ENSIA guidance DigiD-assessments

Maat: px

Weergave met pagina beginnen:

Download "ENSIA guidance DigiD-assessments"

Esmée de Meyer
5 jaren geleden
Aantal bezoeken:

1 ENSIA guidance DigiD-assessments Joep Janssen Werkgroep DigiD assessments v 31 oktober 2018

2 Agenda De testaanpak 2018 DigiD normenkader 2.0 Nieuwe bijlage DigiD Vooruitzichten

DigiD assurance Richtlijn 3000 Opdrachtaanvaarding Opdracht Normenkader Scope Diepgang Aspecten Zekerheid derden (ICT leverancier) Beperkingen Oordeelsvorming Criteria DigiD assessment

3 DigiD assurance Richtlijn 3000 Opdrachtaanvaarding Opdracht Normenkader Scope Diepgang Aspecten Zekerheid derden (ICT leverancier) Beperkingen Oordeelsvorming Criteria DigiD assessment Verantwoordelijke partij Doel Verantwoordelijkheid opdrachtgever Verantwoordelijkheid auditor (RE) 20 NCSC ICT-Beveiligingsrichtlijnen voor Webapplicaties Webapplicatie met DigiD en beheer. Niet achterliggende (zaak-)systeem Opzet en bestaan, (nog) geen werking. Integriteit, niet vertrouwelijkheid en beschikbaarheid. Geen efficiency. Carve-out Third Party Memorandum (TPM/ assurancerapport service organisatie) Inclusive Eigen onderzoek auditor Selectie van NCSC normen. Geen overall oordeel over de beveiliging van de DigiDaansluiting, oordeel per norm. Beheersingsmaatregelen zijn volgens de criteria in alle materiële opzichten effectief. - beheersingsmaatregelen zijn geïmplementeerd; - de risico s die de betrouwbaarheid van DigiD aantasten, werden onderkend; - interne beheersingsmaatregelen geven een redelijke mate van zekerheid dat die risico s het voldoen aan beveiligingsrichtlijnen niet verhinderen. Rapportage Beperking doelgroep 3 3

4 Veranderingen testaanpak 2018 DigiD normen 2.0 Naast een beperkt aantal tekstuele verbeteringen en verduidelijkingen zijn de belangrijkste wijzigingen: Betrokken partij(en) wordt Betrokken rol(len). De verschillende rollen kunnen ook bij één partij (bijvoorbeeld de houderorganisatie) uitgevoerd worden. U/TV.01: Toevoegen autorisatie proces (verschuift van U/WA.02 naar U/TV.01). U/WA.02: Toevoegen security incident afhandeling. Dit is een herstelactie. Per abuis is dit proces weggevallen in de eerste versie van DigiD 2.0. Het autorisatieproces is verplaatst naar U/TV.01. U/WA.05: Toevoegen dat TLS veilige en minder veilige instellingen kent. Het NCSC maakt onderscheid in Goede, Voldoende en Onvoldoende instellingen. Voor de DigiD webserver geldt dat minimaal de op dat moment als Voldoende bestempelde instellingen vereist zijn. U/NW.04: Verplicht stellen dat het IDS/IPS geplaatst wordt na decryptievan het oorspronkelijk versleuteld netwerkverkeer. Dit is een verzwaring van de beveiligingseis die overeenkomt met wat in de markt nu gebruikelijk is. U/NW.06: Hardening netwerk: Deze norm wordt ook getoetst bij de houder van de DigiD aansluiting, in verband met het verplicht gebruik van DNSSEC (6 normen toetsen bij de gemeente: B.05, U/TV.01, U/WA.02, U/WA.05, U/NW.06 en C.08). NOREA: Update 2018 Handreiking bij DigiD-assessments 2.0, onderdeel testaanpak 12 juni

5 Nieuwe Bijlage DigiD 1/2 Totaaloverzicht getoetste normen ICT-beveiligingsassessment DigiD-aansluiting <Aansluitnaam> en <Aansluitnummer> Leverancier 1 Leverancier 2 Naam serviceorganisatie: E. BV Referentie/rapportnummer: VKA Afgiftedatum: 30 oktober 2018 Naam RE-auditor: Drs. J.G.M. Janssen RE MIM Ondertekend door RE-auditor: Ja/Nee 5

6 Nieuwe Bijlage DigiD 2/2 De uitkomsten uit de zelfevaluatie zijn getoetst door een RE-gecertificeerde IT-auditor. Deze heeft tevens getoetst of de zelfevaluatie en de TPM(s)/ assurancerapportage(s) van onze serviceorganisaties het gehele normenkader afdekken. De uitkomsten van de auditor zijn opgenomen in het assurancerapport met kenmerk <kenmerk>. Onderstaande tabel toont de resultaten van de normen die zijn getoetst bij de serviceorganisatie én de bij ons getoetste normen. Het kan voorkomen dat een norm deels bij een leverancier getoetst is en deels bij de gemeente getoetst is (zogenaamde gedeelde norm). (Optioneel) (Optioneel) Getoetst bij DigiD Norm Getoetst bij Getoetst bij Gemeente leverancier 1 leverancier 2 B.05 Contractmanagement Kies een item. Kies een item. Kies een item. Kies een item. Totaal oordeel norm U/TV.01 Identificatie en Kies een item. Kies een item. Kies een item. Kies een item. authenticatie U/WA.02 Webapplicatiebeheer Kies een item. Kies een item. Kies een item. Kies een item. proces U/WA.03 Automatische data invoer Kies een item. Kies een item. Kies een item. Kies een item. controle U/WA.04 Normaliseren uitvoer Kies een item. Kies een item. Kies een item. Kies een item. Hoeft volgens de gemeente en volgens hoofdstuk verantwoordelijkheden gebruikersorganisatie van de TPM van de serviceorganisatie niet bij de gemeente getoetst te worden. 6

7 Vooruitzicht 2019 Voorzet om met ingang van 2019 tevens de werking over een periode van een heel jaar te testen. In breder perspectief tevens general controls en bestuurlijke betrokkenheid U/WA.02 Afhandeling security incidenten C.08 Doorvoeren wijzigingen en testen C.07 monitoring van loggingsinformatie IDS/IPS C.09 Doorvoeren patches. Overige? Uitwerken steekproef grootte Definitief voorstel/besluit volgt nog. Verduidelijken technische testen: U/PW.03 Content Security Policy U/NW.04 detectie na decryptie berichtinhoud Nadere kwaliteitseisen penetratietesten Overige. 7

8 Bedankt Voor meer informatie kun je contact opnemen met: Joep GM Janssen NOREA 31 oktober 2018

Vergelijkbare documenten

ENSIA guidance DigiD-assessments

ENSIA guidance DigiD-assessments Joep Janssen Werkgroep DigiD assessments 31 oktober 2017 Agenda Het nieuwe DigiD normenkader 2.0 De eerste inzichten ENSIA en DigiD 2 DigiD assurance Richtlijn 3000 Opdrachtaanvaarding