Rapportage ICT beveiligingsassessment DigiD Inhoudsopgave. Auditdienst Rijk Minhterie van Financiën

Transcriptie

1 Object Totaaloverzicht - Auditdienst Rijk Minhterie van Financiën Rapportage ICT beveiligingsassessment DigiD 2014 /d. Aan Ministerie van VWS CIBG Datum : 27januari 2015 Van Aansluiting Ministerie van Financiën - Donorregister - Auditdienst Rijk CIBG Inhoudsopgave 1 Assurancerapport van de onafhankelijke auditor 1.1 Opdracht 1.2 Verantwoordelijkheden van de opdrachtgever 1.3 Verantwoordelijkheden van de opdrachtnemer (auditor) 1.4 Beperkingen 1.5 Oordelen 1.6 Beoogde gebruikers en doel 2 Criteria 3 Object van onderzoek A Bijlage A - Beschrijving van de testresultaten van de auditor 10 8 Bijlage B - van onderzoek 20 C Bijlage C - getoetste normen ICT beveiligingsassessment DigiD-aansluiting van het CIBG 21 ADR/2015/114

2 1.1 Opdracht Donorregister. /44 Ingevolge de opdracht van de heer CFO/CIO bij het CIBG, een 9 fd. oordeel te geven over de opzet en het bestaan van de maatregelen gericht op de ICT Onze verantwoordelijkheid is, op basis van onze werkzaamheden, per beveiligingsrichtlijn van de Norm ICT-beveiligingsassessments DigiD van Logius een onderzoek, het verlenen van DigiD-diensten, het onderkennen van de beveiligingsassessments DigiD van Logius. interne beheersingsmaatregelen om te voldoen aan de Norm ICT beveiligingsrisico s van de DigiD-webomgeving en het opzetten en implementeren van services, systeembeheer en beperkt technisch applicatie beheer van haar dan ook niet uit tot de interne beheersingsmaatregelen van de serviceorganisatie. webapplicatie. De opdrachtgever maakt voor haar beschrijving gebruik van de uitsluitingmethode ( carve out method ). Onze werkzaamheden strekken zich derhalve /4 interne beheersingsmaatregelen van de betreffende DigiD aansluiting en brengen Handleiding uitvoering ICT beveiligingsassessment versie 2.1 van Logius uitgevoerd. De opdracht omvatté het onderzoeken van de opzet en het bestaan van maatregelen en procedures gericht op de ICT-beveiliging van de webomgeving van de DigiD f webomgeving van DigiDaansluiting voor het Donorregister zoals opdrachtgever), hebben wij een lctbeveiligingsasses5ment DigiD uitgevoerd op de gespecificeerd in hoofdstuk 3 Object van onderzoek. Het onderzoek is conform de aansluiting Donorregister. Wij hebben geen werkzaamheden uitgevoerd met betrekking tot de werking van (.1 daarover geen oordeel tot uitdrukking. De opdrachtgever maakt gebruik van serviceorganisatie voor Datacenter 1.2 Verantwoordelijkheden van de opdrachtgever De opdrachtgever is verantwoordelijk voor de beschrijving van het object van 1.3 Verantwoordelijkheden van de opdrachtnemer (auditor) beveiliging van de webomgeving van DigiD aansluiting - / b 9 ADR/2015/114 /Ö io19 agentschap van het ministerie van Volksgezondheid, Welzijn en Sport (VWS) (hierna: Assurancerapport van de onafhankelijke auditor

