitgewerkt in het functioneel ontwerp en procesontwerp. Het ontbreken van een adequate implementatie van functiescheiding kan leiden tot een verhoogde kans op fraude of misbruik van bedrijfsmiddelen bij kritische of fraudegevoelige taken. Het verstrekken van onnodige toegang vergroot het risico dat informatie opzettelijk of onopzettelijk wordt gebruikt, gewijzigd of vernietigd. De (web)applicatie dient de door de opdrachtgever voorgeschreven functiescheiding af te dwingen door middel van toegekende autorisaties. Doelstelling Compliance met dit criterium zorgt dat een medewerker alleen het aan hem of haar toegewezen deel van de totale procescyclus kan beïnvloeden. /01 functiescheiding /01.01 De opdrachtgever stelt de rollen, taken en verantwoordelijkheden vast, conform de gewenste functiescheidingen om conflicten te vermijden. /01.02 De (web)applicatie richt de autorisaties dusdanig in dat de door de opdrachtgever gespecificeerde functiescheiding wordt geborgd. /02 autorisaties /02.01 De (web)applicatie zorgt dat gebruikers alleen die noodzakelijke autorisaties en privileges hebben die nodig zijn om de hen toegewezen taken uit te voeren. /02.02 De (web)applicatie legt de uitgevoerde handelingen gerelateerd aan kritische of fraudegevoelige taken vast in een logbestand. /02.03 De opdrachtgever zorgt voor het verzamelen van de logrecords over de vastgelegde handelingen en voor analyses en rapportages om compliance met de eigen regelgeving te verifiëren. 11 van 55

12 AC SWA-4: Least Privilege SWA-4 Least Privilege Volgens het principe van Least privilege worden de rechten van gebruikers gelimiteerd tot de minimale set van rechten die nodig zijn om de functie naar behoren uit te voeren. Dit principe is naast de rechten van medewerkers ook van toepassing op applicaties en processen. Als een gebruiker over te hoge rechten beschikt kan daar bedoeld of onbedoeld misbruik van worden gemaakt. Tevens is er een risico dat bij compromittatie van een gebruikersaccount of systeemaccount onnodige schade ontstaat indien dit account over te hoge rechten beschikt. De (web)applicatie dient de door de opdrachtgever voorgeschreven beperkende set van rechten en privileges met alleen de voor de gebruiker noodzakelijke toegang af te dwingen. Doelstelling Compliance met dit criterium zorgt dat een medewerker alleen de aan hem of haar opgelegde specifieke taken kan uitvoeren. /01 rechten en privileges /01.01 De opdrachtgever stelt, op basis van een risicoanalyse, vast welke rechten en privileges worden toegekend aan gebruikers voor de aan hen toegekende rollen. /01.02 De (web)applicatie zorgt via de toekenning van autorisaties dat niet meer dan de toegewezen rechten en privileges beschikbaar komen voor de gebruikers. AC van 55

13 SWA-5: Onweerlegbaarheid SWA-5 Onweerlegbaarheid Voor bepaalde daartoe door de opdrachtgever aangewezen transacties moet onweerlegbaar worden vastgelegd wie deze heeft uitgevoerd, zoals financiële transacties of transacties die bepaalde rechtsgevolgen hebben. Bij de vaststelling van de identiteit van de gebruiker en de onweerlegbaarheid van de transacties wordt een cryptografische techniek gebruikt met een elektronische handtekening. Bij deze vastlegging kan er sprake zijn van het verwerken van persoonsgegevens, waarbij wettelijke verplichtingen in acht dienen te worden genomen. Indien een aangewezen transactie niet onweerlegbaar aan een persoon kan worden gekoppeld, kan die later zijn of haar betrokkenheid ontkennen. De (web)applicatie dient voor daartoe aangewezen transacties de onweerlegbaarheid via cryptografische technieken te ondersteunen en de transacties te loggen en monitoren. Doelstelling Compliance met dit criterium zorgt dat onweerlegbaar wordt vastgelegd welke transacties door welke individuele gebruikers zijn uitgevoerd. /01 aangewezen transacties /01.01 De opdrachtgever bepaalt voor welke typen transacties onweerlegbaarheid nodig is. Denk hierbij onder andere aan het verwerken van financiële, persoonsgerelateerde en andere vertrouwelijke gegevens. /01.02 Tijdens de ontwerpfase worden de aangewezen transacties nader gedefinieerd en wordt bepaald op welke wijze de onweerlegbaarheid wordt geïmplementeerd. /01.03 De (web)applicatie dwingt de onweerlegbaarheid af voor de aangewezen transacties. /02 cryptografische technieken /02.01 De opdrachtgever specificeert welke cryptografische technieken als veilig worden bestempeld voor het borgen van de onweerlegbaarheid. /02.02 De opdrachtgever specificeert op welke wijze het beheer van sleutels en certificaten wordt ingericht voor de gebruikte cryptografische techniek. /02.03 De (web)applicatie gebruikt de voorgeschreven cryptografische techniek voor de aangewezen transacties. /03 loggen en monitoren /03.01 De (web)applicatie legt de aangewezen transacties vast in een logbestand. 13 van 55

14 14 van 55

15 AU SWA-6: (Web)applicatie logging SWA-6 (Web)applicatie logging De handelingen van gebruikers en beheerders op een (web)applicatie moeten worden vastgelegd in een logbestand, zodat later is te reconstrueren wie wat heeft gedaan. Dit geldt met name voor belangrijke transacties van gebruikers, die financiële of andere consequenties kunnen hebben. De opdrachtgever bepaalt welke transacties op welke (web)applicaties moeten worden vastgelegd. Om te voorkomen dat kwaadwillende sporen uitwissen moeten logbestanden zo zijn ingesteld dat deze achteraf niet kunnen worden aangepast. Deze beveiligingseis is essentieel bij reconstructies in relatie tot opgetreden issues of incidenten. De opdrachtgever bepaalt of de loginformatie centraal moet worden opgeslagen, zodat centrale archivering, monitoring en bewaking mogelijk is. Zonder logging kunnen issues of incidenten niet worden onderzocht. De (web)applicatie dient over een door de opdrachtgever gespecificeerd mechanisme voor logging te beschikken en dient het mechanisme en het logbestand adequaat te beveiligen. Doelstelling Compliance met dit criterium zorgt dat activiteiten herleidbaar zijn naar individuele gebruikers en beheerders. /01 logging /01.01 De opdrachtgever bepaalt welke transacties op welke (web)applicaties moeten worden vastgelegd. /01.02 De leverancier legt in de ontwerpdocumentatie vast hoe de logging is ingericht en is beveiligd. /01.03 De (web)applicatie legt de daartoe aangewezen transacties vast in een logbestand. /01.04 Het logbestand is beveiligd tegen wijzigen. /01.05 De hostingpartij koppelt het logbestand aan de centrale opslagvoorziening voor loginformatie, indien zo opgegeven door de opdrachtgever. 15 van 55

