Normenkader Informatiebeveiliging t.b.v. de Stelselaudit eherkenning

Transcriptie

1 Normenkader Informatiebeveiliging t.b.v. de Stelselaudit eherkenning Dit normenkader is gebaseerd op het Afsprakenstelsel eherkenning versie 1.8 (januari 2014) Versie : 1.4 Datum : 27 november 2014 Opgesteld door : P.C.M. van der Enden, security officer eherkenning Eigenaar : Min. EZ Let op: dit normenkader maakt geen direct onderdeel uit van het Afsprakenstelsel eherkenning, maar wordt wel hierbij gepubliceerd. In opdracht van het ministerie van EZ wordt jaarlijks door een onafhankelijke auditorganisatie een stelselaudit uitgevoerd bij deelnemers en beheerorganisatie met als doel "assurance" te verkrijgen omtrent een correcte, veilige en betrouwbare werking van het stelsel.

2 Nr Omschrijving norm/maatregel 1 hebben een contract met eherkenning. Referentie: AS, ISMS, GNK AS - Juridisch Kader Toelichting/vraagstelling Achtergrond Auditee Controleer dat deelnemers aan het stelsel eherkenning een geldige overeenkomst hebben voor de rollen en betrouwbaarheidsniveaus die de deelnemer aanbiedt. De is verantwoordelijk voor (het beheer van) de contracten met de. deelnemers aan eherkenning. Een deelnemer heeft een basisovereenkomst met de beheerorganisatie en voor de rollen en betrouwbaarheidsniveaus zijn toetredingsprocedures doorlopen. Instemming voor toetredingsverzoeken wordt verleend door EZ. 2 Het stelsel beschikt over een aktuele stelselrisicoanalyse. AS - Informatiebeveiliging GNK 4.1 Controleren op bestaan en implementatie van de Bij de start van het stelsel is een zogenaamd stelselrisicoanalyse opgesteld die door alle Stelselrisicoanalyse. deelnemers moet worden gebruikt als input bij de eigen risicoanalyse. Op deze wijze wordt Wordt de stelselrisicoanalyse betrokken bij de eigen risicoanalyse in enige mate geborgd dat stelselrisico's door alle deelnemers worden beoordeeld en van deelnemers en? passende maatregelen worden genomen. (beheerder van de stelselrisicoanalyse) 3 en zijn gecertificeerd conform ISO27001 danwel beschikken over een TPM voor dezelfde scope van eherkenning. privacy, paragraaf Afspraken over verantwoordelijkheid en verantwoording Controleren op bestaan van een geldig certificaat ISO27001 of TPM met een scope die de aktiviteiten van eherkenning omvat. Heeft de ISO-auditor hierop gecontroleerd? Overzicht van certificaten is opgenomen in Confluence. De beheert deze administratie. De scopeomschrijving van het certificaat geeft aan voor welke rollen en betrouwbaarheidsniveaus het certificaat of TPM van toepassing is. 4 en beheerorganisatie hebben het Gemeenschappelijk Normenkader geïmplementeerd in hun ISMS. 5 Medewerkers bij deelnemers en beheerorganisatie zijn gescreened en beschikken minimaal over een VOG. privacy, paragraaf Implementatie Gemeenschappelijk Normenkader Informatiebeveiliging en certificatie GNK A privacy, paragraaf Eisen aan screening van medewerkers Dit moet blijken uit de Verklaringen van Toepasselijkheid van de deelnemers en van de. Controleren of de ISO-auditor de implementatie en werking van maatregelen uit het gemeenschappelijk normenkader heeft geverifieerd. Indien dit niet blijkt uit het auditrapport van de ISO-auditor, dan zelf nagaan of het Gemeenschappelijk Normenkader daadwerkelijk is geïmplementeerd. (enkele normen uit het Gemeenschappelijk Normenkader zijn in dit stelsel-normenkader opgenomen). Verifieren dat medewerkers over een relevante VOG beschikken. Neem evt. een steekproef uit aanwezige verklaringen. Ga na of integriteit een onderwerp is in de periodieke functioneringsgesprekken. De controleert aan de hand van de VvT van deelnemers of de gemeenschappelijke normen van toepassing zijn verklaard. Of maatregelen ook daadwerkelijk zijn geimplementeerd moet bij de deelnemers worden geverifieerd. De minimum eis is een relevante VOG voor medewerkers die aktiviteiten uitvoeren in het kader van eherkenning. Een VOG kent categorieën c.q. domeinen waarop de verklaring betrekking heeft. In het geval van eherkenning zijn iig relevant de paragrafen 11, 12 en 13 van de VOG. Het gaat vooral om de integriteit van de medewerkers. Zwaardere screening zoals de Verklaring van geen bezwaar (AIVD screening) is altijd toegestaan. 6 Het informatiebeveiligingsbeleid wordt tenminste eenmaal per jaar geëvalueerd en zonodig aangepast. privacy GNK A en A Controleren of het IB-beleid dat is opgenomen in het Afsprakenstelsel aktueel is. Wat komt er uit de evaluatie? Aanpassingen in het document doorlopen het changemanagementproces van het stelsel. P.S.: er is geen sprake van een separaat document, maar het IB-beleid is als hoofdstuk met paragrafen opgenomen in het AS. (beheerder van het document Informatiebeveiliging)