3 zodanig plannen en uitvoeren dat een redelijke mate van zekerheid wordt verkregen beveiligingsassessments DigiD. andere richtlijnen uit de ICT-heveiligingsrichtlijnen voor webapplicaties van het NCSC zouden hebben onderzocht wellicht andere onderwerpen zouden zijn geconstateerd hebben op de veiligheid van DigiD webapplicaties. Wij adviseren de organisatie om in beveiligingsrichtlijnen uit de ICT beveiligingsrichtlijnen voor webapplicaties van het oordeel te verschaffen omtrent de beveiliging van de DigiD-aansluiting. 1.4 Beperkingen geschikt is om daarop een onderbouwing voor onze oordelen te bieden. waren inbegrepen; wij brengen derhalve daarover geen oordelen tot uitdrukking. betrekking tot de werking van interne beheersingsmaatregelen die bij de beschrijving inschatten van de risico s dat de interne beheersingsmaatregelen niet op afdoende door de auditor van de organisatie toegepaste oordeelsvorming, met inbegrip van het beheersingsmaatregelen bij een organisatie omvat het uitvoeren van werkzaamheden ter verkrijging van assurance informatie over de opzet en het bestaan van interne beheersingsmaatregelen. De geselecteerde werkzaamheden zijn afhankelijk van de zijnde aspecten, op afdoende wijze zijn opgezet en bestaan. voldoen aan de voor ons geldende ethische voorschriften en onze werkzaamheden We hebben onze opdracht uitgevoerd overeenkomstig Nederlands recht, en de NOREA Richtlijn 3000, Richtlijn Assuranceopdrachten door IT auditors. Dit vereist dat wij over de vraag of de interne beheersingsmaatregelen, in alle van materieel belang Een assurance opdracht om te rapporteren over opzet en bestaan van interne wijze zijn opgezet of niet bestaan. Zoals hierboven staat vermeld, hebben wij geen werkzaamheden uitgevoerd met Wij zijn van mening dat de door ons verkregen assurance informatie voldoende en De Norm ICT-beveiligingsassessments DigiD is een selectie van Nationaal Cyber Security Centrum (NCSC). Daarom zijn we niet in staat om een overall Logius heeft de richtlijnen geselecteerd waarvan zij vindt dat deze de hoogste impact aanvulling op de richtlijnen in de Norm ICT beveiligingsassessments DigiD, ook de te adopteren. Wij wijzen u erop dat, indien wij aanvullende beveiligingsrichtljnen die voor rapportering in aanmerking zouden zijn gekomen. In de volgende paragraaf geven wij onze oordelen ten aanzien van de Norm ICT ADR/2015/114 3

4 . DigiD van Logius wordt een oordeel gegeven over de opzet en het bestaan per in deze rapportage. Per beveiligingsrichtlijn van de Norm ICT beveiligingsassessments Onze oordelen zijn gevormd op basis van de werkzaamheden zoals ze zijn beschreven ADR/2015/114 4 doorgevoerd. worden volgens een patchmanagement proces De laatste (beveiligings)patches zijn geïnstalleerd en deze componenten zijn gehard tegen aanvallen. Maak gebruik van een hardeningsproces, zodat alle ICT wijzigingsbeheer doorgevoerd. productie worden genomen en worden via opzet.-, 1 / Alle wijzigingen worden altijd eerst getest voordat deze in Voldoet in Nr Beschrijving van de beveihgingsrichtlijn Oordeel totaaloverzicht over de resultaten van verschillende oordelen. hiervan zijn er een aantal maatregelen belegd bij deze serviceorganisatie. De richtlijnen waar deze maatregelen betrekking op hebben zijn door ons niet onderzocht en niet opgenomen in de onderstaande tabel. In bijlage C verschaffen wij een Het CIBG heeft een deel DigiD webomgeving uitbesteed aan. Als gevolg alle materiële opzichten effectief zijn en voldoet niet geïnterpreteerd dient te worden voldoet niet, waarbij voldoet geïnterpreteerd dient te worden als Wij zijn van met de op die regel aangegeven beveiligingsrichtlijn volgens de criteria genoemd in regel aangegeven beveiligingsrichtlijn volgens de criteria genoemd in hoofdstuk 2 in als Wij zijn van oordeel dat de interne beheersingsmaatregelen die verband houden zekerheid wordt voldaan aan de beveiligingsrichtlijn. Om de leesbaarheid van dit oordeel dat de interne beheersingsmaatregelen die verband houden met de op die rapport te vergroten zijn de conclusies in deze tabel weergegeven als voldoet of hoofdstuk 2 niet in alle materiële opzichten effectief zijn. Per beveiligingsrichtlijn hebben wij hieronder vermeld of met redelijke mate van onderstaande tabel en een toelichting is te vinden in hoofdstuk 2. 26januari 201 S. De criteria waarvan wij gebruik hebben gemaakt, zijn opgenomen in 1.5 Oordelen Het beslaan is niet getoetst omdat er zich geen wijzigingen hebben voorgedaan