16 B7-7 B7-8 IR-4 IR-5 IR-6 IR SWA-7: Borgen van Sessie Authenticiteit SWA-7 Borgen van Sessie Authenticiteit Een sessie tussen de webapplicatie en de gebruiker krijgt een unieke sessie ID. Na het uitloggen van de gebruiker dient de sessie actief te worden beëindigd door de webapplicatie om te voorkomen dat een andere persoon de nog openstaande sessie kan oppakken en hiermee verder kan werken. In dit kader wordt ook aan het sessie ID eisen gesteld, onder andere dat deze onvoorspelbaar is. Hiertoe wordt een nummer gebruikt met voldoende lengte en wordt een volgend sessie ID random gekozen. Als een andere persoon een nog openstaande sessie kan oppakken, geeft dit de mogelijkheid van misbruik van de identiteit van de oorspronkelijke gebruiker. De webapplicatie dient de sessie op een onvoorspelbare wijze te nummeren en actief te beëindigen bij het uitloggen van de gebruiker. Doelstelling Compliance met dit criterium voorkomt misbruik van een nog openstaande sessie, die door de oorspronkelijke gebruiker niet meer wordt gebruikt. /01 onvoorspelbare wijze te nummeren /01.03 Een sessie ID is voldoende sterk, namelijk een lang random nummer, om deze onvoorspelbaar te maken. /02 beëindigen /02.01 De webapplicatie vernietigt actief de sessie bij het uitloggen van een gebruiker. /02.02 De webapplicatie genereert steeds een nieuw random sessie ID bij het inloggen en het opnieuw inloggen van een gebruiker. B4-2 SC van 55

17 SWA-8: Concurrent Session Control SWA-8 Concurrent Session Control (standaard slechts een sessie per gebruiker) Het technisch afdwingen van de mogelijkheid om het aantal gelijktijdige sessies binnen eenzelfde (web)applicatie te beheersen wordt aangeduid als Concurrent Session Control. De opdrachtgever stelt via een functionele analyse, samen met een risicoanalyse, vast of er meer dan een gelijktijdige sessie van een gebruiker nodig is. Indien daar geen noodzaak toe is, kan worden volstaan met het beperken van het aantal tot één gelijktijdige sessie per gebruiker. Het ongecontroleerd toestaan van meerdere gelijktijdige sessies verhoogt de kans op fouten door gebruikers en maakt de logica van de (web)applicaties ingewikkeld, doordat deze logica rekening moet houden met handelingen via meerdere sessies met dezelfde gebruiker. Een (web)applicatie dient te zijn voorzien van Concurrent Session Control, die bij voorkeur slechts één sessie per gebruiker toestaat, tenzij meer noodzakelijk is. Doelstelling Compliance met dit criterium zorgt dat het gebruik van accounts en sessies op een ordelijke wijze verloopt. /01 Concurrent session control /01.01 De opdrachtgever stelt via een functionele analyse, samen met een risicoanalyse in de ontwerpfase, vast of er één, dan wel meer dan een gelijktijdige sessie van een gebruiker nodig is. /01.02 De opdrachtgever legt de argumentatie vast indien er meer dan een sessie per gebruiker nodig blijkt te zijn. /01.03 De (web)applicatie limiteert het aantal gelijktijdige sessies per gebruiker conform de specificatie van de opdrachtgever. AC van 55

18 SWA-9: Session lock SWA-9 Session lock Als een werkstation onbeheerd wordt achtergelaten met of zonder open sessies, kan hiervan misbruik worden gemaakt door andere personen. Een session lock zorgt ervoor dat het werkstation ontoegankelijk wordt gemaakt na een door de opdrachtgever voorgeschreven tijdsinterval van inactiviteit. Veelal gebeurt dit door een screen saver, die alleen met een wachtwoord of via two-factor authenticatie kan worden ontgrendeld. Het werkstation en de daarop geopende sessies worden, nadat de gebruiker het authenticatieproces heeft doorlopen, weer toegankelijk gemaakt zonder verlies van gegevens. Het ontbreken van een session lock kan als gevolg hebben dat het werkstation en de daarop geopende sessies worden misbruikt. Het werkstation dient te zijn voorzien van automatische session lock. Doelstelling Compliance met dit criterium zorgt dat een werkstation slechts gedurende een beperkte tijd onbeheerd toegankelijk is voor andere personen als de gebruiker het werkstation onbeheerd heeft achtergelaten. /01 automatische session lock /01.01 Het werkstation activeert automatisch een session lock na een door de opdrachtgever voorgeschreven tijdsinterval van inactiviteit. /01.02 De session lock op het werkstation kan alleen worden ontgrendeld door de geautoriseerde gebruiker, via een wachtwoord of two-factor authenticatie. /01.03 Het werkstation en de daarop geopende sessies worden, na ontgrendeling van de session lock, weer toegankelijk gemaakt zonder verlies van gegevens. AC van 55

19 SWA-10: Session termination SWA-10 Session termination Als een sessie met een (web)applicatie onbeheerd wordt achtergelaten door de gebruiker, kan hiervan misbruik worden gemaakt door andere personen. Session termination zorgt ervoor dat de sessie wordt beëindigd na een door de opdrachtgever voorgeschreven tijdsinterval van inactiviteit. Het ontbreken van een session termination kan als gevolg hebben dat de reeds geopende sessie door een kwaadwillende wordt misbruikt. De (web)applicatie dient een sessie te beëindigen via automatische session termination, na een vooringestelde periode van inactiviteit van de gebruiker. Doelstelling Compliance met dit criterium zorgt dat een sessie slechts gedurende een beperkte tijd onbeheerd toegankelijk is voor andere personen, nadat de gebruiker de sessie onbeheerd heeft achtergelaten. /01 automatische session termination /01.01 De (web)applicatie activeert automatisch session termination na een door de opdrachtgever voorgeschreven tijdsinterval van inactiviteit. /01.02 Session termination komt overeen met het uitloggen van de gebruiker en de (web)applicatie vernietigt daarbij dienovereenkomstig de sessie. AC van 55

20 3.2. Identificatie, authenticatie en toegangsbeheersing SWA-11: De identiteit van een externe gebruiker vaststellen SWA-11 De identiteit van een externe gebruiker vaststellen De opdrachtgever levert elektronische diensten aan externe gebruikers. De toegangsvoorziening tot deze diensten is gebaseerd op strikte beveiligingseisen. Zo wordt de identiteit van een externe gebruiker vastgesteld met behulp van een bewezen, door de opdrachtgever daarvoor aangewezen mechanisme voor (wederzijdse) identificatie, authenticatie en autorisaties. Uitsluitend in overleg met de opdrachtgever mag hiervan worden afgeweken. Het risico is misbruik van identiteit. De gevolgen kunnen zijn ongeautoriseerde onthulling van informatie, ongeautoriseerde modificatie of onterechte invoer van transacties uit naam van valide gebruikers. (Web)applicaties en informatiesystemen dienen de identiteit van externe gebruikers vast te stellen op basis van een mechanisme voor identificatie en authenticatie. Doelstelling Compliance met dit criterium zorgt dat ongeautoriseerde externe toegang tot (web)applicaties wordt voorkomen. /01 externe gebruikers /01.01 Externe gebruikers zijn geregistreerde gebruikers, die niet aansluiten via het interne netwerk of de kantoorautomatisering. /01.02 De externe gebruiker wordt alleen op basis van het door de opdrachtgever vastgestelde wijze geïdentificeerd, geauthenticeerd en geautoriseerd op basis van externe rollen. /02 mechanisme voor identificatie en authenticatie /02.01 De opdrachtgever stelt vast welk mechanisme moet worden gebruikt voor de identificatie en authenticatie van externe gebruikers, conform de door haar vastgestelde authenticator eisen. /02.02 De opdrachtgever geeft aan, op basis van haar beleid, als het gebruik van two-factor authenticatie via DigiD en SMS nodig is. /02.03 De (web)applicatie maakt uitsluitend gebruik van de door het opdrachtgever gespecificeerde mechanisme voor identificatie en authenticatie. B0-12 B3-2 IA-1 IA van 55