3 7 De directie c.q. het bestuur van eherkenning is betrokken bij informatiebeveiliging. GNK A Instellingsbesluit Controleren dat informatiebeveiliging in de governance-structuur van het stelsel een regelmatig terugkerend onderwerp is en de vereiste aandacht krijgt. Zou kunnen door bijv. interview met een of meer bestuursleden (Stelselraad) en via de notulen van meetings van de Stelselraad of Tactisch Overleg. (faciliteert de governance) 8 Er is coördinatie van de informatiebeveiliging binnen het stelsel. 9 Verantwoordelijkheden voor informatiebeveiliging zijn toegewezen. 10 Er vindt een onafhankelijke beoordeling plaats van de informatiebeveiliging. GNK A GNK A GNK A Volgens het IB beleid is iedere deelnemer en de BO Het security officers overleg komt in beginsel 2 x per jaar bijeen. Dit platform wordt ook verantwoordelijk voor de eigen IB. Wel is er een gezamenlijk gebruikt voor de evaluatie van stelselrisicoanalyse en gemeenschappelijk normenkader en security overleg onder voorzitterschap van de security officer van andere gemeenschappelijke IB aangelegenheden. de beheerorganisatie, vooral in het kader van "leren van incidenten", uitwisseling van kennis en verbetering van IB. Zie ook Incidentmanagement (GNK A.13). Draagt het security officers overleg bij aan de IB? en beheerorganisatie hebben alle een security officer benoemd. Is er een "backup- security officer benoemd? Stel vast wie de security officer is, wat zijn formele functie is, hoe zijn dagelijkse werkzaamheden eruit zien, etc. en beheerorganisatie moeten beschikken over een geldig ISO27001 certificaat en auditrapportages, w.o. pentestrapportages. Indien er bevindingen zijn in de ISO auditrapportage, is hiervoor een Corrective Action Plan opgesteld? Is dit plan ook uitgevoerd? Aandacht voor zowel de onderdelen die wel of niet getoetst zijn. Met name aandacht voor de eventuele bevindingen die een rapport staan. Overzicht van de security officers is opgenomen in de externe contactenlijst in Confluence en op de space Security officers in Confluence. Er zijn enkele onafhankelijke beoordelingen: - ISO certificering en de audits daarbij (1x per jaar) - periodieke pentesten (2 x per jaar) - stelselaudit (1 x per jaar) Een overzicht van ISO certificaten is opgenomen in Confluence bij de. De controleert op geldigheid van de certificaten en of de externe audit heeft plaatsgevonden. De heeft een coördinerende rol bij het laten uitvoeren van penetratietesten bij deelnemers. 11 Managementrapportages worden maandelijks opgeleverd. 12 Er is een gemeenschappelijk changemanagementproces geïmplementeerd. AS - Organisatie, Service Level, Rapportages AS - Operationeel Handboek, proces Managementinformatie GNK A GNK A AS - Organisatie, Operationeel Handboek, Proces change en release Controleren of met de managementrapportages voldaan wordt aan de afspraken hierover in de Service Level. Nagaan of /hoe het proces is ingeregeld voor het opstellen en tijdig verzenden van de juiste managementrapportage (bij deelnemers). Worden changes op het Afsprakenstelsel conform de afgesproken procedure verwerkt? behoren maandelijks een managementrapportage op te leveren aan de. De aggregeert deze gegevens t.b.v. de rapportage aan het Tactisch Overleg. Aggregatie gebeurt automatisch. Daarna vindt er nog een eindredactie plaats op de resultaten. Proceseigenaar: changemanager bij de beheerorganisatie. Changes worden door de beheerorganisatie in opzet verwerkt in het Afsprakenstelsel. Gelet op (ook) het juridisch belang van het Afsprakenstelsel moeten changes correct worden doorgevoerd. Implementatie van de changes gebeurt bij deelnemers en beheerorganisatie. 13 Het stelsel heeft een incidentmanagementproces opgezet en geïmplementeerd. 14 Er is een aktueel continuïteitsplan voor het stelsel. GNK A.13 AS - Organisatie, Operationeel Handboek, Proces Incidentmanagement De beheerorganisatie houdt een incidentregistratie bij ten behoeve van het stelsel. Nagaan: opzet van de procedure; is de "interne" incidentmanagementprocedure bij deelnemers en beheerorganisatie gekoppeld aan de procedure van het stelsel? Worden incidenten daadwerkelijk gemeld aan het stelsel? Hoe worden incidenten geclassificeerd? Hoe worden incidenten opgevolgd? Proceseigenaar: incidentmanager Systeem: Mantis Iedere deelnemer heeft een eigen incidentmanagement procedure en systeem. Voor eherkenning-stelsel gerelateerde zaken geldt het incidentmanagementproces uit het Afsprakenstelsel. ISMS A Verifieer de opzet en bewaking van het continuïteitsplan. Uitgangspunt binnen het stelsel is dat alle rollen minimaal dubbel voorkomen. Hierbij is vooral van belang dat continuïteit geborgd is indien sprake is van uitbesteding van aktiviteiten. In een aantal gevallen maakt de ene eh-deelnemer gebruik van diensten van een andere eh-deelnemer.