5 B0-8 Penetratietests worden periodiek uitgevoerd. Voldoet ADR/2015/ Voldoet uitvoer. De webappilcatie codeert dynamische onderdelen in de 83-3 De webappllcatie normaliseert invoerdata voor validatie. Voldoet initiator geauthenticeerd is en de juiste autorisaties heeft Voldoet De webapplicatie controleert voor elk HTTP verzoek of de B3-i Voldoet request voor die wordt gebruikt. De webapplicatie valideert de inhoud van een I-ITTP B2-1 Maak gebruik van veilige beheermechanismen. Bi -3 gebruikersgroepen op een zelfde wijze ingeregeld. Netwerktoegang tot de webapplicaties is voor alle Bl 2 Beheer en productieverkeer zijn van elkaar gescheiden. beperkt tot alleen de hoogst noodzakelijke. en de verkeersstromen tussen deze compartimenten wordt 81-1 Zone (DMZ), waarbij compartimentering wordt toegepast Er moet gebruik worden gemaakt van een Demilitarised Leg afspraken met leveranciers vast in een overeenkomst Voldoet B0-i3 Voldoet worden verwijderd. Niet (meer) gebruikte websites en/of informatie moet toegangsbeveiliging/toegangsbeheer. 2 Ontwerp en richt maatregelen in met betrekking tot Voldoet / 80-9 periodiek uitgevoerd. Vulnerability assessments (security scans) worden 5

6 Voor het raadplegen en/of wijzigen van gegevens in de B3-5 database gebruikt de webapplicatie alleen Voldoet geparametriseerde queries. De webapplicatie valideert alle invoer, gegevens die aan de B3 6 Voldoet webappllcatie worden aangeboden, aan de serverzijde. De webapplicatie staat geen dynamische file includes toe B3 7 Voldoet of beperkt de keuze mogelijkheid (whitelisting). Een (geautomatiseerde) blackbox scan wordt periodiek B3-15 Voldoet uitgevoerd. B3-16 Zet de cookie attributen HttpOnly en Secure. Voldoet Voer sleutelbeheer in waarbij minimaal gegarandeerd 65-1 wordt dat sleutels niet onversleuteld op de servers te vinden zijn Maak gebruik van versleutelde (HTTPS) verbindingen. Voldoet 65-3 Sla gevoelige gegevens versleuteld of gehashed 2. op Voldoet in opzet Versleutel cookies. Voldoet 67-1 Maak gebruik van Intrusion Detection Systemen (IDS) Voer actief controles uit op logging. Governance, organisatie, rollen en bevoegdheden inzake B7 9 preventie, detectie en response inzake informatiebeveiliging dienen adequaat te zijn vastgesteld. Voldoet / 2 Voor zover betrekking hebbend op DigiD Het bestaan is niet getoetst omdat er geen gevoelige gegevens in de DMZ staan. ADR/2015/114 6

7 van DigiD. Deze organisaties moeten jaarlijks een ICT beveiligingsassessment laten fd e. 1.6 Beoogde gebruikers en do& ADR/2015/114 7 Ministerie van Financiën Atîditdienst Rijk Den Haag, 27januari worden gesteld. Indien de producten van onze werkzaamheden aan derden ter beschikking worden gesteld, dient erop te worden gewezen dat zonder onze uitdrukkelijke voorafgaande schriftelijke toestemming geen rechten aan het product met nadere voorwaarden. kunnen worden ontleend. Het verstrekken van deze toestemming kan omgeven zijn beschikbaar te stellen, zal het rapport origineel, volledig en ongewijzigd beschikbaar Voor zover het de opdrachtgever en Logius is toegestaan het rapport aan derden interpreteren. precieze scope, aard en doel van de werkzaamheden, de resultaten onjuist kunnen schriftelijk aan derden beschikbaar worden gesteld zonder onze voorafgaande schriftelijke toestemming. Dit aangezien anderen, die niet op de hoogte zijn van de De rapportage, onderdelen of samenvattingen daarvan mogen niet mondeling of rapporten inzake serviceorganisatie(s). bedoeld om Logius een totaaloverzicht te verschaffen (volledigheid van de scope ) Logius. De bijlagen A en B zijn alleen bestemd voor de opdrachtgever. Bijlage C is Onze schriftelijke rapportage met bijlage C is alleen bestemd voor de opdrachtgever en over de resultaten van verschillende assessments, gezien gebruik is gemaakt van beveiliging van de webomgeving van DigiD aansluiting. teneinde de DigiD gebruikende organisaties en Logius inzicht te geven in de ICT verrichten onder verantwoordelijkheid van een gekwalificeerde IT-auditor (RE), kwaliteitsverhoging van ICT beveiliging bij overheidsorganisaties die gebruik maken De minister van BZK wil een structurele en forse impuls geven aan de