21 SWA-12: De identiteit van een interne gebruiker vaststellen SWA-12 De identiteit van een interne gebruiker vaststellen De opdrachtgever levert elektronische diensten aan de interne gebruikers. De toegangsvoorziening tot deze diensten is gebaseerd op strikte beveiligingseisen. Zo wordt de identiteit van een interne gebruiker vastgesteld met behulp van een bewezen, door de opdrachtgever daarvoor aangewezen mechanisme voor (wederzijdse) identificatie, authenticatie, autorisaties en rollen. Uitsluitend in overleg met de opdrachtgever mag hiervan worden afgeweken. Het ontbreken van adequate aanpak voor identificatie en authenticatie kan leiden tot ongeautoriseerde onthulling of mutatie van privacygevoelige informatie. Daarnaast dient te worden voorkomen dat kwaadwillende transacties uit naam van valide gebruikers uitvoeren. (Web)applicaties en informatiesystemen dienen de identiteit van interne gebruikers vast te stellen op basis van een mechanisme voor identificatie en authenticatie. Doelstelling Compliance met dit criterium zorgt dat ongeautoriseerde toegang door interne gebruikers tot (web)applicaties wordt voorkomen. /01 interne gebruikers /01.01 Interne gebruikers zijn geregistreerde gebruikers, die aansluiten via het interne netwerk, de kantoorautomatisering of via faciliteiten voor mobiel werken. /01.02 De interne gebruiker wordt alleen op basis van een door de opdrachtgever vastgestelde wijze geïdentificeerd, geauthenticeerd en geautoriseerd op basis van rollen of functieprofielen. /02 mechanisme voor identificatie en authenticatie /02.01 Het door de opdrachtgever voorgeschreven toegangsmechanisme omvat Identity en Access Management, rollenbeheer en een technische implementatie, zoals gebruik van de Active Directory. Afhankelijk van de gebruikte techniek kan dit ook omvatten het runtime verifiëren van autorisaties op basis van een autorisatietabel, het wel of niet gebruik maken van (delen van) de (web)applicatie etc. /02.02 De (web)applicatie maakt uitsluitend gebruik van het door de opdrachtgever gespecificeerde mechanisme voor identificatie en authenticatie, waarbij tevens het beleid van de opdrachtgever voor wachtwoorden en accounts wordt gevolgd. B0-12 B3-2 IA-1 IA van 55

UWV Security SSD Instructies

UWV Security SSD Instructies UWV Security SSD Instructies BESTEMD VOOR : Patrick van Grevenbroek AUTEUR(S) : Gabriele Biondo / T. Uding (vertaling) VERSIE : 1.0 DATUM : 20-03-2014 HISTORIE Datum Auteur(s) Omschrijving 20/03/2014 Gabriele

Nadere informatie

Help! Mijn website is kwetsbaar voor SQL-injectie

Help! Mijn website is kwetsbaar voor SQL-injectie Help! Mijn website is kwetsbaar voor SQL-injectie Controleer uw website en tref maatregelen Factsheet FS-2014-05 versie 1.0 9 oktober 2014 SQL-injectie is een populaire en veel toegepaste aanval op websites

Nadere informatie

DIGID-AUDIT BIJ ZORGPORTAAL RIJNMOND

DIGID-AUDIT BIJ ZORGPORTAAL RIJNMOND DIGID-AUDIT BIJ ZORGPORTAAL RIJNMOND SAFEHARBOUR Audit en Security ISO 27001/ NEN7510 implementatie Projectadvies Risicoanalyses Zorg en overheden @djakoot @safeharbour_nl WAAROM DIGID-AUDIT? DAAROM DIGID-AUDIT

Nadere informatie

Software Test Plan. Yannick Verschueren

Software Test Plan. Yannick Verschueren Software Test Plan Yannick Verschueren November 2014 Document geschiedenis Versie Datum Auteur/co-auteur Beschrijving 1 November 2014 Yannick Verschueren Eerste versie 1 Inhoudstafel 1 Introductie 3 1.1

Nadere informatie

Beveiligingsbeleid Stichting Kennisnet

Beveiligingsbeleid Stichting Kennisnet Beveiligingsbeleid Stichting Kennisnet AAN VAN Jerry van de Leur (Security Officer) DATUM ONDERWERP Disclaimer: Kennisnet geeft geen enkele garantie, met betrekking tot de geschiktheid voor een specifiek

Nadere informatie

Norm ICT-beveiligingsassessments DigiD

Norm ICT-beveiligingsassessments DigiD Norm ICT-beveiligingsassessments DigiD Versie 1.0 Datum 21 februari 2012 Status Definitief Colofon Projectnaam DigiD Versienummer 1.0 Contactpersoon Servicecentrum Logius Organisatie Logius Postbus 96810

Nadere informatie

Centrum Informatiebeveiliging en Privacybescherming Grip op Secure Software Development

Centrum Informatiebeveiliging en Privacybescherming Grip op Secure Software Development Centrum Informatiebeveiliging en Privacybescherming Grip op Secure Software Development Veilige software door marktbrede samenwerking Ad Reuijl Sogeti 23 juni 2015 CIP: Centrum voor Informatiebeveiliging

Nadere informatie

Checklist beveiliging webapplicaties

Checklist beveiliging webapplicaties Versie 1.02-5 oktober 2011 Factsheet FS 2011-08 Checklist beveiliging webapplicaties De beveiliging van webapplicaties staat de laatste maanden sterk in de belangstelling. Diverse incidenten op dit gebied

Nadere informatie

Factsheet Penetratietest Infrastructuur

Factsheet Penetratietest Infrastructuur Factsheet Penetratietest Infrastructuur Since the proof of the pudding is in the eating DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl

Nadere informatie

Keuzedeel mbo. Veilig programmeren. gekoppeld aan één of meerdere kwalificaties mbo. Code

Keuzedeel mbo. Veilig programmeren. gekoppeld aan één of meerdere kwalificaties mbo. Code Keuzedeel mbo Veilig programmeren gekoppeld aan één of meerdere kwalificaties mbo Code Penvoerder: Sectorkamer ICT en creatieve industrie Gevalideerd door: Sectorkamer ICT en creatieve industrie Op: 12-04-2016

Nadere informatie

Handreiking DigiD ICT-beveiligingsassessment voor RE's Tabel beveiligingsrichtlijnen met aandachtspunten

Handreiking DigiD ICT-beveiligingsassessment voor RE's Tabel beveiligingsrichtlijnen met aandachtspunten Bijlage 1 Versie 2015 Handreiking DigiD ICT-beveiligingsassessment voor RE's Tabel beveiligingsrichtlijnen met aandachtspunten Het doel van deze tabel is de IT-auditor een handreiking te verstrekken ten

Nadere informatie

Security web services

Security web services Security web services Inleiding Tegenwoordig zijn er allerlei applicaties te benaderen via het internet. Voor bedrijven zorgt dit dat zei de klanten snel kunnen benaderen en aanpassingen voor iedereen

Nadere informatie

Privacy Verklaring versie 01-10-2015

Privacy Verklaring versie 01-10-2015 Privacy Verklaring versie 01-10-2015 1. Algemene bepalingen inzake gegevensverwerking 1.1. Met gegevensverwerking wordt het verzamelen, vastleggen, arrangeren, bewaren, wijzigen, openbaar maken, overleggen,

Nadere informatie

Deelplan IC ICT-omgeving 2015 Gemeente Lingewaard

Deelplan IC ICT-omgeving 2015 Gemeente Lingewaard Deelplan IC ICT-omgeving 2015 Gemeente Lingewaard Pagina 1 van 6 Inhoudsopgave 1. Aanleiding 3 2. Structureel / incidenteel 3 3. Opdrachtgever 3 4. Opdrachtnemer 3 5. Relevante wet- en regelgeving 3 6.

