DIGID-AUDIT BIJ ZORGPORTAAL RIJNMOND

Vergelijkbare documenten
Norm ICT-beveiligingsassessments DigiD

DigiD beveiligingsassessment Decos Information Solutions

THIRD PARTY MEDEDELING 2015 LEVERANCIER: LIAAN CONSULT B.V. APPLICATIE: E-DIENSTVERLENING VERSIE 6.1

DigiD beveiligingsassessment

Assurancerapport DigiD assessment Justis

Rapportage ICT beveiligingsassessment DigiD Inhoudsopgave. Auditdienst Rijk Minhterie van Financiën

Toepasbaarheid gebied: houder DigiD aansluiting, software ontwikkelaar, hosting partij. Scope: de DigiD applicatie en de infrastructuur

Handreiking DigiD ICT-beveiligingsassessment voor RE's Tabel beveiligingsrichtlijnen met aandachtspunten

Handreiking DigiD ICT-beveiligingsassessment voor RE's

/011. Rapportage ICT beveiligingsassessment DigiD Inhoudsopgave. Auditdienst Rijk

Het ICT beveiligingsassessment. Bas Colen CISSP CISA Eindhoven 17 september 2013

Toetsingskader digitaal Ondertekenen (pluscluster 9)

Checklist informatieveiligheid. 12 januari versie 1.1

ADVIES DIGID ASSESSMENT DIGITAAL ONDERTEKENEN MBO

Nieuw normenkader ICT Beveiligingsassessments DigiD

Norm ICT-beveiligingsassessments DigiD

Bijeenkomst DigiD-assessments

ENSIA guidance DigiD-assessments

Jacques Herman 21 februari 2013

Nieuw DigiD assessment

Nadere toelichting: De organisatie dient een, door beide partijen ondertekend, contract te hebben

Gemeente Renswoude. ICT-beveiligingsassessment DigiD. DigiD-aansluiting Gemeente Renswoude. Audit Services

Bijlage 1: DigiD aansluiting no.1 - Bijlage B + C Gemeente Loppersum

H t ICT -Beveili iligings- assessment DigiD & Informatiebeveiliging

Rapportage DigiD Assessment - ENSIA 2017 Aansluiting no.1 Bijlage B en C

THIRD PARTY MEDEDELING 2017 LEVERANCIER: LIAAN CONSULT B.V. APPLICATIE: Third Party Mededeling 2017 E-DIENSTVERLENING VERSIE 7.2

^insiteaudit. DigiD-beveiligingsassessment. Third Party Mededeling SIMgroep. Referentie H a a r l e m, 29 n o v e m b e r 2017

Naast een beperkt aantal tekstuele verbeteringen en verduidelijkingen zijn de belangrijkste wijzigingen:

Voordat sprake kan zijn van een TPM, moet aan een aantal voorwaarden worden voldaan:

De Logius-norm voor DigiD: perikelen bij technisch testen (uitgebreide versie) Abstract Introductie Code-inspectie

Assurance-rapport en Verantwoording 2012

Auditdienst Rijk. Ministerie van Fincuicièn. Io,.Z.e. Raad van State. Afdeling IT-beheer. Postbus-ziju i EA Den Haag

UWV Security SSD Instructies

NOTITIE. Aan : IT auditors Datum : 19 december 2016 Van : NOREA Werkgroep DigiD assessments Betreft : Handreiking bij DigiD-assessments V2.

Rapport van bevindingen - Beveiligingsonderzoek Raad van State

ICT-Beveiligingsrichtlijnen voor webapplicaties Deel 1

ICT-Beveiligingsrichtlijnen voor webapplicaties Deel 1

HANDREIKING. Bij het DigiD assessment 2.0 geldig vanaf 1 juli BKBO B.V. Voorstraat CP Vlijmen

ENSIA guidance DigiD-assessments

Concept HANDREIKING ENSIA voor IT-auditors (RE s) Eénduidige Normatiek Single Information Audit voor gemeenten

Gemeente Renswoude ENSIA Datum rapport: 26 april 2018 Dit rapport heeft 14 pagina's Rapportnummer: AAS

Checklist beveiliging webapplicaties

Factsheet Penetratietest Webapplicaties

ISSX, Experts in IT Security. Wat is een penetratietest?

ICT-Beveiligingsrichtlijnen voor Webapplicaties RICHTLIJNEN

HANDREIKING DIGID-ZELFEVALUATIE

Handleiding uitvoering ICT-beveiligingsassessment

Matthijs Koot, senior security consultant bij Madison Gurkha. Geschreven op persoonlijke titel.