8 hebben op de veiligheid van DigiD-webapplicaties. In dit onderzoek zullen wij ons gebruik wordt gemaakt bij het uitvoeren van de assurance opdracht hielden in dat: derhalve op de Norm ICT beveiligingsassessments DigiD richten. De criteria waarvan Logius heeft de richtlijnen geselecteerd waarvan zij vindt dat deze de hoogste impact ADRJ2O15/114 8 het voldoen aan beveiligingsrichtlijnen niet zouden verhinderen. beschreven, een redelijke mate van zekerheid zouden verschaffen dat die risico s de onderkende interne beheersingsmaatregelen, indien zij werkzaam zijn zoals daarmee de betrouwbaarheid van DigiD aantasten, werden onderkend; de risico s die het voldoen aan de beveiligingsrichtlijnen in gevaar brengen en beveiligingsrichtljnen op afdoende wijze zijn opgezet en daadwerkelijk zijn geïmplementeerd; de interne beheersingsmaatregelen die verband houden met de 2 Criteria

9 id io.,,5 -t. Donorregister (DigiD webomgeving ) met aansluitnummer: Het CIBG biedt als Het object van onderzoek was de webomgeving van de DigiD aansluiting voor het ADR/2015/114 9 onderzoek. verwijzingen naar het rapport van de IT auditor van de serviceorganisatie ( hiervan zijn een aantal maatregelen belegd bij deze serviceorganisatie. Het met hantering van het zelfde onderzoekprotocol als ons onderzoek. De richtlijnen waar ). onderzoeken van deze maatregelen bij deze serviceorganisatie is dan ook uitgevoerd opgenomen in ons rapport. Waar relevant maken wij, per richtlijn, specifieke door een gekwalificeerde IT auditor op basis van dezelfde beveiligingsrichtlijnen en deze maatregelen betrekking op hebben zijn door ons dan ook niet onderzocht en niet Het CIBG heeft een deel DigiD webomgeving uitbesteed aan. Als gevolg beveiligingsassessments DigiD van Logius. bevindt) en een aantal ondersteunende processen conform de Norm ICT Het onderzoek heeft zich gericht op de webapplicatie, de URL waarmee deze applicatie kan worden benaderd, de infrastructuur (binnen de DMZ waar de webapplicatie zich de vorm van managed services. De webapplicatie Donorregister betreft maatwerk en wordt onderhouden door het het Donorregister maakt gebruik van DigiD functionaliteit. en zekerheid te geven aan iedereen die bij donatie is betrokken. De webapplicatie van wordt de keuze geregistreerd van de in de wet genoemde doelgroep om duidelijkheid Donorregister uitvoering aan de Wet op de orgaandonatie (Wod), In het Donorregister agentschap van het ministerie van Volksgezondheid, Welzijn en Sport (VWS) met het 3 Object van onderzoek CIBG. De infrastructuur waarop de applicatie draait, wordt beheerd door in In bijlage 8 geven wij u een meer gedetailleerde beschrijving van het object van