Nadere informatie

Secure Application Roles

Secure Application Roles Secure Application Roles Beheer de toegang tot de database 1. Inleiding Het realiseren van geautoriseerde toegang tot een database lijkt eenvoudig. Echter, vaak blijkt dat dezelfde combinatie van gebruikersnaam

Nadere informatie

Plan van Aanpak beschikbaar stellen broncode Basisregistratie Personen (BRP)

Plan van Aanpak beschikbaar stellen broncode Basisregistratie Personen (BRP) Plan van Aanpak beschikbaar stellen broncode Basisregistratie Personen (BRP) Samenvatting De minister van Binnenlandse Zaken en Koninkrijksrelaties (BZK) heeft in de Tweede Kamer toegezegd de broncode

Nadere informatie

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers Bijlage 1 bij de Bewerkersovereenkomst Noordhoff Uitgevers Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers Noordhoff Uitgevers is een educatieve uitgeverij die verschillende

Nadere informatie

WEBAPPLICATIE-SCAN. Kiezen op Afstand

WEBAPPLICATIE-SCAN. Kiezen op Afstand WEBAPPLICATIE-SCAN Kiezen op Afstand Datum : 1 september 2006 INHOUDSOPGAVE 1 t Y1anagementsamen"'v atting 2 2 Inleiding 3 2.1 Doelstelling en scope ".".. " " " ".".3 2.2 Beschrijving scanproces.. """

Nadere informatie

Checklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument

Checklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument Checklist NEN7510 Eén van de eerste stappen van het gestructureerd verbeteren van informatiebeveiliging en het implementeren van de NEN7510 omvat het bepalen van de status van de naleving van de NEN7510.

Nadere informatie

ISSX, Experts in IT Security. Wat is een penetratietest?

ISSX, Experts in IT Security. Wat is een penetratietest? De Stuwdam 14/B, 3815 KM Amersfoort Tel: +31 33 4779529, Email: info@issx.nl Aanval- en penetratietest U heeft beveiligingstechnieken geïnstalleerd zoals Firewalls, Intrusion detection/protection, en encryptie

Nadere informatie

SURFconext Cookbook. Het koppelen van Alfresco aan SURFconext. Versie: 1.0. Datum: 8 december 2013. 030-2 305 305 admin@surfnet.nl www.surfnet.

SURFconext Cookbook. Het koppelen van Alfresco aan SURFconext. Versie: 1.0. Datum: 8 december 2013. 030-2 305 305 admin@surfnet.nl www.surfnet. SURFconext Cookbook Het koppelen van Alfresco aan SURFconext Auteur(s): Frank Niesten Versie: 1.0 Datum: 8 december 2013 Radboudkwartier 273 3511 CK Utrecht Postbus 19035 3501 DA Utrecht 030-2 305 305

Nadere informatie

Factsheet Penetratietest Webapplicaties

Factsheet Penetratietest Webapplicaties Factsheet Penetratietest Webapplicaties Since the proof of the pudding is in the eating DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl

Nadere informatie

Beknopte dienstbeschrijving beveiligen van Webapplicaties m.b.v. digitale certificaten en PKI

Beknopte dienstbeschrijving beveiligen van Webapplicaties m.b.v. digitale certificaten en PKI Beknopte dienstbeschrijving beveiligen van Webapplicaties m.b.v. digitale certificaten en PKI Document: Beknopte dienstbeschrijving beveiligen van Webapplicaties Versie: maart 2002 mei 2002 Beknopte dienstbeschrijving

Nadere informatie

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid Unit : Bedrijfsvoering Auteur : Annemarie Arnaud de Calavon : : Datum : 17-11-2008 vastgesteld door het CvB Bestandsnaam : 20081005 - Informatiebeveiliging beleid v Inhoudsopgave 1 INLEIDING... 3 1.1 AANLEIDING...

Nadere informatie

Grip op Secure Software Development

Grip op Secure Software Development Titel Grip op Secure Software Development De opdrachtgever aan het stuur Marcel Koers 27 mei 2014 Grip op Secure Software Development 1 CIP: Netwerkorganisatie Kennispartners Participanten Vaste kern DG

Nadere informatie

Remote Toegang Policy VICnet/SPITS

Remote Toegang Policy VICnet/SPITS Ministerie van Verkeer en Waterstaat opq Rijkswaterstaat Remote Toegang Policy VICnet/SPITS 16 Februari 2005 Eindverantwoordelijkheid Goedgekeurd Naam Datum Paraaf Security Manager SPITS E.A. van Buuren

Nadere informatie

AFO 142 Titel Aanwinsten Geschiedenis

AFO 142 Titel Aanwinsten Geschiedenis AFO 142 Titel Aanwinsten Geschiedenis 142.1 Inleiding Titel Aanwinsten Geschiedenis wordt gebruikt om toevoegingen en verwijderingen van bepaalde locaties door te geven aan een centrale catalogus instantie.

Nadere informatie

Testnet Presentatie Websecurity Testen "Hack Me, Test Me" 1

Testnet Presentatie Websecurity Testen Hack Me, Test Me 1 Testnet Voorjaarsevenement 05 April 2006 Hack Me, Test Me Websecurity test onmisbaar voor testanalist en testmanager Edwin van Vliet Yacht Test Expertise Center Hack me, Test me Websecurity test, onmisbaar

Nadere informatie

Team Werknemers Pensioen

Team Werknemers Pensioen Team Werknemers Pensioen 1 Implementatie pensioenregeling Uitgangspunt Implementatie en communicatie in overleg met ADP en adviseurs Vaste onderdelen van implementatie Opvoeren pensioenregeling ADP in

Nadere informatie

Privacy Policy v Stone Internet Services bvba

Privacy Policy v Stone Internet Services bvba Privacy Policy v09.16 Stone Internet Services bvba Stone Internet Services Privacy Policy Dit document heeft als doel te beschrijven hoe Stone Internet Services bvba omgaat met het opslaan en beheren van

Nadere informatie

Cliënten handleiding PwC Client Portal

Cliënten handleiding PwC Client Portal Cliënten handleiding PwC Client Portal Mei 2011 (1) 1. Portal van de cliënt Deze beschrijving gaat ervan uit dat u beschikt over inloggegevens voor de portal en over de url van de portal website. Als u

Nadere informatie

Norm 1.3 Beveiligingsplan

Norm 1.3 Beveiligingsplan Beantwoording vragen zelftest Suwinet oktober 2014 Norm 1.3 Beveiligingsplan De Inspectie SZW beschrijft norm 1.3 als volgt: De gemeente heeft een formeel vastgesteld beveiligingsbeleid en -plan. Het Beveiligingsplan

Nadere informatie

Gelijkwaardigheid van niet-geaccrediteerde laboratoria (conform NEN-EN ISO/IEC 17025)