4 15 Er is een aktueel calamiteiten- en crisisbeheerplan voor het stelsel. ISMS A Hoe verloopt de communicatie in het geval van calamiteiten of crisis? Wie is dan in control? Wie coördineert? Wie worden er geïnformeerd? Is het plan aktueel en bekend bij alle betrokken partijen? De heeft een calamiteiten- en crisibeheerplan opgezet waarin in de escalatiestappen en de communicatierollen zijn opgenomen. Dit plan moet onderdeel worden van het Afsprakenstelsel. N.B.: Status Dit document is formeel nog geen onderdeel van het AS. 16 Er is gemeenschappelijk beleid en proces geïmplementeerd ten aanzien van het (laten) uitvoeren van penetratietesten ("pentesten"). AS - Beveiliging, Informatiebeveilinging en privacy, beleid en doel penetratietesten. GNK A Zijn de afgesproken pentesten uitgevoerd? Beleid is om twee keer per jaar pentesten te laten uitvoeren door specialistische externe Zijn evt. corrective action plans naar aanleiding hiervan opgesteld partij. De beheerorganisatie organiseert en coordineert de pentesten en monitort de en uitgevoerd? opvolging. Indien servercapaciteit van een externe leverancier wordt betrokken moet de deelnemer meewerken aan pentesten op die server. 17 De uitgifte en registratie van authenticatiemiddelen en machtigingen geschiedt conform de voorgeschreven criteria. c.q. De implementatie en werking van de processen voor het uitgeven en registreren van middelen en machtigingen zijn conform de goedgekeurde opzet. AS - Beveiliging, Betrouwbaarheidsniveaus en registratie eisen Deze norm heeft betrekking op de basisprocessen binnen het eherkenningsstelsel. De kwaliteit van deze processen zijn in hoge mate bepalend voor de kwaliteit van het kernproces van eherkenning: de authenticatie. Verifiëren opzet en werking van de procedures die binnen eherkenning voor de betrouwbaarheidsniveaus 1, 2, 2+, 3 en 4 zijn afgesproken ten behoeve van de identificatie en registratie bij het uitgeven van authenticatiemiddelen en machtigingen. Verifiëren of werking van deze processen conform de goedgekeurde opzet is. Bijzondere aandacht moet hierbij uitgaan naar de omgang met en registratie van persoonsgegevens. De WBP is hierin leidend. Denk hierbij aan minimalisatie van opslag van gegevens en bewaartijden, met name ingeval bijzondere gegevens in het geding zijn zoals BSN-nummer. In hoeverre zijn controles en registraties die ten behoeve van een eh-deelnemer door externe partijen worden uitgevoerd overeenkomstig vigerende wet- en regelgeving? (bijv. controle WID tegen verloren/gestolen documenten). Heeft de deelnemer daarover met externe partij afspraken gemaakt? De criteria ten behoeve van het identificeren van de aanvrager van een middel zijn gebaseerd op de STORK betrouwbaarheidsniveaus. Afhankelijk van het betrouwbaarheidsniveau moeten bij de uitgifte van middelen bepaalde attributen van de identificatie gecontroleerd en/of geregistreerd worden. Hetzelfde geldt voor de registratie van de aanvraag van een machtigingenbeheerder. Sommige controles (bijv. toets op verloren/gestolen WID) worden uitgevoerd door externe partijen. Denk bijv. aan: IDchecker, ideal, DNS, Postbezorgers. Toetredingsexperts hebben (in opdracht van de beheerorganisatie) de opzet van processen die horen bij de verschillende rollen van het eherkenningsstelsel en betrouwbaarheidsniveaus getoetst. Toetreding van de deelnemer heeft plaatsgevonden op basis van de toetsing van de toetredingsexperts en het daaraan gekoppelde advies van de beheerorganisatie aan EZ. Voor iedere inhoudelijke wijziging van een procesgang moet opnieuw het toetredingsproces worden doorlopen. De toets van de stelselauditor moet borgen dat gehanteerde processen gelijk zijn aan de in opzet goedgekeurde processen. Hulpmiddel hierbij is het toetredingsdossier dat in beheer is bij de. Opmerking: Voor die deelnemers die beschikken over een geldig certificaat ETSI mag met betrekking tot niveau 4 middelen de auditor zich verlaten op het oordeel van de ETSI auditor. N.B.: Er is een (concept) toetredingsnormenkader bij de beheerorganisatie beschikbaar, waarin de controle-eisen en registratieverplichtingen bij identificatie voor uitgifte van middelen en machtigingen gedetailleerd beschreven staan. Dit document dient als leidraad voor de stelselauditor. 