10 Het vaststellen van de scope van het assessment, inclusief het vaststellen van de maatregelen die bij de serviceorganisatie moeten worden onderzocht en het vaststellen dat, in combinatie met de van, de scope van het DigiD assessment volledig en juist wordt afgedekt. Het houden van interviews met verantwoordelijke functionarissen, vooral gericht op het onderkennen van risico s en het onderzoek in hoeverre deze risico s worden afgedekt door maatregelen. Het inventariseren van de opzet en het vaststellen van het bestaan van de relevante maatregelen. Dit door middel van het kennis nemen van documentatie, het kennis nemen van de resultaten van de uitgevoerde interne controles en uitgevoerde pentesten, alsmede eigen waarnemingen. Het analyseren van de uitkomsten van onze werkzaamheden met als doel het geven van oordelen per beveiligingsrichtlijn van de Norm ICT beveiligingsassessments DigiD van Logius. Hieronder treft u een korte beschrijving van de uitgevoerde werkzaamheden en onze oordelen ter verbetering van de DigiD webomgeving. Onze oordelen zijn verwoord als voldoet/voldoet niet (met reden) per beveiligingsrichtlijn. Om de leesbaarheid van dit rapport te vergroten zijn de conclusies in deze tabel weergegeven als voldoet of voldoet niet, waarbij voldoet geïnterpreteerd dient te worden als Wij zijn van oordeel dat de interne beheersingsmaatregelen die verband houden met de op die regel aangegeven beveiligingsrichtlijn volgens de criteria genoemd in hoofdstuk 2 in alle materiële opzichten effectief zijn en voldoet niet geïnterpreteerd dient te worden als Wij zijn van oordeel dat de interne beheersingsmaatregelen die verband houden met de op die regel aangegeven beveiligingsrichtlijn volgens de criteria genoemd in hoofdstuk 2 niet in alle materiële opzichten effectief zijn. Het CIRG heeft een deel DigiD webomgeving uitbesteed aan. Als gevolg hiervan zijn een aantal maatregelen belegd bij deze serviceorganisatie. De richtlijnen waar deze maatregelen betrekking op hebben zijn door ons niet onderzocht en niet opgenomen in de onderstaande tabel. In bijlage C verschaffen wij een totaaloverzicht over de resultaten van verschillende oordelen. 10 A Bijlage A Beschrijving van de testresultaten van de auditor In het kader van deze as5urance opdracht hebben wij de volgende werkzaamheden uitgevoerd: Het verkrijgen van inzicht in de relevante kenmerken van de DigiD webomgeving.

11 Nr Beschrijving van de Korte beschrijving van de uitgevoerde Oordeel en eventuele adviezen bev&ligingsrichtlijn werkzaamheden 80 5 Alle wijzigingen worden altijd eerst Documentatie: Beoordelen van de Voldoet in opzet / getest voordat deze in productie beschrijving van het wijzigingsproces worden genomen en worden via met specifieke invulling voor het testen. wijzigingsbeheer doorgevoerd. Interview: Inzicht verkrijgen in het wij z ig ing s proces. Beoordelen van een wijzigirigsverzoek op basis van een sample, impactanalyse, akkoorden testen en voor het in productie nemen Maak gebruik van een hardenings proces, zodat alle ICT componenten zijn gehard tegen aanval 1en De laatste (beveiligings)patches zijn geïnstalleerd en deze worden volgens een patchmanagement proces doorgevoerd. 1-let bestaan is niet getoetst omdat er zich geen wijzigingen hebben voorgedaan

12 -. Nr Beschrijving van de Korte beschrijving van de uitgevoerde Oordeel en eventuele adviezen beveiligingsrichtlijn werkzaamheden Penetratietests worden periodiek 1 Documentatie: Beoordelen van de Voldoet uitgevoerd, beschrijving waaruit blijkt dat penetratietests periodiek zijn uitgevoerd. Beoordelen van de resultaten uit 2014 inclusief een follow up van bevindingen Vulnerability assessments (security scans) worden periodiek uitgevoerd. B0 1 2 Ontwerp en richt maatregelen in met Documentatie: Beoordelen van de Voldoet.1 betrekking tot procesbeschrijving logische toegangsbeveiliging/toegangsbeheer. toegangsbeveiliging (identiteit en toegangsbeheer) (op applicatie en infrastructuurniveau). Interview: Inzicht verkrijgen in het proces van logische toegangsbeveiliging. Beoordelen van wachtwoordinstellingen, gebruikers/beheer/serviceaccounts.

13 Nr Beschrijving van de Korte beschrijving van de uitgevoerde Oordeel en eventuele adviezen beveiligingsrichtlijn werkzaamheden Niet (meer) gebruikte websites en/of informatie moet worden verwijderd. Documentatie: Beoordelen van het contentbeheer, een overzicht van beheerde websites en/of informatie. Voldoet Inspectie op (in)activiteit op de beheerde websites en lof informatie. B0-14 Leg afspraken met leveranciers vast in een overeenkomst Documentatie: Beoordelen van schriftelijke overeenkomsten met leveranciers op aandachtspunten: beschrijving van de dienst: overlegstructuren, contactpersonen en correspondentie; geschillen: prestatieindicatoren en verantwoordingsrapportages; afspraken over beveiliging (buy, procedure bij beveilig ings incidenten). Interview: Inzicht verkrijgen in het proces van leveranciersmanagement. Beoordelen van veraritwoordingsrapportages over de overeengekomen dienstverlening. Voldoet