Gelijkwaardigheid van niet-geaccrediteerde laboratoria (conform NEN-EN ISO/IEC 17025) Gelijkwaardigheid van niet-geaccrediteerde laboratoria (conform NEN-EN ISO/IEC 17025) NEa, 20-07-2012, versie 1.0 INTRODUCTIE In artikel 34 van de Monitoring en Rapportage Verordening (MRV) is beschreven

Nadere informatie

Welkom bij parallellijn 1 On the Move 14.20 15.10 uur

Welkom bij parallellijn 1 On the Move 14.20 15.10 uur Welkom bij parallellijn 1 On the Move 14.20 15.10 uur Stap 4 van de BIG Hoe stel ik vast of de informatiebeveiligingsmaatregelen van mijn gemeente effectief zijn en hoe rapporteer ik hierover? 1 IBD-Praktijkdag

Nadere informatie

HDN POORTWACHTER HANDLEIDING WEBAPPLICATIE

HDN POORTWACHTER HANDLEIDING WEBAPPLICATIE HDN POORTWACHTER HANDLEIDING WEBAPPLICATIE HDN Helpdesk T: 0182 750 585 F: 0182 750 589 M: helpdesk@hdn.nl Copyright Communications Security Net B.V. Inhoudsopgave 1 ALGEMENE BESCHRIJVING... 3 1.1 DOEL

Nadere informatie

Overzicht Informatiebeveiliging Inlichtingenbureau GGK

Overzicht Informatiebeveiliging Inlichtingenbureau GGK Overzicht Informatiebeveiliging Inlichtingenbureau GGK Versie 1.3 Datum November 2014 A) IB-beleid en plan 1) Gegevens: Zorg ervoor dat een bewerkersovereenkomst wordt afgesloten met nadruk op de volgende

Nadere informatie

15 July 2014. Betaalopdrachten web applicatie gebruikers handleiding

15 July 2014. Betaalopdrachten web applicatie gebruikers handleiding Betaalopdrachten web applicatie gebruikers handleiding 1 Overzicht Steeds vaker komen we de term web applicatie tegen bij software ontwikkeling. Een web applicatie is een programma dat online op een webserver

Nadere informatie

Het College van burgemeester en wethouders van de gemeente Winsum, gelet op artikel 14 van de Wet gemeentelijke basisadministratie persoonsgegevens;

Het College van burgemeester en wethouders van de gemeente Winsum, gelet op artikel 14 van de Wet gemeentelijke basisadministratie persoonsgegevens; Het College van burgemeester en wethouders van de gemeente Winsum, gelet op artikel 14 van de Wet gemeentelijke basisadministratie persoonsgegevens; besluit vast te stellen de navolgende Beheerregeling

Nadere informatie

Gebruikershandleiding. StUF Testplatform Versie 1.3.0

Gebruikershandleiding. StUF Testplatform Versie 1.3.0 Gebruikershandleiding StUF Testplatform Versie 1.3.0 Documentversie: 0.7 Datum 25 november 2014 Status In gebruik Inhoudsopgave 1 INLEIDING...3 2 GEBRUIK MAKEN VAN HET STUF TESTPLATFORM...4 2.1 INLOGGEN

Nadere informatie

Beveiligingsbeleid Perflectie. Architectuur & Procedures

Beveiligingsbeleid Perflectie. Architectuur & Procedures Beveiligingsbeleid Perflectie Architectuur & Procedures 30 november 2015 Versiebeheer Naam Functie Datum Versie Dimitri Tholen Software Architect 12 december 2014 0.1 Dimitri Tholen Software Architect

Nadere informatie

Whitepaper. Veilig de cloud in. Whitepaper over het gebruik van Cloud-diensten deel 1. www.traxion.com

Whitepaper. Veilig de cloud in. Whitepaper over het gebruik van Cloud-diensten deel 1. www.traxion.com Veilig de cloud in Whitepaper over het gebruik van Cloud-diensten deel 1 www.traxion.com Introductie Deze whitepaper beschrijft de integratie aspecten van clouddiensten. Wat wij merken is dat veel organisaties

Nadere informatie

vergaderen voor systeembeheerders en hosts Cisco WebEx Optimale werkwijzen voor veilig Overzicht van WebEx-privacy WebExsitebeheer Functie Voordelen

vergaderen voor systeembeheerders en hosts Cisco WebEx Optimale werkwijzen voor veilig Overzicht van WebEx-privacy WebExsitebeheer Functie Voordelen Overzicht van WebEx-privacy Met online WebEx-oplossingen van Cisco kunnen medewerkers en virtuele teams van over de hele wereld in realtime samenkomen en met elkaar samenwerken alsof ze zich in dezelfde

Nadere informatie

Software Test Plan. Yannick Verschueren

Software Test Plan. Yannick Verschueren Software Test Plan Yannick Verschueren Maart 2015 Document geschiedenis Versie Datum Auteur/co-auteur Beschrijving 1 November 2014 Yannick Verschueren Eerste versie 2 December 2014 Yannick Verschueren

Nadere informatie

Software Requirements Specification

Software Requirements Specification Software Requirements Specification PEN: Paper Exchange Network Software Engineering groep 1 (se1-1415) Academiejaar 2014-2015 Jens Nevens - Sander Lenaerts - Nassim Versbraegen Jo De Neve - Jasper Bevernage

Nadere informatie

HANDLEIDING DOMEINREGISTRATIE EN DNS- BEHEER

HANDLEIDING DOMEINREGISTRATIE EN DNS- BEHEER HANDLEIDING DOMEINREGISTRATIE EN DNS- BEHEER versie 2.0, 11 december 2009 SURFNET BV, RADBOUDKWARTIER 273, POSTBUS 19035, 3501 DA UTRECHT T +31 302 305 305, F +31 302 305 329, WWW.SURFNET. NL INHOUD 1.

Nadere informatie

Zest Application Professionals Training &Workshops

Zest Application Professionals Training &Workshops Het in kaart krijgen van kwetsbaarheden in Websites & Applicaties en hoe deze eenvoudig te voorkomen zijn, wordt in Applicatie Assessments aangetoond en in een praktische Workshop behandelt. U doet hands-on

Nadere informatie

Bijlage Risicoanalyse steekproeftrekking

Bijlage Risicoanalyse steekproeftrekking Bijlage Risicoanalyse steekproeftrekking Versie: 2.0 Datum: 15-09-2013 Code: BIJ 02.01 Eigenaar: KI 1. Risicoanalyse voor de steekproeftrekking De eerste stap in de uitvoering van de steekproeftrekking

Nadere informatie

Onderzoeksverslag Beveiliging

Onderzoeksverslag Beveiliging Onderzoeksverslag Beveiliging Project 3 TI1B - Mohamed, Ruben en Adam. Versie 1.0 / 29 maart 2016 Pagina 1 Inhoud 1. INLEIDING... 3 2. VEILIGHEID EISEN... 3 3. SOFTWARE... FOUT! BLADWIJZER NIET GEDEFINIEERD.

Nadere informatie

Verbeterplan Suwinet

Verbeterplan Suwinet Verbeterplan Suwinet Inhoudsopgave 1. Aanleiding... 3 2. Verbeterpunten Suwinet... 4 2.1 Informatiebeveiligingsbeleid... 4 2.2 Uitdragen van het beleid... 4 2.3 Functiescheiding... 4 2.4 Security Officer...