HANDREIKING ENSIA EN DIGID

Collegeverklaring gemeente Olst-Wijhe ENSIA 2017 inzake Informatiebeveiliging DigiD en Suwinet

Privacy Bijsluiter (digitale) leermiddelen en educatieve diensten voor het primair onderwijs van Blink

Technische QuickScan. JOMA secundair Merksem Pagina 1 van 28

Help! Mijn website is kwetsbaar voor SQL-injectie

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA Den Haag

Security Testing. Omdat elk systeem anderis

Hardening. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Handboek. Informatiebeveiliging. Versie juli 2012

ICT-Beveiligingsrichtlijnen voor Webapplicaties RICHTLIJNEN

IT Security in de industrie

DMZ Policy. Eindverantwoordelijkheid Goedgekeurd. 16 Februari Geaccepteerd Manager SPITS. Security Manager SPITS E.A. van Buuren.

Secure Software Alliance

ICT-Beveiligingsrichtlijnen voor webapplicaties Deel 2

IT Galaxy 2018 ON THE RIGHT TRACK ON THE RIGHT TRACK. Secure by design #PQRITG18 #PQRITG18

Beveiligingsmaatregelen

SOA Security. en de rol van de auditor... ISACA Roundtable 2 juni Arthur Donkers, 1Secure BV arthur@1secure.nl

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers

Eindrapportage Impactanalyse ICT-beveiligingsassessment DigiD

ICT-Beveiligingsrichtlijnen voor webapplicaties Deel 2

BABVI/U Lbr. 12/015

Centrum Informatiebeveiliging en Privacybescherming Grip op Secure Software Development

Welkom bij parallellijn 1 On the Move uur

Sebyde Web Applicatie Security Scan. 7 Januari 2014

Sebyde Security in een organisatie A3 Management Workshop. 7 Januari 2014

Patch management. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Sebyde AppScan Reseller. 7 Januari 2014

Timeline 2019 Een overzicht van de belangrijkste deadlines voor gemeenten op het gebied van security, audits en privacy.

makkelijke en toch veilige toegang

Security, standaarden en architectuur

Programma Borging veilige gegevensuitwisseling via Suwinet Normenkader Suwinet. Webinar, 28 juni 2017

Bijlage 1 bij de Bewerkersovereenkomst Noordhoff Uitgevers Privacy Bijsluiter Digitale Leermiddelen Voortgezet Onderwijs, Noordhoff Uitgevers

Hardening beleid voor gemeenten

Team Werknemers Pensioen

Mozard als een service (SaaS)

Overzicht Informatiebeveiliging Inlichtingenbureau GGK

Security Assessment. Laat uw bedrijfsbeveiliging grondig testen

Nieuwe richtlijnen beveiliging webapplicaties NCSC

Privacy Bijsluiter Registratie-/ Planningsoftware Uitgeverij Zwijsen B.V.

Quality With Care. Wet- en regelgeving Smart FMS waarborgt dat de Nederlandse wet- en regelgeving kan worden toegepast.

Beveiliging en bescherming privacy

Het Sebyde aanbod. Secure By Design

Security Pentest. 18 Januari Uitgevoerde Test(s): 1. Blackbox Security Pentest 2. Greybox Security Pentest

HET CENTRALE SECURITY PLATFORM

Zest Application Professionals Training &Workshops

a> GEMEENTE vve E RT ]'il-s 1392 Inleiding ! Gewijzigde versie ! Anders, nl.: Beslissing d.d.: 2e - O3.?ætS Voorstel Onderwerp Beoogd effect/doel

Gemeente Alphen aan den Rijn

Informatiebeveiliging En terugblik op informatiebeveiliging 2016

Technische en organisatorische beveiligingsmaatregelen

SCAN UW NETWERK SECURITY. Krijg een helder beeld van de kwetsbaarheden en voorkom schade

Gratis bescherming tegen zero-days exploits

Transcriptie:

DIGID-AUDIT BIJ ZORGPORTAAL RIJNMOND

SAFEHARBOUR Audit en Security ISO 27001/ NEN7510 implementatie Projectadvies Risicoanalyses Zorg en overheden @djakoot @safeharbour_nl

WAAROM DIGID-AUDIT?

DAAROM DIGID-AUDIT Sinds 2013 is er een wettelijke verplichting voor alle Digid gebruikende instellingen om een jaarlijkse audit te doen.