14 Er moet gebruik worden gemaakt van een Demilitarised Zone (DMZ), waarbij compartimentering wordt toegepast en de verkeersstromen tussen deze compartimenten wordt beperkt tot alleen de hoogst nood zake 1 ijke. B1 2 Beheer en productieverkeer zijn van elkaar gescheiden Netwerktoegang tot de webapplicaties - is voor alle gebruikersgroepen op een zelfde wijze ingeregeld Maak gebruik van veilige - beheermechanismen. Capgenini B3 1 De webappllcatie valideert de inhoud Documentatie: Beoordelen van Voldoet van een HTTP-request voor die wordt documentatie over het ontwikkelen van gebruikt. de software. Beoordelen van relevante bevindingen uit het Internetbeveiligingsonderzoek.

15 15 Nr Beschrijving van de Korte beschrijving van de uitgevoerde Oordeel en eventuele adviezen beveiligingsrichtlijn werkzaamheden 83 2 De webappilcatie controleert voor elk Zie beschrijving van de uitgevoerde Voldoet HTTP verzoek of de initiator werkzaamheden richtlijn B3 1. geauthenticeerd is en de juiste autorisaties heeft. B3 3 De webapplicatie normaliseert Zie beschrijving van de uitgevoerde Voldoet invoerdata voor validatie. werkzaamheden richtlijn B3-4 De webappllcatie codeert dynamische Zie beschrijving van de uitgevoerde Voldoet onderdelen in de uitvoer, werkzaamheden richtlijn B3 5 Voor het raadplegen en/of wijzigen Zie beschrijving van de uitgevoerde Voldoet van gegevens in de database gebruikt werkzaamheden richtlijn de webapplicatie alleen geparametriseerde queries De webapplicatie valideert alle invoer, Zie beschrijving van de uitgevoerde Voldoet gegevens die aan de webapplicatie werkzaamheden richtlijn worden aangeboden, aan de serverzijde.

16 16 Nr Beschrijving van de Korte beschrijving van de uitgevoerde Oordeel en eventuele 1adviezen beve,ligingsrichtlijn werkzaamheden B3 7 De webapplicatie staat geen Zie beschrijving van de uitgevoerde Voldoet dynamische file inciudes toe of werkzaamheden richtlijn B3 1. beperkt de keuze mogelijkheid (whitelisting). B3 1 5 Een (geautomatiseerde) blackbox scan Documentatie: Documentatie waaruit Voldoet wordt periodiek uitgevoerd, blijkt of een black box scan periodiek wordt uitgevoerd.. Resultaten van de black box scan (of rapport) in B3 1 6 Zet de cookie attributen HttpOnly en Zie beschrijving van de uitgevoerde Voldoet Secure. werkzaamheden richtlijn B3 1. B5-1 Voer sleutelbeheer in waarbij minimaal gegarandeerd wordt dat sleutels niet onversleuteld op de servers te vinden zijn.

17 Nr Beschrijving van de Korte beschrijving van de uitgevoerde Oordeel en eventuele adviezen 17 beveiligingsrichtlijn_ werkzaamheden B5 2 Maak gebruik van versleutelde (HTTPS) verbindingen. Documentatie: Beoordelen van ontwerp c.q. configuratiedocumentatie en inrichting hoe de webserver is Voldoet geconfigureerd inzake versleutelde verbindingen (SSL/TLS). Inspectie: Een aangetroffen versleutelde verbinding toetsen middels een beveiligingstest. B5 3 Sla gevoelige gegevens versleuteld of gehashed op 5. Documentatie: Beoordelen van de beschrijving van de (mogelijke) aanwezigheid van gevoelige gegevens in de webapplicatie van de DigiD aansluiting. Documentatie: Beoordelen van de beschrijving waaruit blijkt dat als gevoelige gegevens aanwezig zijn, welke beveiligingsmaatregelen (versleuteling of hashing) zijn getroffen. Interview/inspectie: Inzicht verkrijgen in de instellingen die aanwezig zijn om de gevoelige gegevens te versleutelen. Voldoet in opzete Voor zover betrekking hebbend op DigiD 6 1-let bestaan is niet getoetst omdat er geen gevoelige gegevens in de DMZ staan