Nadere informatie

PRIVACY. Welke informatie vergaart de applicatie en hoe wordt het gebruikt?

PRIVACY. Welke informatie vergaart de applicatie en hoe wordt het gebruikt? PRIVACY EN GEBRUIKSVOORWAARDEN Het in dit document bepaalde is van toepassing op uw gebruik van de software applicatie ProjeQtive Scan voor mobiele apparaten die is gemaakt door ProjeQtive BV. De applicatie

Nadere informatie

Gebruikershandleiding ZorgInfo Verstrekkingen Portaal (VP)

Gebruikershandleiding ZorgInfo Verstrekkingen Portaal (VP) Gebruikershandleiding ZorgInfo Verstrekkingen Portaal (VP) Gebruikershandleiding depothouder 2.0.docx 29-12-14 1 van 16 Inleiding Het ZorgInfo Verstrekkingen Portaal (VP) is een internetapplicatie waarmee

Nadere informatie

Koppelvlakspecificatie CGI - DigiD

Koppelvlakspecificatie CGI - DigiD Koppelvlakspecificatie CGI - DigiD Versie 2.3 Datum 17 december 2013 Colofon Projectnaam DigiD Versienummer 2.3 Organisatie Logius Postbus 96810 2509 JE Den Haag T 0900 555 4555 (10 ct p/m) servicecentrum@logius.nl

Nadere informatie

1 Inleiding. 3 Handmatig... invoeren zaken basis 4 Verwerken... zaken 5 Afhandelen... van zaken. 7 Uitgebreidere... zaak opties

1 Inleiding. 3 Handmatig... invoeren zaken basis 4 Verwerken... zaken 5 Afhandelen... van zaken. 7 Uitgebreidere... zaak opties 2 Supportdesk Pro Introductie Inhoudsopgave I Supportdesk Pro 3 1 Inleiding... 3 2 Werkwijze... 3 II Zaken 4 1 Introductie... 4 2 Zaken beheren... 4 3 Handmatig... invoeren zaken basis 4 4 Verwerken...

Nadere informatie

Handleiding voor beheerders

Handleiding voor beheerders December 2015 Postbus 19196 3001 BD Rotterdam Bezoekadres Kruisplein 25 3014 DB Rotterdam T 010-2066556 F 010 2130384 info@kennisid.nl Inhoudsopgave 1. Inleiding... 1 1.1 Wat is... 1 1.2 Wat is een profiel...

Nadere informatie

NORA werkdocument. Katern Beveiliging. In 3 klikken naar bouwstenen voor invulling van de eisen. Sessie 6. Bijgewerkt op 23 aug.

NORA werkdocument. Katern Beveiliging. In 3 klikken naar bouwstenen voor invulling van de eisen. Sessie 6. Bijgewerkt op 23 aug. NORA werkdocument Sessie 6 In 3 klikken naar bouwstenen voor invulling van de eisen Katern Beveiliging Bijgewerkt op 23 aug. 2013 katern Beveiliging Jaap van der Veen Essentie Sessie 6 1. Opzet digitaal

Nadere informatie

Grip op Secure Software Development de rol van de tester

Grip op Secure Software Development de rol van de tester Grip op Secure Software Development de rol van de tester Rob van der Veer / Arjan Janssen Testnet 14 oktober 2015 Even voorstellen.. Arjan Janssen Directeur P&O DKTP a.janssen@dktp.nl DKTP is gespecialiseerd

Nadere informatie

PRIVACY REGLEMENT PERCURIS

PRIVACY REGLEMENT PERCURIS PRIVACY REGLEMENT PERCURIS Inleiding. Van alle personen die door Percuris, of namens Percuris optredende derden, worden begeleid -dat wil zeggen geïntervenieerd, getest, gere-integreerd, geadviseerd en

Nadere informatie

Jacques Herman 21 februari 2013

Jacques Herman 21 februari 2013 KING bijeenkomst Audit- en Pentestpartijen Toelichting op de DigiD Rapportage template en de NOREA Handreiking DigiD ICT-beveiligingsassessments Jacques Herman 21 februari 2013 Samenvatting van de regeling

Nadere informatie

DMZ Policy. Eindverantwoordelijkheid Goedgekeurd. 16 Februari 2005. Geaccepteerd Manager SPITS. Security Manager SPITS E.A. van Buuren.

DMZ Policy. Eindverantwoordelijkheid Goedgekeurd. 16 Februari 2005. Geaccepteerd Manager SPITS. Security Manager SPITS E.A. van Buuren. Ministerie van Verkeer en Waterstaat opq Rijkswaterstaat DMZ Policy 16 Februari 2005 Eindverantwoordelijkheid Goedgekeurd Naam Datum Paraaf Security Manager SPITS E.A. van Buuren Geaccepteerd Manager SPITS

Nadere informatie

Gemeente Alphen aan den Rijn

Gemeente Alphen aan den Rijn Informatiebeveiligingsbeleid (t.b.v. ICT Forum Lokale Overheid) Van een Informatiebeveiligingsbeleid naar de dagelijkse praktijk Maart 2016, afdeling I&A Informatiebeveiligingsbeleid Informatiebeveiligingsbeleid

Nadere informatie

Berry Kok. Navara Risk Advisory

Berry Kok. Navara Risk Advisory Berry Kok Navara Risk Advisory Topics Informatiebeveiliging in het nieuws Annual Benchmark on Patient Privacy & Data Security Informatiebeveiliging in de zorg Extra uitdaging: mobiel Informatiebeveiliging

Nadere informatie

Darts. Versie 1.21 23 september 2010 Reinier Vos. CS Engineering Brugweg 56 Postbus 235 2740 AE Waddinxveen

Darts. Versie 1.21 23 september 2010 Reinier Vos. CS Engineering Brugweg 56 Postbus 235 2740 AE Waddinxveen Darts Versie 1.21 23 september 2010 Reinier Vos CS Engineering Brugweg 56 Postbus 235 2740 AE Waddinxveen Inhoud HOOFDSTUK 1 - INLEIDING... 3 1.1 DOEL VAN DIT DOCUMENT... 3 1.2 DOELGROEP VOOR DIT DOCUMENT...

Nadere informatie

Standaardbestek 270. Telematica security DEEL II. Hoofdstuk 48d

Standaardbestek 270. Telematica security DEEL II. Hoofdstuk 48d Standaardbestek 270 DEEL II Hoofdstuk 48d Telematica security INHOUDSOPGAVE 1. Scope... 2 1. ICT- en informatiebeveiligingsbeleid... 2 2. Specifieke beveiligingsmaatregelen... 2 2.1. Toepassingen... 2

Nadere informatie

Privacy & Security Statement / Werkend Nederland BV. Werken met Persoonsgegevens

Privacy & Security Statement / Werkend Nederland BV. Werken met Persoonsgegevens Privacy & Security Statement / Werkend Nederland BV Inleiding Werkend Nederland werkt met persoonsgegevens. We zijn ons hiervan bewust en gaan integer om met uw gegevens. In dit document kunt u lezen hoe

Nadere informatie

Deze privacy policy is van toepassing op de verwerking van persoonsgegevens van gebruikers van de websites en apps van McDiver.