NORMERING DIGID-AUDIT norm: de ICT-beveiligingsrichtlijn voor web applicaties van het Nationaal Cyber Security Centrum (NCSC) basisbeveiliging (virusscanner, firewall), besturingssysteem en netwerk- en applicatiebeveiliging

WAT IS DE DIGID-AUDIT? PVA ITIL BELEID PROCEDURES Webapplicaties SYSTEMEN CONTROLES Penetratietest Webserver Vulnerability scan User Management Logging

SCOPE VAN DIGID-AUDIT

SCOPE VAN DIGID-AUDIT

Nr B0-5 B0-6 Beschrijving van de beveiligingsrichtlijn Alle wijzigingen worden altijd eerst getest voordat deze in productie worden genomen en worden via wijzigingsbeheer doorgevoerd. Alle wijzigingen worden altijd eerst getest voordat deze in productie worden genomen en worden via wijzigingsbeheer doorgevoerd. B0-7 De laatste (beveiligings)patches zijn geïnstalleerd en deze worden volgens een patchmanagement proces doorgevoerd. B0-8 Penetratietests worden periodiek uitgevoerd. B0-9 Vulnerability assessments (security scans) worden periodiek uitgevoerd. B0-12 Ontwerp en richt maatregelen in met betrekking tot toegangsbeveiliging/toegangsbeheer. B0-13 Niet (meer) gebruikte websites en/of informatie moet worden verwijderd. B0-14 Leg afspraken met leveranciers vast in een overeenkomst Er moet gebruik worden gemaakt van een Demilitarised Zone (DMZ), B1-1 waarbij compartimentering wordt toegepast en de verkeersstromen tussen deze compartimenten wordt beperkt tot alleen de hoogst noodzakelijke. B1-2 Beheer- en productieverkeer zijn van elkaar gescheiden. B1-3 Netwerktoegang tot de webapplicaties is voor alle gebruikersgroepen op een zelfde wijze ingeregeld. B2-1 Maak gebruik van veilige beheermechanismen. B3-1 De webapplicatie valideert de inhoud van een HTTP-request voor die wordt gebruikt. B3-2 De webapplicatie controleert voor elk HTTP verzoek of de initiator geauthenticeerd is en de juiste autorisaties heeft. B3-3 De webapplicatie normaliseert invoerdata voor validatie. B3-4 De webapplicatie codeert dynamische onderdelen in de uitvoer. B3-5 Voor het raadplegen en/of wijzigen van gegevens in de database gebruikt de webapplicatie alleen geparametriseerde queries. B3-6 De webapplicatie valideert alle invoer, gegevens die aan de webapplicatie worden aangeboden, aan de serverzijde. B3-7 De webapplicatie staat geen dynamische file includes toe of beperkt de keuze mogelijkheid (whitelisting). B3-15 Een (geautomatiseerde) blackbox scan wordt periodiek uitgevoerd. B3-16 Zet de cookie attributen HttpOnly en Secure. B5-1 Voer sleutelbeheer in waarbij minimaal gegarandeerd wordt dat sleutels niet onversleuteld op de servers te vinden zijn. B5-2 Maak gebruik van versleutelde (HTTPS) verbindingen. B5-3 Sla gevoelige gegevens versleuteld of gehashed op. B5-4 Versleutel cookies. B7-1 Maak gebruik van Intrusion Detection Systemen (IDS). B7-8 Voer actief controles uit op logging. B7-9 Governance, organisatie, rollen en bevoegdheden inzake preventie, detectie en response inzake informatiebeveiliging dienen adequaat te zijn vastgesteld.

SCOPE VAN DIGID-AUDIT 28 normen door Logius benoemd 18 normen hosting leverancier 15 normen Zorgportaal Rijnmond 10 applicaties 5 organisaties

SCOPE VAN DIGID-AUDIT Zorgportaal Rijnmond Governance Change Management Webbeheer Leveranciersafspraken Versleutelen van vertrouwelijke gegevens