18 18 Nr Beschrijving van de Korte beschrijving van de uitgevoerde Oordeel en eventuele adviezen beveiligingsrichtlijn werkzaamheden 35 4 Versleutel cookies. Documentatie: Beoordelen van ontwerp Voldoet c.q. configuratiedocumentatie en inrichting hoe de webserver is geconfigureerd inzake cookies. Inspectie: Cookies in een verbinding toetsen middels een beveitigingstest. B7 1 Maak gebruik van Intrusion Detection Systemen (IDS) Voer actief controles uit op togging. -

19 .. iq Nr Beschrijving van de Korte beschrijving van de uitgevoerde OordeI en eventuele adviezen beveiligtngsrichtlijn r werkzaamheden I Governance, organisatie, rollen en Documentatie: Beoordelen van overzicht Voldoet / bevoegdheden inzake preventie, detectie en response inzake welke functies en verantwoordelijkheden (met betrekking tot informatiebeveiligirig), informatiebeveiliging dienen adequaat overlegstructuren, te zijn vastgesteld. informatiebeveiligingsbeleid zijn ingericht. Interview: Inzicht verkrijgen in de functie en verantwoordelijkheden van een functionaris uit de informariebeveiligingsorgan isatie. Deelwaarneming op verslaglegging op opgetreden incident en respons binnen de organisatie.

20 De applicatie is extern benaderbaar via de volgende URL: en bevindt zich in een DMZ: De infrastructuur waar de applicatie op draait wordt beheerd door in de vorm van managed services. Het object van onderzoek was de webomgeving van de DigiD aansluiting voor het Donorregister ( DigiD webomgeving ). Het onderzoek heeft zich gericht op de webapplicaties, de URL5 waarmee deze kunnen worden benaderd, de infrastructuur (binnen de DMZ waar webapplicaties zich bevinden) en een aantal ondersteunende processen conform de Norm ICT beveiligingsassessments DigiD van Logius. Het CIBG heeft een deel DigiD webomgeving uitbesteed aan. Als gevolg hiervan zijn er een aantal maatregelen belegd bij deze serviceorganisatie. Het onderzoeken van deze maatregelen is dan ook uitgevoerd door de IT auditor van deze serviceorganisatie. De richtlijnen waar deze maatregelen betrekking op hebben zijn door ons dan ook niet onderzocht. Waar relevant geven wij in bijlage C, per richtlijn, specifieke verwijzingen naar het rapport van de serviceorganisatie. )onorregister De webomgeving is met infrastructurele testen onderzocht door de serviceorganisatie. De webomgeving bestaat infrastructureel uit een firewali ), bad balancer ( en webservers / 20 B Bijlage B - Object van onderzoek Het object van onderzoek was de webomgevin van DigiD aansluiting - van het C[BG. /0. / t Het CIBG biedt de volgende functionaliteit aan waarvoor DigiD aansluiting voor authenticatie wordt gebruikt: een webapplicatie die uitvoering geeft aan de Wet op de orgaandonatie (Wod). In het Donorregister wordt de keuze geregistreerd van de in de wet genoemde doelgroep om duidelijkheid en zekerheid te geven aan iedereen die bij donatie is betrokken. Deze applicatie betreft maatwerk en wordt onderhouden door de eigen organisatie.

21 Donorregister, Wij hebben geen onderzoek uitgevoerd naar de juistheid van de oordelen die zijn vermeld in de rapportage. Wij kunnen dan ook geen verantwoordelijkheid nemen m.b.t. de in die rapportage vermelde oordelen. 21 C Bijlage C - Totaaloverzicht getoetste normen ICT beveiligingsassessment DigiD aansluiting van het CIBG In deze bijlage brengen wij de oordelen samen, op basis van de diverse uitgevoerde werkzaamheden / uitgebrachte rapportages. Het doel van deze samenvatting is om Logius een totaaloverzicht te verschaffen over de resultaten vanuit de verschillende assessments t.a.v. de DigiD aansluiting van het CIBG. / ft f Volgens de NOREA handreiking inzake de DigiD assessments moeten de volgende normen bij de gebruikersorganisatie worden 2 getoetst: B0 5, B0 1 2, , B0 1 4, 85 3 en B7 9. Als input voor de hierna vermelde samenvatting hebben wij, naast de voorliggende rapportage, gebruik gemaakt van de rapportage: CIBG DigiD beveiligingsassessment aansluiting - Nederland BV, d.d. 3 november 2014, ondertekend door ( ) Toelichting van de gebruikte tekens: = Voldoet Voldoet niet