Deze privacy policy is van toepassing op de verwerking van persoonsgegevens van gebruikers van de websites en apps van McDiver. Privacy Policy Wij respecteren jouw privacy. Jouw gegevens worden niet ongevraagd met derden gedeeld en je kunt zelf beslissen welke gegevens je wel of juist niet online wilt delen. Benieuwd naar alle

Nadere informatie

Handreiking DigiD ICT-beveiligingsassessment voor RE's

Handreiking DigiD ICT-beveiligingsassessment voor RE's Bijlage 1 Handreiking DigiD ICT-beveiligingsassessment voor RE's Het doel van deze tabel is de IT-auditor een handreiking te verstrekken ten aanzien van het toepasingsgebied, de scope en een testaanpak,

Nadere informatie

PRIVACYREGLEMENT PUBLIEKE XS-KEYS behorend bij XS-Key Systeem van Secure Logistics BV

PRIVACYREGLEMENT PUBLIEKE XS-KEYS behorend bij XS-Key Systeem van Secure Logistics BV PRIVACYREGLEMENT PUBLIEKE XS-KEYS behorend bij XS-Key Systeem van Secure Logistics BV Artikel 1. Definities In dit privacy reglement worden de volgende niet-standaard definities gebruikt: 1.1 XS-Key De

Nadere informatie

Digitale Communicatie. Gedragscode voor internet- en e-mailgebruik

Digitale Communicatie. Gedragscode voor internet- en e-mailgebruik Digitale Communicatie Gedragscode voor internet- en e-mailgebruik Gedragscode internet- en e-mailgebruik Deze gedragscode omvat gedrags- en gebruiksregels voor het gebruik van internet- en e-mail op de

Nadere informatie

privacy statement WerkvoorWerk.nl Privacy Statement aandachtig door te nemen. De schuin geschreven gebruiksvoorwaarden van WerkvoorWerk.nl.

privacy statement WerkvoorWerk.nl Privacy Statement aandachtig door te nemen. De schuin geschreven gebruiksvoorwaarden van WerkvoorWerk.nl. privacy statement WerkvoorWerk.nl WerkvoorWerk.nl neemt de privacy van haar gebruikers zeer serieus en zal informatie over u op een veilige manier verwerken en gebruiken. In dit document wordt het Privacy

Nadere informatie

GEBRUIKERSVOORWAARDEN THE JOBCONNECTOR. B.V. ("The JobConnector"). The JobConnector is geregistreerd bij het Handelsregister te Amsterdam.

GEBRUIKERSVOORWAARDEN THE JOBCONNECTOR. B.V. (The JobConnector). The JobConnector is geregistreerd bij het Handelsregister te Amsterdam. GEBRUIKERSVOORWAARDEN THE JOBCONNECTOR I. ALGEMENE BEPALINGEN 1 Algemeen 1.1 De website The JobConnector (de "Website") wordt beheerd door The JobConnector B.V. ("The JobConnector"). The JobConnector is

Nadere informatie

Stichting Hogeschool van Arnhem en Nijmegen. Rapport definitieve bevindingen

Stichting Hogeschool van Arnhem en Nijmegen. Rapport definitieve bevindingen POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Juliana van Stolberglaan 4-10 TEL 070-88 88 500 FAX 070-88 88 501 INTERNET www.cbpweb.nl www.mijnprivacy.nl Stichting Hogeschool van Arnhem en Nijmegen

Nadere informatie

In jouw schoenen. Een praktische invulling van informatiebeveiliging

In jouw schoenen. Een praktische invulling van informatiebeveiliging In jouw schoenen Een praktische invulling van informatiebeveiliging Informatiebeveiliging hot topic Hoeveel weet jij eigenlijk van informatiebeveiliging? veel voldoende te weinig Vooraf.. Wat vind jij

Nadere informatie

HANDLEIDING TOOLS4EVER ISUPPORT ONLINE WEBOMGEVING

HANDLEIDING TOOLS4EVER ISUPPORT ONLINE WEBOMGEVING HANDLEIDING TOOLS4EVER ISUPPORT ONLINE WEBOMGEVING Inhoudsopgave 1. Belangrijkste spelregels... 3 2. Contact met tools4ever international support... 4 isupport webomgeving... 4 Eerste maal inloggen...

Nadere informatie

Security Solutions. End-to-end security. Voor de beveiliging van uw fysieke toegangscontrolesysteem.

Security Solutions. End-to-end security. Voor de beveiliging van uw fysieke toegangscontrolesysteem. Security Solutions End-to-end security Voor de beveiliging van uw fysieke toegangscontrolesysteem. www.nedapsecurity.com security common practice IT best practices toegepast op fysieke beveiliging Bedrijven

Nadere informatie

Service Level Agreement (SLA)

Service Level Agreement (SLA) Service Level Agreement (SLA) Telefoon: 088 773 0 773 Email: Support@adoptiq.com Website: www.adoptiq.com Adres: Johan Huizingalaan 763a 1066 VH Amsterdam KvK nr: 61820725 BTW nr: NL.854503183.B01 IBAN

Nadere informatie

ZorgMail App. Gebruikershandleiding. 2013 E.Novation B.V. Alle rechten voorbehouden.

ZorgMail App. Gebruikershandleiding. 2013 E.Novation B.V. Alle rechten voorbehouden. ZorgMail App Gebruikershandleiding 2013 E.Novation B.V. Alle rechten voorbehouden. Inhoudsopgave 1 Inleiding... 3 2 Starten met de ZorgMail App... 4 2.1 Opstarten van de ZorgMail App... 4 2.2 Aanmelden...

Nadere informatie

Gebruikershandleiding. StUF Testplatform Versie 1.3.1

Gebruikershandleiding. StUF Testplatform Versie 1.3.1 Gebruikershandleiding StUF Testplatform Versie 1.3.1 Inhoudsopgave 1 INLEIDING... 3 2 GEBRUIK MAKEN VAN HET STUF TESTPLATFORM... 4 2.1 INLOGGEN OP HET STUF TESTPLATFORM... 4 2.2 OPVOEREN EN CONFIGUREREN

Nadere informatie

Privacyverklaring ViopTo

Privacyverklaring ViopTo Privacyverklaring ViopTo Voor ons is een zorgvuldige omgang met persoonsgegevens van groot belang. Persoonlijke gegevens worden dan ook zorgvuldig verwerkt en beveiligd. Hierbij houden wij ons aan de eisen

Nadere informatie

Handleiding voor beheerders SesamID

Handleiding voor beheerders SesamID Handleiding voor beheerders SesamID Versie 3.0 Mei 2013 2013 Copyright KPN Lokale Overheid Alle rechten voorbehouden. Zonder voorafgaande schriftelijke toestemming van KPN Lokale overheid mag niets uit

Nadere informatie

HOE OMGAAN MET DE MELDPLICHT DATALEKKEN?