18 Er is een beheerst proces voor het beschikbaar hebben van de website voor eherkenning en voor de informatie daarop (contentmanagement). AS - Operationeel Handboek, Proces Contentmanagement Verifiëren van opzet en werking van het contentmanagementproces. De is verantwoordelijk voor het beheer van de website De website bevat ook informatie over/van de deelnemers. 19 Er is een beheerst proces voor het aanpassen en beschikbaar stellen van het metadatabestand. AS - Operationeel Handboek Proces metadata Verifieer opzet en werking van: Changeproces Testproces Distributieproces Archiveringsproces Bij deelnemers: verifiëren processen in opzet en werking. Bij beheerorganisatie: verifiëren proces in opzet en werking inclusief distributie. Het metadatabestand wordt binnen een afgesproken procedure geautomatiseerd samengesteld en beschikbaar gesteld aan de deelnemers.

5 20 Er is een beheerst proces voor het aanpassen en beschikbaar stellen van de dienstencatalogus. 21 Er zijn procedures opgezet en geïmplementeerd voor het beschermen van IPR (intellectual property rights). 22 voldoen aan de afspraken in het document: Testen voor deelnemers. AS - Operationeel Handboek Proces doorvoeren nieuwe dienstencatalogus ISMS A AS - Testen voor deelnemers 23 voldoen aan de technische AS - koppelvlakspecificatie DVinformatiebeveiligingseisen uit de documenten HM, HM-AD en HM-MR koppelvlakspecificaties. DV=dienstverlener HM = herkenningsmakelaar AD = authenticatiedienst MR = machtigingenregister Verifieer opzet en werking van: Changeproces Distributieproces Bij deelnemers: verifiëren processen in opzet en werking. Bij beheerorganisatie: verifiëren proces in opzet en werking inclusief distributie. IPR t.a.v. het merk en beeldmerk eherkenning Wordt er gecontroleerd op naleving van het beeldmerk eherkenning? Verifieer: opzet en werking testprocedure (bij deelnemers) Verifieer: opzet en werking monitoring/test bij. Verifieer: Opzet koppelvlak development proces Werking koppelvlak development proces Technische controle bij ISO-audit? Verifieer: Interne audits/documentatie implementatieproject deelnemers op conformiteit koppelvlakspecificaties Nagaan: hoe is verbinding met het koppelvlak beveiligd (PKIo, of andere PKI)? Het dienstencatalogusbestand wordt op basis van input van deelnemers binnen een procedure geautomatiseerd samengesteld en beschikbaar gesteld aan de deelnemers. Merk en beeldmerk staan geregistreerd bij het merkenbureau. De beheerorganisatie is verantwoordelijke voor het bewaken van het correcte gebruik van merk en beeldmerk. Het testproces is een onderdeel van het Afsprakenstelsel. Het bevat specificaties van de testen die uitgevoerd moeten worden bij nieuwe releases van het AS en eventuele nieuwe toetredingen van deelnemers. Het testen moet plaatsvinden door de deelnemers. De monitort de uitvoering van de testen. Van belang is dat de technische specificaties van de koppelvlakken en de beveiligingseisen daarbij conform geimplementeerd zijn. zijn zelf verantwoordelijk voor de ontwikkeling of acquisitie, implementatie en beheer van de software. Door middel van testverslagen zou kunnen worden aangetoond dat er conformiteit is met de specificaties. Betekenis afkortingen referentie: AS = Afsprakenstelsel eherkenning GNK = Gemeenschappelijk Normenkader Informatiebeveiliging eherkenning ISMS = Information Security Management Systeem