22 Alle wijzigingen worden altijd eerst getest JA Dit rapport voordat deze in productie worden genomen en worden via wijzigingsbeheer doorgevoerd. B0 6 Maak gebruik van een hardeningsproces, zodat alle ICT componenten zijn gehard tegen aanvallen De laatste (beveiligings)patches zijn geïnstalleerd en deze worden volgens een patchmanagement proces doorgevoerd Penetratietests worden periodiek uitgevoerd. r Dit rapport B0 9 Vulnerability assessments (security scans) worden periodiek uitgevoerd. B0 12 Ontwerp en richt maatregelen in met betrekking tot toegangsbeveiliging/toegangsbeheer Niet (meer) gebruikte websites en/of informatie moet worden verwijderd Leg afspraken met leveranciers vast in een overeenkomst 81 1 Er moet gebruik worden gemaakt van een Demilitarised Zone (DMZ), waarbij JA Dit rapport Dit rapport Dit rapport (Aanvullende) maatregelen dienen te zijn getroffen naar het oordeel an de auditor van de serviceorganisatie.

23 23 Aanvullende Oordeel Oordeel Referentie / Referentie / Nr Beschrijving van de norm beheersmaatregelen gebruikers leverancier rapportnummer rapportnummer gebruikersorganlsatie compartimentering wordt toegepast en de verkeersstromen tussen deze compartimenten wordt beperkt tot alleen de hoogst noodzakelijke. Bi 2 Beheer en productieverkeer zijn van elkaar gescheiden. Bi -3 - Netwerktoegang tot de webapplicaties is voor alle gebruikersgroepen op een zelfde wijze ingeregeld. B2-1 Maak gebruik van veilige beheermechanismen. B3-1 B3 2 De webappilcatie valideert de inhoud van een HTTP-request voor die wordt gebruikt. De webapplicatie controleert voor elk HTTP verzoek of de initiator geauthenticeerd is en de juiste autorisaties heeft B3 3 De webapplicatie normaliseert invoerdata voor. validatie. B3-4 De webapplicatie codeert dynamische onderdelen in de uitvoer. B3-5 Voor het raadplegen en/of wijzigen van gegevens in de database gebruikt de webappiicatiealieengepararnetriseerde 7 organisatie Dit rapport Dit rapport Dit rapport Dit rapport Dit rapport

24 - B3 6 De webappllcatie valideert alle invoer, Dit rapport gegevens die aan de webappilcatie worden 83 7 De webapplicatie staat geen dynamische file Dit rapport includes toe of beperkt de keuze mogelijkheid (wh ite Ii sting). B3 1 5 Een (geautomatiseerde) blackbox scan wordt Dit rapport periodiek uitgevoerd Zet de cookie attributen HttpOnly en Secure. Dit rapport 85 4 Versleutel cookies. Dit rapport - (IDS). 24 Nr Beschrijving van de norm Aanvullende Oordeel Oordeel Referentie / Referentie / beheersmaatregelen gebruikers leverancier rapportnummer rapportnummer gebruikerorgaj orgaii q u e ries Voer sleutelbeheer in waarbij minimaal gegarandeerd wordt dat sleutels niet onversleuteld op de servers te vinden zijn Maak gebruik van versleutelde (HTTPS) Dit rapport verbindingen Sla gevoelige gegevens versleuteld of Dit rapport gehashed op. B7 1 Maak gebruik van intrusion Detection

25 Aanvullende Oordeel Oordeel Referentie / Referentie / Nr Beschrijving van de norm beheersmaatregelen gebruikers leverancier rapportnummer rapportnummer adequaat te zijn vastgesteld. 25 B7 8 Voer actief controles uit op logging. B7 9 Governance, organisatie, rollen en NEE Dit rapport bevoegdheden inzake preventie, detectie en response inzake informatiebeveiliging dienen ***