HOE OMGAAN MET DE MELDPLICHT DATALEKKEN? HOE OMGAAN MET DE MELDPLICHT DATALEKKEN? EEN HANDIGE CHECKLIST In deze whitepaper bieden we u handvatten die u kunnen helpen bij de implementatie van de meldplicht datalekken binnen uw organisatie. We

Nadere informatie

Hardening. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Hardening. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Hardening Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging Rijksdienst

Nadere informatie

Privacy beleid. Algemeen

Privacy beleid. Algemeen Privacy beleid Algemeen In dit Privacy beleid wordt beschreven hoe wij omgaan met uw persoonsgegevens. Wij verzamelen, gebruiken en delen persoonsgegevens om de websites van JaMa Media, zoals Mijnkoopwaar

Nadere informatie

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol SAMENVATTING ITIL ITIL is nog steeds dé standaard voor het inrichten van beheerspocessen binnen een IT-organisatie. En dekt zowel applicatie- als infrastructuur beheer af. Indien gewenst kan ITIL worden

Nadere informatie

DigiNotar certificaten

DigiNotar certificaten DigiNotar certificaten Onlangs is duidelijk geworden dat er digitaal is ingebroken bij het bedrijf Diginotar. Daarmee worden alle DigiNotar certificaten niet meer als veilig geaccepteerd. Certificaten

Nadere informatie

Release datum: 11 juni 2012

Release datum: 11 juni 2012 Highlights 1 HSExpert versie 5.2 Begin juni is versie 5.2 van HSExpert gereleased. In versie 5.2 zijn vooral wijzigingen op het RiAxion (Arbo) dossier doorgevoerd. Daarnaast zijn er wat kleinere wijzigingen

Nadere informatie

NETQ Healthcare: Voor inzicht in het effect van therapie

NETQ Healthcare: Voor inzicht in het effect van therapie NETQ Healthcare: Voor inzicht in het effect van therapie INHOUD Inleiding 3 Eisen vanuit NEN 7510 en de Wet Bescherming Persoonsgegevens 4 Beheerst wijzigingsproces 4 Toegankelijkheid geautoriseerde gebruikers

Nadere informatie

Technische beschrijving pseudonimisatie gegevensverzameling NIVEL Zorgregistraties eerste lijn

Technische beschrijving pseudonimisatie gegevensverzameling NIVEL Zorgregistraties eerste lijn Bijlage 2 bij Privacyreglement NIVEL Zorgregistraties eerste lijn Technische beschrijving pseudonimisatie gegevensverzameling NIVEL Zorgregistraties eerste lijn Pseudonimisatie Onder 'pseudonimisatie'

Nadere informatie

Forecast XL Technology

Forecast XL Technology Forecast XL Technology Introductie Forecast XL is een vertrouwde, eenvoudig te gebruiken cloud applicatie, gekenmerkt door redundante IT-omgevingen en dynamische toewijzing van middelen. Gebruikers kunnen

Nadere informatie

DigiD SSL. Versie 2.1.1. Datum 16 augustus 2010 Status Definitief

DigiD SSL. Versie 2.1.1. Datum 16 augustus 2010 Status Definitief DigiD SSL Versie 2.1.1 Datum 16 augustus 2010 Status Definitief Colofon Projectnaam DigiD Versienummer 2.1.1 Organisatie Logius Postbus 96810 2509 JE Den Haag servicecentrum@logius.nl Pagina 2 van 9 Inhoud

Nadere informatie

Sr. Security Specialist bij SecureLabs

Sr. Security Specialist bij SecureLabs Wie ben ik? Ronald Kingma, CISSP ronald@securelabs.nl Sr. Security Specialist bij SecureLabs Introductie SecureLabs Voorheen ISSX Code of Conduct Real Penetration Testing Vulnerability Management Veiligheidsincidenten

Nadere informatie

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging Seminar Trends in Business & IT bij woningcorporaties Informatiebeveiliging Agenda Rondje verwachtingen Even voorstellen.. Informatiebeveiliging waarom? Stand van zaken bij corporaties Informatiebeveiliging

Nadere informatie

Doel van de opleiding informatieveiligheid

Doel van de opleiding informatieveiligheid Doel van de opleiding informatieveiligheid Het netwerk voor elektronische uitwisseling van persoonsgegevens tussen de diverse instellingen van de sociale zekerheid, dat door de Kruispuntbank wordt beheerd,

Nadere informatie

MSSL Dienstbeschrijving

MSSL Dienstbeschrijving MSSL Dienstbeschrijving Versie : 1.0 Datum : 28 augustus 2007 Auteur : MH/ME Pagina 2 van 7 Inhoudsopgave Inhoudsopgave... Fout! Bladwijzer niet gedefinieerd. Introductie... 3 Divinet.nl Mssl... 3 Hoe

Nadere informatie

Beschrijving pseudonimisatieplatform ZorgTTP

Beschrijving pseudonimisatieplatform ZorgTTP Beschrijving pseudonimisatieplatform ZorgTTP copyright ZorgTTP 2016 De rechten van intellectuele en industriële eigendom, waaronder het auteursrecht, op alle informatie in dit document berusten bij ZorgTTP

Nadere informatie

Security Pentest. 18 Januari 2016. Uitgevoerde Test(s): 1. Blackbox Security Pentest 2. Greybox Security Pentest

Security Pentest. 18 Januari 2016. Uitgevoerde Test(s): 1. Blackbox Security Pentest 2. Greybox Security Pentest DEMO PENTEST VOOR EDUCATIEVE DOELEINDE. HET GAAT HIER OM EEN FICTIEF BEDRIJF. 'Inet Veilingen' Security Pentest 18 Januari 2016 Uitgevoerde Test(s): 1. Blackbox Security Pentest 2. Greybox Security Pentest

Nadere informatie

Service Level Agreement

Service Level Agreement Service Level Agreement 1 Algemene bepalingen 1.1 Partijen Deze Service Level Agreement (verder te noemen: SLA) is een overeenkomst die is gesloten tussen: WAME BV, gevestigd te Enschede aan de Deurningerstraat

Nadere informatie

ICT Beheermodel informatiesystemen Drechtsteden Baseline inrichting ICT beheermodel Drechtsteden

ICT Beheermodel informatiesystemen Drechtsteden Baseline inrichting ICT beheermodel Drechtsteden Drechtsteden Technische Architectuur (DTA) ICT Beheermodel informatiesystemen Drechtsteden Baseline inrichting ICT beheermodel Drechtsteden Status : Definitief 1.0 Redactie : DTA Datum : 29-08-2007 1 Versiebeheer

Nadere informatie

Privacyreglement Spoor 3 BV. Artikel 1. Begripsbepalingen. Voor zover niet uitdrukkelijk anders blijkt, wordt in dit reglement verstaan onder:

Privacyreglement Spoor 3 BV. Artikel 1. Begripsbepalingen. Voor zover niet uitdrukkelijk anders blijkt, wordt in dit reglement verstaan onder: Privacyreglement Spoor 3 BV Artikel 1. Begripsbepalingen Voor zover niet uitdrukkelijk anders blijkt, wordt in dit reglement verstaan onder: de wet: de Wet bescherming persoonsgegevens (Wbp) het reglement:

Nadere informatie

15 July 2014. Betaalopdrachten web applicatie beheerders handleiding

15 July 2014. Betaalopdrachten web applicatie beheerders handleiding Betaalopdrachten web applicatie beheerders handleiding 1 Overzicht Steeds vaker komen we de term web applicatie tegen bij software ontwikkeling. Een web applicatie is een programma dat online op een webserver

Nadere informatie

NORA Sessie 5. 29 mei 2013 in Amersfoort Agenda en een samenvatting. Jaap van der Veen

NORA Sessie 5. 29 mei 2013 in Amersfoort Agenda en een samenvatting. Jaap van der Veen NORA Sessie 5 29 mei 2013 in Amersfoort Agenda en een samenvatting Jaap van der Veen Agenda 29-5-2013 1. Welkom 2. Presentatie Eric Brouwer en Joris Dirks over Kennismodel NORA-Wiki en hoe we onze informatie

Nadere informatie