Nr B0-5 B0-6 Beschrijving van de beveiligingsrichtlijn Alle wijzigingen worden altijd eerst getest voordat deze in productie worden genomen en worden via wijzigingsbeheer doorgevoerd. Alle wijzigingen worden altijd eerst getest voordat deze in productie worden genomen en worden via wijzigingsbeheer doorgevoerd. B0-7 De laatste (beveiligings)patches zijn geïnstalleerd en deze worden volgens een patchmanagement proces doorgevoerd. B0-8 Penetratietests worden periodiek uitgevoerd. B0-9 Vulnerability assessments (security scans) worden periodiek uitgevoerd. B0-12 Ontwerp en richt maatregelen in met betrekking tot toegangsbeveiliging/toegangsbeheer. B0-13 Niet (meer) gebruikte websites en/of informatie moet worden verwijderd. B0-14 Leg afspraken met leveranciers vast in een overeenkomst Er moet gebruik worden gemaakt van een Demilitarised Zone (DMZ), B1-1 waarbij compartimentering wordt toegepast en de verkeersstromen tussen deze compartimenten wordt beperkt tot alleen de hoogst noodzakelijke. B1-2 Beheer- en productieverkeer zijn van elkaar gescheiden. B1-3 Netwerktoegang tot de webapplicaties is voor alle gebruikersgroepen op een zelfde wijze ingeregeld. B2-1 Maak gebruik van veilige beheermechanismen. B3-1 De webapplicatie valideert de inhoud van een HTTP-request voor die wordt gebruikt. B3-2 De webapplicatie controleert voor elk HTTP verzoek of de initiator geauthenticeerd is en de juiste autorisaties heeft. B3-3 De webapplicatie normaliseert invoerdata voor validatie. B3-4 De webapplicatie codeert dynamische onderdelen in de uitvoer. B3-5 Voor het raadplegen en/of wijzigen van gegevens in de database gebruikt de webapplicatie alleen geparametriseerde queries. B3-6 De webapplicatie valideert alle invoer, gegevens die aan de webapplicatie worden aangeboden, aan de serverzijde. B3-7 De webapplicatie staat geen dynamische file includes toe of beperkt de keuze mogelijkheid (whitelisting). B3-15 Een (geautomatiseerde) blackbox scan wordt periodiek uitgevoerd. B3-16 Zet de cookie attributen HttpOnly en Secure. B5-1 Voer sleutelbeheer in waarbij minimaal gegarandeerd wordt dat sleutels niet onversleuteld op de servers te vinden zijn. B5-2 Maak gebruik van versleutelde (HTTPS) verbindingen. B5-3 Sla gevoelige gegevens versleuteld of gehashed op. B5-4 Versleutel cookies. B7-1 Maak gebruik van Intrusion Detection Systemen (IDS). B7-8 Voer actief controles uit op logging. B7-9 Governance, organisatie, rollen en bevoegdheden inzake preventie, detectie en response inzake informatiebeveiliging dienen adequaat te zijn vastgesteld.

HOE DOEN WE DE AUDIT? Pre-audit (nulmeting) Herstel op basis van bevindingen Her-audit op incrementen Eind-audit September 2013 December 2013

PRE-AUDIT Pre-audit (nulmeting) Herstel op basis van bevindingen Her-audit op incrementen Eind-audit Toets op de 5 organisatorische normen Leverancierscontracten Penetratietest naar applicatienormen Black box Vanaf internet Technische Audit bij Intermax

PRE-AUDIT Pre-audit (nulmeting) Herstel op basis van bevindingen Her-audit op incrementen Eind-audit Bevinding Risico Verantwoordelijke Geen afscherming contact formulier voor mail misbruik Medium Ontwikkelaar website(s) Httponly/Secure cookie flag niet overal gebruikt Low Ontwikkelaar website(s) Cross Site Scripting lekken Medium Ontwikkelaar website(s)

HER-AUDIT INCREMENTEN Deelopleveringen bij leverancierscontracten Per aanlevering beoordeling Eventueel laten aanpassen Pre-audit (nulmeting) Herstel op basis van bevindingen Her-audit op incrementen Eind-audit

AUDIT Beoordeling van de stukken Beoordeling techniek Interviews Opzet en bestaan Pre-audit (nulmeting) Herstel op basis van bevindingen Her-audit op incrementen Eind-audit

AUDIT RESULTAAT 24 normen geslaagd Intermax voldoet aan alle hosting gerelateerde normen (18) 4 verbeterpunten audit vraagt niet om overall oordeel maar kans op een exploit is minimaal Auditrapport ligt nu bij Logius ter beoordeling

AUDIT - BOUWWERK Gebruik maken van elkaars resultaat TPM Uw applicatie Digid-audit TPM

www.safeharbour.nl Daan Koot ICT Consultant / Auditor @djakoot in daankoot

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback